Werkzeugsatz

Einführung in die Verschlüsselung


A. Grella, Elektronikschule Tettnang, 2024

Nachrichten werden verschlüsselt, damit diese nur der Empfänger lesen kann. Des weiteren muss man sicher gehen, dass die Nachricht nicht manipuliert wurde und es muss überprüfbar sein, ob die Nachricht auch von dem richtigen Absender kam.

Beachtet man alle diese Punkte, hat man die Vertraulichkeit, Integrität und Authenzität einer Nachricht sichergestellt. Diese Aufgaben erfüllen Verschlüsselungsverfahren.

Bedrohungsarten



Bedrohungen im Netz sind vielfältig:

  1. Identitätsdiebstahl
  2. Datendiebstahl: Geschäftsgeheimnisse, Baupläne, Kreditkarteninfos
  3. Datenverlust oder Manipulation: löschen, verschlüsseln oder abändern von Daten
  4. Unterbrechung von Diensten: DOS

Man unterscheidet dabei folgende Schwachstellen:

  1. technologische Schwachstellen: TCP/IP-Protokolle, Betriebssysteme, Netzwerkgeräte (Router, Switches, Firewalls)
  2. Konfigurations-Schwachstellen: Ungesicherte Benutzerkonten, einfach zu erratenden Passwörter, unsichere bzw. unveränderte Standardeinstellungen, falsch konfigurierte Internetdienste und Netzwerkgeräte
  3. Policy-Schwachstellen: es liegen keine Richtlinien zur Passwortvergabe, Änderungen, Zugriffsrechten u.s.w. vor
Kreditkarte

Infrastruktur­schwachstellen



Bauplan

Die Sicherheit der Infrastruktur (engl. physical security) wird durch folgende Bedrohungen gefährdet:

  1. Hardware: Schaden an Geräten und Verkabelung
  2. Umgebung: Temperatur und Feuchtigkeit
  3. Spannungsversorgung: Spannungsspitzen und -abfälle sowie Leistungsverlust
  4. Wartung: elektrostatische Entladungen, Ersatzteilmangel, schlechte Verkabelung und Kennzeichnung

Man beachte, dass ein Ausfall der Hardware einerseits durch einen Einbruch, anderseits aber auch altersbedingt auftreten kann. Eine zu hohe Temperatur kann durch einen Ausfall der Klimaanlage oder aber auch durch einen Brand entstehen.

Malware Viren, Würmer und Trojaner



Seidenwürmer

Malware (malicious software) ist eine schadhafte Software. Dabei unterscheidet man drei Arten: Viren, Würmer und Trojaner.

Viren

Viren können sich weder reproduzieren noch haben sie einen eigenen Stoffwechsel. Hierfür sind sie auf eine Wirtszelle angewiesen.
Ein Computervirus (engl. virus) ist ist eine Schadsoftware, die in anderen Programmen oder Speicherbereichen abgelegt wird. Es benötigt somit eine Wirtsdatei.

Würmer

Ein Wurm (engl. worm) ist eine Schadsoftware die sich eigenständig im Speicher des befallenen Computers über Systemdienste installiert und vervielfältigt und somit keine Wirtsdatei benötigt.

Trojaner

Das trojanische Pferd war ein hölzernes Pferd vor den Toren Trojas, in dessen inneren griechische Soldaten in die Stadt geschmuggelt wurden, um bei Nacht die Tore zu öffnen.
Ein Trojanisches Pferd (engl. trojan horse) ist getarnt als eine scheinbar legitime Anwendung oder Datei. Beim Öffnen kann dann das Trojanische Pferd den Computer von Innen attackieren. Trojaner vervielfältigen sich nicht selbständig.

Auskundschaften von Netzen reconnaissance attacks



reconnaissance attacks dienen dem Auskundschaften anderer Netze: Geräte entdecken, Betriebssysteme erkennen, Dienste abfragen und dazugehörige Schwachstellen finden.

