Vorlesung Datensicherheit Sommersemester 2010 - fbi.h-da… · Die Information ist nur für Berechtigte lesbar. Beispiel: Inhalt einer E-Mail ist nur für Empfänger lesbar. Harald

Vorlesung Datensicherheit

Sommersemester 2010

Harald Baier

Kapitel 1: Grundlagen

Harald Baier Datensicherheit – h_da – SS 10 2

Inhalt

● Ein paar Vorbemerkungen

● Grundbegriffe

● Sicherheitsziele

● Thesen zur IT-Sicherheit


Inhalt


● Grundbegriffe




Wozu schlechte Datensicherheit führen kann (1)

Quelle:c't 17/08



Quelle:c't 21/07



Quelle:c't 08/07



Quelle:c't 06/09


Phishing

Quelle:c't 20/06


Datenpannen / Datenklau (1/4)

● Steuersünder-CDs aus der Schweiz (Februar 2010)Quelle: http://www.spiegel.de/wirtschaft/soziales/0,1518,675977,00.htmlhttp://www.sueddeutsche.de/finanzen/742/501982/text/

Ehemaliger Bank-Mitarbeiter bietet Daten über Kunden an, die vermutlich in Deutschland die Einkünfte nicht versteuern

Kosten: 2.5 Mio. EUR für 'Schweizer' CD

Ähnliches Szenario wie 2008 bei Liechtenstein-CD

● Skimming in Darmstadt (März 2010)Quelle: http://www.echo-online.de/suedhessen/darmstadt/Zwei-neue-Faelle-von-Skimming;art1231,762067http://www.echo-online.de/suedhessen/darmstadt-dieburg/griesheim/Duo-spaeht-EC-Karten-am-Geldautomaten-aus;art1287,777525

Skimming-Versuche am Luisenplatz

Verhandlung über Skimming in Alsbach-Hähnlein bzw. Bickenbach



● 1 Mio. Datensätze von Mitgliedern von SchülerVZ anonym an Website netzpolitik.org verschickt (Oktober 2009)Quelle: http://www.heise.de/security/meldung/Ueber-1-Million-Datensaetze-bei-SchuelerVZ-abgesaugt-832232.html

Betroffene Daten: 'Community-interne Informationen' wie Profil-ID, Name, Schule, teilweise auch Alter u. Link auf Bild

Potenzielles Problem: Daten über Kinder u. Jugendliche

● 27.000 Datensätze von AWD-Kunden anonym an NDR übergeben (Oktober 2009)Quelle: http://www.heise.de/newsticker/meldung/Datenpanne-beim-Finanzdienstleister-AWD-831068.html

Betroffene Daten: Name, Anschrift, Geburtstag, Verträge inkl. Laufzeit u. Volumen (Stand: 1990er bis 2001)

Lt. AWD 'keine sensiblen Daten im Sinne des Datenschutzes'



● Kreditkartendaten von Kunden der LB Berlin werden zur Vertuschung eines Keksdiebstahls von Kurierfahrern an die Frankfurter Rundschau versendet (Dezember 2008)Quelle: http://www.heise.de/newsticker/LBB-Datenskandal-ist-vertuschter-Stollen-Diebstahl--/meldung/120770

● Freier Zugriff auf Meldedaten von ca. 200 Städten im Zeitraum März-Juni 2008, da betroffene Meldebehörden Standardzugangsdaten nicht ändertenQuelle: http://www.heise.de/newsticker/Fernsehmagazin-Datenpanne-bei-Einwohnermeldeaemtern-Update--/meldung/109835

