1. Einführung Informationssicherheit PK Flashcards
Nenne die 3 Sicherheits Ziele
Vertraulichkeit
Integrität/Unverletzlichkeit
Verfügbarkeit
Nenne die 3 Teile des Sicherheits Mechanismen
Prävention von Angriffen (Prevention)
Erkennung von Angriffen (Detection)
Schadensbegrenzung nach Angriffen (Recovery)
Nenne die 4 Sicherheits Bedrohung (Threads)
Enthüllung
Täuschung
Störung
Übernahme
Was ist mit Bedrohung (Thread) gemeint?
mögliche Verletzung eines Sicherheitsziels
Was ist mit Sicherheit (Security) gemeint?
Schutz gegen vorsätzliche Bedrohungen
Was ist mit Sicherheit (Safety) gemeint?
Schutz gegen zufällige schadhafte Ereignisse /Bedrohungen
Was versteht man unter Vertraulichkeit (Confidentiality)?
Schutz von Informationen/Ressourcen vor unerlaubter Offenlegung/Weitergabe
Was ist die Kernfrage der Vertraulichkeit?
Wer darf auf welche Daten/Ressourcen zugreifen?
Nenne zwei Sicherheitsmaßnahmen der Vertraulichkeit
Verschlüsselung der Daten
Verstecken der Ressourcen
Nenne zwei Bsp für die Verletzung der Vertraulichkeit
Angreifer belauscht dein Telefongespräch
Angreifer liest Emails auf deinem Computer
Was versteht man unter Integrität/Unverletzlichkeit (Integrity)?
Schutz von Informationen/ Ressourcen vor unerlaubter Veränderung
Was versteht man unter Verfügbarkeit (Availability)?
Schutz von Informationen/Ressourcen vor unerlaubter Unterbrechung/Störung
Was ist die Kernfrage von Integrität/Unverletzlichkeit?
Wer darf was mit welchen Ressourcen tun?
Was sind Sicherheitsmaßnahmen von Unverletzlichkeit?
Autorisierung
Prüfsummen
Digitale Fingerabdrücke
Nenne zwei Bsp für die Verletzung der Unverletzlichkeit
Angreifer verändert die Quittung einer Banktransaktion
Angreifer manipuliert Dateien auf deinem Computer
Was ist die Kernfrage von Verfügbarkeit?
Wann und wie werden Ressourcen verwendet?
Nenne drei Sicherheitsmaßnahmen von der Verfügbarkeit
Beschränkung
Redundanz
Load Balancing
Nenne zwei Bsp für die Verletzung von Verfügbarkeit
Angreifer bringt den Webserver einer Firma zum Absturz
Angreifer formatiert/verschlüsselt die Festplatte deines Computers
Nenne die grundlegende Klassifizierung von Bedrohungen und kurze Erklärung
Enthüllung (Disclosure) - unberechtigter Zugang zu Informationen
Täuschung (Deception) - Entgegennahme falscher Daten (zB masquerading)
Störung (Disruption) - Unterbrechung oder Verhinderung der richtigen Funktion
Übernahme (Usurpation) - unberechtigte Kontrolle über Ressourcen
Was bedeutet Angriff?
der Versuch ein Sicherheitsziel zu verletzten
Was ist ein Angriff?
Kombination von Schwachstellen aus verschiedenen Bedrohungsklassen
Nenne 3 Angriffsbeispiele
Bedrohung: Enthüllung
Angriffsklasse: Schnüffeln (snooping)
Bsp: Network sniffing, Keyboard logging
Bedrohung: Täuschung, Störung, Kontrollübernahme
Angriffsklasse: Manipulation
Bsp: Ändern/Umleiten des Kontrollflusses, Man-in-the-middle-Angriffe
Bedrohung: Täuschung, Übernahme
Angriffsklasse: Spoofing
Bsp: Adress spoofing (Vortäuschung einer falschen Adresse), Phishing Angriffe
Was ist snooping?
Schnüffeln = passives Abhören von Informationen
Was ist Manipulation?
aktives Verändern von Informationen
Was ist Spoofing?
Nachahmung eines Akteurs durch einen anderen
Was versteht man unter Policy/Regeln?
