Lehrgang Computersicherheit 3.2 Marc Ruef [email_address] http://www.computec.ch Alle Rechte vorbehalten – Kopieren erlaubt!
Ablauf <ul><li>Vorwort </li></ul><ul><li>Hintergründe der Computerkriminalität </li></ul><ul><li>Auswertung und Scanning <...
Vorstellung <ul><li>Webmaster von  www.computec.ch </li></ul><ul><li>Buch-Autor von „Die Sicherheit von Windows“ (Astalavi...
Um was geht es eigentlich? Durch das Verständnis der Gefahren für Computersysteme sollen Gegenmassnahmen ausgearbeitet wer...
Einige Worte zum Workshop ansich <ul><li>Die kleine Kamera  rechts oben bei einer Folie deutet stets an, dass das Thema no...
Die Hintergründe der Computerkriminalität <ul><li>Geschichte der Computerkriminalität </li></ul><ul><li>Profiling – Analys...
Geschichte der Computerkriminalität <ul><li>Phone Hacker der 60er und 70er Jahre </li></ul><ul><li>Die ersten Computerhack...
Phone Hacker der 60er und 70er Jahre Die von uns heute als Hacker bezeichnete Generation von Computerbenutzern fand ihren ...
Cap‘n Crunch und das Blueboxing Dank einem mehr oder weniger exakt 2600 Hertz hohen Ton konnte man den Gebührenzähler beim...
Phreaking als Volkssport
Phreaking heute: Immer unpopulärer? <ul><li>Beigeboxing [ Phake 1998 ] </li></ul><ul><li>Wardialling [ McClure et al. 2003...
Die ersten Hacker der 70er und Anfang 80er Jahre Als Ende der 70er Jahre der Kauf und die Nutzung von Personal Computern a...
Einige Klassiker der Computerkriminalität <ul><li>1973 betrügt ein Angestellter der New York Time Savings Bank seinen Arbe...
Die neue Generation der 80er und 90er Jahre Den grössten Aufschwung, ein wahrer Boom, erlebte das Internet in den 90er Jah...
Die Kehrseite von Spieltrieb und Neugierde <ul><li>1994 wird im ersten grossen Fall von Computerkriminalität in der Tschec...
Historizismus: Was bringt die Zukunft? Die Kluft des Wissens zwischen normalen Endanwendern und spezialisierten Angreifern...
Vom CERT gemeldete Sicherheitsvorfälle (engl. Incidents) im Internet von 1988 bis 2003 Quelle:  http://www.cert.org/stats/...
Psychologische und soziologische Analyse von Angriffen <ul><li>Profiling – Was und wieso? </li></ul><ul><li>Unterscheidung...
Profiling – Was und wieso? <ul><li>Das Profiling wurde 1981 vom FBI erstmals zur traditionellen Verbrechensbekämpfung eing...
Unterscheidung nach Motiven <ul><li>Der Aggressionspsychologie entliehen lässt sich zwischen vier Angriffsmotiven in der C...
Vergeltungs-Angriffe <ul><li>Ein vorangegangenes Ereignis hat den „Angriff“ erzwungen. </li></ul><ul><ul><li>Beispiel: Wäh...
Abwehr-Angriffe <ul><li>Präventive Massnahmen sollen vor Schaden schützen </li></ul><ul><ul><li>Beispiel: Ein technisch ve...
Erlangungs-Angriffe <ul><li>Das Ziel des Angriffs ist einen Vorteil zu erlangen </li></ul><ul><ul><li>Beispiel: Ein Cracke...
Spontane Angriffe <ul><li>Für einen Angriff konnte keine klaren Ziele oder Motive ausgemacht werden </li></ul><ul><ul><li>...
Aufgabe Profiling: Analyse der Hintergründe <ul><li>Machen Sie sich Gedanken darüber, warum jemand Interesse haben könnte,...
Lösung Aufgabe Profiling <ul><li>Diskussion?! </li></ul>
Black, Grey und White Hat Hacker Hacker Cracker/Hacker (je nach Situation) Cracker Moderne „Hacker-Bezeichnung“ Schwachste...
Die Angreifertypen <ul><li>Eine Unterscheidung der Angreiferschichten durch den Bezug der verschiedenen Stufen der Entwick...
Der normale Endanwender (aka. DAUs) <ul><li>Nur sehr geringe und oberflächliche Kenntnisse der Materie </li></ul><ul><li>B...
Skript-Kiddies (engl. Script Kiddies, Abk. SK) <ul><li>Meistens zwischen 14 und 20 Jahren alt </li></ul><ul><li>Gute Allge...
Semi-professionelle Angreifer <ul><li>Meistens zwischen 20 und 25 Jahren alt </li></ul><ul><li>Benutzen Computer in ihrer ...
Professionelle Angreifer <ul><li>Eher mindestens über 25 Jahre alt </li></ul><ul><li>Üben ihre Tätigkeit beruflich aus (Si...
Vergleiche der Angreifertypen
Aufgabe Profiling: Einschätzung <ul><li>Erstellen Sie ein kleines Profil für folgendes Szenario: </li></ul><ul><ul><li>Ein...
Lösung Aufgabe Profiling: Einschätzung <ul><li>Der Angreifer gehört zum  Typ Skript-Kiddie , da er den Grossteil seines Vi...
Wer ist welchem Risiko ausgesetzt? Jedes Umfeld ist einem anderen Risiko ausgesetzt und muss auch entsprechende Gegenmassn...
Wer ist welchem Risiko ausgesetzt? (Visuelle Darstellung)
Zusammenfassung <ul><li>Der Ursprung der Computerkriminalität kann bis in die 60er Jahre im Sinne des  Phone Hackings  zur...
Literaturverweise <ul><li>Davidson, Jonathan, Fox, Tina, 1. November 2001,  Deploying Cisco Voice over IP Solutions, Cisco...
Auswertung und Scanning <ul><li>Vorwort </li></ul><ul><li>Footprinting – Sammeln von Informationen </li></ul><ul><li>Ziele...
Wichtiger Hinweis Die gezeigten Auswertungs- und Angriffsmethoden dienen den Studienzwecken, zum Verständnis der Materie u...
Footprinting – Informationen sammeln <ul><li>Was ist Footprinting? </li></ul><ul><li>Suchmaschinen abfragen </li></ul><ul>...
Was ist Footprinting? Vor einem Angriff werden so viele Informationen wie möglich über das Zielsystem gesammelt, um eine A...
Suchmaschinen abfragen Herkömmliche Suchmaschinen stellen eine durchsuchbare Datenbank mit Verweisen auf Webseiten zur Ver...
Funktionsweise automatisierter Suchmaschinen Crawler/Robot Datenbank Frontend Benutzer A www.x.com www.y.com www.z.com <ul...
Die Arbeit mit dem Suchmaschinen-Frontend
Erweiterte und boolesche Suche mit Google Beschreibung der Suchresultate Schreibweise Funktion Alle Seiten, die mit (dem S...
Aufgabe Footprinting: Suchmaschinen abfragen <ul><li>Wer findet meinen Geburtstag mittels einer Suchmaschinen-Abfrage hera...
Lösung Suchmaschinen abfragen <ul><li>Ich bin am 11. Februar 1981 geboren. (Bitte Geschenke nächstes Mal nicht vergessen!)...
Vor- und Nachteile des Footprintings mittels Suchmaschinen <ul><li>Vorteile </li></ul><ul><ul><li>Gewisse Automatisierung ...
Webseiten durchsuchen Durch das Aufsuchen entsprechend mit dem Ziel in Verbindung bringbaren Webseiten und das Durchsuchen...
Herkömmliches Surfen mit einem Webbrowser
Aufgabe Footprinting: Webseiten durchsuchen <ul><li>Rufen Sie die Webseite Ihres Unternehmens oder Ihrer Bank auf. </li></...
Lösung Aufgabe Webseiten durchsuchen <ul><li>Diskussion?! </li></ul>
HTML-Quelltext durchsuchen Durch das Anzeigen des Quelltexts kann nach „verborgenen“ Informationen (z.B. Kommentare) gesuc...
Aufgabe Footprinting: HTML-Quelltext durchsuchen <ul><li>Suchen Sie das Computec Online Adventure (COA) unter  http://www....
Lösung HTML-Quelltext durchsuchen <ul><li>Das Passwort lautete „internal“ und wird in der statischen Variable passcode des...
Suchen in der Vergangenheit <ul><li>Auf  http://web.archive.org  werden alte Webseiten-Versionen gespeichert. </li></ul>Go...
Vor- und Nachteile des Footprintings von Webseiten <ul><li>Vorteile </li></ul><ul><ul><li>Gewisse Automatisierung möglich ...
Whois-Abfragen <ul><li>Was ist whois? </li></ul><ul><ul><li>Klassischer Client/Server-Dienst des Internets </li></ul></ul>...
Whois-Abfrage bei switch.ch für computec.ch Marc Ruef Mattenstrasse 23 CH-5430 Wettingen Switzerland [email_address]
Whois-Gateways im Internet
Aufgabe Footprinting: whois-Abfragen durchführen <ul><li>Finden Sie die Inhaber der folgenden Domains heraus: </li></ul><u...
Lösung whois-Abfragen durchführen <ul><li>firewallbugs.ch gehört Marc Ruef, Wettingen, Schweiz. Die Suche kann über  www.s...
Ziele lokalisieren <ul><li>Direktverbindungen auswerten </li></ul><ul><li>Email-Header auswerten </li></ul>
IP-Adressen herausfinden <ul><li>Was ist eine IP-Adresse? </li></ul><ul><ul><li>Eindeutige „Telefonnummer“ eines mittels T...
Direktverbindungen auswerten Opfer Angreifer 1. Angreifer macht sein Angebot dem Opfer „schmackhaft“. Beispiel: Werbung, B...
Beispiel einer solchen Webserver-Auswertung
Email-Header auswerten <ul><li>Jede Mail-Zwischenstation (Mail Transfer Agents) hat seine Daten in den SMTP-Header zu spei...
Beispiel eines SMTP-Headers <ul><li>Return-Path: <thomas_muster@zbmed.de> </li></ul><ul><li>Delivered-To: marc.ruef@comput...
Reaktion mittels Zustell- und Lese-Bestätigungen forcieren
Aufgabe Footprinting: Mailheader auswerten <ul><li>Öffnen Sie Ihren Mail-Client, mit dem Sie normalerweise Ihre Emails les...
Mapping – Aktive Systeme erkennen <ul><li>Was ist Mapping? </li></ul><ul><li>Grundidee des aktiven Mappings </li></ul><ul>...
Was ist Mapping? <ul><li>Erkennen von aktiven und erreichbaren Systemen </li></ul><ul><li>Erkennen etwaiger Netzwerkproble...
Grundidee des aktiven Mappings Mapper Zielsystem Hallo, wer da? Ja, ich hör Dich. ? ! <ul><li>Mapper verschickt Reiz an da...
Klassisches Ping-Mapping <ul><li>Der Mapper verschickt interaktiv eine ICMP echo request-Anfrage an das Zielsystem. </li><...
Ping-Mapping mit Windows
Verschiedene Zustände Mapper Zielsystem 1 1 = erreichbar  2 = keine Antwort  Zielsystem 2
Gründe für ausbleibende Antwort <ul><li>Zielsystem nicht aktiv </li></ul><ul><li>Zielsystem gibt keine Antwort auf Anfrage...
Aufgabe Mapping: Ping-Mapping <ul><li>Führen Sie ein einfaches Ping-Mapping für die folgenden Hosts durch: </li></ul><ul><...
Lösung Ping-Mapping, Stand 19. April 2004 <ul><li>Ihr eigenes System 127.0.0.1 ist normalerweise erreichbar. </li></ul><ul...
Alternative Mapping-Techniken <ul><li>ICMP-Mapping </li></ul><ul><ul><li>ICMP echo request/reply </li></ul></ul><ul><ul><l...
Vergleiche der Mapping-Techniken
Portscanning <ul><li>Was ist Portscanning? </li></ul><ul><li>Full-connect TCP-Scan – Der laute Klassiker </li></ul><ul><li...
Was ist Portscanning? <ul><li>Erkennen von angebotenen Diensten </li></ul><ul><li>Erkennen von etwaigen Sicherheits-Mechan...
Was ist ein Dienst? <ul><li>Eine angebotene Netzwerkanwendung </li></ul><ul><li>Basiert meistens auf dem Client/Server-Pri...
Was ist ein Port? <ul><li>Wird von UDP und TCP zur Zuweisung von Diensten genutzt  </li></ul><ul><li>Nummerischer 16 bit W...
Einige well-known Portnummern Die von der IANA zugeteilten bzw. vorgesehenen Portnummern können im Internet unter http://w...
Funktionsweise von Ports <ul><li>Webserver-System wird gestartet </li></ul><ul><li>HTTP-Dienst wird an TCP-Port 80 gebunde...
Verbindungsaufbau von TCP Client Server SYN SYN/ACK ACK Verbindung ist etabliert und Daten können nun in dieser TCP-Sitzun...
Port-Status mittels Telnet erkennen
Aufgabe Portscanning: Portscanning mit Telnet <ul><li>Finden Sie den Portstatus für die folgenden Ziele heraus: </li></ul>...
Portscanning mittels SuperScan
Aufgabe Portscanning: Portscanning mit SuperScan <ul><li>Laden Sie sich SuperScan 3.00 von der Vortrags-Seite auf ihren Re...
Half-open SYN-Scan Client Server SYN SYN/ACK RST Zielport kann als offen vermutet werden. Verbindungs-aufbau im Rahmen von...
Exotische Scan-Techniken Client Server FIN RST Zielport kann als geschlossen vermutet werden. FIN-Scan beginnt. Client Ser...
Fingerprinting – Eingesetzte Software erkennen <ul><li>Erkennen des eingesetzten Betriebssystems </li></ul><ul><li>Erkenne...
Fingerprinting-Techniken <ul><li>Erkennen des Betriebssystems </li></ul><ul><ul><li>Analysieren der Port-Stati </li></ul><...
Analysieren der Port-Stati <ul><li>Einige Port-Stati sind charakteristisch für gewisse Betriebssysteme: </li></ul><ul><li>...
TCP/IP-Fingerprinting <ul><li>Jede TCP/IP-Implementierung weist gewisse Charakteristiken auf </li></ul><ul><li>Wird auch O...
Einige Möglichkeiten bei TCP/IP-Fingerprinting <ul><li>Einzelnes FIN-Segment (RFC793)? </li></ul><ul><ul><li>Cisco, HP/UX,...
Erkennen von Anwendungen <ul><li>Anhand charakteristischen Verhaltens </li></ul><ul><li>Anhand Banner-Grabbing </li></ul>
Charakteristische Verhalten einer Anwendung Jede Applikation verhält sich unter gewissen Bedingungen anders und lässt sich...
Beispiel eines Antiviren-Mailgateways
Banner-Grabbing Viele interaktive Netzwerkanwendungen begrüssen den Benutzer mit einer kleinen Willkommens-Meldung, die of...
Aufgabe Auswertung: Banner-Grabbing <ul><li>Führen Sie ein Banner-Grabbing für die folgenden Systeme/Dienste durch: </li><...
Lösung Banner-Grabbing <ul><li>Folgend die Auflösung, Stand 13. April 2004: </li></ul><ul><ul><li>„ telnet  ftp.debian.ch ...
Und danach: Durchsuchen von Verwundbarkeitsdatenbanken www.scip.ch www.securityfocus.com www.secunia.com www.osvdb.org
Aufgabe Auswertung: Durchsuchen von Verwundbarkeitsdatenbanken <ul><li>Suchen Sie auf  http://www.scip.ch  die Verletzbark...
Lösung Durchsuchen von Verwundbarkeitsdatenbanken <ul><li>Folgend eine Beispiellösung, Stand 13. April 2004: </li></ul><ul...
Auswerten von Zielsystemen <ul><li>Route-Traceing </li></ul><ul><li>Durchführen von ICMP timestamp-Abfragen </li></ul><ul>...
Route-Traceing Durch das Netzwerkdiagnose-Utility Traceroute kann die Route eines Pakets zu einem Ziel determiniert werden...
Aufgabe Route-Traceing: Traceroute durchführen <ul><li>Führen Sie ein einfaches traceroute für die folgenden Hosts durch: ...
Lösung Traceroute, Stand 22. April 2004 <ul><li>Ihr eigenes System 127.0.0.1 ist normalerweise direkt erreichbar. </li></u...
Durchführen von ICMP timestamp-Abfragen <ul><li>Client schickt eine ICMP timestamp request-Anfrage (Typ 13, Code 0) an den...
Analysieren von MAC-Adressen
NetBIOS-Namenstabellen auslesen <ul><li>Es wird der NetBIOS-Namensdienst (udp/137) verwendet. </li></ul><ul><li>Windows-Sy...
NetBIOS-Namenstabelle mit nbtstat auslesen
NetBIOS-Freigaben erkennen
Automatisches Suchen mittels SharesFinder
Aufgabe Auswerten: NetBIOS-Freigaben suchen <ul><li>Laden Sie sich SharesFinder von der Workshop-Webseite auf Ihren Rechne...
Zusammenfassung Auswertung und Scanning <ul><li>Beim Footprinting werden indirekt Daten über ein Zielsystem zusammengetrag...
Literaturverweise <ul><li>Arkin, Ofir, Juni 2001, ICMP Usage in Scanning,  http://www.sys-security.com </li></ul><ul><li>C...
Angriffe verstehen und durchführen <ul><li>Einführung </li></ul><ul><li>Schwache Authentisierung </li></ul><ul><li>Directo...
Ziel eines konstruktiven Angriffs Ziel eines (konstruktiven) Angriffs ist stets die Erweiterung der auferlegten Beschränku...
Schwache Authentisierung <ul><li>Durch die Authentifizierung wird die wahre Identität eines Nutzers, einer Person oder ein...
Fehlendes Passwort
Bruteforce-Attacke gegen schwache Passwörter
Anzahl Möglichkeiten durch grösseren Zeichensatz und mehr Stellen 4‘294‘967‘296 7‘311‘616 456‘976 10‘000 Möglichkeiten bei...
Sichere Passwörter <ul><li>Möglichst lang (z.B. 6 Zeichen) </li></ul><ul><li>Nutzen von Gross-/Kleinschreibung (z.B. Mhk4F...
Aufgabe Authentisierung: Sichere Passwörter <ul><li>Erstellen Sie eine temporäre NetBIOS-Freigabe für einen leeren Ordner ...
Lösung sichere Passwörter <ul><li>n = Anzahl Stellen (z.B. 4) </li></ul><ul><li>i = Anzahl Zeichen in den gewählten Bereic...
Standardkonten und –passwörter (auszugsweise und Beispiele) 1234 - ZyXell ZyWall wg - WatchGuard password admin SonicWall ...
Fehlerhafte Authentisierungs-Mechanismen Fehlerhaft programmierte Authentisierungs-Mechanismen lassen sich ganz oder teilw...
Andere Authentifizierungs-Mechanismen Biometrisch Erscheinungsbild Gesichtserkennung Biometrisch Sprache Spracherkennung H...
Gegenmassnahmen sichere Authentisierung <ul><li>Benutzer dürfen einen Dienst erst nach komplett und erfolgreich durchlaufe...
Aufgabe Authentisierung: Sichere Methode <ul><li>Welcher Authentisierungs-Mechanismus scheint bei einer korrekten Umsetzun...
Lösung Authentisierung <ul><li>Biometrische Authentifizierungs-Mechanismen lassen sich bei korrekter Umetzung theoretisch ...
Directory Traversal Schwachstellen <ul><li>Anwendungen stellen einem Benutzer normalerweise einen Zugangsbereich zur Verfü...
Beispiel eines schlecht programmierten CGI-Skripts
Austricksen des CGI-Skripts
Aufgabe CGI-Skript austricksen <ul><li>Stellen Sie mit dem Browser Ihrer Wahl eine HTTP-Verbindung zum Beispiel-Webserver ...