● Ende 2004: Versehentliches Löschen von Daten (z.B. über Auslandseinsätze) der Bundeswehr für 1999-2003; Panne wurde im Juni 2007 bekanntQuelle: http://www.heise.de/newsticker/Datenpanne-bei-der-Bundeswehr--/meldung/91700

http://www.heise.de/newsticker/Datenpanne-bei-der-Bundeswehr--/meldung/91700



● Chinesen installieren Trojaner auf deutschen Regierungscomputern (August 2007)? Trojaner kommen via Office-Attachment ins BK, BMBF, BMWi und AAQuelle: http://www.heise.de/newsticker/Deutsche-Regierung-im-Visier-eines-chinesischen-Trojaners--/meldung/94932

● Ghostnet: Spionage-Netzwerk (u.a. auf Rechnern der tibetischen Exilregierung) (April 2010 + März 2009)Quelle: http://www.heise.de/newsticker/Chinesische-Spionage-Software-infiltriert-Rechner-tibetischer-Exil-Regierung-Update--/meldung/135387http://www.heise.de/security/meldung/Ghostnet-2-0-Spionagenetz-nutzt-Dienste-in-der-Cloud-970678.html


Inhalt


● Grundbegriffe




Definitionen von 'Sicherheit'

● Sicherheit (zitiert aus Meyers großem Taschenlexikon Band 20 nach [Steinmetz], S. 2):

Zustand des Unbedrohtseins, der sich objektiv im Vorhandensein von Schutz[einrichtungen] bzw. im Fehlen von Gefahr[enquellen] darstellt und subjektiv als Gewissheit von Individuen oder sozialen Gebilden über die Zuverlässigkeit von Sicherungs- und Schutzeinrichtungen empfunden wird.

● Sicherheit (zitiert nach Wikipedia, Zugriff am 07.04.2010):

Sicherheit bezeichnet einen Zustand, der frei von unvertretbaren Risiken der Beeinträchtigung ist oder als gefahrenfrei angesehen wird.


Definitionen von 'Information'

● Information nach Wikipedia (Zugriff in 2006): Information (v. lat.: informare = bilden, eine Form geben) ist ein potenziell oder tatsächlich vorhandenes nutzbares oder genutztes Muster von Materie und/oder Energieformen, das für einen Betrachter innerhalb eines bestimmten Kontextes relevant ist. Wesentlich für die Information ist die Wiedererkennbarkeit sowie der Neuigkeitsgehalt.

● Information nach Wikipedia (Zugriff am 05.04.2010): Ihr Kennzeichen: Information vermittelt einen Unterschied. Die Information verliert, sobald sie informiert hat, ihre Qualität als Information: „News is what's different.”

● Information nach Internet Security Glossary (RFC 2828):Facts and ideas, which can be represented (encoded) as various forms of data


Informationssicherheit vs. IT-Sicherheit (lt. BSI)

● Informationssicherheit:

Ziel: Schutz von Informationen

Unabhängig von Repräsentation: Papier, Kopf, IT-System

● IT-Sicherheit:

Ziel: Schutz elektronischer Informationen

Speicherung, Verarbeitung, Übertragung

● IT-Sicherheit ist echte Teilmenge der Informationssicherheit


Security vs. Safety

● Security: Informationssicherheit

Keine unautorisierte Informationsveränderung oder Informationsgewinnung möglich

Abwehr von Angriffen (Analyse von Bedrohungen, Realisierung von Schutzmaßnahmen)

● Safety: Funktionssicherheit

Ist-Zustand des IT-Systems entspricht Soll-Zustand

IT-System funktioniert wie vorgegeben unter allen normalen Betriebsbedingungen

Teilaspekt der Zuverlässigkeit (Dependability)


IT-System

● IT-System ([Eckert], S. 2):Ein IT-System ist ein geschlossenes oder offenes, dynamisches technisches System mit der Fähigkeit zur Speicherung und Verarbeitung von Informationen.

