IT-Sicherheit Flashcards
(27 cards)
Sicherheitssysteme von IT-Systemen
Potentielle Sicherheitsprobleme auf jeder Ebene
- Client: computerviren, Verlust einer Maschine
- Internetkommunikation: abhören, sniffling,
- Server: hacking, computerviren
- unternehmenssysteme: Diebstahl von Daten, kopieren von Daten, Änderungen von Daten
Klassifikation von Schäden
(1) direkte Schäden
- kosten Wiederbeschaffung
- kosten Wiederherstellung/ Reparatur
- Verlust Geheimhaltung und Integrität
(2) Folgeschäden
- stillstandkosten
- imageverlust ggü Kunden
- anspruchskosten
Schutzziele der IT Sicherheit
CIA Dreieck
• Confidentiality (Vertraulichkeit)
• Integrity (Integrität)
• Availability (Verfügbarkeit)
Zusätzliches Schutzziel
- Accountability (Zurechenbarkeit)
Confidentiality
Informationen werden nur Berechtigten bekannt
Integrity
Informationen sind richtig, vollständig und aktuell oder aber dies ist erkennbar nicht der Fall
Availability
Informationen sind dort und dann zugänglich wo und wann sie von Berechtigten gebraucht werden
Accountability
Sendern Bzw Empfängern von Informationen kann das senden Bzw Empfang der Information bewiesen werden
Bedrohungen und korrespondierende schutzziele
(1) Informationsgewinn-> Rechnerhersteller erhält Krankengeschichten —> Vertraulichkeit
(2) Modifikation von Informationen -> unerkannt Dosierungsanweisungen ändern —> Integrität
(3) Beeinträchtigung der Funktionalität -> erkennbar ausgefallen —> Verfügbarkeit
Authentisierung
Authentisierung ist die Bindung einer Identität an ein Subjekt.
Das Subjekt muss Informationen vorweisen die es dem System ermöglichen die Identität zu bestätigen
Authentisierungsinformationen
Die Informationen kommen aus einer der folgenden Quellen:
(1) was das Subjekt weiß-> Passwörter
(2) was das Subjekt hat-> Ausweis
(3) wer das Subjekt ist -> Fingerabdruck
Passwörter
Ein Passwort ist eine Information die mit einer Einheit verbunden ist und die die Identität dieser Einheit bestätigt
Angriffe auf Passwortsysteme
- Passwörter erraten
- Passwörter abfangen
- Kompromittierung der Passwort Datei
- Bedrohung des Subjekts
- Social Engineering
Systeminterne Verteidigungsmöglichkeiten
- pro-aktive passwortüberprüfung
- passwortgeneration Computer
- Alterung von Passwörtern
- Limitierung der Login versuche
- Benutzer informieren
Password Spoofing
Identifizierung und Authentifizierung mittels Benutzername und Passwort bietet nur einseitige Authentifizierung-> Nutzer weiß nicht wer Passwort empfängt
Vorgehensweise:
- Angreifer lässt Programm laufen das gefälschten Login Screen zeigt
- Nutzer versucht sich an System einzuloggen
- er wird nach Benutzername und Passwort gefragt
- Angreifer speichert Daten
- Login wird mir gefälschter Fehlermeldung abgebrochen und Spoofing Programm wird beendet
- häufig wird Benutzer dann auf echten Login Screen weitergeleitet
Phishing
Betrügerische E-Mail
Link zu gefälschter Login Seite
Gefälschte Adresse ist in URL sichtbar
Pharming
- wenn Nutzer nach zu einer bestimmten URL gehörigen IP Adresse fragt bekommt er falsche Adresse als Antwort
- Angriff gegen DNS Server oder pc des Nutzers
- wenn der Nutzer versucht Webseite aufzurufen wird er auf falsche Webseite umgelenkt
Security tokens
- physikalisches Token kann verloren gehen oder gestohlen werden
- jeder Besitzer des tokens hat selben zugriffsrechte wie rechtmäßige Eigentümer
- häufig werden tokens daher mit pins oder anderen Informationen kombiniert die zum rechtmäßigen Eigentümer gehören
- Risiko wird dadurch aber nicht eliminiert
Biometrie
- Identifikation durch physikalische Merkmale ist so alt wie Menschheit selbst
- versuche physikalische Eigenschaften zu finden die eindeutige Identifizierung von Personen ermöglichen würden im Idealfall zur fehlerfreien Authentifizierung führen
Beispiele : Fingerabdruck, Stimmerkennung
Multi- Faktoren Authentifizierung
- Authentifizierungsmechanismen können kombiniert werden und unterschiedliche Methoden können verwendet werden
- verschiedene Schichten der Authentifizierung erfordern dass Angreifer mehr wissen oder mehr besitzen muss als wenn nur eine Authentifizierungsschicht verwendet wird
Z.B. Geldautomat- Kombination Security token (Katze) und Passwort
Schlüsselverteilung
- symmetrisch : beiden Partner haben selben Schlüssel
- asymmetrisch: Sender und Empfänger haben unterschiedliche aber zusammengehörige Schlüssel
Angriffe - cyphertext only
Bei ciphertext only Angriffen steht Angreifer nur geheimtext zur Verfügung. Ziel des Angriffs ist es den zu geheimtext gehörenden Klartext zu bekommen und falls möglich eventuell auch in Besitz des Schlüssels zu kommen
Angriffe- known plaintext
Bei einer known plaintext Attacke verfügt der Angreifer sowohl über den geheimtext als auch über Klartext. Das Ziel ist es den Schlüssel zu bekommen
Angriffe- Chosen plaintext
Bei einer Chosen plaintext Attacke kann der Angreifer beliebige Klartexte verschlüsseln und erhält die jeweils zugehörigen geheimtexte. Das Ziel it es den Schlüssel herauszubekommen
Symmetrische Verschlüsselungssysteme
Typische Anwendungen
- vertrauliche Speicherung von Daten eines Benutzers
- Übertragung von Daten zwischen 2 Nutzern die Schlüssel auf sicherem Wege vereinbaren können
Beispiel - vernam chiffre-> schlüssellänge = Länge des Klartextes
