Institut für Internet-Sicherheit – if(is) Fachhochschule Gelsenkirchen
http://www.internet-sicherheit.de
Prof. Dr. Norbert Pohlmann
Überblick über die aktuelle
IT-Sicherheitslage
Prof . Dr. Norb ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Inhalt
Motivation
Internet-Frühwarnsystem
Herausforderungen in der IT
Moderne IT-Sicherheitslösungsansätze
Ausblick
Prof . Dr. Norb ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Inhalt
Motivation
Internet-Frühwarnsystem
Herausforderungen in der IT
Moderne IT-Sicherheitslösungsansätze
Ausblick
Prof . Dr. Norb ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Lage der IT Sicherheit
Motivation
Veränderung, Fortschritt, Zukunft
Entwicklung zur vernetzten Informations- und Wissensgesellschaft.
IT-Sicherheit ist eine sich verändernde Herausforderung Das Internet geht über alle Grenzen und Kulturen hinaus Zeit und Raum werden überwunden!
Die zu schützenden Werte steigen ständig
Die Werte, die wir schützen müssen, ändern sich mit der Zeit!
Die Angriffsmodelle innovieren und Angreifer werden professioneller
IT-Sicherheitsmechanismen werden komplexer, intelligenter und verteilter
Prof . Dr. Norb ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Lage der IT Sicherheit
~ 1985: Kommunikationssicherheit
IT-Trend:
Mit dem PC kam eine Individualisierung und Dezentralisierung der IT. Der Wunsch, diese dezentralen IT-Systeme über Leitungen oder Daten-Netze, wie X.25-Netz zu verbinden.
IT-Sicherheitstrend:
Mit Leitungsverschlüsselung (Modem, 2 MBit/s, …) und
X.25-Verschlüsselungsgeräten die neuen Sicherheitsprobleme lösen.
Unsere Einstellung:
Prof . Dr. Norb ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Lage der IT Sicherheit
~ 1995: Perimeter Sicherheit
IT-Trend:
Unternehmen haben sich ans Internet angeschlossen, um am E-Mail- und Web-System teilhaben zu können.
Zusätzlich wurden Niederlassungen über das Verbundnetz Internet einfach angebunden.
IT-Sicherheitstrend:
Abwehrmodell: Firewall- und VPN-Systeme Digitale Signatur, E-Mail-Sicherheit, PKI
Unsere Einstellung:
Prof . Dr. Norb ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Lage der IT Sicherheit
~ 2005: Malware / Software-Updates
IT-Trend:
Immer mehr PCs, Notebooks, SmartPhones zunehmend über GSM, UMTS, … (an der zentralen Firewall vorbei) ins Internet
Die Anzahl der Schwachstellen durch Softwarefehler wird immer größer (die Marktführer im Bereich erkennen, dass es einen
SW-Entwicklungsprozess gibt :-) )
IT-Sicherheitstrend:
Verteilte Softwareangriffe mit Hilfe von Trojanischen Pferden Anti-Malware, Software-Upgrades und Personal Firewalls
Generierung der Sicherheitslage
Unsere Einstellung:
Prof . Dr. Norb ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Inhalt
Motivation
Internet-Frühwarnsystem
Herausforderungen in der IT
Moderne IT-Sicherheitslösungsansätze
Ausblick
Prof . Dr. Norb ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Internet-Analyse-System (IAS)
Idee
Beobachtung der kritischen Infrastruktur „Internet“. Sonden werden an
ausgesuchten Positionen des Internets zur Erfassung von Rohdaten in die
Kommunikationsleitungen eingebunden.
Zählen von
Header-Informationen, die nicht datenschutzrelevant sind. System sammelt Informationen über einen großen Zeitraum! Ein zentrales
Auswertungssystem analysiert die Rohdaten und
Auswertungsergebnisse und stellt diese umfangreichen Ergebnisse dar.
