Hacker Methoden - Prof. Dr. Heinz-Michael Winkels
Hacker Methoden - Prof. Dr. Heinz-Michael Winkels
Hacker Methoden - Prof. Dr. Heinz-Michael Winkels
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>Hacker</strong> <strong>Methoden</strong><br />
IT-Sicherheit<br />
<strong>Hacker</strong> <strong>Methoden</strong><br />
für den Angriff auf IT-Systeme<br />
Dortmund, Oktober 2004<br />
<strong>Hacker</strong><strong>Methoden</strong>.ppt/HMW/11.10.2004<br />
<strong>Prof</strong>. <strong>Dr</strong>. <strong>Heinz</strong>-<strong>Michael</strong> <strong>Winkels</strong>, Fachbereich Wirtschaft FH Dortmund<br />
Emil-Figge-Str. 44, D44227-Dortmund, TEL.: (0231)755-4966, FAX: (0231)755-4902<br />
<strong>Prof</strong>. <strong>Dr</strong>. <strong>Heinz</strong>-<strong>Michael</strong> <strong>Winkels</strong>, FH-Dortmund<br />
1
<strong>Hacker</strong> <strong>Methoden</strong><br />
IT-Sicherheit<br />
Inhalt<br />
Seite<br />
Angreifer 3<br />
Arten der Bedrohung<br />
Angriffsstrategien<br />
Praktische <strong>Methoden</strong><br />
Tools<br />
Literaturverzeichnis<br />
Internet-Links<br />
<strong>Hacker</strong><strong>Methoden</strong>.ppt/HMW/11.10.2004<br />
<strong>Prof</strong>. <strong>Dr</strong>. <strong>Heinz</strong>-<strong>Michael</strong> <strong>Winkels</strong>, FH-Dortmund<br />
2
<strong>Hacker</strong> <strong>Methoden</strong><br />
IT-Sicherheit<br />
Angreifer<br />
Äußere Bedrohungen<br />
• <strong>Hacker</strong> / Cracker<br />
• Script Kiddies<br />
• Spione<br />
– Wirtschaftsspionage<br />
– Militärische Spionage<br />
• Kriminelle<br />
• Konkurrenz<br />
• ....<br />
<strong>Hacker</strong><strong>Methoden</strong>.ppt/HMW/11.10.2004<br />
<strong>Prof</strong>. <strong>Dr</strong>. <strong>Heinz</strong>-<strong>Michael</strong> <strong>Winkels</strong>, FH-Dortmund<br />
3
<strong>Hacker</strong> <strong>Methoden</strong><br />
IT-Sicherheit<br />
... Angreifer<br />
Innere Bedrohungen<br />
• „Disgruntled Employee“<br />
– unzufrieden<br />
– frustriert<br />
– Innere Kündigung<br />
• Betriebsfremde<br />
• Gezielter Angriff von Außen über Mitarbeiter im Unternehmen<br />
– Erpressung<br />
<strong>Hacker</strong><strong>Methoden</strong>.ppt/HMW/11.10.2004<br />
<strong>Prof</strong>. <strong>Dr</strong>. <strong>Heinz</strong>-<strong>Michael</strong> <strong>Winkels</strong>, FH-Dortmund<br />
4
<strong>Hacker</strong> <strong>Methoden</strong><br />
IT-Sicherheit<br />
Arten der Bedrohungen („Threats“)<br />
Information Leakage<br />
• Datenausspähung<br />
• Ungewollte Freigabe von Informationen<br />
– ohne Ausnutzung von Programmfehlern<br />
– Ohne erheblichen Angriff<br />
– z. B. durch Konfigurationsprobleme<br />
• Tools:<br />
– dcetest,<br />
– Rpcdump,<br />
– TBA,<br />
– <strong>Dr</strong>agonBallz<br />
<strong>Hacker</strong><strong>Methoden</strong>.ppt/HMW/11.10.2004<br />
<strong>Prof</strong>. <strong>Dr</strong>. <strong>Heinz</strong>-<strong>Michael</strong> <strong>Winkels</strong>, FH-Dortmund<br />
5
<strong>Hacker</strong> <strong>Methoden</strong><br />
IT-Sicherheit<br />
... Arten der Bedrohungen („Threats“)<br />
Misinformation<br />
• Datenveränderung<br />
– z. B. in Datenbanken<br />
• Website Defacement<br />
• Überlauf von Protokolldaten<br />
<strong>Hacker</strong><strong>Methoden</strong>.ppt/HMW/11.10.2004<br />
<strong>Prof</strong>. <strong>Dr</strong>. <strong>Heinz</strong>-<strong>Michael</strong> <strong>Winkels</strong>, FH-Dortmund<br />
