Rechner- und Betriebssystemsicherheit - Physische Sicherheit Identifikation von Menschen und IT-Systemen Zugangs- und Zugriffskontrolle

Die Seite wird erstellt Gerd Opitz
 
WEITER LESEN
Rechner- und Betriebssystemsicherheit - Physische Sicherheit Identifikation von Menschen und IT-Systemen Zugangs- und Zugriffskontrolle
Rechner- und
    Betriebssystemsicherheit

    Physische Sicherheit
    Identifikation von Menschen und IT-Systemen
    Zugangs- und Zugriffskontrolle

1
Rechner- und Betriebssystemsicherheit - Physische Sicherheit Identifikation von Menschen und IT-Systemen Zugangs- und Zugriffskontrolle
Sicherheit im einzelnen Rechner: Physische Sicherheit
• Physische Sicherheit

     – Alle technischen Schutzmaßnahmen benötigen eine physische
       »Verankerung« in Form eines Systemteils, auf den der Angreifer
       keinen physischen Zugriff hat.

• Physische Sicherheit zu erhalten, gelingt bestenfalls auf Zeit.

    Rechenzentrum             einzelner   Sicherheitsmodul     Chipkarte
                               Rechner

2
Rechner- und Betriebssystemsicherheit - Physische Sicherheit Identifikation von Menschen und IT-Systemen Zugangs- und Zugriffskontrolle
Physische Sicherheit: Grundfunktionen
• Beobachtende Angriffe:
   – Schirmung (elektromagnetische Abstrahlung, Energieverbrauch
     – unabhängig von den zu schützenden Geheimnissen)
• Verändernde Angriffe:
   – Erkennen, Bewerten,Verzögern und ggf. Löschen der geheimen
     Informationen.

         Verzögern (z.B. hartes Material),
         Erkennen (z.B. Erschütterungs-, Drucksensoren)

                         Schirmen,
                         Bewerten

                             Löschen

3
Rechner- und Betriebssystemsicherheit - Physische Sicherheit Identifikation von Menschen und IT-Systemen Zugangs- und Zugriffskontrolle
Physische Sicherheit
• Sicherheitsmodul

                                      Bild: www.lampertz.de
    –   Brandschutz
    –   Zutrittsschutz
    –   Klimatisierung
    –   Unabhängige Stromversorgung

4
Rechner- und Betriebssystemsicherheit - Physische Sicherheit Identifikation von Menschen und IT-Systemen Zugangs- und Zugriffskontrolle
Chipkarten
                                       Plastic Card
                                        ISO 7810

                                                   Contactless Card

Contact Card      Close Coupling       Proximity Coupling    Vicinity Coupling      Remote Coupling
 ISO 7816           ISO 10536              ISO 14443            ISO 15693           WD/ISO 18000-x

Speicherkarte                             Speicherkarte        Speicherkarte           Speicherkarte
Prozessorkarte
Prozessorkarte     Prozessorkarte        Prozessorkarte
                                         Prozessorkarte
                                                               Smart Label              Tags, Token

                                       2001 standardisiert   2002 standardisiert   «long range»
                                        100 cm
                                       13,56 MHz                                   135 kHz, 2,45 GHz

                 Dual Interface Card                           nach: Andreas Schauer: Auf dem Vormarsch: E-
                                                               Ticketing. Card-Forum 9 (2003) 33-35.
  5
Rechner- und Betriebssystemsicherheit - Physische Sicherheit Identifikation von Menschen und IT-Systemen Zugangs- und Zugriffskontrolle
Negativbeispiel Chipkarten
• Probleme
   – Erkennen schwierig
   – Schirmung schwierig (Karte dünn und biegsam)              ?
   – kein Löschen vorgesehen, selbst bei Stromversorgung

• Beispiele für Angriffe:
   – Zerstörend:
       • Vorbereitung: Abschleifen und Anätzen der Schutzschichten
       • ggf. Reverse Engineering: Untersuchung der Strukturen unter
         Elektronenmikroskop, wenn Funktion unbekannt
       • Microprobing-Nadel
       • Fault Injection: gezielte Manipulation von Bits durch Beschuß
         mit elektromagnetischer Strahlung
   – Zerstörungsfrei: meist sog. sidechannel attacks
       • Messung des Energieverbrauchs: power analysis
       • Messung der benötigten Rechenzeit: timing attacks