Auswertungssystem
Sonde Sonde Sonde Sonde Internet IASProf . Dr. N orb ert P ohlm ann, Insti tut für Int ernet Sich erhe it -if (is), Fachhoch schu le G elsen kirch en
Internet-Analyse-System (IAS)
Ziele
4) Prognosen von Mustern und Angriffen 3) Erkennen vonAngriffssituationen und Anomalien
2) Überblick über den
aktuellen Zustand des Internets
1) Beschreibung von Profilen, Mustern, Technologietrends und Zusammenhängen.
Schaffung einer Wissensbasis.
Prof . Dr. Norb ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Prinzip der Rohdatengenerierung
Zählen der Header
Anzahl der Zähler z.Zt: - Max: ca. 870.000 - Real-Ø: ca. 60.000
Prof . Dr. N orb ert P ohlm ann, Insti tut für Int ernet Sich erhe it -if (is), Fachhoch schu le G elsen kirch en
Prinzip der Rohdatengenerierung
Rohdaten
Alle Informationen sind absolut anonym by Design !
Zeit Zähler
Prof . Dr. Norb ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Beispiele von Ergebnissen des IAS
Wissensbasis: Erfahrungen
Transport-Protokoll Verteilung (Profil)
TCP ESP IGMP ICMP GRE UDP UDP 7% TCP 89% Wochenende
Prof . Dr. Norb ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Beispiele von Ergebnissen des IAS
Wissensbasis: Erfahrungen
SMTP Content Type 60% “text” Mails 33 % “attachments” 30%: multipart/alternative 33%: multipart/mixed 26%: text/plain 4%: text/htmlProf . Dr. Norb ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Beispiele von Ergebnissen des IAS
Angriffssituationserkennung
SMTP Content Type
Zeitweise mehr E-Mail mit content-type multipart/mixed -> Mail-Virus?
Prof . Dr. Norb ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Beispiele von Ergebnissen des IAS
Angriffssituationserkennung
PDF Spam Welle
Application/PDF
Prof . Dr. Norb ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Beispiele von Ergebnissen des IAS
Zustellung unerwünschter Werbe-E-Mails
Spamwelle
Während einer Spamwelle steigt die Anzahl der Empfänger pro E-Mail
(Entspricht nicht den in der E-Mail angezeigten Empfängern)
RCPT / (HELO + EHLO)
RCPT = Anzahl Empfänger HELO/EHLO = Begrüßung
Normal = 1,5 - 1,7 Spam ~ > 2
Prof . Dr. Norb ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Beispiele von Ergebnissen des IAS
Wissensbasis: Technologietrend
Browserverteilung (Technologietrend)
Tagesprofile, keine Serverstatistik, sondern „Leitungsstatistik“
Unterschied zwischen manueller Nutzung (z.B. Internet Explorer und Firefox) und automatischer Nutzung (z.B. wget)
zu erkennen.