6
<strong>Hacker</strong> <strong>Methoden</strong><br />
IT-Sicherheit<br />
... Arten der Bedrohungen („Threats“)<br />
Denial of Service<br />
• Partielle oder vollständige Dienstunterbrechung<br />
– Z. B. für Email,<br />
– Webserver,<br />
– komplettes Betriebssystem<br />
• Sonderform DDoS (Distributed DoS)<br />
• Tools:<br />
– TFN,<br />
– TFN2K,<br />
– Trinoo,<br />
– Stacheldraht,<br />
– Portfuck<br />
<strong>Hacker</strong><strong>Methoden</strong>.ppt/HMW/11.10.2004<br />
<strong>Prof</strong>. <strong>Dr</strong>. <strong>Heinz</strong>-<strong>Michael</strong> <strong>Winkels</strong>, FH-Dortmund<br />
7
<strong>Hacker</strong> <strong>Methoden</strong><br />
IT-Sicherheit<br />
... Arten der Bedrohungen („Threats“)<br />
Theft of Service<br />
• Unerlaubte Benutzung fremder Ressourcen<br />
• Auch zur Anonymisierung verwendbar<br />
– z. B. Webmailer bei Angriffen auf <strong>Dr</strong>itte<br />
• Beispiele:<br />
– Junkmail<br />
– Spam<br />
<strong>Hacker</strong><strong>Methoden</strong>.ppt/HMW/11.10.2004<br />
<strong>Prof</strong>. <strong>Dr</strong>. <strong>Heinz</strong>-<strong>Michael</strong> <strong>Winkels</strong>, FH-Dortmund<br />
8
<strong>Hacker</strong> <strong>Methoden</strong><br />
IT-Sicherheit<br />
... Arten der Bedrohungen („Threats“)<br />
Elevation of Privileges<br />
• „Klassisches Szenario“<br />
• Verschaffen eines privilegierten Zugangs<br />
– Mit oder ohne vorheriger Zugangsberechtigung<br />
– Remote oder lokal<br />
• Beispiele:<br />
– über Spoofing („Attacks on trusted identitiy“)<br />
• Tools:<br />
– Elitewrap,<br />
– Getadmin,<br />
– Imp,<br />
– Jcmd<br />
<strong>Hacker</strong><strong>Methoden</strong>.ppt/HMW/11.10.2004<br />
<strong>Prof</strong>. <strong>Dr</strong>. <strong>Heinz</strong>-<strong>Michael</strong> <strong>Winkels</strong>, FH-Dortmund<br />
9
<strong>Hacker</strong> <strong>Methoden</strong><br />
IT-Sicherheit<br />
Angriffsstrategien<br />
Wie findet man Angriffspunkte?<br />
• Abhängig von Problemstellung und Ziel<br />
• Abhängig von Informationslage<br />
– Ausreichende Informationen?<br />
• Fast immer: Reverse Engineering einer Black-, Translucent- oder Crystal Box<br />
– Beispiele:<br />
Black Box: proprietäres System<br />
Translucent: Windows<br />
Crystal Box: Linux<br />
• In der Realität steht der Angreifer immer vor Translucent Boxes von unterschiedlicher<br />
„Durchsichtigkeit“<br />
• Typischerweise ist dies als Rahmeninformation ausreichend<br />
• Open Source Software hat (bestreitbare) spezifische Vorteile<br />
<strong>Hacker</strong><strong>Methoden</strong>.ppt/HMW/11.10.2004<br />
<strong>Prof</strong>. <strong>Dr</strong>. <strong>Heinz</strong>-<strong>Michael</strong> <strong>Winkels</strong>, FH-Dortmund<br />
10
<strong>Hacker</strong> <strong>Methoden</strong><br />
IT-Sicherheit<br />
... Angriffsstrategien<br />
Reverse Engineering: Black Box<br />
• Innerer Aufbau unbekannt<br />
• Ziel ist Information Leakage<br />
• Reaktion auf erwartete und unerwartete Eingaben austesten<br />
• Zustandsabhängigkeiten austesten<br />
• Schlüsse auf inneren Aufbau ableiten, um Angriffspunkte zu identifizieren<br />
<strong>Hacker</strong><strong>Methoden</strong>.ppt/HMW/11.10.2004<br />
<strong>Prof</strong>. <strong>Dr</strong>. <strong>Heinz</strong>-<strong>Michael</strong> <strong>Winkels</strong>, FH-Dortmund<br />
11