Gegenmassnahmen Directory Traversal <ul><li>Durch sichere Programmierung auf Server-Applikation die bösartigen Eingaben fi...
Pufferüberlauf (engl. buffer overflow) <ul><li>Nicht limitierte Variablen lassen sich überfüllen (buffer overrun). </li></...
Funktionsweise eines Pufferüberlaufs Mein Name ist Marc. Speicher Anwendung A Speicher Anwendung B cmd.exe /c notepad.exe ...
Gegenmassnahmen Pufferüberlauf <ul><li>Durch sichere Programmierung die Variablen beschränken. </li></ul><ul><li>Durch ein...
Race Condition <ul><li>Der Zustand einer Systemkomponente wird temporär anpegasst, um eine Aufgabe (z.B. Installation) umz...
Beispiel einer Race Condition während einer Installation <ul><li>Eine Datenbank soll installiert werden. </li></ul><ul><li...
Gegenmassnahmen Race Conditions <ul><li>Angreifern sollte kein Zeitfenster für unerwünschte Eingriffe gelassen werden. </l...
Cross Site Scripting (Abk. XSS oder CSS) <ul><li>Web-Applikation erlaubt Eingaben durch den Benutzer und stellt diese dar....
Gegenmassnahmen Cross Site Scripting <ul><li>Man muss unterscheiden zwischen Massnahmen des Anbieters und denjenigen des N...
Gegenmassnahmen Anbieter <ul><li>Durch sichere Programmierung auf der Web-Applikation die bösartigen Ein-/Ausgaben filtern...
Gegenmassnahmen Nutzer <ul><li>Durch sichere Programmierung auf der Applikation die bösartigen Ausgaben filtern. </li></ul...
Social Hacking <ul><li>Durch psychologische Tricks werden die Opfer überlistet, um Angriffe auf Computersysteme umzusetzen...
Beispiel einer vorgetäuschten SMTP-Sitzung <ul><li>telnet smtp.hispeed.ch 25 </li></ul><ul><li>HELO computec.ch </li></ul>...
Resultat und Erscheinungsbild der gefälschten Nachricht
Aufgabe Social Hacking: Gefälschte Email verschicken <ul><li>Stellen Sie eine Telnet-Verbindung zum SMTP-Server Ihres ISPs...
Gegenmassnahmen Social Hacking <ul><li>(Sensitive) Daten sollen und dürfen nicht nach Aussen gelangen. </li></ul><ul><li>D...
Zusammenfassung <ul><li>Ein Angreifer will Zugang erhalten oder seine Rechte erweitern. </li></ul><ul><li>Es gibt eine Vie...
Literaturverweise <ul><li>Aleph One, 8. November 1996, Smashing the Stack for Fun and Profit, Prack, Issue 49, File 14,  h...
Denial of Service <ul><li>Einführung </li></ul><ul><li>Aufbrauchen der Bandbreite </li></ul><ul><li>SYN- und TCP-Flooding ...
Einführung <ul><li>Verhindern des Nutzens eines Dienstes </li></ul><ul><li>Gilt als „destruktive Angriffsform“ </li></ul><...
Aufbrauchen der Bandbreite: David gegen Goliath Angreifer Opfer Internet 56k Modem 2Mbit DSL [Ruef 2001, Ruef et al. 2002]
SYN-Flooding Client Server SYN SYN/ACK SYN SYN SYN ... Es werden mittels SYN-Segmenten so viele Sockets auf dem Zielsystem...
Fragmentierungs-Angriffe: Normale Fragmentierung <ul><li>Sender will ein in Medium zu grosses Datenpaket verschicken. </li...
Fragmentierungs-Angriffe: Viele kleine Fragmente <ul><li>Angreifer erstellt einen Fragmentierungs-Zug, bei eine Vielzahl m...
Fragmentierungs-Angriffe: Nicht abgeschlossener Fragmentierungs-Zug <ul><li>Angreifer erstellt einen normalen Fragmentieru...
Fragmentierungs-Angriffe: Zu langer Fragmentierungs-Zug (Ping of Death) <ul><li>Angreifer erstellt einen Fragmentierungs-Z...
Fragmentierungs-Angriffe: Überlappende Fragmente (Teardrop) <ul><li>Angreifer erstellt einen Fragmentierungs-Zug, bei dem ...
Ausnutzen von Programmierfehlern: Der WinNuke-Klassiker (1997-1999) Unix/Linux und Microsoft Windows Plattform Patches, Up...
Ausnutzen von Programmierfehlern: SMBnuke und SMBdie (2002-2003) C Sprache Patches, Firewalling Gegenmassnahmen Heap-Overf...
Die Netzwerkanalyse von SMBdie Client Server Nach dem Verbindungsaufbau zum Zielport werden drei PSH-Pakete verschickt. PS...
Aufgabe Denial of Service: SMBdie-Attacke durchführen <ul><li>Bilden sie Zweiergruppen. </li></ul><ul><li>Laden Sie sich s...
Lösung SMBdie-Attacke durchführen <ul><li>Ungepatchte und nicht durch Firewalling geschützte Microsoft Windows NT 4.0 bis ...
Zusammenfassung <ul><li>Denial of Service-Attacken (Abk. DoS) zielen in destruktiver Weise darauf ab, ein System ganz oder...
Literaturverweise <ul><li>Gieseke, Wolfram, März 2001, Anti-Hacker Report, Data Becker, Düsseldorf, ISBN 3815822181, zweit...
Korrupter Programmcode <ul><li>Einführung </li></ul><ul><li>Computerviren und -würmer </li></ul><ul><li>Trojanische Pferde...
Was ist korrupter Programmcode? Korrupter oder schädlicher Programmcode hat die Eigenschaft, sich unerwünschten oder unbef...
Computerviren und -würmer <ul><li>Was ist ein Computervirus? </li></ul><ul><li>Die Geschichte der Computerviren </li></ul>...
Was ist ein Computervirus? <ul><li>Per Definition ist ein Computervirus </li></ul><ul><ul><li>„ ein sich selber reproduzie...
Geschichte der Computerviren <ul><li>1949 entwickelte der ungarische Informatiker John von Neumann (1903-1957) die erste T...
Die Virengefahr wächst unaufhörlich <ul><li>29. März 1999 - Melissa, ein Word-Makrovirus, verbreitet Angst und Schrecken i...
Aufgabe Computerviren: Analyse der Hintergründe <ul><li>Nennen Sie mögliche Gründe, warum wohl die ersten Computerviren en...
Lösung Aufgabe Computerviren: Analyse der Hintergründe <ul><li>Mögliche Gründe für Computerviren (ähnlich den besprochenen...
Funktionsweise klassischer Dateiviren <ul><li>virus.exe wird ausgeführt und sucht nach neuen Trägern </li></ul><ul><li>Vir...
Funktionsweise jüngerer Mail-Würmer Bill Andrea David Carol <ul><li>A schickt einen Computervirus an C und D. </li></ul><u...
Gegenmassnahmen <ul><li>Vorsicht bei Dateien und Datenträgern unbekannter, unerwünschter oder zwielichtiger Herkunft. </li...
Funktionsweise von Antiviren-Lösungen <ul><li>Pattern-Matching </li></ul><ul><ul><li>Die Antiviren-Software durchsucht Dat...
Aufgabe Computerviren: Technische Analyse eines Computervirus <ul><li>Laden Sie sich den Pseudo-Virus von der Vorlesungs-W...
Lösung Computerviren: Technische Analyse eines Computervirus <ul><li>Im Virus ist der Text „Trööt, MARC wants a CAKE!“ ent...
Aufgabe Computerviren: Antiviren-Software installieren <ul><li>Falls Sie schon eine Antiviren-Lösung auf Ihrem Rechner ins...
Was tun bei Virenfund? <ul><li>Suchen des Virennamen in Suchmaschinen und Viren-Datenbanken. </li></ul><ul><li>Bestätigen ...
Aufgabe Computerviren: Informieren über Computervirus  <ul><li>Ihre Antiviren-Lösung meldet beim Zugriff auf eine EXE-Date...
Lösung Informieren über Computervirus <ul><li>Der besagte korrupte Programmcode kann in den Viren-Datenbanken der grossen ...
Trojanische Pferde und Hintertüren <ul><li>Klassische Trojanische Pferde </li></ul><ul><li>Moderne Remote-Control-Programm...
Was ist ein Trojanisches Pferd? Per Definition ist ein Trojanisches Pferd eine Software, die ohne das Wissen und Einverstä...
Klassische Trojanische Pferde 11110111010011011101110100101010010101010101011101110100110101110111010010101001010101010101...
Moderne Remote-Control-Tools Angreifer Opfer <ul><li>Der Angreifer sorgt dafür, dass auf dem System des Opfers heimlich ei...
Der Server von NetBus Pro 2.01
Der Client von NetBus Pro 2.01
Aufgabe Trojanische Pferde: NetBus ausprobieren <ul><li>Deaktivieren Sie temporär Ihre Antiviren-Software, um die Übung zu...
Aufgabe Backdoors: Gegenmassnahmen Backdoors <ul><li>Beantworten Sie die folgenden Fragen: </li></ul><ul><ul><li>Wie würde...
Laufende Prozesse analysieren
Port-Stati analysieren
Portbelegung analysieren
Aufgabe Backdoors: Hintertür analysieren <ul><li>Starten Sie den Server-Teil des zuvor heruntergeladenen Remote-Control-Pr...
Gegenmassnahmen Remote-Control-Programme <ul><li>Der Zugriff durch Remote-Control-Programme kann mittels Firewall limitier...
Hoax‘ <ul><li>Was ist ein Hoax? </li></ul><ul><li>Verbreitung eines Hoax‘ </li></ul><ul><li>Was tun bei einem vermeintlich...
Was ist ein Hoax? <ul><li>Ein Hoax ist eine Falschmeldung, die zum Zweck geschrieben wurde, dass sie durch arglose Benutze...
Verbreitung eines Hoax‘
Was tun bei einem vermeintlichen Hoax? <ul><li>Lesen Sie das Schreiben sehr kritisch durch. </li></ul><ul><li>Mails, die e...
Aufgabe Hoax: Email analysieren <ul><li>Was können Sie über das folgende Email herausfinden? </li></ul><ul><ul><li>Ich wen...
Lösung Email analysieren <ul><li>Es handelt sich um einen erstmal im Ende 2000 aufgetauchter Knochenspender-Kettenbrief. <...
Zusammenfassung <ul><li>Computerviren sind sich selber reproduzierende Programme. </li></ul><ul><li>Ein Trojanisches Pferd...
Literaturverweise <ul><li>Gieseke, Wolfram, März 2001, Anti-Hacker Report, Data Becker, Düsseldorf, ISBN 3815822181, zweit...
Firewall-Systeme <ul><li>Einführung </li></ul><ul><li>Paket Filter </li></ul><ul><li>Application Gateways und Proxies </li...
Was ist eine Firewall? Die Brandschutzmauer limitiert Auswirkungen von Bränden Firewalls (Abk. FW) sind eine Kombination a...
Aufgabe Firewalling: Wohin mit dem Pförtner? <ul><li>Sie haben die Aufgabe das folgende Gebäude durch einen Pförtner zu si...
Beispiel von klassischem Inline-Firewalling Ein Firewall-System wird quasi als Schranke zwischen das zu schützende und das...
Lehrgang Computersicherheit
Lehrgang Computersicherheit
Lehrgang Computersicherheit
Lehrgang Computersicherheit
Lehrgang Computersicherheit
Lehrgang Computersicherheit
Lehrgang Computersicherheit
Lehrgang Computersicherheit
Lehrgang Computersicherheit
Lehrgang Computersicherheit
Lehrgang Computersicherheit
Lehrgang Computersicherheit
Lehrgang Computersicherheit
Lehrgang Computersicherheit
Lehrgang Computersicherheit
Lehrgang Computersicherheit
Lehrgang Computersicherheit
Lehrgang Computersicherheit
Lehrgang Computersicherheit
Lehrgang Computersicherheit
Lehrgang Computersicherheit
Lehrgang Computersicherheit
Lehrgang Computersicherheit
Lehrgang Computersicherheit
Lehrgang Computersicherheit
Lehrgang Computersicherheit
Lehrgang Computersicherheit
Lehrgang Computersicherheit
Lehrgang Computersicherheit
Lehrgang Computersicherheit
Lehrgang Computersicherheit
Lehrgang Computersicherheit
Lehrgang Computersicherheit
Lehrgang Computersicherheit
Lehrgang Computersicherheit
Lehrgang Computersicherheit
Lehrgang Computersicherheit
Lehrgang Computersicherheit
Lehrgang Computersicherheit
Lehrgang Computersicherheit
Lehrgang Computersicherheit
Upcoming SlideShare
Loading in …5
×

Lehrgang Computersicherheit

7,056 views
6,876 views

Published on

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
7,056
On SlideShare
0
From Embeds
0
Number of Embeds
6
Actions
Shares
0
Downloads
44
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide
  • Kurz auf die einzelnen Punkte eingehen, und wie sie das Sicherheitsbewusstsein damals verändert haben.
  • Spieltrieb und Neugierde der Script-Kiddies hat Kosten für Industrie und Wirtschaft verursacht.
  • Die Anzahl der vom CERT gemeldeten Sicherheitsvorfälle im Internet hat sich ins Unermessliche gesteigert.
  • Lehrgang Computersicherheit

    1. 1. Lehrgang Computersicherheit 3.2 Marc Ruef [email_address] http://www.computec.ch Alle Rechte vorbehalten – Kopieren erlaubt!
    2. 2. Ablauf <ul><li>Vorwort </li></ul><ul><li>Hintergründe der Computerkriminalität </li></ul><ul><li>Auswertung und Scanning </li></ul><ul><li>Angriffe verstehen und durchführen </li></ul><ul><li>Denial of Service </li></ul><ul><li>Korrupter Programmcode </li></ul><ul><li>Firewall-Systeme </li></ul><ul><li>Elektronische Einbruchserkennung </li></ul><ul><li>Security Auditing </li></ul><ul><li>Nachwort </li></ul>
    3. 3. Vorstellung <ul><li>Webmaster von www.computec.ch </li></ul><ul><li>Buch-Autor von „Die Sicherheit von Windows“ (Astalavista) und „Hacking Intern“ (Data Becker) </li></ul><ul><li>Buch-Übersetzung Englisch/Deutsch der dritten Auflage von „Network Intrusion Detection“ (Hüthig Verlag) </li></ul><ul><li>Diverse Artikel zu den Themen Informatik und IT-Sicherheit (ca. 160, Stand 2005/04) </li></ul><ul><li>Gastdozent zum Thema IT-Sicherheit an diversen Universitäten und Hochschulen </li></ul><ul><li>Entwickler des offenen Exploiting Frameworks „Attack Tool Kit“ </li></ul>Mehr Infos unter http://www.computec.ch/mruef/ Musik, Literatur und Informatik Ich mag keine ungeraden Zahlen; es sei denn es handelt sich um ein-/zweistellige Primzahlen! Hobbies Projekte (kleine Auswahl) Security Consultant, scip AG, Zürich, www.scip.ch Beruf Marc Ruef Name
    4. 4. Um was geht es eigentlich? Durch das Verständnis der Gefahren für Computersysteme sollen Gegenmassnahmen ausgearbeitet werden können. Es sollen keine vorgefertigten Patentrezepte gezeigt, sondern Methoden vermittelt werden. Was der Teilnehmer des Kurses aus diesen macht, ist schlussendlich ihm überlassen. Kreativität ist ein Muss!
    5. 5. Einige Worte zum Workshop ansich <ul><li>Die kleine Kamera rechts oben bei einer Folie deutet stets an, dass das Thema noch animiert visuell dargestellt wird. </li></ul><ul><li>Individuelle und kollektive Arbeit ist im Workshop unabdingbar. </li></ul><ul><li>Workshop-Webseite unter http://www.computec.ch/mruef/publikationen/lehrgang_computersicherheit/ einsehen und Lesezeichen setzen. </li></ul><ul><li>Bitte die Umfrage auf der Workshop-Webseite durchführen. </li></ul>
    6. 6. Die Hintergründe der Computerkriminalität <ul><li>Geschichte der Computerkriminalität </li></ul><ul><li>Profiling – Analyse eines Angreifers </li></ul><ul><li>Angriffsmotive – Gründe für Übergriffe </li></ul><ul><li>Ethik und Moral </li></ul><ul><li>Angreifertypen – Potential und Risiko </li></ul><ul><li>Charakterentwicklung </li></ul><ul><li>Wer ist welchem Risiko ausgesetzt? </li></ul><ul><li>Zusammenfassung </li></ul><ul><li>Literaturverweise </li></ul>„ Man fürchtet, was man nicht versteht.“ - Ernst Freiherr von Feuchtersleben (1806 - 1849), österreichischer Popularphilosoph, Arzt, Lyriker und Essayist
    7. 7. Geschichte der Computerkriminalität <ul><li>Phone Hacker der 60er und 70er Jahre </li></ul><ul><li>Die ersten Computerhacker der 70er und Anfang 80er Jahre </li></ul><ul><li>Die neue Generation der 80er und 90er Jahre </li></ul><ul><li>Historizismus: Was bringt die Zukunft? </li></ul>
    8. 8. Phone Hacker der 60er und 70er Jahre Die von uns heute als Hacker bezeichnete Generation von Computerbenutzern fand ihren Ursprung in den 60er und 70er Jahren. Damals konzentrierte sich eine kleine Gruppe von Technikwütigen auf die Schwachstellen der Telefonsysteme, um solche zu ihrem technisch-spielerischen oder finanziellen Vorteil nutzen zu können [ Zimmermann 1997 , Moschitto et al. 2000 , Ruef 2002 ]. Diese Personen werden als Phreaker bezeichnet, ein Kunstwort aus „Phone“ und „Hacking“.
    9. 9. Cap‘n Crunch und das Blueboxing Dank einem mehr oder weniger exakt 2600 Hertz hohen Ton konnte man den Gebührenzähler beim CCITT5-Standard manuell deaktivieren um Kosten zu sparen [ Zimmermann 1997 ]. John Draper, einer der ersten Apple-Mitarbeiter, entwickelte 1970 die erste Bluebox, dank der man den Gebührenzähler von AT&T auszutricksen konnte [ Moschitto et al. 2000 ].