Geschlossenes IT-System: Baut auf Technologie eines Herstellers auf Inkompatibel zu Produkten anderer Hersteller Beschränkt auf bestimmten Personenkreis u. Gebiet

Offenes IT-System: Vernetzte, physisch verteilte Systeme Kompatibel zu Standards Offen für Kommunikation mit anderen Systemen

Heterogenes IT-System: Mischform


Schnittstellen, Nutzer, Autorisation

● Schnittstellen:

Erlauben Austausch von Informationen mit anderen IT-Systemen oder der Umwelt (typischerweise Subjekte)

Beispiele: Hardware- u. Softwareschnittstellen

● Nutzer:

(Menschliche) Benutzer eines IT-Systems

Prozesse, die für Benutzer System nutzen

Greifen auf Informationen zu: Zugriffsrechte

● Autorisation:

Berechtigung, eine Information zu lesen oder zu verändern


Datensicherung und Datenschutz

● Datensicherung: Schutz vor Datenverlust

Backup: Sicherungskopie der Daten

Recovery: Wiederherstellung verlorener oder verschlüsselter Daten

● Datenschutz:

Prinzip: Natürliche Person kontrolliert die sie betreffenden Daten

Informationelle Selbstbestimmung hat Rang eines Grundrechts (Volkszählungsurteil des BVerfG von 1983)

Weiterführung: Bundesdatenschutzgesetz (BDSG) von 1990

Aktuell: IT-Grundrecht


Angriff

● Nicht autorisierter Zugriff bzw. Zugriffsversuch

● Angriffsarten:

Passiver Angriff: Unautorisierte Informationsgewinnung Gängiges Beispiel: Sniffing

Aktiver Angriff: Unautorisierte Informationsveränderung Gängige Beispiele:

Veränderung von Datenpaketen im Internet Malware-Verbreitung Phishing Spoofing (Distributed) Denial of Service


Bedrohung und Risiko

● Bedrohung:

Potenzielle Gefährdung von Schutzzielen durch Ausnutzung von Schwachstellen

Bedrohungsarten durch: Passive Angriffe Aktive Angriffe Versehen: Bedienfehler, Fehler in Soft- oder Hardware, ...

● Risiko einer Bedrohung:

Eintrittswahrscheinlichkeit der Bedrohung * Schadenshöhe

Risiko hilft bei Priorisierung der Abwehr verschiedener Bedrohungen

Schwer zu quantifizieren


Angreifertypen (1/2)

● Wichtiges Charakteristikum für Schutzmaßnahmen:Stärke des Angreifers

● Innen- vs. Außentäter

● Innentäter: Person mit weiterführenden Kenntnissen über IT-Struktur führt Angriff durch

(Ehemalige) Mitarbeiter

Lieferant

(IT-)Dienstleister


Angreifertypen (2/2)

● Hacker: Versierter Angreifer zur Aufdeckung von Schwachstellen ohne finanzielles Eigeninteresse

● Cracker: Versierter Angreifer zur Aufdeckung von Schwachstellen mit finanziellem Eigeninteresse

● Skript-Kiddie: Unversierter Angreifer, der Exploits Dritter verwendet

● Sonstige:

Geheimdienste

Strafverfolgung

Industriespionage durch Konkurrenten


Computerforensik = IT-Forensik

● IT-Forensik:

Ziel: Nachweis von (strafbaren) Angriffen auf IT-Systeme

Vorgehen auf Basis von Best Practices

Oft: Gerichtsverwertbare Aufarbeitung eines Angriffs

Beweisführung auf Read-Only-Kopien: Originalsystem bleibt unverändert !!!

Teildisziplinen: Live Response, Post-Mortem-Analyse, Netzwerkforensik, Anwendungsforensik, mobile Kleingeräte

● Richtige Verhaltensweise eines Opfers bei IT-Angriff?

