Überblick über die aktuelle IT-Sicherheitslage - Prof. Pohlmann

(1)

Institut für Internet-Sicherheit – if(is) Fachhochschule Gelsenkirchen

http://www.internet-sicherheit.de

Prof. Dr. Norbert Pohlmann

Überblick über die aktuelle

IT-Sicherheitslage

(2)

Prof . Dr. Norb ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en

Inhalt

Motivation

Internet-Frühwarnsystem

Herausforderungen in der IT

Moderne IT-Sicherheitslösungsansätze

Ausblick

(3)

Inhalt

Motivation

Internet-Frühwarnsystem

Herausforderungen in der IT

Moderne IT-Sicherheitslösungsansätze

Ausblick

(4)

Lage der IT Sicherheit

 Motivation

Veränderung, Fortschritt, Zukunft

Entwicklung zur vernetzten Informations- und Wissensgesellschaft.

IT-Sicherheit ist eine sich verändernde Herausforderung Das Internet geht über alle Grenzen und Kulturen hinaus Zeit und Raum werden überwunden!

Die zu schützenden Werte steigen ständig

Die Werte, die wir schützen müssen, ändern sich mit der Zeit!

Die Angriffsmodelle innovieren und Angreifer werden professioneller

IT-Sicherheitsmechanismen werden komplexer, intelligenter und verteilter

(5)

Lage der IT Sicherheit

 ~ 1985: Kommunikationssicherheit

IT-Trend:

Mit dem PC kam eine Individualisierung und Dezentralisierung der IT. Der Wunsch, diese dezentralen IT-Systeme über Leitungen oder Daten-Netze, wie X.25-Netz zu verbinden.

IT-Sicherheitstrend:

Mit Leitungsverschlüsselung (Modem, 2 MBit/s, …) und

X.25-Verschlüsselungsgeräten die neuen Sicherheitsprobleme lösen.

Unsere Einstellung:

(6)

Lage der IT Sicherheit

 ~ 1995: Perimeter Sicherheit

IT-Trend:

Unternehmen haben sich ans Internet angeschlossen, um am E-Mail- und Web-System teilhaben zu können.

Zusätzlich wurden Niederlassungen über das Verbundnetz Internet einfach angebunden.

Abwehrmodell: Firewall- und VPN-Systeme Digitale Signatur, E-Mail-Sicherheit, PKI

Unsere Einstellung:

(7)

Lage der IT Sicherheit

 ~ 2005: Malware / Software-Updates

IT-Trend:

Immer mehr PCs, Notebooks, SmartPhones zunehmend über GSM, UMTS, … (an der zentralen Firewall vorbei) ins Internet

Die Anzahl der Schwachstellen durch Softwarefehler wird immer größer (die Marktführer im Bereich erkennen, dass es einen

SW-Entwicklungsprozess gibt :-) )

Verteilte Softwareangriffe mit Hilfe von Trojanischen Pferden Anti-Malware, Software-Upgrades und Personal Firewalls

Generierung der Sicherheitslage

Unsere Einstellung:

(8)

Inhalt

Motivation

Internet-Frühwarnsystem

Herausforderungen in der IT

Moderne IT-Sicherheitslösungsansätze

Ausblick

(9)

Internet-Analyse-System (IAS)

 Idee

Beobachtung der kritischen Infrastruktur „Internet“. Sonden werden an

ausgesuchten Positionen des Internets zur Erfassung von Rohdaten in die

Kommunikationsleitungen eingebunden.

Zählen von

Header-Informationen, die nicht datenschutzrelevant sind. System sammelt Informationen über einen großen Zeitraum! Ein zentrales

Auswertungssystem analysiert die Rohdaten und

Auswertungsergebnisse und stellt diese umfangreichen Ergebnisse dar.

Auswertungssystem

Sonde Sonde Sonde Sonde Internet IAS

(10)

Prof . Dr. N orb ert P ohlm ann, Insti tut für Int ernet Sich erhe it -if (is), Fachhoch schu le G elsen kirch en

Internet-Analyse-System (IAS)

 Ziele

4) Prognosen von Mustern und Angriffen 3) Erkennen von

Angriffssituationen und Anomalien

2) Überblick über den

aktuellen Zustand des Internets

1) Beschreibung von Profilen, Mustern, Technologietrends und Zusammenhängen.

Schaffung einer Wissensbasis.

