Title: Hauptseminar: Analyse von Softwarefehlern WS 2002/03
1Hauptseminar Analyse von Softwarefehlern
WS 2002/03
Bearbeiter Al-Salmani Mohamad, Sheng Guo, Tran
Minh Luan
Prof. Dr. Thomas Huckle
2Wie sicher fühlen Sie sich ?
- Fast 90 Prozent der Unternehmen haben 2001
unangenehme Erfahrungen mit Internet-Würmern,
Viren oder Trojanern gemacht - 40 Prozent mussten DoS-Attacken über sich ergehen
lassen - Rund ein Drittel der befragten Firmen wurde Opfer
von Angriffen, bei denen Angreifer Buffer-
Overflow-Schwächen ausnutzten
3(No Transcript)
4Sicherheitsrisikos
Datenverlust durch unordentliches Backup
Sicherheitslücken
Viren
Hacker-Angriffe (DoS)
5Datenverlust
Computerbenutzer und viele Experten betrachten
Datenverlust oftmals als unwiederbringlich, ohne
eine Hoffnung auf Wiederherstellung. Ein
Grossenteil der Informationen im Zusammenhang mit
Datenverlusten ist jedoch inkonsistent oder
ungenau, und so ist es nicht verwunderlich, dass
die Themenfelder Datenverlust und Datenrettung
für Benutzer zu den verwirrendsten und am
schwersten verständlichen Konzepten zaehlen.
6Datenverlust
- Es werden grössere Datenmengen auf kleinerem Raum
gespeichert - Die Daten sind unternehmenskritischer als früher
- Tools und Techniken für die Datensicherung sind
nicht zu 100 zuverlässig
7Datenverlust
- Hardware- oder Systemfehlfunktionen
- Benutzerfehler
- Beschädigte Software
- Computerviren
- Höhere Gewalt
8Sicherheitsrisikos
Ö
Datenverlust durch unordentliches Backup
Sicherheitslücken
Viren
Hacker-Angriffe (DoS)
9Sicherheitslücken
Externe Gefahren
- Viren, Würmer, usw.
- Denial of Service (DoS) Angriff
- Eindringen und Verunstaltung der Website
- Eindringen und Verlust an Vertraulichkeit an die
Konkurrenz - Eindringen, Verlust an Vertraulichkeit durch
Veröffentlichung im Internet (Kreditkarten)
10Sicherheitslücken
Interne Gefahren
- Hardwareausfall, Softwarefehler,
Systeminsta-bilitäten, Feuer, Wasser, usw. - Unzufriedene Mitarbeiter (oder Ex-Mitarbeiter)
leiten Information weiter - Unzufriedene Mitarbeiter (oder Ex-Mitarbeiter)
führen Sabotage durch - Aussteigende Mitarbeiter sammeln Informatio-nen
für den neuen Arbeitgeber
11Sicherheitslücken in Windows NT
- Account- und Passwortangriffe
- Windows NT-Netzwerkangriffe
- Angriffe unter Ausnutzung von NT-Anwendungen
- NT-Sabotage-Angriffe
12Sicherheitsrisikos
Ö
Datenverlust durch unordentliches Backup
Ö
Sicherheitslücken
Viren
Hacker-Angriffe (DoS)
13Viren
Bezeichnung für Programme, die sich, wenn sie
einmal geladen sind, beliebig vervielfältigen
können und den Sinn und Zweck verfolgen, den
Betriebsablauf (eines Computers) zu stören.