Firefox
Andere (wget, etc)
Internet Explorer
Andere (wget, etc) 21 % Internet Explorer 42 % Mozilla Firefox 32 % 18Prof . Dr. N orb ert P ohlm ann, Insti tut für Int ernet Sich erhe it -if (is), Fachhoch schu le G elsen kirch en
Beispiele von Ergebnissen des IAS
Wissensbasis: Technologietrend (TLS)
6 %: RSA AES / SHA1 33%: DHE_RSA AES / SHA1 60%: RSA / RC4 / MD5Prof . Dr. N orb ert P ohlm ann, Insti tut für Int ernet Sich erhe it -if (is), Fachhoch schu le G elsen kirch en
Beispiele von Ergebnissen des IAS
Result:
Technology trend
(Firefox vs. IE)
Firefox
Prof . Dr. N orb ert P ohlm ann, Insti tut für Int ernet Sich erhe it -if (is), Fachhoch schu le G elsen kirch en
Beispiele von Ergebnissen des IAS
Result:
Technology trend
(TCP Dst Port 25)Prof . Dr. Norb ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Beispiele von Ergebnissen des IAS
Übersicht über den aktuellen Zustand
DDoS-Attacke von unbekanntem Angreifer auf den
Fachbereich Informatik der Fachhochschule Gelsenkirchen
Toleranzbereich grün
dargestellt
Abbildung 1 zeigt Zustand
vor einer DDoS-Attacke
Darstellung geringer
Soll-/Ist-Abweichungen
Abbildung 1
5 Minuten später
Deutliche Zunahme von
ICMP Echo Requests
(20°)
Deutliche Zunahme von
TCP – SYN Paketen (90°)
10 Minuten später
Hohe Auslastung von ICMP Echo Reque. und TCP SYN Paketen reduzieren
gesamten Netzwerkverkehr Anomalien bei weiteren Diensten
DNS(130°) und SMTP(230°) können ihre Arbeit nicht
mehr im normalen Maße verrichten
Prof . Dr. N orb ert P ohlm ann, Insti tut für Int ernet Sich erhe it -if (is), Fachhoch schu le G elsen kirch en
Prinzip der globalen Sichtweise
Übersicht
local view P3 local view P2 local view P1 global view global view global view virtual probe Generation of global view global viewlocal view local view
local view
probes Central System
Prof . Dr. Norb ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Protokollvergleiche/Trends
Globale Darstellung von Protokollvergleichen und Beobachtung von Trends
Globale Sicht
Lokale Sicht
11% Port 443 (TLS/SSL) 13% Port 443 (TLS/SSL)
Prof . Dr. Norb ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Anomalienerkennung/Malware
Prof . Dr. Norb ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Inhalt
Motivation
Internet-Frühwarnsystem
Herausforderungen in der IT
Moderne IT-Sicherheitslösungsansätze
Ausblick
Prof . Dr. Norb ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Herausforderungen in der IT
E-Mail Sicherheit
Verschlüsselte E-Mails weniger als 4 % (S/MIME, PGP, Passphrase-gestützt, …) Signaturen unter E-Mails weniger als 6 % (Finanzbereich deutlich mehr)
Spam-Anteil größer als 90 % (in der Infrastruktur)
Was kommt in der Zukunft?
DE-Mail (ab ~2010?) Bürgerportal Gesetz?
SSL-Verschlüsselung zwischen den Gateways Zustell-Garantie
Verpflichtende Authentifizierung Sichere Dokumentenablage
Prof . Dr. N orb ert P ohlm ann, Insti tut für Int ernet Sich erhe it -if (is), Fachhoch schu le G elsen kirch en
Spam
Das Problem
Prof . Dr. N orb ert P ohlm ann, Insti tut für Int ernet Sich erhe it -if (is), Fachhoch schu le G elsen kirch en
McColo (US ISP) taken offline
11/11/2008
Prof . Dr. N orb ert P ohlm ann, Insti tut für Int ernet Sich erhe it -if (is), Fachhoch schu le G elsen kirch en
DDoS on InternetX (Schlund NS)
Prof . Dr. Norb ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Herausforderungen in der IT
Identity Management
Passworte, Passworte, Passworte, … sind das Mittel für eine Authentikation im Internet!
Identifikationsbereiche liegen im Unternehmens- und Kundenumfeld, nicht international!
Föderationen sind noch nicht verbreitet genug!
Was kommt in D?
ePA (elektronischer Personalausweis mit Authentikationsfunktion)
Prof . Dr. Norb ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Herausforderungen in der IT
Webserver Sicherheit
Schlechte Sicherheit auf den Webservern / Webseiten
Heute wird Malware hauptsächlich über Webseiten verteilt Viele Webseiten sind nicht sicher aufgebaut
Patches werden nicht oder sehr spät eingespielt (siehe Analyse if(is)) SSL nicht richtig verwendet
Gründe
Firmen geben kein Geld für IT-Sicherheit aus! Mitarbeiter haben keine Zeit (Geld)
Prof . Dr. N orb ert P ohlm ann, Insti tut für Int ernet Sich erhe it -if (is), Fachhoch schu le G elsen kirch en
IT Sicherheit und Vertrauenswürdigkeit
Unser Problem (1/2)
Bugs
VPN
-Prof . Dr. Norb ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
IT Sicherheit und Vertrauenswürdigkeit
Unser Problem (2/2)
Wir rennen den IT-Angriffen hinterher!
