Schwachstelle
Bedrohung
Risiko
Risikomanagement
Systemeigenschaft, die Missbrauchsmöglichkeiten bietet
jedes mögliche Vorkommen mit unerwünschten Effekten auf die Werte und Ressourcen eines IT-Systems
Bedrohung * Schwachstelle
Absolute Sicherheit nicht möglich
Modelle/Methoden zur Analyse des Risikos bzw. der Bedrohung und der Schwachstelle
Angreifermodellierung - Aspekte Analyse Angreifer
Mit wem hat man es zu tun?
Aspekte zur Analyse eines Angreifers
Rolle/ Typ Angreifer (Außenstehender, Benutzer,…)
Verbreitung des Angreifers
Verhalten des Angreifers (aktiv/passiv)
Kompetenz des Angreifers
Knowledgelevel
Skill
Ressourcen des Angreifers (Geld/Zeit/Rechenkapazität)
Zugang zum System
Compliance
Ziele - Bedrohungsanalyse
Ermitteln des Sicherheits-Ist-Zustands
Aufdecken von Schwachstellen, potentiellen Bedrohungen
Nutzung publizierter Schwachstellen (CERT, Hersteller, ...)
Ermittlung von Gefährdungsfaktoren (organisatorische, technische, benutzerbedingte), u.a. mit Penetrationstests
Verwendete Methoden zur Bedrohungsanalyse
Verwendete Methoden:
Bedrohungs-/Angriffsbaum
Bedrohungsmatrix
CERT
Kill-Chain
Bedrohungsbaum - Bedrohungsanalyse
Pro Angriffsziel ein Baum
Wurzel des Baums = Ziel des Angriffs
(z.B. Passwort knacken)
Blatt = einzelner Angriffsschritt
Pfad vom Blatt zur Wurzel = Angriff zum Erreichen des Ziels
UND-Äste und ODER-Äste
Herausforderung: vollständige Problemerfassung
Definition Unterziele hilft
Bedrohungsmatrix - Bedrohungsanalyse
verschiedene Bedrohungen bewertet anhand von Schritten zur Priorisierung
Schaden bei erfolgreichem Angriff
Auftretenswahrscheinlichkeit
Schwere der Bedrohung
Kosten Gegenmaßnahmen
Wert des Schutzes
Gegenmaßnahmen anwenden?
Priorität
Bedrohungsanalyse - CERT
stellt IT-forensischen Vorfall in Form eines Ereignisses dar
Angreifer und Absicht müssen vorliegen
eher für APTs (Advanced Persitent Threat) und komplexe Angriffe die über längeren Zeitraum gepalent wurden
Ziel:
Angriffsverlauf von komplexeren Vorfall so präzise wie möglich mit wenig Begriffen zu beschreiben
darauf basierend
Abwehr und Detektion ausarbeiten
Verteidigungsmechansismen ableiten
Bedrohungsanalyse
Kill-Chain - Ziele und Idee
zur Analyse von Cyberattacken (insbesondere APTs)
Kill-Chain soll dabei helfen
Sichtbarkeit eines Angriffs als auch das Verständnis des Analytikers für Angriff und Angreifer verbessern
Idee:
Struktur in Ablauf potentieller Angriffe bringen und daraus Verteidigungsmechanismen abzuleiten
Ein Angreifer muss komplette Kette durchlaufen um erfolgreich zu sein - wenn in einer Stelle (Phase) unterbrochen - Angriff verhindert
Kill-Chain - Aufbau
Reconnaissance: Identifizieren der Ziele
Weaponization: passendes Angriffswerkzeug wird zusammengestellt
Delivery: Angriff startet, Malware verteilt - Übertragung der Waffe an die Zielumgebung.
Exploitation: zielt auf Sicherheitsanfälligkeit in einer Anwendung oder Betriebssystem ab - Ausbreitung
Installation: Schadcode beim Opfer
Command & Control: Fernzugriff auf Schadcode:
Action on Objects: Ziele erreicht: Exfiltration von Daten, Manipulation von Daten, Auslösen Fehlfunktion
Programme mit Schadensfunktion
Software, die absichtlich designed ist um Client, Server, Network zu schaden
wirtsabhängige Malware:
Viren, Trojanische Pferde, Logikbomben
wirtsunabhängige Malware:
Bakterien, Würmer
andere:
Bots, Exploits, RootKits
Viren
Selbst reproduzierend
Binden sich selbst in andere Programme ein
Verwenden keine Netzwerkdienste - verbreiten sich auf den Ressourcen lokaler Computer
Verfäl̈schung von Daten und Programmen
vom Anwender nicht kontrollierbare Manipulationen in Systembereichen, an anderen Programmen oder deren Umgebung vornimmt
Macro-Viren
Schadcode in Makros einer Datei, beim öffnen aktiviert
Office häufig betroffen
File-Viren
hängen sich an ausführbare Dateien (z.B. .exe)
Wenn infizierte Datei geöffnet wird, wird auch Virus geöffnet und verbreitet
Web-Scripting Viren
überschreiben Code von Webseiten
Webseiten-Host meist unwissend
ausführbare Skripte mit Schadfunktion
Boot-Viren
werden so früh aktiv, dass Sicherheitsschichten der OS oder Antivirensoftware noch nicht geladen
Würmer
benötigt keinen Wirt
eigenständige Programme - als Email Anhänge, Links auf Webseiten oder auch als Netzwerkpaket
sollen Systeme infiltrieren und sich im Netzwerk ausbreiten
zielen auf Netzwerk ab, nicht wie Virus auf einzelnes System
repliziert sich von Computer zu Computer um gesamtes Netzwerk zu überschreiben über Netzwerkprotokolle
meist um Botnetze aufzubauen
Arten
Internet-Würmer, Email-Würmer, File-Sharing-Würmer uvm.
