computersicherheit -...
TRANSCRIPT
![Page 1: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/1.jpg)
ComputersicherheitComputersicherheit
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 2: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/2.jpg)
Gli dGliederung
Einführung: DatensicherheitEinführung: DatensicherheitVulnurabilitätAngriffstechnikenSi h h it hläSicherheitsvorschlägeQuellenQuellen
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 3: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/3.jpg)
W i t I f ti i h h itWas ist Informationssicherheit
“Als Informationssicherheit bezeichnet man Ei h f i f i b i dEigenschaften von informationsverarbeitenden und -lagernden Systemen, welche die VERTRAULICHKEIT und INTEGRITÄTsicherstellen. Informationssicherheit dient dem SCHUTZ vor Gefahren bzw. Bedrohungen, der VERMEIDUNG von SCHÄDEN und derVERMEIDUNG von SCHÄDEN und der MINIMIERUNG von RISIKEN.“
[wikipedia.de]18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 4: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/4.jpg)
Si h h it? W ?Sicherheit? … Wogegen?
Sicherheit → für welches SzenarioSicherheit → für welches Szenario− Ist eine binäre Größe – sicher / nicht sicher
SystemsicherheitSystemsicherheit− gegen alle denkbar Szenarien sicher machen
ProblemProblem− Ein unsicheres Szenario →
S t i h h it18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
Systemunsicherheit[L. Donnerhacke iks-jena]
![Page 5: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/5.jpg)
D K tDas Konzept
SicherheitsklassenSicherheitsklassen− Bufferüberläufe− Rechner wegtragen− Stromausfall bis zu einer StundeStromausfall bis zu einer Stunde
Man braucht eine Liste von Szenarien in denen man Sicherheit erreichen willman Sicherheit erreichen will
EIN KONZEPT18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 6: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/6.jpg)
N D fi iti Si h h it“Neue Definitionen „Sicherheit“
Sicher ist ein System genau dann, wenn dieSicher ist ein System genau dann, wenn die Kosten des Angriffs den erzielbaren Nutzen niemals unterschreitenniemals unterschreiten.
Verhältnis zwischen Wahrscheinlichkeit möglicher Schäden zum getriebenen Aufwandmöglicher Schäden zum getriebenen Aufwand ist Maß für die Sicherheit eines Systems
verwendet bei Versicherungsbranche - eine rein betriebswirtschaftliche Kalkulation zur Bestimmung der Gesamtsicherheit.
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 7: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/7.jpg)
Warum ist das Thema sooo wichtig?Warum ist das Thema sooo wichtig?
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 8: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/8.jpg)
V l bilitätVulnerabilität
[X-Force® 2008 Trend & Risk Report]
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 9: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/9.jpg)
V l bilitätVulnerabilität
Definition:Definition:
Alle Computer-bezogenen Verletzungen, Beanspruchung oder Konfiguration die eineBeanspruchung oder Konfiguration, die eine Schwächung, oder Vernichtung der Zuverlässigkeit der Integrität oderZuverlässigkeit, der Integrität oder Zugänglichkeit des Rechnersystems zur Folge habenhaben
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 10: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/10.jpg)
G i ht d V l bilitätGewichtung der Vulnerabilität
Gewichtung via Common Vulnerability Scorring System (CVSS)Vulnerability Scorring System (CVSS)
kritisch:
− Rootable Netzwerk− braucht keine
Zugangsbestätigung− Ermöglicht den
H k dHacker root- und System-Zugang
[weitere Infos zu CVSS: http://www.first.org/cvss/]
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 11: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/11.jpg)
R ki iff S tRanking angegriffener Systeme
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 12: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/12.jpg)
V t il h F ktiVerteilung nach Funktion
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 13: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/13.jpg)
H il itt l j d iHeilmittel – ja oder nein
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 14: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/14.jpg)
Malware im ÜberblickMalware im Überblick
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 15: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/15.jpg)
M l i Üb bli kMalware im Überblick
Zusammenfassung SchadprogrammeZusammenfassung SchadprogrammeGroße Vielzahl von MalwareZiel: Ausführung von schädlichen FunktionenC t iComputerviren:
− Älteste Malware, meist Zerstörung von Datenes e a a e, e s e s ö u g o a e− Infizierung von Programmen, „ausführbaren
Objekten“Objekten
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 16: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/16.jpg)