<strong>Hacker</strong> <strong>Methoden</strong><br />
IT-Sicherheit<br />
... Angriffsstrategien<br />
Reverse Engineering: Translucent Box<br />
• Innerer Aufbau<br />
– teilweise bekannt oder<br />
– mit gutem Grund vermutet<br />
• Gezieltes Testen vermuteter Reaktionen<br />
• Gezielte Verifikation von Schlüssen und Annahmen<br />
• Translucent Box ist Ziel der Analyse einer Black Box<br />
<strong>Hacker</strong><strong>Methoden</strong>.ppt/HMW/11.10.2004<br />
<strong>Prof</strong>. <strong>Dr</strong>. <strong>Heinz</strong>-<strong>Michael</strong> <strong>Winkels</strong>, FH-Dortmund<br />
12
<strong>Hacker</strong> <strong>Methoden</strong><br />
IT-Sicherheit<br />
... Angriffsstrategien<br />
Reverse Engineering: Crystal Box<br />
• Innerer Aufbau vollständig bekannt<br />
– z. B. Open Source Software<br />
• Bei Software:<br />
– Automatische (z. B. mit its4) und<br />
– Manuelle Source-Code-Analyse auf bekannte Verwundbarkeiten<br />
<strong>Hacker</strong><strong>Methoden</strong>.ppt/HMW/11.10.2004<br />
<strong>Prof</strong>. <strong>Dr</strong>. <strong>Heinz</strong>-<strong>Michael</strong> <strong>Winkels</strong>, FH-Dortmund<br />
13
<strong>Hacker</strong> <strong>Methoden</strong><br />
IT-Sicherheit<br />
Praktische <strong>Methoden</strong><br />
Network Mapping (Scans) zur Identifikation der Problemstellung<br />
• Identifikation von Basisinformationen<br />
– Z. B. Betriebssystem, -version<br />
• Schafft Informationen über Art und Konfiguration der Zielsystem<br />
– Z. B. Webserver, -module<br />
• Verringert notwendigen Aufwand<br />
<strong>Hacker</strong><strong>Methoden</strong>.ppt/HMW/11.10.2004<br />
<strong>Prof</strong>. <strong>Dr</strong>. <strong>Heinz</strong>-<strong>Michael</strong> <strong>Winkels</strong>, FH-Dortmund<br />
14
<strong>Hacker</strong> <strong>Methoden</strong><br />
IT-Sicherheit<br />
... Praktische <strong>Methoden</strong><br />
Vulnerability Scans auf den gewonnen Informationen<br />
• Testet auf den gefundenen oder nicht identifizierten Diensten bekannte Angriffsmöglichkeiten<br />
• Kann automatisiert erledigt werden<br />
• Manche Tools (z. B. Nessus) erledigen beides in einem Arbeitsgang<br />
<strong>Hacker</strong><strong>Methoden</strong>.ppt/HMW/11.10.2004<br />
<strong>Prof</strong>. <strong>Dr</strong>. <strong>Heinz</strong>-<strong>Michael</strong> <strong>Winkels</strong>, FH-Dortmund<br />
15
<strong>Hacker</strong> <strong>Methoden</strong><br />
IT-Sicherheit<br />
... Praktische <strong>Methoden</strong><br />
Welche <strong>Methoden</strong> werden für Angriffe verwendet?<br />
• Unerwartete Eingaben,<br />
– z. B. in Formularen für SQL-Eingaben<br />
– z. B. in Form von Buffer Overflow-Angriffen<br />
• Automatisierte „Exploits“<br />
• Spoofing („Attacks on trusted identity“)<br />
• Social Engineering<br />
– Ablenken bei der Passwort-Eingabe<br />
– Beobachten der Passwort-Eingabe<br />
– Vortäuschen, Administrator zu sein<br />
– ...<br />
• Schlüsse über gewonnenen Informationen und Analyse weiterer Angriffspunkte<br />
<strong>Hacker</strong><strong>Methoden</strong>.ppt/HMW/11.10.2004<br />
<strong>Prof</strong>. <strong>Dr</strong>. <strong>Heinz</strong>-<strong>Michael</strong> <strong>Winkels</strong>, FH-Dortmund<br />
16
<strong>Hacker</strong> <strong>Methoden</strong><br />
IT-Sicherheit<br />
Tools<br />
Mit Hilfe von Disassemblern und Debuggern können Sicherheitslücken aufgespürt und<br />