    10. 10. Phreaking als Volkssport
    11. 11. Phreaking heute: Immer unpopulärer? <ul><li>Beigeboxing [ Phake 1998 ] </li></ul><ul><li>Wardialling [ McClure et al. 2003 ; siehe auch War-Games 1983 ] </li></ul><ul><li>Carding und Chipkarten-Hacking [ Ruef 2000a, 2000b , Rankl et al. 2002 ] </li></ul><ul><li>ISDN-Hacking [ Ferreau 1997 ] </li></ul><ul><li>Sprachmailbox-Hacking [ Ruef et al. 2004 ] </li></ul><ul><li>Voice-over-IP Hacking [ Davidson et al. 2001 , Maguire 2004 , Tanase 2004 ] </li></ul>
    12. 12. Die ersten Hacker der 70er und Anfang 80er Jahre Als Ende der 70er Jahre der Kauf und die Nutzung von Personal Computern auch für Privatpersonen interessant wurde, begann sich die erste Computerhacker-Generation zu formen. 5310192 ICQ UIN [email_address] Email <ul><li>Mitunter Populärster Phreaker </li></ul><ul><li>Entwickler der ersten Bluebox </li></ul><ul><li>Einer der ersten Mitarbeiter bei Apple </li></ul>Verdienste http:// www.webcrunchers.com/crunch/ Webseite US-Amerikaner Nationalität John T. Draper Name Seit 1967 bei Bell Telephone Laboratories im Computing Sciences Research Center Beruf 9. September 1941, Bronxville, New York Geburtstag [email_address] Email <ul><li>Mitentwicklung des ersten UNIX </li></ul><ul><li>Co-Autor des ersten „Unix Programmer‘s Manual“ (1971) </li></ul><ul><li>Mitentwicklung der Programmiersprache C </li></ul><ul><li>Co-Autor des legänderen Buchs „The C Programming Language“ </li></ul>Verdienste http:// www.cs.bell-labs.com/who/dmr/ Webseite US-Amerikaner Nationalität Dennis MacAlistair Ritchie Name Seit 1967 bei Bell Telephone Laboratories im Computing Sciences Research Center Beruf 9. September 1941, Bronxville, New York Geburtstag [email_address] Email <ul><li>Mitentwicklung des ersten UNIX </li></ul><ul><li>Co-Autor des ersten „Unix Programmer‘s Manual“ (1971) </li></ul><ul><li>Mitentwicklung der Programmiersprache C </li></ul><ul><li>Co-Autor des legänderen Buchs „The C Programming Language“ </li></ul>Verdienste http:// www.cs.bell-labs.com/who/dmr/ Webseite US-Amerikaner Nationalität Dennis MacAlistair Ritchie Name Von 1969 bis 1. Dezember 2001 bei Bell Telephone Laboratories; zur Zeit im Ruhestand Beruf 1943, New Orleans, Louisiana, USA Geburtstag <ul><li>Mitentwicklung des ersten UNIX </li></ul><ul><li>Turing-Award in 1983 für die UNIX-Entwicklung </li></ul><ul><li>Entwicklung der Programmiersprache B </li></ul><ul><li>Mitentwicklung der Programmiersprache C </li></ul><ul><li>Mitautor des legendären Buchs „The C Programming Language“ </li></ul><ul><li>Mitentwicklung des Betriebssystems Plan 9 </li></ul>Verdienste US-Amerikaner Nationalität Kenneth „Ken“ Thompson Name http://www.postel.org/postel.html Webseite 16. Oktober 1998 in Santa Monica Todestag Assistent beim ARPAnet, Mitentwickler des Internets, Direktor der Internet Assigned Numbers Authority (IANA) Beruf 6. August 1943 Geburtstag <ul><li>Mitentwicklung der Adressierung im Internet </li></ul><ul><li>Gründer der Internet Society und des Internet Architecture Board (IAB) </li></ul><ul><li>Massgebliche Mitentwicklung der TCP/IP-Familie </li></ul><ul><li>Herausgeber der Request for Comments (RFC) </li></ul><ul><li>Auszeichnung durch die International Telecommunication Union für die Internet-Entwicklung </li></ul>Verdienste US-Amerikaner Nationalität Jonathan „Jon“ Bruce Postel Name Eigentlich keine; für seine Buchreihe TAoCP [email_address] Email http://www-cs-faculty.stanford.edu/~ knuth/ Webseite Eremitierter Professor für Informatik an der Stanford University, USA Beruf 10. Januar 1938, Milwaukee, Wisconsin, USA Geburtstag <ul><li>Entwicklung von (La)TeX und Metafont </li></ul><ul><li>Autor der legendären Buchreihe „The Art of Computer Programming“ </li></ul><ul><li>Autor vieler anderer Bücher über Informatik </li></ul><ul><li>Entwickler des fiktiven Prozessors (MI)MIX </li></ul><ul><li>Unter anderem den Erhalt des Turing-Awards </li></ul>Verdienste US-Amerikaner Nationalität Donald Ervin Knuth Name [email_address] Email http:// www.stallman.org/ Webseite Präsident der Free Software Foundation Beruf 16. März 1953, Manhatten, New York City Geburtstag <ul><li>Gründer des GNU-Projekts </li></ul><ul><li>Entwicklung der freien Textverarbeitung GNU Emacs </li></ul><ul><li>Entwicklung der GNU Bash </li></ul><ul><li>Entwicklung des freien C-Compilers GNU gcc </li></ul><ul><li>Preisträger des MacArthur Fellowship Awards, des Grace Murray Hopper Award der Association for Computing Machinery (ACM) sowie einer der Empfänger des Takeda Foundation Award </li></ul>Verdienste US-Amerikaner Nationalität Richard Matthew Stallman Name http:// www.woz.org/ Webseite Firmenleiter Beruf 11. August 1950 Geburtstag <ul><li>Mitbegründer von Apple Computers </li></ul><ul><li>Baute eigenhändig Apple I Computer </li></ul><ul><li>Entwickelte Integer Basic, ein eigenes Diskettenlaufwerk und das Betriebssystem Apple DOS </li></ul><ul><li>Mitbegründete das Tech Museum, das Silicon Valley Ballet und das Children's Discovery Museum in San Jose </li></ul>Verdienste US-Amerikaner Nationalität Steve Wozniak Name http ://www.microsoft.com/billgates/default.asp Webseite Leitender Software-Architekt von Microsoft und Eigentümer von Corbis Beruf 28. Oktober 1955, Seattle, USA Geburtstag <ul><li>Mitbegründer von Microsoft </li></ul><ul><li>Mitentwicklung von Microsoft-Software </li></ul>Verdienste US-Amerikaner Nationalität William „Bill“ Henry Gates III Name
    13. 13. Einige Klassiker der Computerkriminalität <ul><li>1973 betrügt ein Angestellter der New York Time Savings Bank seinen Arbeitgeber um 1 Million US$. </li></ul><ul><li>1980 gelingt dem sechzehnjährigen Kevin Mitnick mit seiner Roscoe-Bande ein Einbruch in US Leasing [ Shimomura et al. 1996 , Mitnick et al. 2002 ]. </li></ul><ul><li>1984 stellt der Berliner Chaos Computer Club (CCC) den BTX-Hack vor. [ Schmid et al. 1998 ] </li></ul><ul><li>1987 dringen Mitglieder des Berliner Chaos Computer Clubs in das SPAN-Netzwerk der NASA ein [ Wieckmann 1998 ]. </li></ul><ul><li>1988 infiziert das Wurmprogramm von Robert Tappan Morris innerhalb weniger Stunden 6‘000 Internet-Hosts. [ Stoll 1998 ] </li></ul>
    14. 14. Die neue Generation der 80er und 90er Jahre Den grössten Aufschwung, ein wahrer Boom, erlebte das Internet in den 90er Jahren. Vor allem die deutschsprachige Hacker-Szene nahm unvorhersehbare Dimensionen an. Hacker-Vereinigungen wie die Kryptocrew (KC) oder Parallel Minds (PM) machen sich neben dem Chaos Computer Club (CCC) stark und vertreten das anarchistische Lebensgefühl einer jungen Generation [ Wieckmann 1998 , Rogge 2001 ]. <ul><li>Mitbegründer des Chaos Computer Clubs (CCC) </li></ul><ul><li>Vermächtnis durch die Wau Holland Stiftung </li></ul>Verdienste Deutscher Nationalität Wau Holland Name <ul><li>Mitbegründer des Chaos Computer Clubs (CCC) </li></ul><ul><li>Pressesprecher des CCC </li></ul>Verdienste Deutscher Nationalität Andy Müller Maghun Name <ul><li>Entwickler des open-source Vulnerability Scanners Nessus </li></ul>Verdienste Franzose Nationalität Renaud Deraison Name http ://www.nessus.org Webseite <ul><li>Entwickler des open-source Scanners nmap (Network Mapper) </li></ul>Verdienste Russe Nationalität „ Fyodor“ Name http ://www.insecure.org Webseite <ul><li>Entwickler des open-source Intrusion Detection-Systems Snort </li></ul>Verdienste US-Amerikaner Nationalität Marty Roesch Name http ://www.snort.org Webseite
    15. 15. Die Kehrseite von Spieltrieb und Neugierde <ul><li>1994 wird im ersten grossen Fall von Computerkriminalität in der Tschechischen Republik Martin Janku zu acht Jahren Gefängnis verurteilt. </li></ul><ul><li>1995 wird nach zweijähriger Fahndung Amerikas Superhacker Kevin Mitnick vom FBI verhaftet [ Shimomura et al. 1996 , Mitnick et al. 2002 ]. </li></ul><ul><li>1998 wird das Trojanische Pferd BackOrifice (BO) veröffentlicht. Weitere Software dieser Art folgen (u.a. NetBus und SubSeven). [ McClure et al. 2003 , Ruef 2001 ] </li></ul><ul><li>2000 werden Distributed Denial of Service-Attacken diversen grossen Internet-Firmen (z.B. eBay und Yahoo) zum Verhängnis. </li></ul>Kevin Mitnick, Einbruch in eine Vielzahl Computer-systeme Ehud Tenenbaum, Einbrüche in amerikanische Militärsysteme David Smith, Entwickler des Melissa-Virus Mixter, Entwickler des DDoS-Tools Tribe Flood Network
    16. 16. Historizismus: Was bringt die Zukunft? Die Kluft des Wissens zwischen normalen Endanwendern und spezialisierten Angreifern wird immer grösser [ Northcutt et al. 2002 , Ruef 2004 ]. Schwachstellen werden aufgrund der Zunahme des Verständnisses der Materie und der Weiterentwicklung der Technologien immer schwieriger auszunutzen, sind dafür aber auch wegen ihrer Raffiniertheit und Komplexität immer aufwendiger abzuwehren.
    17. 17. Vom CERT gemeldete Sicherheitsvorfälle (engl. Incidents) im Internet von 1988 bis 2003 Quelle: http://www.cert.org/stats/cert_stats.html
    18. 18. Psychologische und soziologische Analyse von Angriffen <ul><li>Profiling – Was und wieso? </li></ul><ul><li>Unterscheidung nach Motiven </li></ul><ul><li>Die Agreifertypen </li></ul><ul><li>Wer ist welchem Risiko ausgesetzt? </li></ul>
    19. 19. Profiling – Was und wieso? <ul><li>Das Profiling wurde 1981 vom FBI erstmals zur traditionellen Verbrechensbekämpfung eingesetzt [ Harbort 2003 ]. </li></ul><ul><li>Dank moderner Firewall- und Intrusion Detection-Systeme, sowie Protokoll-Dateien kann Profiling auch bei Computerkriminalität betrieben werden [ Ruef 2002 , 2003 , 2004a , 2004b ]. </li></ul><ul><li>Um sich vor Übergriffen zu schützen, gilt es Angreifer und Angriffe zu verstehen [ Ruef et al. 2002 ]. </li></ul><ul><li>Sind einem die Angreifertypen und ihre Absichten bewusst, kann sich auf das Errichten spezifischer Gegenmassnahmen konzentriert werden [ Ruef 2004a ]. </li></ul>
    20. 20. Unterscheidung nach Motiven <ul><li>Der Aggressionspsychologie entliehen lässt sich zwischen vier Angriffsmotiven in der Computerkriminalität unterscheiden [ Nolting 1997 ]: </li></ul><ul><ul><li>Vergeltungs-Angriffe </li></ul></ul><ul><ul><li>Abwehr-Angriffe </li></ul></ul><ul><ul><li>Erlangungs-Angriffe </li></ul></ul><ul><ul><li>Spontane Angriffe </li></ul></ul>
    21. 21. Vergeltungs-Angriffe <ul><li>Ein vorangegangenes Ereignis hat den „Angriff“ erzwungen. </li></ul><ul><ul><li>Beispiel: Während einer hitzigen Diskussion in einem Chat-Raum sind verbale Beleidigungen gemacht worden, die es zu sühnen gilt.  Angriff durch Provokation. </li></ul></ul><ul><li>Nach einer „angemessenen“ Vergeltung lässt der Täter vom Opfer ab [ Fromm 1973 ]. </li></ul>Person A Person B Provokation A B Technischer Angriff B A <ul><li>Person A provoziert mit A B Person B (z.B. verbale Beleidigung). </li></ul><ul><li>Person B führt einen technischen Angriff B A gegen Person A aus. </li></ul><ul><li>Falls Vergeltung B A angemessen erfolgreich, Täter B lässt bis auf weiteres von Opfer A ab. </li></ul>
    22. 22. Abwehr-Angriffe <ul><li>Präventive Massnahmen sollen vor Schaden schützen </li></ul><ul><ul><li>Beispiel: Ein technisch versierter Mitarbeiter löscht sämtliche Daten auf dem Mailserver, da dubiose Post ihn belasten könnte.  Abwehr von Repressalien. </li></ul></ul><ul><li>Ist das Ziel erreicht, die Abwehr erfolgreich, wird sich der Angreifer wieder passiv verhalten [ Fromm 1973 ]. </li></ul>Objekt A Person B Gefahr durch Objekt A Technischer Angriff B A <ul><li>Objekt A stellt eine Gefahr für Person B dar (z.B. belastendes Email). </li></ul><ul><li>Person B führt einen technischen Angriff B A gegen Objekt A aus. </li></ul><ul><li>Falls Gefahr A abgewehr, Täter B lässt bis auf weiteres von A ab. </li></ul>
    23. 23. Erlangungs-Angriffe <ul><li>Das Ziel des Angriffs ist einen Vorteil zu erlangen </li></ul><ul><ul><li>Beispiel: Ein Cracker stiehlt eine beachtliche Summe Geld durch einen Computereinbruch bei einer Bank.  Finanzielle Erlangung. </li></ul></ul><ul><ul><li>Beispiel: Ein Hacker verunstaltet eine Webseite, um vor seinen Freunden anzugeben.  Emotionale bzw. soziale Erlangung. </li></ul></ul><ul><li>Solcherlei Angriffe sind immer sehr individuell in Form und Motiv [ Harbort 2003 ]. </li></ul>Person A Objekt B Technischer Angriff A B <ul><li>Person A führt einen technischen Angriff A B gegen Objekt B durch. </li></ul><ul><li>Person A erhält von Gruppe C Zuspruch C A dafür. </li></ul><ul><li>Falls Erlangung erfolgreich, Täter A lässt bis auf weiteres von B ab. </li></ul>Gruppe C Zuspruch C A
    24. 24. Spontane Angriffe <ul><li>Für einen Angriff konnte keine klaren Ziele oder Motive ausgemacht werden </li></ul><ul><ul><li>Beispiel: Ein anonymer Cracker verunstaltet eine private und „belanglose“ Webseite. </li></ul></ul><ul><li>Spontane Angriffe gibt es meines Erachtens nicht. Denn nur weil kein Ziel oder Motiv erkennbar ist, heisst es noch lange nicht, dass es keines gibt. [ Harbort 2003 ] </li></ul>Person A Objekt B Spontaner Angriff A B <ul><li>Person A führt einen technischen Angriff A B gegen Objekt B aus. </li></ul><ul><li>Motivation und Ziele des Angriffs A B scheinen nicht ersichtlich und er gilt daher als „spontan“. </li></ul>
    25. 25. Aufgabe Profiling: Analyse der Hintergründe <ul><li>Machen Sie sich Gedanken darüber, warum jemand Interesse haben könnte, eine neue Sicherheitslücke in einem Produkt zu finden. </li></ul><ul><ul><li>Wie würde der von Ihnen charakterisierte Angreifer nun mit der neuen Erkenntnis umgehen? </li></ul></ul><ul><ul><li>Welcher Umgang mit den exklusiven Informationen ist für ihn und seine Mitmenschen wünschenswert? </li></ul></ul>
    26. 26. Lösung Aufgabe Profiling <ul><li>Diskussion?! </li></ul>
    27. 27. Black, Grey und White Hat Hacker Hacker Cracker/Hacker (je nach Situation) Cracker Moderne „Hacker-Bezeichnung“ Schwachstelle publizieren und an Gegenmass-nahmen arbeiten Schwachstelle publizieren und ausnutzen Schwachstelle geheimhalten und ausnutzen Vorgehen Gutwillig; zum gleichen Vorteil für alle Bös-/Gutwillig; mitunter zum eigenen Vorteil Böswillig; nur zum eigenen Vorteil Absicht Grey Hat Black Hat White Hat Bezeichnung Anmerkung: Red Hat Linux ist eine populäre Linux-Distribution und hat nichts in diesem Sinn mit den Absichten von Hackern zu tun.
