2. Angriffe aus dem Internet Flashcards

1
Q

Erklären Sie die Begriffe Vertraulichkeit, Integrität, Authentizität, Verfügbarkeit und Nicht-
Abstreitbarkeit.

Geben Sie typische Maßnahmen an, mit denen diese Aspekte abgesichert
werden können

A
  • Vertraulichkeit: Die Vertraulichkeit bezieht sich auf den Schutz von Informationen vor unbefugtem Zugriff oder Offenlegung.Typische Maßnahmen:
    Verschlüsselung von Daten, um sicherzustellen, dass nur autorisierte Benutzer darauf zugreifen können.

-Integrität: Die Integrität bezieht sich auf den Schutz von Informationen vor unbefugter Änderung oder Manipulation.

Typische Maßnahmen:
    Einsatz von Hash-Funktionen, um die Integrität von Daten zu überprüfen.
  • Authentizität: Die Authentizität bezieht sich auf die Verifizierung, dass eine Person, ein Gerät oder eine Nachricht tatsächlich das ist, was sie vorgibt zu sein.Typische Maßnahmen:
    Verwendung von Passwörtern, um die Identität von Benutzern zu überprüfen.
    Digitale Signaturen, um die Authentizität von Nachrichten oder Dokumenten zu überprüfen.
  • Verfügbarkeit: Die Verfügbarkeit bezieht sich auf die Gewährleistung, dass Informationen und Systeme für autorisierte Benutzer verfügbar sind, wenn sie benötigt werden.Typische Maßnahmen:
    Backup und Wiederherstellung von Daten, um sicherzustellen, dass Daten auch nach einem Ausfall verfügbar bleiben.
    Redundanz von Hardware und Netzwerkverbindungen, um sicherzustellen, dass das System auch bei Ausfällen verfügbar bleibt.
  • Nicht-Abstreitbarkeit: Die Nicht-Abstreitbarkeit bezieht sich auf die Fähigkeit, nachzuweisen, dass eine Person oder ein Gerät eine bestimmte Aktion ausgeführt hat und sich nicht leugnen kann.Typische Maßnahmen:
    Einsatz von Audit-Logs, um alle Aktivitäten aufzuzeichnen.
    Verwendung von digitalen Signaturen, um sicherzustellen, dass eine Person oder ein Gerät eine bestimmte Aktion ausgeführt hat.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Gibt es einen Unterschied zwischen den Begriffen Authentifizierung und Autorisierung?

A

Authentifizierung :
- ob der Kommunikationspartner, zu dem eine Verbindung aufgebaut werden soll, der wahre Kommunikationspartner ist
- ob die empfangenen Daten tatsächlich vom wahren Sender gesendet wurden

Autorisierung:
- welche Berechtigungen ein Kommunikationspartner hat.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Welche Arten von Angreifern kann man unterscheiden?

A

mit Zugriffsrechten:
- eigene Mitarbeitern
- fremde Mitarbeiter

ohne Zugriffsrechten:
- Freaks
- Hacker

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Was versteht man unter einem „Man in the Middle“?

A
  • Angreifer hat sich in die Kommunikation integriert
  • Kommunikation läuft über ihn
  • kann aktiv die Kommunikation ändern
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Geben Sie Beispiele für Angriffe auf verschiedenen OSI-Schichten an. Erklären Sie dabei die Zuordnung zu den Schichten.

A
  1. Bitübertragungsschicht:
    - Abhören
  2. Sicherungsschicht:
    - ARP - Spoofing
    - MAC Flooding
  3. Vermittlungsschicht:
    • MitM Attack
      - Ping of Death
  4. Transportschicht:
    • DoS
    • SYN Flooding
  5. Session:
    • XSS
    • Hijacking
  6. Presentation
    • Phishing
  7. Application
    • Buffer overflow
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Was versteht man unter dem Begriff „Spoofing“? Welche Arten kann man unterscheiden?

A

Fälschung von Adresse

  • ARP Spoofing, IP Spoofing, GPS Spoofing, CallerID Spoofing
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

Wozu wird das Protokoll ARP verwendet? Wie wird es missbräuchlich zum „ARP Spoofing“ eingesetzt?
Unter welchen Umständen müssen Angreifer ARP Spoofing anwenden, wann ist dies aus ihrer Sicht nicht notwendig?

A

Das ARP-Protokoll wird verwendet, um die MAC-Adresse eines Geräts in einer lokalen Netzwerkumgebung zu ermitteln.