(11)

Prinzip der Rohdatengenerierung

 Zählen der Header

Anzahl der Zähler z.Zt: - Max: ca. 870.000 - Real-Ø: ca. 60.000

(12)

Prinzip der Rohdatengenerierung

 Rohdaten

Alle Informationen sind absolut anonym by Design !

Zeit Zähler

(13)

Beispiele von Ergebnissen des IAS

 Wissensbasis: Erfahrungen

Transport-Protokoll Verteilung (Profil)

TCP ESP IGMP ICMP GRE UDP UDP 7% TCP 89% Wochenende

(14)

Beispiele von Ergebnissen des IAS

 Wissensbasis: Erfahrungen

SMTP Content Type 60% “text” Mails 33 % “attachments” 30%: multipart/alternative 33%: multipart/mixed 26%: text/plain 4%: text/html

(15)

Beispiele von Ergebnissen des IAS

 Angriffssituationserkennung

SMTP Content Type

Zeitweise mehr E-Mail mit content-type multipart/mixed -> Mail-Virus?

(16)

Beispiele von Ergebnissen des IAS

 Angriffssituationserkennung

PDF Spam Welle

Application/PDF

(17)

Beispiele von Ergebnissen des IAS

 Zustellung unerwünschter Werbe-E-Mails

Spamwelle

Während einer Spamwelle steigt die Anzahl der Empfänger pro E-Mail

(Entspricht nicht den in der E-Mail angezeigten Empfängern)

RCPT / (HELO + EHLO)

RCPT = Anzahl Empfänger HELO/EHLO = Begrüßung

Normal = 1,5 - 1,7 Spam ~ > 2

(18)

Beispiele von Ergebnissen des IAS

 Wissensbasis: Technologietrend

Browserverteilung (Technologietrend)

Tagesprofile, keine Serverstatistik, sondern „Leitungsstatistik“

Unterschied zwischen manueller Nutzung (z.B. Internet Explorer und Firefox) und automatischer Nutzung (z.B. wget)

zu erkennen.

Firefox

Andere (wget, etc)

Internet Explorer

Andere (wget, etc) 21 % Internet Explorer 42 % Mozilla Firefox 32 % 18

(19)

Beispiele von Ergebnissen des IAS

 Wissensbasis: Technologietrend (TLS)

6 %: RSA AES / SHA1 33%: DHE_RSA AES / SHA1 60%: RSA / RC4 / MD5

(20)

Beispiele von Ergebnissen des IAS

 Result:

Technology trend

(Firefox vs. IE)

Firefox

(21)

Beispiele von Ergebnissen des IAS

 Result:

Technology trend

(TCP Dst Port 25)

(22)

Beispiele von Ergebnissen des IAS

 Übersicht über den aktuellen Zustand

DDoS-Attacke von unbekanntem Angreifer auf den

Fachbereich Informatik der Fachhochschule Gelsenkirchen

Toleranzbereich grün

dargestellt

Abbildung 1 zeigt Zustand

vor einer DDoS-Attacke

Darstellung geringer

Soll-/Ist-Abweichungen

Abbildung 1

5 Minuten später

Deutliche Zunahme von

ICMP Echo Requests

(20°)

Deutliche Zunahme von

TCP – SYN Paketen (90°)

10 Minuten später

Hohe Auslastung von ICMP Echo Reque. und TCP SYN Paketen reduzieren

gesamten Netzwerkverkehr Anomalien bei weiteren Diensten

DNS(130°) und SMTP(230°) können ihre Arbeit nicht

mehr im normalen Maße verrichten

(23)

Prinzip der globalen Sichtweise

 Übersicht

local view P3 local view P2 local view P1 global view global view global view virtual probe Generation of global view global view

local view local view

local view

probes Central System

(24)

Protokollvergleiche/Trends

Globale Darstellung von Protokollvergleichen und Beobachtung von Trends

Globale Sicht

Lokale Sicht

11% Port 443 (TLS/SSL) 13% Port 443 (TLS/SSL)

(25)

Anomalienerkennung/Malware

(26)

Inhalt

Motivation

Internet-Frühwarnsystem

Herausforderungen in der IT

Moderne IT-Sicherheitslösungsansätze

Ausblick

(27)

Herausforderungen in der IT

 E-Mail Sicherheit

Verschlüsselte E-Mails weniger als 4 % (S/MIME, PGP, Passphrase-gestützt, …) Signaturen unter E-Mails weniger als 6 % (Finanzbereich deutlich mehr)

Spam-Anteil größer als 90 % (in der Infrastruktur)

Was kommt in der Zukunft?

