LE 3 Bedrohungen und Angriffsvektoren

Question 1

Unterscheidung Angriffe

Answer 1

Passive und Aktiv

Unterscheidung nach Systemkomponenten

Question 2

Passive Angriffe

Answer 2

• Mitlesen des Datenverkehrs
• keine Veränderungen an Systemen oder Daten

Beispiele:
Mitlesen von
- gespeicherten oder übertragenen Informationen, z. B. E-Mails
- Authentifizierungsdaten, z. B. beim unverschlüsselten Übertragen von Login-Daten
- Analysieren des Kommunikationsverhaltens, z. B. über Tracking.

Question 3

Aktive Angriffe

Answer 3

solche, bei denen aktiv Veränderungen vorgenommen werden.

• Manipulation von Daten
• Unterbrechen des Datenverkehrs bzw. der Systemerreichbarkeit, z. B. dDOS
• Zusenden bzw. Download von Schadsoftware,
• Entfernen von Daten, z. B. direkt auf einem System oder während der Datenübertragung,

Question 4

Grundprinzipien des ethischen Hackens

Answer 4

• greifen Systeme an, um sie besser zu machen, nicht um Schaden anzurichten
• Die Privatsphäre respektieren
• Keine Systeme zum Absturz bringen

Question 5

Viren Definition

Answer 5

• Programme, die sich in andere Programme einschleusen
• können Veränderungen am infizierten System vornehmen
• Befehlsfolge, die selbst nicht ausführbar ist, sondern ein Wirtsprogramm benötigt

Question 6

Typen von Viren

Answer 6

• Programmviren
• Bootviren
• Makroviren

Question 7

Würmer Definition

Answer 7

• Schadprogramme, die sich selbst replizieren können
• brauchen kein Wirtsprogramm
• selbstständig ablauffähig
• braucht Hilfsprogramme wie z. B. Mailprogramme oder Netzwerkdienste

Question 8

Arten von Würmern

Answer 8

• Emailwürmer
• IM- Würmer Instant Messengern (IM)
• P2P Würrmer
• Netzwerkwürmer

Question 9

Trojaner

Answer 9

• Schadprogramme, die sich als nützliches Programm tarnen, aber tatsächlich im Verborgenen Schaden anrichten

Question 10

Rootkits

Answer 10

• Schadprogramme, spezieller als trojaner
• dauerhaft Administrationsrechte verschaffen
• tief im Betriebssystem versteckt/integriert
• Nicht Malware per se, sondernn Sammlung von tools

Question 11

Spyware

Answer 11

• Software, die Daten auf dem infizierten Rechner sammelt und zu einem bestimmten System übermittelt

Question 12

Keylogger

Answer 12

• rogramme, die die Tastaturanschläge der Nutzer protokollieren
• permanent und umfassend
  oder selektiv (Passwort-Feldern)

Question 13

Backdoors

Answer 13

• keine eigenständigen Programme, sondern heimlich integrierte Programmteile, die z. B. Sicherheitsvorkehrungen umgehen

Question 14

Angriff: Unterscheidung nach Systemkomponenten

Answer 14

• Software: z. B. Manipulation von Anwendungssoftware oder des Betriebssystems, oder auch, wenn Verschlüsselungssysteme kompromittiert werden;
• Netze: z. B. Ausnutzen von Schwachstellen, um über Netze in andere Systeme einzudringen; Unterbrechung oder Umleitung der Kommunikation;
• Daten und Informationen: z. B. Abgreifen, verändern, löschen, hinzufügen von Informationen; dies kann sich wiederum auf inhaltliche Daten als auch auf Meta- oder Systemdaten beziehen, die sich ihrerseits in Anwendungen befinden oder auf Transportwegen;
• Hardware: Manipulation einzelner Hardware-Komponenten, zum Beispiel von Kameras in Rechnern oder von USB-Geräten; aber auch Störung von Anlagen durch Manipulation von Steuerungssystemen wie bei Stuxnet;
• Identität: Angriffe können sich auch auf die Identität beziehen, z. B. wenn Authentifizierungsmechanismen ausgehebelt werden.

