IT sec

Der geschäftserfolg (linke Seite der Gleichung) hängt im wesentlichen davon ab, den Zählerwert (Business Performance) zu erhöhen und nicht (nur) den Wert des Nenners (IT Investment) zu reduzieren

Vertraulichkeit, Integrität, verfügbarkeit

It- Investment ist eine Investition in die Fähigkeit, ein Geschäft zu führen.

-> Es geht darum, die Business Performance zu steigern und nicht nur darum, das IT Investment niedrig zu halten

-> Die Business Performance hängt vom Funktionieren der IT ab. -> Ein Ausfall durch unzureichendes IT-Investment in der Infrastruktur kann also den Wert des Zählers in verheerender Weise zerstören.

-> IT-Sicherheit soll die Nachhaltigkeit von Investitionen, die informationelle Selbstbestimmung, Arbeitsergebnisse, Geschäftsgrundlagen sichern bzw. unterstützen

-> IT-Struktur muss vom Start an geplant werden, Nachbesserungen (Aufbesserungen) sind teuer

Die Art der Investition muss bereits in der Planung der Infrastruktur berücksichtigt werden

Nachteilige Aufbesserung ist i.d.R mit deutlich höheren Kosten verbunden als eine Strukturelle Maßnahme von Anfang an

Abhängig vom Funktionieren der IT

• Ausfall durch unzureichendes IT Investment in die Infrastruktur kann den Wert des Zählers in verheerender Weise zerstören

Die Eigenschaft einer Nachricht, nur für einen beschränkten Empfängerkreis vorgesehen zu sein.

Weitergabe und Veröffentlichung sind nicht erwünscht.

Wird durch rechtsnormen geschätzt und kann durch technische Mittel gefördert bzw. erzwungen werden

Maßnahmen:

• Verschlüsselung

• Digitale Rechteverwaltung (z.B. DRM)

Die Verhinderung unautorisierter Modifikation von Informationen

BSI (Bundesamt für Sicherheit in der Informationstechnik) = Integrität bezeichnet die Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen

Kriterien:

Korrekter Inhalt, unmodifizierter Zustand bzw. die Möglichkeit, Modifikation zu erkennen und zuordnen zu können.

Maßnahmen:

• Prüfsummen: Ein Wert, mit dem die Integrität von Daten überprüft werden kann -> Fehler erkennen und korrigieren (zb. IBAN)

• Digitale Signatur (Urheber eines Dokuments —> überprüfen, von wem die Daten stammen)

Die Wahrscheinlichkeit oder das Maß, dass das System bestimmte Anforderungen zu einem bestimmten Zeitpunkt erfüllt.

—> Kennzahl: Verfügbarkeit = Gesamtheit - Ausfallzeit / Gesamtzeit

Problem: Haltbarkeit aktueller physischer Datenträger!

o SSDs und Flash Speicher oft Haltbarkeit < 10 Jahre bevor Bitfehler auftreten

o Bekannte Ausfallzeiten: Headcrash, Ladungsverlust, Zerstörung durch Hitze oder mechanische Überlastung

Redundanz, Backup, Archivierung, Hot-Standby -> Mean Time between Failures (MTBF) = mittlere Betriebsdauer zwischen Ausfällen für reparierbare Einheiten -> je höher der MTBF Wert, desto zuverlässiger das Gerät

• Verschlüsselung: Nur berechtigten Personen den Zugriff auf die Daten ermöglichen (Vertraulichkeit)

• Signatur: Beweis, dass ein Dokument oder eine Datei unverändert, wie von den Autoren veröffentlicht ist und nicht manipuliert wurde (Authenzität)

Mit der asymmetrischen Verschlüsselung

Ziel Signatur:

• Beweis, dass ein Dokument oder eine Datei unverändert, wie von den Autoren veröffentlich ist und nicht manipuliert wurde (authentizität)

• Nutzen das akzeptierte Standardformat Public Key Infrastructure (PKI) um ein Höchstmaß an sicherheit und universeller Akzeptanz zu garantieren. Sind wie handgeschriebene Unterschriften einzigartig für jeden Benutzer

Es gibt nur einen Schlüssel (Code) zum Verschlüsseln und Entschlüsseln einer Nachricht

• Caeser Algorithmus: Einfachste und unsicherstes Verfahren

  • (Alles um 13 Buchstaben nach links oder rechts verschoben) -> nicht mathematisch beweisbar

• XOR: Mathematisch beweisbares, sicheres Verfahren —> Block Cipher

  • Verschlüsselungs-algorithmus, der bitweise XOR Operator auf jedes Zeichen mit einem bestimmten Schlüssel angwendet wird (Anwendung umkeherbar)

• DES: Date encryption standard

  • Sehr geringe Schlüsselmenge, leicht zu brechen

• AES: Advanced encryption Standard

  • Hat DES ersetzt -> längerer Schlüssel von Nöten, mit 128 oder mehr Bits Schlüssellänge -> sicher

  • Standard bei Crypto-Produkten und bei Datenübertragung im Internet eingesetzt (HTTPS, WPA)

einfachste und unsicherstes Verfahren

Code:

if (eingabe >= ‘A’&& Eingabe <= ‘M’)

ausgabe = eingabe + 13;

else if (eingabe >= ‘N’ && Eingabe <= ‘Z’)

ausgabe = eingabe- 13;

else ausgabe = eingabe;

• mathematisch beweisbar sicheres Verfahren →Block Cipher

• DES – Data Encryption Standard

• →besitzt geringe Schlüssellänge

• →mit genügend Rechenressourcen leicht zu brechen

• AES – Advanced Encryption Standard

• → DES-Nachfolger

• →gilt mit 128 oder mehr Bits Schlüssellänge als sicher

• →Standard bei Crypto-Produkten und bei Datenübertragung im Internet eingesetzt (HTTPS, WPA)

• Aufbewahrung des Schlüssels problematisch

• wird der Schlüssel bekannt, können Dokumente entschlüsselt werden

• Sichere Weitergabe des Schlüssels während der Kommunikation schwierig

Zwei sich gegenseitig ergänzende (komplementäre) Schlüssel

→Daten, die mit dem einem Schlüssel verschlüsselt werden, können NICHT mit dem gleichen Schlüssel entschlüsselt werden, sondern nur mit dem anderen. Stichwort: Einbahnstraßensystem

• Private Key = nur dem Besitzer bekannt, wird geschützt aufbewahrt

• Public Key = wird an Kommunikationspartner verteilt, muss nicht besonders beschützt werden

Ablauf der sicheren Kommunikation

1. Eine Nachricht, die sicher übertragen werden soll, wird mit dem Offentlichen Schlüssel des beabsichtigten Empfängers (der dem Sender bekannt ist) verschlüsselt.