6
Rechner- und Betriebssystemsicherheit - Physische Sicherheit Identifikation von Menschen und IT-Systemen Zugangs- und Zugriffskontrolle
Zerstörende Angriffe und Schutz davor

                                                       ?
                Microprobing-Nadel          Fault Injection

                                        0
            0                           0
                                        1

7
Rechner- und Betriebssystemsicherheit - Physische Sicherheit Identifikation von Menschen und IT-Systemen Zugangs- und Zugriffskontrolle
Timing Attack / Power Analysis (Skizze)
                               Klartext
Stromversorgung                                 Dem Angreifer unbekannt:
                                                key = array of bit
                                          key       = ( 0, 1, 1, 0, 1, ...)
             I
                   A                            Dem Angreifer bekannt:
                                                encrypt (Klartext, key)
                                                  {   ...
                               Schlüsseltext          for i = 1 to length(key)
                                                        {    ...
        Angriffsziel: Key ermitteln                          if (key[i] == 1)
    I                                                          { ... }
                                                               /* ∆I > 0,
                                                                    ∆t > 0
                               ...                               */
                                                             else
         0    1   1    0    1 ... t                            {  }
                                                               /* I ≈ const,
          »1«     hoher Stromverbrauch                              t ≈ const
          »0«     niedriger Stromverbrauch                       */
                                                        }
        Schlüsselbits sind direkt auslesbar.          ...
                                                  }

8
Rechner- und Betriebssystemsicherheit - Physische Sicherheit Identifikation von Menschen und IT-Systemen Zugangs- und Zugriffskontrolle
Timing Attack / Power Analysis (Skizze)
                           Klartext
Stromversorgung                                Dem Angreifer unbekannt:
                                               key = array of bit
                                      key          = ( 0, 1, 1, 0, 1, ...)
           I
                A                              Dem Angreifer bekannt:
                                               encrypt (Klartext, key)
                                                 {   ...
                           Schlüsseltext             for i = 1 to length(key)
                                                       {    ...
     Angriffsziel: Key ermitteln                            if (key[i] == 1)
                                                              { ... }
                                                              /* ∆I > 0,
     Auswege:                                                      ∆t > 0
       • interner »Energiepuffer«                               */
       • Verzweigungen vermeiden                            else
       •    durch Dummy-Befehle                      {  }
           der exakt gleichen Zykluszeit wie                  /* I ≈ const,
           { ... } ersetzen                                        t ≈ const
                                                                */
                                                       }
                                                     ...
                                                 }

9
Rechner- und Betriebssystemsicherheit - Physische Sicherheit Identifikation von Menschen und IT-Systemen Zugangs- und Zugriffskontrolle
Cold Boot und Hot Plug: Brechen der Festplattenverschlüsselung
• Cold Boot: https://citp.princeton.edu/research/memory/
   – Voraussetzung: Hauptspeicher des Rechner enthält den
     (flüchtigen) Key der Festplattenverschlüsselung
   – Nach Ausschalten verbleibt (nutzbare) Restladung
   – Abkühlen verlangsamt Speicherremanenz
   – Angreifer hat genügend Zeit, den Speicher auszubauen und
     auszulesen

• Hot Plug: http://www1.informatik.uni-erlangen.de/sed
   – Annahme: Festplattenverschlüsselung direkt auf der Platte;
     Hauptspeicher enthält nicht mehr den Key
   – Hausdurchsuchungsszenario: Rechner wird im laufenden Betrieb
     gefunden, nicht ausgeschaltet, die Festplatte (unter Strom) an
     einen externen Controller angeschlossen
   – einige Festplatten bemerken Controllerwechsel nicht