Question 15

Arten von Angreifern

Answer 15

• Sicherheitsprüfer
• Hacker
• böswillige Hacker
• InnentäterInnen
• Cracker, Hacktisiten, script kiddies

Question 16

Nutzung von Standard- Schutz Technologien bei speziellen Industrien

Answer 16

• “Virenscanner sind bei SCADA-Systemen unüblich: SCADA-Systeme arbeiten im Echtzeitbetrieb, d. h. sie müssen nahezu verzögerungsfrei in die Steuerungssysteme von Industrieanlagen eingreifen. Virenscanner reduzieren die Performance und werden deshalb bei SCADA-Systemen typischerweise nicht eingesetzt. Schadsoftware kann sich daher einfacher ausbreiten.
• Patchmanagement ist lückenhaft: SCADA-Systeme arbeiten typischerweise ohne Unterbrechungen (24 Stunden am Tag an 7 Tagen in der Woche) und häufig ohne Wartungsfenster für die Software. Als Konsequenz werden Softwareaktualisierungen seltener oder gar nicht durchgeführt. Entsprechend alt und mit öffentlich bekannten Sicherheitslücken behaftet sind die eingesetzten Betriebssysteme und Applikationen.
• Penetrationstests sind riskant und daher unüblich: Diese bei Computersystemen etablierte Methode zur Identifikation von Schwachstellen birgt bei SCADA-Systemen das Risiko massiver Fehlfunktionen mit schwer abzuschätzenden Konsequenzen. Sie wird daher nur sporadisch angewandt.
• Authentifizierung ist schwach: Wenn Netzwerkzugriffe auf Systemkomponenten möglich sind, ist die Implementierung einer starken Authentifizierung ein essenzielles Sicherheitsmerkmal. Passwörter sind allerdings bei Maschine-zu- Maschine-Kommunikation ein ungeeignetes Mittel. Fest einprogrammierte Passwörter wurden z. B. von Stuxnet zur Infektion ausgenutzt.
• Daten werden unverschlüsselt übertragen: Verschlüsselung ist eine Standardtechnik bei der Kommunikation von kritischen Komponenten. Typische SCADA-Systeme nutzen Verschlüsselung nicht einmal bei der Übertragung von Passwörtern.”

Question 17

Probing

Answer 17

• hat den Zweck, etwas über den Zustand eines Netzwerkes zu lernen
• Methode: beispielsweise: Portscann

Question 18

Aktive Hosts finden

Fragegstellung: Welche möglichen Angriffsziele gibt es?

Answer 18

• Ping
• Ping sweeps
• wardiving ( das Suchen nach ungeschützten WLANs in der Umgebung)

Question 19

Offene Türen finden

Fragestellung: In welche Hosts kommt man rein?

Answer 19

• Portscan:
  - Prüfung offener Ports
  - Tests erfolgen über die Netzwerkprotokolle TCP und UDP

Question 20

Ports Definition

Answer 20

• Ports sind im Prinzip Tore oder Türen auf einem System, durch welche Daten hinaus- oder hineinbefördert werden können.
• Für bestimmte Daten werden normalerweise ganz bestimmte Ports benutzt. So gehen z. B. Datenpakete, die zu Webseiten gehören, normalerweise durch den Port Nr. 80, und Mails, die Sie verschicken, durch den Port 25.

Question 21

Betriebssysteme erkennen

Fragestestllung: Was für ein System verbirgt sich hinter einem Port?

Answer 21

• Fingerprinting durch Portscans
  Über die Port Scans lassen sich auch Rückschlüsse auf das jeweilige Betriebssystem der gescannten Rechner ziehen (das sog. Fingerprinting). Möglich werden diese Rückschlüsse dadurch, dass Netzwerkprotokolle auf Betriebssystemen unterschiedlich implementiert sind.

Question 22

Finger printing, Methodenunterscheidung

Answer 22

• Passive Methoden beobachten den Netzwerkverkehr und analysieren die Datenpakete, die ohnehin an das Zielsystem gesendet bzw. von ihm zurückgeschickt werden.
• Bei aktiven Methoden werden selbst bestimmte Datenpakete an das Zielsystem geschickt, um das spezifische Antwortverhalten zu analysieren. Zum Beispiel sieht das TCP-Protokoll vor, dass ein Host, der nur ein FIN-Paket erhält, keine Antwort zurücksendet. Ein unter Windows NT laufender Host antwortete aber mit einem FIN/ACK-Paket.

