Humboldt University Computer Science Department Systems Architecture Group IT-Sicherheit Grundlagen...
-
Upload
rebekka-schiffbauer -
Category
Documents
-
view
109 -
download
1
Transcript of Humboldt University Computer Science Department Systems Architecture Group IT-Sicherheit Grundlagen...
Humboldt University
Computer Science Department Systems Architecture Group http://sar.informatik.hu-berlin.de
IT-SicherheitGrundlagen
Grundlagen
Orientierung, Problemstellung
IT-SicherheitGrundlagen
Modul: IT-Sicherheit Grundlagen
Dr. Wolf Müller2
Modul: IT-Sicherheit Grundlagen (wahlfreies Angebot)
Voraussetzungen für die Teilnahme am Modul:Grundlegende Kenntnisse in der Programmierung (wie sie etwa in GdP vermittelt werden)
Lehrveranstaltungen SWS SP und Beschreibung der Arbeitsleistung auf deren Grundlage die SP vergeben werden
VL + UE 4 + 2 8 SP: Vorlesung (4 SWS) und Übungen (2SWS)Aktive Teilnahme an den Übungen, erfolgreiche Lösung der Aufgaben, Selbststudium.
Voraussetzung für die Vergabe von Studienpunkten
Übungsschein ist Voraussetzung für Zulassung zur Prüfung.Bei bestandener Prüfung am Ende des Semesters werden 8 Studienpunkte vergeben.
Prüfung(Prüfungsform,Umfang/Dauer, SP)
Mündliche Prüfung oder schriftliche Prüfung(wird am Anfang des jeweiligen Semesters bekannt gegeben)
Häufigkeit des Angebotes
Alle 2 Jahre
Dauer des Moduls 1 Semester
IT-SicherheitGrundlagen
Termine
• Vorlesung: – Dr. Wolf Müller – Montag & Mittwoch
09:15 – 10:45 – RUD 25, 3.301– [email protected] – Tel.: 3127
• Übung:– Dr. Wolf Müller– entweder Montag oder Mittwoch 11:00 – 12:30– RUD 25, 4.113– Erster Termin: 16.04.2012
Dr. Wolf Müller3
IT-SicherheitGrundlagen
SAR Website
• Teaching > IT Sicherheit - Grundlagen > [more]
• https://www2.informatik.hu-berlin.de/sar/Itsec/
Materialien (Folien)• Login:
$InformatikLogin
• Password:$InformatikPasswort
Dr. Wolf Müller4
IT-SicherheitGrundlagen
Regeln
• Für Prüfungszulassung Übungsschein nötig.
• Erwartung:– Regelmäßige Teilnahme– Aktive Mitwirkung in Übung– Gerne Anregungen für Vorlesung
• VL beginnt pünktlich
• Prüfung: Mündlich 30 min.– Voraussichtlich: 8. / 9. August– September vor IT-Security-Workshop
Dr. Wolf Müller5
IT-SicherheitGrundlagen
Literatur
Dr. Wolf Müller6
IT-Sicherheit, Studienausgabe(29 €)
Claudia Eckert IT-Sicherheit: Konzepte - Verfahren – Protokolle(aktuell 7. Auflage)(70 €)
IT-SicherheitGrundlagen
Literatur 2
Dr. Wolf Müller7
IT-SicherheitGrundlagen
Literatur 3
Dr. Wolf Müller8
Levente Buttyan and Jean-Pierre Hubaux
IT-SicherheitGrundlagen
Zielstellung
• Grundlegendes Verständnis für IT-Sicherheit• Kritisches Hinterfragen von Design, Abläufen, Software,
Verhalten• Lernen aus Beispielen• Sicherheit ist vielschichtig• Sicherheit ist nur temporär, bedarf Pflege, Überprüfung.• Sicherheitsmechanismen müssen einfach zu nutzen sein.• Privatsphäre, Anonymität, Datenschutz sollte/muss
beachtet werden.• Nutzerakzeptanz wichtig, oft schwächstes Glied.
