Grundlagen

Schwachstelle

• Systemeigenschaft, die Missbrauchsmöglichkeiten bietet

Bedrohung

• jedes mögliche Vorkommen mit unerwünschten Effekten auf die Werte und Ressourcen eines IT-Systems

Risiko

• Bedrohung * Schwachstelle

Risikomanagement

• Absolute Sicherheit nicht möglich

• Modelle/Methoden zur Analyse des Risikos bzw. der Bedrohung und der Schwachstelle

• Mit wem hat man es zu tun?

  
  

Aspekte zur Analyse eines Angreifers

• Rolle/ Typ Angreifer (Außenstehender, Benutzer,…)

• Verbreitung des Angreifers

• Verhalten des Angreifers (aktiv/passiv)

• Kompetenz des Angreifers

  • Knowledgelevel

  • Skill

• Ressourcen des Angreifers (Geld/Zeit/Rechenkapazität)

• Zugang zum System

• Compliance

• Ermitteln des Sicherheits-Ist-Zustands

• Aufdecken von Schwachstellen, potentiellen Bedrohungen

• Nutzung publizierter Schwachstellen (CERT, Hersteller, ...)

• Ermittlung von Gefährdungsfaktoren (organisatorische, technische, benutzerbedingte), u.a. mit Penetrationstests

Verwendete Methoden:

• Bedrohungs-/Angriffsbaum

• Bedrohungsmatrix

• CERT

• Kill-Chain

• Pro Angriffsziel ein Baum

  • Wurzel des Baums = Ziel des Angriffs

    • (z.B. Passwort knacken)

  • Blatt = einzelner Angriffsschritt

  • Pfad vom Blatt zur Wurzel = Angriff zum Erreichen des Ziels

• UND-Äste und ODER-Äste

• Herausforderung: vollständige Problemerfassung

• Definition Unterziele hilft

• verschiedene Bedrohungen bewertet anhand von Schritten zur Priorisierung

  • Schaden bei erfolgreichem Angriff

  • Auftretenswahrscheinlichkeit

  • Schwere der Bedrohung

  • Kosten Gegenmaßnahmen

  • Wert des Schutzes

  • Gegenmaßnahmen anwenden?

  • Priorität

• stellt IT-forensischen Vorfall in Form eines Ereignisses dar

  • Angreifer und Absicht müssen vorliegen

• eher für APTs (Advanced Persitent Threat) und komplexe Angriffe die über längeren Zeitraum gepalent wurden

Ziel:

• Angriffsverlauf von komplexeren Vorfall so präzise wie möglich mit wenig Begriffen zu beschreiben

• darauf basierend

  • Abwehr und Detektion ausarbeiten

  • Verteidigungsmechansismen ableiten

• zur Analyse von Cyberattacken (insbesondere APTs)

• Kill-Chain soll dabei helfen

  • Sichtbarkeit eines Angriffs als auch das Verständnis des Analytikers für Angriff und Angreifer verbessern

Idee:

• Struktur in Ablauf potentieller Angriffe bringen und daraus Verteidigungsmechanismen abzuleiten

• Ein Angreifer muss komplette Kette durchlaufen um erfolgreich zu sein - wenn in einer Stelle (Phase) unterbrochen - Angriff verhindert

1. Reconnaissance: Identifizieren der Ziele

2. Weaponization: passendes Angriffswerkzeug wird zusammengestellt

3. Delivery: Angriff startet, Malware verteilt - Übertragung der Waffe an die Zielumgebung.

4. Exploitation: zielt auf Sicherheitsanfälligkeit in einer Anwendung oder Betriebssystem ab - Ausbreitung

5. Installation: Schadcode beim Opfer

6. Command & Control: Fernzugriff auf Schadcode:

7. Action on Objects: Ziele erreicht: Exfiltration von Daten, Manipulation von Daten, Auslösen Fehlfunktion

Software, die absichtlich designed ist um Client, Server, Network zu schaden

wirtsabhängige Malware:

• Viren, Trojanische Pferde, Logikbomben

wirtsunabhängige Malware:

• Bakterien, Würmer

andere:

• Bots, Exploits, RootKits

• Selbst reproduzierend

• Binden sich selbst in andere Programme ein

• Verwenden keine Netzwerkdienste - verbreiten sich auf den Ressourcen lokaler Computer

• Verfäl̈schung von Daten und Programmen

• vom Anwender nicht kontrollierbare Manipulationen in Systembereichen, an anderen Programmen oder deren Umgebung vornimmt

• Macro-Viren

  • Schadcode in Makros einer Datei, beim öffnen aktiviert

  • Office häufig betroffen

• File-Viren

  • hängen sich an ausführbare Dateien (z.B. .exe)