  • Internetabfragen: Welche IP-Adressräume gehören zum Unternehmen
  • Ping Sweeps: IP-Adressen identifizieren, die öffentlich erreichbar sind
  • Port Scans: Identifizierung der Dienste die auf einem Server angeboten werden
Aufgabe Tools
IP-Adressraum-Abfragen nslookup, whois
Ping Sweeps ping, fping, gping, arping
Port Scans nmap

Das RSA-Verfahren asymmetrisch verschlüsseln



1. Public Key 🔑 N, e
Wähle 2 Primzahlen p und q p = 5, q = 7
Berechne N = p ⋅ q N = 5 ⋅ 7 = 35
Bestimme die Primzahl e, so dass gilt:
Z = (p-1) ⋅ (q-1) % e !=0
Z = (5-1) ⋅ (7-1) = 24
24%e != 0 → e = 5
🔑 N = 35, e = 5
2. Private key 🔑 N, d
Primzahl d: d ⋅ e % Z = 1 d ⋅ 11 % 24 = 1
d = 29
🔑 N = 35, d = 29
3. Übertragung
Verschlüsseln der Nachricht M
C = e % N
M = 3
C = 35 % 35 = 33
Entschlüsseln der Nachricht M
M = d % N
M = 3329 % 35 = 3

1977 veröffentlichte Ronald Rivest, Adi Shamir und Leonard Adlemann ein asymmetrisches Verschlüsselungsverfahren, RSA-Verfahren. Mit Hilfe von Primzahlen wird zuerst ein öffentlicher Schlüssel🔑 erzeugt und im zweiten Schritt ein privater Schlüssel 🔑.

Man beachte das zur Erzeugung der Schlüssel jeweils der Modulooperator verwendet wird. Dies ist eine sogenannte Einwegfunktion da, das Zurückrechnen nicht funktioniert, da es unendliche viele Rückwege gibt.

Merke: Die Rechenoperationen sind sehr zeitaufwändig, da sehr schnell mit sehr großen Zahlen gerechnet werden muss. Deshalb verwendet man die asymetrische Verschlüsselung nur zum Verschlüsseln von symmetrischen Schlüsseln, mit denen die eigentlichen Nachrichten verschlüsselt werden.

Speicherüberlauf buffer overflow attacks - DoS attacks



Wasserfall 
				Elsey National Park

Der Arbeitspeicher von Netzwerkdiensten wird durch eine hohe Anfrage zum Überlaufen gebracht, so dass der Dienst seinen Service einstellt.

Man nennt dies einen Denial of Service Angriff (DoS). Ein Angriff über ein ganzes Netz von Rechnern nennt man Distributed Denial of Service (DDos) Angriff.

Übung 1 Welche Aussage ist wahr?

Wähle die korrekten Aussagen aus.

p = 13, q = 23. Bestimme den öffentlichen Schlüssel. Wähle eine Antwort.

N = 299, Z = 264, e = 7 d * e mod 264 = 1 d = 151 C = M hoch 3 mod 8 hoch 7 md 299 = 265 265 hoch 151 mod 299 = 8
  1. N = 297, e = 7
  2. N = 212, e = 17
  3. N = 2, e = 3
  4. N = 320, e = 7


p = 13, q = 23. Bestimme den privaten Schlüssel. Wähle eine Antwort.

Wähle eine Antwort.

  1. N = 299, d = 151
  2. Spannungsversorgung
  3. Wartung
  4. Umgebung

p = 11, q = 13 -> N = 11*13 = 143
Z = 10*12 = 120 e = 7, da 120%7 != 0 d = 103, da (7*103)%120 = 1 Übertragung Verschlüsseln von M = 25: C = 25^7mod143 = 64 Entschlüsseln von C = 64: M = 64^103mod143 = 25 Wähle eine Antwort.

  1. Virus
  2. Wurm
  3. Trojaner
  4. Corona


p = 11, q = 5 -> N = 55, Z = 40
->e = 7 und d = 23 Wähle eine Antwort.

  1. ping
  2. ftp
  3. serielle Verbindung
  4. Telnet

Nenne die Angriffsart, welche durch Ausprobieren ein Passwort herausfindet. Wähle eine Antwort.

  1. brute force
  2. DoS
  3. spoofing
  4. man in the middle


Ein Hacker sendet eine Nachricht mit gefälschter IP-Adresse. Nenne die Angriffsart. Wähle eine Antwort.

  1. brute force
  2. DoS
  3. spoofing
  4. man in the middle

Entspann dich erstmal ...



DEFCON 18: Pwned By The Owner: What Happens When You Steal a Hackers Computer

  • Wenn bei dir eingebrochen wird,
  • dein PC gestohlen ist
  • und es keinerlei Spur gibt?

Dann aber, eines Tages taucht eine Spur auf ...

