Übung 1 - uni-bremen.de · London Education Authority wollte Ihre Eltern in Australien besuchen....
Transcript of Übung 1 - uni-bremen.de · London Education Authority wollte Ihre Eltern in Australien besuchen....
Informationssicherheit 1SS 2005
Prof. Dr.-Ing. Carsten Bormann
Dr. Karsten Sohr
Niels Pollem
http://www-rn.tzi.de/lehre/itsec/
IT-Sicherheit:
Übung 1
3
Karsten SohrPromoviert an der Uni Marburg 2001
Java-Sicherheit (sicherer Bytecode, Java-Hacking)
Universität BremenTZI-Geschäftsführer (Sichere Systeme):
Entwicklung des Themas „Security“ im TZI/ an der Universität BremenAkquisition von Drittmittelprojekten (auch Industrie wie Siemens und SAP)
Formale Methoden und Sicherheit,vor allem für rollenbasierte Zugriffskontrolle
4
AktivitätenAktuelle Aktivitäten
Mitinitiator des Bremer Security-Forums (BremSec) für Sicherheitsverantwortlicheund Datenschutzbeauftragte (zusammen mit Siemens und der GDD)mehrere „Live-Hack“-Demonstrationen mit Studenten(u.a. in der Handelskammer, bei DaimlerChrysler und bei der BremerWirtschaftsförderung)Betreuung von Diplomarbeiten
Geplante Aktivitäten (gerne auch mit Unterstützung durch Studenten)Java-Hacking von Mobiltelefonen und BlackBerries(im Test- und Demo-Center des TZI)
Entwicklung eines Trojanischen Pferdes, um unautorisiert Dokumente vonSmartcards unterschreiben zu lassenEntwicklung von zusätzlichen Sicherheitsmechanismen für Anwendungen wie z.B.Krankenhausinformationssysteme, Bankanwendungen, E-Government-Anwendungen…
5
Wiederholung dergrundlegenden Begriffe aus der
ersten Veranstaltung
16
Szenarien
vier Szenarien aus dem Bereich „IT-Systeme von Banken“
Szenario „Terroristische Vereinigung“
Ergänzungen zu dem Krankenhausszenario aus derÜbungsaufgabe
17
Banken: Szenario #1Bankanwendung
In einer Bankfiliale gibt es eine Anwendung,die Konten der Kunden verwaltet und mitder bestimmte Transaktionen wie z.B.Überweisungen durchgeführt werdenkönnen.
Schreibender Zugriff wird nur bestimmtenBankangestellten gewährt.
18
Banken: Szenario #1Bankanwendung (fortges.)
Sicherheitsziele:Integrität der DatenZurechenbarkeit von Handlungen
Schwächen:ausreichende Revision fehlt (insbesondereAufgabentrennung)Fehlende Plausibilitätsüberprüfung (Bücher müssenausgeglichen sein)
Angreifer: Bankmitarbeiter
19
Banken: Szenario #1Bankanwendung (fortges.)
Beispiel: Eine Mitarbeiterin der InnerLondon Education Authority wollte IhreEltern in Australien besuchen. Leider fehlteihr das nötige Geld hierfür. Aus diesemGrunde richtete sie ein Konto für eine fiktiveSchule ein. Die Löhne für die „Mitarbeiter“dieser Schule wurden auf ihr Kontoeingezahlt.
20
Banken: Szenario #1Bankanwendung (fortges.)
Beispiel: Niedergang der Barings-Bank (nach 233 Jahren)
BBC:
In a fatal mistake, the bank allowed Leeson to remainChief Trader while being responsible for settling histrades, a job that is usually split. This had made it muchsimpler for him to hide his losses.
21
Banken: Szenario #2Bankautomat
In einem großen Einkaufscenter wird einneuer Bankautomat aufgestellt, so dassKunden dort Geld abheben können.
22
Banken: Szenario #2Bankanwendung (fortges.)
Sicherheitsziele:Geheimhaltung (der PIN)
Verfügbarkeit/Verlässlichkeit
Schwächen:unkorrekte Software in den Bankautomaten
unzuverlässiges Netz
unvorsichtige Kunden
23
Banken: Szenario #2Bankanwendung (fortges.)
Angreifer:Bankmitarbeiter
Wartungspersonal
Außenstehende (z.B. Aufstellen falscherAutomaten)
24
Banken: Szenario #3Messaging-Systeme (fortges.)
Lokale und auch internationaleTransaktionen zwischen Banken werdenüber das SWIFT-System (Society forWorldwide International FinancialTelecommunications) abgewickelt. Überdieses Netz fließen pro Sekunde
Milliarden $.
25
Banken: Szenario #3 Messaging-Systeme (fortges.)
Sicherheitsziele:Verfügbarkeit/Verlässlichkeit
Authentizität, Zurechenbarkeit
Verbindlichkeit
Schwächen:keine ausreichende Kontrolle (Aufgabentrennung)
Angreifer: Bankangestellter (Eingabe vongefälschten Nachrichten)
26
Banken: Szenario #4Web-Auftritt
Unsere Bankfiliale hat neben o.g.Bankanwendungen natürlich auch einen Web-Auftritt mit einem eigenen Web-Server.Insbesondere können Kunden so Internet-Banking betreiben.
Unser Kunde ist Arzt und benutzt gerne Internet-Banking, die technischen Details interessieren ihnaber nur bedingt.
27
Banken: Szenario #4 Web-Auftritt (fortges.)
Sicherheitsziele:GeheimhaltungVerfügbarkeit (des Web-Servers)
Schwächen:PC des Kunden unsicherWeb-Server unsicher und die Systeme mit denBankanwendungen nicht ausreichend gegenüber demWeb-Server abgesichertunsichere Verschlüsselung
28
Banken: Szenario #4 Web-Auftritt (fortges.)
