Informationssicherheit 1SS 2005

Prof. Dr.-Ing. Carsten Bormann

Dr. Karsten Sohr

Niels Pollem

http://www-rn.tzi.de/lehre/itsec/

IT-Sicherheit:

Übung 1

3

Karsten SohrPromoviert an der Uni Marburg 2001

Java-Sicherheit (sicherer Bytecode, Java-Hacking)

Universität BremenTZI-Geschäftsführer (Sichere Systeme):

Entwicklung des Themas „Security“ im TZI/ an der Universität BremenAkquisition von Drittmittelprojekten (auch Industrie wie Siemens und SAP)

Formale Methoden und Sicherheit,vor allem für rollenbasierte Zugriffskontrolle

4

AktivitätenAktuelle Aktivitäten

Mitinitiator des Bremer Security-Forums (BremSec) für Sicherheitsverantwortlicheund Datenschutzbeauftragte (zusammen mit Siemens und der GDD)mehrere „Live-Hack“-Demonstrationen mit Studenten(u.a. in der Handelskammer, bei DaimlerChrysler und bei der BremerWirtschaftsförderung)Betreuung von Diplomarbeiten

Geplante Aktivitäten (gerne auch mit Unterstützung durch Studenten)Java-Hacking von Mobiltelefonen und BlackBerries(im Test- und Demo-Center des TZI)

Entwicklung eines Trojanischen Pferdes, um unautorisiert Dokumente vonSmartcards unterschreiben zu lassenEntwicklung von zusätzlichen Sicherheitsmechanismen für Anwendungen wie z.B.Krankenhausinformationssysteme, Bankanwendungen, E-Government-Anwendungen…

5

Wiederholung dergrundlegenden Begriffe aus der

ersten Veranstaltung

16

Szenarien

vier Szenarien aus dem Bereich „IT-Systeme von Banken“

Szenario „Terroristische Vereinigung“

Ergänzungen zu dem Krankenhausszenario aus derÜbungsaufgabe

17

Banken: Szenario #1Bankanwendung

In einer Bankfiliale gibt es eine Anwendung,die Konten der Kunden verwaltet und mitder bestimmte Transaktionen wie z.B.Überweisungen durchgeführt werdenkönnen.

Schreibender Zugriff wird nur bestimmtenBankangestellten gewährt.

18

Banken: Szenario #1Bankanwendung (fortges.)

Sicherheitsziele:Integrität der DatenZurechenbarkeit von Handlungen

Schwächen:ausreichende Revision fehlt (insbesondereAufgabentrennung)Fehlende Plausibilitätsüberprüfung (Bücher müssenausgeglichen sein)

Angreifer: Bankmitarbeiter

19

Banken: Szenario #1Bankanwendung (fortges.)

Beispiel: Eine Mitarbeiterin der InnerLondon Education Authority wollte IhreEltern in Australien besuchen. Leider fehlteihr das nötige Geld hierfür. Aus diesemGrunde richtete sie ein Konto für eine fiktiveSchule ein. Die Löhne für die „Mitarbeiter“dieser Schule wurden auf ihr Kontoeingezahlt.

20

Banken: Szenario #1Bankanwendung (fortges.)

Beispiel: Niedergang der Barings-Bank (nach 233 Jahren)

BBC:

In a fatal mistake, the bank allowed Leeson to remainChief Trader while being responsible for settling histrades, a job that is usually split. This had made it muchsimpler for him to hide his losses.

21

Banken: Szenario #2Bankautomat

In einem großen Einkaufscenter wird einneuer Bankautomat aufgestellt, so dassKunden dort Geld abheben können.

22

Banken: Szenario #2Bankanwendung (fortges.)

Sicherheitsziele:Geheimhaltung (der PIN)

Verfügbarkeit/Verlässlichkeit

Schwächen:unkorrekte Software in den Bankautomaten

unzuverlässiges Netz

unvorsichtige Kunden

23

Banken: Szenario #2Bankanwendung (fortges.)

Angreifer:Bankmitarbeiter

Wartungspersonal

Außenstehende (z.B. Aufstellen falscherAutomaten)

24

Banken: Szenario #3Messaging-Systeme (fortges.)

Lokale und auch internationaleTransaktionen zwischen Banken werdenüber das SWIFT-System (Society forWorldwide International FinancialTelecommunications) abgewickelt. Überdieses Netz fließen pro Sekunde

Milliarden $.

25

Banken: Szenario #3 Messaging-Systeme (fortges.)

Sicherheitsziele:Verfügbarkeit/Verlässlichkeit

Authentizität, Zurechenbarkeit

Verbindlichkeit

Schwächen:keine ausreichende Kontrolle (Aufgabentrennung)

Angreifer: Bankangestellter (Eingabe vongefälschten Nachrichten)

26

Banken: Szenario #4Web-Auftritt

Unsere Bankfiliale hat neben o.g.Bankanwendungen natürlich auch einen Web-Auftritt mit einem eigenen Web-Server.Insbesondere können Kunden so Internet-Banking betreiben.

Unser Kunde ist Arzt und benutzt gerne Internet-Banking, die technischen Details interessieren ihnaber nur bedingt.

27

Banken: Szenario #4 Web-Auftritt (fortges.)

Sicherheitsziele:GeheimhaltungVerfügbarkeit (des Web-Servers)

Schwächen:PC des Kunden unsicherWeb-Server unsicher und die Systeme mit denBankanwendungen nicht ausreichend gegenüber demWeb-Server abgesichertunsichere Verschlüsselung

28

Banken: Szenario #4 Web-Auftritt (fortges.)

Angreifer:Hacker

Familienmitglieder ???