Dr. Wolf Müller9
IT-SicherheitGrundlagen
Agenda: Grundlagen
26 Termine im Semester insgesamt (28 – {Oster,Pfingst}Montag)
1. Orientierung, Problemstellung
2. Schutzziele / Begriffe
3. Sicherheitsmodelle / Zugriffskontrolle
4. Sicherheitsmodelle / Informationsfluss
5. Angreifertypen, Bedrohungen
Dr. Wolf Müller10
IT-SicherheitGrundlagen
Agenda: Sicherer Kanal: Alice Bob
6. Ideen zur sicheren Übertragung (Steganografie, Entwicklung der Kryptografie)
7. Sicherheit von Kryptosystemen
8. Symmetrische versus asymmetrische Verfahren
9. Gruppenaufgabe: Themenvorstellung/ -vergabe
10. Blockchiffren, Stromchiffren
11. Integritätsschutz
12. Digitale Signaturen
13. PKI, Zertifikate, Alternativen & Grenzen
14. Authentifizierung: Wissen, Haben
15. Authentifizierung: Sein = Biometrie
16. Protokolle I: Schlüsselaustausch, Bausteine
17. Protokolle II: SSL/TLS, …
Dr. Wolf Müller11
IT-SicherheitGrundlagen
Agenda: Sichere Implementierung
18. Systemsicherheit: Bufferoverflow, FormatString
19. Netzwerksicherheit I: Schwachstellen & Gegenmaßnahmen(VLAN, IDS, VPN, IP-Sec, IPv6)
20. Netzwerksicherheit II: drahtlos
21. Websicherheit I
22. Websicherheit II
23. Testing / Zertifizierung
24. Präsentation I: Gruppenaufgabe
25. Präsentation II: Gruppenaufgabe
26. Prinzipien des Security-Engineering
Dr. Wolf Müller12
IT-SicherheitGrundlagen
Übungen: Mo, Mi
• Raum für Fragen, Anregungen, Diskussionen• Gelegenheit zum Überprüfen und Anwenden erworbenen
Wissens
• 3 individuelle abzugebende Übungsaufgaben– Elektronische Abgabe (wahrscheinlich Goya)
• 1 größere Gruppenübungsaufgabe– Ziel: Beschäftigung in Praxis mit größerem Problem– Darstellung der Ergebnisse vor allen Teilnehmern– Gruppengröße: 3-5 (abhängig von Aufgabe)
Dr. Wolf Müller13
IT-SicherheitGrundlagen
Fragen
Dr. Wolf Müller14
IT-SicherheitGrundlagen
PROBLEMSTELLUNG
Dr. Wolf Müller15
IT-SicherheitGrundlagen
Kurzgeschichte des Computers
Dr. Wolf Müller16
time
dev
ice
pen
etra
tio
n
IT-SicherheitGrundlagen
Kurzgeschichte des Computers
Dr. Wolf Müller17
time
dev
ice
pen
etra
tio
n
1978
1. PersonalDesktopComputing
IT-SicherheitGrundlagen
Kurzgeschichte des Computers
Dr. Wolf Müller18
time
1991
1993
dev
ice
pen
etra
tio
n
1. PersonalDesktopComputing
2. PersonalUbiquitousComputing
IT-SicherheitGrundlagen
Kurzgeschichte des Computers
Dr. Wolf Müller19
time
3. EmbeddedUbiquitousComputing
dev
ice
pen
etra
tio
n
2. PersonalUbiquitousComputing
1. PersonalDesktopComputing
IT-SicherheitGrundlagen
Kurzgeschichte des Computers
Dr. Wolf Müller20
today
time
dev
ice
pen
etra
tio
n
© Dirk Balfanz, Xerox Parc
IT-SicherheitGrundlagen
Computer Overload
Dr. Wolf Müller21
time
human capacity
number of devicesper person
dev
ice
pen
etra
tio
n
IT-SicherheitGrundlagen
Requirements
Dr. Wolf Müller22
Nötige Sicherheitsmaßnamen
BenötigteFähigkeiten
Informationszeitalter
IT-SicherheitGrundlagen
Computerkriminalität
Dr. Wolf Müller23
IT-SicherheitGrundlagen
Computerkriminalität
Dr. Wolf Müller24
© http://www.symantec.com/region/de/avcenter/cybercrime/bots_page2.html
IT-SicherheitGrundlagen
BSI-Bürgerumfrage zur Internetsicherheit
Internetnutzer in Deutschland schützen sich unzureichend vor bekannten Risiken
https://www.bsi.bund.de/ContentBSI/Presse/Pressemitteilungen/Presse2011/BSI-Buergerumfrage-Internetsicherheit_11022011.html
Dr. Wolf Müller25
IT-SicherheitGrundlagen
BSI-Bürgerumfrage zur Internetsicherheit
• Sicherheitsupdates und Administratorenrechte häufig unbeachtet
https://www.bsi.bund.de/ContentBSI/Presse/Pressemitteilungen/Presse2011/BSI-Buergerumfrage-Internetsicherheit_11022011.html
