Humboldt University

Computer Science Department Systems Architecture Group http://sar.informatik.hu-berlin.de

IT-SicherheitGrundlagen

Grundlagen

Orientierung, Problemstellung

IT-SicherheitGrundlagen

Modul: IT-Sicherheit Grundlagen

Dr. Wolf Müller2

Modul: IT-Sicherheit Grundlagen (wahlfreies Angebot)

Voraussetzungen für die Teilnahme am Modul:Grundlegende Kenntnisse in der Programmierung (wie sie etwa in GdP vermittelt werden)

Lehrveranstaltungen SWS SP und Beschreibung der Arbeitsleistung auf deren Grundlage die SP vergeben werden

VL + UE 4 + 2 8 SP: Vorlesung (4 SWS) und Übungen (2SWS)Aktive Teilnahme an den Übungen, erfolgreiche Lösung der Aufgaben, Selbststudium.

Voraussetzung für die Vergabe von Studienpunkten

Übungsschein ist Voraussetzung für Zulassung zur Prüfung.Bei bestandener Prüfung am Ende des Semesters werden 8 Studienpunkte vergeben.

Prüfung(Prüfungsform,Umfang/Dauer, SP)

Mündliche Prüfung oder schriftliche Prüfung(wird am Anfang des jeweiligen Semesters bekannt gegeben)

Häufigkeit des Angebotes

Alle 2 Jahre

Dauer des Moduls 1 Semester

IT-SicherheitGrundlagen

Termine

• Vorlesung: – Dr. Wolf Müller – Montag & Mittwoch

09:15 – 10:45 – RUD 25, 3.301– Wolf.Mueller@informatik.hu-berlin.de – Tel.: 3127

• Übung:– Dr. Wolf Müller– entweder Montag oder Mittwoch 11:00 – 12:30– RUD 25, 4.113– Erster Termin: 16.04.2012

Dr. Wolf Müller3

IT-SicherheitGrundlagen

SAR Website

• Teaching > IT Sicherheit - Grundlagen > [more]

• https://www2.informatik.hu-berlin.de/sar/Itsec/

Materialien (Folien)• Login:

$InformatikLogin

• Password:$InformatikPasswort

Dr. Wolf Müller4

IT-SicherheitGrundlagen

Regeln

• Für Prüfungszulassung Übungsschein nötig.

• Erwartung:– Regelmäßige Teilnahme– Aktive Mitwirkung in Übung– Gerne Anregungen für Vorlesung

• VL beginnt pünktlich

• Prüfung: Mündlich 30 min.– Voraussichtlich: 8. / 9. August– September vor IT-Security-Workshop

Dr. Wolf Müller5

IT-SicherheitGrundlagen

Literatur

Dr. Wolf Müller6

IT-Sicherheit, Studienausgabe(29 €)

Claudia Eckert IT-Sicherheit: Konzepte - Verfahren – Protokolle(aktuell 7. Auflage)(70 €)

IT-SicherheitGrundlagen

Literatur 2

Dr. Wolf Müller7

IT-SicherheitGrundlagen

Literatur 3

Dr. Wolf Müller8

Levente Buttyan and Jean-Pierre Hubaux

IT-SicherheitGrundlagen

Zielstellung

• Grundlegendes Verständnis für IT-Sicherheit• Kritisches Hinterfragen von Design, Abläufen, Software,

Verhalten• Lernen aus Beispielen• Sicherheit ist vielschichtig• Sicherheit ist nur temporär, bedarf Pflege, Überprüfung.• Sicherheitsmechanismen müssen einfach zu nutzen sein.• Privatsphäre, Anonymität, Datenschutz sollte/muss

beachtet werden.• Nutzerakzeptanz wichtig, oft schwächstes Glied.

