Folie 1 Humboldt University Computer Science Department Systems Architecture Group http://sar.informatik.hu-berlin.de IT-Sicherheit Grundlagen Orientierung, Problemstellung Folie 2 IT-Sicherheit Grundlagen Modul: IT-Sicherheit Grundlagen Dr. Wolf Müller 2 Folie 3 IT-Sicherheit Grundlagen Termine Vorlesung: –Dr. Wolf MüllerDr. Wolf Müller –Montag & Mittwoch 09:15 – 10:45 –RUD 25, 3.301 –
[email protected]@informatik.hu-berlin.de –Tel.: 3127 Übung: –Dr. Wolf Müller –entweder Montag oder Mittwoch 11:00 – 12:30 –RUD 25, 4.113 –Erster Termin: 16.04.2012 Dr. Wolf Müller 3 Folie 4 IT-Sicherheit Grundlagen SAR Website Teaching > IT Sicherheit - Grundlagen > [more] https://www2.informatik.hu-berlin.de/sar/Itsec/ Materialien (Folien) Login: $InformatikLogin Password: $InformatikPasswort Dr. Wolf Müller 4 Folie 5 IT-Sicherheit Grundlagen Regeln Für Prüfungszulassung Übungsschein nötig. Erwartung: –Regelmäßige Teilnahme –Aktive Mitwirkung in Übung –Gerne Anregungen für Vorlesung VL beginnt pünktlich Prüfung: Mündlich 30 min. –Voraussichtlich: 8. / 9. August –September vor IT-Security-Workshop Dr. Wolf Müller 5 Folie 6 IT-Sicherheit Grundlagen Literatur Dr. Wolf Müller 6 IT-Sicherheit, Studienausgabe (29 ) Claudia Eckert IT-Sicherheit: Konzepte - Verfahren – Protokolle (aktuell 7. Auflage) (70 ) Folie 7 IT-Sicherheit Grundlagen Literatur 2 Dr. Wolf Müller 7 Folie 8 IT-Sicherheit Grundlagen Literatur 3 Dr. Wolf Müller 8 Levente ButtyanLevente Buttyan and Jean-Pierre Hubaux Folie 9 IT-Sicherheit Grundlagen Zielstellung Grundlegendes Verständnis für IT-Sicherheit Kritisches Hinterfragen von Design, Abläufen, Software, Verhalten Lernen aus Beispielen Sicherheit ist vielschichtig Sicherheit ist nur temporär, bedarf Pflege, Überprüfung. Sicherheitsmechanismen müssen einfach zu nutzen sein. Privatsphäre, Anonymität, Datenschutz sollte/muss beachtet werden. Nutzerakzeptanz wichtig, oft schwächstes Glied. Dr. Wolf Müller 9 Folie 10 IT-Sicherheit Grundlagen Agenda: Grundlagen 26 Termine im Semester insgesamt (28 – {Oster,Pfingst}Montag) 1.Orientierung, Problemstellung 2.Schutzziele / Begriffe 3.Sicherheitsmodelle / Zugriffskontrolle 4.Sicherheitsmodelle / Informationsfluss 5.Angreifertypen, Bedrohungen Dr. Wolf Müller 10 Folie 11 IT-Sicherheit Grundlagen Agenda: Sicherer Kanal: Alice Bob 6.Ideen zur sicheren Übertragung (Steganografie, Entwicklung der Kryptografie) 7.Sicherheit von Kryptosystemen 8.Symmetrische versus asymmetrische Verfahren 9.Gruppenaufgabe: Themenvorstellung/ -vergabe 10.Blockchiffren, Stromchiffren 11.Integritätsschutz 12.Digitale Signaturen 13.PKI, Zertifikate, Alternativen & Grenzen 14.Authentifizierung: Wissen, Haben 15.Authentifizierung: Sein = Biometrie 16.Protokolle I: Schlüsselaustausch, Bausteine 17.Protokolle II: SSL/TLS, … Dr. Wolf Müller 11 Folie 12 IT-Sicherheit Grundlagen Agenda: Sichere Implementierung 18.Systemsicherheit: Bufferoverflow, FormatString 19.Netzwerksicherheit I: Schwachstellen & Gegenmaßnahmen (VLAN, IDS, VPN, IP-Sec, IPv6) 20.Netzwerksicherheit II: drahtlos 21.Websicherheit I 