Vorlesung 6 - Vorlesungsfolien von Heiko Weber

Datensicherheit
Vorlesung 6: 9.1.2017
Wintersemester 2016/2017 h_da
Heiko Weber, Lehrbeauftragter
Teil 2: Datensicherheit
Themenübersicht der Vorlesung
1. Einführung / Grundlagen der Datensicherheit / Authentifizierung
2. Kryptografie / Verschlüsselung und Signaturen mit PGP und S/MIME
3. Netzwerksicherheit / TLS
4. Einführung in den Datenschutz / Privatsphäre / Anonymität
5. BDSG / DSGVO / Technische und organisatorische Maßnahmen
6. Softwaresicherheit / Malware / Firewalls
7. Evaluation / Was ist sichere Software? / Hacking / Live-Hacking
x. Beispielklausur durchgehen / Wiederholung
Datensicherheit
6-2
9.1.2017
Heiko Weber
Terminologie (Wiederholung)
• Schwachstelle (Weakness)
ein Software-Fehlertyp, der in gewissen Situationen zu einer Verwundbarkeit
der Software führen kann
• Verwundbarkeit (Vulnerability)
das Auftreten einer oder mehrerer Schwachstellen in einer Software, in der
diese Schwachstelle genutzt werden kann, um ein Fehlverhalten hervorzurufen
• Offenlegung (Exposure)
das Auftreten einer oder mehrerer Schwachstellen in einer Software, die
Informationen oder Funktionen offenlegen, die einen Angriff auf ein System
erleichtern
• Auswirkung (Impact)
das Ergebnis, welches eine erfolgreich ausgenutzte Verwundbarkeit in einer
Software haben kann
Datensicherheit
6-3
9.1.2017
Heiko Weber
CWE/SANS Top 25 Most Dangerous Software Errors
• http://cwe.mitre.org/top25/
• “CWE/SANS Top 25 Most Dangerous Software Errors” ist eine Liste der
meistverbreitetsten und kritischsten Schwachstellen, die zu
schwerwiegenden Verwundbarkeiten in Software führen können
• diese Schwachstellen sind üblicherweise einfach zu finden und leicht
auszunutzen und sind gefährlich, weil sie den Angreifer_innen häufig
ermöglichen ein System zu kapern, Daten zu klauen oder sie
verhindern können, dass ein System normal funktioniert
Datensicherheit
6-4
9.1.2017
Heiko Weber
CWE/SANS Top 25 Most Dangerous Software Errors
1. CWE-89
2. CWE-78
3. CWE-120
4. CWE-79
5. CWE-306
SQL Injection
OS Command Injection
Classic Buffer Overflow
Cross-site Scripting
Missing Authentication
for Critical Function
6. CWE-862
7. CWE-798
8. CWE-311
9. CWE-434
10. CWE-807
Missing Authorization
Use of Hard-coded
Credentials
Missing Encryption of
Sensitive Data
Unrestricted Upload of
File with Dangerous Type
Reliance on Untrusted
Inputs in a Security
Decision
11. CWE-250
12. CWE-352
13. CWE-22
14. CWE-494
15. CWE-863
Execution with
Unnecessary Privileges
Cross-Site
Request Forgery
Path Traversal
Download of Code
Without Integrity Check
Incorrect Authorization
16. CWE-829
17. CWE-732
18. CWE-676
19. CWE-327
Inclusion of Functionality from Untrusted
Control Sphere
Incorrect Permission
Assignment for Critical
Resource
20. CWE-131
Use of Potentially
Dangerous Function
21. CWE-307
22. CWE-601
23. CWE-134
24. CWE-190
25. CWE-759
Improper Restriction of
Excessive Authentication Attempts
Open Redirect
Uncontrolled Format
String
Integer Overflow or
Wraparound
Use of a One-Way Hash
without a Salt
Datensicherheit
4-5
14.12.2015
Use of a Broken or Risky
Cryptographic Algorithm
Incorrect Calculation of
Buffer Size
Heiko Weber
CWE/SANS Top 25 Most Dangerous Software Errors
1. CWE-89
2. CWE-78
3. CWE-120
4. CWE-79
5. CWE-306
SQL Injection
OS Command Injection
Classic Buffer Overflow
Cross-site
Scripting
Missing Authentication
for Critical Function
6. CWE-862
7. CWE-798
8. CWE-311
9. CWE-434
10. CWE-807
Missing Authorization
Use of Hard-coded
Credentials
Missing Encryption of
Sensitive Data
Unrestricted Upload of
File with Dangerous Type
Reliance on Untrusted
Inputs in a Security
Decision
14. CWE-494
15. CWE-863
Download of Code
Without Integrity Check
Incorrect Authorization
19. CWE-327
20. CWE-131
11. CWE-250
siehe13. CWE-22
12. CWE-352
VorlesungPath3Traversal
Execution with
Unnecessary Privileges
Cross-Site
Request Forgery
16. CWE-829
17. CWE-732
Inclusion of Functionality from Untrusted
Control Sphere
Incorrect Permission
Assignment for Critical
Resource
Use of Potentially
Dangerous Function
21. CWE-307
22. CWE-601