Question 23

Botnetze

Answer 23

• bestehen aus Rechnern, die mit einem sog. Bot-Programm infiziert sind
• Bot = Programm, das automatisiert Befehle ausführt bzw. ferngesteuert werden kann
• meistens unbemerkt
• zentraler Server: Command-and-Control-Server (C&C-Server)

Question 24

Technische und gesellschaftliche Relevanz botnetze

Answer 24

• eine der größten Bedrohungen bezüglich IT-Sicherheit
• Botnetze machen die kontrollierten Opfer-Rechner zu unwissenden Tätern
• Abwehr von Angriffen umso aufwändiger und teurer, je größer die Botnetze

Question 25

Denial of Service

Answer 25

• Angriffe mit dem Ziel, dass Dienste ihren Dienst verweigern und damit Services oder Daten nicht mehr zugänglich sind
• Distributed DoS, DDoS) : verschiedene Systeme führen gleichzeitig einen DoS-Angriff aus
• Arten:
• • SYN-Flooding (Pakete werden verschickt, Server antwortet, jedoch keine ACK Segmente zurück, sodass lange Warteschlange)

Question 26

Angriffsarten bei Kommunikation zwischen verbundenen Geräten

Answer 26

• Das Mithören und Analysieren der Kommunikation (passiver Angriff)
• Manipulation der Kommunikation (aktiver Angriff).

Question 27

Netzwerkverkehr abhören

Answer 27

• tools: sniffer wie Wireshark
• -> Beispielsweise TCP Pakete auslesen, wenn nicht durch durch andere Anwendung Verschlüsselung
• HTTP Paktets können mitgelesen werden, nicht aber HTTPS

Question 28

Spoofing

Angriffsart:

Answer 28

• Absender- oder Ziel-Adressen fälschen

- Schutzziel Authentizität verletzt werden kann: die Echtheit der Quelle der Nachricht ist nicht mehr gegeben.

Question 29

Spoofing-Varianten

Answer 29

• Web-Spoofing
• E-Mail-Spoofing
• IP-Spoofing
• Beispiel Mobilfunk: Kommunikation kann mitgehört werden. Authentifizierung nur einseitig erfolgt

Question 30

Kommunikation umleiten

Answer 30

• Router dazu zu bringen, Datenverkehr falsch weiterzuleiten
• gefälschte Routing-Informationen an Router senden mit falschen Routing Tabellen

-Umleitungen funktionieren auch auf der Ebene der IP-Adressen und Domain-Namen: Ein DHCP-Server sorgt in einem lokalen Netz dafür, den Geräten dynamisch IP-Adressen zuzuweisen

Question 30

Kommunikation umleiten

Answer 30

• Router dazu zu bringen, Datenverkehr falsch weiterzuleiten
• gefälschte Routing-Informationen an Router senden mit falschen Routing Tabellen

-Umleitungen funktionieren auch auf der Ebene der IP-Adressen und Domain-Namen: Ein DHCP-Server sorgt in einem lokalen Netz dafür, den Geräten dynamisch IP-Adressen zuzuweisen

Question 31

Webanwendungen Schwachstellen

Answer 31

Webanwendungen weisen Schwachstellen auf, die sich auf die Authentifizierung und Autorisierung beziehen:

• das Umleiten der Nutzer auf nicht-originale Webseiten
• das unbefugte Abgreifen von Daten (insb. Authentifizierungsdaten oder Inhalte von Datenbanken),
• das Einfangen von Schadsoftware beim Konsumieren von Webseiten.

Question 32

typische Angriffe auf Webanwendungen

Answer 32

Cross-Site-Scripting und SQL-Injection

Question 33

Cross-Site-Scripting XSS

Answer 33

• im Browser werden Scripte ausgeführt, die vom Webseitenbetreiber nicht vorgesehen wurden.
• Schwachstelle bei XSS: Fähigkeit der Browser, Code auszuführen (meist JavaScript)

Question 34

SQL-Injection

Answer 34

• Ziel: Datenbank von Webanwendungen
• SQL-Code wird so in eine Anwendung geschleust, dass Daten ausgelesen oder auch vorhandene Daten manipuliert oder gelöscht werden können.