DE-Mail (ab ~2010?)  Bürgerportal Gesetz?

SSL-Verschlüsselung zwischen den Gateways Zustell-Garantie

Verpflichtende Authentifizierung Sichere Dokumentenablage

(28)

Spam

 Das Problem

(29)

McColo (US ISP) taken offline

 11/11/2008

(30)

DDoS on InternetX (Schlund NS)

(31)

Herausforderungen in der IT

 Identity Management

Passworte, Passworte, Passworte, … sind das Mittel für eine Authentikation im Internet!

Identifikationsbereiche liegen im Unternehmens- und Kundenumfeld, nicht international!

Föderationen sind noch nicht verbreitet genug!

Was kommt in D?

ePA (elektronischer Personalausweis mit Authentikationsfunktion)

(32)

Herausforderungen in der IT

 Webserver Sicherheit

Schlechte Sicherheit auf den Webservern / Webseiten

Heute wird Malware hauptsächlich über Webseiten verteilt Viele Webseiten sind nicht sicher aufgebaut

Patches werden nicht oder sehr spät eingespielt (siehe Analyse if(is)) SSL nicht richtig verwendet

Gründe

Firmen geben kein Geld für IT-Sicherheit aus! Mitarbeiter haben keine Zeit (Geld)

(33)

IT Sicherheit und Vertrauenswürdigkeit

 Unser Problem (1/2)

Bugs

VPN

(34)

-Prof . Dr. Norb ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en

IT Sicherheit und Vertrauenswürdigkeit

 Unser Problem (2/2)

Wir rennen den IT-Angriffen hinterher!

Anti-Malwareprodukte reichen nicht mehr aus!

Millionen Rechner sind mit „Trojanischen Pferden“ verseucht! Sehr große Botnetze kontrollieren unsere IT-Systeme

(PCs, Notebook, …)

Unsere IT-Systeme werden fremd-gesteuert und … spammen

werden für Pfishing Angriffe genutzt! sammeln Passworte

werden als DDoS-Hilfsmittel verwendet …

(35)

IT Sicherheit und Vertrauenswürdigkeit

 Unser Ziel (1/2)

Bugs

VPN

(36)

-Prof . Dr. N orb ert P ohlm ann, Insti tut für Int ernet Sich erhe it -if (is), Fachhoch schu le G elsen kirch en

IT Sicherheit und Vertrauenswürdigkeit

 Unser Ziel (2/2)

Bugs

Sicherheitsmechanismen

-VPN

Gefahren / Angriffe

-angemessenes Sicherheitsniveau

(37)

Inhalt

Motivation

Internet-Frühwarnsystem

Herausforderungen in der IT

Moderne

IT-Sicherheitslösungsansätze

Ausblick

(38)

Sicherheitsplattform/Trusted Computing

 Motivation

Wir brauchen eine

vertrauenswürdige IT,

realisierbar durch eine

Sicherheitsplattform,

die Sicherheitsprobleme existierender Rechnersysteme löst,

bzw. die schädlichen Auswirkungen von z.B. Viren, Würmern,

Trojanern, Phishing, Exploits, SW-Updates, …, stark einschränkt.

die eine vertrauenswürdige Verarbeitung von Informationen auf

dem

eigenen

und auf

fremden

Rechnersystemen garantiert.

die die Verwendung existierender Betriebssysteme unterstützt.

die transparente Sicherheit (Vertrauenswürdigkeit) bietet.

(39)

Trusted Computing

 Idee

Trusted Computing Group (TCG):

Industriekonsortium bestehend aus den führenden 126 IT-Firmen

(Hewlett-Packard, IBM, Intel, AMD, Microsoft, Sony, Sun, Infineon, ...)