10
Identifikation von Menschen durch IT-Systeme
•    Was der Mensch ist

                                                                                                 ?
      – Handgeometrie
      – Fingerabdruck
      – Aussehen*
      – eigenhändige Unterschrift*                           SecurID
      – Retina-Muster
      – Stimme
      – Tipp-Charakteristik
      – DNA-Muster                    Bild:
                                      http://www.rsasecurity.com
•    Was der Mensch hat
      – Papierdokument*
      – Metallschlüssel                                                Bild: ntz, Heft 3-4/2006, S. 35

      – Magnetstreifenkarte
      – Chipkarte
      – Taschenrechner
•    Was der Mensch weiß
      – Passwort
      – Antworten auf Fragen
      – Rechenergebnisse für Zahlen
     *=Ausweis
11
Biometrische Merkmale
•    Physiologische
      – Handgeometrie
      – Handvenenmuster
      – Fingerabdruck
      – Retina
      – Iris
      – Gesicht
                              Bilder:
      – DNA                   http://biometrics.cse.msu.edu/
                              http://www.atica.pm.gouv.fr/dossiers/documents/biometrie.shtml
      – Ohrmuscheln           http://www.br-online.de/wissen-bildung/thema/biometrie/koerper.shtml

•    Verhaltensbasierte
      – Handschrift
      – Stimme
      – Lippenbewegung
      – Tipp-Charakteristik
      – Gang

                                                                                   Bild: Acer

12
Passwortregeln
•    Ändern Sie Ihr Passwort in regelmäßigen Abständen.
•    Legen Sie niemals Passwörter in Dateien ab.
•    Verwenden Sie in Ihrem Passwort nicht
      – Namen, Telefonnummern, Geburtsdaten, Autonummern,
      – Wörter aus Wörterbüchern, Eigennamen,
                                                        Passwortflut macht Nutzer
      – Tastaturmuster (vgl. »wertzuio«).               leichtsinnig
      – All dies rückwärts oder doppelt.                Belford (sts) – Mehr als 13
      – All dies mit Ziffern oder Sonderzeichen davor   Passwörter benötigt ein Viertel
                                                        der 1700 von RSA befragten
         oder dahinter.                                 Firmenanwender. Und meist
      – All dies in kombinierter Groß- und Klein-       sind diese regelmäßig zu
                                                        ändern. Folge: Vergessene
         schreibweise.                                  Codes, deren Reset bis zu 145
•    Beachten Sie, dass häufig nur die ersten acht      Dollar pro Fall kostet. Zudem
     Zeichen des Passwortes signifikant sind.           notieren Nutzer ihre
                                                        Zugangsdaten oft unsicher in
•    Verwenden Sie                                      PC-Dateien, PDAs oder auf
                                                        Papier. Abhilfe schaffen Single-
      – viele verschiedene Zeichen,                     Sign-On-Verfahren. Quelle:
      – kombinierte Groß- und Kleinschreibweise,        Computerzeitung 35. Jahrgang Nr.
                                                        40, 4.10.05, S. 1
      – Ziffern und Sonderzeichen.
•    Trick: Verwenden Sie die Anfangsbuchstaben eines »verrückten« Satzes, der
     auch Zahlen und Sonderzeichen enthält.
13
Welche Passwörter werden tatsächlich genutzt?
• Im Dezember 2009 wurden 32 Millionen Passwörter von einem
  Hacker veröffentlicht: Studie von Imperva (http://www.imperva.com)

     – Ein blinder Log-in-Versuch mit
                                                               Rang    Passwort       Häufigkeit
       »123456« führt in 0,9 % der
                                                               1       123456         290731
       Fälle zum Erfolg.
                                                               2       12345          79078
     – Rund 50 % der Passwörter
                                                               3       123456789      76790
       können als »schwach« bezeichnet
       werden:                                                 4       Password       61958
                                                               5       iloveyou       51622
        • Wörter aus Wörterbüchern
                                                               6       princess       35231
        • Tastaturmuster
                                                               7       rockyou        22588
                                                               8       1234567        21726
         Prüfung der Passwortqualität
                                                               9       12345678       20553
         durch Systembetreiber ist
         zwingend erforderlich!                                10      abc123         17542
                                                               11      Nicole         17168
                                                               12      Daniel         16409
      Quelle: The Imperva Application Defense Center (ADC): Consumer Password Worst Practices, 2010
15
Identifikation von IT-Systemen durch Menschen
• Was es ist:
   – Gehäuse

                                                                      ?
   – Siegel
   – Hologramm
   – Verschmutzung

• Was es weiß:                      Warum ist das relevant?
                                    • Faked Login-Screen
   – Passwort                       • Phishing
   – Antworten auf Fragen           • Keylogger
                                    • Manipulation Geldautomat
   – Rechenergebnisse für Zahlen

• Wo es steht.