23. CWE-134
24. CWE-190
25. CWE-759
Improper Restriction of
Excessive Authentication Attempts
Open Redirect
Uncontrolled Format
String
Integer Overflow or
Wraparound
Use of a One-Way Hash
without a Salt
Datensicherheit
18. CWE-676
4-6
14.12.2015
Use of a Broken or Risky
Cryptographic Algorithm
Incorrect Calculation of
Buffer Size
Heiko Weber
CWE/SANS Top 25 Most Dangerous Software Errors
1. CWE-89
2. CWE-78
3. CWE-120
4. CWE-79
5. CWE-306
SQL Injection
OS Command Injection
Classic Buffer Overflow
Cross-site
Scripting
Missing Authentication
for Critical Function
6. CWE-862
7. CWE-798
8. CWE-311
9. CWE-434
10. CWE-807
Missing Authorization
Use of Hard-coded
Credentials
Missing Encryption of
Sensitive Data
Unrestricted Upload of
File with Dangerous Type
Reliance on Untrusted
Inputs in a Security
Decision
11. CWE-250
12. CWE-352
13. CWE-22
Execution with
Unnecessary Privileges
Cross-Site
Request Forgery
Path Traversal
16. CWE-829
17. CWE-732
18. CWE-676
Inclusion of Functionality from Untrusted
Control Sphere
Incorrect Permission
Assignment for Critical
Resource
Use of Potentially
Dangerous Function
21. CWE-307
22. CWE-601
23. CWE-134
24. CWE-190
25. CWE-759
Improper Restriction of
Excessive Authentication Attempts
Open Redirect
Uncontrolled Format
String
Integer Overflow or
Wraparound
Use of a One-Way Hash
without a Salt
Datensicherheit
4-7
14.12.2015
siehe
14. CWE-494
Vorlesung
Download of Code 3
15. CWE-863
Without Integrity Check
Incorrect Authorization
19. CWE-327
20. CWE-131
Use of a Broken or Risky
Cryptographic Algorithm
Incorrect Calculation of
Buffer Size
Heiko Weber
CWE/SANS Top 25 Most Dangerous Software Errors
1. CWE-89
2. CWE-78
3. CWE-120
4. CWE-79
5. CWE-306
SQL Injection
OS Command
Injection
Classic Buffer Overflow
Cross-site
Scripting
Missing Authentication
for Critical Function
6. CWE-862
7. CWE-798
8. CWE-311
9. CWE-434
10. CWE-807
Missing Authorization
Use of Hard-coded
Credentials
Missing Encryption of
Sensitive Data
Unrestricted Upload of
File with Dangerous Type
Reliance on Untrusted
Inputs in a Security
Decision
11. CWE-250
12. CWE-352
13. CWE-22
14. CWE-494
15. CWE-863
Execution with
Unnecessary Privileges
Cross-Site
Request Forgery
Path Traversal
Download of Code
Without Integrity Check
Incorrect Authorization
16. CWE-829
17. CWE-732
18. CWE-676
19. CWE-327
Inclusion of Functionality from Untrusted
Control Sphere
Incorrect Permission
Assignment for Critical
Resource
20. CWE-131
Use of Potentially
Dangerous Function
21. CWE-307
22. CWE-601
23. CWE-134
24. CWE-190
25. CWE-759
Improper Restriction of
Excessive Authentication Attempts
Open Redirect
Uncontrolled Format
String
Integer Overflow or
Wraparound
Use of a One-Way Hash
without a Salt
Datensicherheit
4-8
14.12.2015
Use of a Broken or Risky
Cryptographic Algorithm
Incorrect Calculation of
Buffer Size
Heiko Weber
CWE-20: Improper Input Validation
(unvollständige Eingabeüberprüfung)
• http://cwe.mitre.org/data/definitions/20.html
• Wenn Software die Eingabewerte nicht vollständig überprüft, können
im Rahmen eines Angriffs Daten an die Anwendung geschickt werden,
die so nicht erwartet wurden in den Bereichen, wo die Daten
verarbeitet werden. Dies kann dazu führen, dass das System mit
diesen Daten nicht umgehen kann und es zu Veränderungen im
Kontrollfluss der Anwendung kommt, Kontrolle über beliebige
Ressourcen erreicht oder beliebiger Code ausgeführt werden kann.
• kann sich auf folgende Schutzziele auswirken:
•
•
•
•
Verfügbarkeit
Vertraulichkeit
Integrität
Nichtabstreitbarkeit
Datensicherheit
4-9
14.12.2015
Heiko Weber
Schwachstellen, die zu CWE-20 gehören
• aus den Top 25:
• CWE-89: Improper Neutralization of Special Elements used in an SQL Command
('SQL Injection')
• CWE-78: Improper Neutralization of Special Elements used in an OS Command
('OS Command Injection')
• CWE-120: Buffer Copy without Checking Size of Input ('Classic Buffer Overflow')
• CWE-79: Improper Neutralization of Input During Web Page Generation
('Cross-site Scripting')
• CWE-134: Uncontrolled Format String
• CWE-190: Integer Overflow or Wraparound
• weitere interessante:
• CWE-73: External Control of File Name or Path
• CWE-99: Improper Control of Resource Identifiers ('Resource Injection')
• CWE-113: Improper Neutralization of CRLF Sequences in HTTP Headers
• CWE-158: Improper Neutralization of Null Byte or NUL Character
Datensicherheit
4-10
14.12.2015
Heiko Weber
CWE-89: Improper Neutralization of Special Elements
used in an SQL Command ('SQL Injection')
• Die Anwendung konstruiert einen Teil oder eine komplette SQLAnweisung basierend auf Eingabewerten, ohne spezielle Teile der
Eingabewerte zu neutralisieren, welche die beabsichtigte SQLAnweisung verändern könnten, wenn sie an die Datenbank geschickt
wird.
• Datenbankanfragen können manipuliert werden
• beliebige Daten können
- aus der Datenbank gelesen werden
- in die Datenbank geschrieben werden
- aus der Datenbank gelöscht werden
Mögliche Auswirkungen
Schutzziel verletzt
Daten lesen
Vertraulichkeit
Schutzmechanismus umgehen
Zugriffskontrolle
Daten verändern
Integrität
Datensicherheit
4-11
14.12.2015
Heiko Weber
CWE-89: Beispiel
• lade die Adresse für User, die öffentlich sind (Wert public auf 1 steht)
PHP Beispiel:
…
$name = $_REQUEST["name"];
$query = "SELECT address FROM users WHERE public=1 AND
name='".$name."' ORDER BY name";
$result = mysql_query($query);
…
Datensicherheit
4-12
14.12.2015
Heiko Weber
CWE-89: Beispiel
• lade die Adresse für User, die öffentlich sind (Wert public auf 1 steht)
PHP Beispiel:
…
$name = $_REQUEST["name"];
$query = "SELECT address FROM users WHERE public=1 AND
name='".$name."' ORDER BY name";
$result = mysql_query($query);
…
Eingabewert: Heiko
where: public=1 AND name='Heiko'
gibt nur die Infos zu Heiko aus, wenn sie öffentlich sind
Datensicherheit
4-13
14.12.2015
Heiko Weber
CWE-89: Beispiel
• lade die Adresse für User, die öffentlich sind (Wert public auf 1 steht)
PHP Beispiel:
…
$name = $_REQUEST["name"];
$query = "SELECT address FROM users WHERE public=1 AND
name='".$name."' ORDER BY name";
$result = mysql_query($query);
…
Eingabewert: x' OR public=0 OR name='Heiko
where: public=1 AND name='x' OR public=0 OR name='Heiko'
gibt auch die Infos zu Heiko aus, wenn sie privat sind
Datensicherheit
4-14
14.12.2015
Heiko Weber
CWE-78: Improper Neutralization of Special Elements
used in an OS Command ('OS Command Injection')
• Die Anwendung konstruiert einen Teil oder einen kompletten
Betriebssystemaufruf basierend auf Eingabewerten, ohne spezielle
Teile der Eingabewerte zu neutralisieren, die den beabsichtigten
Betriebssystemaufruf verändern könnten, wenn er ausgeführt wird.
• Betriebssystemaufrufe können manipuliert werden
• beliebige Befehle können auf der Kommandozeile aufgerufen werden
Mögliche Auswirkungen
Schutzziel verletzt
unzuverlässiges Ausführen von Befehlen
DoS: crash / exit / restart
Daten verändern
Daten lesen
Aktivitäten verbergen
Vertraulichkeit
Integrität
Verfügbarkeit
Nichtabstreitbarkeit
Datensicherheit
6-15
9.1.2017
Heiko Weber
CWE-78: Beispiel
• erhalte den Username und zeige die Daten des Users an
PHP Beispiel:
…
$userName = $_POST["user"];
$command = 'ls -l /home/' . $userName;
system($command);
…
Datensicherheit
4-16
14.12.2015
Heiko Weber
Mögliche Mitigationen gegen CWE-20-Schwachstellen
• Mitigation = Entschärfung – eine Maßnahme, um potentielle
Schwachstellen zu verhindern oder deren Auswirkung zu reduzieren
• Eingabeüberprüfung
• einheitliche Eingabeüberprüfungssysteme einsetzen
• nur gültige Werte zulassen (White Lists)
●
nur auf ungültige Werte überprüfen, wenn die Liste der gültigen nicht
überprüfbar ist – es ist schwer alle ungültigen Fälle zu kennen
• wenn Werte aus verschiedenen Quellen kombiniert werden, die Überprüfung
erst nach dem Kombinieren der Werte anwenden
• Angriffsoberfläche erkennen und verkleinern
• alle Stellen, in denen Eingaben in die Anwendung gelangen, müssen erkannt
und analysiert werden
Datensicherheit
6-17
9.1.2017
Heiko Weber
Schwachstellen, die zu CWE-20 gehören
• aus den Top 25:
• CWE-89: Improper Neutralization of Special Elements used in an SQL Command
('SQL Injection')
• CWE-78: Improper Neutralization of Special Elements used in an OS Command