Programme geknackt werden<br />
• Disassembler werden zum Entschlüsseln der Anwendungen benutzt<br />
– Rechner muss Befehle der Anwendungen verstehen<br />
Maschinen-Code besteht aus Nullen und Einsen, die gelesen und interpretiert werden<br />
Bestimmte Folgen ergeben Befehle (Speicheranwendungen, mathem. Rechenoperationen, etc. )<br />
– Der Disassembler wandelt Binärcode in Assemblercode um<br />
Zurückübersetzung, nur so kann man Lücken entdecken<br />
• Bekannte Disassembler<br />
– IDA (Intelligent Disassembler) www.datarescue.com/idabase/<br />
• Um Fehler in Anwendungen zu finden, können alle Quellcode-Befehle von einem Debugger<br />
überwacht und analysiert werden<br />
• Ein <strong>Hacker</strong> beobachtet so das Verhalten in bestimmten Situationen und zieht Rückschlüsse auf<br />
Schwachstellen im System<br />
<strong>Hacker</strong><strong>Methoden</strong>.ppt/HMW/11.10.2004<br />
<strong>Prof</strong>. <strong>Dr</strong>. <strong>Heinz</strong>-<strong>Michael</strong> <strong>Winkels</strong>, FH-Dortmund<br />
17
<strong>Hacker</strong> <strong>Methoden</strong><br />
IT-Sicherheit<br />
Literaturverzeichnis<br />
• Anonymous: <strong>Hacker</strong>‘s Guide, Markt&Technik, 1999<br />
<strong>Hacker</strong><strong>Methoden</strong>.ppt/HMW/11.10.2004<br />
<strong>Prof</strong>. <strong>Dr</strong>. <strong>Heinz</strong>-<strong>Michael</strong> <strong>Winkels</strong>, FH-Dortmund<br />
18
<strong>Hacker</strong> <strong>Methoden</strong><br />
IT-Sicherheit<br />
Internet-Links<br />
• http://www.cert.org<br />
• http://www.securityfocus.com/<br />
• http://www.whalecommunications.com/<br />
• http://www.watchguard.com/<br />
• http://www.microsoft.com/security/default.asp<br />
• http://www.insecure.org/nmap/<br />
• http://www.hideaway.net/stealth/<br />
• http://www.securityfocus.com<br />
• http:// www.ticm.com/kb/faq/idsfaq.html<br />
• www-rnks.informatik.tu-cottbus.de/~sobirey/ids.html<br />
• www.icsa.net/html/communities/ids/membership/index.shtml<br />
• http://www.un-secure.de/<br />
• http://212.227.188.60/pages/hackerzbook/<br />
• http://www.infoserversecurity.org<br />
• http:/www.tripwire.org/<br />
• http://www.bsi.de<br />
• http://www.heise.de<br />
<strong>Hacker</strong><strong>Methoden</strong>.ppt/HMW/11.10.2004<br />
<strong>Prof</strong>. <strong>Dr</strong>. <strong>Heinz</strong>-<strong>Michael</strong> <strong>Winkels</strong>, FH-Dortmund<br />
19
<strong>Hacker</strong> <strong>Methoden</strong><br />
IT-Sicherheit<br />
Internet-Links<br />
• http://www.all.net<br />
• http://www2.axent.com/swat/news/ddos.htm<br />
• http://www.cert.org/reports/dsit_workshop.pdf<br />
• http://www.first.org/alerts/codered.html<br />
• http://www.research.att.com/~smb/talks/nanog-dos/index.htm<br />
• http://www.iss.net/security_center/alerts/advise43.php<br />
• http://www.sans.org/newlook/home.php<br />
• http://www.nessus.org/<br />
• http://www.atstake.com/research/tools/index.html<br />
• http://rr.sans.org/tools/tools_list.php<br />
• http://www.insecure.org/tools.html<br />
• http://www.hackingexposed.com/tools/tools.html<br />
• http://netsecurity.about.com/cs/hackertools/<br />
• http://www.nmrc.org/files/snt/<br />
• http://neworder.box.sk/<br />
<strong>Hacker</strong><strong>Methoden</strong>.ppt/HMW/11.10.2004<br />
<strong>Prof</strong>. <strong>Dr</strong>. <strong>Heinz</strong>-<strong>Michael</strong> <strong>Winkels</strong>, FH-Dortmund<br />
20