2. Die verschlüsselte Nachricht wird über einen, möglicherweise „unsicheren" Kanal (jeder kann sie kopieren) an den Empfänger übertragen. Mit Hilfe des Offentlichen Schlüssels kann sie jedoch nicht wieder lesbar gemacht werden.

3. Der Empfänger, welcher den passenden Privaten Schlüssel be-sitzt, kann die Nachricht lesen.

Ablauf der Verifikation von Daten

1. Der Urheber eines digitalen Dokumentes bildet eine Prüfsumme (Hash) über das Dokument.

2. Er verschlüsselt diese Prüfsumme, diesmal aber mit seinem Geheimen Schlüssel, der nur ihm selbst zugänglich ist.

3. Das Dokument wird zusammen mit der verschlüsselten Prüfsumme an die beabsichtigten Empfänger verschickt (verschlüs-selt oder nicht, spielt dabei keine Rolle).

4. Die Empfänger können mit Hilfe des ihnen bekannten Öffentlichen Schlüssels des Dokumenten-Urhebers die Prüfsumme de-chiffrieren, und überprüfen, ob sie noch zum Dokument passt. Ist das nicht der Fall, wurde das Dokument manipuliert. Ansonsten ist es authentisch.

In einfachen Worten:

Prüfsumme wird mit dem privaten Schlüssel des Absenders verschlüsselt, wodurch eine digitale Signatur entsteht, die sich mit einer Signatur oder einem Siegel vergleichen lässt. Diese Signatur wird an die E-Mail angehängt und versendet. Der Empfänger entschlüsselt die Signatur mit dem öffentlichen Schlüssel des Absenders und erhält die Prüfsumme der E-Mail.

→Stimmen beide Prüfsummen überein, ist sichergestellt, dass die Nachricht während der Übertragung eine Manipulation erfahren hat, d.h. ihre Integrität erhalten geblieben ist.

Die Schlüsselpaare können durch den Teilungsrest (Beispiel X Modulo 10) nicht zurückberechnet werden. Es ist somit nicht möglich, zu einem öffentlichen einen privaten Schlüssel exakt zu berechnen.

Aus diesem Grund gibt es unendlich viele Private Schlüssel, die komplementäre zu einem öffentlichen Schlüssel sind ( bei der erforderlichen (hohen) Schlüssellämge jedoch nahezu unmöglich durch ausprobieren rauszufinden.

In einfachen Worten:

• Bsp.: sha256sum/SHA256, SHA1

• Prüfsumme zeigt direkt an, ob es das gleiche Dokument ist oder nicht

• bei jeder Veränderung wird eine andere Prüfsumme generiert

Bsp.: sha256sum/SHA256, SHA1

→Prüfsumme zeigt direkt an, ob es das gleiche Dokument ist oder nicht

→bei jeder Veränderung wird eine andere Prüfsumme generiert

Beispiele von Anwendungsszenarien:

• OPENSSL (https, smtps, impas, S/MIME, WPA, SSH, MYSQL)

• Outlook mit Zertifikat,

• Thunderbird

• Mutt

• PGP (PGP-MIME)

• OpenSSL (https, smtps, impas, S/MIME, WPA, SSH, MYSQL)

• outlook mit zertifikat

• thunderbird

• Mutt

• PGP (PGP-MIME)

Datei mit:

• öffentlichem Schlüssel

• weitere Informationen wie Namen, Mailadresse,Webseite, Post, Geodaten usw.

• digital signiert von einer vertrauenswürdigen Instanz

  
  

  -> wird im Zertifikat etwas geändert, verändert sich die Prüfsumme und die digitale Signatur wird hinfällig

  -> Zertifikat wird, wie der öffentliche Schlüssel an alle Kontakte verteilt

  -> Privater Schlüssel muss selbstverständlich seperat gut gesichert aufbewahrt werden

• Open SSL (secure socket layer) ist in alle gängigen Programme eingebaut

• SSL TSL ist der Industriestandard

• PGP (Pretty good privacy) -> Konkurrent zu SSL, nicht gut geeignet für Streams

  
  

Vorteil:

-> die Open SSL Datenbanken werden ständig aktualisiert und Fehlerbereinigt, einige Versionen haben jedoch designbedingte Fehler und werden daher nicht mehr eingesetzt

-> Aufgrund der Komplexität und der vielfältigen Angriffsszenarien im Kryptobereich gilt es als fahrlässig, eine eigene proprietäre Verschlüsselung in kritischen Bereichen zu implementieren und einzusetzen

SSL ist bei kommerziellen Produkten “vertreten”, bei Verschlüsselung von Emails ist 50 zu 50 % PGP und SSL vertreten

• http -> verschlüsselt

• https -> unverschlüsselt

• FDE (=Full Desk Encryption) seit Android 5 Standardausstattung

• DEK (=Device Encryption Key) wird im seperaten Bereich auf dem Gerät mit einer PIN oder Passwort verschlüsselt

• Auf jedem Handy kann man das Betriebssystem nach Wunsch installieren

  • Hersteller darf kein blocking dafür machen

  • neues Betriebssystem auf dem Handy mit “fast reboot” und Befehl: adb sideload

• Festplattenverschlüsselung bezeichnet das Verschlüsseln einer gesamten Festplatte oder einzelner Partitiionen um den unbefugten Zugriff auf sensible Daten zu verhindern

• soll sensitive Daten bei Diebstahl des Gerärts bzw. Datenspeichers (notebook etc.) vor ausspähen schützen (Thema Vertraulichkeit)

• Datei- Partitions- oder Datenträgerweise Verschlüsselung i.d.R symmetrische Blockcipher, derSchlüssel kann ein Passwort sein oder ein Binärschlüssel mit Zufallsanteil bei der Generierung, der selbst wieder durch ein Passwort geschützt in einem separaten Datenbereich gespeichert wird

  • verschiedene Software verfügbar, teils plattformneutral, teils OS spezifisch

• Verschlüsselung mit Hardware möglich. Bspw. Schlüssel zum Entschlüsseln liegt auf euber anderen Partition der Festplatte bzw. auf dem Gerät selbst, welches beispielsweise durch Pin freigeschaltet wird.