● Problem der Datenüberlastung


Inhalt


● Grundbegriffe




Beispiel: Umbau eines öffentl. Gebäudes

Quelle:wikimedia.org


Hessisches Staatsbauamt

Umbau eines öffentl. Gebäudes: Echtheit

Ausschreibung

Einsendeschluss:20.12.2006

Angebote

Bestätigung

authentisch

authentisch

authentisch



Umbau eines öffentl. Gebäudes: Integrität

Ausschreibung


Angebote

Bestätigung

unverändert

unverändert

unverändert



Umbau eines öffentl. Gebäudes: Verbindlichkeit

Ausschreibung


Angebote

Bestätigung

verbindlich

verbindlich

verbindlich



Umbau eines öffentl. Gebäudes: Vertraulichkeit

Ausschreibung


Angebote

Bestätigung

vertraulich



Umbau eines öffentl. Gebäudes: Datiertheit

Ausschreibung


Angebote

Bestätigung

datiert

datiert


Schutz- / Sicherheitsziele (1/4)

● Authentizität / Echtheit:

Der Urheber der Information ist bekannt.

Beispiel: Absender einer E-Mail zuverlässig feststellen.

● Unverändertheit / Integrität:

Die Information wurde nicht geändert.

Beispiel: Inhalt einer E-Mail wurde nicht verändert.

● Vertraulichkeit:

Die Information ist nur für Berechtigte lesbar.

Beispiel: Inhalt einer E-Mail ist nur für Empfänger lesbar.



● Verbindlichkeit / Nicht-Abstreitbarkeit:

Urheber und Inhalt ist gegenüber Dritten nachweisbar.

Beispiel: Elektronische Abgabe eines Angebots.

● Datiertheit:

Es ist nachweisbar, dass eine Information zu einem bestimmten Zeitpunkt existiert hat.

Gehört nicht zu den vier klassischen Sicherheitszielen der Kryptographie.

Beispiel: Angebot wurde fristgerecht eingereicht.



● Verfügbarkeit:

Eine Information ist verfügbar, wenn sie von einem Berechtigten benötigt wird.

Beispiel: Kunde - Online-Banking-Server


Zum Sicherheitsziel Verfügbarkeit ...

Quelle:c't 15/07



● Anonymität:

Die Identität eines Kommunikationspartners ist nicht oder nur mit unverhältnismäßig hohem Aufwand herauszufinden.

Beispiel: Bezahlen (Laden, Internet)

● Pseudonymität:

Identitäten werden durch eine Zuordnungsvorschrift verändert.

Identität ist nur bei Kenntnis der Zuordnungsvorschrift bekannt.

Beispiel: Einkauf bei Ebay, Chat


Sicherheitsziele vs. Kryptographische Technik

Sicherheitsziel Kryptographische Technik

Authentizität Elektronische Signatur / MAC

Integrität Elektronische Signatur / MAC

Verbindlichkeit Elektronische Signatur

Vertraulichkeit Verschlüsselung

Zeitpunkt beweisen Elektronische Signatur u.Normalzeit

Anonymität / Pseudon. Verschlüsselung


Aspekte zur Erreichung der Sicherheitsziele

● Sicherheitsstrategie (Security Policy): Definiert

Technische u. organisatorische Regeln

Verhaltensregeln

Verantwortlichkeiten u. Rollen

● Inhalte einer Sicherheitsstrategie:

Netzwerksicherheit

Hardware- u. Softwaresicherheit

Organisatorische Maßnahmen

Notfallplan (Emergency Response)


Inhalt


● Grundbegriffe




Thesen von Bruce Schneier

● Wer ist Bruce Schneier?

Krypto-Papst

Gründer und CTO von Counterpane

Erfinder von Blowfish und Twofish

Autor zahlreicher Bücher, Artikel, NewsletterQuelle:www.computerworld.com

● Zitate von Bruce Schneier über IT-Sicherheit:

The only secure computer is one that’s turned off, locked in a safe, and buried 20 feet down in a secret location – and I’m not completely confident of that one either.

Complexity is the worst enemy of security.

Security is a trade off.

Security is a process, not a product.


Thesen von Marcus Ranum

● The Six Dumbest Ideas in Computer Security(www.ranum.com)

● Wer ist Marcus Ranum?

