Hauptseminar: Analyse von Softwarefehlern WS 2002/03 - PowerPoint PPT Presentation

About This Presentation
Title:

Hauptseminar: Analyse von Softwarefehlern WS 2002/03

Description:

Title: Folie 1 Author: Mohammed Last modified by: Mohammed Created Date: 9/23/2002 7:10:00 PM Document presentation format: Bildschirmpr sentation – PowerPoint PPT presentation

Number of Views:81
Avg rating:3.0/5.0
Slides: 34
Provided by: Moha263
Category:

less

Transcript and Presenter's Notes

Title: Hauptseminar: Analyse von Softwarefehlern WS 2002/03


1
Hauptseminar Analyse von Softwarefehlern
WS 2002/03
  • Thema Sicherheitsrisikos

Bearbeiter Al-Salmani Mohamad, Sheng Guo, Tran
Minh Luan
Prof. Dr. Thomas Huckle
2
Wie sicher fühlen Sie sich ?
  • Fast 90 Prozent der Unternehmen haben 2001
    unangenehme Erfahrungen mit Internet-Würmern,
    Viren oder Trojanern gemacht
  • 40 Prozent mussten DoS-Attacken über sich ergehen
    lassen
  • Rund ein Drittel der befragten Firmen wurde Opfer
    von Angriffen, bei denen Angreifer Buffer-
    Overflow-Schwächen ausnutzten

3
(No Transcript)
4
Sicherheitsrisikos
Datenverlust durch unordentliches Backup
Sicherheitslücken
Viren
Hacker-Angriffe (DoS)
5
Datenverlust
Computerbenutzer und viele Experten betrachten
Datenverlust oftmals als unwiederbringlich, ohne
eine Hoffnung auf Wiederherstellung. Ein
Grossenteil der Informationen im Zusammenhang mit
Datenverlusten ist jedoch inkonsistent oder
ungenau, und so ist es nicht verwunderlich, dass
die Themenfelder Datenverlust und Datenrettung
für Benutzer zu den verwirrendsten und am
schwersten verständlichen Konzepten zaehlen.
6
Datenverlust
  • Es werden grössere Datenmengen auf kleinerem Raum
    gespeichert
  • Die Daten sind unternehmenskritischer als früher
  • Tools und Techniken für die Datensicherung sind
    nicht zu 100 zuverlässig

7
Datenverlust
  • Hardware- oder Systemfehlfunktionen
  • Benutzerfehler
  • Beschädigte Software
  • Computerviren
  • Höhere Gewalt

8
Sicherheitsrisikos
Ö
Datenverlust durch unordentliches Backup
Sicherheitslücken
Viren
Hacker-Angriffe (DoS)
9
Sicherheitslücken
Externe Gefahren
  • Viren, Würmer, usw.
  • Denial of Service (DoS) Angriff
  • Eindringen und Verunstaltung der Website
  • Eindringen und Verlust an Vertraulichkeit an die
    Konkurrenz
  • Eindringen, Verlust an Vertraulichkeit durch
    Veröffentlichung im Internet (Kreditkarten)

10
Sicherheitslücken
Interne Gefahren
  • Hardwareausfall, Softwarefehler,
    Systeminsta-bilitäten, Feuer, Wasser, usw.
  • Unzufriedene Mitarbeiter (oder Ex-Mitarbeiter)
    leiten Information weiter
  • Unzufriedene Mitarbeiter (oder Ex-Mitarbeiter)
    führen Sabotage durch
  • Aussteigende Mitarbeiter sammeln Informatio-nen
    für den neuen Arbeitgeber

11
Sicherheitslücken in Windows NT
  • Account- und Passwortangriffe
  • Windows NT-Netzwerkangriffe
  • Angriffe unter Ausnutzung von NT-Anwendungen
  • NT-Sabotage-Angriffe

12
Sicherheitsrisikos
Ö
Datenverlust durch unordentliches Backup
Ö
Sicherheitslücken
Viren
Hacker-Angriffe (DoS)
13
Viren
Bezeichnung für Programme, die sich, wenn sie
einmal geladen sind, beliebig vervielfältigen
können und den Sinn und Zweck verfolgen, den
Betriebsablauf (eines Computers) zu stören.
14
Viren
  • Viren Construction Kits
  • Dateiviren
  • HTML-Viren
  • Makro Viren
  • Retroviren
  • TSR-Dateiviren
  • Trojanische Pferde