  • Bsp. TV -> Kombination, dass Film aufgenommen wird und vom TV Verschlüsselt wird

    -> Durch Pineingabe am TV wird die Verschlüsselung geöffnet und der Film kann entschlüsslet werden

1. Produkte (OS-spezifisxh): Windows: EFS, BitLocker / MAC: FileVault / Linux: dm.cryp

2. Produkte (Multi- /Cross Plattform): Container-Formate mit Verschlüsselungs Unterstützung z.B. 7Zip/CrossCryp: Zugriff auf verschlüsselte Linux LOOP-AES-Partitionen unter Windows, VeraCrypt (Nachfolger von TrueCrypt)

Mathematisch anspruchsvolle Faktorisierung hoher Zahlen

Idee = Daten durch einen Computerzugänglichen Trägermedium verbergen

• Daten in denen geheime Botschaften eingebettet sind sollten einen tolerablen “Rauschanteil” enthalten

durch die Festplattenverschlüsselung kann ohne die Kenntnis des Schlüssels nicht bewiesen werden ob und welche Daten auf einer verschlüsselten Partition vorhanden sind und nicht einmal ob überhaupt verschlüsselt wurde. Der Besitzer kann also glaubhaft bestreiten, im Besitz sensibler Daten zu sien, was bei entsprechend geeigneten Mechanismen auch nicht widerlegt werden kann.

Angriff:

Auspähen des symmetrischen Schlüssels

-> Verteidigung: Nur “im Kopf” speichern oder Schlüssel sicher verwahren (z.B. verschlüsselter Container wie keepassX)

Angriff: Erraten durch “Brute Force” (Ausprobiern)

-> Verteidigung: Hohe Schlüssellängen, keine einfachen Passwörter mit “Wörterbuch”-Anteilen, keine “gelben Zettel” am Monitor aufkleben

Angriff: Abgreifen der Daten vor Verschlüsselung bzw. nach Entschlüsselung

-> Verteidigung: Vermeidung von längerfristigen, unverschlüssleten “Zwischenspeichern”, möglichst direkt verschlüsselt speichern und erst beim Lesen entschlüsseln

Dateiweise: Klartextattacke -> durch Dateinamen oder andere Metadaten wie Größe und Position im Dateibaumsystem kann auf den Inhalt einer Datei gecshlossen werden, was BruteForce Attacken erleichtert.

Bei einigen Algorithmen wird eine unverschlüsselte Version der Datei im Speicher oder temporären Bereichen der Festplatte gehalten um den Aufwand für Dechiffrierung gering zu halten, dort wären die Daten auslesbar

Geräteweise: Verschlüsselung einzelner Partitionen oder Container erfolgt blockweise und muss als ganzes aufgeschlossen werden. Es wird immer nur der gelesene Block dechiffriert und nur so viel unverschlüsselt im Speicher von der Anwendung gehalten wie benötigt wird. (partition ist effizientere Wahl): Bei Verlust des Schlüssels ist alles weg und keine Datenstruktur mehr erkennbar.

Beim normalen löschen von Daten ist es oftmals so, dass nur die Einträge aus dem Inhaltsverzeichnis genommen werden und der Datensatz nicht gelöscht wird sondern erst gelöscht wird falls der Speicherplatz benötigt wird. Die älteren versionen der Dateien bleiben meist erhalten

Die Datei wird gelöscht und anschließend wird der freie Platz des Datenträgers mit einer riesigen Datei überschrieben.

• Sync, damit auch wirklich alle Daten gelöscht sind

• Programm “Wipe” =Überschreibung der Festplatte mit Zufallsdaten

• Verschlüsseln und wegwerfen

Der Datenträger muss von vorneherein verschlüsselt werden und der symmetrische Schlüssel verworfen, wenn der Datenträger außer Betrieb genommen wird -> mit dem Programm Wipe möglich

Die Forensik beschreibt das wiederherstellen von gelöschten oder versteckten Daten

testdisk: Wiederherstellung von Partitionstabellen und gelöschter Dateien

photorec: Teilweise oder komplette Wiederherstellung von Dateisystemstrukturen -> Dateien werden oft unter neuem Namn gerettet

ddrescue: 1:1 Kopie eines Datenträgers in eune imagedatei anfertigen

ISO/OSI -> TCP/IP ist in der Abbildung als DoD-SChicht abgebildet, TCP/IP entspricht nur teilweise dem ISO/OSI Modell

(IPV4): Vier 8-Bit Dezimalzahllen Bsp. 255.255.255.255 (also alles möglich zwischen 0-255 [pro 8 Bit]) durch Punkte getrennt; 4 Milliarde (4*10^9) IP-Adressen

(IPV6): Acht 16-Bit Hexadezimalzahlen Bsp. 2001:0db8:85a3:08d3:1319:8a2e:0370:7344; durch Doppelpunkte getrennt; 340 Sextrillionen (340*10^36) IP-Adressen

—> Trotz der Begrenztheit ist IPV4 immer noch beliebter

Vorgegebene Netzwerkmasken regeln, wieviel Computer auf die Netze zugreifen können

Bsp. 250.250.250.0 oder 10.12.11.0 erlaubt 250 Computer im Netz

250.250.0.0 oder 10.50.0.0 erlaubt 250*250 (65205 Computer im gleichen Netz)

Es gibt auch private IP-Adressen, welche nicht weiter ins Internet geleitet werden: bspw. 10.x.x.x oder 192.168.x.x.