('OS Command Injection')
• CWE-120: Buffer Copy without Checking Size of Input ('Classic Buffer Overflow')
• CWE-79: Improper Neutralization of Input During Web Page Generation
('Cross-site Scripting')
• CWE-134: Uncontrolled Format String
• CWE-190: Integer Overflow or Wraparound
• weitere interessante:
• CWE-73: External Control of File Name or Path
• CWE-99: Improper Control of Resource Identifiers ('Resource Injection')
• CWE-113: Improper Neutralization of CRLF Sequences in HTTP Headers
• CWE-158: Improper Neutralization of Null Byte or NUL Character
Datensicherheit
6-18
9.1.2017
Heiko Weber
CWE-116: Improper Encoding or Escaping of Output
(falsche Codierung oder Formatierung von Ausgaben)
• http://cwe.mitre.org/data/definitions/116.html
• Die Anwendung generiert eine strukturierte Nachricht, um mit einer
anderen Softwarekomponente zu kommunizieren, aber die Codierung
oder Formatierung der Daten in der Nachricht fehlt oder wurde falsch
durchgeführt. Dadurch kann die beabsichtigte Struktur der Nachricht
verfälscht werden.
• kann sich auf folgende Schutzziele auswirken:
–
Verfügbarkeit
–
Vertraulichkeit
–
Integrität
–
Zugriffskontrolle
Datensicherheit
6-19
9.1.2017
Heiko Weber
Beziehung zu CWE-20 (Improper Input Validation)
• je nach Beschaffenheit der strukturierten Nachricht, kann durch
korrekt Eingabeüberprüfung verhindert werden, dass spezielle Zeichen
und Zeichenfolgen die Struktur der Nachricht manipulieren können
• Eingabeüberprüfung ist aber nicht immer ausreichend, weil gewisse
Zeichen in verschiedenen Kontexten erlaubt oder auch nicht erlaubt
sein könnten
z.B. Sonderzeichen in Namen:
Datensicherheit
O'Reilly
6-20
9.1.2017
Heiko Weber
Anwendungs-Eingabe und -Ausgabe
ANWENDUNG
EINGABE
Datensicherheit
INTERN
6-21
9.1.2017
AUSGABE
Heiko Weber
Anwendungs-Eingabe und -Ausgabe
ANWENDUNG
EINGABE
Datensicherheit
CWE
20
INTERN
6-22
9.1.2017
CWE
116
AUSGABE
Heiko Weber
Anwendungs-Eingabe und -Ausgabe
ANWENDUNG
Konfigurationdateien
Datenbanken
Benutzereingaben
Webanwendungen
usw.
Datensicherheit
CWE
20
INTERN
6-23
9.1.2017
CWE
116
Logdateien
Datenbanken
Systemaufrufe
Webanwendungen
usw.
Heiko Weber
• https://www.owasp.org
Auszug aus der deutschen Webseite:
• OWASP ist eine unabhängige, weltweite Community [...]. Ziel des OWASP
ist die Unterstützung von Unternehmen und Organisationen bei der
Entwicklung und beim Betrieb sicherer Webanwendungen und das
«Sichtbar-Machen» der Bedeutung der Sicherheit von Webanwendungen.
• Sämtliche OWASP-Instrumente, wie Dokumente, Foren oder die jeweiligen
Länder-Chapters stehen kostenlos allen zur Verfügung, die daran
interessiert sind, die Sicherheit von Webanwendungen zu erhöhen.
• Die Community ist frei und offen und heißt alle Interessierten sowie
Wissens- und Erfahrungsträger herzlich willkommen. Zwanglos kann dies z.
B. im Rahmen der OWASP Stammtische erfolgen, die regelmäßig in vielen
deutschen Großstädten stattfinden.
OWASP Top 10
Risiken für die Anwendungssicherheit
https://www.owasp.org/images/4/42/OWASP_Top_10_2013_DE_Version_1_0.pdf
• A1: Injection
• A2: Fehler in Authentifizierung und Session-Management
• A3: Cross-Site Scripting (XSS)
• A4: Unsichere direkte Objektreferenzen
• A5: Sicherheits-relevante Fehlkonfiguration
• A6: Verlust der Vertraulichkeit sensibler Daten
• A7: Fehlerhafte Autorisierung auf Anwendungsebene
• A8: Cross-Site Request Forgery (CSRF)
• A9: Nutzung von Komponenten mit bekannten Schwachstellen
• A10: Ungeprüfte Um- und Weiterleitungen
Datensicherheit
6-25
9.1.2017
Heiko Weber
OWASP Top 10
Risiken für die Anwendungssicherheit
• A1: Injection
• A2: Fehler in Authentifizierung und Session-Management
• A3: Cross-Site Scripting (XSS)
• A4: Unsichere direkte Objektreferenzen
• A5: Sicherheits-relevante Fehlkonfiguration
• A6: Verlust der Vertraulichkeit sensibler Daten
• A7: Fehlerhafte Autorisierung auf Anwendungsebene
• A8: Cross-Site Request Forgery (CSRF)
• A9: Nutzung von Komponenten mit bekannten Schwachstellen
• A10: Ungeprüfte Um- und Weiterleitungen
Datensicherheit
6-26
9.1.2017
Heiko Weber
Malware