  • ARP Spoofing ist ein Angriff, bei dem ein Angreifer absichtlich falsche ARP-Antworten sendet, um die MAC-Adressen von Geräten in einem lokalen Netzwerk zu fälschen.
  • Ein Angreifer kann ARP Spoofing einsetzen, um:Man-in-the-Middle-Angriffe durchzuführen und Daten abzufangen oder zu manipulieren.
    Netzwerkverkehr umzuleiten, um eine Denial-of-Service-Attacke zu verursachen.
    Identitätsdiebstahl durchzuführen, indem er die MAC-Adresse eines anderen Geräts fälscht.
  • Angreifer müssen ARP Spoofing anwenden, wenn:Sie in einem Netzwerk mit flachen Netzwerkarchitekturen (z.B. Ethernet) angreifen wollen.
    Sie keinen physischen Zugriff auf das Netzwerk haben und die Geräte remote angreifen möchten.
    Sie Zugriff auf das Netzwerk haben und eine Man-in-the-Middle-Position einnehmen möchten.
  • ARP Spoofing ist aus der Sicht eines Angreifers nicht notwendig, wenn:Das Netzwerk eine Hierarchie hat, bei der der Zugriff auf verschiedene Ebenen beschränkt ist.
    Das Netzwerk auf drahtlosem Ethernet (Wi-Fi) läuft, bei dem der Zugriff auf Geräte über das Drahtlose Netzwerk gesteuert wird.
    Das Netzwerk durch andere Sicherheitsmaßnahmen geschützt ist, wie z.B. durch die Verwendung von verschlüsseltem Netzwerkverkehr oder durch Netzwerksegmentierung.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Wie funktioniert ein „Replay“-Angriff?

A

Wiederholen von Datenpaketen, die der wahre Absender bereits früher gesandt hat.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Was versteht man unter dem Promiscuous Mode?

A

alle Datenrahmen werden aufgezeichnet und können ausgewertet werden

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

Welches Sicherheitsproblem besteht beim Bluetooth Pairing?

A
  • Geräte keine PIN eingeben kann
  • PIN zwangsweise bei der Werkseinstellung 0000 bleiben
  • Viele Bluetooth-Geräte haben bei Auslieferung einen vordefinierten Bluetooth-Code oder keine PIN.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

Wozu dient ICMP bei der normalen Verwendung? Welche Möglichkeiten bestehen für Angreifer im Zusammenhang mit ICMP-Nachrichten?

A
  • informiert über Status oder Probleme eines Netzwerks
    -prüft die Konnektivität zu einer bestimmten IP-Adresse
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

ICMP Angriffsmöglichkeiten

A

ICMP - Tunneling:
- für einen Angriff benötigten Daten in ICMP-Nachrichten “versteckt”

ICMP Redirect:
- gefälschte Redirect Nachrichten verschicken
- um die Routing - Tabelle zu manipulieren

ICMP Destinatin Unreachable
- gesfälschte Nachricht, sodass die Kommunikation abgebrochen wird

ICMP Source Quench:
- Opfer wird genötigt, die Datenrate zu verringern
- da zu hohe Belastung signalisiert wird

ICMP-Fragment-Reassembly-Time-Exceeded:
- fragmentierte Pakete
- erstes Paket wird geblockt, das nachfolgende nicht
- Opfer kann nichts anfangen und schickt nachricht zurück
- somit Existenz bestätigt

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

Welche Risiken bestehen im Zusammenhang mit BGP? Beachten Sie dabei die Longest-Prefix-Matching-Regel.

A
  • BGP Hijacking: IP Routen werden gefäscht
  • BGP-Angriffe können die Longest-Prefix-Matching-Regel nutzen, um falsche Routing-Informationen zu verbreiten und den Datenverkehr umzuleiten.
  • Dabei kann die Longest-Prefix-Matching-Regel dazu führen, dass der Datenverkehr in die falsche Richtung geleitet wird, wenn ein Angreifer eine längere Präfix-Match-Länge als der echte Router hat.

-Dadurch können Netzwerküberlastung, Paketverlust und Ausfallzeiten entstehen, da der Datenverkehr in Routing-Schleifen gefangen sein kann oder das Ziel nicht erreicht.

BGP spoofing

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Welche Angriffsmöglichkeiten gibt es im Zusammenhang mit DHCP?