Trojanische Pferde
gibt vor nützliche/gute Funktion zu erfüllen
hoffen dadurch auf Intstallation von User
Stellt dann möglicherweise auch nützliche Funktion bereit
aber öffnet auch geheime Backdoor für Angreifer
kann Daten übermitteln und übertragen
repliziert sich nicht selbst und greift auch nicht gesamtes Netzwerk an
Täuschung ist Verbreitungsstrategie
Beispiel Angriff: XSS - Cross Site Scripting
Cross Site Scripting (XSS)
Schwachstelle von Webanwendungen - Schadcode in sonst vertrauenswürdige Webseiten eingeschleust - dann von Browser des Opfers abgerufen und ausgeführt
meist JavaScript basiert
Ziele:
meistens Exfiltration von Daten
Cookies auslesen
Benutzerdaten
nicht Anwendung selbst sondern Nutzer
Inhalt Website umschreiben
Funktionsweise:
Benutzereingaben in einer Webanwendung werden ungefiltert durch Server verarbeitet (keine Kontrollmechanismen)
Angreifer kann somit Programmcode (meistens JavaScript) auf Webseite ausführen
Schadcode in Eingabefelder auf Website und dieser wird dann vom Server ausgeführt
Webseiten-Host weiß davon idR nichts
Schwachstelle: Webserver
Fehler: nicht korrekte Prüfung der Eingabedaten seitens des Servers
Verletzte Sicherheitsaspekte:
Authentizität, Integrität, Vertraulichkeit
Abhilfe auf Serverseite - Prüfen der Konsistenz der Eingabendaten
Beispiel Angriff: SQL-Injektion
Ausgangssituation:
Webanwendung, welche dynamisch Inhalte nach SQL Abfragen für User generiert, bei Eingabe in „Suchfeld“
Angreifer gibt direkt SQL Befehle in Eingabefeld
kann sich somit Zugang verschaffen,
Benutzer anlegen,
Shellscript ausführen,
Daten anzeigen lassen
Konsequenzen:
Informationen erlangen
Informationen verfäl̈schen
Zerstörung der DB
Systembefehle ausführen
Gegenmaßnahmen:
Prüfung aller vom Benutzer eingegebenen Werte:
auf reservierte Befehlswörter (SELECT, INSERT, ...)
Auf reservierte Syntaxzeichen (Anführungszeichen, Kommentare, Terminatoren,...)
Verwendung der „PreparedStatement” Funktion
Escape- Funktion zum “Entschärfen” von Sonderzeichen
Leitmotive für Sichere Systeme
Einfachheit:
Design und Interkation so einfach wie möglich
Leicht zu beweisende Safety/Security
Beschränkungen:
Minimiere Einfluss der Funktionseinheiten
Need to know und Abschottung
Sicherheitsmechanismen
Anahmen
Zustände
Mechanismus
ist ein Verfahren/Ansatz/Implementierung, dass einen Teil der Richtlinie durchsetzt
Nötige Annahmen um Sicherheitsmechanismus:
Jeder Mechanismus entworfen, um Teil einer Richtlinie umzusetzen
Menge aller Mechanismen setzen alle Aspekte einer Richtlinie um
Mechanismus ist korrekt implementiert, installiert und verwaltet
Richtlinie
Elemente einer Sicherheitsrichtlinie
Mechanismen vs. Richtlinien
beschreibt formal die Anforderungen zur Gewährleistung der IT-Sicherheit eines Sytems
Elemente Sicherheitsrichtlinie
Eine Sicherheitsrichtlinie betrachtet alle relevanten Aspekte aller 6 Sicherheitsaspekte
Mechanismen und Richtlinien nicht verwechseln
Beide sollten im Einklang zueinander stehen.
