1 / 17

Internet-Sicherheit: Probleme und Lösungen

Internet-Sicherheit: Probleme und Lösungen. Prof. Dr. Claudia Eckert Technische Universität Darmstadt, FG Sicherheit in der Informationstechnik Fraunhofer-Institut für Sichere Telekooperation SIT. FB Informatik, FG Sicherheit in der Informationstechnik

devaki
Télécharger la présentation

Internet-Sicherheit: Probleme und Lösungen

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Internet-Sicherheit: Probleme und Lösungen • Prof. Dr. Claudia Eckert • Technische Universität Darmstadt, FG Sicherheit in der Informationstechnik • Fraunhofer-Institut für Sichere Telekooperation SIT FB Informatik, FG Sicherheit in der Informationstechnik Prof. Dr. C. Eckert

  2. Gliederung • Einführung • Sicherheitsprobleme im und durch das Internet • Angreifer: Hacker, Cracker, Skript Kiddies • Schutzvorkehrungen • Zusammenfassung

  3. Vernetzte Systeme von heute und morgen

  4. ‚Klassische‘ Internet-Nutzungen: • Mails: Versenden/Empfangen • Web-Dienste: Informationen • anbieten, sammeln • Download von Software • Spiele, Musik, Updates ... • Einkaufen über das Netz • Bücher, Tickets Internet

  5. Welche Sicherheitsbedürfnisse ergeben sich? • Authentizität: Echtheit, Glaubwürdigkeit eines Benutzers • authentischer Partner, vertrauenswürdiger Sender/Empfänger etc. • Vertraulichkeit: keine unautorisierte Informationsgewinnung • kein abhören, ausspionieren, abfangen, mitlesen etc. • Integrität: keine unautorisierte Datenmanipulation • Verbindlichkeit: kein Abstreiten von Aktionen im Nachhinein • Verfügbarkeit: keine Verhinderung berechtigter Zugriffe • Privatheit: keine unautorisierte Profilbildung, Privatsphäre

  6. Welche Sicherheitsprobleme ergeben sich? • Drei Problembereiche: • (1) Kommunikationswege: • Internet, lokale Netze, Infrarot, Funk-Netze • (2) Endgeräte: • heimischer PC, Arbeitsplatzrechner, mobile Geräte • (3) Dienste-Anbieter: • Web-Server, Content-Provider, Internet-Service Provider Systemsicherheit: schwächstes Glied der Kette bestimmt Sicherheitsniveau

  7. Internet-Sicherheitsprobleme u.a. • Abhören von E-Mails, ... • E-Mail ist wie eine Postkarte • geht durch viele Hände • Sniffer-Programme: • Kreditkartennr, Passworte, Interna • Verändern von E-Mails, ... • Falsche Daten (z.B. Angebote) • Unterdrücken von Daten • Gefälschte Absender-Adresse • Spoofing • zu Info-Preisgabe verleiten • Geschäftspartner vortäuschen ..

  8. PC-Sicherheitsprobleme (via Internet) u.a. • Bösartige E-Mails • Viren, Würmer, Trojaner • Anhänge: .doc, .vbs, xls ... • Daten lesen, zerstören • Bösartige Web-Seiten • JavaScript, VBScript, ... • automatische Ausführung • Aktive Inhalte: • Java Applet, ActiveX • lokale Ausführung, • Zugriffe auf Daten!

  9. PC-Probleme (cont.): Browser-Probleme • Helper Application: automatisch vom Browser gestartet • Beispiele: Start von Winworddurch .doc URL, • Start von Ghostview durch .ps-URL • Start des Appletviewersbei Java-Applets • Auch: beim Empfangen von .doc, .vbs, .xls-Attachements bei E-Mail • Einstellung: automatisches Öffnen! Ausführen! • Bedrohungen: Ausführung von Fremd-Programmen u.a. • Einschleusen von Viren, Trojanischen Pferden • Ausspähen von Passworten etc. • Aufbau von Verbindungen und Datentransfer

  10. Browser-Probleme (cont.) • Datenspuren:Preisgabe vieler Informationen • Bei jedem Zugriff auf eine WWW-Seite (HTTP), • Bei jedem Versenden einer E-Mail (SMTP), • Beispiele: Informationen bei WWW-Zugriff: u.a. • IP-Adresse und zugehöriger Domänenname, • Betriebssystem, Browser, Hardware • Installierte Plug-ins, aktiviertes JavaScript etc. • URL der zuvor zugegriffenen Seite, ... • Bedrohung: Interessant u.a. für Hacker: • Ausnutzen bekannter Betriebssysteme-Probleme • z.B. IIS-Probleme, WS95/98 ohne Zugriffskontrolle, ...