A

DHCP Starvation:
- auf Basis von gefälschten MAC-Adressen
- fortlaufend werden IP Adressen vom DHCP SErver angefordert
- bis keine mehr da sind

Rogue DHCP-Server:
- teilt dabei falsche Angaben mit

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

Was versteht man unter einem Port Scan? Ist der Port Scan schon der eigentliche Angriff?

A

-Ein Port-Scan identifiziert offene Netzwerk-Ports eines Computers oder Netzwerks.
-Er ist keine direkte Bedrohung, sondern eine Vorbereitungsmethode für Angriffe.
-Er kann genutzt werden, um Schwachstellen zu finden und Angriffe vorzubereiten.
- Er kann auch genutzt werden, um Schwachstellen in einem Netzwerk zu identifizieren und zu schließen.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

Wie funktioniert eine Betriebssystemerkennung, ohne dass man ein zugelassener Benutzer auf einer Maschine ist?

A
  • Jedes System reagiert mit einem bestimmten Muster, das auch als „Fingerprint“ bezeichnet wird
  • Testpaket wird losgeschickt und das Verhalten wird dann abgeglichen
  • ggf auch Banner auslesen
17
Q

An welchen typischen Stellen kann sich eine durch einen DDoS-Angriff herbeigeführte Überlastung bei der angegriffenen Organisation bemerkbar machen?

A
  • Systemresourcen können stärker beansprucht werden
  • Implementierungsschwächen können ausgnutzt werden
  • Internetverbindung mit IP Paketen überschwemmen, sodass normale Nutzer den Dienst nicht mehr in Anspruch nehmen können
18
Q

Wie läuft der Verbindungsaufbau bei TCP normalerweise ab? Wie kann der Ablauf zu Angriffszwecken manipuliert werden? Was sind die Konsequenzen?

A
  • Three Way Handshake
  • Mögliche Angriffsszenarien sind SYN-Flooding, TCP-Reset-Attacken, Man-in-the-Middle-Angriffe oder TCP Session Hijacking.
  • Syn flooding: TWH nur teilweise durchgeführt, der Server wartet auf ein SYN ACK und merkt sich die halboffene Warteschlange, bis der Speicher voll ist
  • TCP-Reset-Attacken: Angriff, bei dem ein Angreifer gefälschte TCP-RESET-Pakete an Sender und Empfänger sendet, um eine aktive Verbindung zu beenden oder zu manipulieren.
  • Man-in-the-Middle-Angriffe: Angriff, bei dem ein Angreifer die Kommunikation zwischen zwei Parteien abfängt und manipuliert, um unberechtigten Zugriff auf vertrauliche Informationen zu erlangen.
  • TCP Session Hijacking: Angriff, bei dem ein Angreifer eine bestehende TCP-Verbindung kapert und die Kontrolle über die Verbindung übernimmt, um unberechtigte Aktionen auszuführen oder Daten zu stehlen.
19
Q

Wie kann das DNS oder NTP zu einem DDoS-Angriff missbraucht werden

A

DNS:

-DNS-Reflection-Angriff: Der Angreifer sendet DNS-Anfragen mit gefälschten IP-Adressen an öffentliche DNS-Server, die daraufhin große Antworten an das Opfer zurückschicken.
- DNS-Amplification-Angriff: Der Angreifer sendet DNS-Anfragen an öffentliche DNS-Server, die daraufhin große Antworten an das Opfer zurückschicken. Dabei wird die Verstärkung von Antworten durch öffentliche DNS-Server ausgenutzt.

NTP:

-NTP-Amplification-Angriff: Der Angreifer sendet NTP-Anfragen an öffentliche NTP-Server, die daraufhin große Antworten an das Opfer zurückschicken. Dabei wird die Verstärkung von Antworten durch öffentliche NTP-Server ausgenutzt.

20
Q

Warum besteht bei der HTTP-Methode „Persistent HTTP“ eine Anfälligkeit gegenüber DoS-Angriffen?

A
  • ggf viele clients ohne verbindungsabbau
    – Server wird überlastet, wernn man viele clients hat
21
Q

Was versteht man unter den Begriffen „Bot“ und „Botnetz“? Wie können Botnetze heutzutage organisiert sein? Wozu können Botnetze eingesetzt werden?