M l i Üb bli kMalware im Überblick
Viren: suchen Programmdatei also Host und führen Schadensro tine d rchführen Schadensroutine durchWürmer:Würmer:− Im allgemeinen eigenständige Programme− Selbstverbreitend über e-mail, Netzwerke,
wechselbare Speichermedienwechselbare Speichermedien− können Dateilos sein & verbleiben im
S i h d R hSpeicher des Rechners
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 17: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/17.jpg)
M l i Üb bli kMalware im Überblick
Backdoor: Bereite Angriff für Hacker vorBackdoor: Bereite Angriff für Hacker vor (Rechnerzugriff)T j i h Pf dTrojanisches Pferd:− Getarnt als nützliche Software versteckte− Getarnt als nützliche Software, versteckte
zum ausspionieren von Informationen, passwörter & downloaden weiterer Malwarepasswörter & downloaden weiterer Malware
PUP (Potentionally unwanted Programs)
− Schwächen Sicherheitssystem18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 18: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/18.jpg)
A ft il M lAufteilung von Malware
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 19: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/19.jpg)
AngriffstechnikenAngriffstechniken
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 20: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/20.jpg)
Stack OverflowStack Overflow
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 21: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/21.jpg)
St k O flStack Overflow
Klasse der Buffer OverflowsKlasse der Buffer OverflowsZum ersten mal 1997 im Phrack Artikel S hi Th St k F F A d P fit“„Smashing The Stack For Fun And Profit“
ProgrammierfehlerProgrammierfehler. Verwendung von „unsicheren Funktionen“Sehr häufig und „gefährlich“
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 22: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/22.jpg)
St k O flStack Overflow
Betroffen: C/C++, Assembler ProgrammeBetroffen: C/C , Assembler Programme− Standartsoftware ... Internetprotokolle
Ziel ist die Ausführung des Angriffscodes
DoS(Denial of Services)
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 23: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/23.jpg)
St k O flStack Overflow
verwendeter Buffer hat eine maximale Größeverwendeter Buffer hat eine maximale GrößeKeine GrenzenkontrolleSpeicherbereich kann mit großen Daten überschrieben werdenüberschrieben werdenBei Stack Overflows ist der Stack betroffen
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 24: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/24.jpg)
St k O flStack Overflow
void inputFunction(char* str) {
char input[20];strcpy(input str);strcpy(input, str);
}void main(int argc, char*argv[]){{
inputFunction(argv[1]);}
- Lese eine Zeichenkette ein- Speichere sie im “input” BufferSpeichere sie im input Buffer
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 25: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/25.jpg)
St k O flStack Overflow
Keine Eingabekontrolle: sehr große StringsKeine Eingabekontrolle: sehr große Strings möglich
Üb h it d B ff− > Überschreitung der BuffergrenzeStack wird beschädigt → kann gezielt verändert g gwerdenA t d h i lt D t b itAusnutzung durch gezielte Datenvorbereitung
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 26: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/26.jpg)
St k O flStack Overflow
(Sehr) Vereinfachter Calling Stack:(Sehr) Vereinfachter Calling Stack:
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 27: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/27.jpg)
St k O flStack Overflow
Stack wächst von höheren zu den niedrigenStack wächst von höheren zu den niedrigen Speicheradressen 1 F kti t i h t1. Funktionsparameter gespeichert2 Rücksprungadresse2. Rücksprungadresse3. Lokale ParameterFunktionsende: Ausführung der RücksprungadresseRücksprungadresse
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 28: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/28.jpg)
St k O flStack Overflow
Werden die lokale Variablen über ihre GrenzeWerden die lokale Variablen über ihre Grenze überschrieben, so kann auch die Rücksprungadresse überschrieben werdenRücksprungadresse überschrieben werdenNeue, überschriebene Rücksprungadresse wird verwendet
> Programmabsturz− > Programmabsturz
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 29: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/29.jpg)
St k O flStack Overflow
Idee: Rücksprungadresse mit der Adresse vonIdee: Rücksprungadresse mit der Adresse von eigenem Code zu überschreiben Di A iff d i d l Sh ll d “Dieser Angriffscode wird als „Shellcode“ bezeichnetdie Instruktionen werden ausgeführt → Systemübernahme mögliche
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 30: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/30.jpg)