Dr. Wolf Müller9

IT-SicherheitGrundlagen

Agenda: Grundlagen

26 Termine im Semester insgesamt (28 – {Oster,Pfingst}Montag)

1. Orientierung, Problemstellung

2. Schutzziele / Begriffe

3. Sicherheitsmodelle / Zugriffskontrolle

4. Sicherheitsmodelle / Informationsfluss

5. Angreifertypen, Bedrohungen

Dr. Wolf Müller10

IT-SicherheitGrundlagen

Agenda: Sicherer Kanal: Alice Bob

6. Ideen zur sicheren Übertragung (Steganografie, Entwicklung der Kryptografie)

7. Sicherheit von Kryptosystemen

8. Symmetrische versus asymmetrische Verfahren

9. Gruppenaufgabe: Themenvorstellung/ -vergabe

10. Blockchiffren, Stromchiffren

11. Integritätsschutz

12. Digitale Signaturen

13. PKI, Zertifikate, Alternativen & Grenzen

14. Authentifizierung: Wissen, Haben

15. Authentifizierung: Sein = Biometrie

16. Protokolle I: Schlüsselaustausch, Bausteine

17. Protokolle II: SSL/TLS, …

Dr. Wolf Müller11

IT-SicherheitGrundlagen

Agenda: Sichere Implementierung

18. Systemsicherheit: Bufferoverflow, FormatString

19. Netzwerksicherheit I: Schwachstellen & Gegenmaßnahmen(VLAN, IDS, VPN, IP-Sec, IPv6)

20. Netzwerksicherheit II: drahtlos

21. Websicherheit I

22. Websicherheit II

23. Testing / Zertifizierung

24. Präsentation I: Gruppenaufgabe

25. Präsentation II: Gruppenaufgabe

26. Prinzipien des Security-Engineering

Dr. Wolf Müller12

IT-SicherheitGrundlagen

Übungen: Mo, Mi

• Raum für Fragen, Anregungen, Diskussionen• Gelegenheit zum Überprüfen und Anwenden erworbenen

Wissens

• 3 individuelle abzugebende Übungsaufgaben– Elektronische Abgabe (wahrscheinlich Goya)

• 1 größere Gruppenübungsaufgabe– Ziel: Beschäftigung in Praxis mit größerem Problem– Darstellung der Ergebnisse vor allen Teilnehmern– Gruppengröße: 3-5 (abhängig von Aufgabe)

Dr. Wolf Müller13

IT-SicherheitGrundlagen

Fragen

Dr. Wolf Müller14

IT-SicherheitGrundlagen

PROBLEMSTELLUNG

Dr. Wolf Müller15

IT-SicherheitGrundlagen

Kurzgeschichte des Computers

Dr. Wolf Müller16

time

dev

ice

pen

etra

tio

n

IT-SicherheitGrundlagen

Kurzgeschichte des Computers

Dr. Wolf Müller17

time

dev

ice

pen

etra

tio

n

1978

1. PersonalDesktopComputing

IT-SicherheitGrundlagen

Kurzgeschichte des Computers

Dr. Wolf Müller18

time

1991

1993

dev

ice

pen

etra

tio

n

1. PersonalDesktopComputing

2. PersonalUbiquitousComputing

IT-SicherheitGrundlagen

Kurzgeschichte des Computers

Dr. Wolf Müller19

time

3. EmbeddedUbiquitousComputing

dev

ice

pen

etra

tio

n

2. PersonalUbiquitousComputing

1. PersonalDesktopComputing

IT-SicherheitGrundlagen

Kurzgeschichte des Computers

Dr. Wolf Müller20

today

time

dev

ice

pen

etra

tio

n

© Dirk Balfanz, Xerox Parc

IT-SicherheitGrundlagen

Computer Overload

Dr. Wolf Müller21

time

human capacity

number of devicesper person

dev

ice

pen

etra

tio

n

IT-SicherheitGrundlagen

Requirements

Dr. Wolf Müller22

Nötige Sicherheitsmaßnamen

BenötigteFähigkeiten

Informationszeitalter

IT-SicherheitGrundlagen

Computerkriminalität

Dr. Wolf Müller23

IT-SicherheitGrundlagen

Computerkriminalität

Dr. Wolf Müller24

© http://www.symantec.com/region/de/avcenter/cybercrime/bots_page2.html

IT-SicherheitGrundlagen

BSI-Bürgerumfrage zur Internetsicherheit

Internetnutzer in Deutschland schützen sich unzureichend vor bekannten Risiken

https://www.bsi.bund.de/ContentBSI/Presse/Pressemitteilungen/Presse2011/BSI-Buergerumfrage-Internetsicherheit_11022011.html

Dr. Wolf Müller25

IT-SicherheitGrundlagen

BSI-Bürgerumfrage zur Internetsicherheit

• Sicherheitsupdates und Administratorenrechte häufig unbeachtet

https://www.bsi.bund.de/ContentBSI/Presse/Pressemitteilungen/Presse2011/BSI-Buergerumfrage-Internetsicherheit_11022011.html