Abwehr von Angriffen Backups, aktuelle Systeme, AAA



Schildkröte Doi Pui National Park

Die Abwehr von Angriffen funktioniert in einem vielseitigen Ansatz (engl. defense in depth approach).

Backups

Datenverlust kann durch Backups eingegrenzt werden. Dabei gilt:

  1. regelmäßig Backups durchführen,
  2. Datenträger auch außer Haus aufbewahren,
  3. durch starke Passwörter schützen,
  4. Backups müssen validiert werden.

aktuelle Systeme

Systeme müssen aktuell gehalten werden. Man unterscheidet:

  1. Upgrade: nächste Version einer Software (Majaor-Relase)
  2. Update: i.d.R. Änderungen im Funktionsumfang (Minor-Relase)
  3. Patch: ausschließlich Fehlerbehebung

Man beachte, dass nicht nur Server- und Client-Betriebssysteme Aktualisierungen benötigen, sondern auch Switche und Router.

Triple-A

AAA: Authentication, Authorization, Accounting

  1. Authentication: Nur authentifizierte Benutzer sind berechtigt auf dem Gerät/Netzwerk zuzugreifen.
  2. Authorization: Festlegen, wer für welche Aufgaben auf dem Gerät/Netzwerk autorisiert ist.
  3. Accounting: Rechenschaft geben, welche Aktionen auf dem Gerät/Netzwerk ausgeführt werden.

Abwehr von Angriffen Firewalls, Endpoint Security, Cisco auto secure



Firewalls

Eine Firewall schützt ein Netzwerk vor Angriffen von außen, indem unerwünschte Datenpakete geblockt werden.

  1. Paketfilterung: Zugriff nur auf Basis von bestimmten IP- und MAC-Adressen.
  2. Anwendungsfilterung: Zugriff nur auf Basis von Portnummern.
  3. URL-Filterung: Zugriff auf Internetseiten nur auf Basis von URLs oder Schlüssel­wörtern.
  4. Stateful Packet Inspection (SPI): eingehende Pakete müssen Antworten auf Anfragen interner Hosts sein.

Endpoint Security

Die Sicherheit von Endgeräten wie Laptops, Desktops, Server, Smartphones und Tablets gehört zu den anspruchvollsten Aufgaben, da der Mensch als Ursache von Problemen oft unberechenbar ist. Hierzu gehören:

  1. Dokumentierte und den Mitarbeitern bekannte Sicherheitsregeln (policy),
  2. Mitarbeiterschulungen,
  3. Antivirus-Software,
  4. aktivierte Firewall.

Cisco auto secure

Hierbei handelt es sich um einen Assistenten auf dem Router/Switch für die Basis-Sicherheitseinstellungen.
Router# auto secure

  1. Banner,
  2. Absicherung des Privileged Exec Mode,
  3. Lokaler User,
  4. Blockperiode,
  5. SSH-Konfiguration ...

Abwehr von Angriffen Passwörter, Sicherheit auf Router



Passwörter

  1. Mindestens 10 Zeichen
  2. Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen
  3. pro Account-Typ ein eigenes Passwort
  4. kein sozialer Bezug (Partner, Verwandte, Hausiere, Infos aus dem Lebenslauf)
  5. kein Wort aus einem Wörterbuch, Wortlisten
  6. Absichtlich falsch geschriebene Passwörter. Zum Beispiel Smith = Smyth = 5mYth oder oder Security = 5ecur1ty ... besser: Dialekt
  7. häufiges ändern der Kennwörter
  8. Kennwörter nicht (unverschlüsselt) aufschreiben und am Arbeitsplatz aufbewahren

Sicherheit auf Cisco-Router/Switch

  1. Passwörter müssen verschlüsselt hinterlegt sein
    Router(config)# service password-encryption
  2. Passwortkomplexität festlegen (nur Router)
    Router(config)# security passwords min-length 10
  3. Bruteforce-Attacken verhindern (nur Router)
    Router(config)# login block-for 120 attempts 3 within 60
  4. Abmeldung nach längerer Inaktivität (5 min 30 s)
    Router(config)#line vty 0 15
    Router(config-line)# exec-timeout 5 30
  5. Router(config-line)# exit
  6. SSH konfigurieren
    Router(config)#hostname R1
    R1(config)#ip domain-name xxxx.de
    R1(config)# crypto key generate rsa
    ... How many bits in the modulus [512]:1024
    R1(config)# username name secret xxxx
    R1(config)#line vty 0 15
    R1(config-line)#transport input ssh
    R1(config-line)#login local
    R1(config-line)#exit

Sicherheit für Kunden Sicherheit für Experten
Antivirus­software verwenden Softwareupdates installieren
starke Passwörter einzigartige Passwörter
Passwörter regel­mäßig wechseln 2-Faktor-Authentifizierunbg
nur bekannte Internetseiten besuchen starke Passwörter
persönliche Informationen nicht teilen Passwortmanager

Übung 2 Welche Aussage ist wahr?