Dr. Wolf Müller26
IT-SicherheitGrundlagen
Lagebericht BSI 2007
Dr. Wolf Müller27
IT-SicherheitGrundlagen
Lagebericht BSI 2009 (1)
Dr. Wolf Müller28
nPA, ePass
https://www.bsi.bund.de/ContentBSI/Publikationen/Lageberichte/bsi-lageberichte.html
IT-SicherheitGrundlagen
Lagebericht BSI 2009 (2)
Dr. Wolf Müller29
IT-SicherheitGrundlagen
Lagebericht BSI 2011 (1)
Dr. Wolf Müller30
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2011_nbf.pdf
IT-SicherheitGrundlagen
Lagebericht BSI 2011 (2)
Dr. Wolf Müller31
Supervisory Control and Data Acquisition:STUXNET
IT-SicherheitGrundlagen
Lagebericht BSI 2011 (3)
Dr. Wolf Müller32
IT-SicherheitGrundlagen
BSI: Quartalslagebericht 4.2010 (1)
Dr. Wolf Müller33
Hacker nutzen RTF-Dateien für Angriffe
IT-SicherheitGrundlagen
Einige Schutzziele
• Schutz der Daten vor Kompromittierung– Unberechtigte dürfen private Daten nicht einsehen
• Kopie– Urheberrechtlich geschützte Daten sollen nicht kopiert werden
können
• Verlust oder Veränderung– Verhinderung des Abhandenkommens wichtiger Daten– Verhinderung der Manipulation wichtiger Daten
Dr. Wolf Müller34
IT-SicherheitGrundlagen
Bedrohungen
• Durch Andere– Böswillige („kriminelle“) Angriffe mit unterschiedlichen Motiven– Mögliche Lösungen: Firewalls, Verschlüsselung
• Durch den Nutzer selbst– Durch unabsichtliche Fehler von Benutzern– Verursachte Probleme– Mögliche Lösungen: Vorschriften, Back-ups, Redundanz
• Durch den Ausfall von Systemen– Durch „Pannen“ verursachte Datenverluste oder– Kompromittierungen von privaten Daten
Dr. Wolf Müller35
IT-SicherheitGrundlagen
Bedrohungen in der analogen Welt
• Physische Verbrechen – Freiheitsberaubung– Körperverletzung– Mord / Totschlag
• Materielle Verbrechen– Steuerhinterziehung– Betrug / Untreue– Fälschung– Diebstahl– Erpressung– Vandalismus / Zerstörung
• Immaterielle Vergehen– Ruhestörung– Verkehrsdelikte– Beleidigung
Dr. Wolf Müller36
IT-SicherheitGrundlagen
Analogien
• Diebstahl– Kaffeefahrt → Trojanisches Pferd– Brechstange → Brute-Force Angriff– Banktresor → Datenbank mit Kontoständen– Geldbörse → Nummer der Kreditkarte
• Körperverletzung– Körper → Computersystem DoS
• Erpressung– Foto mit der Geliebten
→ Elektronisch abgefangene Bestellung bei Beate Uhse mit entsprechenden Artikeln
Dr. Wolf Müller37
IT-SicherheitGrundlagen
Kosten und Nutzen
• Durchschnittlicher Erfolg– Bankraub 1500 €– Einzelner Betrug bei eBay 9000 €
(Quelle BMSI 2003)
• Kosten– Schneidbrenner, Brechstange, Fluchtwagen, Skimaske,
wochenlange Vorbereitung und Beobachtung– stehen gegenüber– Computer, Netzanschluss und ein wenig Zeit
Dr. Wolf Müller38
IT-SicherheitGrundlagen
Zugriffsmöglichkeiten
Reichweite der Einbrecher
Lokal
Bankeinbruch
Global
Hacking einer Bank
Dr. Wolf Müller39
IT-SicherheitGrundlagen
Spuren eines Einbruchs
• Bankeinbruch– Zerstörungen– Fingerabdrücke– DNA-Spuren
• Elektronischer Bankdiebstahl– Absender-Adresse– Log-Dateien
Dr. Wolf Müller40
IT-SicherheitGrundlagen
Kriminelle Angriffe zu Erlangung eines finanziellen Gewinns
• Betrug• SPAM• Geistiger Diebstahl / Raubkopien• Identitätsdiebstahl / IP Spoofing• Markendiebstahl / Markenpiraterie
Dr. Wolf Müller41
IT-SicherheitGrundlagen
Nutzung des Rechtssystems
Szenario• Kunde hebt Geld mittels EC-Karte ab und behauptet, er sei
es nicht gewesen.• Banken behaupten, Kunde wollte betrügen, wenn mit
gültiger PIN Geld abgehoben wurde.• Kunde findet Experten, der die Unsicherheit der PIN
darlegt.• Wer bekommt vor Gericht Recht?