  11. Wer sind die typischen Angreifer? • über 50% aller Angriffe durch Mitarbeiter • sehr häufig: durch Nachlässigkeit, Unwissenheit der Benutzer • und der Administratoren • Typische Beispiele: Passwort auf Zettel am Bildschirm • Hacker: versierter Spezialist, • Ziel: Lücken auffinden, warnen, selten Missbrauchsabsicht • Cracker: versierter Spezialist i.d.R. mit Missbrauchsabsicht • Ziel: Angriffe auf schlecht geschützte kleine Unternehmen, • veraltete Systeme, Regierungsstellen • Skript Kiddie: nutzt fertigte Exploits, wenige Kenntnisse, viel Zeit • große Gefahr! Sehr großes Potential an Angreifern!

  12. Client Enc(M,Key)=C Dec(C,Key)=M Mac(Key|M) = mac Mac(Key|M) = mac‘ mac=mac‘? M, mac Sign(M,Private_A)=sig Verify(sig, Public_A) Schutzvorkehrungen: Kommunikationsweg C • Vertraulichkeit: Verschlüsselung • u.a. RSA, DES, Rijndael Server • Integrität: Hashfunktionen • u.a. MD5, SHA-1 • Authentizität: Zertifikat • u.a. X.509 • Verbindlichkeit: digitale Signaturen • u.a. DSA, RSA

  13. PGP, ... HTTP SMTP HTTP SMTP S-HTTP HTTP SMTP S/MIME SSL TCP TCP TCP TCP IPSEC IP IP IP Schutzvorkehrungen (cont.) Sicherheitsprotokolle Fazit: Grundlagen zu Kryptographie, TCP/IP-Protokolle hilfreich Unterrichtsstoff in der Schule?!

  14. Schutzvorkehrungen: E-Mail-Bereich • Verschlüsseln der Daten, digitales Signieren • Regelmäßige Aktualisierung von Virenscannern! • Sicherheits-Bewusstsein wecken! Eigenverantwortung (Haftung!) • Viren-Scanner bieten nur eingeschränkten Schutz! • nur bekannte Viren erkennbar, Heuristiken sind rel. schwach, • Content-Filterung, zentraler Firewall, Mail-Filter • dezentral persönliche Firewalls: individuelle Filterung • z.B. keine .vbs Anhänge, aktive Inhalte in Sekretariate • Fazit: • Grundlegende Kenntnisse bereits in der Schule vermitteln?! • Sicherheits-Bewusstsein, Awareness schaffen?

  15. Schutzmaßnahmen: Browser-Bereich • Deaktivieren von ActiveX, JavaScript, VBScript • Deaktivieren von Cookies, aktivieren nur on-Demand • Restriktiver Einsatz von Helper-Applications (mühsam, aber gut) • Restriktive Downloads, z.B. nur signierte aktive Inhalte • Kontrollieren von Zertifikaten und Absende-URLs, • Verschlüsseln der sensiblen Daten auf Festplatte (PGP, EFS, ...) • Anonymisierungsdienste nutzen, z.B. Junkbuster • Fazit: • Jeder private Benutzer kann/sollte Sicherheitsvorkehrungen selber treffen, • Grundkenntnisse sind dringend notwendig! Bereits durch die Schule!

  16. Zusammenfassung Problembereiche: Netze, PCs (Browser), Server Notwendig: frühzeitig Sicherheitsbewußtsein schärfen, Grundlagen der Kryptographie vermitteln Grundlagen der TCP/IP-Protokolle (Herz des Internets) Schadprogramme: Viren, Würmer, Trojaner, aktive Inhalte, Skripte Notwendig: Vorgehens- und Wirkungsweisen kennen, Ansatzpunkte zum Umgang, Schadensbegrenzung Angreifer: zunehmend Script Kiddies ohne Expertenwissen Notwendig: Grundlagen von Betriessystemen, Datenbanken bekannte Angriffspunkte, Härtungsmaßnahmen Wunsch: in der Schule bereits Awareness schaffen, einige Grundlagen, Basiswissen vermitteln

  17. Vielen Dank! Fragen?!

More Related