DHCP Server - also router oder Gateway —> technisch

Netzwerk/Internetprovider —> organisatorisch

IANA (Internet Assigned Numbers Authority) —> Organisatorisch

um über das eigene Netzwerk hinaus zu verschicken wird eine zweite Netzwerkkarte benötigt (Für jedes Netzwerk eine)

—> Router übernimmt meistens diese Funktion

Bsp. Ich sende Daten an mein Netzwerk (das vom Router) und der Router überträgt es ins Interner bzw. in die “Außenwelt”

sendet der Router an die “Außenwelt” ein anderes Protokoll bzw. handelt es sich um größere Netzwerkstrukturen, spricht man von einem Gateway

Beliebte Programme: Kommando route —> Ausgabe der Routingtabelle

Traceroute bzw. tracert —> Verfolgung der Datenpakete von Rcehner zu Zielort

Bei Nameservern handelt es sich um Server welche Domainnamen und IP-Adressen verbinden. Bsp: www.google.de wird eingegeben und der Nameserver “wandelt das zu der IP 9.9.9.9 um

Wer den Nameserver kontrolliert, kann die Webseitenadressen umleiten, ohne dass es in der Adressleiste sichtbar wird

Bsp.: ich gebe www.google.de an und werde auf 12.11.02.05 umgeleitet

Abhilfe sind Protokolle wie https: statt http —> wegen der SSL-Zertifikate (verschlüsselte Kommunikation) unterstützen durch SSL Zertifikate nicht nur Verschlüsselung sondern auch Signatur der Antworten auf Anfragen. Hierdurch kann der Browser mit Hilfe der eingebauten SigniererZertifikate erkennen, ob die Webseite authentisch ist oder auf eine falsche Adresse umgeleitet wurde, die den richtigen privaten Schlüssel nicht kennt

IP Adresse Quelle, Port Quelle, IP Adresse Ziel, Port Ziel und das Transportprotokoll TCP oder UDP

Es kann zum gleichen Zeitpunkt nie meherere Datenpakete mit den exakt gleichen 5 Kenngrößen im Internet geben, dies führt zum Verwerfen des “doppelten” Pakets (und ggf. Neuversand zu einem späteren Zeitpunkt)

Ein Serverdienst hat immer die gleiche Portnummer z.B. 80 für http oder 443 für https

Ein Serverdienst kann meherer Clients (mit unterschiedlichen Portnummern und oder Quelladressen) bedienen.

Ein Client kann mehrere Verbindungen aufbauen, die jeweils unterschiedliche Quellports aber den gleichen Zielport besitzen

Es können vom gleichen Quellport viele gleichzeitige Verbindungen zu unterschiedlichen Zielrehnern und/oder Zielports aufgebaut werden, was für den Aufbau einer portbasierten Firewall sinnvoll sein kann

Nmap dient als Portscanner und es kann somit überwacht werden ob auf einem bestimmten Port ein bestimmter Dienst läuft.

NB: -P0 bei nmap verhindert, dass ein ICMP Ping Request versandt wird, hiermit werden auch Adressen gescannt, die nicht pingbar sind.

-sU würde auch UDP-Ports scannen, was sehr lange dauern kann.

Mit -rtt [max, initial]_timeout sekunden…. kann länger auf eine Antwort gewartet werden, wenn ein Firewall oder Gateway aus sicherheitsgründen eine “Verzögerung” eingebaut hat. (Greenbone OpenVas -> Internet Scanner -> Eine Software die Sicherheitslücken erkennt und auf Lücken aufweist.

Scan Report wird erstellt und an alle Admins geschickt und sie werden dann angeschrieben bzw. darauf hingewiesen. So ein Scan wird im voraus angekündigt)

Full NAT (=Network adress Translation)

• Alle Adressen werden weitergegeben

Nicht Full NAT

• ergibt blcoking oder Router/Rechner gibt öffentliche IP Adresse anstatt des Intranets

Die Firewall filtert IP-Adressen, Hardwareadressen (MAC) oder Ports und kann somit Verbindungen zu bestimmten Computern oder Ports im Zielnetzwerk unterbinden. Die Möglichkeit, IP Pakete nach Adressen oder Ports zu filtern ist bei vielen Betriebssystemen im TCP/IP - Stack eingebaut.

Als Forwarding bezeichnet man einen Router, der Pakete weiterleiten soll und nicht selbst in Empfang nimmt

Beliebte Form: Masquerading

Beim Masquerading wird die quell ip Adresse aller ins internet gehenden pakete durch seine eigene ersetzt, bei Rückantworten folglich von sich selbst.

dh. die Netzwerkstruktur des Intranets blebit vor der Außenwelt verborgen, dennoch ist ein bidirektionaler Datenverkehr möglich —> Allerdings nur wenn der Verbindungsaufbau vom privaten ins öffentliche Netz erfolgt.

Beispiel:

Wikipedia: Netzwerkübersetzung

Firewalls können auch einee Umsetzung von Quell- und Zieladressen vornehmen, indem die entsprechenden Segmente des IP-Paketes “umgeschrieben” werden. Der Zielrechner “sieht dann eine andere Adresse als die des Rechners, der ein Paket tatsächlich verschickt hat. Um eine Antwort weiterzuleiten, muss das gleiche Verfahren dann für die vermeintliche Zieladresse wiederholt werden.

Virtual Private Network

VPN hat die Aufgabe IP Pakete zwischen örtlich getrennten Netzen weiterzuleiten. Es soll praktisch eine Verbindung geschaffen werden wie mit einem “normalen” Router.

Die unsichere Strecke (das Internet) welches zwischen den beiden Geräten bzw. Netzen liegt wird durch Verschlüsselung überbrückt.

Durch einen VPN-Router wird die Ver- Entschlüsselung für die anderen Rechner in den beteiligten Netzen transparent.

—> In der Praxis wird dies auch oft als VPN Client (zb. Cisco) genutzt um den Mitarbeitern Zugriff auf das Intranet zu gewwähren.

Der VPN Client ist eine Softwrae welche sich mit dem VPN Router in Verbindung setzt und die IP Pakete über Masquerading in das Intranet “umleitet”, wenn sie entsprechende Zieladressen haben

Straftaten können via IP Adresse herausgefunden werden. können IP-Adressen versteckt werden?

—> Mit Tor können sie anonymisiert werden.

Tor symbol -> Zwiebel (Tor wird auch für kriminelle Taten genutzt)

Tor Browser benutzen, wenn man anonym bleiben möchte.