St k O flStack Overflow
Diese Lücke ist sehr einfach zu vermeidenDiese Lücke ist sehr einfach zu vermeidenEntsteht meist aus der BequemlichkeitUnsicheren Funktionen, z.B. scanf(...), strcpy( ) strcat( ) etc sollen vermiedenstrcpy(...), strcat(...) etc. sollen vermieden werden
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 31: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/31.jpg)
Format StringsFormat Strings
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 32: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/32.jpg)
F t St iFormat Strings
Erst seit Ende 1999 in der ÖffentlichkeitErst seit Ende 1999 in der Öffentlichkeit bekanntL i ht id b i d hLeicht zu vermeiden, aber wird auch unterschätztWeniger Angriffe als durch Stack Overflows bekanntbekanntBetroffen sind meist C/C++ Programmeg
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 33: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/33.jpg)
F t St iFormat Strings
Der Fehler entsteht aus der Eigenschaften vonDer Fehler entsteht aus der Eigenschaften von z.B. printf/scanf FunktionsfamilienP t t i tf( h * t i 1 2 )Prototyp: printf(char* string, param1, param2...)Besteht aus einem String mitBesteht aus einem String mit Formatierungszeichen und entsprechende ParameterParameterz.B. printf(„%s\n“,“Hello World“);p ( )
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 34: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/34.jpg)
F t St iFormat Strings
String, Parameter bei der Ausführung auf denString, Parameter bei der Ausführung auf den Stack gespeichertB t h t di Mö li hk it d St i itBenutzer hat die Möglichkeit den String mit Formatierungszeichen zu bestimmen → Sicherheitslückez B printf(input); //!!!Gefährlichz.B. printf(input); //!!!Gefährlichinput enthält Formatierungszeichen (z.b. %s) p g ( )
− → der Stack wird entsprechend oft gelesen
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 35: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/35.jpg)
F t St iFormat Strings
Es ist möglich potentiell wichtige Daten ausEs ist möglich potentiell wichtige Daten aus dem Stack auszulesenA h b li bi S i h d köAuch beliebige Speicheradressen können gelesen werdenEs gibt Formatierungszeichen, die das schreiben erlaubenschreiben erlauben
− Angriff ist dann ähnlich wie beim Stack Overflow
DoS18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
DoS
![Page 36: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/36.jpg)
F t St iFormat Strings
Strings nur mit %s referenzieren und nichtStrings nur mit %s referenzieren und nicht direkt ausgeben
i tf( % “ i t) t tt i tf(i t)− printf(„%s“,input) statt printf(input)Fehler können auch automatisiert erkannt werden
Immer eine Sicherheitsüberprüfung bei der− Immer eine Sicherheitsüberprüfung bei der Entwicklung
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 37: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/37.jpg)
SQL InjectionSQL-Injection
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 38: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/38.jpg)
Z h SQL I j tiZuwachs SQL-Injection
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 39: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/39.jpg)
SQL I j tiSQL Injection
Sehr häufigSehr häufigPlatz 1 bis 2 bei „OWASP Top 10“Angriffstechnik auf Datenbank gestützte SoftwareSoftwareSpeziell SQL DatenbankenSehr kritisch und riskantU fil B i b kö SQLUngefilterte Benutzereingabe können SQL Befehle enthalten, die dann interpretiert werden
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 40: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/40.jpg)
SQL I j tiSQL Injection
DoSDoSDatenänderungDatendiebstahlA h lt d A th ti itätAusschaltung der AuthentizitätKontrolle über den ServerKontrolle über den ServerProgrammiersprache ist egal, wenn keine D üb üf liDatenüberprüfung vorliegt
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 41: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/41.jpg)
SQL I j tiSQL Injection
Query = „SELECT * FROM user WHERE yusername='“+UserName+“' AND password='“+UserPass+“';
Abfrage für Daten von einem BenutzerAbfrage für Daten von einem BenutzerUserName, UserPass sind externe Variablen
− Werden nicht validiertP t i ll Lü kPotenzielle Lücke
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 42: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/42.jpg)
SQL I j tiSQL Injection
UserName=Admin und UserPass=' OR 23=23--
Angreifer kann SQL Befehle verwendenQuery = „SELECT * FROM user WHERE username='Admin' AND password='' OR 23=23--';
→ eine neue, richtige SQL-AbfrageDer Angreifer bekommt Adminzugriff→ Der Angreifer bekommt Adminzugriff
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 43: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/43.jpg)