Question 35

Verbreitung von Schadsoftware

Answer 35

Webseiten und Webanwendungen werden dazu genutzt , Schadsoftware unter Nutzer:innen zu verbreiten:

• Ein Angreifer betreibt eine entsprechende Website selbst und bringt die Nutzer über attraktive Angebote dazu, seine Seite zu besuchen
• ein Angreifer kompromittiert Webanwendungen, z. B. über XSS oder SQLi, um dort seine Schadsoftware zu platzieren;
• ein Angreifer benutzt Werbebanner, die über die unterschiedlichsten Webseiten ausgespielt werden können.

Question 36

Typische Sicherheitsprobleme IoT Bereich

Answer 36

Authentifizierung

• Standard-Passwörter: Geräte nutzen zur gegenseitigen Authentifizierung Passwörter, die von den Betreibern nicht geändert werden oder sogar nicht geändert werden können.
• Unzureichende Passwörter: Passwörter oder Schlüssel sind sehr kurz (oft nur 6 Zeichen lang) und ergeben sich aus Gerätenamen.
• Fehlende oder unzureichende Authentifizierung: Es erfolgt keine sichere Authentifizierung der Geräte vor einer Kommunikation untereinander.

Netzwerkkommunikation

• Keine verschlüsselte Datenübertragung: Es werden Standard-Technologien benutzt, die keine Verschlüsselung vorsehen; oder keine zusätzliche Verschlüsselung konfiguriert.
• Offene Ports: Ports, die für die Funktionalität des Geräts gar nicht notwendig sind, werden nicht geschlossen.

Wartung
-Mangelnde Updates für Firmware: Geräte-Hersteller produzieren Geräte, für die sie keine Updates bereitstellen. Für manche Geräte ist ein Update-Prozess, der von Nutzern durchgeführt wird, nicht einmal vorgesehen.

Datensparsamkeit

• Mangelnde Datensparsamkeit: Bei der Konfiguration oder im Betrieb werden mehr Daten erhoben, als für die Funktionalität notwendig sind.
• Mangelnde Datensicherung: Datenbanken werden nicht ausreichend gegen Datenausleitung geschützt und/oder Daten werden ohne Einwilligung weitergegeben.

Question 37

Organisatorische Ursachen Sicherheitmängel IoT

Answer 37

Ökonomische und organisatorische Ursachen

• Sicherheit als Kosten- und Wettbewerbsfaktor: Wer mehr Sicherheit implementiert, muss seine Angebote teurer machen; sicherere Angebote verschwinden damit ggf. wieder
• Verantwortung nicht bei IT-Experten: Die Verantwortung für vernetzte Geräte liegt in manchen Fällen nicht bei der IT, sondern bei Gewerken, die originär mit den jeweiligen Geräten hantieren (z. B. werden vernetzte Aufzüge von der Haustechnik betreut statt von der Unternehmens-IT)
• Fehlende Expertise/Awareness: Häufig sind Personen mit der technischen Umsetzung der Vernetzung betraut, die nicht das Wissen um die Risiken und Maßnahmen zur IT-Sicherheit haben.

Question 38

Same-Origin-Policy

Answer 38

untersagt client-seitigen Scriptsprachen, dass sie auf Objekte zugreifen dürfen, die von anderen Webseiten stammen als der, von der der Script-Code ursprünglich stammt. Dieses Konzept wird standardmäßig von Browsern implementiert.

Wird sie umgangen, so ist es möglich, dass Scripte im Browser, die von einer Quelle stammen, auch auf Objekte zugreifen können, die von anderen Quellen stammen.

IoT: Für die Bridge ist es ja notwendig, Anfragen von verschiedenen Quellen zu erlauben. Dies stellt aber eine Schwachstelle für das System dar, weil dadurch im Prinzip eine beliebige Website grundlegende Informationen der Geräte auslesen kann