                                       Bilder: http://keyspy.de.vu/
16
Manipulationen an Geldautomaten       Quelle: Bundesgrenzschutzamt Flensburg

                                  1. Aufsatz auf Kartenschlitz
                                     liest Magnetstreifen …

17
Manipulationen an Geldautomaten      Quelle: Bundesgrenzschutzamt Flensburg

                                  2. Kamera erfasst PIN-Eingabe
                                     und überträgt die Daten per
                                     Funk

                                  Antenne

18
Phishing
• E-Mail des Angreifers (Spam-E-Mail)

19
Original

20
Fälschung

21
Fälschung

22
Man-in-the-middle-attack auf TAN-Verfahren (Skizze)
• Voraussetzung: Angreifer
   – betreibt täuschend echte Webseite der Bank
   – bewegt den Kunden zum Besuch dieser Seite

     Kunde                           Angreifer                                 Bank

         Login bei der (falschen) Bank
         Angreifer fängt Daten ab

         Kunde startet Transaktion

         Anforderung TAN

         Kunde: TAN

         Angreifer: „Bestätigung“           Angreifer startet eigene Transaktion

                                            nutzt abgefangene TAN

                                            Bank: Bestätigung

23
Man-in-the-middle-attack auf iTAN-Verfahren (Skizze)
• Verbesserungen gegenüber normalem TAN-Verfahren:
   – Angreifer benötigt »Online-Hilfe durch Kunden«, d.h. er kann nur
     Transaktionen erfolgreich durchführen, wenn Kunde dies selbst
     gerade tun will

     Kunde                            Angreifer                                  Bank

         Login bei der (falschen) Bank
         Angreifer fängt Daten ab

         Kunde: startet Transaktion
                                              Angreifer: startet eigene Transaktion

                            Bank: Anforderung iTAN (Index)

         Kunde: TAN
                                              Angreifer: TAN

         Angreifer: „Bestätigung“             Bank: Bestätigung

24
mTAN-Verfahren (Skizze)
• Voraussetzung für Sicherheit:
   – mobiles Gerät wird nicht gleichzeitig für die Transaktion
     verwendet (Medienbruch beim Kunden)

     Kunde                                   Angreifer                            Bank

                Login bei der (falschen) Bank
                Angreifer fängt Daten ab

                Kunde: startet Transaktion
                                                    Angr.: startet eig. Transaktion

       Bank: Übermittlung Transaktionsdaten und TAN an mobiles Endgerät

 Kunde bricht Transaktion ab

25
Identifikation von IT-Systemen durch IT-Systeme
• Was es weiß:
   – Passwort

                                                   ?
   – Antworten auf Fragen
   – Rechenergebnisse für Zahlen
   – Kryptographie

• Leitung woher.

Zusammenspiel:

                   PIN             Kryptographie

26
Zugangskontrolle (admission control)

• Zweck
   – Nur mit berechtigten Partnern weiter kommunizieren
   – Verhindert unbefugte Inanspruchnahme von Betriebsmitteln

                           Identifikation

     Inhalt                    IT-System erfragt die
                               Identitäten seiner
                               Kommunikationspartner

27
Zugriffskontrolle (access control)

Subjekt   kann Operation auf      Objekt     nur ausführen, wenn es das

               Recht dazu hat.

Zugriffskontrolle setzt eine vorangegangene Zugangskontrolle voraus.