Nachteil: Tor kann manchmal sehr lang bis unerreichbar sein -> keine Tor Weiterleitung wird empfohlen -> erst recht nicht als Privatperson -> Tor Netzwerk unterstützen -> Tor ist ein Proxi Netz

Manchmal sind Firewalls “unsinnig” konfiguriert und erlauben nur unverschlüsselte Kommunikation (z.B. http statt https für WWW, imap statt imaps für E Mail) so dass Passwörter und private Daten ausspioniert werden könnten. Anhilfe kann hier das sog. “Firewall Piercing” schaffen, das mit einer Protokollumsetzung nur vermeintlich den freigeschalteten, unsicheren Dienst auf Port 80 nutzt, in Wirklichkeit aber verschlüsselte Datenpakete in. die Web-Abfragen und Antworten packt, die dann auf dem simulierten Web Server auf dem Zielsystem entpackt und ins Internet geroutet werden

Def 1.

Das Nutzen des urspünglich für andere Zwecke vorgesehene offene/durchgereichten Ports auf einem Firewall mit ggf. Protokoll-Umsetzung und weitrem Routing an andere Zielrechner heißt “Firewall Piercing”

Def.2 Daten werden verschlüsselt und über einen unverschlüsselten Dienst getunnelt

Natürlich kann diese Technologie genauso für legitime Zwecke genutzt werden wie von Angreifern die den Datentransfer als “Abruf von Webseiten” kaschieren wollen

Sniffen bedeutet dass Netzwerk Pakte abgefangen, gespeichert und analysiert werden, welche nicht für die eigene IP Adresse bestimmt sind

Man in the middle

Aktives Sniffen: manipulierte Adressinformationen werden gestreut.

Beim spoofing werden Zugangsinformationen zwischen Hardwareadresse und IP Adresse im IP Protokoll der Datenverkehr auf den Computer des Angreifers “umgeleitet” und die Verbindunhgen werden dadurch komplett übernommen und können auch vom Angreifer getrennt werden —-> Denial of service (DOS)

Datenpakete können auch manipuliert werden

passives Sniffen: Datenpakete werden nur empfangen (gelauscht, geschnüffelt —> sniffing)

Beim spoofing werden Zugangsinformationen zwischen Hardwareadresse und IP Adresse im IP Protokoll der Datenverkehr auf den Computer des Angreifers “umgeleitet” und die Verbindunhgen werden dadurch komplett übernommen und können auch vom Angreifer getrennt werden —-> Denial of service (DOS)

Ziel = Infrastruktur des angegriffenen zu zersetzen

• flood Ping Attacke (ICMP-Pakete)

• Webserver lahm legen durch bspw. Benchmarking Tools

—> DDOS (Distributed denial of service) = viele gleichzeitig angreifende IP-Adressen

= simulieren, dass der abgerufene Server der eigene ist —> mein rechner “verseucht” andere

Erkennen von Netzwerk Manipulationen: tcpdump-Analyse, SnoopSnitch (für Mobilfunk)

Direkter Einbruch in die Infrastruktur

—> übernahme von Routern/Accesspoint durch herstellerseitig installierte Services (Backdoor für Fernwartung bspw.)

Aufstellung eigener Accesspoints mit bekannter SSID aber ohne Authentifizierung/Verschlüsselung bzw. Mobilfunkmasten (IMSI-Catcher) -> Prinzip der nächsten “Masten” wird ausgewählt"

• Man in the middel attacke —> Umleiten von Paketen im Lan an Hardware-Adressen eigener Rechmer (via ARP-Spoofing) —> auch feindliche Übernahme von Verbindungen möglich

• Mitschneiden der verschlüsselten Kommunikation um sie später offline auszuwerten ist ebenfalls möglich

• Bsp. Promiscuous Modus —> Möglichkeit zum Sniffen

• Das judikative Bestreben, die länderspezifische Verbreitung solcher Tools durch legalisierung zu verbieten ist rein logisch gesehen nicht dazu geeigntet, den unbedarften Anwender vor kriminellen zu schützen. Ausgebildete Netzwerk Administratoren und Sicherheitsexperten können die gleichen Tools jedoch sinnvoll einsetzen um Angriffspunkte in der eignenen Netzwerk Infrastruktur zu erkennen und Möglichkeiten zur Fehlerbehebung zu finden

• doppelte Hardware oder IP Adressen und häufige Verbindungsabbrüche (Tcpdump Analyse)

• Protokollanalyse: wird eine unverschlüsselte Verbindung erzwungen? (Mobilfunk: Snoop Snitch)

DOS Attacke, wenn durch exzessive Nertzwerk ANfragen der Netzwerktraffic die Infrastruktur des Opfers nicht mehr produktiv genutzt werden kann

• erlaubt monitoring, auslesen und verarbeiten von sensordaten, ein- un ausschalten sowie die regelung von parametern komfortabel über das heimische WLAN oder das Internet per App

• Gefahr, da sich die Geräte im Heimnetzwerk befinden und per Internet darauf zugegeriffen werden kann, (scan oder kontaktierbar —> Missbrauchspotential)

• alle Daten werden auf einem Server/proxy des Betreibers gespeichert. Dieser kann die Daten abgreifen, Geräte steuern und auch neue Firmware einspielen

  Abhilfe durch Aufspielen von eigener Custom Firmware Software (Basis bilden einfache Microcontroller von geringer Komplexität) auf dem Gerät oder Betreiben des eignen Proxys d.h. keine Verbindung zum Server im Internet

USB Stick an fremden Laptop einsteckem

• Stick sieht normal aus

Hacker kann Laptop über Stick steuern (Maus, Tastatur)

• Man kann Laptop Bediener hinters Licht führen, da dieser nicht weiß, worin das Problem liegt

• Besitzer kann während dieser Zeit weder Maus noch Tastatur bedienen

Im USB Stick: Micro Controller mit Speicherkarte

• WLAN-fähiger Storage Device

Anbieter: Ducky / WUD Ducky

Wie kann Gefahr behoben werden?