14Viren
- Viren Construction Kits
- Dateiviren
- HTML-Viren
- Makro Viren
- Retroviren
- TSR-Dateiviren
- Trojanische Pferde
15Sicherheitsrisikos
Ö
Datenverlust durch unordentliches Backup
Ö
Sicherheitslücken
Ö
Viren
Hacker-Angriffe (DoS)
16Hackerangriffe (DoS)
Denial of Service, oft auch in Fachkreisen mit
dem Akronym DoS (nicht zu Verwechseln mit DOS für
Disc Operating System) abgekürzt, stellt ein
destruktives Vorgehen dar, dass Ressourcen
unnutzbar machen soll. Durch solche Angriffe
können Netzwerk-Elemente oder Computersysteme zum
Absturz gebracht werden, um so deren Nutzung zu
verhindern. Zu den populärsten Denial of
Service-Attacken gehören OOB (Out of Band),
IP-Fragmentierung, SYN-Flooding, ICMP- Stürme.
17Verschiedene Ansätze
- Belegung der Bandbreite
- Ressourcen aufbrauchen
- Programmierfehler ausnutzen
18Spezifische Angriffstypen
ICMP-Stürme (Smurf)
- Der Angreifer sendet eine ICMP-anfrage zur
broadcast Adre-sse des Vermittler- Netzwerkes,
und nimmt die Adresse des Opfers an(Spoofing)
Angreifer
Vermittler
19Spezifische Angriffstypen
ICMP-Stürme (Smurf)
- Wenn der Vermittler direct broadcast
eingeschaltet hat, werden die ICMP-Anfragen zu
den Hosts im Vermittler-Netzwerk gesendet.
Angreifer
Vermittler
20Spezifische Angriffstypen
ICMP-Stürme (Smurf)
- Die Hosts im Vermittler-Netzwerk senden Antworten
zum Opfer, und bombardieren dieses mit
ICMP-Paketen.
Angreifer
Opfer
Vermittler
21Spezifische Angriffstypen
SYN-Flooding
Empfänger
Sender
- Der TCP-Verbindungsau-fbau erfolgt mit SYN-
Paketen - Wird auf das folgende SYN/ACK nicht geantwor-tet,
bleibt eine halboffene Verbindung zurück - Dies führt zur Füllung eines Puffers
SYN
SYN/ACK
ACK
22IP-Fragmentierung (Ping of Death)
65535
20
Header
ID-Nummer
Packet IP
Offset
Header
23Lokale Denial of Service-Attacken
- Boot-Diskette
- Registry-Angriffe
- Ausnutzung von Fehlern in Anwendungen
- Infizieren des Systems mit Viren, Trojanern usw.
24Distributed Denial of Service
Anstelle von einzelnen Systemen, die als
Ausgangspunkt eines Denial-of-Service Angriffs
benutzt werden, kommt nun eine Vielzahl von
unterschiedlichen Systemen in einem grossflächig
koordinierten Angriff auf einzelne Systeme oder
Netzwerke zum Einsatz. Die Anzahl der an einem
Angriff beteiligten Systeme kann dabei variieren
einige hundert bis tausend gleichzeitig
angreifende Systeme wurden bereits beobachtet. Da
die an einem Angriff beteiligten Rechner oft über
grosse Teile des Internets verteilt sind, spricht
man von einem sog. "Distributed
Denial-of-Service" (DDoS) Angriff.
25Distributed Denial of Service
Angreifer
Handler
Handler
Handler
Agent
Agent
Agent
Agent
Agent
Agent
Agent
Opfer
Angriffsdatenstrom
Steuerdatenstrom
26Trend Verbesserung von DDoS
- Die Verschleierung der Kommunikation zwischen
Angreifer und Handler bzw. zwischen Handler und
Agenten - Sicherung der Kommunikationsverbindungen gegen
Mithören durch Verschlüsselung und Passworte. - Die "Wartbarkeit" des DDoS-Netzes
- Integration weiterer Angriffsmethoden
27Gegenmassnahmen
Smurf
Dieses Problem lässt sich jedoch durch einen
einfachen Trick beheben, indem man an den Routern
die IP-Broadcasts nicht mehr in
Ethernet-Broadcasts umsetzen lässt. Die
TCP/IP-Protokollarchitektur ist bei ihrer
Konzipierung und Realisierung nicht mit dem
Hintergedanken solcher Extremsituationen
vorgelegt worden. Aus diesem Grund kann
protokolltechnisch nicht viel den besagten
Problemen entgegengehalten werden. Lediglich eine
durchdachte Netzstruktur (gut platzierte Router,
Hubs, Switches und Firewall-Systeme) kann das
Problem ganz oder wenigstens teilweise
einschränken.