    28. 28. Die Angreifertypen <ul><li>Eine Unterscheidung der Angreiferschichten durch den Bezug der verschiedenen Stufen der Entwicklung liegt nahe [ Ruef 2002 ]: </li></ul><ul><ul><li>Normaler Endanwender </li></ul></ul><ul><ul><li>Script-Kiddie </li></ul></ul><ul><ul><li>Semi-professioneller Angreifer </li></ul></ul><ul><ul><li>Professioneller Angreifer </li></ul></ul>
    29. 29. Der normale Endanwender (aka. DAUs) <ul><li>Nur sehr geringe und oberflächliche Kenntnisse der Materie </li></ul><ul><li>Berufliche Tätigkeit meist ohne oder nur mit geringem Einsatz technischer Geräte </li></ul><ul><li>Aufgrund fehlender Kompetenz nicht sonderlich gefährlich </li></ul><ul><li>Seine Gefahr geht eher von Unwissen und Unbeholfenheit aus </li></ul><ul><li>Angriffe meist sehr primitiv und daher leicht zu erkennen bzw. abzuwehren </li></ul>
    30. 30. Skript-Kiddies (engl. Script Kiddies, Abk. SK) <ul><li>Meistens zwischen 14 und 20 Jahren alt </li></ul><ul><li>Gute Allgemeinkenntnisse der Computermaterie, jedoch meistens nur vergleichsweise oberflächliches Halbwissen </li></ul><ul><li>Führen relativ simple und veraltete Angriffe durch </li></ul><ul><li>Greifen meist auf Ideen anderer zurück und setzen diese für ihre Zwecke um </li></ul><ul><li>Benutzen vorwiegend automatisierte Angriffstools </li></ul><ul><li>Aufgrund ihrer Unberechenbarkeit für ungeschützte Bereiche gefährlich </li></ul>
    31. 31. Semi-professionelle Angreifer <ul><li>Meistens zwischen 20 und 25 Jahren alt </li></ul><ul><li>Benutzen Computer in ihrer beruflichen Tätigkeit oder würden dies gerne tun </li></ul><ul><li>Sie haben Angriffe auf Computersysteme zu ihrem Hobby erkoren </li></ul><ul><li>Sehr gute Kenntnisse in vielen Bereichen; vor allem jene, die sie interessieren </li></ul><ul><li>Kompetenz und Ausdauer machen sie zu einem ernstzunehmenden Gegner </li></ul>
    32. 32. Professionelle Angreifer <ul><li>Eher mindestens über 25 Jahre alt </li></ul><ul><li>Üben ihre Tätigkeit beruflich aus (Sicherheitsberater, Geheimdienste, usw.) </li></ul><ul><li>Ein Höchstmass an Kompetenz macht sie zu einer superlativen Gefahr für Systeme </li></ul><ul><li>Sind in der Lage spezialisierte, optimierte und neuartige Angriffe umzusetzen </li></ul><ul><li>Zielsicheres und souveränes Vorgehen ermöglichen durchschlagskräftige, schwer erkennbare und abwehrbare Attacken </li></ul>
    33. 33. Vergleiche der Angreifertypen
    34. 34. Aufgabe Profiling: Einschätzung <ul><li>Erstellen Sie ein kleines Profil für folgendes Szenario: </li></ul><ul><ul><li>Ein 16-jähriger Schüler schreibt während des Informatik-Unterrichts mittels Visual Basic for Applications (VBA) einen kleinen Word Makro Virus. Dazu kopiert er grosse Teile des altbekannten Melissa-Wurms in sein Programm. Der neue Wurm verschickt sich innerhalb des Schulnetzwerks an alle gespeicherten Kontakte im Outlook-Adressbuch, enthält keine Schadensroutine und gibt alle paar Minuten nur eine kleine Meldung aus („I own you!“). </li></ul></ul><ul><li>Beantworten Sie die folgenden Fragen: </li></ul><ul><ul><li>Zu welchem Charaktertyp kann der Angreifer zugewiesen werden? </li></ul></ul><ul><ul><li>Welche Gefahr geht vom Angreifer aus? </li></ul></ul><ul><ul><li>Wie gross ist sein technisches Verständnis? </li></ul></ul><ul><ul><li>Wie sehen wohl seine ethischen Grundsätze aus? </li></ul></ul><ul><ul><li>Was ist die mögliche Motivation für sein Handeln? </li></ul></ul>
    35. 35. Lösung Aufgabe Profiling: Einschätzung <ul><li>Der Angreifer gehört zum Typ Skript-Kiddie , da er den Grossteil seines Virus von einem bestehenden Makro übernommen hat. </li></ul><ul><li>Die durch den Angreifer gegebene Gefahr ist relativ gering, da altbekannte Routinen genutzt werden und keine destruktive Schadensroutine ihren Einsatz findet. </li></ul><ul><li>Das technische Verständnis ist nicht besonders ausgeprägt, da ein ineffizienter Makro-Virus geschrieben wurde. </li></ul><ul><li>Da keine destruktive Schadensroutine eingesetzt wird, scheinen die ethischen Grundsätze des Angreifers gegen das Zerstören von fremden Daten zu sprechen. </li></ul><ul><li>Die Motivation wird voraussichtlich die Erlangung sozialer Anerkennung bei Mitschülern sein, da der Virus keinen anderen produktiven oder destruktiven Zweck erfüllt. </li></ul>
    36. 36. Wer ist welchem Risiko ausgesetzt? Jedes Umfeld ist einem anderen Risiko ausgesetzt und muss auch entsprechende Gegenmassnahmen treffen. 4 Professionelle Angreifer 3 Semi-professionelle Angreifer Hochschulen 3 Semi-professionelle Angreifer 2 Skript-Kiddies Schulen 4 Professionelle Angreifer 4 Professionelle Angreifer Regierungsstellen 4 Professionelle Angreifer 4 Professionelle Angreifer IT-Security Firmen 4 Professionelle Angreifer 4 Professionelle Angreifer Finanzinstitute 3 Semi-professionelle Angreifer 2 Skript-Kiddies KMUs 1 Skript-Kiddies 1 Normale Endanwender Heimanwender Externe Angreifer Interne Angreifer Umfeld
    37. 37. Wer ist welchem Risiko ausgesetzt? (Visuelle Darstellung)
    38. 38. Zusammenfassung <ul><li>Der Ursprung der Computerkriminalität kann bis in die 60er Jahre im Sinne des Phone Hackings zurückgeführt werden. </li></ul><ul><li>Die Sicherheit von Computersystemen wurde und wird immer zu einem wichtigeren Teil der modernen technokratischen Informationsgesellschaft. </li></ul><ul><li>Es gibt (vier) verschiedene Typen von Angreifern, die sich je nach Anzahl, Kompetenz und Unberechenbarkeit unterscheiden lassen. </li></ul><ul><li>Jeder Angriff auf ein System wird durch eine entsprechende Motivation angetrieben. Das Unterscheiden der Motivation hilft dem Einschätzen der Situation und dem Anstreben gerechter Gegenmassnahmen. </li></ul>
    39. 39. Literaturverweise <ul><li>Davidson, Jonathan, Fox, Tina, 1. November 2001, Deploying Cisco Voice over IP Solutions, Cisco Press, ISBN 1587050307 </li></ul><ul><li>Ferreau, Oliver, Oktober 1997, Sicherheit im ISDN, http ://www.chscene.ch/ccc/isdn_dipl/ </li></ul><ul><li>Frech, Martin, 2001, Der Bedeutungswandel des Begriffs &quot;Hacker&quot; seit seiner Entstehung zu Beginn der 60er-Jahre, FU Berlin, http://www.computec.ch/dokumente/kultur/der_bedeutungswandel_des_begriffs_hacker/hacker.pdf </li></ul><ul><li>Fromm, Erich, 1973, Anatomie der menschlichen Destruktivität, Gesamtausgabe, Band VII, Deutscher Taschenbuch Verlag, ISBN 3423590432 </li></ul><ul><li>Harbort, Stephan, Februar 2003, Das Hannibal-Syndrom, Piper, ISBN 3492236502, zweite Auflage </li></ul><ul><li>Internet Activities Board, Januar 1989, RFC 1087 - Ethics and the internet, Network Working Group, http://www.computec.ch/dokumente/kultur/rfc1087/rfc1087.txt , deutsche Übersetzung von Marc Ruef, 29. Juli 2002, Ethik und das Internet, http://www.computec.ch/dokumente/kultur/rfc1087/rfc1087de.txt </li></ul><ul><li>Levy, Steven, 1. Januar 2001, Hackers, Penguin Putnam, ISBN 0141000511, aktualisierte Auflage </li></ul><ul><li>Maguire, Gerald D., 3. März 2004, Voice over IP: Security and Mobility, http://www.it.kth.se/~maguire/Talks/IVA-Syd-20040303c.pdf </li></ul><ul><li>McClure, Stuart, Scambray, Joel, Kurtz, 1. Februar 2003, Hacking Exposed, Osborne/McGraw-Hill, ISBN 0072227427, vierte Auflage, deutsche Übersetzung durch Ian Travis, Das Anti-Hacker-Buch, MITP, ISBN 3826613759 </li></ul><ul><li>Medosch, Armin, Röttgers, Janko, September 2001, Netzpiraten, Dpunkt Verlag, ISBN 3882291885 </li></ul><ul><li>Mitnick, Kevin, Simon, William L., 1. Oktober 2002, The Art Deception, John Wiley & Sons, ISBN 0471237124, deutsche Übersetzung, April 2003, Die Kunst der Täuschung, MITP-Verlag, ISBN 3826609999 </li></ul><ul><li>Moschitto, Denis, Sen, Evrim, Oktober 2000, Hackertales, Tropen Verlag Michael Zöllner, ISBN 3932170385 </li></ul><ul><li>Moschitto, Denis, Sen, Evrim, Juli 2001, Hackerland, Tropen Verlag Michael Zöllner, ISBN 3932170296 </li></ul><ul><li>Nolting, Hans-Peter, März 1997, Lernfall Aggression, Rowolth Taschenbuch Verlag, ISBN 3499602431 </li></ul><ul><li>Northcutt, Stephen, Novak, Judy, 1. August 2002, Network Intrusion Detection, Que, ISBN 0735712654, dritte Auflage, deutsche Übersetzung von Marc Ruef, Februar 2004, Hüthig Verlag, ISBN 3826607279 </li></ul><ul><li>Phake, 1998, Phreaking, http://www.phreak.de/infos/german/phreak2.htm </li></ul><ul><li>Raymond, Eric S., ca. 1998, Hacking FAQ, http://www.computec.ch/dokumente/kultur/hacking-faq/ </li></ul><ul><li>Rankl, Wolfgang, Effing, Wolfgang, September 2002, Handbuch der Chipkarten, Hanser Fachbuchverlag, ISBN 3446220364 </li></ul><ul><li>Rogge, Marko, 2001, You are „HACKERs“?, http://www.computec.ch/dokumente/kultur/you_are_hackers/you_are_hackers.html </li></ul><ul><li>Ruef, Marc, 2. April 2000, SIM-Karten, http://www.electronic-security.de/archiv/carding/sim-karten/ </li></ul><ul><li>Ruef, Marc, 2. April 2000, Telefonkarten, http:// www.electronic-security.de/archiv/carding/telefonkarten/ </li></ul><ul><li>Ruef, Marc, 21. Januar 2001, Die Sicherheit von Windows, http://www.computec.ch/dokumente/windows/sicherheit_von_windows/ </li></ul><ul><li>Ruef, Marc, 3. März 2002, Geschichte der Computersicherheit, http://www.computec.ch/dokumente/kultur/geschichte_der_computersicherheit/geschichte_der_computersicherheit.ppt </li></ul><ul><li>Ruef, Marc, März 2002, Die psychosozialen Aspekte der Computerkriminalität, http://www.computec.ch/dokumente/kultur/psychosozialen_aspekte/psychosozialen_aspekte.ppt </li></ul><ul><li>Ruef, Marc, Rogge, Marko, Velten, Uwe, Gieseke, Wolfram, September 2002, Hacking Intern, Data Becker, Düsseldorf, ISBN 381582284X </li></ul><ul><li>Ruef, Marc, 19. August 2003, Blaster-Analyse, http://www.scip.ch/publikationen/fachartikel/blaster-analyse/ </li></ul><ul><li>Ruef, Marc, Februar 2004, Angreifern durch Profiling auf die Spur kommen, Netzguide E-Security 2004, Seiten 72 und 73, Netzmedia AG, ISBN 390709610X </li></ul><ul><li>Ruef, Marc, 19. April 2004, Historizismus in der Computerkriminalität, Teil 1, scip monthly Security Summary (smSS), Ausgabe 19. April 2004, Kapitel 4 (Hintergrundbericht), http://www.scip.ch </li></ul><ul><li>Ruef, Marc, ca. 2005, Psychopathologie der elektronischen Einbruchserkennung, http://www.computec.ch </li></ul><ul><li>Schmid, Hans-Christian, Gutmann, Michael, November 1998, 23 - Die Geschichte des Hackers Karl Koch, Deutscher Taschenbuch Verlag, ISBN 3423084774 </li></ul><ul><li>Schröder, Burkhard, Dezember 1999, Tron – Tod eines Hackers, Rowolth Taschenbuch, ISBN 349960857X </li></ul><ul><li>Shimomura, Tsutomu, Markoff, John, 1996, Data Zone, Deutscher Taschenbuch Verlag, München, ISBN 3423151013 </li></ul><ul><li>Stoll, Clifford, Januar 1998, Kuckucksei, Fischer Taschenbuch, Frankfurt, ISBN 3596139848 </li></ul><ul><li>Tanase, Matthew, 12. März 2004, Voice over IP Security, SecurityFocus Infofocus, http://www.securityfocus.com/infocus/1767 </li></ul><ul><li>Wieckmann, Jürgen, 1998, Das Chaos Computer Buch – Hacking made in Germany, Wuderlich Verlag, ISBN 3805204744 </li></ul><ul><li>Zimmermann, Christian, 1997, Der Hacker, Heyne, ISBN 3453132041 </li></ul>
    40. 40. Auswertung und Scanning <ul><li>Vorwort </li></ul><ul><li>Footprinting – Sammeln von Informationen </li></ul><ul><li>Ziele lokalisieren </li></ul><ul><li>Mapping – Aktive Systeme erkennen </li></ul><ul><li>Portscanning – Aktive Dienste erkennen </li></ul><ul><li>Fingerprinting – Eingesetzte Software erkennen </li></ul><ul><li>Auswertung – Detailliertere Analyse des Ziels </li></ul><ul><li>Zusammenfassung </li></ul><ul><li>Literaturverweise </li></ul>
    41. 41. Wichtiger Hinweis Die gezeigten Auswertungs- und Angriffsmethoden dienen den Studienzwecken, zum Verständnis der Materie und der Erarbeitung von Schutzmassnahmen. Das Angreifen von Computersystemen, vor allem ohne das ausdrückliche Einverständnis der Besitzer dieser, ist nicht erlaubt . Scans ins Internet ohne Einwilligung des Workshops-Leiters sind verboten und werden geahndet (Die Computer- und Netzwerkaktivitäten werden umfänglich protokolliert!). Die Teilnehmer sind für Ihr Tun sowie Handeln selbst verantwortlich und haben die Konsequenzen eines Übergriffs selbst zu tragen.
    42. 42. Footprinting – Informationen sammeln <ul><li>Was ist Footprinting? </li></ul><ul><li>Suchmaschinen abfragen </li></ul><ul><li>Webseiten durchsuchen </li></ul><ul><li>HTML-Quelltext durchsuchen </li></ul><ul><li>Whois-Abfragen </li></ul>„ Zuverlässige Informationen sind unbedingt nötig für das Gelingen eines Unternehmens.“ - Christoph Kolumbus (1451 - 1506), italienischer Seefahrer in spanischen Diensten, gilt als Entdecker Amerikas
    43. 43. Was ist Footprinting? Vor einem Angriff werden so viele Informationen wie möglich über das Zielsystem gesammelt, um eine Angriffsstrategie auszuarbeiten. Footprinting stellt das indirekte Sammeln hinterlassener Informationen dar und ist der erste Schritt eines jeden durchdachten Angriffs.
    44. 44. Suchmaschinen abfragen Herkömmliche Suchmaschinen stellen eine durchsuchbare Datenbank mit Verweisen auf Webseiten zur Verfügung. Durch das Absuchen dieser können spezifische Informationen gefunden und Zusammenhänge erkannt werden.
    45. 45. Funktionsweise automatisierter Suchmaschinen Crawler/Robot Datenbank Frontend Benutzer A www.x.com www.y.com www.z.com <ul><li>Crawler indiziert Webseiten und speichert sie in die Datenbank. </li></ul><ul><li>Benutzer tätigt Suchabfrage über das Frontend. </li></ul><ul><li>Das Frontend holt die Daten aus der Datenbank und stellt sie dar. </li></ul>Endanwender Suchmaschinen-Anbieter Webseiten Benutzer B
    46. 46. Die Arbeit mit dem Suchmaschinen-Frontend
    47. 47. Erweiterte und boolesche Suche mit Google Beschreibung der Suchresultate Schreibweise Funktion Alle Seiten, die mit (dem Suchresultat von) www.computec.ch in Verbindung stehen. related:www.computec.ch Suche nach ähnlichen Seiten Alle Seiten, die einen Link auf www.computec.ch enthalten. link:www.computec.ch Suche nach HTML-Links Alle Seiten, die entweder das Wort „Marc“ oder „Ruef“ oder beide in beliebiger Reihenfolge enthalten. Marc Ruef Mindestens eines mehrerer Wörter Alle Seiten, die das Wort „Marc“ beinhalten“. Marc Einzelnes Wort Nur Suchresultate von der Domäne computec.ch anzeigen. site:www.computec.ch Beschränkung auf Domänen Alle Seiten, die das Wort „Security“ nicht beinhalten. -Security Ausschliessen von Zeichenketten „ Marc Ruef“ +Marc +Ruef Alle Seiten, die die Wortkombination „Marc Ruef“ beinhalten. Exakte Wortkette-/Kombination Alle Seiten, die zwingend die Wörter „Marc“ und „Ruef“ in beliebiger Reihenfolge enthalten. Mehrere Wörter in loser Reihenfolge und Abständen
    48. 48. Aufgabe Footprinting: Suchmaschinen abfragen <ul><li>Wer findet meinen Geburtstag mittels einer Suchmaschinen-Abfrage heraus? </li></ul><ul><li>Wann habe ich Geburtstag? </li></ul><ul><li>Welche Suchmaschine wurde genutzt? </li></ul><ul><li>Welche Suchabfrage führte zum Ziel? </li></ul><ul><li>Welche Informationen sind Sie in der Lage über sich selber herauszufinden? </li></ul>
    49. 49. Lösung Suchmaschinen abfragen <ul><li>Ich bin am 11. Februar 1981 geboren. (Bitte Geschenke nächstes Mal nicht vergessen!) </li></ul><ul><li>Ich kenne keine Suchmaschine, die nicht früher oder später ans Ziel führen würde. http://www.google.com ist eine gute Wahl, da diese Index-Suchmaschine einen Grossteil des Internets abdeckt. </li></ul><ul><li>Die beste Eingabe lautet wie folgt, sofern die Suchmaschine bool‘sche Abfragen unterstützt: </li></ul><ul><li>+“Marc Ruef“ +Geburtstag </li></ul>
    50. 50. Vor- und Nachteile des Footprintings mittels Suchmaschinen <ul><li>Vorteile </li></ul><ul><ul><li>Gewisse Automatisierung möglich </li></ul></ul><ul><ul><li>Keine direkte Verbindung zum Ziel </li></ul></ul><ul><ul><li>Auch ältere Einträge einsehbar (Mirrors, Latenzzeiten und Caches) </li></ul></ul><ul><ul><li>Multimediale Suchen (z.B. Bilder, Videos und Sounds) möglich </li></ul></ul><ul><li>Nachteile </li></ul><ul><ul><li>Geschützte und unbekannte Dokumente nicht indiziert </li></ul></ul><ul><ul><li>Dokumente nicht immer top-aktuell </li></ul></ul><ul><ul><li>Informationsüberflutung möglich </li></ul></ul>
    51. 51. Webseiten durchsuchen Durch das Aufsuchen entsprechend mit dem Ziel in Verbindung bringbaren Webseiten und das Durchsuchen dieser können Eckdaten zum Ziel zusammengetragen werden. Diese Informationen können weitere Suchen ermöglichen oder spezifische Angriffe vereinfachen.
    52. 52. Herkömmliches Surfen mit einem Webbrowser
    53. 53. Aufgabe Footprinting: Webseiten durchsuchen <ul><li>Rufen Sie die Webseite Ihres Unternehmens oder Ihrer Bank auf. </li></ul><ul><li>Schauen Sie sich auf der Webseite einige Minuten um. </li></ul><ul><li>Beantworten Sie die folgenden Fragen: </li></ul><ul><ul><li>Werden im Webauftritt irgendwelche sensitiven oder heiklen Daten nach Aussen getragen? </li></ul></ul><ul><ul><li>Falls ja, wie könnte man dem begegnen? </li></ul></ul>
    54. 54. Lösung Aufgabe Webseiten durchsuchen <ul><li>Diskussion?! </li></ul>
    55. 55. HTML-Quelltext durchsuchen Durch das Anzeigen des Quelltexts kann nach „verborgenen“ Informationen (z.B. Kommentare) gesucht werden.