Anti-Malwareprodukte reichen nicht mehr aus!
Millionen Rechner sind mit „Trojanischen Pferden“ verseucht! Sehr große Botnetze kontrollieren unsere IT-Systeme
(PCs, Notebook, …)
Unsere IT-Systeme werden fremd-gesteuert und … spammen
werden für Pfishing Angriffe genutzt! sammeln Passworte
werden als DDoS-Hilfsmittel verwendet …
Prof . Dr. N orb ert P ohlm ann, Insti tut für Int ernet Sich erhe it -if (is), Fachhoch schu le G elsen kirch en
IT Sicherheit und Vertrauenswürdigkeit
Unser Ziel (1/2)
Bugs
VPN
-Prof . Dr. N orb ert P ohlm ann, Insti tut für Int ernet Sich erhe it -if (is), Fachhoch schu le G elsen kirch en
IT Sicherheit und Vertrauenswürdigkeit
Unser Ziel (2/2)
BugsSicherheitsmechanismen
-VPNGefahren / Angriffe
-angemessenes SicherheitsniveauProf . Dr. Norb ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Inhalt
Motivation
Internet-Frühwarnsystem
Herausforderungen in der IT
Moderne
IT-Sicherheitslösungsansätze
Ausblick
Prof . Dr. Norb ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Sicherheitsplattform/Trusted Computing
Motivation
Wir brauchen eine
vertrauenswürdige IT,
realisierbar durch eine
Sicherheitsplattform,
die Sicherheitsprobleme existierender Rechnersysteme löst,
bzw. die schädlichen Auswirkungen von z.B. Viren, Würmern,
Trojanern, Phishing, Exploits, SW-Updates, …, stark einschränkt.
die eine vertrauenswürdige Verarbeitung von Informationen auf
dem
eigenen
und auf
fremden
Rechnersystemen garantiert.
die die Verwendung existierender Betriebssysteme unterstützt.
die transparente Sicherheit (Vertrauenswürdigkeit) bietet.
Prof . Dr. Norb ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Trusted Computing
Idee
Trusted Computing Group (TCG):
Industriekonsortium bestehend aus den führenden 126 IT-Firmen
(Hewlett-Packard, IBM, Intel, AMD, Microsoft, Sony, Sun, Infineon, ...)
Grundmotivation
Entwicklung offener Spezifikationen für
vertrauenswürdige IT-Systeme (Server, PC, eingebettet, usw.) Sicherheit verteilter Anwendungen mit wirtschaftlich vertretbarem Aufwand verbessern
Keine massive Veränderung existierender Hard- bzw. Software
Hauptidee
Manipulationssichere Komponente in Hardware (sicherer als Software) Stärkung gegen Software-basierte Angriffe
Sicherheit des Systems reduziert auf die Sicherheit eines Moduls
Integrität und Authentizität eines IT Systems zuverlässig überprüfbar, auch aus der Distanz
Prof . Dr. Norb ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Trusted Computing
Funktionen (1/2)
Trusted Platform Modules (TPM)
Sicherer Zufallsgenerator (sichere kryptographische Schlüssel) Kryptographische Funktionen: Signatur (RSA), Hash (SHA-1) Erzeugung verschiedener kryptographischer Schlüssel
Platform Configuration Register (PCR) Zur Speicherung der Systemkonfiguration
Sicherer Speicher
Erzeugung sicherer kryptographischer Schlüssel und Speicherung Schlüssel im Hardwaremodul
Sealing (versiegeln)
Kryptographische Schlüssel können an das IT-System
und/oder eine bestimmte Softwarekonfiguration gebunden werden
Schutz vor Manipulationen des Betriebssystems
Prof . Dr. Norb ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Trusted Computing Group
Funktionen (2/2)
(Remote) Attestation
Aktuelle Systemkonfiguration des IT-Systems wird dargestellt