Dr. Wolf Müller42
IT-SicherheitGrundlagen
Verfolgung
Strafverfolgung schwierig:• Gesetze fehlen.• Ländergrenzen werden überschritten.• Urheber nicht nachvollziehbar.• Fachkundiges Personal fehlt.• Verfolgung oft zu spät.
Dr. Wolf Müller43
IT-SicherheitGrundlagen
Fazit:
• Digitale Verbrechen– Kostengünstig und lohnend.– Erfordern einfache, verfügbare Technologie:
Standard PC, Standard Komponenten
– Überall in einem Netzwerk ausführbar.– Leicht zu verschleiern.– Leicht zu automatisieren.– Schwer zu verfolgen.
• ABER: Wir sind (und bleiben) die Guten!
Dr. Wolf Müller44
IT-SicherheitGrundlagen
Asymmetrische Bedrohung:
Dr. Wolf Müller45
: Angriffsvektoren:
Angriff nicht möglich
Erheblicher Aufwand & Kosten :
Effektiven Angriffsvektor
Geringe Kosten.
IT-SicherheitGrundlagen
Beispiel: Einkaufen im Internet
Dr. Wolf Müller46
IT-SicherheitGrundlagen
Sofortueberweisung.de
Einführung zum Thema Sicherheit
Sicherheit ist nicht einfach nur ein Muss für den Erfolg von Sofortüberweisung. Sicherheit ist ein starkes
Argument für die bevorzugte Nutzung von Sofortüberweisung.
Komponenten des Sicherheitskonzeptes sind:• Hoher Schutz der Identität dank » PIN/TAN System• Das fälschungssichere» SSL-Zertifikat• Verschlüsselte » SSL-Verbindungen• Geschützte PayNet » Serverumgebung• Die» Versicherung einer renommierten deutschen
Versicherungsgesellschaft, die bei Missbrauch von PIN/TAN Daten haftet
• Kontinuierliche » Prüfung durch das TÜV Saarland• » Prüfungen durch Grosskunden , die bezüglich Sicherheit
keine Kompromisse eingehen.
Bis heute sind trotz zunehmender Nutzung des Systeme und bereits erfreulich hoher monatlicherTransaktionszahlen keine Betrugsfälle im Zusammenhang mit Sofortüberweisung bekannt.
Dr. Wolf Müller47
IT-SicherheitGrundlagen
Sofortueberweisung.de
Dr. Wolf Müller48
IT-SicherheitGrundlagen
Sammlung: Angriffspunkte
• Gefälschter Firefox• Trojaner Plugin• Falscher Server• Manipulation OS• Angriff DNS • Eigene Trusted Root CA• Keylogger SW/HW• X-site scripting• Gewalt
Dr. Wolf Müller49
IT-SicherheitGrundlagen
23.03.11 http://heise.de/-1212986
SSL-GAU zwingt Browser-Hersteller zu Updates• Der Herausgeber von SSL-Zertifikaten Comodo wurde nach
Angaben[1] des Tor-Entwicklers Jacob Appelbaum und laut einem Blogeintrag[2] der Mozilla Foundation möglicherweise kompromittiert. In der Folge gelangten Kriminelle an neun Zertifikate bereits existierender Webseiten, darunter auch addons.mozilla.org. Ob der Fehler auf die mangelnde Prüfung bei der Ausstellung oder auf die Kompromittierung der Infrastruktur von Comodo zurückzuführen ist, ist derzeit offiziell nicht bekannt. ….
Dr. Wolf Müller50
IT-SicherheitGrundlagen
Angeblicher E-TAN-Generator für Paypal
Dr. Wolf Müller51