Malware = Malicious Software (bösartige Software / Schadsoftware)

Software, die unerwünschte Funktionen ausführt

verschiedene Arten – oftmals auch Mischformen:

Viren

Würmer

Trojanische Pferde
Datensicherheit
6-38
9.1.2017
Heiko Weber
Malware

Malware = Malicious Software (bösartige Software / Schadsoftware)

Software, die unerwünschte Funktionen ausführt

verschiedene Arten – oftmals auch Mischformen:


Viren

Würmer

Trojanische Pferde
je nach Art der bösartigen Funktion wird auch unterschieden nach:

Adware

Ransomware

Rootkits

Spyware

und viele weitere Unterkategorien...
Datensicherheit
6-39
9.1.2017
Heiko Weber
Viren


selbstreproduzierend
keine eigenständige Software – benötigen einen Wirt
(beispielsweise eine übliche Anwendungssoftware)

Wirtssoftware muss ausgeführt werden zum Aktivieren des Virus

Funktionsweise:
1. Start des infizierten Programms (Wirtssoftware):
Aktivierung des Virus
2. Virus infiziert selbständig andere Programme
3. Virus aktiviert Schadensfunktion
Datensicherheit
6-40
9.1.2017
Heiko Weber
Viren

infizierbare Dateien:




ausführbare Dateien
(Programmdateien, Programmbibliotheken, Skripte, …)
Dateien, die ausführbare Inhalte beinhalten
(Makros – z.B. in PDF-Dateien, Office-Dateien, …)
Infektion von Bootsektoren
Unterscheidung entsprechender Typen, z.B.