    56. 56. Aufgabe Footprinting: HTML-Quelltext durchsuchen <ul><li>Suchen Sie das Computec Online Adventure (COA) unter http://www.computec.ch/projekte/coa/ auf und beginnen Sie das Spiel. </li></ul><ul><li>Versuchen Sie die Passwort-Abfrage des DoD zu umgehen (erste Aufgabe). Hinweis: Das Durchsuchen des HTML-Quelltexts wird am schnellsten zum Ziel führen. </li></ul><ul><li>Wie lautete das Passwort und wo kann es gefunden werden? </li></ul>
    57. 57. Lösung HTML-Quelltext durchsuchen <ul><li>Das Passwort lautete „internal“ und wird in der statischen Variable passcode des JavaScripts authenticate() gespeichert. </li></ul>
    58. 58. Suchen in der Vergangenheit <ul><li>Auf http://web.archive.org werden alte Webseiten-Versionen gespeichert. </li></ul>Google Prototyp, 11. November 1998 Google Prototyp, 11. November 1998
    59. 59. Vor- und Nachteile des Footprintings von Webseiten <ul><li>Vorteile </li></ul><ul><ul><li>Gewisse Automatisierung möglich </li></ul></ul><ul><ul><li>Offline-Suchen in aller Ruhe möglich </li></ul></ul><ul><ul><li>Auch ältere Einträge einsehbar (Mirrors, Latenzzeiten und Caches) </li></ul></ul><ul><ul><li>Multimediale Suchen (z.B. Bilder, Videos und Sounds) möglich </li></ul></ul><ul><li>Nachteile </li></ul><ul><ul><li>Direkte Verbindung zum Ziel erforderlich </li></ul></ul><ul><ul><li>Geschützte und unbekannte Dokumente nicht ohne weiteres einsehbar </li></ul></ul><ul><ul><li>Informationsüberflutung möglich </li></ul></ul>
    60. 60. Whois-Abfragen <ul><li>Was ist whois? </li></ul><ul><ul><li>Klassischer Client/Server-Dienst des Internets </li></ul></ul><ul><ul><li>Hält Informationsdaten (z.B. Kontaktdaten eines Besitzers eines IP-Adressbereichs) bereit </li></ul></ul><ul><ul><li>„ Telefonbuch des Internets“ </li></ul></ul>
    61. 61. Whois-Abfrage bei switch.ch für computec.ch Marc Ruef Mattenstrasse 23 CH-5430 Wettingen Switzerland [email_address]
    62. 62. Whois-Gateways im Internet
    63. 63. Aufgabe Footprinting: whois-Abfragen durchführen <ul><li>Finden Sie die Inhaber der folgenden Domains heraus: </li></ul><ul><ul><li>firewallbugs.ch </li></ul></ul><ul><ul><li>unilu.ch </li></ul></ul><ul><ul><li>kryptocrew.de </li></ul></ul><ul><ul><li>google.com </li></ul></ul><ul><li>Benutzen Sie den whois-Mechanismus Ihrer Wahl (z.B. http://www.network-tools.com ). Notfalls einen über eine Suchmaschine finden. </li></ul>
    64. 64. Lösung whois-Abfragen durchführen <ul><li>firewallbugs.ch gehört Marc Ruef, Wettingen, Schweiz. Die Suche kann über www.switch.ch gemacht werden. </li></ul><ul><li>unilu.ch gehört dem Bildungsdepartement Luzern, Schweiz. Die Suche kann über www.switch.ch gemacht werden. </li></ul><ul><li>kryptocrew.de gehört Roland Brecht, Singen, Deutschland. Die Suche kann über www.denic.de gemacht werden. </li></ul><ul><li>google.com gehört Google Inc., Mountain View, USA. Die Suche kann über http://www.alldomains.com gemacht werden. </li></ul>
    65. 65. Ziele lokalisieren <ul><li>Direktverbindungen auswerten </li></ul><ul><li>Email-Header auswerten </li></ul>
    66. 66. IP-Adressen herausfinden <ul><li>Was ist eine IP-Adresse? </li></ul><ul><ul><li>Eindeutige „Telefonnummer“ eines mittels TCP/IP vernetzten Systems </li></ul></ul><ul><ul><li>IPv4 spezifiziert in RFC791 (Internet Protocol) </li></ul></ul><ul><ul><li>IPv6 spezifiziert in RFC1883 (Internet Protocol, Version 6) </li></ul></ul><ul><li>Aufbau von IP-Adressen </li></ul><ul><ul><li>32 bit Wert (2 32 =4‘294‘967‘296) </li></ul></ul><ul><ul><li>Dotted decimal-Schreibweise x.x.x.x </li></ul></ul><ul><ul><li>Bereich von 0.0.0.0 bis 255.255.255.255 </li></ul></ul><ul><ul><li>Es gibt öffentliche, private und reservierte IP-Adressbereiche </li></ul></ul>
    67. 67. Direktverbindungen auswerten Opfer Angreifer 1. Angreifer macht sein Angebot dem Opfer „schmackhaft“. Beispiel: Werbung, Banner, Email, ... 2a. Opfer greift auf das Angebot des Angreifers zu und stellt dabei eine Direktverbindung her. 2b. Angreifer kann Kommunikation auswerten und erhält nützliche Daten. Opfer/Client Angreifer/Server
    68. 68. Beispiel einer solchen Webserver-Auswertung
    69. 69. Email-Header auswerten <ul><li>Jede Mail-Zwischenstation (Mail Transfer Agents) hat seine Daten in den SMTP-Header zu speichern. </li></ul><ul><li>Diese Vermerke können wichtige Informationen für einen Angreifer beinhalten. </li></ul>
    70. 70. Beispiel eines SMTP-Headers <ul><li>Return-Path: <thomas_muster@zbmed.de> </li></ul><ul><li>Delivered-To: marc.ruef@computec.ch </li></ul><ul><li>Received: (qmail 18201 invoked from network); 4 Feb 2004 15:14:47 -0000 </li></ul><ul><li>Received: from slox1.zbmed.uni-koeln.de (HELO mail.zbmed.uni-koeln.de) ([195.95.56.228]) (envelope-sender <thomas_muster@zbmed.de>) by mail1.exigo.ch (qmail-ldap-1.03) with SMTP for <marc.ruef@computec.ch>; 4 Feb 2004 15:14:47 -0000 </li></ul><ul><li>Received: by mail.zbmed.uni-koeln.de (Postfix, from userid 65534) id D0EF153E98; Wed, 4 Feb 2004 16:14:11 +0100 (CET) </li></ul><ul><li>Received: from verwaltung42 (unknown [195.95.56.42]) by mail.zbmed.uni-koeln.de (Postfix) with SMTP id 0282F53E97 for <marc.ruef@computec.ch>; Wed, 4 Feb 2004 16:14:11 +0100 (CET) </li></ul><ul><li>From: &quot;Thomas Muster&quot; <thomas_muster@zbmed.de> </li></ul><ul><li>To: &quot;Marc Ruef&quot; <marc.ruef@computec.ch> </li></ul><ul><li>Subject: IPsec-Implementierung überprüfen </li></ul><ul><li>Date: Wed, 4 Feb 2004 16:14:14 +0100 </li></ul><ul><li>Message-ID: <NEBBKDIGHDGNHANJLLJJOEOJIMAA.thomas_muster@zbmed.de> </li></ul><ul><li>MIME-Version: 1.0 </li></ul><ul><li>Content-Type: text/plain; charset=&quot;iso-8859-1&quot; </li></ul><ul><li>Content-Transfer-Encoding: 8bit </li></ul><ul><li>X-Priority: 3 (Normal) </li></ul><ul><li>X-MSMail-Priority: Normal </li></ul><ul><li>X-Mailer: Microsoft Outlook IMO, Build 9.0.2416 (9.0.2910.0) </li></ul><ul><li>Importance: Normal </li></ul><ul><li>X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1106 </li></ul>
    71. 71. Reaktion mittels Zustell- und Lese-Bestätigungen forcieren
    72. 72. Aufgabe Footprinting: Mailheader auswerten <ul><li>Öffnen Sie Ihren Mail-Client, mit dem Sie normalerweise Ihre Emails lesen. Dies kann ein Standard- oder ein Webclient (z.B. Hotmail) sein. </li></ul><ul><li>Konfigurieren Sie die Software so, dass Sie Ihnen alle Mailheader anzeigt. </li></ul><ul><li>Schauen Sie sich die Mailheader der letzten paar empfangenen Emails an und versuchen Sie den SMTP-Pfad zu ermitteln. </li></ul>
    73. 73. Mapping – Aktive Systeme erkennen <ul><li>Was ist Mapping? </li></ul><ul><li>Grundidee des aktiven Mappings </li></ul><ul><li>Klassisches ICMP-Mapping </li></ul><ul><li>Alternative Mapping-Techniken </li></ul><ul><li>Vergleich der Mapping-Techniken </li></ul>
    74. 74. Was ist Mapping? <ul><li>Erkennen von aktiven und erreichbaren Systemen </li></ul><ul><li>Erkennen etwaiger Netzwerkprobleme (z.B. Paketverluste, fehlerhaftes Routing) </li></ul><ul><li>Erkennen etwaiger Sicherheits-Mechanismen (z.B. Firewalls) </li></ul>
    75. 75. Grundidee des aktiven Mappings Mapper Zielsystem Hallo, wer da? Ja, ich hör Dich. ? ! <ul><li>Mapper verschickt Reiz an das Zielsystem. </li></ul><ul><li>Zielsystem empfängt und reagiert auf den Reiz. </li></ul><ul><li>Mapper erhält Reaktion und weiss um die Existenz und Erreichbarkeit des Zielsystems. </li></ul>Client Server ICMP echo request ICMP echo reply Textlicher Ablauf als Aufzählung Timeline mittels ICMP-Ping Visualisierendes Diagramm
    76. 76. Klassisches Ping-Mapping <ul><li>Der Mapper verschickt interaktiv eine ICMP echo request-Anfrage an das Zielsystem. </li></ul><ul><li>Das Zielsystem antwortet darauf automatisch mit einer ICMP echo reply-Rückantwort. </li></ul>
    77. 77. Ping-Mapping mit Windows
    78. 78. Verschiedene Zustände Mapper Zielsystem 1 1 = erreichbar 2 = keine Antwort Zielsystem 2
    79. 79. Gründe für ausbleibende Antwort <ul><li>Zielsystem nicht aktiv </li></ul><ul><li>Zielsystem gibt keine Antwort auf Anfragen </li></ul><ul><li>Kommunikation wird durch Firewall blockiert </li></ul><ul><li>Kommunikation wird durch einen Fehler verhindert (z.B. Routing-Problem) </li></ul>
    80. 80. Aufgabe Mapping: Ping-Mapping <ul><li>Führen Sie ein einfaches Ping-Mapping für die folgenden Hosts durch: </li></ul><ul><ul><ul><li>127.0.0.1 – Ihr eigenes System </li></ul></ul></ul><ul><ul><ul><li>www.computec.ch – Meine Webseite </li></ul></ul></ul><ul><ul><ul><li>www.google.com – Die Google-Suchmaschine </li></ul></ul></ul><ul><ul><ul><li>www.ubs.com – Webseite der UBS Schweiz </li></ul></ul></ul><ul><ul><ul><li>www.fbi.gov – Webseite des amerikanischen FBI </li></ul></ul></ul><ul><li>Wie sind die Resultate ausgefallen? </li></ul><ul><li>Konnten Sie irgendwelche Anomalien feststellen? </li></ul>
    81. 81. Lösung Ping-Mapping, Stand 19. April 2004 <ul><li>Ihr eigenes System 127.0.0.1 ist normalerweise erreichbar. </li></ul><ul><li>www.computec.ch ist erreichbar, wird jedoch in etwas anderes aufgelöst, was auf virtuelles Hosting hindeutet. </li></ul><ul><li>www.google.com ist erreichbar, wird jedoch stets anders aufgelöst, was auf eine Server-Farm hindeutet. </li></ul><ul><li>www.ubs.com ist nicht erreichbar, was auf eine ICMP filternde Firewall hindeutet. </li></ul><ul><li>www.fbi.gov ist erreichbar, wird aber auch anders aufgelöst. </li></ul>
    82. 82. Alternative Mapping-Techniken <ul><li>ICMP-Mapping </li></ul><ul><ul><li>ICMP echo request/reply </li></ul></ul><ul><ul><li>ICMP address mask reques/reply </li></ul></ul><ul><ul><li>ICMP timestamp request/reply </li></ul></ul><ul><li>ARP-Mapping </li></ul><ul><ul><li>ARP who-has/is-at </li></ul></ul><ul><li>TCP-Mapping </li></ul><ul><ul><li>Full-connect TCP-Mapping </li></ul></ul><ul><ul><li>Half-open stealth SYN-Mapping </li></ul></ul><ul><ul><li>Exotische Mapping-Techniken (z.B. FIN, Xmas und Null) </li></ul></ul><ul><li>UDP-Mapping </li></ul><ul><ul><li>UDP-Anfrage/-Antwort </li></ul></ul>
    83. 83. Vergleiche der Mapping-Techniken
    84. 84. Portscanning <ul><li>Was ist Portscanning? </li></ul><ul><li>Full-connect TCP-Scan – Der laute Klassiker </li></ul><ul><li>Half-open SYN-Scan – Der unauffällige Klassiker </li></ul><ul><li>Exotische Scan-Techniken </li></ul>
    85. 85. Was ist Portscanning? <ul><li>Erkennen von angebotenen Diensten </li></ul><ul><li>Erkennen von etwaigen Sicherheits-Mechanismen (z.B. Firewalls und Intrusion Detection-Systeme) </li></ul><ul><li>Evtl. Determinierung der etwaig eingesetzten Software </li></ul>
    86. 86. Was ist ein Dienst? <ul><li>Eine angebotene Netzwerkanwendung </li></ul><ul><li>Basiert meistens auf dem Client/Server-Prinzip </li></ul><ul><li>Beispiele sind HTTP (Web), FTP (Dateitransfer), SMTP/POP3 (Mail) </li></ul>
    87. 87. Was ist ein Port? <ul><li>Wird von UDP und TCP zur Zuweisung von Diensten genutzt </li></ul><ul><li>Nummerischer 16 bit Wert (2 16 =65‘535) </li></ul><ul><li>Bereich 0 bis 65535 zugelassen </li></ul><ul><ul><li>1 bis 1023 gelten als well-known Ports </li></ul></ul><ul><ul><li>Über 1023 gelten als kurzlebige Ports </li></ul></ul><ul><li>Empfehlungen werden durch die IANA ausgesprochen </li></ul>
    88. 88. Einige well-known Portnummern Die von der IANA zugeteilten bzw. vorgesehenen Portnummern können im Internet unter http://www.iana.org/assignments/port-numbers eingesehen werden. Secure Hypertext Transfer Protocol HTTPS 445 Post Office Protocol Version 3 POP3 110 Hypertext Transfer Protocol HTTP 80 Domain Name System DNS 53 Simple Mail Transfer Protocol SMTP 25 File Transfer Protocol FTP 21
    89. 89. Funktionsweise von Ports <ul><li>Webserver-System wird gestartet </li></ul><ul><li>HTTP-Dienst wird an TCP-Port 80 gebunden </li></ul><ul><li>Verbindung wird hergestellt </li></ul><ul><li>Daten werden über etablierte Verbindung ausgetauscht </li></ul><ul><li>Verbindung wird geschlossen </li></ul>Client Server Textlicher Ablauf als Aufzählung Simple Timeline des Verbindungsauf- und -abbaus Abstrakte bildliche Darstellung 80
    90. 90. Verbindungsaufbau von TCP Client Server SYN SYN/ACK ACK Verbindung ist etabliert und Daten können nun in dieser TCP-Sitzung ausgetauscht werden. Verbindungs-aufbau im Rahmen von TCP beginnt. Client Server SYN ACK/RST Zielport muss als geschlossen anerkennt werden. Keine Verbindungen sind möglich. Verbindungs-aufbau im Rahmen von TCP beginnt. Timeline eines Drei-Wege-Handschlags bei einem offenen Port Timeline bei einem geschlossenen TCP-Port
    91. 91. Port-Status mittels Telnet erkennen
    92. 92. Aufgabe Portscanning: Portscanning mit Telnet <ul><li>Finden Sie den Portstatus für die folgenden Ziele heraus: </li></ul><ul><ul><ul><li>Port tcp/25 auf mail.computec.ch </li></ul></ul></ul><ul><ul><ul><li>Port tcp/80 auf www.computec.ch </li></ul></ul></ul><ul><ul><ul><li>Port tcp/99 auf www.computec.ch </li></ul></ul></ul><ul><li>Wie sind die Resultate ausgefallen? </li></ul><ul><li>Konnten Sie irgendwelche Anomalien feststellen? </li></ul>
    93. 93. Portscanning mittels SuperScan
    94. 94. Aufgabe Portscanning: Portscanning mit SuperScan <ul><li>Laden Sie sich SuperScan 3.00 von der Vortrags-Seite auf ihren Rechner herunter. </li></ul><ul><li>Führen Sie einen Portscan auf Ihr eigenes System mit der IP-Adresse 127.0.0.1 durch. </li></ul><ul><li>Beantworten Sie die folgenden Fragen: </li></ul><ul><ul><ul><li>Wie sind die Resultate ausgefallen? Welche Ports konnten als offen identifiziert werden? </li></ul></ul></ul><ul><ul><ul><li>Konnten Sie irgendwelche Anomalien feststellen? </li></ul></ul></ul>
    95. 95. Half-open SYN-Scan Client Server SYN SYN/ACK RST Zielport kann als offen vermutet werden. Verbindungs-aufbau im Rahmen von TCP beginnt. Client Server SYN ACK/RST Zielport muss als geschlossen anerkennt werden. Keine Verbindungen sind möglich. Verbindungs-aufbau im Rahmen von TCP beginnt. Timeline eines SYN-Scans auf einen offenen Port Timeline bei einem geschlossenen TCP-Port
    96. 96. Exotische Scan-Techniken Client Server FIN RST Zielport kann als geschlossen vermutet werden. FIN-Scan beginnt. Client Server FIN/URG/PSH RST Zielport kann als geschlossen vermutet werden. Xmas-Scan beginnt. Timeline eines FIN-Scans auf einen geschlossenen Port Timeline eines Xmas-Scans auf einen geschlossenen Port
    97. 97. Fingerprinting – Eingesetzte Software erkennen <ul><li>Erkennen des eingesetzten Betriebssystems </li></ul><ul><li>Erkennen der eingesetzten Software </li></ul><ul><li>Auswertung dient dem Vorbereiten von weiteren Zugriffen </li></ul><ul><li>Auswertung dient dem Ausarbeiten generischer und spezifischer Angriffswege </li></ul>
    98. 98. Fingerprinting-Techniken <ul><li>Erkennen des Betriebssystems </li></ul><ul><ul><li>Analysieren der Port-Stati </li></ul></ul><ul><ul><li>TCP/IP-Fingerprinting </li></ul></ul><ul><ul><li>Abgreifen der Banner </li></ul></ul><ul><li>Erkennen der Netzwerkanwendungen </li></ul><ul><ul><li>Analysieren der Port-Stati </li></ul></ul><ul><ul><li>Abgreifen der Banner </li></ul></ul><ul><ul><li>Analysieren des eingesetzten Protokolls </li></ul></ul>
    99. 99. Analysieren der Port-Stati <ul><li>Einige Port-Stati sind charakteristisch für gewisse Betriebssysteme: </li></ul><ul><li>Zum Beispiel deuten die offenen Ports 135 und 445 auf ein Windows-System hin. </li></ul><ul><li>Das Fehlen dieser (CLOSED) lässt automatisch ein Nicht-Windows vermuten. </li></ul><ul><li>Die offenen TCP-Ports 256 bis 265 weisen auf eine CheckPoint Firewall-1 hin. </li></ul>
    100. 100. TCP/IP-Fingerprinting <ul><li>Jede TCP/IP-Implementierung weist gewisse Charakteristiken auf </li></ul><ul><li>Wird auch OS- und Stack-Fingerprinting genannt </li></ul><ul><li>Auswertung sowohl aktiv als auch passiv möglich </li></ul><ul><li>Nmap ist das Tool erster Wahl (Option –O) </li></ul>
    101. 101. Einige Möglichkeiten bei TCP/IP-Fingerprinting <ul><li>Einzelnes FIN-Segment (RFC793)? </li></ul><ul><ul><li>Cisco, HP/UX, IRIX und andere senden ein RST-Segment zurück. </li></ul></ul><ul><ul><li>Windows NT 4.0 schickt ein FIN/ACK zurück. </li></ul></ul><ul><li>Gesetzte Bogus Flagge? </li></ul><ul><ul><li>Linux Kernel 2.0.35 und älter übernimmt die Information in das ACK-Segment. </li></ul></ul><ul><ul><li>Andere Systeme schicken lediglich ein neutrales RST-Segment. </li></ul></ul><ul><li>Wahl der Sequenznummern? </li></ul><ul><ul><li>Ältere Unix-Systeme erhöhen um statische 64. </li></ul></ul><ul><ul><li>Neue Systeme nutzen gut gewählte Zufallszahlen. </li></ul></ul>
    102. 102. Erkennen von Anwendungen <ul><li>Anhand charakteristischen Verhaltens </li></ul><ul><li>Anhand Banner-Grabbing </li></ul>
    103. 103. Charakteristische Verhalten einer Anwendung Jede Applikation verhält sich unter gewissen Bedingungen anders und lässt sich so mehr oder weniger eindeutig identifizieren. Bestes Beispiel ist der 404-Test eines Webservers, bei dem ein nicht existentes Dokument angefordert wird.
    104. 104. Beispiel eines Antiviren-Mailgateways
    105. 105. Banner-Grabbing Viele interaktive Netzwerkanwendungen begrüssen den Benutzer mit einer kleinen Willkommens-Meldung, die oft eine Vielzahl nützlicher Informationen enthält. Durch das Herstellen einer (Telnet-)Verbindung kann der Willkommens-Banner eingesehen werden.