28Gegenmassnahmen
SYN-Flooding
Viele Hersteller reagierten mit einem Patch. Bei
der Kompilierung eines aktuellen Linux-Kernels
zum Beispiel, können Gegenmassnahmen aktiviert
werden, um SYN-Flooding entgegenzuwirken. Die
dahintersteckende Technik ist gleichermassen
einfach als wie auch effizient Nur eine gewisse
Anzahl halboffener Verbindungen mit
vertrauenswürdigen Hosts, mit denen ein Cookie
ausgehandelt wurde, werden angenommen.
29Gegenmassnahmen
Ping of Death
Abhilfe schafft nur eine vollständige
Reassemblierung der TCP/IP-Pakete bzw. ein Patch
oder der Einsatz eines Proxy. Nachteil der
zweiten Lösung ist ein enormer Einbruch in der
Performance, der den Vorteil der SPF-Firewalls
völlig zunichte macht. Dies zeigt aber wieder
einmal deutlich, dass Firewalls keineswegs
perfekt sind. Will man solchen Angriffen
zuvorkommen, so ist man als Betreiber eines
mission critical Systems auf die ständige
Betreuung eines Experten angewiesen. Da von
diesem Angriff nur spoofende Versionen
existieren, können die Täter oft nicht aufgespürt
werden.
30Gegenmassnahmen
DDoS
Sicherung der Systeme gegen Einbrüche Vor dem
eigentlichen DDoS-Angriff, muss der Angreifer in
einem als Mass Intrusion bezeichneten ersten
Schritt in diese Systeme einbrechen, um dort die
DDoS Tools zu installieren. Dieser Phase kann
durch Sicherung der eigenen Systeme begegnet
werden
31Gegenmassnahmen
DDoS
- Konservative Systemkonfiguration
- Zeitnahes Einspielen von Sicherheits-patches
- Einschränkung der angebotenen Dienste auf den
notwendigen Netzbereich - Verwendung von Verschlüsselung für
Authentifikation und Kommunikation - Paketfilter am Netzeingang und Netzausgang
(Ingress- und Egress-Filter) - Aufbau eines Systems zur Verfolgung von
Datenstrümen im Netz
32Quellen
- Taskforce "Sicherheit im Internet" (BMI/BSI)
Regelwerk zur Abwehr von Distributed-Denial-of-Ser
vice Angriffen - Ausgewählte Artikel aus den Medien auf
whitehats.com Informationen von AusCERTzum Thema
DDoS (engl.) - RFC 3013 "Recommended Internet Service Provider
Security Services and Procedures" (engl.) - Ein eher historisches (1995!) Paper von Fred
Cohen zu koordinierten verteilten Angriffen "A
Note On Distributed Coordinated Attacks" (engl.)
- Sicherheit im Internet (Othmar Kyas, 2te Auflage)
- Hackers Guide (Tiger) http//kickme.to/tiger/
- Trojaner Info http//www.trojaner-info.de/viren/v
irentipps.shtml - Windows NT Systemadministration. Aeleen Frisch.
O'Reilly Associates, 1998. ISBN 3897211181. - Internet Security With Windows NT. Mark Joseph
Edwards. Duke Communications, 1997. ISBN
1882419626. - Microsoft Windows NT Network Administration
Training. Microsoft Educational Services Staff.
Microsoft Press, 1997. ISBN 1572314397. - Pcweek Microsoft Windows NT Security System
Administrator's Guide. Nevin Lambert, Manish
Patel, Steve Sutton. Ziff Davis, 1997. ISBN
1562764578.
33Vielen Dank für die Aufmerksamkeit !