Dr. Wolf Müller26

IT-SicherheitGrundlagen

Lagebericht BSI 2007

Dr. Wolf Müller27

IT-SicherheitGrundlagen

Lagebericht BSI 2009 (1)

Dr. Wolf Müller28

nPA, ePass

https://www.bsi.bund.de/ContentBSI/Publikationen/Lageberichte/bsi-lageberichte.html

IT-SicherheitGrundlagen

Lagebericht BSI 2009 (2)

Dr. Wolf Müller29

IT-SicherheitGrundlagen

Lagebericht BSI 2011 (1)

Dr. Wolf Müller30

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2011_nbf.pdf

IT-SicherheitGrundlagen

Lagebericht BSI 2011 (2)

Dr. Wolf Müller31

Supervisory Control and Data Acquisition:STUXNET

IT-SicherheitGrundlagen

Lagebericht BSI 2011 (3)

Dr. Wolf Müller32

IT-SicherheitGrundlagen

BSI: Quartalslagebericht 4.2010 (1)

Dr. Wolf Müller33

Hacker nutzen RTF-Dateien für Angriffe

IT-SicherheitGrundlagen

Einige Schutzziele

• Schutz der Daten vor Kompromittierung– Unberechtigte dürfen private Daten nicht einsehen

• Kopie– Urheberrechtlich geschützte Daten sollen nicht kopiert werden

können

• Verlust oder Veränderung– Verhinderung des Abhandenkommens wichtiger Daten– Verhinderung der Manipulation wichtiger Daten

Dr. Wolf Müller34

IT-SicherheitGrundlagen

Bedrohungen

• Durch Andere– Böswillige („kriminelle“) Angriffe mit unterschiedlichen Motiven– Mögliche Lösungen: Firewalls, Verschlüsselung

• Durch den Nutzer selbst– Durch unabsichtliche Fehler von Benutzern– Verursachte Probleme– Mögliche Lösungen: Vorschriften, Back-ups, Redundanz

• Durch den Ausfall von Systemen– Durch „Pannen“ verursachte Datenverluste oder– Kompromittierungen von privaten Daten

Dr. Wolf Müller35

IT-SicherheitGrundlagen

Bedrohungen in der analogen Welt

• Physische Verbrechen – Freiheitsberaubung– Körperverletzung– Mord / Totschlag

• Materielle Verbrechen– Steuerhinterziehung– Betrug / Untreue– Fälschung– Diebstahl– Erpressung– Vandalismus / Zerstörung

• Immaterielle Vergehen– Ruhestörung– Verkehrsdelikte– Beleidigung

Dr. Wolf Müller36

IT-SicherheitGrundlagen

Analogien

• Diebstahl– Kaffeefahrt → Trojanisches Pferd– Brechstange → Brute-Force Angriff– Banktresor → Datenbank mit Kontoständen– Geldbörse → Nummer der Kreditkarte

• Körperverletzung– Körper → Computersystem DoS

• Erpressung– Foto mit der Geliebten

→ Elektronisch abgefangene Bestellung bei Beate Uhse mit entsprechenden Artikeln

Dr. Wolf Müller37

IT-SicherheitGrundlagen

Kosten und Nutzen

• Durchschnittlicher Erfolg– Bankraub 1500 €– Einzelner Betrug bei eBay 9000 €

(Quelle BMSI 2003)

• Kosten– Schneidbrenner, Brechstange, Fluchtwagen, Skimaske,

wochenlange Vorbereitung und Beobachtung– stehen gegenüber– Computer, Netzanschluss und ein wenig Zeit

Dr. Wolf Müller38

IT-SicherheitGrundlagen

Zugriffsmöglichkeiten

Reichweite der Einbrecher

Lokal

Bankeinbruch

Global

Hacking einer Bank

Dr. Wolf Müller39

IT-SicherheitGrundlagen

Spuren eines Einbruchs

• Bankeinbruch– Zerstörungen– Fingerabdrücke– DNA-Spuren

• Elektronischer Bankdiebstahl– Absender-Adresse– Log-Dateien

Dr. Wolf Müller40

IT-SicherheitGrundlagen

Kriminelle Angriffe zu Erlangung eines finanziellen Gewinns

• Betrug• SPAM• Geistiger Diebstahl / Raubkopien• Identitätsdiebstahl / IP Spoofing• Markendiebstahl / Markenpiraterie