Dateiviren

Skriptviren

Makroviren

Bootsektorviren
Datensicherheit
6-41
9.1.2017
Heiko Weber
Infektionswege von Viren


Verbreitung: passiv
durch Kopieren einer infizierten Wirtsdatei auf ein noch nicht
infiziertes System
Verbreitungswege:



Versenden infizierter Dateien per E-Mail
Einsatz von Software aus fragwürdigen Quellen
(z.B. über P2P-Filesharing-Netzwerke, Web-Downloads, …)
Kopieren fremder Software (am eigenen oder fremden
Rechner)

Nutzung fremder oder gemeinsamer Datenträger

Arbeiten an Rechnern, deren Festplatte bereits infiziert ist

Verwendung infizierter Programme eines Fileservers
Datensicherheit
6-42
9.1.2017
Heiko Weber
Infektionswege von Malware allgemein
Quelle: <kes> special 2014#4/6: „IT-Landschaften 2014: Lagebericht zur Sicherheit“
Datensicherheit
6-43
9.1.2017
Heiko Weber
Würmer

spezielle Art von Viren

selbstreproduzierend

selbstständige Software – kein Wirt benötigt


Verbreitung: aktiv
z.B. durch Versenden von E-Mails an Mitglieder der Adressliste
muss ausgeführt werden zum Aktivieren des Wurm
Datensicherheit
6-44
9.1.2017
Heiko Weber
Trojanische Pferde


auch teilweise als „Trojaner“ bezeichnet (wobei es ja eigentlich
eher „Griechen“ heißen müsste – das Pferd enthielt ja Griechen, die
die Trojaner angegriffen haben)
Schadsoftware, die vom Benutzer unbemerkt Aktionen auf dessen
Computer ausführt - zu diesen Aktionen gehören u. a.:

Löschen von Daten

Sperren von Daten

Modifizieren von Daten

Auslesen/Kopieren von Daten

Datensicherheit
Beeinträchtigen der Funktionalität von Computern oder
Computernetzwerken
6-45
9.1.2017
Heiko Weber
Trojanische Pferde


auch teilweise als „Trojaner“ bezeichnet (wobei es ja eigentlich
eher „Griechen“ heißen müsste – das Pferd enthielt ja Griechen, die
die Trojaner angegriffen haben)
Schadsoftware, die vom Benutzer unbemerkt Aktionen auf dessen
Computer ausführt - zu diesen Aktionen gehören u. a.:
Verfügbarkeit

Löschen von Daten

Sperren von Daten

Modifizieren von Daten

Auslesen/Kopieren von Daten

Datensicherheit
Beeinträchtigen der Funktionalität von Computern oder
Computernetzwerken
6-46
9.1.2017
Heiko Weber
Trojanische Pferde


auch teilweise als „Trojaner“ bezeichnet (wobei es ja eigentlich
eher „Griechen“ heißen müsste – das Pferd enthielt ja Griechen, die
die Trojaner angegriffen haben)
Schadsoftware, die vom Benutzer unbemerkt Aktionen auf dessen
Computer ausführt - zu diesen Aktionen gehören u. a.:

Löschen von Daten
Verfügbarkeit

Sperren von Daten

Modifizieren von Daten
Integrität

Auslesen/Kopieren von Daten

Datensicherheit
Beeinträchtigen der Funktionalität von Computern oder
Computernetzwerken
6-47
9.1.2017
Heiko Weber
Trojanische Pferde


auch teilweise als „Trojaner“ bezeichnet (wobei es ja eigentlich
eher „Griechen“ heißen müsste – das Pferd enthielt ja Griechen, die
die Trojaner angegriffen haben)
Schadsoftware, die vom Benutzer unbemerkt Aktionen auf dessen
Computer ausführt - zu diesen Aktionen gehören u. a.:

Löschen von Daten
Verfügbarkeit

Sperren von Daten

Modifizieren von Daten
Integrität

Auslesen/Kopieren von Daten

Datensicherheit
Vertraulichkeit
Beeinträchtigen der Funktionalität von Computern oder
Computernetzwerken
6-48
9.1.2017
Heiko Weber
Trojanische Pferde



im Gegensatz zu Computerviren und -würmern sind Trojanische
Pferde nicht in der Lage, sich selbständig zu vervielfältigen
sie werden ganz gezielt von einem Angreifer auf einem PC, Tablet,
Smartphone oder sonstigem Computer installiert
anhand ihrer Funktion, werden Trojanische Pferde in verschiedene
Typen unterteilt:

Datensicherheit
Exploit, Backdoor, Rootkit, Banker, DDoS, Keylogger,
Downloader, Fake Antivirus, Instant Messaging, Ransom, Spy,
Mailfinder, Clicker, Proxy, Notifier, ...
6-49
9.1.2017
Heiko Weber
Funktionen Trojanischer Pferde

Exploit
Programme, die Daten oder Code enthalten, mit dem Schwachstellen
auf dem lokalen Computer ausgenutzt werden, um weitere Rechte zu
bekommen oder um unberechtigt Daten zu erlangen.