Angreifer:Hacker
Familienmitglieder ???
29
Szenario: TerroristischeVereinigung
30
Szenario: TerroristischeVereinigung
Beispiel: In einem totalitären Staat gibt es eineterroristische Vereinigung, die einen Anschlag gegen einRegierungsmitglied plant. Die Kommunikation derMitglieder dieser Vereinigung findet u.a. über E-Mail undper Mobiltelefonen statt. Zur Koordination des Anschlageswird die Kommunikation insbesondere kurz vor demAnschlag verstärkt.
31
Szenario: TerroristischeVereinigung (fortges.)
Schutzziele:Geheimhaltung/Vertraulichkeit
VerfügbarkeitIntegrität
Angreifer:Polizei, Geheimdienst, ...Mitglieder aus den eigenen Reihen (eingeschleuste Spione, Unzufriedene)
Schwächen:keine geeignete VerschlüsselungTraffic Analysis möglich durch verstärkten Einsatz der Kommunikationsmittelund manchmal bleiben sogar Mobiltelefone irgendwo liegen ...
32
... und manchmal bleibenMobiltelefone irgendwo liegen
BBC News, 11. März 2004:
Missing mobile bugs Mossad bossesThe ultra-secretive Mossad spy agency – credited as
Israel's first line of defence against its enemies – has
spent the last month locked in an unusual pursuit.
33
Ergänzungen: Krankenhaus-Szenario
Angenommen, wir befinden uns in einemUniversitätsklinikum, in dem häufig Statistiken zuForschungszwecken erstellt werden.
Schutzziel?
Angemessenheit der Sicherheitsmaßnahmen:Schutz gegen eine terroristische Vereinigung ist im Normalfallunangemessen.
34
Übung 1: Informationssicherheitin einem Krankenhaus (1)
Schutzziele betrachten, Angriffe/Angreifer einordnen...
35
Übung 1: Informationssicherheitin einem Krankenhaus (2)
Angenommen, wir befinden uns in einemUniversitätsklinikum, in dem häufig Statistiken zuForschungszwecken erstellt werden.
Schutzziel? Bedrohungen? mögliche Angreifer?
Angemessenheit der Maßnahmenkritischen Zustand bearbeiten
katastrophalen Zustand aufzeigen, für den nicht vorgesorgt wird
36
Übungsbetrieb
Gruppen von 3 (Ausnahmefall: 2) Personen
Ausgabe und Abgabe in Stud.IPhttps://elearning.uni-bremen.de
Login: [email protected] Gruppen aufteilen
1 Woche Bearbeitungszeit
Fachgespräch am Ende der Vorlesungszeit
37
Medien
Plenum: hier (Mo 10–12, Do 08–10 MZH 1400)
Stud.IP*)
https://elearning.uni-bremen.de
Login: [email protected]
Dort als Erstes in Gruppen aufteilen
Web: http://www-rn.tzi.de/lehre/itsec/
Email: [email protected] 15:30–16:30 im MZH 5175?(und auch sonst > 07:00 :-)
38
Niels Pollem
Universität BremenWissenschaftlicher MitarbeiterAG RechnernetzeWLAN der Bremer Hochschulen
Fokus: Security
TERENA-TF Mobility: Roaming
beständig in der Lehre vertretenTechnische Informatik 2, TIMIUnitel, Nom@dNetzlabor, Informationssicherheit 1
Projekte (aktuell)WLAN-Sicherheit/-Simulation/-RolloutID-Management, Föderationen
39
Voraussetzungen für LVInformationssicherheit
4./6. Semester: ITsecGrundlagen derInformationssicherheit
3./5. Semester: RN1Grundlagen Netze und Medien(Wahlpflicht)
3. Semester: TI2 (DM: TIMI)Grundlagen Betriebssysteme undnebenläufige Systeme (Pflicht)
Grundstudium, u.a.:
TI2
RN1
ITsec
40
Übungsbetrieb
durchgängige Gruppen von 3 (Ausnahmefall: 2) Personen
Ausgabe und Abgabe in Stud.IPhttps://elearning.uni-bremen.de/
Login: [email protected]
dort den eingerichteten Gruppen zuteilen
„Backup“: http://rn.informatik.uni-bremen.de/lehre/itsec/
alle Übungsaufgaben bearbeiten, 50 % der Punkte
Fachgespräch am Ende der Vorlesungszeit
Kontakt ohne Stud.IP: [email protected]
41
Übung 1: Informationssicherheitin einem Krankenhaus (1)
Auseinandersetzung mit dem beschriebenen SzenarioSchutzziele betrachten/gewichten, Angriffe/Angreifer einordnen
möglichst interaktiv in der Gruppe diskutieren
Ergänzung („klammer Alleinerbe“) als Delta beschreiben
zusammenfassen auf einer Seite (maximal „ein Blatt“)am besten an den Schutzzielen orientieren
gleichmäßige Granularität wahren
falls Vertiefung (z.B. OS-Details): gerne, aber in einem Anhang
gerne mit Tabellen, falls sinnvoll, aber nicht ohne Erklärungen
42
Übung 1: Informationssicherheitin einem Krankenhaus (2)
Angemessenheit der Maßnahmen bedenken/abgrenzenkritischen Zustand bearbeiten
katastrophalen Zustand aufzeigen, für den nicht vorgesorgt wird
freiwillige Ergänzung: Angenommen, wir befinden uns ineinem Universitätsklinikum, in dem häufig Statistiken zuForschungszwecken erstellt werden.
Schutzziel? Bedrohungen? Zu ergreifende Maßnahmen?