Aussage, was erlaubt ist und was nicht
Was versteht man unter Mechanism?
Methode oder Werkzeug zur Durchsetzung einer Policy
Was macht die Vorbeugung?
Verhindern eines Ziels BEVOR ein Sicherheitsziel verletzt wird
Nenne Bsp für die Vorbeugung
Datensparksamkeit und -trennung (Entfernen oder Trennen von Informationen und Ressourcen)
Authentifizierung und Verschlüsselung (Zugriffsbeschränkung für Informationen und Ressourcen)
Was sind die Grenzen/Probleme von Vorbeugung?
in vielen Fällen nicht anwendbar zB bei offenen Diensten
Machtlos gegen unvorhergesehende Angriffe
Was sind die Grenzen/Probleme von Erkennung?
Ineffizient gegen unbekannte oder unsichtbare (low and slow) Angriffe
Was sind die Grenzen/Probleme von Widerherstellung?
Der (möglicherweise) schwere Schaden ist bereits eingetreten
Angreifer haben evlt. ihre Spuren verwischt oder zerstört
Was macht die Erkennung?
Erkennen von Angriffen WÄHREND ein Sicherheitszile verletzt wird
Was macht die Wiederherstellung?
Wiederherstellung nach bzw. Aufarbeitung von Angriffen NACHDEM ein Sicherheitsziel verletzt wurde
Nenne 2 Bsp für die Erkennung
Virenscanner (Erkennung von Schadcode auf Rechnern)
NID(Network intrusion detection)(Erkennung von Angriffen in/auf Computer Netzwerke)
Nenne 2 Bsp von Wiederherstellung
Computer Forensik (Untersuchung und Analyse von Sicherheitsvorfällen)
Malware Analyse (Beobachtung und Analyse von Schadsoftware)
Was bedeutet Authentizität?
Echtheit (truthfulness) von Informationen und Ressourcen
Side Info: Kann auch als ein Aspekt in Integrität betrachtet werden
Manchmal das andere A in CIA
Was bedeutet Verantwortlichkeit (accountability)?
Verknüpfung von Aktionen mit Benutzern
Umsetzung von Nicht-Abstreitbarkeit (non-repudiation) in Computersystemen
Was versteht man unter Privatsphäre (Privacy)?
Sicherheit und Kontrolle über personenbezogene Daten (personal Information)
Side Info: Eigenschaft von Individuen und nicht von Daten
Wie funktioniert die Authentifizierung?
Verknüpfung einer Identität mit einem Individium (Subjekt)
Wie lässt sich die Identität bestätigen?
(geheimes) Wissen (Something you know)
Besitz (Something you hold)
Indiviuelle (menschliche) Eigenschaften (Who you are)
Aufenthaltsort (Where you are)
Nenne 3 Bsp für Identität
Anmeldung am Computer: Authentifizierung durch ein Geheimnis (Passwort)
Kreditkarte (online): Authentifizierung durch Besitz (Karte) und Wissen (PIN)
Kreditkarte (offline): Authentifizierung durch Besitz (Karte) und ein menschliches Charakteristikum (Unterschrift)
Bsp für Geheimes Wissen
Passwort
PIN
persönliche Daten wie Privatanschrift, Geburtsdatum, Name des Partners
Problem “Geheimes Wissen”
Jeder der dein Geheimnis kennt ist DU
Geheimnis weiterzugeben hinterlässt keine Spuren
Im Falle eines Computer Missbrauchs, bei dem sich jemand mit deinem Benutzername und Passwort anmeldet:
- Kannst du Unschuld beweisen?
- Kannst du beweisen, dass du dein Passwort NICHT ausgeplaudert hast?
Was geschieht bei BESITZ?
Benutzer muss ein physisches Token (Erkennungsmerkmal) vorweisen, um authentifiziert zu werden
Nenne 3 Bsp für Besitz
Schlüssel
Identitätskarten oder -anhänger
Smart Cards
Problem Besitz
Physisches Token können verloren gehen oder gestohlen werden
Jeder der sie in seinen Besitz bringt, hat dieselben Rechte wie der legitime Besitzer
Was kann getan werden um die Sicherheit eines physische Token zu verbessern?