Weltweit anerkannter Experte für Computer-Sicherheit

Berater von weltweit führenden Unternehmen

Erfinder der Proxy-Firewall

Programmierer der ersten kommerziellen Firewall

Quelle: www.ranum.com

http://www.ranum.com/


The Six Dumbest Ideas in Computer Security: 1

● Default Permit: Erlaube alles, entscheide über Ausnahmen im Einzelfall

Beispiel Firewall der 1990er: Schalte per Default alle Ports frei Blockiere die eingehenden Dienste telnet, rlogin, ftp Blockiere weitere Ports nach bekannten Sicherheitslöchern

Beispiel Software: Erlaube jedem Programm / jeder Datei Zugriff auf das

Gesamtsystem Beispiele: Windows 95, Windows 98 haben keine

unterschiedlichen Benutzer Beispiel Windows XP: Oft verwendet der Standardnutzer den

Account 'Administrator'

● Gegenmaßnahme: Deny all, permit some



● Enumerating Badness: Liste alle Sicherheitslöcher auf und stopfe sie

Problem: Anzahl an bösartigen Programmen übersteigt Anzahl an gutartigen Programmen: Badness Gap

Für eine Applikation mehrere Exploits, Würmer, Viren, Spyware, Trojaner

Anzahl an bösartigen Applikationen steigt rasant Paradigma von Virenscannern, IDS / IPS, Firewalls

● Gegenmaßnahme: Enumerating Goodness

Lasse nur die gutartigen Programme laufen

Bösartige Programme werden nicht ausgeführt



● Penetrate and Patch: Teste Dein System und stopfe gefundene Sicherheitslöcher

Vorgehen: Penetriere eigene Schutzsysteme

(Firewall / Virenscanner / ...) Finde Sicherheitslöcher Stopfe diese Ansatz: Trial and Error

Aber: Kein Besseres Design des Systems

10 GOSUB LOOK_FOR_HOLES20 IF HOLE_FOUND = FALSE THEN GOTO 5030 GOSUB FIX_HOLE40 GOTO 1050 GOSUB CONGRATULATE_SELF60 GOSUB GET_HACKED_EVENTUALLY_ANYWAY70 GOTO 10

● Gegenmaßnahme: Sicheres Design

Besserer Security-Engineering-Prozess



● Hacking is Cool: Know Your Enemy

Vorgehen: Kenntnis von Hackervorgehen und Hackertools hilft beim

Schutz der eigenen Systeme Ähnlich wie Penetrate and Patch

Aber: Kein Besseres Design des Systems

● Gegenmaßnahme: Sicheres Design

Besserer Security-Engineering-Prozess

Good Engineering is Cool



● Educating Users: Patch your Users

These: User Education ist sinnlos!! Wenn es funktionieren würde, hätte es bereits funktioniert. Beispiel: Kournikova-Wurm, Phishing Wird sich selbst regulieren: Nur mündige User werden am

Arbeitsmarkt der Zukunft einen Platz haben. Spezialfall von Default Permit: Nur wenn User zu viele Rechte

haben, müssen sie erzogen werden.



● Action is Better Than Inaction: Tue das, was alle tun.

2 Arten von IT-Verantwortlichen: Early adopters: Führen jede neue Technologie sofort ein. Pause and thinkers: Warten ab, welche Erfahrungen die Early

adopters mit neuen Technologien machen. Manager haben Angst, sich für verschlafene Trends

rechtfertigen zu müssen: WLAN, Security Outsourcing, VoIP,...

Andere Formulierung: It is often easier to not do something dumb than it is to do something smart.

● Gegenmaßnahme:

Abwarten und Tee trinken

Be a pause and thinker

Vorlesung Datensicherheit Sommersemester 2010 - fbi.h-da… · Die Information ist nur für Berechtigte lesbar. Beispiel: Inhalt einer E-Mail ist nur für Empfänger lesbar. Harald

Documents