22.Websicherheit II 23.Testing / Zertifizierung 24.Präsentation I: Gruppenaufgabe 25.Präsentation II: Gruppenaufgabe 26.Prinzipien des Security-Engineering Dr. Wolf Müller 12 Folie 13 IT-Sicherheit Grundlagen Übungen: Mo, Mi Raum für Fragen, Anregungen, Diskussionen Gelegenheit zum Überprüfen und Anwenden erworbenen Wissens 3 individuelle abzugebende Übungsaufgaben –Elektronische Abgabe (wahrscheinlich Goya) 1 größere Gruppenübungsaufgabe –Ziel: Beschäftigung in Praxis mit größerem Problem –Darstellung der Ergebnisse vor allen Teilnehmern –Gruppengröße: 3-5 (abhängig von Aufgabe) Dr. Wolf Müller 13 Folie 14 IT-Sicherheit Grundlagen Fragen Dr. Wolf Müller 14 Folie 15 IT-Sicherheit Grundlagen PROBLEMSTELLUNG Dr. Wolf Müller 15 Folie 16 IT-Sicherheit Grundlagen Kurzgeschichte des Computers Dr. Wolf Müller 16 time device penetration Folie 17 IT-Sicherheit Grundlagen Kurzgeschichte des Computers Dr. Wolf Müller 17 time device penetration 1978 1. Personal Desktop Computing Folie 18 IT-Sicherheit Grundlagen Kurzgeschichte des Computers Dr. Wolf Müller 18 time 1991 1993 device penetration 1. Personal Desktop Computing 2. Personal Ubiquitous Computing Folie 19 IT-Sicherheit Grundlagen Kurzgeschichte des Computers Dr. Wolf Müller 19 time 3. Embedded Ubiquitous Computing device penetration 2. Personal Ubiquitous Computing 1. Personal Desktop Computing Folie 20 IT-Sicherheit Grundlagen Kurzgeschichte des Computers Dr. Wolf Müller 20 today time device penetration © Dirk Balfanz, Xerox Parc Folie 21 IT-Sicherheit Grundlagen Computer Overload Dr. Wolf Müller 21 time human capacity number of devices per person device penetration Folie 22 IT-Sicherheit Grundlagen Requirements Dr. Wolf Müller 22 Nötige Sicherheitsmaßnamen Benötigte Fähigkeiten Informationszeitalter Folie 23 IT-Sicherheit Grundlagen Computerkriminalität Dr. Wolf Müller 23 Folie 24 IT-Sicherheit Grundlagen Computerkriminalität Dr. Wolf Müller 24 © http://www.symantec.com/region/de/avcenter/cybercrime/bots_page2.html Folie 25 IT-Sicherheit Grundlagen BSI-Bürgerumfrage zur Internetsicherheit Internetnutzer in Deutschland schützen sich unzureichend vor bekannten Risiken https://www.bsi.bund.de/ContentBSI/Presse/Pressemitteilungen/Presse2011/BSI-Buergerumfrage-Internetsicherheit_11022011.html Dr. Wolf Müller 25 Folie 26 IT-Sicherheit Grundlagen BSI-Bürgerumfrage zur Internetsicherheit Sicherheitsupdates und Administratorenrechte häufig unbeachtet https://www.bsi.bund.de/ContentBSI/Presse/Pressemitteilungen/Presse2011/BSI-Buergerumfrage-Internetsicherheit_11022011.html Dr. Wolf Müller 26 Folie 27 IT-Sicherheit Grundlagen Lagebericht BSI 2007 Dr. Wolf Müller 27 Folie 28 IT-Sicherheit Grundlagen Lagebericht BSI 2009 (1) Dr. Wolf Müller 28 nPA, ePass https://www.bsi.bund.de/ContentBSI/Publikationen/Lageberichte/bsi-lageberichte.html Folie 29 IT-Sicherheit Grundlagen Lagebericht BSI 2009 (2) Dr. Wolf Müller 29 Folie 30 IT-Sicherheit Grundlagen Lagebericht BSI 2011 (1) Dr. Wolf Müller 30 https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2011_nbf.pdf Folie 31 IT-Sicherheit