SQL I j tiSQL Injection
„Die Benutzer sind grundsätzlich böse“„Die Benutzer sind grundsätzlich böseAlle Eingaben müssen vollständig getestet und
filt t dgefiltert werden− White-list FilterungWhite list Filterung
Serversoftware, Datenbanksoftware möglichst i ht it Ad i ht t tnicht mit Adminrechten starten
Wichtige Daten verschlüsselnWichtige Daten verschlüsselnKeine Informationsausgabe bei Fehlern
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 44: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/44.jpg)
XSSXSS
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 45: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/45.jpg)
XSSXSS
XSS Cross-Site-ScriptingXSS Cross Site ScriptingPlatz 1-2 bei „OWASP Top 10“Sehr gefährlichE t t hät t Si h h it lü kExtrem unterschätzte SicherheitslückeBetroffen sind meist WebanwendungenBetroffen sind meist Webanwendungen
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 46: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/46.jpg)
XSSXSS
Dynamische InhalteDynamische Inhalte − Serverseitige und Clientseitige Scriptsprachen
Bei XSS wird meist Javascript (Clientseitig) für Ausnutzung verwendetg
Aber auch viele andere möglich
B t ff b A dBetroffen: web AnwendungenBei einem gutem Angriff merkt der BetroffeneBei einem gutem Angriff merkt der Betroffene nichts
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 47: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/47.jpg)
XSSXSS
http://shampoo.antville.org/static/shampoo/images/background_xss.gif
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 48: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/48.jpg)
XSSXSS
Problem: ungefilterte Eingaben von BenutzerProblem: ungefilterte Eingaben von BenutzerExistiert eine XSS Lücke, so ist es dem A if ö li h B J i t C dAngreifer möglich z.B. Javascript-Code einzubindenVielfältige AusnutzmöglichkeitenEs können auch gleichzeitig mehrere betroffen sein
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 49: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/49.jpg)
XSSXSS
Szenario:Szenario:− Angreifer findet eine XSS-Lücke− Benutzer logt sich ein− Angreifer schickt eine modifizierte URLAngreifer schickt eine modifizierte URL
Javascript wird vom Angreifer ausgeführt → Umleitung auf Angriffsseite→ Umleitung auf AngriffsseiteCookies werden gespeichertRü k l iRückumleitung
− Benutzer klickt auf die URL, merkt aber nichts18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 50: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/50.jpg)
XSSXSS
Benutzerdaten-KlauBenutzerdaten Klau− Cookie Klau/Fälschung
Webseiten defacementBenutzerdaten ÄnderungBenutzerdaten ÄnderungPhishingg...
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 51: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/51.jpg)
XSSXSS
Das Problem kann wieder durchDas Problem kann wieder durch Eingabefilterung vermieden werdenV hlü l L i D tVerschlüsselung von Login-Daten
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 52: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/52.jpg)
PraxisPraxis
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 53: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/53.jpg)
N t t d B t i b tNeustart des Betriebssystems
Problem:Problem: − 1. Angriffsziel: Virenscanner, Firewall,
UpdatesystemUpdatesystem− Wie groß Überlebenszeit des ungeschützen
Systems - SURVIVAL -TIME ?
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 54: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/54.jpg)
S i l TiSurvival-Time
Mittelwert der Zeit die vergeht bis ein gungeschütztes Rechnersystem attakiert wird.
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 55: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/55.jpg)
S i l TiSurvival-Time
[http://isc sans org/survivaltime html]18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
[http://isc.sans.org/survivaltime.html]
![Page 56: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/56.jpg)
V h lt tiVerhaltenstips
Gleich nach Installation –2 Benutzerkonten festlegen und gAdministrator-Passwort festlegen. Aktuellen Browser Service Pack Treibersoftware überAktuellen Browser, Service Pack, Treibersoftware, über sicheren PC runterladen und installieren (Sicherheitseinstellung zu Beginn HOCH )
Client für Microsoft-Netzwerde deaktivierenErst jetzt PC via Kabel mit Internet verbindenErst jetzt PC via Kabel mit Internet verbindenErst Antivirensoftware und Firewall updaten!!! Windowsupdates nur mit internet explorer möglichSofort automatisch Updates aktivieren
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
Sofort automatisch Updates aktivieren
![Page 57: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/57.jpg)
V h lt tiVerhaltenstips
Weitere Kernsoftware installieren ( MS Office )Weitere Kernsoftware installieren ( MS Office ...)