Kombinierung mit Wissen
Bsp. Bankkarten mit einem PIN oder Foto ausgestattet
Wie funktioniert die Individuelle Eigenschaft bei der Authentifizierung?
Biometrische Verfahren nutzen einzigartige physische Charakteristiken (traits, feautures) einer Person
wzB. Gesicht, Fingerabdrücke, Irismuster, Geometrie der Hand
Was scheint die sicherste Authentifizierungslösung für Personen zu sein? Und warum?
Biometrie
Da schwer zu stehlen, fälschen, erraten, weitergeben, …
Wie funktioniert die Aufzeichnung/Registrierung (Enrollment) beim Fingerabdruck?
Ein (oder mehrere) Vergleichs-Fingerabdrücke des Benutzers wird durch einen Fingerabdrucksensor aufgenommen
Was ist ein Registrierfehler beim Fingerabdruck?
Nicht jede Person hat geeignete Fingerabdrücke. Zur Erhöhung der Genauigkeit , werden mehrere Vergleichs-Muster aufgezeichnet, ggf. auch von mehr als einem Finger
Wo werden Vergleichsmuster gespeichert?
in einer sichereren Datenbank
Wie funtioniert der Fingerabdruck vergleich?
Wenn sich Benutzer einloggt, liest der Fingerabdrucksensor ein neues Bild ein, das dann mit dem gespeicherten Muster verglichen wird
Zu welchen zwei Zwecken werden Biometrische Daten benutzt?
Identifizierung:
1:n Vergleich - versucht den Benutzer in einer Datenbank von Personen zu finden
Überprüfen (Verifikation):
1:1 Vergleich - checkt, ob sich eine Übereinstimmung für einen gegebenen Benutzer ergibt
Was ist das Problem bei der Identifizierung Biometrischer Daten?
Fuzziness
Authentifizierung durch ein Passwort:
Bei jedem Versuch ein klares Ja oder nein
ABER
Biometrie: gespeicherte Vergleichsmuster wird kaum jemals exakt dem Muster der neuen Messung entsprechen
Wie funktioniert die Authentifizierung durch Biometrie?
misst Ähnlichkeit zwischen Vergleichsmuster und neuem Muster
Benutzer eingelassen wenn Wert über eine gegebene Schwelle liegt
Was sind neu aufgetretene Probleme bei der Fehlerquoten Berechnung?
Falsche Benutzer einlassen (false positiv) ist ein Sicherheitsproblem
Einen legintimen Benutzer abzuweisen (false negative) führt zu peinlichen Situationen und zu ineffizienten Arbeitsumgebung
Mit dem Schwellwert im Vergleich Algorithmus kann man dessen Verhalten steuern: Man kann eine niedrige “false acceptance rate” (FAR) erzielen, um den ….
(Beende Satz)
…, um den Preis einer höheren “false rejection rate” (FRR)
Die “equal error rate” (ERR) entspricht demjenigen Schwellwert für den …
… für denn FAR und FRR gleich groß sind
Was ist das Problem mit dem Apple Touch ID?
schützt vor Dieben und beim Verlieren des Mobiletelefons
Versagt aber bei gezielten Attacken
Was wird beim Aufenthaltsort dem Benutzer gestattet?
Einige Betriebssysteme gewähren nur dann Zugang, wenn man sich von einem bestimmten Terminal aus anmeldet
zB kann sich Benutzer nur von einer Workstation in Büro anmelden
Was kann verwendet werden um die exakte geografische Position eines Benutzers bei der Authentifizierung zu ermitteln?
GPS (Global Positioning System)
Was macht die Autorisierung und die Zugangskontrollle?
Kontrolliert was ein Akteur / Subjekt tun darf
Steuerung von Genehmigung (permissions) und Fähigkeiten (capabilities)
Side Info:
oft eng an die Authentifikation gekoppelt
Nenne 2 Bsp der Autorisierung
Ausführung von Programm, Lesen von Dateien
Was sind Passwörter?
Authentifizierung über Wissen
Wie funktioniert die Authentifizierung per Passwort?