Dr. Wolf Müller41

IT-SicherheitGrundlagen

Nutzung des Rechtssystems

Szenario• Kunde hebt Geld mittels EC-Karte ab und behauptet, er sei

es nicht gewesen.• Banken behaupten, Kunde wollte betrügen, wenn mit

gültiger PIN Geld abgehoben wurde.• Kunde findet Experten, der die Unsicherheit der PIN

darlegt.• Wer bekommt vor Gericht Recht?

Dr. Wolf Müller42

IT-SicherheitGrundlagen

Verfolgung

Strafverfolgung schwierig:• Gesetze fehlen.• Ländergrenzen werden überschritten.• Urheber nicht nachvollziehbar.• Fachkundiges Personal fehlt.• Verfolgung oft zu spät.

Dr. Wolf Müller43

IT-SicherheitGrundlagen

Fazit:

• Digitale Verbrechen– Kostengünstig und lohnend.– Erfordern einfache, verfügbare Technologie:

Standard PC, Standard Komponenten

– Überall in einem Netzwerk ausführbar.– Leicht zu verschleiern.– Leicht zu automatisieren.– Schwer zu verfolgen.

• ABER: Wir sind (und bleiben) die Guten!

Dr. Wolf Müller44

IT-SicherheitGrundlagen

Asymmetrische Bedrohung:

Dr. Wolf Müller45

: Angriffsvektoren:

Angriff nicht möglich

Erheblicher Aufwand & Kosten :

Effektiven Angriffsvektor

Geringe Kosten.

IT-SicherheitGrundlagen

Beispiel: Einkaufen im Internet

Dr. Wolf Müller46

IT-SicherheitGrundlagen

Sofortueberweisung.de

Einführung zum Thema Sicherheit

Sicherheit ist nicht einfach nur ein Muss für den Erfolg von Sofortüberweisung. Sicherheit ist ein starkes

Argument für die bevorzugte Nutzung von Sofortüberweisung.

Komponenten des Sicherheitskonzeptes sind:• Hoher Schutz der Identität dank » PIN/TAN System• Das fälschungssichere» SSL-Zertifikat• Verschlüsselte » SSL-Verbindungen• Geschützte PayNet » Serverumgebung• Die» Versicherung einer renommierten deutschen

Versicherungsgesellschaft, die bei Missbrauch von PIN/TAN Daten haftet

• Kontinuierliche » Prüfung durch das TÜV Saarland• » Prüfungen durch Grosskunden , die bezüglich Sicherheit

keine Kompromisse eingehen.

Bis heute sind trotz zunehmender Nutzung des Systeme und bereits erfreulich hoher monatlicherTransaktionszahlen keine Betrugsfälle im Zusammenhang mit Sofortüberweisung bekannt.

Dr. Wolf Müller47

IT-SicherheitGrundlagen

Sofortueberweisung.de

Dr. Wolf Müller48

IT-SicherheitGrundlagen

Sammlung: Angriffspunkte

• Gefälschter Firefox• Trojaner Plugin• Falscher Server• Manipulation OS• Angriff DNS • Eigene Trusted Root CA• Keylogger SW/HW• X-site scripting• Gewalt

Dr. Wolf Müller49

IT-SicherheitGrundlagen

23.03.11 http://heise.de/-1212986

SSL-GAU zwingt Browser-Hersteller zu Updates• Der Herausgeber von SSL-Zertifikaten Comodo wurde nach

Angaben[1] des Tor-Entwicklers Jacob Appelbaum und laut einem Blogeintrag[2] der Mozilla Foundation möglicherweise kompromittiert. In der Folge gelangten Kriminelle an neun Zertifikate bereits existierender Webseiten, darunter auch addons.mozilla.org. Ob der Fehler auf die mangelnde Prüfung bei der Ausstellung oder auf die Kompromittierung der Infrastruktur von Comodo zurückzuführen ist, ist derzeit offiziell nicht bekannt. ….

Dr. Wolf Müller50

IT-SicherheitGrundlagen

Angeblicher E-TAN-Generator für Paypal

Dr. Wolf Müller51