Grundlagen Lagebericht BSI 2011 (2) Dr. Wolf Müller 31 Supervisory Control and Data Acquisition: STUXNET Supervisory Control and Data Acquisition: STUXNET Folie 32 IT-Sicherheit Grundlagen Lagebericht BSI 2011 (3) Dr. Wolf Müller 32 Folie 33 IT-Sicherheit Grundlagen BSI: Quartalslagebericht 4.2010 (1) Dr. Wolf Müller 33 Hacker nutzen RTF-Dateien für Angriffe Folie 34 IT-Sicherheit Grundlagen Einige Schutzziele Schutz der Daten vor Kompromittierung –Unberechtigte dürfen private Daten nicht einsehen Kopie –Urheberrechtlich geschützte Daten sollen nicht kopiert werden können Verlust oder Veränderung –Verhinderung des Abhandenkommens wichtiger Daten –Verhinderung der Manipulation wichtiger Daten Dr. Wolf Müller 34 Folie 35 IT-Sicherheit Grundlagen Bedrohungen Durch Andere –Böswillige (kriminelle) Angriffe mit unterschiedlichen Motiven –Mögliche Lösungen: Firewalls, Verschlüsselung Durch den Nutzer selbst –Durch unabsichtliche Fehler von Benutzern –Verursachte Probleme –Mögliche Lösungen: Vorschriften, Back-ups, Redundanz Durch den Ausfall von Systemen –Durch Pannen verursachte Datenverluste oder –Kompromittierungen von privaten Daten Dr. Wolf Müller 35 Folie 36 IT-Sicherheit Grundlagen Bedrohungen in der analogen Welt Physische Verbrechen –Freiheitsberaubung –Körperverletzung –Mord / Totschlag Materielle Verbrechen –Steuerhinterziehung –Betrug / Untreue –Fälschung –Diebstahl –Erpressung –Vandalismus / Zerstörung Immaterielle Vergehen –Ruhestörung –Verkehrsdelikte –Beleidigung Dr. Wolf Müller 36 Folie 37 IT-Sicherheit Grundlagen Analogien Diebstahl –Kaffeefahrt Trojanisches Pferd –Brechstange Brute-Force Angriff –Banktresor Datenbank mit Kontoständen –Geldbörse Nummer der Kreditkarte Körperverletzung –Körper Computersystem DoS Erpressung –Foto mit der Geliebten Elektronisch abgefangene Bestellung bei Beate Uhse mit entsprechenden Artikeln Dr. Wolf Müller 37 Folie 38 IT-Sicherheit Grundlagen Kosten und Nutzen Durchschnittlicher Erfolg –Bankraub 1500 –Einzelner Betrug bei eBay 9000 (Quelle BMSI 2003) Kosten –Schneidbrenner, Brechstange, Fluchtwagen, Skimaske, wochenlange Vorbereitung und Beobachtung –stehen gegenüber –Computer, Netzanschluss und ein wenig Zeit Dr. Wolf Müller 38 Folie 39 IT-Sicherheit Grundlagen Zugriffsmöglichkeiten Reichweite der Einbrecher Lokal Bankeinbruch Global Hacking einer Bank Dr. Wolf Müller 39 Folie 40 IT-Sicherheit Grundlagen Spuren eines Einbruchs Bankeinbruch –Zerstörungen –Fingerabdrücke –DNA-Spuren Elektronischer Bankdiebstahl –Absender-Adresse –Log-Dateien Dr. Wolf Müller 40 Folie 41 IT-Sicherheit Grundlagen Kriminelle Angriffe zu Erlangung eines finanziellen Gewinns Betrug SPAM Geistiger Diebstahl / Raubkopien Identitätsdiebstahl / IP Spoofing Markendiebstahl / Markenpiraterie Dr. Wolf Müller 41 Folie 42 IT-Sicherheit Grundlagen Nutzung des Rechtssystems Szenario Kunde hebt Geld mittels EC-Karte ab und behauptet, er sei es nicht gewesen. Banken behaupten, Kunde wollte betrügen, wenn mit gültiger PIN Geld abgehoben wurde. Kunde findet Experten, der die Unsicherheit der PIN darlegt. Wer