Zugriffskontrolle
technisch
physisch
reguliert welches Subjekt, wie auf Objekt zugreifen kann
Technische Zugriffskontrolle:
beschränkt Zugriffe durch Software und Hardware auf Ressourcen
Physische Zugriffskontrolle:
beschränkt Zugang zu Gebäuden, Räumen
3 Arten Zugriffskontrolle
Discretionary Access Control DAC
Benutzerbestimmbare Zugriffscontrolle
Mandatory Access Control MAC
Verbindliche Zugriffskontrolle
Roled Based Access Control RBAC
Rollen-basierte Zugriffskontrolle
Außerdem:
Policy-Based, Attribute-Based und Context-Based Access Control
Subjekte, Objekte und Rechte
Subjekte:
Akteure - Benutzer, Prozesse oder Programme
Objekte:
Daten oder Ressourcen, auf denen ein Subjekt Operationen ausführen kann (wie Dateien, Drucker, etc)
Rechte:
read, write, execute
Zugriffskontrolle - DAC
Benutzerbestimmbare Zugriffskontrolle
Zugriffsentscheidung auf Basis der Idenitiät Akteur
Zugriffsrechte für Objekte pro Subjekt/Benutzer
Subjekte können eigene Rechte weitergeben - discretionary
zur Modellierung Access Control Matrix (S,O,R) -> (ja,nein)
Vorteil:
sehr einfach, intuitiv nutzbar, flexibel
Nachteil:
kann sehr groß werden - ineffizient bei komplexen Szenarien
Zugriffskontrolle - RBAC
in Mehrbenutzersystemen oder Rechnernetzen
Dreistufigen Gliederung in Benutzer, Rollen und Gruppen
Regeln:
Rollen Assignment - Benutzer wird Rolle zueordnet
Rollen Authorisierung - aktive Rolle muss für Subjekt authorisiert sein
Zuzgriffs Authorisierung - aktive Rolle muss für Zugriff authorisiert sein
Zugriffskontrolle - MAC
Systemtechnische Erzwingung von Modellen
basierend auf Regeln
Multi-Level Sicherheitssysteme
Vertraulichkeitsmodell: Bell-LaPadula
Integritätsmodell: Biba
Multilaterale Sicherheitsmodelle
Compartment- oder Lattice-Modell (Verbundmodelle)
Chinese Wall - Brewer-Nash
Variation des klassischen MAC Ansatzes
Clark Wilson
Sicherheitsmodell: Bell-LaPadula
Formale Beschreibung von erlaubten Pfaden für Informationsfluss (Kontrole des Informationsflusses)
(Formalisierung von militärischen Sicherheitsrichtlinien)
Daten Geheimhaltung unterstehen
Vertraulichkeitsmodell
Eigenschaften des sicheren Informationsflusses
„no read-up“
niedriger eingestuften Personen nicht möglich, Informationen von vertrauenswürdigeren Personen zu lesen
„no write-down“
Höher eingestufte Personen dürfen nicht in Dateien von weniger vertrauenswürdigen Personen schreiben
verhindert, dass Informationen „nach unten“ - weniger vertrauenswürdig - weitergeben gegeben werden
Kombiniert DAC und MAC
Verschiedene, auf Sicherheit ausgelegte Betriebssysteme (OS) basieren auf dem Bell-LaPadula-Modell.
Dabei setzen die OS das Modell unter der Bezeichnung Multi-Level Security (MLS) um.
Beispiele sind SELinux, Red Hat Enterprise Linux
Sicherheitsmodell: BIBA
Gegenstück zu Bell-LaPadula
Integritätsmodell
Identifiziert Pfade, die zu unerlaubter Modifikation von Daten führen könnten
„no read down“
Wissen aus höheren Ebenen gefährdet meine Integrität nicht - auf niedrigern schon
„no write up“
Schichten, die über eine tiefere Sicherheitsebene verfügen, nicht erlaubt sein, Daten in eine höhere Sicherheitsebene zu schreiben
z.B. EKG
Sicherheitsmodell: Clark-Wilson
System soll in konsistenten Zusatand erhalten werden
Daten sind in einem konsistenten Zustand, wenn sie festegelegten Eigenschaften entsprechen - Regeln der Verarbeitung zur Erhaltung INtegrität des Systems
Prinzip Pflichtentrennung:
Zertifizierer und Implementierer einer Transaktion unterschiedlich
gültige Transaktion:
ist eine Serien von Operationen, die die Daten in einem konsistenten Zustand überführt, wenn die Daten zu Beginn der Transaktion konsistent waren.
