Hacker-Methoden in der ITSicherheitsausbildung Dr. Martin Mink Hacker-Angriffe 3.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Dr. Martin Mink | 2 Typische Angriffe auf WebAnwendungen SQL Injection Cross Site Scripting ungenügende Überprüfung von Benutzereingaben Zugriff auf E-Mail-Adressen, Passwörter, Kreditkartendaten, die unverschlüsselt gespeichert werden ungenügender Schutz von sensiblen Daten Zugriff auf geschützte Verzeichnisse des Servers Fehlkonfigurationen 3.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Dr. Martin Mink | 3 SQL Injection SQL ist die Abfragesprache in Datenbanken (DB) DB besteht aus Tabellen, jede Tabelle aus Spalten und Zeilen Beispiele für SQL-Abfragen: SELECT * FROM kunden; gibt den gesamten Inhalt der Tabelle 'kunden' aus SELECT name FROM kunden WHERE betrag > 1000; gibt die Namen der Kunden aus, die für mehr als 1000 € eingekauft haben Angriff: mittels SQL Injection wird eine vorhandene Abfrage verändert Inhalt der DB anzeigen, verändern, löschen, ... 3.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Dr. Martin Mink | 4 SQL Injection: Beispiel Für Login auf Webseite Eingabe von Benutzername + Passwort Benutzername ist Eingabe1, Passwort ist Eingabe2 SELECT * FROM benutzer WHERE name='Eingabe1' AND passwort='Eingabe2'; Angreifer gibt ein: für Eingabe1: (keine Eingabe) für Eingabe2: ' OR 1=1;-- Resultat: SELECT * FROM benutzer WHERE name='' AND passwort='' OR 1=1;--'; ausgeführt wird: SELECT * FROM benutzer WHERE 1=1; 3.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Dr. Martin Mink | 5 SQL Injection: Schutzmaßnahmen Benutzereingaben überprüfen nur bestimmte Zeichen zulassen („Whitelist“) bestimmte Zeichen nicht erlauben („Blacklist“) besser: spezielle Funktionen der DB nutzen bewirken, dass der Inhalt einer Benutzereingabe nicht als Teil der SQL-Anfrage interpretiert wird sog. „Stored Prodedures“ oder „Prepared Statements“ 3.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Dr. Martin Mink | 6 Cross Site Scripting (XSS) Angreifer manipuliert eine Web-Anwendung so, dass sie schädlichen Skriptcode in die dem Besucher angezeigte Seite einbettet Browser verarbeitet den eingeschmuggelten Code so, als sei es ein legitimer Inhalt der Web-Seite mit allen entsprechenden Sicherheitsfreigaben Mit XSS kann ein Angreifer u.a. die Identität eine anderen Benutzers annehmen den Benutzer auf eine bösartige Webseite leiten 3.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Dr. Martin Mink | 7 XSS: Schutzmaßnahmen Benutzereingaben überprüfen nur bestimmte Zeichen zulassen („Whitelist“) bestimmte Zeichen nicht erlauben („Blacklist“) Skriptausführung im Browser deaktivieren 3.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Dr. Martin Mink | 8 Know Your Enemy Erfahrung mit Angreifermethoden ist wichtig um sich der Möglichkeiten eines Angreifers bewusst zu werden für ein besseres Verständnis von Sicherheitsproblemen denn nur wer die Methoden der Angreifer kennt, kann sich effizient verteidigen denn Angreifer sind immer einen Schritt voraus Bedarf an Sicherheitsexperten mit Hacker-Erfahrung ist da für Penetrationstests, den Entwurf sicherer Systeme, Strafverfolgungsbehörden, Geheimdienste, ... Nachfrage durch Industrie und Staat 3.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Dr. Martin Mink | 9 Praktikum „Hacker Contest“ Seit 1999 an der TU Darmstadt angeboten Erprobung von Angriff und Verteidigung in einem geschlossenen Netzwerk Praktische Erfahrungen in einer Umgebung, die normalerweise nicht legal möglich Idee: „know your enemy“ Kennenlernen der Methoden der Angreifer, um sich effizient vor Angriffen schützen zu können 12 Studenten arbeiten in Teams Teil des neuen Masterstudiengangs „IT Security“ 3.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Dr. Martin Mink | 10 Ziele des Hacker Contests IT-Sicherheit praktisch erfahren Die Methoden der Angreifer kennenlernen Studierende für die Gefahren im Netzwerk sensibilisieren sowie ausbilden, die Gefahren zu erkennen und abzuwehren Kritische Auseinandersetzung mit den Grundsätzen des "Hackens" und den prinzipiellen Angriffskonzepten Lernen, wie man ein System sicher macht 3.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Dr. Martin Mink | 11 Hacker Contest für Unternehmen Weiterbildungsveranstaltung für Mitarbeiter Vermittlung von Wissen in ausgewählten Bereichen der IT-Sicherheit Einblicken in die Methoden und Denkweisen von Hackern Techniken zur Abwehr von Angriffen praktischen Erfahrungen 5-tägige Veranstaltung geplant ab Frühjahr 2011 3.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Dr. Martin Mink | 12 Zum selbst ausprobieren WebGoat (von OWASP) zur Demonstration von häufig auftretenden Sicherheitslücken http://www.owasp.org/index.php/Category:OWASP_WebGoat_Project Damn Vulnerable Linux (DVL) Live-CD mit angreifbaren Anwendungen http://www.damnvulnerablelinux.org/ Gruyere (ehemals Jarlsberg) (von Google code) Lernanwendung für Webentwickler http://google-gruyere.appspot.com/ Hacme Bank, Hacme Book, Hacme Casino, Hacme Travel, … nachgebildete Webapplikationen, die Lücken enthalten http://www.foundstone.com/us/resources-free-tools.asp 3.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Dr. Martin Mink | 13 Hacking-Demo Vorführung: (Un-)sicherheit von Web-Shops Hacme Bank Nachbildung einer Online-Bank Hacme Book Nachbildung eines Online-Buchladens vorgeführt von Tobias Lange Patrick Neugebauer 3.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Dr. Martin Mink | 14 Kontakt Dr. Martin Mink http://www.seceng.informatik.tu-darmstadt.de/mink/ 3.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Dr. Martin Mink | 15