bekommt vor Gericht Recht? Dr. Wolf Müller 42 Folie 43 IT-Sicherheit Grundlagen Verfolgung Strafverfolgung schwierig: Gesetze fehlen. Ländergrenzen werden überschritten. Urheber nicht nachvollziehbar. Fachkundiges Personal fehlt. Verfolgung oft zu spät. Dr. Wolf Müller 43 Folie 44 IT-Sicherheit Grundlagen Fazit: Digitale Verbrechen –Kostengünstig und lohnend. –Erfordern einfache, verfügbare Technologie: Standard PC, Standard Komponenten –Überall in einem Netzwerk ausführbar. –Leicht zu verschleiern. –Leicht zu automatisieren. –Schwer zu verfolgen. ABER: Wir sind (und bleiben) die Guten! Dr. Wolf Müller 44 Folie 45 IT-Sicherheit Grundlagen Asymmetrische Bedrohung: Dr. Wolf Müller 45 : Angriffsvektoren: Angriff nicht möglich Erheblicher Aufwand & Kosten : Angriffsvektoren: Angriff nicht möglich Erheblicher Aufwand & Kosten : Effektiven Angriffsvektor Geringe Kosten. : Effektiven Angriffsvektor Geringe Kosten. Folie 46 IT-Sicherheit Grundlagen Beispiel: Einkaufen im Internet Dr. Wolf Müller 46 Folie 47 IT-Sicherheit Grundlagen Sofortueberweisung.de Einführung zum Thema Sicherheit Sicherheit ist nicht einfach nur ein Muss für den Erfolg von Sofortüberweisung. Sicherheit ist ein starkes Argument für die bevorzugte Nutzung von Sofortüberweisung. Komponenten des Sicherheitskonzeptes sind: Hoher Schutz der Identität dank » PIN/TAN SystemPIN/TAN System Das fälschungssichere» SSL-ZertifikatSSL-Zertifikat Verschlüsselte » SSL-VerbindungenSSL-Verbindungen Geschützte PayNet » ServerumgebungServerumgebung Die» Versicherung einer renommierten deutschen Versicherungsgesellschaft, die bei Missbrauch von PIN/TAN Daten haftetVersicherung Kontinuierliche » Prüfung durch das TÜV SaarlandPrüfung durch das TÜV Saarland » Prüfungen durch Grosskunden, die bezüglich Sicherheit keine Kompromisse eingehen.Prüfungen durch Grosskunden Bis heute sind trotz zunehmender Nutzung des Systeme und bereits erfreulich hoher monatlicherTransaktionszahlen keine Betrugsfälle im Zusammenhang mit Sofortüberweisung bekannt. Dr. Wolf Müller 47 Folie 48 IT-Sicherheit Grundlagen Sofortueberweisung.de Dr. Wolf Müller 48 Folie 49 IT-Sicherheit Grundlagen Sammlung: Angriffspunkte Gefälschter Firefox Trojaner Plugin Falscher Server Manipulation OS Angriff DNS Eigene Trusted Root CA Keylogger SW/HW X-site scripting Gewalt Dr. Wolf Müller 49 Folie 50 IT-Sicherheit Grundlagen 23.03.11 http://heise.de/-1212986http://heise.de/-1212986 SSL-GAU zwingt Browser-Hersteller zu Updates Der Herausgeber von SSL-Zertifikaten Comodo wurde nach Angaben[1] des Tor-Entwicklers Jacob Appelbaum und laut einem Blogeintrag[2] der Mozilla Foundation möglicherweise kompromittiert. In der Folge gelangten Kriminelle an neun Zertifikate bereits existierender Webseiten, darunter auch addons.mozilla.org. Ob der Fehler auf die mangelnde Prüfung bei der Ausstellung oder auf die Kompromittierung der Infrastruktur von Comodo zurückzuführen ist, ist derzeit offiziell nicht bekannt. …. Dr. Wolf Müller 50 Folie 51 IT-Sicherheit Grundlagen Angeblicher E-TAN-Generator für Paypal Dr. Wolf Müller 51