• Bei der Installation einer APP mit Passwort registrieren, damit Sicherheit bereits gegeben und Besitzer über Zugriffe informiert werden

• Sicherheit VPN und BYOD

  • Jedes Netzwerk ist nur so sicher wie die “schwächste Komponente”

• Jedes Netzwerk ist nur so sicher, wie die “schwächste” komponente

• Bei VPNs (Zusammenschluss von zwei Netzen) wird die Anzahl der potentiellen Angriffsziele erhöht

• bei BYOD müssen die anderen Netzteilnehmer vor dem neuen Gerät geschützt werden

  • Möglichkeiten sind hier die Client-Isolation (einzelne Geräte könnnen nicht (direkt) untereinander kommunizieren

  • Jedoch fördert die CI nicht die Produktivität und sorgt für Verwirrung

• Allgemein: Manipulation einer an sich harmlosen Webseite, dür den Anwender im Browswe nicht erkennbar

  • Ausnutzen einer Computersicherheitslücke in Webanwendungen um Identitätsdiebstahl (Benutzerkonten) zu betreiben

• (Scheinbare oder echte) Manipulation einer an sich harmlosen Webseite, für den Anwender im Browser nicht erkennbar (Code injection)

• mit oder ohne ändern von Daten auf dem Server zu diesem Zweck

• “unsichtbare Webformulare” bzw. CMS

• Zb. Formulare erweitern, User meint er muss Bankdaten eingeben

• Tools OWasp XSS Testing deckt Sicherheitslücken bei Webanwendungen auf

• Network Mapper - Nmap = freier Portscanner zum Scannen und Auswerten von Hosts im Rechnernetz

• Nessus Security Scanner = Nmap + Überprüfung & Ausgabe von Sicherheitslücken

• OpenVAS (Open Vulnerability Assessment System): Schwachstellen Scanner

• MapWOC: Detektion von Drive By Exploits auf den eigenen Webseiten

• Owasp XSS Testing: Handbuch

• Senden ohne Erlaubnis des Empfängers

• Massenmails zwar teilweise verboten aber mailheader trotz allem leicht zu fälschen

• keine authentifikation und Verifikation des Absenders vorgesehen. Senderbezogenes Filtern (“Blacklist”) sehr aufwendig und unzuverlässig

Ziel: Entfernen bzw. Quarantäne unerwünschter Inhalte

Probleme:

• Erkennen von Schadsoftware anhand von Signaturen, die in einer Datenbank hinterlegt sind. Neue Schadsoftware ist schwer zu erkennen

• Verschlüsselte oder mit PW geschützte Inhalte können nicht untersucht werden

• Filter kann durch Massenmails du große Anhänge überlastet werden

• “False positives”: ungefährliche Inhalte werden als schädlich eingestuft

• Gefilterte Inhalte (in Quarantäne) müssen unter Umständen manuell untersucht werden

• Backscatter-Gefahr: wenn die Absender der Mail informiert werden, dass die Mail nicht ankam (Absender Email kann leicht gefälscht werden)

• Sandwich-Konfiguration des Nachrichtenfilters

• Frontend Server nimmt Nachricht an, sendet keinen Bestätigungscide für den erfolgreichen Empfang und hält TCP-Verbindung aufrecht

• Backend-Server untersucht die Nachricht und meldet den Status an den Frontend-Server

• Sichere Nachricht: Zustellung der Mail, Frontend-Server meldet Erfolgscode für Empfang über die noch offene Verbindung

• Gefährliche Nachricht: Frontend Server meldet Fehlercode über die noch offene Verbindung und trennt diese —> Mail wird verworfen

• Blacklist / Whitelist Regelwerke

Vorteile:

• Sender erhält Fehlercode und damit die Info, dass nicht zugestellt wurde

• keine Backscatter, da Fehlernachricht nicht neu generiert und an den Absender versendet wird

Nachteile:

• Es wird ein leistungsfähiger Backend Server benötigt

• es werden zwei Server benötigt, wodurch die Fehleranfälligkeit steigt

Das folgende ist:

Meltdown: Hardware sicherheitslücke in Mikroprozessoren, über die ein unautorisierter Zugriff auf den Speicher fremder Prozesse möglich ist

Spectre: Angriffs-Szenario, bei dem Prozesse durch Sicherheitslücken in Mikroprozessoren mit Out of order execution Informationen des virtellen Speichers anderer Prozesse, auf den sie normalerweise keinen Zugriff haben, auslesen können.

Lösungsansatz:

Der Hardwarefehler der CPU ist nicht durch Software reparierbar. Es müssen die Kernkonzepte der Betriebssysteme und der CPU Firmware (Microcode-Updates) überarbeitet werden. Der Fehler wird dadurch nicht eliminiert, jedoch erschwert es die Ausnutzung der Sicherheitslücke auf Kosten der Betriebsperformance

Vorteile: Eigenes Know-how, keine Anhängigkeit, Kosten (open source)

Nachteile: Eigenverantwortung, know how benötigt

• Freie Derivate, die sich an der Open source Basis von Android orientieren, ermöglichen die Rückgewinnung der Kontrolle und unabhängige Installations- und Update Möglichkeiten (“Rooten”) Bsp. Lineage=”

• Laut Aussage der Hardwarehersteller bedeutet dies jedoch den Verlust der Garantiebauf das Gerät, da eine herstellerseitige Remote-Wartung unterbunden wird (passen Android auf ihre speziellen Plattformen an, erweitern das System jedoch oft mit proprietären Komponenten und verhindern durch technische Maßnahmen, dass der Anwender Zugriff auf Betriebssystemebene erhält

= Anwender des mobilen OS erhält Administratorrechte und kann Modifikationen am System selbst übernehmen

• kann Sicherheit erhöhen

  • Abschalten oder Entfernen problematischer Dienste und außerplanmäßige Updates möglich

• Fehler bei Experimenten

  • kann zu einem nicht merh startenden Gerät führen

Birgt Gefahren durch Experimente und Unwissenheit, kann aber auch durch die eigene Administration die Sicherheit erhöhen (gezieltes Abschalten und Entfernen problematischer Dienste)

• Systemsoftware:

  • Administrator muss sich um Sicherheit kümmern

  • Betriebssystem inkl. Treiber

  • Systemdienste und Programme

    • Treiber, Kerne- und module, Systemdienste sorgen dafür, dass die Hardwareressourcen des PCs im laufenden Betrieb nutzbar und sicher sind.