                                           Zugriffsmonitor
                Benutzerprozess
                                           Berechtigung prüfen,
                                           Urheber und            Daten,
                                           Operation              Pro-
                                           protokollieren         gramme

28
Zugriffskontrollmodelle
• Discretionary Access Control (DAC)
   – Nutzerbezogene Zugriffskontrolle
   – Eigentümer-Prinzip:
       • Jedes Objekt hat einen Eigentümer, der Berechtigungen an
         Subjekte vergeben kann
   – Beispiel:
       • Linux-Dateirechte (rwx) für
           – Eigentümer (user) und
           – Gruppe/n (group)

             - r w x r - x - - -

                                   Zugriffsrechte für die Welt
                                   Zugriffsrechte für die Gruppe
                                   Zugriffsrechte für den Besitzer
                                   Dateityp

29
Zugriffskontrollmodelle
• Mandatory Access Control (MAC)
   – Systembestimmte Zugriffskontrolle
   – Hinzunahme weiterer Eigenschaften (z.B. Schutzstufen)
   – Beispiel: Bell LaPadula Modell
      • Informationsflusskontrolle (Schutzziel Vertraulichkeit)
      • Subjekte und Objekte werden in Schutzstufen eingeteilt, die
        eine Ordnung bilden
          – Subjekte niedrigerer Schutzstufen haben keinen
             Lesezugriff auf Objekte höherer Schutzstufen

                                        geheim

                                      vertraulich
             no-read-up
                                       öffentlich

30
Zugriffskontrollmodelle
• Role Based Access Control (RBAC)
   – Rolle beschreibt Berechtigungen
   – Nutzer werden einer oder mehreren Rollen zugeordnet
   – Änderungen an Berechtigungen der Rolle wirken sich auf alle
     Nutzer aus
   – Vertreter: SELinux
   – Verschiedene Ausprägungen von RBAC, um Widersprüche zu
     erkennen
       • z.B. (r und –) an ein Subjekt wäre widersprüchlich

                                  Arzt

               Subjekt           Rolle

31
Zugriffskontrollstrukturen
• Zugriffskontrollmatrix
   – in realen Systemen nicht vorhanden (Modellstruktur)
   – Großteil der Tabellenzeilen ist leer (kein Recht)
   – kombinierbar mit RBAC {user1 -> rolle1, …}

                                                       Daten,
                                                       Pro-
                                    Objekte            gramme

                         datei1   datei2      datei3     …
                user1    {r,w}                {r,x}
                user2             {r,w,x}
     Subjekte   user3     {r}      {r}
                  …
                rolle1   {r,w}                {r,x}
32
Zugriffskontrollstrukturen
• Access Control List (ACL) – Zugriffskontrollliste
   – Spaltenweise (kompakte) Sicht auf Zugriffskontrollmatrix
       • datei1: user1:rw user3:r … rolle1:rw
   – in realen Systemen häufig verwendet, da Zugriffsentscheidung
     sehr schnell getroffen werden kann

                          ACL
                                                       Daten,
                                                       Pro-
                                    Objekte            gramme

                         datei1   datei2      datei3     …
                user1    {r,w}                {r,x}
                user2             {r,w,x}
     Subjekte   user3     {r}      {r}
                  …
                rolle1   {r,w}                {r,x}
33
Zugriffskontrollstrukturen
• Capability List (CL)
   – Zeilenweise Sicht auf Zugriffskontrollmatrix
   – Welche Berechtigungen hat Nutzer x?
      • user1: datei1:rw datei2:rx …
   – selten implementiert, meist als Snapshot zur Dokumentation von
     Berechtigungen (Traversieren Dateisystem)

                                                       Daten,
                                                       Pro-
                                    Objekte            gramme

                         datei1   datei2      datei3     …
                user1    {r,w}                {r,x}
                user2             {r,w,x}
     Subjekte   user3     {r}      {r}
                  …
                rolle1   {r,w}                {r,x}
34
Abgrenzung: Zutritts-, Zugangs-, Zugriffskontrolle

Zutrittskontrolle

                                        !

        Zugangskontrolle                    Identifikation

                               Inhalt           IT-System erfragt die
                                                Identitäten seiner
                                                Kommunikationspartner

                Zugriffskontrolle
                                                                Zugriffsmonitor
                                            Benutzerpr.
                                                                Berechtigung
                                                                prüfen, Urheber
                                                                und Operation     Daten
                                                                protokollieren

35
Sie können auch lesen