    106. 106. Aufgabe Auswertung: Banner-Grabbing <ul><li>Führen Sie ein Banner-Grabbing für die folgenden Systeme/Dienste durch: </li></ul><ul><ul><li>ftp.debian.org tcp/21 </li></ul></ul><ul><ul><li>www.scip.ch tcp/80 </li></ul></ul><ul><ul><li>mail.computec.ch tcp/25 </li></ul></ul><ul><ul><li>127.0.0.1 tcp/23 </li></ul></ul>
    107. 107. Lösung Banner-Grabbing <ul><li>Folgend die Auflösung, Stand 13. April 2004: </li></ul><ul><ul><li>„ telnet ftp.debian.ch 21“ zeigt „ProFTPD 1.2.5rc1 Server“ als FTP-Server. </li></ul></ul><ul><ul><li>„ telnet www.scip.ch 80“ zeigt nach einer HTTP-Anfrage „Apache/1.3.26 (Unix) Debian GNU/Linux“ als Webserver. </li></ul></ul><ul><ul><li>„ telnet mail.computec.ch 25“ zeigt keinen identifizierbaren Mailserver. Der Banner wurde abgeschaltet bzw. modifiziert. </li></ul></ul><ul><ul><li>„ telnet 127.0.0.1 23“ lässt voraussichtlich keine Verbindung zu, da auf dem TCP-Port 23 kein Server horcht. </li></ul></ul>
    108. 108. Und danach: Durchsuchen von Verwundbarkeitsdatenbanken www.scip.ch www.securityfocus.com www.secunia.com www.osvdb.org
    109. 109. Aufgabe Auswertung: Durchsuchen von Verwundbarkeitsdatenbanken <ul><li>Suchen Sie auf http://www.scip.ch die Verletzbarkeitsdatenbank [http://www.scip.ch/cgi-bin/smss/showadvf.pl] auf. </li></ul><ul><li>Starten Sie eine Suchabfrage in der Verwundbarkeitsdatenbank für Ihr Betriebssystem, Ihren Webbrowser und Ihr Mailprogramm. </li></ul><ul><ul><li>Wieviele Schwachstellen wurden für Ihr Betriebssystem ausgegeben? </li></ul></ul><ul><ul><li>Wieviele für Ihren Webbrowser? </li></ul></ul><ul><ul><li>Wieviele Schwachstellen für Ihr Mailprogramm? </li></ul></ul>
    110. 110. Lösung Durchsuchen von Verwundbarkeitsdatenbanken <ul><li>Folgend eine Beispiellösung, Stand 13. April 2004: </li></ul><ul><ul><li>Microsoft Windows XP, ca. 13 Schwachstellen </li></ul></ul><ul><ul><li>Microsoft Internet Explorer, ca. 56 </li></ul></ul><ul><ul><li>Microsoft Outlook Express, ca. 5 </li></ul></ul>
    111. 111. Auswerten von Zielsystemen <ul><li>Route-Traceing </li></ul><ul><li>Durchführen von ICMP timestamp-Abfragen </li></ul><ul><li>Analysieren von MAC-Adressen </li></ul><ul><li>NetBIOS-Namenstabellen auslesen </li></ul><ul><li>NetBIOS-Freigaben anzeigen </li></ul>
    112. 112. Route-Traceing Durch das Netzwerkdiagnose-Utility Traceroute kann die Route eines Pakets zu einem Ziel determiniert werden [Stevens 1994, Ruef 2001, Ruef et al. 2002, McClure et al. 2003].
    113. 113. Aufgabe Route-Traceing: Traceroute durchführen <ul><li>Führen Sie ein einfaches traceroute für die folgenden Hosts durch: </li></ul><ul><ul><ul><li>127.0.0.1 – Ihr eigenes System </li></ul></ul></ul><ul><ul><ul><li>www.computec.ch – Meine Webseite </li></ul></ul></ul><ul><ul><ul><li>www.google.com – Die Google-Suchmaschine </li></ul></ul></ul><ul><ul><ul><li>www.ubs.com – Webseite der UBS Schweiz </li></ul></ul></ul><ul><ul><ul><li>www.fbi.gov – Webseite des amerikanischen FBI </li></ul></ul></ul><ul><li>Wie sind die Resultate ausgefallen? </li></ul><ul><li>Konnten Sie irgendwelche Anomalien feststellen? </li></ul>
    114. 114. Lösung Traceroute, Stand 22. April 2004 <ul><li>Ihr eigenes System 127.0.0.1 ist normalerweise direkt erreichbar. </li></ul><ul><li>www.computec.ch ist erreichbar. Das Ausbleiben einer ICMP-Rückantwort lässt ein Firewall-System am Perimeter vermuten. </li></ul><ul><li>www.google.com ist normal erreichbar. </li></ul><ul><li>www.ubs.com ist nicht erreichbar (letzter Hop gehört zu Sunrise), was auf eine filternde Firewall hindeutet. </li></ul><ul><li>www.fbi.gov ist normal erreichbar. </li></ul>
    115. 115. Durchführen von ICMP timestamp-Abfragen <ul><li>Client schickt eine ICMP timestamp request-Anfrage (Typ 13, Code 0) an den Server. </li></ul><ul><li>Server „berechnet“ die Uhrzeiten (Originate, receive und transmit Timestamp). </li></ul><ul><li>Server schickt die ICMP timestamp reply-Rückantwort (Typ 14, Code 0) an den Client zurück. </li></ul>Client Server Textlicher Ablauf als Aufzählung Timeline der Abfrage Visualisierende Darstellung Client Server Es ist jetzt n Millisekunden nach Mitternach GMT Das Paket wurde um i erhalten und um i+j verschickt ? !
    116. 116. Analysieren von MAC-Adressen
    117. 117. NetBIOS-Namenstabellen auslesen <ul><li>Es wird der NetBIOS-Namensdienst (udp/137) verwendet. </li></ul><ul><li>Windows-Systeme und NetBIOS-Server (auch Unix/Linux) sind betroffen. </li></ul><ul><li>Eine Vielzahl von Tools (nbtstat, nbtscan, net view) kann gebraucht werden. </li></ul>
    118. 118. NetBIOS-Namenstabelle mit nbtstat auslesen
    119. 119. NetBIOS-Freigaben erkennen
    120. 120. Automatisches Suchen mittels SharesFinder
    121. 121. Aufgabe Auswerten: NetBIOS-Freigaben suchen <ul><li>Laden Sie sich SharesFinder von der Workshop-Webseite auf Ihren Rechner herunter. </li></ul><ul><li>Starten Sie die Software und führen Sie einen Scan für Ihr Netzwerk durch (z.B. von 192.168.0.1 bis 192.168.0.254). Führen Sie keine Zugriffe auf die gefundenen Freigaben durch! </li></ul><ul><li>Beantworten Sie stattdessen folgende Fragen: </li></ul><ul><ul><li>Wieviele Rechner sind laut SharesFinder im Netzwerk aktiv? </li></ul></ul><ul><ul><li>Wieviele von diesen Hosts bieten NetBIOS-Freigaben an? </li></ul></ul>
    122. 122. Zusammenfassung Auswertung und Scanning <ul><li>Beim Footprinting werden indirekt Daten über ein Zielsystem zusammengetragen. </li></ul><ul><li>Das Portscanning hat zum Ziel die Port-Stati und die angebotenen Dienste eines Zielsystems anzuzeigen. </li></ul><ul><li>Durch verschiedene Fingerprinting-Techniken können das eingesetzte Betriebssystem und Server-Software erkennt werden. </li></ul><ul><li>Generische Auswertungs-Techniken erlauben zusätzliche und detaillierte Informationen über ein System einzuholen. </li></ul>
    123. 123. Literaturverweise <ul><li>Arkin, Ofir, Juni 2001, ICMP Usage in Scanning, http://www.sys-security.com </li></ul><ul><li>Comer, Douglas E., 1995, Internetworking with TCP/IP, Volume 1: Principles, Protocols, and Architectures, Prentice Hall </li></ul><ul><li>Fyodor, 1997, Nmap network security scanner man page, http:// www.insecure.org/nmap/data/nmap_manpage.html , deutsche Übersetzung von Marc Ruef, September 2002, http://www.computec.ch/dokumente/scanning/nmap_man-page/nmap_manpage-de.html </li></ul><ul><li>Fyodor, 18. Oktober 1998, Remote OS detection via TCP/IP Stack FingerPrinting, http://www.insecure.org/nmap/nmap-fingerprinting-article.html , deutsche Übersetzung von Stefan Maly, Das Erkennen von Betriebssystemen mittels TCP/IP Stack FingerPrinting, http://www.insecure.org/nmap/nmap-fingerprinting-article-de.html </li></ul><ul><li>Gieseke, Wolfram, März 2001, Anti-Hacker Report, Data Becker, Düsseldorf, ISBN 3815822181, zweite Auflage </li></ul><ul><li>IANA, Internet Assigned Numbers Authority, 25. März 2004, Port Numbers, http:// www.iana.org /assignments/port-numbers </li></ul><ul><li>McClure, Stuart, Scambray, Joel, Kurtz, 1. Februar 2003, Hacking Exposed, Osborne/McGraw-Hill, ISBN 0072227427, vierte Auflage, deutsche Übersetzung durch Ian Travis, Das Anti-Hacker-Buch, MITP, ISBN 3826613759 </li></ul><ul><li>Northcutt, Stephen, Novak, Judy, 1. August 2002, Network Intrusion Detection, Que, ISBN 0735712654, dritte Auflage, deutsche Übersetzung von Marc Ruef, Februar 2004, Hüthig Verlag, ISBN 3826607279 </li></ul><ul><li>Rogge, Marko, August 2002, nmap Secure Scanner, http://www.computec.ch/dokumente/scanning/nmap_secure_scanner/nmap.htm </li></ul><ul><li>Ruef, Marc, 28. April 2000, nmap (Network Mapper), http://www.computec.ch/dokumente/scanning/nmap/nmap.html </li></ul><ul><li>Ruef, Marc, 21. Januar 2001, Die Sicherheit von Windows, http://www.computec.ch/dokumente/windows/sicherheit_von_windows/ </li></ul><ul><li>Ruef, Marc, Rogge, Marko, Velten, Uwe, Gieseke, Wolfram, September 2002, Hacking Intern, Data Becker, Düsseldorf, ISBN 381582284X </li></ul><ul><li>Ruef, Marc, 26. April 2003, Die TCP/IP-Implementierung der Xbox, http://www.computec.ch/dokumente/windows/tcp-ip-implementierung_der_xbox/ </li></ul><ul><li>Stevens, Richard W., 1990, UNIX Network Programming, Prentice Hall, ISBN 0-13-949876-1 </li></ul><ul><li>Stevens, Richard W., 1. Januar 1994, TCP/IP Illustrated, Volume 1: The Protocols, Addison-Wesley Professional, ISBN 0201633469, deutsche Übersetzung, September 2003, Hüthig/VMI Buch Verlag, ISBN 3826650425 </li></ul>
    124. 124. Angriffe verstehen und durchführen <ul><li>Einführung </li></ul><ul><li>Schwache Authentisierung </li></ul><ul><li>Directory Traversal </li></ul><ul><li>Pufferüberlauf </li></ul><ul><li>Race Condition </li></ul><ul><li>Cross Site Scripting </li></ul><ul><li>Social Hacking </li></ul><ul><li>Zusammenfassung </li></ul><ul><li>Literaturverweise </li></ul>„ Angriff ist die beste Verteidigung.“ Deutsches Sprichwort
    125. 125. Ziel eines konstruktiven Angriffs Ziel eines (konstruktiven) Angriffs ist stets die Erweiterung der auferlegten Beschränkungen und Rechte. Dabei lässt sich zwischen keinem Zugriff, limitiertem Zugriff (z.B. Benutzerzugriff) und priviligiertem Zugriff (z.B. administrative Rechte) unterscheiden. Kein Zugriff Limitierter Zugriff Priviligierter Zugriff Fremder Benutzer Administrator Macht und Gefahrenpotential
    126. 126. Schwache Authentisierung <ul><li>Durch die Authentifizierung wird die wahre Identität eines Nutzers, einer Person oder eines Programms an Hand eines bestimmten Merkmals überprüft: </li></ul><ul><ul><li>man weiss etwas (Passwort, PIN) </li></ul></ul><ul><ul><li>man hat etwas (Schlüssel, Karte, Token) </li></ul></ul><ul><ul><li>man kann etwas (elektronische Unterschrift) </li></ul></ul><ul><ul><li>man ist etwas (biometrische Merkmale) </li></ul></ul><ul><li>Bei einer schwachen oder fehlenden Authentifizierung wird keine umfassende Überprüfung der Zugriffsrechte durchgeführt. Ein Angreifer kann so unbehelligt oder mit den Rechten anderer Zugriffe umsetzen. </li></ul>
    127. 127. Fehlendes Passwort
    128. 128. Bruteforce-Attacke gegen schwache Passwörter
    129. 129. Anzahl Möglichkeiten durch grösseren Zeichensatz und mehr Stellen 4‘294‘967‘296 7‘311‘616 456‘976 10‘000 Möglichkeiten bei vier Stellen (n 4 ) 281‘474‘976‘710‘656 256 Alle möglichen erweiterten 256 ASCII-Zeichen 19‘770‘609‘664 52 ASCII Klein- und Grossbuchstaben von aA bis zZ 308‘915‘776 26 ASCII Kleinbuchstaben von a bis z 10 Möglichkeiten pro Position (n) 1‘000‘000 Nur Zahlen von 0 bis 9 Möglichkeiten bei sechs Stellen (n 6 ) Zeichensatz
    130. 130. Sichere Passwörter <ul><li>Möglichst lang (z.B. 6 Zeichen) </li></ul><ul><li>Nutzen von Gross-/Kleinschreibung (z.B. Mhk4F!) </li></ul><ul><li>Miteinbeziehen von (sprach-/regionsabhängigen) Sonderzeichen (z.B. ä und $ sowie ě ) </li></ul><ul><li>Passwörter pro Authentisierung nur einmal verwenden </li></ul><ul><li>Passwörter geheim halten </li></ul><ul><li>Passwörter nicht aufschreiben </li></ul><ul><li>Passwörter zyklisch ändern (z.B. alle 60 Tage) </li></ul>
    131. 131. Aufgabe Authentisierung: Sichere Passwörter <ul><li>Erstellen Sie eine temporäre NetBIOS-Freigabe für einen leeren Ordner auf Ihrem System. </li></ul><ul><li>Schützen Sie diese Freigabe mit einem Passwort. </li></ul><ul><li>Berechnen Sie die „Stärke“ dieses Passworts. </li></ul><ul><ul><li>Wieviele Stellen hat Ihr Passwort? </li></ul></ul><ul><ul><li>Welche Zeichenbereiche verwendet es? </li></ul></ul><ul><ul><li>Wieviele Möglichkeiten müssen maximal bei einem Bruteforce-Angriff durchlaufen werden? </li></ul></ul><ul><ul><li>Ist dieses Passwort für die Umstände entsprechend stark genug? </li></ul></ul><ul><li>Entfernen Sie die temporäre NetBIOS-Freigabe wieder. </li></ul>
    132. 132. Lösung sichere Passwörter <ul><li>n = Anzahl Stellen (z.B. 4) </li></ul><ul><li>i = Anzahl Zeichen in den gewählten Bereichen (z.B. 26 da von A bis Z) </li></ul><ul><li>456‘976 = 26 4 = i n </li></ul><ul><li>Diskussion?! </li></ul>
    133. 133. Standardkonten und –passwörter (auszugsweise und Beispiele) 1234 - ZyXell ZyWall wg - WatchGuard password admin SonicWall - root Shiva LanRover lp lp SGI Irix change_on_install sys Oracle 8i 1234 Admin NetGear Router/Firewalls/Appliances - sa Microsoft SQL Server webibm webadmin IBM Lotus Domino Go Webserver Administrator Administrator Compaq Insight Manager Admin Admin Cobalt RaQ attack root Cisco NetRanger User debug Benutzername - Bay Network Router synnet 3com SuperStack II Switch 2200 Passwort Gerät/System
    134. 134. Fehlerhafte Authentisierungs-Mechanismen Fehlerhaft programmierte Authentisierungs-Mechanismen lassen sich ganz oder teilweise umgehen.
