Hacker-Methoden in der IT- Sicherheitsausbildung

Hacker-Methoden in der ITSicherheitsausbildung
Dr. Martin Mink
Hacker-Angriffe
3.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Dr. Martin Mink | 2
Typische Angriffe auf WebAnwendungen
 SQL Injection
 Cross Site Scripting
 ungenügende Überprüfung von Benutzereingaben
 Zugriff auf E-Mail-Adressen, Passwörter, Kreditkartendaten, die
unverschlüsselt gespeichert werden
 ungenügender Schutz von sensiblen Daten
 Zugriff auf geschützte Verzeichnisse des Servers
 Fehlkonfigurationen
3.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Dr. Martin Mink | 3
SQL Injection
 SQL ist die Abfragesprache in Datenbanken (DB)
 DB besteht aus Tabellen, jede Tabelle aus Spalten und Zeilen
 Beispiele für SQL-Abfragen:
 SELECT * FROM kunden;
 gibt den gesamten Inhalt der Tabelle 'kunden' aus
 SELECT name FROM kunden WHERE betrag > 1000;
 gibt die Namen der Kunden aus, die für mehr als 1000 € eingekauft
haben
 Angriff:
 mittels SQL Injection wird eine vorhandene Abfrage verändert
 Inhalt der DB anzeigen, verändern, löschen, ...
3.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Dr. Martin Mink | 4
SQL Injection: Beispiel
 Für Login auf Webseite Eingabe von Benutzername + Passwort
 Benutzername ist Eingabe1, Passwort ist Eingabe2
 SELECT * FROM benutzer WHERE name='Eingabe1' AND
passwort='Eingabe2';
 Angreifer gibt ein:
 für Eingabe1: (keine Eingabe)
 für Eingabe2: ' OR 1=1;--
 Resultat:
 SELECT * FROM benutzer WHERE name='' AND passwort='' OR
1=1;--';
 ausgeführt wird:
 SELECT * FROM benutzer WHERE 1=1;
3.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Dr. Martin Mink | 5
SQL Injection:
Schutzmaßnahmen
 Benutzereingaben überprüfen
 nur bestimmte Zeichen zulassen („Whitelist“)
 bestimmte Zeichen nicht erlauben („Blacklist“)
 besser: spezielle Funktionen der DB nutzen
 bewirken, dass der Inhalt einer Benutzereingabe nicht als Teil der
SQL-Anfrage interpretiert wird
 sog. „Stored Prodedures“ oder „Prepared Statements“
3.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Dr. Martin Mink | 6
Cross Site Scripting (XSS)
 Angreifer manipuliert eine Web-Anwendung so, dass sie
schädlichen Skriptcode in die dem Besucher angezeigte Seite
einbettet
 Browser verarbeitet den eingeschmuggelten Code so, als sei es
ein legitimer Inhalt der Web-Seite
 mit allen entsprechenden Sicherheitsfreigaben
 Mit XSS kann ein Angreifer u.a.
 die Identität eine anderen Benutzers annehmen
 den Benutzer auf eine bösartige Webseite leiten
3.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Dr. Martin Mink | 7
XSS: Schutzmaßnahmen
 Benutzereingaben überprüfen
 nur bestimmte Zeichen zulassen („Whitelist“)
 bestimmte Zeichen nicht erlauben („Blacklist“)
 Skriptausführung im Browser deaktivieren
3.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Dr. Martin Mink | 8
Know Your Enemy
 Erfahrung mit Angreifermethoden ist wichtig
 um sich der Möglichkeiten eines Angreifers bewusst zu werden
 für ein besseres Verständnis von Sicherheitsproblemen
 denn nur wer die Methoden der Angreifer kennt, kann sich effizient
verteidigen
 denn Angreifer sind immer einen Schritt voraus
 Bedarf an Sicherheitsexperten mit Hacker-Erfahrung ist da
 für Penetrationstests, den Entwurf sicherer Systeme,
Strafverfolgungsbehörden, Geheimdienste, ...
 Nachfrage durch Industrie und Staat
3.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Dr. Martin Mink | 9
Praktikum „Hacker Contest“
 Seit 1999 an der TU Darmstadt angeboten
 Erprobung von Angriff und Verteidigung in einem geschlossenen
Netzwerk
 Praktische Erfahrungen in einer Umgebung, die normalerweise
nicht legal möglich
 Idee: „know your enemy“
 Kennenlernen der Methoden der Angreifer, um sich effizient vor
Angriffen schützen zu können
 12 Studenten arbeiten in Teams
 Teil des neuen Masterstudiengangs „IT Security“
3.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Dr. Martin Mink | 10
Ziele des Hacker Contests
 IT-Sicherheit praktisch erfahren
 Die Methoden der Angreifer kennenlernen
 Studierende für die Gefahren im Netzwerk sensibilisieren sowie
ausbilden, die Gefahren zu erkennen und abzuwehren
 Kritische Auseinandersetzung mit den Grundsätzen des
"Hackens" und den prinzipiellen Angriffskonzepten
 Lernen, wie man ein System sicher macht
3.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Dr. Martin Mink | 11
Hacker Contest für Unternehmen
 Weiterbildungsveranstaltung für Mitarbeiter
 Vermittlung von
 Wissen in ausgewählten Bereichen der IT-Sicherheit
 Einblicken in die Methoden und Denkweisen von Hackern
 Techniken zur Abwehr von Angriffen
 praktischen Erfahrungen
 5-tägige Veranstaltung
 geplant ab Frühjahr 2011
3.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Dr. Martin Mink | 12
Zum selbst ausprobieren
 WebGoat (von OWASP)
 zur Demonstration von häufig auftretenden Sicherheitslücken
 http://www.owasp.org/index.php/Category:OWASP_WebGoat_Project
 Damn Vulnerable Linux (DVL)
 Live-CD mit angreifbaren Anwendungen
 http://www.damnvulnerablelinux.org/
 Gruyere (ehemals Jarlsberg) (von Google code)
 Lernanwendung für Webentwickler
 http://google-gruyere.appspot.com/
 Hacme Bank, Hacme Book, Hacme Casino, Hacme Travel, …
 nachgebildete Webapplikationen, die Lücken enthalten
 http://www.foundstone.com/us/resources-free-tools.asp
3.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Dr. Martin Mink | 13
Hacking-Demo
 Vorführung: (Un-)sicherheit von Web-Shops
 Hacme Bank
 Nachbildung einer Online-Bank
 Hacme Book
 Nachbildung eines Online-Buchladens
 vorgeführt von
 Tobias Lange
 Patrick Neugebauer
3.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Dr. Martin Mink | 14
Kontakt
 Dr. Martin Mink
 http://www.seceng.informatik.tu-darmstadt.de/mink/
3.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Dr. Martin Mink | 15