15
Sicherheitsrisikos
Ö
Datenverlust durch unordentliches Backup
Ö
Sicherheitslücken
Ö
Viren
Hacker-Angriffe (DoS)
16
Hackerangriffe (DoS)
Denial of Service, oft auch in Fachkreisen mit
dem Akronym DoS (nicht zu Verwechseln mit DOS für
Disc Operating System) abgekürzt, stellt ein
destruktives Vorgehen dar, dass Ressourcen
unnutzbar machen soll. Durch solche Angriffe
können Netzwerk-Elemente oder Computersysteme zum
Absturz gebracht werden, um so deren Nutzung zu
verhindern. Zu den populärsten Denial of
Service-Attacken gehören OOB (Out of Band),
IP-Fragmentierung, SYN-Flooding, ICMP- Stürme.
17
Verschiedene Ansätze
  • Belegung der Bandbreite
  • Ressourcen aufbrauchen
  • Programmierfehler ausnutzen

18
Spezifische Angriffstypen
ICMP-Stürme (Smurf)
  • Der Angreifer sendet eine ICMP-anfrage zur
    broadcast Adre-sse des Vermittler- Netzwerkes,
    und nimmt die Adresse des Opfers an(Spoofing)

Angreifer
Vermittler
19
Spezifische Angriffstypen
ICMP-Stürme (Smurf)
  • Wenn der Vermittler direct broadcast
    eingeschaltet hat, werden die ICMP-Anfragen zu
    den Hosts im Vermittler-Netzwerk gesendet.

Angreifer
Vermittler
20
Spezifische Angriffstypen
ICMP-Stürme (Smurf)
  • Die Hosts im Vermittler-Netzwerk senden Antworten
    zum Opfer, und bombardieren dieses mit
    ICMP-Paketen.

Angreifer
Opfer
Vermittler
21
Spezifische Angriffstypen
SYN-Flooding
Empfänger
Sender
  • Der TCP-Verbindungsau-fbau erfolgt mit SYN-
    Paketen
  • Wird auf das folgende SYN/ACK nicht geantwor-tet,
    bleibt eine halboffene Verbindung zurück
  • Dies führt zur Füllung eines Puffers

SYN
SYN/ACK
ACK
22
IP-Fragmentierung (Ping of Death)
65535
20
Header
ID-Nummer
Packet IP
Offset
Header
23
Lokale Denial of Service-Attacken
  • Boot-Diskette
  • Registry-Angriffe
  • Ausnutzung von Fehlern in Anwendungen
  • Infizieren des Systems mit Viren, Trojanern usw.

24
Distributed Denial of Service
Anstelle von einzelnen Systemen, die als
Ausgangspunkt eines Denial-of-Service Angriffs
benutzt werden, kommt nun eine Vielzahl von
unterschiedlichen Systemen in einem grossflächig
koordinierten Angriff auf einzelne Systeme oder
Netzwerke zum Einsatz. Die Anzahl der an einem
Angriff beteiligten Systeme kann dabei variieren
einige hundert bis tausend gleichzeitig
angreifende Systeme wurden bereits beobachtet. Da
die an einem Angriff beteiligten Rechner oft über
grosse Teile des Internets verteilt sind, spricht
man von einem sog. "Distributed
Denial-of-Service" (DDoS) Angriff.
25
Distributed Denial of Service
Angreifer
Handler
Handler
Handler
Agent
Agent
Agent
Agent
Agent
Agent
Agent
Opfer
Angriffsdatenstrom
Steuerdatenstrom
26
Trend Verbesserung von DDoS
  • Die Verschleierung der Kommunikation zwischen
    Angreifer und Handler bzw. zwischen Handler und
    Agenten
  • Sicherung der Kommunikationsverbindungen gegen
    Mithören durch Verschlüsselung und Passworte.
  • Die "Wartbarkeit" des DDoS-Netzes
  • Integration weiterer Angriffsmethoden