Benutzer sendet Identity und Passwort an System. System sendet compared dann Passwort mit Datenbank
Was für Probleme gibt es mit Passwörtern?
Passwort erschnüffeln
- mitlesen des passworts im netwerk verkehr
- lesen von Passwärtern von Speichermedien
Passwort (online) erraten oder (offline) knacken (cracking)
Menschliche Faktor
- schwache Passwörter
- Passwörter auf Post-it-Zetteln
Was sind Grundlegende Schutzmaßnahmen für Passwörter?
Passwörter sollten nie im Klartext kommuniziert oder gespeichert werden (auch nicht als Post-its)
Passwörter sollten nicht leicht zu erraten sein
Technik sollte darauf abzielen den menschlichen Faktor auszugleichen
Nenne zwei Bsp für kryptografische Hash Funktionen
MD5 (MD-Message Digest)
SHA-1/2/3 (SHA-Secure Hash Algorithm)
MACs (Message Authentication Code) - Hash Funktion mit Schlüssel (Keyed Hash Functions)
Sei OWF() eine Einwegfunktion und MAC (k,M) ein MAC mit Schlüssel k für die Nachricht M
wie wird es dann im System gespeichert?
Wie wird Eingabepasswort überprüft?
Wird im System gespeichert:
OWF (Passwort) oder
MAC (Passwort, Konstante)
Überprüfung von Eingabepasswort:
OWF (Eingabepasswort) == OWF (Passwort)?
MAC (Eingabepasswort, Konstante) == MAC (Passwort, Konstante)?
Was ist ein Wörterbuchangriff?
Ein Wörterbuchangriff ist eine Methode, um in einen passwortgeschützten Computer, ein Netzwerk oder eine andere IT-Ressource einzudringen, indem systematisch jedes Wort in einem Wörterbuch als Passwort eingegeben wird. Ein Wörterbuchangriff kann auch verwendet werden, um den Schlüssel zu finden, der zum Entschlüsseln einer verschlüsselten Nachricht oder eines verschlüsselten Dokuments erforderlich ist.
Was ist die Gegenmaßnahme zu Wöterbuchangriff?
Salt
Was ist Salt?
Durch eine Hinzugabe von Salt und Pepper lassen sich Daten schützen. Das Salt erschwert das Entschlüsselns durch Regenbogentabellen. Wenn ein Nutzer ein Passwort festlegt, erstellt das System zusätzlich dazu einen zufälligen Wert, das Salt. Dieser Wert fließt zusammen mit dem Passwort in die Hashfunktion und erzeugt einen anderen Wert. Das Salt und der Hashwert liegen gemeinsam in der Datenbank. Der zufällig vergebene Hashwert des Salts ist nicht in den Regenbogentabellen eingetragen und erschwert somit die Suche nach dem ursprünglichen Passwort erheblich.
Side Info:
Der Pepper erschwert wiederum den Angriff mit Brute Force oder Passwort-Wörterbüchern. Auch Pepper ist eine zufällige Zeichenfolge, die zusammen mit dem Passwort in den Hashwert einfließt. Anders als beim Salt, speichert die Datenbank den Pepper nicht zusammen mit den Login-Daten. Den Pepper bewahrt man getrennt und an einem möglichst sicheren Ort auf. Salt und Pepper haben somit viel mit dem Schützen Ihrer Daten zu tun – sie verhindern das Knacken von Passwörter zwar nicht, erschweren es jedoch erheblich.
Wie gelangen Angreifer an Passwörter?
Überredung (social engineering)
Sichtkontakt (shoulder surfing)
Hardware-Tastatureingabeprotokollierung (keylogger)
Abhören im Netzwerk (sniffer)
Trojanische Pferde: login-Programm, Rootkit
Systematische Raten (online, offline) (cracking, grinding)
Sidn Keylooger nur Hardware beschränkt?
Keylogger sind jedoch inzwischen nicht mehr
nur auf Hardware beschränkt.
Verschiedene Software-Keylogger, die mobile
Endgeräte angreifen, sind im Umlauf
Was versteht man unter Brute Force?