Erkennung manipulierter IT-Systeme (Verteilte Systeme, Web-S.) Kommunikation nur mit vertrauenswürdigen IT-Systemen
Access Control
Durchsetzung von Zugriffsregeln in einem Netzwerk mit unbekannten IT-Systemen (TNC)
Überprüfbares Booten
Systemkonfiguration kann überprüft werden, z.B. mittels eines persönlichen Gerätes (Smarcard, USB-Stick, Handy, …)
Verbreitung von TPMs
60 Millionen bis Ende 2007 130 Millionen bis Ende 2008 200 Millionen bis Ende 2009
Prof . Dr. Norb ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Sicherheitsplattform Turaya
Architektur und Technologie 1/3
Herkömmliche Hardware CPU / Hardware Devices
TPM
Höchster Schutz durch hardwarebasierte Sicherheit
Prof . Dr. Norb ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Sicherheitsplattform Turaya
Architektur und Technologie 2/3
Virtualisierungslayer zur Isolation ... Schutz der Applikationen
Schutz der Anwenderdaten
Schutz vor Manipulationen einer Applikation (bspw.: Browser) ... mittels moderner Virtualisierungstechniken
Mikrokern-Architektur
Prof . Dr. Norb ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Sicherheitsplattform Turaya
Architektur und Technologie 3/3
Sicherheitsplattform (Trusted Software Layer) Authentifikation einzelner Compartments
Binden von Daten an einzelne Compartments Trusted Path
Zwischen Anwender & Applikation / Applikation & Smartcard Sicheres Policy Enforcement
Prof . Dr. Norb ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Sicherheitsplattform / TPM
Ein Quantensprung in der IT-Sicherheit
Mit Hilfe von Sicherheitsplattformen können wir das Risiko minimieren! Minimale SW-Basis für die Kontrolle der Ressourcen
Kombiniert mit Sicherheitsanwendungen
Mit der Kombination von TPMs und einer Sicherheitsplattform, z.B.
Turaya können wir unsere IT-Systeme auf einem hohen Sicherheitslevel auf Integrität hin überprüfen und damit SW-Angriffe verhindern!
Damit erreichen wir einen Quantensprung in der IT-Sicherheit und Vertrauenswürdigkeit für unsere IT-Systeme!
Prof . Dr. Norb ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Inhalt
Motivation
Internet-Frühwarnsystem
Herausforderungen in der IT
Moderne IT-Sicherheitslösungsansätze
Ausblick
Prof . Dr. Norb ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Lage der IT Sicherheit
Ausblick
Schnellere Verbreitung von Informationen und Wissen Schnellere Innovationen
Wie schützen wir Wissen? (Trend zum freien Mitarbeiter)
Mehr Prozessoren, mehr Kommunikation Von überall auf alles Zugriff
Neue IT-Sicherheitsarchitekturen sind notwendig (Sicherer Mikrokern, Trusted Computing, …)
Sehr viel mehr Leistungen
Erzeugt mehr nutzbare künstliche Intelligenz
Jeder bekommt SW-Assistenten und kann optimierter arbeiten
Sehr viel mehr Intelligenz steht zur Verfügung
Prof . Dr. Norb ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Wir müssen etwas tun,
um unsere Zukunft sicherer und vertrauenswürdiger zu gestalten.
Dazu brauchen wir einen Quantensprung
in der Sicherheitstechnologie,
in der Vorgehensweise und
in der Zusammenarbeit mit anderen.
Die Zukunft beginnt jetzt, also lassen Sie uns anfangen!
Lage der IT Sicherheit
Institut für Internet-Sicherheit – if(is) Fachhochschule Gelsenkirchen
http://www.internet-sicherheit.de