29

Szenario: TerroristischeVereinigung

30

Szenario: TerroristischeVereinigung

Beispiel: In einem totalitären Staat gibt es eineterroristische Vereinigung, die einen Anschlag gegen einRegierungsmitglied plant. Die Kommunikation derMitglieder dieser Vereinigung findet u.a. über E-Mail undper Mobiltelefonen statt. Zur Koordination des Anschlageswird die Kommunikation insbesondere kurz vor demAnschlag verstärkt.

31

Szenario: TerroristischeVereinigung (fortges.)

Schutzziele:Geheimhaltung/Vertraulichkeit

VerfügbarkeitIntegrität

Angreifer:Polizei, Geheimdienst, ...Mitglieder aus den eigenen Reihen (eingeschleuste Spione, Unzufriedene)

Schwächen:keine geeignete VerschlüsselungTraffic Analysis möglich durch verstärkten Einsatz der Kommunikationsmittelund manchmal bleiben sogar Mobiltelefone irgendwo liegen ...

32

... und manchmal bleibenMobiltelefone irgendwo liegen

BBC News, 11. März 2004:

Missing mobile bugs Mossad bossesThe ultra-secretive Mossad spy agency – credited as

Israel's first line of defence against its enemies – has

spent the last month locked in an unusual pursuit.

33

Ergänzungen: Krankenhaus-Szenario

Angenommen, wir befinden uns in einemUniversitätsklinikum, in dem häufig Statistiken zuForschungszwecken erstellt werden.

Schutzziel?

Angemessenheit der Sicherheitsmaßnahmen:Schutz gegen eine terroristische Vereinigung ist im Normalfallunangemessen.

34

Übung 1: Informationssicherheitin einem Krankenhaus (1)

Schutzziele betrachten, Angriffe/Angreifer einordnen...

35

Übung 1: Informationssicherheitin einem Krankenhaus (2)

Angenommen, wir befinden uns in einemUniversitätsklinikum, in dem häufig Statistiken zuForschungszwecken erstellt werden.

Schutzziel? Bedrohungen? mögliche Angreifer?

Angemessenheit der Maßnahmenkritischen Zustand bearbeiten

katastrophalen Zustand aufzeigen, für den nicht vorgesorgt wird

36

Übungsbetrieb

Gruppen von 3 (Ausnahmefall: 2) Personen

Ausgabe und Abgabe in Stud.IPhttps://elearning.uni-bremen.de

Login: meinbenutzername@informatik.uni-bremen.deIn Gruppen aufteilen

1 Woche Bearbeitungszeit

Fachgespräch am Ende der Vorlesungszeit

37

Medien

Plenum: hier (Mo 10–12, Do 08–10 MZH 1400)

Stud.IP*)

https://elearning.uni-bremen.de

Login: meinbenutzername@informatik.uni-bremen.de

Dort als Erstes in Gruppen aufteilen

Web: http://www-rn.tzi.de/lehre/itsec/

Email: itsec@tzi.orgDi 15:30–16:30 im MZH 5175?(und auch sonst > 07:00 :-)

38

Niels Pollem

Universität BremenWissenschaftlicher MitarbeiterAG RechnernetzeWLAN der Bremer Hochschulen

Fokus: Security

TERENA-TF Mobility: Roaming

beständig in der Lehre vertretenTechnische Informatik 2, TIMIUnitel, Nom@dNetzlabor, Informationssicherheit 1

Projekte (aktuell)WLAN-Sicherheit/-Simulation/-RolloutID-Management, Föderationen

39

Voraussetzungen für LVInformationssicherheit

4./6. Semester: ITsecGrundlagen derInformationssicherheit

3./5. Semester: RN1Grundlagen Netze und Medien(Wahlpflicht)

3. Semester: TI2 (DM: TIMI)Grundlagen Betriebssysteme undnebenläufige Systeme (Pflicht)

Grundstudium, u.a.:

TI2

RN1

ITsec

40

Übungsbetrieb

durchgängige Gruppen von 3 (Ausnahmefall: 2) Personen

Ausgabe und Abgabe in Stud.IPhttps://elearning.uni-bremen.de/

Login: meinbenutzername@informatik.uni-bremen.de

dort den eingerichteten Gruppen zuteilen

„Backup“: http://rn.informatik.uni-bremen.de/lehre/itsec/

alle Übungsaufgaben bearbeiten, 50 % der Punkte

Fachgespräch am Ende der Vorlesungszeit

Kontakt ohne Stud.IP: itsec@informatik.uni-bremen.de

41

Übung 1: Informationssicherheitin einem Krankenhaus (1)

Auseinandersetzung mit dem beschriebenen SzenarioSchutzziele betrachten/gewichten, Angriffe/Angreifer einordnen

möglichst interaktiv in der Gruppe diskutieren

Ergänzung („klammer Alleinerbe“) als Delta beschreiben

zusammenfassen auf einer Seite (maximal „ein Blatt“)am besten an den Schutzzielen orientieren

gleichmäßige Granularität wahren

falls Vertiefung (z.B. OS-Details): gerne, aber in einem Anhang

gerne mit Tabellen, falls sinnvoll, aber nicht ohne Erklärungen

42

Übung 1: Informationssicherheitin einem Krankenhaus (2)

Angemessenheit der Maßnahmen bedenken/abgrenzenkritischen Zustand bearbeiten

katastrophalen Zustand aufzeigen, für den nicht vorgesorgt wird

freiwillige Ergänzung: Angenommen, wir befinden uns ineinem Universitätsklinikum, in dem häufig Statistiken zuForschungszwecken erstellt werden.

Schutzziel? Bedrohungen? Zu ergreifende Maßnahmen?