Backdoor
Eine Hintertür über die ein anderer Benutzer die Kontrolle über den
infizierten Computer erlangt. Backdoor-Trojaner werden häufig
eingesetzt, um mehrere befallene Computer zu einem so genannten
Botnet oder Zombie-Netzwerk zusammenzuschließen, welches dann
zu kriminellen Zwecken verwendet wird, z.B. um einen DDoS-Angriff
zu starten.

Keylogger (Funktionalität von Spyware)
Protokolliert unbemerkt die Tastatureingaben mit und übermittelt sie
an den Angreifer. Somit können z.B. Passwörter abgefangen werden.
Datensicherheit
6-50
9.1.2017
Heiko Weber
Funktionen Trojanischer Pferde

Ransom
Ein Programm, das in der Lage ist, Daten auf einem infizierten
Computer so zu manipulieren, sodass es zu Störungen kommt oder
bestimmte Daten nicht mehr genutzt werden können. Der Computer
funktioniert erst wieder ordnungsgemäß, wenn ein gefordertes
„Lösegeld“ bezahlt wurde.

Fake Antivirus
Trojan-FakeAV-Programme simulieren die Aktivität von AntivirenSoftware. Sie dienen dazu, Geld zu erpressen – als Gegenleistung für
den Schutz vor Bedrohungen, obwohl diese in Wirklichkeit überhaupt
nicht existieren. Also eigentlich eine spezielle Art von Ransomware.
Datensicherheit
6-51
9.1.2017
Heiko Weber
„Staatstrojaner“
„Der Chaos Computer Club (CCC) hat eine eingehende Analyse
staatlicher Spionagesoftware vorgenommen. Die untersuchten
Trojaner können nicht nur höchst intime Daten ausleiten, sondern
bieten auch eine Fernsteuerungsfunktion zum Nachladen und Ausführen
beliebiger weiterer Schadsoftware. Aufgrund von groben Design- und
Implementierungsfehlern entstehen außerdem eklatante Sicherheitslücken in
den infiltrierten Rechnern, die auch Dritte ausnutzen können.
Nicht erst seit das Bundesverfassungsgericht die Pläne zum Einsatz des
Bundestrojaners am 27. Februar 2008 durchkreuzte, ist von der
unauffälligeren Neusprech-Variante der Spionagesoftware die Rede: von der
"Quellen-TKÜ" ("Quellen-Telekommunikationsüberwachung"). Diese "QuellenTKÜ" darf ausschließlich für das Abhören von Internettelefonie verwendet
werden. Dies ist durch technische und rechtliche Maßnahmen
sicherzustellen.“
Quelle: http://www.ccc.de/updates/2011/staatstrojaner
Datensicherheit
6-52
9.1.2017
Heiko Weber
Quelle: https://netzpolitik.org/2015/staatstrojaner-fuer-quellen-tkue-ab-herbst-verfuegbar/
Sicherheitsrisiken in deutschen Konzernen
Quelle: <kes> special 2014#4/6: „IT-Landschaften 2014: Lagebericht zur Sicherheit“
Datensicherheit
6-54
9.1.2017
Heiko Weber
Schutz vor Malware

kein Starten unbekannter Programme

Least-Privilege-Prinzip beachten

Computer nicht unbeaufsichtigt lassen

Anti-Malware-Software einsetzen

Firewalls einsetzen, um Netzwerk-Angriffe einzuschränken

immer die aktuellsten Sicherheitsupdates installieren
(für das Betriebssystem und alle Anwendungen)
Datensicherheit
6-55
9.1.2017
Heiko Weber
Anti-Malware-Techniken
Statische Techniken
Dynamische Techniken
die zu prüfende Software wird
untersucht, ohne sie auszuführen
die zu prüfende Software wird ausgeführt und das Verhalten beobachtet
Scanner
Monitoring der Aktivitäten
sucht nach bekannten Bitmustern in
der Software (Signaturerkennung)
sucht nach auffälligen Aktivitäten
(Abweichungen von den „normalen“
Aktivitäten) – z.B. hohe NetzwerkKommunikation
Heuristik
sucht nach Virus-ähnlichen ProgrammBereichen
Integritätsprüfungen
sucht nach unautorisierten Modifikationen in bekannter Software
Datensicherheit
6-56
Emulation
Ausführen der Software in emulierter
Umgebung oder in einer Sandbox und
dabei Monitoring
9.1.2017
Heiko Weber
Least-Privilege-Prinzip