(Disc-) Image anlegen (z.B. mit Norton Ghost)
2. Benutzer - Account die Administrator-Rechte entziehen Gast-Account komplett deaktivierenentziehen. Gast Account komplett deaktivieren.
(Administrator-Account wird jetzt nur noch für Systemeinstellungen benutzt. Bei Windows Vista ist dies nicht mehr nötig.)Windows Vista ist dies nicht mehr nötig.)
Mit Softwareinstallation im 2. Account fortfahren d b j t t i b tund ab jetzt immer benutzen.
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 58: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/58.jpg)
W i t PC i fi i t?Wann ist PC infiziert?
Spyware:Spyware: − Während des Besuchs einer Webseite
erscheinen Links und Werbefenster ( li h)erscheinen Links und Werbefenster (englisch)
− Werbefenster sind häufig verlinkt.
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 59: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/59.jpg)
W i t PC i fi i t?Wann ist PC infiziert?
Trojaner & Würmer: − Häufige Abstürzen des Systems oder
einzelner Komponentenp− System wird stark langsamer
V b h h h I t tb db it H h− Verbrauch hoher Internetbandbreite – Hoher Uploadstream obwohl Benutzer kaum arbeitet
− Ungewöhnliche Einträge in der Registry, Konfigurationsdatein, Taskmanager.
− Virenscanner und Firewall lassen sich nicht mehr richtig updaten oder sind deaktiviert
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
g p
![Page 60: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/60.jpg)
W i t PC i fi i t?Wann ist PC infiziert?
Mitmenschen beschweren sich VirenverseuchteMitmenschen beschweren sich Virenverseuchte e-mails vom ihnen zu bekommen. (kein sicheres Indiz)
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 61: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/61.jpg)
W t i fi i t?Was tun wenn infiziert?
Keine PanikKeine PanikInternetverbindung trennen – Stecker ziehen Verbindung zu Netzwerken trennen – sonst kann es zum Ping-Pong-Effekt kommenes zum Ping-Pong-Effekt kommen
− Rechner infizieren sich immer gegenseitig
Sicherung persönlicher Daten auf CD/DVD und vermerken dass Daten infiziert sein können− und vermerken, dass Daten infiziert sein können
Viren- und Spywarescanner starten18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 62: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/62.jpg)
W t i fi i tWas tun wenn infiziert
Eliminieren aller potentiellen Dateien.Eliminieren aller potentiellen Dateien.Namen der gefundenen Dateien aufschreibenErneut mit dem Internet verbinden & Scannersoftware updatenScannersoftware updaten. Regergieren der Namen:
− www.symantec.de
− www.mcafee.com
− www.kapersky.com
Hier gibt es meistens auch Removal-Tools
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
g
![Page 63: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/63.jpg)
W t i fi i tWas tun wenn infiziert
Tools runterladen und erneut scannen bzw.Tools runterladen und erneut scannen bzw. Onlinescann durchführen
t b li d / / ft / ti i ht l− www.tu-berlin.de/www/software/antivirus.shtml
Zweiten (On-Demand-) Scanner z.B. BitDefender http://www.bitdefender.de
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 64: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/64.jpg)
QuellenQuellen
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann
![Page 65: Computersicherheit - users.minet.uni-jena.deusers.minet.uni-jena.de/.../07.Datensicherheit.Miller+Schumann.pdf · 18.12.09 (FSU) Dmitrij Miller, Stephan Schumann. FtStiFormat Strings](https://reader033.vdocuments.net/reader033/viewer/2022041416/5e1bb385a531bf1a794214e3/html5/thumbnails/65.jpg)
Q llQuellen
„Smashing the Stack for fun and Profit“
− http://www.phrack.org/issues.html?issue=49&id=14#article„Hacking: The Art of Exploitation“ - Jon Erickson
Buffer Overflows und Format-String-Schwachstellen - Tobias Klein
Pics by google :)Pics by google :)
Wikipedia ;)
K Jano ic Sicherheit im Internet O`Reill Verlag & Co KGK. Janowicz - Sicherheit im Internet - O Reilly Verlag & Co. KG
IBM X-Force 2008 Trend & Risk Report
http://isc.sans.org/survivaltime.html
http://www.iks-jena.de
18.12.09 (FSU) Dmitrij Miller, Stephan Schumann