  • Wenn infizierte Datei geöffnet wird, wird auch Virus geöffnet und verbreitet

• Web-Scripting Viren

  • überschreiben Code von Webseiten

  • Webseiten-Host meist unwissend

  • ausführbare Skripte mit Schadfunktion

• Boot-Viren

  • werden so früh aktiv, dass Sicherheitsschichten der OS oder Antivirensoftware noch nicht geladen

• benötigt keinen Wirt

• eigenständige Programme - als Email Anhänge, Links auf Webseiten oder auch als Netzwerkpaket

• sollen Systeme infiltrieren und sich im Netzwerk ausbreiten

• zielen auf Netzwerk ab, nicht wie Virus auf einzelnes System

• repliziert sich von Computer zu Computer um gesamtes Netzwerk zu überschreiben über Netzwerkprotokolle

  • meist um Botnetze aufzubauen

Arten

• Internet-Würmer, Email-Würmer, File-Sharing-Würmer uvm.

• gibt vor nützliche/gute Funktion zu erfüllen

• hoffen dadurch auf Intstallation von User

• Stellt dann möglicherweise auch nützliche Funktion bereit

• aber öffnet auch geheime Backdoor für Angreifer

• kann Daten übermitteln und übertragen

• repliziert sich nicht selbst und greift auch nicht gesamtes Netzwerk an

• Täuschung ist Verbreitungsstrategie

• Cross Site Scripting (XSS)

• Schwachstelle von Webanwendungen - Schadcode in sonst vertrauenswürdige Webseiten eingeschleust - dann von Browser des Opfers abgerufen und ausgeführt

• meist JavaScript basiert

Ziele:

• meistens Exfiltration von Daten

  • Cookies auslesen

  • Benutzerdaten

• nicht Anwendung selbst sondern Nutzer

• Inhalt Website umschreiben

  
  

Funktionsweise:

Benutzereingaben in einer Webanwendung werden ungefiltert durch Server verarbeitet (keine Kontrollmechanismen)

• Angreifer kann somit Programmcode (meistens JavaScript) auf Webseite ausführen

• Schadcode in Eingabefelder auf Website und dieser wird dann vom Server ausgeführt

• Webseiten-Host weiß davon idR nichts

• Schwachstelle: Webserver

• Fehler: nicht korrekte Prüfung der Eingabedaten seitens des Servers

• Verletzte Sicherheitsaspekte:

  • Authentizität, Integrität, Vertraulichkeit

• Abhilfe auf Serverseite - Prüfen der Konsistenz der Eingabendaten

  
  

Ausgangssituation:

Webanwendung, welche dynamisch Inhalte nach SQL Abfragen für User generiert, bei Eingabe in „Suchfeld“

• Angreifer gibt direkt SQL Befehle in Eingabefeld

  • kann sich somit Zugang verschaffen,

  • Benutzer anlegen,

  • Shellscript ausführen,

  • Daten anzeigen lassen

    
    

Konsequenzen:

• Informationen erlangen

• Informationen verfäl̈schen

• Zerstörung der DB

• Systembefehle ausführen

Gegenmaßnahmen:

• Prüfung aller vom Benutzer eingegebenen Werte:

  • auf reservierte Befehlswörter (SELECT, INSERT, ...)

  • Auf reservierte Syntaxzeichen (Anführungszeichen, Kommentare, Terminatoren,...)

  • Verwendung der „PreparedStatement” Funktion

  • Escape- Funktion zum “Entschärfen” von Sonderzeichen

• Einfachheit:

  • Design und Interkation so einfach wie möglich

  • Leicht zu beweisende Safety/Security

• Beschränkungen:

  • Minimiere Einfluss der Funktionseinheiten

  • Need to know und Abschottung

Mechanismus

• ist ein Verfahren/Ansatz/Implementierung, dass einen Teil der Richtlinie durchsetzt

Nötige Annahmen um Sicherheitsmechanismus:

• Jeder Mechanismus entworfen, um Teil einer Richtlinie umzusetzen

• Menge aller Mechanismen setzen alle Aspekte einer Richtlinie um

• Mechanismus ist korrekt implementiert, installiert und verwaltet

Richtlinie

• beschreibt formal die Anforderungen zur Gewährleistung der IT-Sicherheit eines Sytems

Elemente Sicherheitsrichtlinie

Eine Sicherheitsrichtlinie betrachtet alle relevanten Aspekte aller 6 Sicherheitsaspekte

Mechanismen vs. Richtlinien

• Mechanismen und Richtlinien nicht verwechseln

  Beide sollten im Einklang zueinander stehen.