Berechtigungen so einschränkend wie möglich halten
Software nur mit Administrator-Rechten ausführen, wenn
unbedingt notwendig
Software mit den Rechten ausführen, die genau das erlauben, was
für die Funktionsweise der Software notwendig ist
damit kann der Schaden, der bei Ausnutzen von Schwachstellen in
der Software erreicht werden kann, eingeschränkt werden
Datensicherheit
6-57
9.1.2017
Heiko Weber
Firewalls




eine Firewall ist eine Schnittstelle zwischen dem externen
Netzwerk und einem geschützten Bereich (oftmals ein Computer)
die Firewall beschränkt den Datenverkehr zwischen dem externen
Netzwerk und dem geschützten Bereich
zwei Arten

Paketfilter

Proxies
Firewalls arbeiten richtungsabhängig


Datensicherheit
Firewalls für in den geschützten Bereich eingehenden Verkehr
Firewalls für aus dem geschützten Bereich ausgehenden
Verkehr
6-58
9.1.2017
Heiko Weber
Firewall Paketfilter

die Aufgabe des Paketfilterns wird meist von einem Router
übernommen – kann aber auch einfach Software auf einem
Computer sein

filtert eingehende und ausgehende Daten-Pakete

verwirft/erlaubt Pakete abhängig von


IP-Adresse des Senders und/oder Empfängers

Protokoll (TCP, UDP, ICMP)

Port des Senders und/oder Empfängers

Eingangsnetzwerkkarte / Ausgangsnetzwerkkarte
Beispiele: Fritzbox, Windows-Firewall
Datensicherheit
6-59
9.1.2017
Heiko Weber
Firewall Paketfilter
Server
Web-Server
Firewall
Regel 1:
erlaube eingehende TCPAnfragen auf Port 80 von
beliebigen IP-Adressen
Regel 2:
erlaube eingehende TCPAnfragen auf Port 443 von
beliebigen IP-Adressen
Datensicherheit
6-60
9.1.2017
Clients
Benutzer mit
Web-Browsern
Heiko Weber
Firewall Proxy

wird zwischen Client und Server eingefügt

arbeitet als Server und als Client



ist Protokoll-spezifisch - für jeden Dienst ist ein eigener Proxy
erforderlich, z.B. HTTP, SMTP, NNTP
da es Protokoll-spezifisch ist, kann es auch die Semantik der Daten
verstehen und entsprechend auch nach Inhalten filtern und auch
spezielle Funktionen übernehmen – z.B. Verschlüsselung oder
Authentifizierung
ist (sicherheitstechnisch) nur dann sinnvoll, wenn er nicht
umgangen werden kann
Datensicherheit
6-61
9.1.2017
Heiko Weber
§202a StGB
Ausspähen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht
für ihn bestimmt und die gegen unberechtigten Zugang besonders
gesichert sind, unter Überwindung der Zugangssicherung verschafft,
wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe
bestraft.
(2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch,
magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert
sind oder übermittelt werden.
Datensicherheit
6-62
9.1.2017
Heiko Weber
§202b StGB
Abfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von
technischen Mitteln nicht für ihn bestimmte Daten (§ 202a Abs. 2) aus
einer nichtöffentlichen Datenübermittlung oder aus der
elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage
verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit
Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit
schwererer Strafe bedroht ist.
Datensicherheit
6-63
9.1.2017
Heiko Weber
§202c StGB
Vorbereiten des Ausspähens und Abfangens von Daten
(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er
1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu
Daten (§ 202a Abs. 2) ermöglichen, oder
2. Computerprogramme, deren Zweck die Begehung einer solchen
Tat ist,
herstellt, sich oder einem anderen verschafft, verkauft, einem
anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit
Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
(2) § 149 Abs. 2 und 3 gilt entsprechend.
Datensicherheit
6-64
9.1.2017
Heiko Weber