Knacken eines Passworts durch das Berechnen und Ausprobieren tausender möglicher Varianten
Wie erratet man Passwörter ONLINE?
mit Programm Bsp
Benutzt die Login-Methode des Zielsystems
• nicht vollständig verhinderbar.
• Angreifer kann verlangsamt werden (inkrementelles Back-off, Verbindung kappen).
Programme: THC Hydra, Brutus
Wie erratet man Passwörter OFFLINE?
mit Programm Bsp
Simuliert das Authentisierungsverfahren des Zielsystems. Benötigt die Passwort-Hashes des Zielsystems.
• Durch Schutz der Authentisierungs-Daten zu verhindern.
• Angreifer verlangsamen durch Vergrößerung des Suchraums.
Programme: John (the Ripper), Cain and Abel
Was könnten Wortveränderungen sein für das Erraten von Passwörtern
- Präfixe und Suffixe, 1- und 2-stellig: 1–9, !, ., ?, . . .
- Buchstabenersetzung durch Zahlen und Sonderzeichen: E⇤3, T⇤7, . . .
- Buchstabenersetzung durch angrenzende Zeichen auf Tastatur: W⇤E, S⇤D, . . .
- Permutationen der Groß-/Kleinschreibung
- Plural bilden
- Spiegeln
- Verdoppeln
- Sonderzeichen einfügen
Zwei schlechte Bsp für Passwort Diebstahl
Very bad example: Rockyou.com
• 32 Millionen Passwörter wurden gestohlen, als die Website im Dezember 2009 gehackt wurde.
• Die von Rockyou.com gespeicherten Passwörter lagen im Klartext in der Datenbank.
Still bad example: ebay.com
• Daten von 145 Millionen Kunden wurden kopiert, als die Website gehackt wurde.
• Hier waren die Passwörter gehasht und salted
2009 hat Twitter von einem Sicherheitsvorfall 370 Passwörter ausgeschlossen. Reicht das?
Nein, nur ein weitere Sicherheitsbaustein, kein umfassender Schutz
Was kann man Proaktiv tun, damit Passwörter sicherer sind?
- Nutzern Regeln und Tipps vermitteln
- Einfache Regeln technisch durchsetzen: Länge, Ziffern, Sonderzeichen, . . .
- ggf. Passwörter beim Festlegen auf Stärke prüfen
- Passwortalterung (Vorsicht! häufig unerwünschte Resultate)
- Inkrementelles Back-off bei falschem Passwort
- Konto blockieren nach x falschen Passwörtern (Vorsicht!)
- Andere Authentisierungstechnologien verwenden
- Single-Sign-On
Was kann man Reaktiv tun, damit Passwörter sicherer sind?
• Regelmäßig Passwörter der Nutzer auf Stärke prüfen / brechen
Was ist Phising?
Passwortdiebstahl über vorgetäuschte Login-Seiten oder Formulare
Passwortdiebstahl über vorgetäuschte Login-Seiten oder Formulare
Wie verläuft ein Pishing Angriff?
• Das Opfer wird unter Vorspiegelung falscher Tatsachen auf eine Webseite des Angreifers gelockt.
• Diese Seite gibt vor, die Login-Seite der Seite zu sein, für die der Angreifer das Passwort erfahren
möchte.
• Die Täuschung wird durch das Imitieren des Layouts der Originalseite unterstützt.
• Wenn das Opfer die Daten eingibt, erhält der Angreifer diese;
das Opfer wird meist auf die Original-login-Seite weitergeleitet
Welche Angriffsmethoden umfasst Phising?
- Lockmittel sind in vielen Fällen Emails oder andere Nachrichten
- Das beste Mittel zur Angriffserkennung ist der Vergleich des Domain-Wertes in der URL
Was sind übliche Methoden zur URL Verschleierung?
- Verwendung von Unicode Zeichen in internationalen Domain-Namen
- Ausnutzen von offenen Redirects in der angegriffenen Site
- Vortäuschen eines eigenen URL-Balkens
Was sind Gegenmaßnahmen für Phising?
- Browser-Plugins / Built-in Browser Warnungen
- Zwei-Faktor-Authentifizierung
- RSA SecureID
- Google Two-Factor
- One-time tokens über SMS
- Gesundes Misstrauen