• reguliert welches Subjekt, wie auf Objekt zugreifen kann

Technische Zugriffskontrolle:

• beschränkt Zugriffe durch Software und Hardware auf Ressourcen

Physische Zugriffskontrolle:

• beschränkt Zugang zu Gebäuden, Räumen

• Discretionary Access Control DAC

  • Benutzerbestimmbare Zugriffscontrolle

• Mandatory Access Control MAC

  • Verbindliche Zugriffskontrolle

• Roled Based Access Control RBAC

  • Rollen-basierte Zugriffskontrolle

• Außerdem:

  Policy-Based, Attribute-Based und Context-Based Access Control

• Subjekte:

  • Akteure - Benutzer, Prozesse oder Programme

• Objekte:

  • Daten oder Ressourcen, auf denen ein Subjekt Operationen ausführen kann (wie Dateien, Drucker, etc)

• Rechte:

  • read, write, execute

• Benutzerbestimmbare Zugriffskontrolle

• Zugriffsentscheidung auf Basis der Idenitiät Akteur

• Zugriffsrechte für Objekte pro Subjekt/Benutzer

  
  

• Subjekte können eigene Rechte weitergeben - discretionary

  
  

zur Modellierung Access Control Matrix (S,O,R) -> (ja,nein)

Vorteil:

• sehr einfach, intuitiv nutzbar, flexibel

Nachteil:

• kann sehr groß werden - ineffizient bei komplexen Szenarien

• in Mehrbenutzersystemen oder Rechnernetzen

• Dreistufigen Gliederung in Benutzer, Rollen und Gruppen

Regeln:

• Rollen Assignment - Benutzer wird Rolle zueordnet

• Rollen Authorisierung - aktive Rolle muss für Subjekt authorisiert sein

• Zuzgriffs Authorisierung - aktive Rolle muss für Zugriff authorisiert sein

• Systemtechnische Erzwingung von Modellen

• basierend auf Regeln

Multi-Level Sicherheitssysteme

• Vertraulichkeitsmodell: Bell-LaPadula

• Integritätsmodell: Biba

  
  

Multilaterale Sicherheitsmodelle

• Compartment- oder Lattice-Modell (Verbundmodelle)

• Chinese Wall - Brewer-Nash

Variation des klassischen MAC Ansatzes

• Clark Wilson

  
  

• Formale Beschreibung von erlaubten Pfaden für Informationsfluss (Kontrole des Informationsflusses)

  (Formalisierung von militärischen Sicherheitsrichtlinien)

• Daten Geheimhaltung unterstehen

• Vertraulichkeitsmodell

  
  

Eigenschaften des sicheren Informationsflusses

• „no read-up“

  • niedriger eingestuften Personen nicht möglich, Informationen von vertrauenswürdigeren Personen zu lesen

• „no write-down“

  • Höher eingestufte Personen dürfen nicht in Dateien von weniger vertrauenswürdigen Personen schreiben

  • verhindert, dass Informationen „nach unten“ - weniger vertrauenswürdig - weitergeben gegeben werden

    
    

Kombiniert DAC und MAC

Verschiedene, auf Sicherheit ausgelegte Betriebssysteme (OS) basieren auf dem Bell-LaPadula-Modell.

Dabei setzen die OS das Modell unter der Bezeichnung Multi-Level Security (MLS) um.

Beispiele sind SELinux, Red Hat Enterprise Linux

Gegenstück zu Bell-LaPadula

• Integritätsmodell

• Identifiziert Pfade, die zu unerlaubter Modifikation von Daten führen könnten

Regeln:

• „no read down“

  • Wissen aus höheren Ebenen gefährdet meine Integrität nicht - auf niedrigern schon

• „no write up“

  • Schichten, die über eine tiefere Sicherheitsebene verfügen, nicht erlaubt sein, Daten in eine höhere Sicherheitsebene zu schreiben

  • z.B. EKG

• Integritätsmodell

• System soll in konsistenten Zusatand erhalten werden

• Daten sind in einem konsistenten Zustand, wenn sie festegelegten Eigenschaften entsprechen - Regeln der Verarbeitung zur Erhaltung INtegrität des Systems

• Prinzip Pflichtentrennung:

  • Zertifizierer und Implementierer einer Transaktion unterschiedlich

• gültige Transaktion:

  • ist eine Serien von Operationen, die die Daten in einem konsistenten Zustand überführt, wenn die Daten zu Beginn der Transaktion konsistent waren.