Grundmotivation

Entwicklung offener Spezifikationen für

vertrauenswürdige IT-Systeme (Server, PC, eingebettet, usw.) Sicherheit verteilter Anwendungen mit wirtschaftlich vertretbarem Aufwand verbessern

Keine massive Veränderung existierender Hard- bzw. Software

Hauptidee

Manipulationssichere Komponente in Hardware (sicherer als Software)  Stärkung gegen Software-basierte Angriffe

Sicherheit des Systems reduziert auf die Sicherheit eines Moduls

Integrität und Authentizität eines IT Systems zuverlässig überprüfbar, auch aus der Distanz

(40)

Trusted Computing

 Funktionen (1/2)

Trusted Platform Modules (TPM)

Sicherer Zufallsgenerator (sichere kryptographische Schlüssel) Kryptographische Funktionen: Signatur (RSA), Hash (SHA-1) Erzeugung verschiedener kryptographischer Schlüssel

Platform Configuration Register (PCR)  Zur Speicherung der Systemkonfiguration

Sicherer Speicher

Erzeugung sicherer kryptographischer Schlüssel und Speicherung Schlüssel im Hardwaremodul

Sealing (versiegeln)

Kryptographische Schlüssel können an das IT-System

und/oder eine bestimmte Softwarekonfiguration gebunden werden

 Schutz vor Manipulationen des Betriebssystems

(41)

Trusted Computing Group

 Funktionen (2/2)

(Remote) Attestation

Aktuelle Systemkonfiguration des IT-Systems wird dargestellt

Erkennung manipulierter IT-Systeme (Verteilte Systeme, Web-S.) Kommunikation nur mit vertrauenswürdigen IT-Systemen

Access Control

Durchsetzung von Zugriffsregeln in einem Netzwerk mit unbekannten IT-Systemen (TNC)

Überprüfbares Booten

Systemkonfiguration kann überprüft werden, z.B. mittels eines persönlichen Gerätes (Smarcard, USB-Stick, Handy, …)

Verbreitung von TPMs

60 Millionen bis Ende 2007 130 Millionen bis Ende 2008 200 Millionen bis Ende 2009

(42)

Sicherheitsplattform Turaya

 Architektur und Technologie 1/3

Herkömmliche Hardware CPU / Hardware Devices

TPM

Höchster Schutz durch hardwarebasierte Sicherheit

(43)

Sicherheitsplattform Turaya

 Architektur und Technologie 2/3

Virtualisierungslayer zur Isolation ... Schutz der Applikationen

Schutz der Anwenderdaten

Schutz vor Manipulationen einer Applikation (bspw.: Browser) ... mittels moderner Virtualisierungstechniken

Mikrokern-Architektur

(44)

Sicherheitsplattform Turaya

 Architektur und Technologie 3/3

Sicherheitsplattform (Trusted Software Layer) Authentifikation einzelner Compartments

Binden von Daten an einzelne Compartments Trusted Path

Zwischen Anwender & Applikation / Applikation & Smartcard Sicheres Policy Enforcement

(45)

Sicherheitsplattform / TPM

 Ein Quantensprung in der IT-Sicherheit

Mit Hilfe von Sicherheitsplattformen können wir das Risiko minimieren! Minimale SW-Basis für die Kontrolle der Ressourcen

Kombiniert mit Sicherheitsanwendungen

Mit der Kombination von TPMs und einer Sicherheitsplattform, z.B.

Turaya können wir unsere IT-Systeme auf einem hohen Sicherheitslevel auf Integrität hin überprüfen und damit SW-Angriffe verhindern!

Damit erreichen wir einen Quantensprung in der IT-Sicherheit und Vertrauenswürdigkeit für unsere IT-Systeme!

(46)

Inhalt

Motivation

Internet-Frühwarnsystem

Herausforderungen in der IT

Moderne IT-Sicherheitslösungsansätze

Ausblick

(47)

Lage der IT Sicherheit

 Ausblick

Schnellere Verbreitung von Informationen und Wissen Schnellere Innovationen

Wie schützen wir Wissen? (Trend zum freien Mitarbeiter)

Mehr Prozessoren, mehr Kommunikation Von überall auf alles Zugriff

Neue IT-Sicherheitsarchitekturen sind notwendig (Sicherer Mikrokern, Trusted Computing, …)

Sehr viel mehr Leistungen

Erzeugt mehr nutzbare künstliche Intelligenz

Jeder bekommt SW-Assistenten und kann optimierter arbeiten

Sehr viel mehr Intelligenz steht zur Verfügung

(48)

Wir müssen etwas tun,

um unsere Zukunft sicherer und vertrauenswürdiger zu gestalten.

Dazu brauchen wir einen Quantensprung

in der Sicherheitstechnologie,

in der Vorgehensweise und

in der Zusammenarbeit mit anderen.

Die Zukunft beginnt jetzt, also lassen Sie uns anfangen!

Lage der IT Sicherheit

(49)

Institut für Internet-Sicherheit – if(is) Fachhochschule Gelsenkirchen

http://www.internet-sicherheit.de