• Anwendersoftware:

  • Benutzer muss Sicherheitsbewusstsein erarbeiten

  • Programme, mit denen der PC Nutzer direkt arbeitet, wie z.B. Office, Spiele, Desktop

  • kann durch den Anwender beliebig ausgetauscht und verändert werden

= dient der Programm. und Kontextspezifischen Einschränkung des Zugriffs auf (Kernel-)Schnittstellen udn erzwingt Restriktionen bzw. Freigaben z.B. auf Dateisystem und Netzwerkebene durch ein Regelwerk (policy)

• Policy erlaubt oder verbietet Zugriffe

• Open source (viel Aufwand), Workaround: Apps einsperren (Sandbox), mandatory access controls (MAC)

• Mac dient der Programm- und Kontext-spezifischen Einschränkungen des Zugriffs auf (Kernel-)Schnittstellen und erzwingt Restriktionen bzw. Freigaben z.B auf Dateisystem- und Netzwerkebene durch ein Regelwerk (eine Policy)

• zb. Android = NSA Secure Linux Kernelerweiterung verwendet, bei desktop Pcs unter Linux die optimierte Kernelerweiterung AppArmor (erstellt eigene Policy)

• Mit MAC kann man obwohl man kein Admin ist an Dingen vorbei, wie zb. CHmod etc.

Information Security Management System

—> Kein computer-Programm zur Verwaltung von Sicherheitsfeatures, sondern eine konzeptionelle Maßnahme um die IT-Sicherheit im Unternehmen zu unterstützen

—> Eine Aufstellung von Verfahren und Regeln innerhalb einer Organisation, die dazu dienen, die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern

Das “Betreiben” des ISMS kann in infrastrukturkritischen Bereichen eine Verpflichtung für Unternehmen sein (S4 zB. bei Versicherungen)

• am besten vorher anstatt Umbau im Nachhinein zB. ISIS12 als Anleitung

• IT-Sicherheit als Teil des Gesamtkonzeptes berücksichtigen, Rechtslage prüfen sowie eventuell Hilfestellungen von bspw. Consultants beanspruchen aber auch vom BSI die eine beratende Funktion übernimmt und Sicherheitswarnungen ausspricht sowie Richtlinien-Dokumente teilt

• IT-Sicherheitsmanagement (ISMS): ISO/IEC-2700-Reihe: Standards zur Informationssicherheit

  • Iso/IEC 27001 - Informationssicherheits-Managementsystem (ISMS)

  • Spezifiziert die Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten Informationssicherheits-Managementsystems

  • Iso/IEC 27002 - Beinhaltet diverse Kontrollmechanismen für die Informationssicherheit

• IT Grundschutz: vom BSI entwickelte Vorgehensweise zum identifizieren und Umsetzen von Sicherheitsmaßnahmen

• common criteria: ISO/IEC 15408 - Internationaler Standard Webportal zur Prüfung und Bewertung der Sicherheitseigenschaften von IT-Produkten

• das common criteria ist eine treibende Kraft für größtmögliche gegenseitige Anerkennung sicherer IT Produkte

Kritik: Zu viel Papier und wenig Produkt geprüft, Zertifiziert wird hier nur gezielt der Überprüfungsgegenstand des Herstellers

Vorgehensweise zum identifizieren und Umsetuen von Sicherheitsmaßnahmen der unternehmenseigenen IT

Ziel:

Erreichen eines mittleren, angemessenen und ausreichenden Schutzniveaus für IT Systeme

• Common Criteria

• ISMS

• BSI Standard 200-1 “ManagementsystemefürInformationssicherheit“

  = Aufbau eines ISMS

• BSI-Standard200-2„IT-Grundschutz-Methodik“

  = grundlegende Vorgehensweisen nach IT-Grundschutz

• BSI-Standard200.3„Risikomanagement“

  = Risikoanalyse für Schutzbedarf auf einer durchgeführten IT-Grundschutzerhebung

zertifikate werden nur für bestimmte Bereiche geprüft udn nicht das ganze Unternehmen

—> Einsender gibt an, was untersucht werden soll und es wird nur auf Papier überprüft

es ist zwischen

• technischen (Firewall, Verschlüsselungen, Zugangskontrolle,…)

  
  

  und

• organisatorischen (Konzept, Policy)

Maßnahmen zu unterscheiden

BSI = Budnesamt für Sicherheit in der Informationstechnik:

• hat eine beratende Funktion und stellt Warnungen, Analysen, Informationen, Richtlinien bereit; kein Dienstleiste

• Informationen zur Prävention für IT-Sicherheitsvorfälle auf Website

• Checklisten für erste Schritte zur Bewältigung eines Vorfalls

• Grundschutz-Kompendium (Mindmap)

• BSI Standard 200-1 “Managementsysteme für Informationssicherheit”

• BSI Standard 200-2 “Grundschutz-Vorgehensweise”

• BSI Standard 200-3 “Risikomanagement”

Zu beachten ist, dass es sich bei den sehr umfangreichen Grundschutzbüchern um Handlungsempfehlungen handelt, due in erster Linie als Konzept Software- und Architekturneutral umgesetzt werden

Aufgaben:

• Informieren bei Gefahren

• Veröffentlichen von Richtlinien

• Ansprechpartner bei Sicherheitsproblemen

• Beratung bzw. Vermittlung von Beratung

1. Definition/Dokumentation der Ziel-IT-Infrastruktur (“Architekturskizze”)

2. ausführliche Risikoanalyse/Risikobewertung (Szenarien Regelbetrieb und Angriffsvektoren betrachten)

3. konzeptionelle Aufstellung von IT-Sicherheitsmaßnahmen (ISMS)

4. technische Umsetzung (inkl. Anschaffung benötigter Hard- und Software)

=eine Aufstellung von verfahren und Regeln innerhalb der Organisation, die dazu dienen, die Informationssicherheit dauerhaft zu definieren, zu streuen, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern.