——————————————————————————————-

Das Clark-Wilson-Modell definiert zudem:

• Daten die immer in gültigen Zustand vorliegen müssen (constrained data items, CDI)

• Daten, die keiner Integritätskontrolle unterliegen als unbeschränkte Daten (unconstrained data items, UDI)

• Integritätsüberprüfungsprozeduren (Integrity verification procedures, IVP)

  • Tests, die überprüfen ob die CDIs zum jeweiligen Zeitpunkt die Integritätseigenschaften erfüllen.

  • wenn ja System in valid state

• Transformationsprozeduren (TP) als Verfahren, die den Zustand der Daten eines Systems von einem gültigen Zustand in einen anderen gültigen überführen. TPs implementieren wohlgeformte Transaktionen.

• nicht nur Top-Down - Objekte werden sowohl vertikal (nach Schutzstufe) als auch horizontal (nach Sachgebiet) getrennt

• Zugriffsrechte auf Basis von Zugriffshistory und Segmenten

• Kombination von Schutzstufen mit Need-to-Know Prinzip

• vermeidet conflict of interest

———————————————————————————————

Simple Security Property:

Ein Berater darf auf ein Objekt o lesend zugreifen, falls eine derfolgenden Bedingungen erfülllt ist:

1. Der Berater hat schon auf andere Objekte dieser Firma/Organisation zugegriffen oder

2. Das Objekt gehört zu einer Konfliktklasse, für die der Berater noch kein Objekt gelesen hat.

*-Property:

• Ein Berater darf ein Objekt O nur dann schreiben, wenn er lesenden Zugriff ausschließlich auf Objekte aus der Firma/Organisation hat, zu der Objekt O gehört.

• 10 stelliger Buchstabendcode zur Rechtevergabe in Unix

  • ’d’ – Verzeichnis (engl. Directory) oder

    ’-’ – Datei (engl. File))

  • Rechte des Besitzers der Ressource

  • Rechte der Gruppe, der der Besitzer zugeordnet ist

  • Rechte aller übrigen Nutzer beschreiben.

• r – lesen

• w – schreiben

• x – ausführen

• - – Benutzer/Benutzergruppe darf keine der drei Aktionen ausführen.

Vorgehensweise zum nicht-technischen Ausspähen von vertraulichen Daten, wie z.B.:

• Passwörter

• Zugangsinformationen

• (Firmen-) Geheimnisse

• andere sicherheitsrelevante Informationen

Kunst und Wissenschaft Personen zum gewünschten Handeln zu bewegen

• Human-based : persönliches Auftreten, Telefon, etc.

• Computer-based : E-Mail, Web-Seiten, Chat, etc.

• Verwendung von persönlichen Beziehungen bzw. Ausnutzung der Persönlichkeit selbst zur Informationsbeschaffung

Angegriffene zu … neigen:

• Übertriebene Hilfsbereitschaft

• Tendenz zu Vertrauensbildung (auch Gutgläubigkeit bis Naivität)

• Angst vor Unannehmlichkeiten

• Ungewissheit bzgl. spezifischer Problematik

• Ungewissheit bzgl. Sensitivität von Informationen

• Unachtsamkeit

• Vergesslichkeit

• Gefühle

Physisch:

• keine nicht-autorisierten Personen in Räumlichkeiten lassen

  • Username/Passwörter

  • Offene Rechner, Hardware, Pläne, etc.

  • Interne Telefonbücher

  • „Shoulder-Surfing“...

    
    

• Durchsuchen des Abfalls (Dumpster Diving)

  • Firmeninformationen, Geschäftsbeziehungen

  • Adressen/Kunden/Aufträge/Umsatz/ etc.

  • > Schredder!

Psychologisch:

Human-Based

• z.B. durch Telefonanfragen

• Vorgeben einer anderen Person

• Direkte Interaktion/Reaktion

• z.B. auf Rufnummernweitergabe achten!

Computer-based

• Mails (& Attachments!)

• Pop-Up Fenster

• Phishing

• z.B. gleiches Passwort für diverse Anwendungen

• — Achten auf URL‘s, Richtlinien, ...

• Reduktion der frei verfügbaren Informationen

• Gefahrenbewusstsein ausbauen, Aufklärung, Sensibilisieren

• Tätigkeiten bewusst hinterfragen

• Ausbilden, Regeln definieren

  • Aufmerksam sein!

  • Ungewöhnliches hinterfragen!

  • Nicht unter Druck setzen lassen!

  • Im Zweifel: nicht sofort helfen, sondern umgehend interne Klärung und Rückruf

  • Informationen nur an Berechtigte weitergeben

  • Email-Kommunikation nur über Firmenadressen

  • Skepsis gegenüber Unbekannten, keine SW von diesen entgegen nehmen oder installieren (lassen)

  • Vorsicht mit Email-Anhängen