Wähle die korrekten Aussagen zur gegebenen Schaltung aus.

Ein Nutzer muss sich einlogen. Welcher Triple-A-Faktor wird hier berücksichtigt?
Wähle eine Antwort.

  1. Authorization
  2. Accounting
  3. Authentication
  4. Automation

Ein IP-Paket wird verworfen. Welche Art von Abwehr greift hier?
Wähle zwei Antworten.

  1. Firewalls
  2. Backups
  3. Endpoint security
  4. Triple-A

Die Mitarbeiter einer Firma erhalten eine IT-Sicherheitsschulung. Um welche Art von Abwehr handelt es sich?
Wähle eine Antwort.

  1. Endpoint security
  2. Cisco auto secure
  3. Backups
  4. Triple-A


Bei einem Kunden wird ein Update durchgeführt. Um welche Art von Abwehr ist hier die Rede?
Wähle eine Antwort.

  1. Triple-A
  2. Passwörter
  3. Sicherheit auf Router
  4. aktuelle Systeme

Wähle das sicherste Passwort.
Wähle eine Antwort.

  1. Autobahnau
  2. Aut0bahn!?
  3. Autobahn11
  4. Aut0bahn12


Begründe folgenden Befehl an einem Switch:
Switch(config)# login block-for 120 attempts 3 within 60

  1. Abwehr eines IP-spoofing
  2. Abwehr eines man-in-the-middle-Angriffs
  3. Abwehr eines trust exploitation Angriffs
  4. Abwehr eines Brute-Force-Angriffs

Wortliste und Satzbausteine



Assets engl. Vermögenswerte - Vermögenswerte einer Organisation wie Geräte, Daten, Personen, ...
Vulnerability engl. Verwundbarkeit - Sicherheitslücke, die ausgenutzt werden kann
Exploit engl. Tat - Programm, das eine Sicherheitslücke ausnutzt
Threat engl. Drohung - Bedrohung der Vermögenswerte
Mitigation engl. Entschärfung -
Risk Risikobewertung
Phishing Emailanhang (engl. password fishing), auch Spear phising: gezielter Angriff mit persönlich wirkender Nachricht um Menschen sensitive Information zu entlocken.
der Brute-Force-Angriff, - Herausfinden des Passworts durch Ausprobieren
fuzzing Robustheitstest - Eingabe von Zufallsdaten auf Webseiten um Schwachstellen wie Pufferüberläufe zu Testen
forensic tools digitale Beweisaufnahme, Spurensicherung von Angreifern
IP address Spoofing Vortäuschung einer falschen IP-Adresse
die Bedrohungsart, -en Man unterscheidet vier Arten: Identitätsdiebstahl, Datendiebstahl, Datenverlust oder -manipulation sowie die Unterbrechung von Diensten
die Infra­struktur­sicher­heit, -en Sicherheit von Hardware, keine Umgebungseinflüsse, stabile Spannungsversorgung und intakte Wartung
Malware Schadsoftware (engl. malicious software) wie Viren, Würmer und Trojaner
das Virus, Viren Ein Virus (engl. virus) ist ist eine Schadsoftware, die in anderen Programmen oder Speicherbereichen abgelegt ist und somit Wirtsdateien benötigt.
der Wurm, -"er Ein Wurm (engl. worm) ist eine Schadsoftware die sich eigenständig im Speicher des befallenen Computers über Systemdienste installiert und vervielfältigt und somit keine Wirtsdatei benötigt.
der Trojaner, ~ Ein Trojaner (engl. trojan horse) ist getarnt als harmloses/nützliches Programm, welches Schadsoftware enthält und nachladen kann.
reconnaissance attacks Angriffe zum Auskundschaften anderer Netze
access attacks Angriffe die versuchen unautorisierten Zugriff auf Benutzerkonten zu erhalten
DoS attacks Denial of service Angriffe verursachen die Serviceeinstellung aufgrund zu vieler Anfragen.