27
Gegenmassnahmen
Smurf
Dieses Problem lässt sich jedoch durch einen
einfachen Trick beheben, indem man an den Routern
die IP-Broadcasts nicht mehr in
Ethernet-Broadcasts umsetzen lässt. Die
TCP/IP-Protokollarchitektur ist bei ihrer
Konzipierung und Realisierung nicht mit dem
Hintergedanken solcher Extremsituationen
vorgelegt worden. Aus diesem Grund kann
protokolltechnisch nicht viel den besagten
Problemen entgegengehalten werden. Lediglich eine
durchdachte Netzstruktur (gut platzierte Router,
Hubs, Switches und Firewall-Systeme) kann das
Problem ganz oder wenigstens teilweise
einschränken.
28
Gegenmassnahmen
SYN-Flooding
Viele Hersteller reagierten mit einem Patch. Bei
der Kompilierung eines aktuellen Linux-Kernels
zum Beispiel, können Gegenmassnahmen aktiviert
werden, um SYN-Flooding entgegenzuwirken. Die
dahintersteckende Technik ist gleichermassen
einfach als wie auch effizient Nur eine gewisse
Anzahl halboffener Verbindungen mit
vertrauenswürdigen Hosts, mit denen ein Cookie
ausgehandelt wurde, werden angenommen.
29
Gegenmassnahmen
Ping of Death
Abhilfe schafft nur eine vollständige
Reassemblierung der TCP/IP-Pakete bzw. ein Patch
oder der Einsatz eines Proxy. Nachteil der
zweiten Lösung ist ein enormer Einbruch in der
Performance, der den Vorteil der SPF-Firewalls
völlig zunichte macht. Dies zeigt aber wieder
einmal deutlich, dass Firewalls keineswegs
perfekt sind. Will man solchen Angriffen
zuvorkommen, so ist man als Betreiber eines
mission critical Systems auf die ständige
Betreuung eines Experten angewiesen. Da von
diesem Angriff nur spoofende Versionen
existieren, können die Täter oft nicht aufgespürt
werden.
30
Gegenmassnahmen
DDoS
Sicherung der Systeme gegen Einbrüche Vor dem
eigentlichen DDoS-Angriff, muss der Angreifer in
einem als Mass Intrusion bezeichneten ersten
Schritt in diese Systeme einbrechen, um dort die
DDoS Tools zu installieren. Dieser Phase kann
durch Sicherung der eigenen Systeme begegnet
werden
31
Gegenmassnahmen
DDoS
  • Konservative Systemkonfiguration
  • Zeitnahes Einspielen von Sicherheits-patches
  • Einschränkung der angebotenen Dienste auf den
    notwendigen Netzbereich
  • Verwendung von Verschlüsselung für
    Authentifikation und Kommunikation
  • Paketfilter am Netzeingang und Netzausgang
    (Ingress- und Egress-Filter)
  • Aufbau eines Systems zur Verfolgung von
    Datenstrümen im Netz

32
Quellen
  • Taskforce "Sicherheit im Internet" (BMI/BSI)
    Regelwerk zur Abwehr von Distributed-Denial-of-Ser
    vice Angriffen
  • Ausgewählte Artikel aus den Medien auf
    whitehats.com Informationen von AusCERTzum Thema
    DDoS (engl.)
  • RFC 3013 "Recommended Internet Service Provider
    Security Services and Procedures" (engl.)
  • Ein eher historisches (1995!) Paper von Fred
    Cohen zu koordinierten verteilten Angriffen "A
    Note On Distributed Coordinated Attacks" (engl.)
  • Sicherheit im Internet (Othmar Kyas, 2te Auflage)
  • Hackers Guide (Tiger) http//kickme.to/tiger/
  • Trojaner Info http//www.trojaner-info.de/viren/v
    irentipps.shtml
  • Windows NT Systemadministration. Aeleen Frisch.
    O'Reilly Associates, 1998. ISBN 3897211181.
  • Internet Security With Windows NT. Mark Joseph
    Edwards. Duke Communications, 1997. ISBN
    1882419626.
  • Microsoft Windows NT Network Administration
    Training. Microsoft Educational Services Staff.
    Microsoft Press, 1997. ISBN 1572314397.
  • Pcweek Microsoft Windows NT Security System
    Administrator's Guide. Nevin Lambert, Manish
    Patel, Steve Sutton. Ziff Davis, 1997. ISBN
    1562764578.

33
Vielen Dank für die Aufmerksamkeit !
Write a Comment
User Comments (0)
About PowerShow.com