——————————————————————————————-
Das Clark-Wilson-Modell definiert zudem:
Daten die immer in gültigen Zustand vorliegen müssen (constrained data items, CDI)
Daten, die keiner Integritätskontrolle unterliegen als unbeschränkte Daten (unconstrained data items, UDI)
Integritätsüberprüfungsprozeduren (Integrity verification procedures, IVP)
Tests, die überprüfen ob die CDIs zum jeweiligen Zeitpunkt die Integritätseigenschaften erfüllen.
wenn ja System in valid state
Transformationsprozeduren (TP) als Verfahren, die den Zustand der Daten eines Systems von einem gültigen Zustand in einen anderen gültigen überführen. TPs implementieren wohlgeformte Transaktionen.
Hybride Modelle: Chinese Wall
nicht nur Top-Down - Objekte werden sowohl vertikal (nach Schutzstufe) als auch horizontal (nach Sachgebiet) getrennt
Zugriffsrechte auf Basis von Zugriffshistory und Segmenten
Kombination von Schutzstufen mit Need-to-Know Prinzip
vermeidet conflict of interest
———————————————————————————————
Simple Security Property:
Ein Berater darf auf ein Objekt o lesend zugreifen, falls eine derfolgenden Bedingungen erfülllt ist:
Der Berater hat schon auf andere Objekte dieser Firma/Organisation zugegriffen oder
Das Objekt gehört zu einer Konfliktklasse, für die der Berater noch kein Objekt gelesen hat.
*-Property:
Ein Berater darf ein Objekt O nur dann schreiben, wenn er lesenden Zugriff ausschließlich auf Objekte aus der Firma/Organisation hat, zu der Objekt O gehört.
Zugriffsschutz in Unix
10 stelliger Buchstabendcode zur Rechtevergabe in Unix
’d’ – Verzeichnis (engl. Directory) oder
’-’ – Datei (engl. File))
Rechte des Besitzers der Ressource
Rechte der Gruppe, der der Besitzer zugeordnet ist
Rechte aller übrigen Nutzer beschreiben.
r – lesen
w – schreiben
x – ausführen
- – Benutzer/Benutzergruppe darf keine der drei Aktionen ausführen.
Definition - Social Engeneering
Vorgehensweise zum nicht-technischen Ausspähen von vertraulichen Daten, wie z.B.:
Passwörter
Zugangsinformationen
(Firmen-) Geheimnisse
andere sicherheitsrelevante Informationen
Kunst und Wissenschaft Personen zum gewünschten Handeln zu bewegen
Arten der Umgehung von Sicherheitsvorkehrungen auf sozialer Ebene
Human-based : persönliches Auftreten, Telefon, etc.
Computer-based : E-Mail, Web-Seiten, Chat, etc.
Verwendung von persönlichen Beziehungen bzw. Ausnutzung der Persönlichkeit selbst zur Informationsbeschaffung
Social Engeenering funktioniert weil
Angegriffene zu … neigen:
Übertriebene Hilfsbereitschaft
Tendenz zu Vertrauensbildung (auch Gutgläubigkeit bis Naivität)
Angst vor Unannehmlichkeiten
Ungewissheit bzgl. spezifischer Problematik
Ungewissheit bzgl. Sensitivität von Informationen
Unachtsamkeit
Vergesslichkeit
Gefühle
Informationsbeschaffung - Social Engeneering
Physisch:
keine nicht-autorisierten Personen in Räumlichkeiten lassen
Username/Passwörter
Offene Rechner, Hardware, Pläne, etc.
Interne Telefonbücher
„Shoulder-Surfing“...
Durchsuchen des Abfalls (Dumpster Diving)
Firmeninformationen, Geschäftsbeziehungen
Adressen/Kunden/Aufträge/Umsatz/ etc.
> Schredder!
Psychologisch:
Human-Based
z.B. durch Telefonanfragen
Vorgeben einer anderen Person
Direkte Interaktion/Reaktion
z.B. auf Rufnummernweitergabe achten!
Computer-based
Mails (& Attachments!)
Pop-Up Fenster
Phishing
z.B. gleiches Passwort für diverse Anwendungen
— Achten auf URL‘s, Richtlinien, ...
Schutzmaßnahmen - Social Engeneering
Reduktion der frei verfügbaren Informationen
Gefahrenbewusstsein ausbauen, Aufklärung, Sensibilisieren
Tätigkeiten bewusst hinterfragen
Ausbilden, Regeln definieren
Aufmerksam sein!
Ungewöhnliches hinterfragen!
Nicht unter Druck setzen lassen!
Im Zweifel: nicht sofort helfen, sondern umgehend interne Klärung und Rückruf
Informationen nur an Berechtigte weitergeben
Email-Kommunikation nur über Firmenadressen
Skepsis gegenüber Unbekannten, keine SW von diesen entgegen nehmen oder installieren (lassen)
Vorsicht mit Email-Anhängen
Zuletzt geändertvor 2 Jahren