• kurz: eine konzeptionelle Maßnahme, um die IT-Sicherheit im Unternehmen zu unterstützen

• kein Computerprogramm zur Verwaltung von Sicherheitsfeatures

• Anleitung aus 12 Schritten

• Kurz: schnelle Hilfe, Informationsweiterreichung und akute Warnungen im Bereich der IT Sicherheit

lang:

• bei akuten Vorfällen oft keine Zeit mehr, umfangreiche Dokumente zu lesen

• Das Team ist für schnelle Hilfe, Informationsweiterreichung und akute Warnungen im Bereich der IT-Sicherheit zuständig

• freiwillige Hilfe

• bsp. CERT-Bund als Teil des BSI, Bürger-Cert (Dienst für Privatpersonen)

• Es sollen andere/externe Personen oder Einrichtungen vor Angriffen geschützt werden, die durch ide Ausnutzung eigener Sicherheitslücken gefährdet sien könnten. —> Infos an die Betroffenen, da diese Pw evtl. woanders genutzt werden

• Bsp. : Protokollierung von Nutzer-Aktivitäten und Netzverbindungen durch Provider, Meldepflicht von Vorfällen bei Betreibern “kritischer Infrastruktur” (z.B. Strom- und Wasserversorgung, Finanzen oder Ernährung)

= Zentrales (z.B, Finanzmarktwerkzeug) oder verteiltes (z.B. Bitcoin) Daten-Management Sytem in einem Netzwerk

Die Aufbewahrung des geheinen Schlüssels für die Signatur von Transaktionen ist dabei sehr wichtig. Nur Besitzer haben diesen Schlüssel

Durch das Verfahren der Blockchain in jedem neuen Block durch eine Prüfsumme den jeweils vorgehenden festzuschreiben, wird die zentrale Eigenschaft der Unveränderlichkeit gespeicherter Daten und die Fälschungssicherheit gewäährleistet. (Hohe Transparenz)

• Ein Block enthält Nutzdaten und signierte Prüfsummen, mit denen die Daten verifiziert werden können

• jeder neue Block enthält die signierte Prüfsumme des vorhergehenden Blocks, dadurch ist es unmöglich, einen früheren Block zu manipulieren, ohne dass die ganze darauffolgende Kette ungültig wird (s. zentrale Eigenschaft der Unveränderlichkeit)

• jeder Besitzer einer Blockchain Kopie kann die enthaltenen Blöcke vom ersten bis zum letzten anhand im Protokoll festgelegter Regeln verifizieren

• Existieren zwei konkurrierende Versionen einer Blockchain, so gilt die - unter Beachtung der Regeln - längste Version (dh. die am schwersten zu fälschende) als die gültige

Ein neuer Block wird nach bestimmten Regeln erzeugt —> Konsens-Verfahren

Proof of Work:

• Dienstnutzer muss zuerst selbst etwas Arbeit verrichten (Mining) bevor er den Dienst in Anspruch nehmen darf; soll davon abhalten, einen Dienst übermäßig in Anspruch zu nehmen oder gar missbräuchlich zu verwenden

Proof of Stake

• Gesamtes Netzwerk bestimmt, wer neuen Block erzeugen darf, es werden bestimmte Rechner vorgegeben, die Aktionen ausführen dürfen

Proof of Burn

• Bei jeder Transaktion muss ein bestimmter Anteil der Währung zerstört/unbrauchbar gemacht werden

Proof of Activity

• Sichere Aufbewahrung des geheimen Schlüssel kann zum Risiko werden

• dezentrales Zahlungssystem mit Bargeldähnlichen Eigenschaften

• Geldwertkontrolle: Unabhängigkeit von zentralen Instanzen (Banken)

• Vertrauen in die Zuverlässigkeit von tech-math beweisbaren Verfahren

Ziel: einfacher, sicherer und schneller Transfer von Geld

• werden in sog. digitalen Wallets gespeichert

• Sicherheitskriterien bei Erzeugung: Hohe Schlüssellänge und gute Zufallszahlen

• Aufbewahrung an sicherem Ort z.B. Offline (Cold wallet)

• Verschlüsselung der Wallets

• Wegschließen, z.B. mit bitadress.org (safe oder versteckt)

• Auswendig merken des Schlüssels (Brain Wallet: Als Gedicht z.B.)

• Ausdruck auf Papier ( Paper Wallet)

• Hardware Wallet, Schlüssel & Signaturalgorithmus in einem smart device

• Authentifizierung as a service, zeitlich begrenzt gültige einmal-Passwörter werden auf dem Benutzer eindeutig zugeordneten Endgerät generiert und authentifizieren Benutzer nach Eingabe dieser für diese Session. Oft eine ergänzende Authentifizierung, da bei Diebstahl des Geräts nicht ausreichend schutz vorhanden ist

Zwei-Faktor-/Mehr-Faktor-Authentifizierung:

• sog. Authenticator generieren zeitlich begrenzt gültige “Einmal Passwörter”, die auf ein dem Nemutzer eindeutig zugeordnetem Endgerät generiert werden

• Risiko Diebstahl: wird oft als ergänzende Authentifikation in einem Multi-Faktor Authentifikationsverfahren (Einfaches PW + Transaktionsnummer, die per SMS oder Mail verschickt wird) verwendet

• Bsp.: Online Bankung mit mobile Tan / SMS Tan

  • Vorteil: Zuverlässiger Schutz

  • Nachteil: Aufwändiger, kein Zugang bei Verlust der komplementären Authentifikation

Erste Maßnahmen:

• Rechner vom Netz trennen

  • Aber NICHT ausschalten (Ransomware, Verschlüsselungstrojaner)

• Datensicherung auf externem Datenträger

• Kontrolle, dass die gesicherten Daten auf anderm PC noch lesbar sind

Bereinigung:

• bei geringem “Befall” ist das System wieder schnell wie gewohnt verfügbar

• infizierte Dateien übersehen, da Schadsoftware meist neuer ist als die Schadsoftware-Datenbank —> Neuinfektion

• viel Aufwand und viel Fachwissen notwendig

Neuinstallation:

• Nach Löschen aller System- und Anwenderdateien ist das System in einwandfreien Zustand

• System keine ahnungnn in dem Moment auch aktualisiert und fehlerbereinigt werden

• die restaurierten Nutzerdaten können trotz Virenscanner immer noch Schadsoftware enthalten und das System erneut infizieren

• Konfigurationen und Einstellungen müssen ggf. neu eingetragen werden

Angreifer könnten über Schwachstellen in APIS und Webportalen auf persönliche Faten von Autobesitzern zugreifen und sogar Motoren starten

Schutz: Features auf der App abschalten