    135. 135. Andere Authentifizierungs-Mechanismen Biometrisch Erscheinungsbild Gesichtserkennung Biometrisch Sprache Spracherkennung Hardware Token Token Kryptographisch Zertifikat Zertifikate Hardware Chipkarte Chipkarte Biometrisch Auge/Retina Retina Biometrisch Fingerabdruck Fingerprint Methode Schlüssel Name
    136. 136. Gegenmassnahmen sichere Authentisierung <ul><li>Benutzer dürfen einen Dienst erst nach komplett und erfolgreich durchlaufener Authentisierung nutzen können. </li></ul><ul><li>Die Authentisierung muss so schwierig wie möglich ausfallen. Der „Schlüssel“ muss so komplex wie möglich sein. </li></ul><ul><li>Benutzer müssen währen der ganzen Sitzung identifizierbar bleiben. </li></ul><ul><li>Benutzer dürfen nach der Authentisierung ihren Status oder ihre Sitzung nicht ändern können. </li></ul>
    137. 137. Aufgabe Authentisierung: Sichere Methode <ul><li>Welcher Authentisierungs-Mechanismus scheint bei einer korrekten Umsetzung am sichersten? </li></ul><ul><li>Hat Ihre Wahl auch irgendwelche Nachteile für die Benutzer? </li></ul><ul><li>Gibt es Gebiete, bei denen sich der Einsatz dessen eher nicht lohnt? </li></ul>
    138. 138. Lösung Authentisierung <ul><li>Biometrische Authentifizierungs-Mechanismen lassen sich bei korrekter Umetzung theoretisch nicht umgehen. </li></ul><ul><li>Die Privatsphäre des Einzelnen wird limitiert und Zugangsmöglichkeiten können nicht „verliehen“ werden. </li></ul><ul><li>Jenachdem welche Technologie zum Einsatz kommt (z.B. Retina-Scan), können Krankheiten negativen Einfluss haben und grundsätzlich die Transparenz leiden. </li></ul>
    139. 139. Directory Traversal Schwachstellen <ul><li>Anwendungen stellen einem Benutzer normalerweise einen Zugangsbereich zur Verfügung. </li></ul><ul><li>Ein Angreifer versucht aus diesem Bereich auszubrechen und dadurch seine Zugriffsrechte zu erweitern. </li></ul>
    140. 140. Beispiel eines schlecht programmierten CGI-Skripts
    141. 141. Austricksen des CGI-Skripts
    142. 142. Aufgabe CGI-Skript austricksen <ul><li>Stellen Sie mit dem Browser Ihrer Wahl eine HTTP-Verbindung zum Beispiel-Webserver auf (z.b. http://192.168.0.1/cgi-bin/showfile.cgi ). </li></ul><ul><li>Spielen Sie ein bisschen mit dem CGI-Skript herum und versuchen Sie auf andere Dateien zuzugreifen (z.B. /etc/hosts, /etc/passwd, /etc/apache/*) </li></ul>
    143. 143. Gegenmassnahmen Directory Traversal <ul><li>Durch sichere Programmierung auf Server-Applikation die bösartigen Eingaben filtern. </li></ul><ul><li>Durch eine sichere Konfiguration auf der Server-Applikation die bösartigen Eingaben und Zustände verhindern (jailing) filtern. </li></ul><ul><li>Durch ein Application Gateway bösartige Eingaben auf dem Netzwerk filtern. </li></ul>Server Client Application Gateway Sichere Programmierung Sichere Konfiguration
    144. 144. Pufferüberlauf (engl. buffer overflow) <ul><li>Nicht limitierte Variablen lassen sich überfüllen (buffer overrun). </li></ul><ul><li>Dadurch kann eine Software zum Absturz gebracht werden [ Klein 2003 ]. </li></ul><ul><li>Oder im schlimmsten Fall lassen sich Programmcode mit den Rechten der Anwendung ausführen [ Aleph One 1996 , Klein 2003 ]. </li></ul>
    145. 145. Funktionsweise eines Pufferüberlaufs Mein Name ist Marc. Speicher Anwendung A Speicher Anwendung B cmd.exe /c notepad.exe <ul><li>Anwendung A und B bekommen je ihren Speicher zugewiesen. </li></ul><ul><li>Anwendung B vermerkt im Speicher die Ausführung eines systeminternen Kommandos. </li></ul><ul><li>Benutzer überfüllt Variable einer Anwendung A und überschreibt Speicher von B. </li></ul><ul><li>Anwendung B führt nächstes Mal neues Kommando aus. </li></ul>Mein Name ist Marc.aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaacmd.exe /c net user Marc abc123 /add
    146. 146. Gegenmassnahmen Pufferüberlauf <ul><li>Durch sichere Programmierung die Variablen beschränken. </li></ul><ul><li>Durch ein sicheres Speichermanagement des Betriebssystems oder der Hardware das Überschreiben von Speicher verhindern. </li></ul>
    147. 147. Race Condition <ul><li>Der Zustand einer Systemkomponente wird temporär anpegasst, um eine Aufgabe (z.B. Installation) umzusetzen. </li></ul><ul><li>Noch bevor der ursprüngliche Zustand wieder hergestellt werden kann, wird der temporäre Zustand ausgenutzt. </li></ul>
    148. 148. Beispiel einer Race Condition während einer Installation <ul><li>Eine Datenbank soll installiert werden. </li></ul><ul><li>Während der Installation werden die Daten in ein allgemein zugängliches Verzeichnis kopiert. (Während dieser Phase ist eine Manipulation möglich!) </li></ul><ul><li>Nach dem Kopieren der Dateien werden die Zugriffsrechte für die neuen Dateien limitiert. </li></ul>
    149. 149. Gegenmassnahmen Race Conditions <ul><li>Angreifern sollte kein Zeitfenster für unerwünschte Eingriffe gelassen werden. </li></ul><ul><li>Auf Multiuser-Systemen sollte bei kritischen Installationen temporär auf Singleuser-Betrieb umgeschaltet werden. </li></ul>
    150. 150. Cross Site Scripting (Abk. XSS oder CSS) <ul><li>Web-Applikation erlaubt Eingaben durch den Benutzer und stellt diese dar. </li></ul><ul><li>Benutzer übergibt HTML- und aktiven Code und beeinflusst so die Ausgabe bzw. das Verhalten der interpretierenden Anwendung (Webbrowser). </li></ul>
    151. 151. Gegenmassnahmen Cross Site Scripting <ul><li>Man muss unterscheiden zwischen Massnahmen des Anbieters und denjenigen des Nutzers. </li></ul>
    152. 152. Gegenmassnahmen Anbieter <ul><li>Durch sichere Programmierung auf der Web-Applikation die bösartigen Ein-/Ausgaben filtern. </li></ul><ul><li>Durch ein Application Gateway bösartige Ein-/Ausgaben auf dem Netzwerk filtern. </li></ul>Anbieter Nutzer Application Gateway Sichere Programmierung
    153. 153. Gegenmassnahmen Nutzer <ul><li>Durch sichere Programmierung auf der Applikation die bösartigen Ausgaben filtern. </li></ul><ul><li>Durch sichere Konfiguration auf der Applikation die interpretation bösartiger Ausgaben einschränken. </li></ul><ul><li>Durch ein Application Gateway bösartige Ausgaben auf dem Netzwerk filtern. </li></ul>Anbieter Nutzer Application Gateway Sichere Programmierung Sichere Konfiguration
    154. 154. Social Hacking <ul><li>Durch psychologische Tricks werden die Opfer überlistet, um Angriffe auf Computersysteme umzusetzen. [ Ruef 2001 , Ruef et al. 2002 , McClure et al. 2003 ] </li></ul><ul><li>Dies ist die wohl beliebteste und fruchtbarste Angriffstechnik. [ Shimomura et al. 1996 ] </li></ul>
    155. 155. Beispiel einer vorgetäuschten SMTP-Sitzung <ul><li>telnet smtp.hispeed.ch 25 </li></ul><ul><li>HELO computec.ch </li></ul><ul><li>MAIL FROM: [email_address] </li></ul><ul><li>RCPT TO: [email_address] </li></ul><ul><li>DATA <Mailbody> </li></ul><ul><li>QUIT </li></ul>
    156. 156. Resultat und Erscheinungsbild der gefälschten Nachricht
    157. 157. Aufgabe Social Hacking: Gefälschte Email verschicken <ul><li>Stellen Sie eine Telnet-Verbindung zum SMTP-Server Ihres ISPs her (z.B. „telnet smtp.hispeed.ch 25“). </li></ul><ul><li>Schicken Sie sich ein Email mit gefälschter Absenderadresse an Ihren Mailaccount. Das SMTP-Kommando HELP dürfte Ihnen während der Sitz weiterhelfen können. </li></ul><ul><li>Schauen Sie sich nach Empfang des Emails dieses genauestens an. </li></ul><ul><li>Beantworten Sie die folgenden Fragen: </li></ul><ul><ul><li>Ist es möglich das Mail als gefälscht zu identifizieren? </li></ul></ul><ul><ul><li>Falls ja, dank welchen Überprüfungen? </li></ul></ul>
    158. 158. Gegenmassnahmen Social Hacking <ul><li>(Sensitive) Daten sollen und dürfen nicht nach Aussen gelangen. </li></ul><ul><li>Die Benutzer müssen sich des Risikos bewusst sein (Awareness). </li></ul><ul><li>Die Identität eines Gegenübers einer Kommunikation gilt es stets zweifelsfrei festzustellen (z.B. Nachfragen) </li></ul>
    159. 159. Zusammenfassung <ul><li>Ein Angreifer will Zugang erhalten oder seine Rechte erweitern. </li></ul><ul><li>Es gibt eine Vielzahl an Angriffsmethoden, die jeweils in ihren Grundzügen anders funktionieren. </li></ul>
    160. 160. Literaturverweise <ul><li>Aleph One, 8. November 1996, Smashing the Stack for Fun and Profit, Prack, Issue 49, File 14, http://www.phrack.org/show.php?p=49&a=14 </li></ul><ul><li>CERT Coordination Center, 2003, CERT/CC Overview – Incident and Vulnerability Trends – Types of Intruder Attacks, http://www.cert.org/present/cert-overview-trends/module-4.pdf </li></ul><ul><li>CERT Coordination Center, 2003, CERT/CC Overview – Incident and Vulnerability Trends – Current Vulnerabilities and Attack Methods, http://www.cert.org/present/cert-overview-trends/module-5.pdf </li></ul><ul><li>Gieseke, Wolfram, März 2001, Anti-Hacker Report, Data Becker, Düsseldorf, ISBN 3815822181, zweite Auflage </li></ul><ul><li>Klein, Tobias, Juli 2003, Buffer Overflows und Format-String-Schwachstellen, Dpunkt Verlag, ISBN 3898641929 </li></ul><ul><li>McClure, Stuart, Scambray, Joel, Kurtz, 1. Februar 2003, Hacking Exposed, Osborne/McGraw-Hill, ISBN 0072227427, vierte Auflage, deutsche Übersetzung durch Ian Travis, Das Anti-Hacker-Buch, MITP, ISBN 3826613759 </li></ul><ul><li>Northcutt, Stephen, Novak, Judy, 1. August 2002, Network Intrusion Detection, Que, ISBN 0735712654, dritte Auflage, deutsche Übersetzung von Marc Ruef, Februar 2004, Hüthig Verlag, ISBN 3826607279 </li></ul><ul><li>Ruef, Marc, 21. Januar 2001, Die Sicherheit von Windows, http://www.computec.ch/dokumente/windows/sicherheit_von_windows/ </li></ul><ul><li>Ruef, Marc, Rogge, Marko, Velten, Uwe, Gieseke, Wolfram, September 2002, Hacking Intern, Data Becker, Düsseldorf, ISBN 381582284X </li></ul><ul><li>Shimomura, Tsutomu, Markoff, John, 1996, Data Zone, Deutscher Taschenbuch Verlag, München, ISBN 3423151013 </li></ul>
    161. 161. Denial of Service <ul><li>Einführung </li></ul><ul><li>Aufbrauchen der Bandbreite </li></ul><ul><li>SYN- und TCP-Flooding </li></ul><ul><li>Fragmentierungs-Angriffe </li></ul><ul><li>Ausnutzen von Programmierfehlern </li></ul><ul><li>Zusammenfassung </li></ul><ul><li>Literaturverweise </li></ul>„ Lerne nicht, um zu zerstören, sondern um aufzubauen.“ Sprichwort aus Usbekistan
    162. 162. Einführung <ul><li>Verhindern des Nutzens eines Dienstes </li></ul><ul><li>Gilt als „destruktive Angriffsform“ </li></ul><ul><li>Gelten als einfache und primitive Attacken </li></ul><ul><li>Das Aufbrauchen von Ressourcen und das Ausnutzen von Programmierfehlern </li></ul>
    163. 163. Aufbrauchen der Bandbreite: David gegen Goliath Angreifer Opfer Internet 56k Modem 2Mbit DSL [Ruef 2001, Ruef et al. 2002]
    164. 164. SYN-Flooding Client Server SYN SYN/ACK SYN SYN SYN ... Es werden mittels SYN-Segmenten so viele Sockets auf dem Zielsystem geöffnet, bis die backlog-Queue voll ist und keine neuen Verbindungsanfragen mehr verarbeitet werden können.
    165. 165. Fragmentierungs-Angriffe: Normale Fragmentierung <ul><li>Sender will ein in Medium zu grosses Datenpaket verschicken. </li></ul><ul><li>Sender unterteilt das zu grosse Datenpaket in kleinere Fragmente. </li></ul><ul><li>Sender verschickt die Fragmente einzeln über das Netzwerk zum Ziel. </li></ul><ul><li>Empfänger erhält die einzelnen Fragmente zeitversetzt. </li></ul><ul><li>Empfänger fügt die einzelnen Fragmente zum ursprünglichen Datenpaket zusammen. </li></ul>Grosses Datenpaket Fragment 1 Fragment 3 Fragment 2
    166. 166. Fragmentierungs-Angriffe: Viele kleine Fragmente <ul><li>Angreifer erstellt einen Fragmentierungs-Zug, bei eine Vielzahl möglichst kleiner Fragmente gegeben ist. </li></ul><ul><li>Angreifer verschickt diesen an das Opfer. </li></ul><ul><li>Opfer empfängt die einzelnen Fragmente zeitversetzt. </li></ul><ul><li>Opfer versucht die Fragmente zusammenzuführen und wird durch die Vielzahl der Fragmente überfordert. </li></ul><ul><li>Diese Störung wirkt sich zum Beispiel durch einen Absturz oder einen Neustart des Systems aus. </li></ul>Grosses Datenpaket 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21
    167. 167. Fragmentierungs-Angriffe: Nicht abgeschlossener Fragmentierungs-Zug <ul><li>Angreifer erstellt einen normalen Fragmentierungs-Zug. </li></ul><ul><li>Angreifer verschickt einen Teil diesen an das Opfer. </li></ul><ul><li>Opfer empfängt die einzelnen Fragmente zeitversetzt. </li></ul><ul><li>Opfer versucht die Fragmente zusammenzuführen bzw. wartet bis alle erhalten sind. </li></ul><ul><li>Während dieser Wartezeit können keine oder weniger Netzwerverbindungen oder Fragmentierungen verarbeitet werden. </li></ul>Grosses Datenpaket Fragment 1 Fragment 2 Fragment 3
    168. 168. Fragmentierungs-Angriffe: Zu langer Fragmentierungs-Zug (Ping of Death) <ul><li>Angreifer erstellt einen Fragmentierungs-Zug, bei dem die Offset-Werte sich nicht zur erforderlichen Gesamtlänge des Datenpakets summieren. </li></ul><ul><li>Angreifer verschickt diesen an das Opfer. </li></ul><ul><li>Opfer empfängt die einzelnen Fragmente zeitversetzt. </li></ul><ul><li>Opfer versucht die Fragmente zusammenzuführen und wird durch das fehlerhafte Datenpaket gestört. </li></ul><ul><li>Diese Störung wirkt sich zum Beispiel durch einen Absturz oder einen Neustart des Systems aus. </li></ul>Grosses Datenpaket Fragment 1 Fragment 3 Fragment 2
    169. 169. Fragmentierungs-Angriffe: Überlappende Fragmente (Teardrop) <ul><li>Angreifer erstellt einen Fragmentierungs-Zug, bei dem die Offset-Werte sich überlappen. </li></ul><ul><li>Angreifer verschickt diesen an das Opfer. </li></ul><ul><li>Opfer empfängt die einzelnen Fragmente zeitversetzt. </li></ul><ul><li>Opfer versucht die Fragmente zusammenzuführen und wird durch die fehlerhaften Offset-Werte gestört. </li></ul><ul><li>Diese Störung wirkt sich zum Beispiel durch einen Absturz oder einen Neustart des Systems aus. </li></ul>Grosses Datenpaket Fragment 1 Fragment 3 Fragment 2
    170. 170. Ausnutzen von Programmierfehlern: Der WinNuke-Klassiker (1997-1999) Unix/Linux und Microsoft Windows Plattform Patches, Upgrade auf Windows 98 oder neuer, Firewalling Gegenmassnahmen Out of Band (OOB) im Rahmen von NetBIOS Technik Microsoft Windows 95 und NT 3.51 sowie 4.0 Zielsysteme IRC (Internet Relay Chat) Erste Vertriebswege 7. Mai 1997 Erscheinungsdatum C Sprache WinNuke Name
    171. 171. Ausnutzen von Programmierfehlern: SMBnuke und SMBdie (2002-2003) C Sprache Patches, Firewalling Gegenmassnahmen Heap-Overflow im Rahmen von NetBIOS Technik Microsoft Windows NT 4.0 bis XP Zielsysteme Sicherheitsmailinglisten und -webseiten Erste Vertriebswege Mitte 2002 Erscheinungsdatum Unix/Linux und Microsoft Windows Plattform SMBnuke und SMBdie Name
    172. 172. Die Netzwerkanalyse von SMBdie Client Server Nach dem Verbindungsaufbau zum Zielport werden drei PSH-Pakete verschickt. PSH ACK PSH ACK PSH ACK Das Zielsystem stürzt mit einem Bluescreen of Death ab.
    173. 173. Aufgabe Denial of Service: SMBdie-Attacke durchführen <ul><li>Bilden sie Zweiergruppen. </li></ul><ul><li>Laden Sie sich smbdie von der Vorlesungs-Webseite auf Ihren Rechner herunter. Hinweis: Einige Antiviren-Lösungen melden Alarm, dass dies eine destruktive Software sei. </li></ul><ul><li>Führen Sie eine smbdie-Attacke auf den Rechner Ihres Partners durch. Zuerst alle offenen Arbeiten auf dem Zielsystem speichern und schliessen! </li></ul><ul><li>Beantworten Sie folgende Fragen: </li></ul><ul><ul><ul><li>Verlief der Angriff erfolgreich? </li></ul></ul></ul><ul><ul><ul><li>Wie verhält sich das angegriffene System? </li></ul></ul></ul><ul><ul><ul><li>Konnten Sie irgendwelche Anomalien feststellen? </li></ul></ul></ul>
    174. 174. Lösung SMBdie-Attacke durchführen <ul><li>Ungepatchte und nicht durch Firewalling geschützte Microsoft Windows NT 4.0 bis XP sind verwundbar gegen den Angriff. </li></ul><ul><li>Ein verwundbares System zeigt nach einem erfolgreichen Angriff einen Bluescreen of Death an und muss neu gestartet werden. </li></ul><ul><li>Der Benutzer kriegt vom laufenden Angriff ohne zusätzliche Überwachungsmassnahmen (z.B. Netzwerk-Analyse, Firewalling oder Intrusion Detection-System) nichts mit und ist zum Schluss erst mit dem Endresultat (siehe Punkt 2) konfrontiert. </li></ul>
    175. 175. Zusammenfassung <ul><li>Denial of Service-Attacken (Abk. DoS) zielen in destruktiver Weise darauf ab, ein System ganz oder teilweise funktionsunfähig zu machen. </li></ul><ul><li>Denial of Service-Attacken vebrauchen entweder Ressourcen oder nutzen Programmierfehler aus. </li></ul>
    176. 176. Literaturverweise <ul><li>Gieseke, Wolfram, März 2001, Anti-Hacker Report, Data Becker, Düsseldorf, ISBN 3815822181, zweite Auflage </li></ul><ul><li>Klein, Tobias, Juli 2003, Buffer Overflows und Format-String-Schwachstellen, Dpunkt Verlag, ISBN 3898641929 </li></ul><ul><li>McClure, Stuart, Scambray, Joel, Kurtz, 1. Februar 2003, Hacking Exposed, Osborne/McGraw-Hill, ISBN 0072227427, vierte Auflage, deutsche Übersetzung, Das Anti-Hacker-Buch, MITP, ISBN 3826613759 </li></ul><ul><li>Mr. Gentlemen, 2000, IP-Fragmentierung, http://www.computec.ch/dokumente/denial_of_service/ip-fragmentierung/ip-fragmentierung.txt </li></ul><ul><li>Northcutt, Stephen, Novak, Judy, 1. August 2002, Network Intrusion Detection, Que, ISBN 0735712654, dritte Auflage, deutsche Übersetzung von Marc Ruef, Februar 2004, Hüthig Verlag, ISBN 3826607279 </li></ul><ul><li>Peschel, Gaby, 31. März 2003, DoS – Die, die ohne Service sind, http://www.computec.ch/dokumente/denial_of_service/dos-die_ohne_service/ </li></ul><ul><li>Ruef, Marc, 2. April 2000, Denial of Service, http://www.computec.ch/dokumente/denial_of_service/denial_of_service/denial_of_service.html </li></ul><ul><li>Ruef, Marc, 21. Januar 2001, Die Sicherheit von Windows, http://www.computec.ch/dokumente/windows/sicherheit_von_windows/ </li></ul><ul><li>Ruef, Marc, Rogge, Marko, Velten, Uwe, Gieseke, Wolfram, September 2002, Hacking Intern, Data Becker, Düsseldorf, ISBN 381582284X </li></ul><ul><li>Spooky, 2000, SYN-Flooding, http://www.computec.ch/dokumente/denial_of_service/syn-flooding/syn-flooding.txt </li></ul>
    177. 177. Korrupter Programmcode <ul><li>Einführung </li></ul><ul><li>Computerviren und -würmer </li></ul><ul><li>Trojanische Pferde und Hintertüren </li></ul><ul><li>Hoax‘ </li></ul><ul><li>Zusammenfassung </li></ul><ul><li>Literaturverweise </li></ul>„ Einen Kranken, der sich für gesund hält, kann man nicht heilen.“ - Henri Frédéric Amiel (1821 - 1881), französisch-schweizerischer Philosoph, Essayist und Lyriker
    178. 178. Was ist korrupter Programmcode? Korrupter oder schädlicher Programmcode hat die Eigenschaft, sich unerwünschten oder unbefugten Zugriff auf Computer bzw. dessen Komponente zu verschaffen.