A
  • Rechner (Bots)
  • werden ferngesteuert von Angreifern
  • können für Spam oder dDoS genutzt werden
  • oder Bitcoin Mining
22
Q

Wie erfolgt die Passwortübertragung bei älteren Protokollen wie Telnet, FTP oder SNMPv1/SNMPv2?

A

werden in Klartext übertragen

23
Q

Wie unterscheiden sich die Schadsoftware-Varianten Virus, Wurm, Trojanisches Pferd? Welche sind für Desktop-Rechner und welche für Smartphones relevant?

A
  • Viren brauchen im Gegensatz zum Wurm einen Wirt um ablauffähig zu sein
  • Trojanisches Pferd: scheinbar nützliche Programme, jedoch mit Hintertür

Smartphones: ausschließlich Trojaner, da nur Apps im abgeschotteten Bereich installiert werden können

24
Q

Welche Auswirkungen kann eine Infektion mit Ransomware haben?

A
  • Aussperren vom PC, Verschlüsselung von Dateien
  • ggf auch Double Extortion (Encryption und Leak)
25
Q

Was versteht man unter den Begriffen „Malvertising“, „Zero-Day-Exploit“ und „Drive-by-Exploit“?

A

Malvertising:
- eine Webseite enthält Schadcode
-Aufrufen der Webseite mit einem anfälligen Browser
- wird Drive-By-Exploit oder auch Drive-by- Download genannt

Zero-Day:
- Software-Schwachstelle entdeckt
- es gibt schon erste Angriffe, die diese erfolgreich ausnutzen.

26
Q

Erklären Sie, was man unter einem „Buffer Overflow“ versteht und welche Auswirkungen ein solcher haben kann.

A

Pufferüberlauf

  • Stack wird überschrieben
  • wobei die Rücksprungadresse verändert wird
  • dieser zeigt nun auf einen veränderten Code, der auch auf den Stack abelegt wurde
  • meistens wird dann eine Shell geöffnet, ggf sogar mit Root-Rechten
27
Q

Erklären Sie, wie eine SQL-Injection funktioniert.

A
  • entsteht durch einen Programmierfehler in einem Programm, das auf die Datenbank zugreift.
  • Angreifer kann Datenbankbefehle einschleusen und abhängig vom Einzelfall weitere Daten aus der Datenbank auslesen, Daten ändern oder löschen oder sogar die Kontrolle über den kompletten Datenbankserver übernehmen.
28
Q

Wie funktioniert die Cross-Site Scripting-Variante „Persistent XSS“?

A
  • Angreifer schicken bösartigen Payload an Webpage/App
  • App speichert diesen Payload in Datenbank oÄ
  • Wenn andere Nutzer diese App nutzen, wird dieser ausgeführt
29
Q

Welches sind die möglichen Folgen, wenn bei einem Nutzer die Einstellung des zu verwendenden DNS Servers manipuliert ist?

A
  • manipulierter DNS Server falsche IP-Adresse zurückgeliefert
  • kann zum Ausforschen von Login/Passwort-Kombinationen verwendet werden
30
Q

Übertragen die E-Mail-Protokolle die Nachrichten verschlüsselt?

A
  • SMTP, POP und IMAP ohne Verschlüsselung
  • Verwendung TLS / SSL reicht nicht aus, da die Mails zwar an den jeweiligen Mailserver verschlüsselt verschickt werden
  • jedoch liegen diese unverschlüsselt auf dem Mailserver
  • keinen Einfluss, ob diese verschlüsselt werden
  • Falls E2E Verschlüsselung: Nur Inhalt, nicht die Header (samt Metadaten)
31
Q

Welche Risiken bezogen auf die IT-Sicherheit bestehen bei der Vernetzung von Fahrzeugen?

A
  • viele nicht ganz aktuelle Funkfernbedienungen von Fahrzeugen unsicher implementiert
  • Fernsteuerung der Bremsen des Fahrzeugs
  • Angriffe aus der Ferne
  • Mitverfolgung der Fahrtrouten
32
Q

Welche Bedeutung haben Keylogger Hardware, manipulierte USB-Sticks und Caller ID Spoofing beim Social Engineering?

A

Es ergeben sich die Angriffsmöglichkeiten aus menschlichen Schwächen in Kombination mit technischen Möglichkeiten.

Keylogger:
- zwischen den PC und die Tastatur
- mitschneiden

USB - Sticks:
- mit automatischen Funktionen durch Anstecken an Rechner Befehle absetzen können
- Manipulation der Anzeige von Telefonnummer