    179. 179. Computerviren und -würmer <ul><li>Was ist ein Computervirus? </li></ul><ul><li>Die Geschichte der Computerviren </li></ul><ul><li>Funktionsweise klassischer Dateiviren </li></ul><ul><li>Funktionsweise jüngerer Mail-Würmer </li></ul><ul><li>Gegenmassnahmen </li></ul><ul><li>Was tun bei Virenbefund? </li></ul>
    180. 180. Was ist ein Computervirus? <ul><li>Per Definition ist ein Computervirus </li></ul><ul><ul><li>„ ein sich selber reproduzierendes Programm.“ [ Ruef et al. 2002 ] </li></ul></ul><ul><li>Eine destruktive Schadensroutine (z.B. Das Löschen von Dateien) ist nicht zwingender Bestandteil von Computerviren. Viele der grossen Klassiker kamen ohne derlei Funktionalität aus. </li></ul>
    181. 181. Geschichte der Computerviren <ul><li>1949 entwickelte der ungarische Informatiker John von Neumann (1903-1957) die erste Theorie sich selber reproduzierender Computerprogramme. </li></ul><ul><li>1981 benutzte Professor Leonard M. Adleman „erstmals“ den Begriff Computervirus in einem Gespräch mit Fred Cohen. </li></ul><ul><li>1982 wurden im Xerox Alto Research Center die ersten halbwegs funktionstüchtigen Computerviren entwickelt. </li></ul><ul><li>1983 stellte Fred Cohen den ersten funktionierenden Virus für Unix-Systeme vor. </li></ul><ul><li>1984 veröffentlichte Fred Cohen seine lange umstrittene Doktorarbeit zum Thema. </li></ul><ul><li>1985 wurden erste Viren und Viren-Quelltexte (für Apple II) „in the wild“ gesehen. </li></ul>
    182. 182. Die Virengefahr wächst unaufhörlich <ul><li>29. März 1999 - Melissa, ein Word-Makrovirus, verbreitet Angst und Schrecken im Internet. </li></ul><ul><li>18. Oktober 2001 – Der VBS-Virus ILOVEYOU beglückt die Internet-User mit dubiosen E-Mails. </li></ul><ul><li>16. Juli 2001 - CodeRed nimmt ein beachtliche Menge an Zeit, Geld und Ressourcen in Anspruch. </li></ul><ul><li>19. Juli 2001 - Der Sircam-Wurm nervt die Mail-Benutzer. </li></ul><ul><li>19. September 2001 – Der Wurm Nimda ist Mittelpunkt des Internet-Interesses. </li></ul><ul><li>11. August 2003 – W32.Blaster.Worm wird zur grössten Wurmplage für Windows-Benutzer. </li></ul>
    183. 183. Aufgabe Computerviren: Analyse der Hintergründe <ul><li>Nennen Sie mögliche Gründe, warum wohl die ersten Computerviren entwickelt wurden. </li></ul><ul><li>Nennen Sie mögliche Gründe, warum in der heutigen Zeit Computerviren entwickelt werden. </li></ul>
    184. 184. Lösung Aufgabe Computerviren: Analyse der Hintergründe <ul><li>Mögliche Gründe für Computerviren (ähnlich den besprochenen Intentionen zur Computerkriminalität allgemein in Kapitel 2 ) sind: </li></ul><ul><ul><li>Neugierde </li></ul></ul><ul><ul><li>Spieltrieb </li></ul></ul><ul><ul><li>Langeweile </li></ul></ul><ul><ul><li>Publizität </li></ul></ul><ul><ul><li>Rache </li></ul></ul><ul><ul><li>Destruktivität </li></ul></ul>
    185. 185. Funktionsweise klassischer Dateiviren <ul><li>virus.exe wird ausgeführt und sucht nach neuen Trägern </li></ul><ul><li>Virus infiziert neue Dateie explorer.exe </li></ul>010101010101011101110100110101110111010010101001010101010101110111010011010010111010100110 111101110100110111011101001010100101010101010111011101001101011101110100101010010101010101011101110100110101110111010010101001010101010101110111010011010111011101001010100101010101010111011101001101011101110100101010010101010101011101110100110101110111011010100101010101010111011101001101011101110100101010010101010101011101110101010001 010101010101011101110100110101110111010010101001010101010101110111010011010010111010100110 0111011101001101011101110100101010010101010101011101110100110101110111010010101001010101010101110111010011010111011101001010100101010101010111011101001101011101110110101001010101010101110111010011010111011101001010100101010101010111011101010100010111101110100110111011101001010100 C:WINDOWSvirus.exe C:WINDOWSexplorer.exe C:WINDOWSnotepad.exe 010101010101011101110100110101110111010010101001010101010101110111010011010010111010100110
    186. 186. Funktionsweise jüngerer Mail-Würmer Bill Andrea David Carol <ul><li>A schickt einen Computervirus an C und D. </li></ul><ul><li>B öffnet Virus und verschickt ihn an A und C. </li></ul><ul><li>C öffnet den Virus und verschickt ihn an A, B und C. </li></ul>
    187. 187. Gegenmassnahmen <ul><li>Vorsicht bei Dateien und Datenträgern unbekannter, unerwünschter oder zwielichtiger Herkunft. </li></ul><ul><li>Überprüfen Sie Dateien mittels einer aktualisierten Antiviren-Software. </li></ul>
    188. 188. Funktionsweise von Antiviren-Lösungen <ul><li>Pattern-Matching </li></ul><ul><ul><li>Die Antiviren-Software durchsucht Datei-Inhalte nach bekannten Zeichenketten, die in Viren gefunden wurden. Zum Beispiel war folgende Zeichenkette Teil von W32.Blaster.Worm: “ I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!!” </li></ul></ul><ul><li>Heuristische Suche </li></ul><ul><ul><li>Die Antiviren-Software überprüft die Funktionsweise eines Programms auf typisches Verhalten korrupter Software (z.B. Mitlesen von Interupts oder Überschreiben von EXE-Dateien). </li></ul></ul>
    189. 189. Aufgabe Computerviren: Technische Analyse eines Computervirus <ul><li>Laden Sie sich den Pseudo-Virus von der Vorlesungs-Webseite auf Ihren Rechner herunter. </li></ul><ul><li>Entpacken Sie die ZIP-Datei und lesen Sie die Anweisungen in der beiliegenden TXT-Datei. </li></ul><ul><li>Öffnen Sie die Pseudo-Virus-Datei mit einem Text- oder HEX-Editor Ihrer Wahl. </li></ul><ul><li>Beantworten Sie die folgenden beiden Fragen: </li></ul><ul><ul><li>Können Sie ein Pattern erkennen, anhand dessen sich diese Virus identifizieren liesse? </li></ul></ul><ul><ul><li>Können Sie irgendwelche Merkmale feststellen, die auf die Herkunft des Virus deuten könnte? </li></ul></ul>
    190. 190. Lösung Computerviren: Technische Analyse eines Computervirus <ul><li>Im Virus ist der Text „Trööt, MARC wants a CAKE!“ enthalten. </li></ul><ul><li>Das Nutzen von Umlauten deutet darauf hin, dass der Viren-Entwickler aus einem Land kommt, in dem Umlaute eingesetzt werden (z.B. Schweiz, Deutschland, Österreich). </li></ul>
    191. 191. Aufgabe Computerviren: Antiviren-Software installieren <ul><li>Falls Sie schon eine Antiviren-Lösung auf Ihrem Rechner installiert haben, sollen Sie diese Übung nicht durchführen. </li></ul><ul><li>Laden Sie sich die freie Antiviren-Lösung von http://www.free-av.com herunter und installieren sie diese. </li></ul><ul><li>Überprüfen Sie die bisher im Rahmen des Workshops heruntergeladenen Dateien nach etwaigen Viren. Notieren Sie sich die Namen der gefundenen Schädlinge. </li></ul>
    192. 192. Was tun bei Virenfund? <ul><li>Suchen des Virennamen in Suchmaschinen und Viren-Datenbanken. </li></ul><ul><li>Bestätigen der Viren-Infektion anhand der in Erfahrung gebrachten Indizien. </li></ul><ul><li>Säubern oder löschen des korrupten Programmcodes. </li></ul><ul><li>Informormieren der allfälligen Quelle (Absender, Distributor oder Entwickler) über das bestehende Problem. </li></ul>
    193. 193. Aufgabe Computerviren: Informieren über Computervirus <ul><li>Ihre Antiviren-Lösung meldet beim Zugriff auf eine EXE-Datei den vermeintlichen Virus „TR/WinNuke97“. </li></ul><ul><li>Informieren Sie sich über den vermeintlichen Virus? </li></ul><ul><li>Handelt es sich um eine schädliche Software? </li></ul><ul><li>Welches Vorgehen schlagen Sie vor? </li></ul>
    194. 194. Lösung Informieren über Computervirus <ul><li>Der besagte korrupte Programmcode kann in den Viren-Datenbanken der grossen Antiviren-Herstellern unter verschiedenen Namen gefunden werden. </li></ul><ul><li>Der korrupte Programmcode wird als Trojanisches Pferd deklariert. </li></ul><ul><li>Die Beschreibung fasst das Programm als Angriffstool (Nuker) zusammen. </li></ul><ul><li>Es besteht keine Gefahr für den Anwender der Software selbst. </li></ul><ul><li>WinNuke wurde in die Virendatenbanken aufgenommen, um die Verbreitung der Angriffssoftware zu minimieren. </li></ul>
    195. 195. Trojanische Pferde und Hintertüren <ul><li>Klassische Trojanische Pferde </li></ul><ul><li>Moderne Remote-Control-Programme </li></ul><ul><li>Gegenmassnahmen </li></ul>
    196. 196. Was ist ein Trojanisches Pferd? Per Definition ist ein Trojanisches Pferd eine Software, die ohne das Wissen und Einverständnis eines Benutzers im Hintergrund unerwünschte Aktivitäten durchführt. Der Begriff stammt aus dem im 12ten Jahrhundert zwischen den Griechen und den Trojanern geführten Krieg. Die Hinterlist der Griechen begann nun damit, ihren Rückzug vorzutäuschen. Als Zeichen der Freundschaft liessen sich ein grosses hölzernes Pferd zurück, in dem sich 30 ihrer stärksten und geschicktesten Männer verbargen. Die Trojaner führten das Geschenk Mutes in die Mitte ihrer Stadt. Des Nachts stiegen die im hölzernen Pferd versteckten Griechen heraus und öffneten die Stadttore für die heimlich zurückgekehrten Mitstreiter. Die Stadt Troja wurde zerstört und die Einwohner wurden entweder getötet oder versklavt. Nur wenige entkamen der Hinterlist der Griechen...
    197. 197. Klassische Trojanische Pferde 111101110100110111011101001010100101010101010111011101001101011101110100101010010101010101011101110100110101110111010010101001010101010101110111010011010111011101001010100101010101010111011101001101011101110100101010010101010101011101110100110101110111011010100101010101010111011101001101011101110100101010010101010101011101110101010001 11110111010011011101110100101010010101010101011101110100110101110111010010101001010101010101110111010011010111011101001010100101010101010111011101001101011101110100101010010101 <ul><li>Opfer erhält eine vermeintlich tolle oder wichtige Software. </li></ul><ul><li>Opfer führt diese Software in gutem Glauben aus: </li></ul><ul><ul><li>Zuerst wird ein „normaler“ Codeteil ausgeführt, der dem Benutzer etwas „vorgaukelt“. Zum Beispiel eine hübsche Animation. </li></ul></ul><ul><ul><li>Danach wird der trojanische Codeteil ausgeführt, der im Hintergrund unerwünschte Aktivitäten umsetzt. Zum Beispiel verschicken von Passwort-Dateien. </li></ul></ul>Normaler Codeteil Trojanischer Codeteil
    198. 198. Moderne Remote-Control-Tools Angreifer Opfer <ul><li>Der Angreifer sorgt dafür, dass auf dem System des Opfers heimlich ein Server installiert wird. </li></ul><ul><li>Dieser Server wartet auf Eingaben durch den Angreifer. </li></ul><ul><li>Der Angreifer steuert mit seinem Client den Server auf dem System des Opfers. Er hat dadurch Kontrolle über das Zielsystem. </li></ul>
    199. 199. Der Server von NetBus Pro 2.01
    200. 200. Der Client von NetBus Pro 2.01
    201. 201. Aufgabe Trojanische Pferde: NetBus ausprobieren <ul><li>Deaktivieren Sie temporär Ihre Antiviren-Software, um die Übung zu ermöglichen. </li></ul><ul><li>Laden Sie sich NetBus Pro 2.01 von der Workshop-Webseite herunter. </li></ul><ul><li>Installieren Sie alle Komponente der Software auf Ihrem System. </li></ul><ul><li>Starten Sie den Server und konfigurieren Sie ihn Ihren Wünschen entsprechend (z.B. Passwort setzen). </li></ul><ul><li>Starten Sie den Client und stellen Sie eine Verbindung zu Ihrem System her. Führen Sie irgendwelche Ein- und Zugriffe durch. Vorsicht vor ungewollten Schäden! </li></ul>
    202. 202. Aufgabe Backdoors: Gegenmassnahmen Backdoors <ul><li>Beantworten Sie die folgenden Fragen: </li></ul><ul><ul><li>Wie würden Sie eine unerlaubt installierte Hintertür endtecken? </li></ul></ul><ul><ul><li>Welche Gegenmassnahmen würden Sie empfehlen? </li></ul></ul>
    203. 203. Laufende Prozesse analysieren
    204. 204. Port-Stati analysieren
    205. 205. Portbelegung analysieren
    206. 206. Aufgabe Backdoors: Hintertür analysieren <ul><li>Starten Sie den Server-Teil des zuvor heruntergeladenen Remote-Control-Programms. </li></ul><ul><li>Versuchen Sie über die folgenden Mechanismen die Existenz der Hintertür auszumachen (die Software finden Sie auf der Workshop-Seite): </li></ul><ul><ul><li>Analyse der Prozesse (Taskmanager) </li></ul></ul><ul><ul><li>Analyse der Port-Stati (netstat) </li></ul></ul><ul><ul><li>Analyse der Port-Belegung (fport) </li></ul></ul>
    207. 207. Gegenmassnahmen Remote-Control-Programme <ul><li>Der Zugriff durch Remote-Control-Programme kann mittels Firewall limitiert werden. </li></ul><ul><li>Aktualisierte Antiviren-Software ist in der Lage populäre Trojanische Pferde zu erkennen. </li></ul>Angreifer Opfer Firewall Antiviren-Software
    208. 208. Hoax‘ <ul><li>Was ist ein Hoax? </li></ul><ul><li>Verbreitung eines Hoax‘ </li></ul><ul><li>Was tun bei einem vermeintlichen Hoax? </li></ul>
    209. 209. Was ist ein Hoax? <ul><li>Ein Hoax ist eine Falschmeldung, die zum Zweck geschrieben wurde, dass sie durch arglose Benutzer weitergeleitet wird. Quasi ein „passiver“ Virus. </li></ul><ul><li>Als Ursprung der Hoax‘ gilt „GoodTimes“, der mit den folgenden Zeilen beginnt: </li></ul><ul><ul><li>Some miscreant is sending email under the title &quot;Good Times“ nationwide, if you get anything like this, DON'T DOWN LOAD THE FILE! </li></ul></ul>
    210. 210. Verbreitung eines Hoax‘
    211. 211. Was tun bei einem vermeintlichen Hoax? <ul><li>Lesen Sie das Schreiben sehr kritisch durch. </li></ul><ul><li>Mails, die eine Weiterleitung empfehlen oder verlangen sind grundsätzlich verdächtig. Informationen für die breite Massen werden sehr selten per Email vermittelt. </li></ul><ul><li>Suchen Sie im Internet und Hoax-Archiven nach der Betreffzeile oder markanten Textstellen. </li></ul><ul><li>Falls es sich wirklich um ein Hoax handelt, dann das Email ohne Weiterleiten löschen. </li></ul>
    212. 212. Aufgabe Hoax: Email analysieren <ul><li>Was können Sie über das folgende Email herausfinden? </li></ul><ul><ul><li>Ich wende mich an Euch, weil ich ziemlich verzweifelt bin. Ich hoffe, Ihr könnt mir und meiner Freundin helfen, und lest diesen Brief! Das Problem ist, dass meine Freundin an Leukämie erkrankt ist. Es hat sich herausgestellt, dass Sie nur noch wenige Wochen zu Leben hat. Aus diesem Grund seit Ihr meine letzte Chance Ihr zu helfen. Wir benötigen dringend eine/n Spender/in mit der Blutgruppe &quot;AB negativ&quot;!!!! der/die bereit wären, ggf. Knochenmark zu Spenden. Dies ist für Euch nur ein kleiner ärztlicher Eingriff, kann aber meiner Freundin zu Leben verhelfen. Wenn jemand diese Blutgruppe hat, möchte er/sie sich doch bitte mit mir in Verbindung setzen. Alles weitere besprechen wir dann. Sendet bitte diesen Brief an alle, die Ihr kennt!!! Fragt in Eurem Bekanntenkreis nach !!!!! </li></ul></ul><ul><li>Handelt es sich um einen Hoax? </li></ul><ul><li>Falls ja, welche Indizien lassen dies vermuten? </li></ul><ul><li>Inwiefern weist ein Hoax eine „Schadensroutine“ auf? </li></ul>
    213. 213. Lösung Email analysieren <ul><li>Es handelt sich um einen erstmal im Ende 2000 aufgetauchter Knochenspender-Kettenbrief. </li></ul><ul><li>Eine Suchabfrage führt früher oder später zu einem Hoax-Archiv. </li></ul><ul><li>Hauptindiz für einen Hoax ist die Bitte, das Schreiben an alle Bekanntenweiterzuleiten. </li></ul><ul><li>Die „Schadensroutine“ besteht im Verschleiss von Ressourcen (Zeit und Energie der Leser sowie zusätzliche Nutzlast für Email-Systeme). </li></ul>
    214. 214. Zusammenfassung <ul><li>Computerviren sind sich selber reproduzierende Programme. </li></ul><ul><li>Ein Trojanisches Pferd führt im Hintergrund ohne Wissen oder Einverständnis eines Benutzers eine Aktion aus. </li></ul><ul><li>Antiviren-Software ist in der Lage korrupten Programmcode mittels Pattern-Matching und heuristischer Suche zu erkennen. </li></ul><ul><li>Hoax‘ sind Falschmeldungen, die zum aktiven/manuellen Weiterschicken anregen und dadurch Zeit und Ressourcen verbrauchen. </li></ul>
    215. 215. Literaturverweise <ul><li>Gieseke, Wolfram, März 2001, Anti-Hacker Report, Data Becker, Düsseldorf, ISBN 3815822181, zweite Auflage </li></ul><ul><li>McClure, Stuart, Scambray, Joel, Kurtz, 1. Februar 2003, Hacking Exposed, Osborne/McGraw-Hill, ISBN 0072227427, vierte Auflage, deutsche Übersetzung, Das Anti-Hacker-Buch, MITP, ISBN 3826613759 </li></ul><ul><li>Northcutt, Stephen, Novak, Judy, 1. August 2002, Network Intrusion Detection, Que, ISBN 0735712654, dritte Auflage, deutsche Übersetzung von Marc Ruef, Februar 2004, Hüthig Verlag, ISBN 3826607279 </li></ul><ul><li>Ruef, Marc, 21. Januar 2001, Die Sicherheit von Windows, http://www.computec.ch/dokumente/windows/sicherheit_von_windows/ </li></ul><ul><li>Ruef, Marc, Rogge, Marko, Velten, Uwe, Gieseke, Wolfram, September 2002, Hacking Intern, Data Becker, Düsseldorf, ISBN 381582284X </li></ul><ul><li>Ruef, Marc, 15. Februar 2003, So funktionieren Computerviren, http://www.computec.ch/dokumente/viren/so_funktionieren_virenscanner/ </li></ul><ul><li>Ruef, Marc, 15. Februar 2003, Warum gibt es Computerviren?, http://www.computec.ch/dokumente/viren/warum_gibt_es_computerviren/ </li></ul>
    216. 216. Firewall-Systeme <ul><li>Einführung </li></ul><ul><li>Paket Filter </li></ul><ul><li>Application Gateways und Proxies </li></ul><ul><li>Personal Firewalls </li></ul><ul><li>Konzeption einer Firewall-Lösung </li></ul><ul><li>Zusammenfassung </li></ul><ul><li>Literaturverweise </li></ul>„ Feuer soll man nicht in Papier einhüllen.“ Chinesisches Sprichwort
    217. 217. Was ist eine Firewall? Die Brandschutzmauer limitiert Auswirkungen von Bränden Firewalls (Abk. FW) sind eine Kombination aus Brandschutzmauer und Pförtner. Der Pförtner überprüft und protokolliert den Durchgang
    218. 218. Aufgabe Firewalling: Wohin mit dem Pförtner? <ul><li>Sie haben die Aufgabe das folgende Gebäude durch einen Pförtner zu sichern, der aus- und eingehende Personen prüft. Wo positionieren Sie den Pförtner? </li></ul>Pausenraum Archiv 1 Archiv 2 Archiv 3 Büro 1 Büro 2 Beobachteter Bereich Portier
    219. 219. Beispiel von klassischem Inline-Firewalling Ein Firewall-System wird quasi als Schranke zwischen das zu schützende und das unsichere Netz geschaltet, so dass der ganze Datenverkehr zwischen den beiden Netzen nur über das Firewall-Element möglich ist. Dies ist sodann der C

    ×