FHNW_Infsec_Gwerder_MSP
Infsec FHNW Gwerder
Infsec FHNW Gwerder
Set of flashcards Details
| Flashcards | 95 |
|---|---|
| Language | Deutsch |
| Category | Computer Science |
| Level | University |
| Created / Updated | 05.07.2021 / 29.12.2021 |
| Weblink |
https://card2brain.ch/box/20210705_fhnwinfsecgwerdermsp
|
| Embed |
<iframe src="https://card2brain.ch/box/20210705_fhnwinfsecgwerdermsp/embed" width="780" height="150" scrolling="no" frameborder="0"></iframe>
|
Create or copy sets of flashcards
With an upgrade you can create or copy an unlimited number of sets and use many more additional features.
Log in to see all the cards.
Erklären Sie eine XML External Entity Attacke
Ein Attribut (z.B. eine Request-ID) wird als External Entity signalisiert und der Server inkludiert dann beim parsing ein File auf seinem System als ID und sendet dieses zurück.
Wie kann sich Malware vor dem Antivirus-Programm verstecken?
Encoder und Laufzeitpacker
Eine einfache Umgehung der Entdeckung. Auf der Disk liegt das Schad-Programm nicht in der aus- führbaren Form vor, was Malware-Scanner dazu nötigt eine dekomprimierung oder Dekodierung vorzunehmen.Polymorphie
Die Malware verwendet Verschlüsselungsalgorithmen um ihre Signatur permanent anzupassen und damit der Erkennung von signaturbasierter Malware-Scanner zu entgehen.Stealth-Technologien
Stealth-Technologien werden vor allem auf lokalen Systemen verwendet. Hier werden Zugriffe auf das Speichersystem so geändert, dass beim Lesen eines infizierten Files nur die nicht-infizierte Version zurückgegeben wird, wenn die Malware aktiv ist. Damit wird verunmöglicht, dass ein fi- lebasierter Malware-Scanner allfällig versuchte Files detektieren kann.Payload download
Es wird ein möglichst harmloser Downloader auf dem System abgelegt. Alle übrigen Teile werden aus dem Netz geladen. Ein filebasierter Scanner wird deshalb nie direkt Malware-Programme auf dem Massen-Speichersystem des Rechners finden.
Was sind Backdors?
Backdoors sind üblicherweise Programme, die es erlauben normale Sicherheitssperren ohne der üblichen Prüfung der Rechte zu umgehen.
was ist ein Rootkit?
Ein Rootkit erlaut es normale Benutzerrechte hochzustufen. Die Unterscheidung zwischen Backdoor und Rootkit ist schwer. Typischerweise sind Backdoors gezielt programmierte Funktionen, während Rootkits sich Fehler in der Programmimplementation zunutze machen.
Detektionstypen
Signatur-Basiert
Diese Detektion versucht mittels möglichst kurzer Signaturen (z.B. Regular Expression) eine be- kannte Malware zu identifizieren.Verhaltensbasiert
Bei der verhaltens-basierten Detektion wird auffälliges Verhalten (z.B. Das Herstellen einer Ver- bindung ins Internet oder bestimmte Arten von Schreibzugriffen auf den Massenspeicher) als Er- kennungsmerkmal für möglicher Malware verwendet.Statistikbasiert
Bei dieser Detektions-Art werden statistische Häufungen von Prozessen und Files erfasst und ana- lysiert. Dieses Feature wird häuffig auch als “Cloud-Feature” verkauft.
Intrusion Detection System (IDS)
Ein Intrusion Detection System (IDS) ist ein System, das der Erkennung von Angriffen auf ein Computersystem oder Computernetz dient. Richtig eingesetzt, ergänzen sich eine Firewall und ein IDS und erhöhen so die Sicherheit von Netzwerken.
Intrusion-Prevention-System (IPS)
Intrusion Prevention ist eine vorbeugende Maßnahme in Bezug auf die Netzwerksicherheit. Man verwendet es, um potenzielle Bedrohungen zu identifizieren und schnell darauf reagieren zu können.
Watchdogs
oft bei der HW überwachung
Hardening
• Patchen mit speziellen, sicherheitsfördernden Technologien (z.B. bei Linux SELinux oder PaX). • Einführen von Passwortrichtlinien oder spezieller Authentisierung.
• Deaktivieren und entfernen nicht benötigter Programme, Benutzer und Services.
• Einschränken der lokalen Benutzer-Rechte.
• Das Verwenden einer lokalen Firewall.
Watchdogtypen (Time-Out, Window, Smart)
Time-Out-Watchdog
Der Watchdog meldet sich bei der zu überwachenden Applikation und diese muss innerhalb einer bestimmten Zeit eine Antwort liefern. Bleibt die Meldung aus ergreift der Watchdog die definierten Korrekturmassnahmen.Window-Watchdog
Die zu überwachenden Applikation führt einen Selbsttest aus und meldet sich falls erfolgreich beim Watchdog (periodisch). Bleibt eine Meldung innerhalb eines definierten Zeitfensters aus ergreift der Watchdog die definierten Korrekturmassnahmen.Smart-Watchdog
Der Watchdog führt einen definierten End-to-end-Test bei der Applikation aus. Schlägt er fehl, ergreift der Watchdog die definierten Korrekturmassnahmen.
Angriff von Server auf Server typischer als auf Clients, wieso?
Client hat keine öffentliche IP
A Billion laughter
mittels eines parsers, den inhalt eines rams explodieren lassen
quin-zip-file
arbeitet über rekursion (entpackt sich selber)
zip-bombe
zip file mit extrem hoher kompressionsrate --> greifft disc-space an
reflector atacke
ei einer Reflektor-Attacke sendet ein Angreifer Daten an einen oder mehrere Empfänger und diese wiederum generieren Verkehr, der an das anzugreifende Ziel gesendet wird.
Reflektorattacken haben zwei Eigenschaften:
1. Sie verbergen den wahren Täter.
2. Sie erhöhen die Bandbreite der Attacke.
Ein typischer Vertreter ist beispielsweise die Smurf-Attacke. Be dieser Attacke wird ein Ping-Paket mit einer gefälschten Absender-Adresse an eine Broadcast-Adresse eines Netzwerkes gesendet. Schlecht Kon- figurierte Clients geben darauf Antwort indem sie ein Paket an den vermeintlichen Absender (das Ziel der Attacke) senden.
DSG, besonders schützenswerte Personendaten (3 unabhängige Kategorieren)
Die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten.
Die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit.
Massnahmen der Sozialen Hilfe.
Administrative oder Strafrechtliche Verfolgungen oder Sanktionen.
Welche Fälle sind im DSG anwendbar?
- Ein Selfie wird auf eine öffentliche Plattform hochgeladen auf der sich eine Person im Hintergrund erkennbar befindet.
- Meine Absenzenliste im Modul infsec wird auf Facebook publiziert.
- Meine Daten, die ich bereits auf dem Internet selber veröffentlicht habe werden kopiert und weiter verbreitet.
- Ich mache Fotos, die Personen enthalten, für meinen privaten Gebrauch.
- Die IP-Adresse von meinem PC wird von mir oder jemand anderem auf Twitter publiziert.
- Immer wenn ich den User-Agent-Eintrag (vereinfacht: den Webbrowser-Typ evtl.mit Version) im Webserver-Logfile aufbeware.
1. und 2.
Unterschied Integrität und Vertraulichkeit (Integrity & Confidentiality)
An was wird die Integrität gemessen?
Gewährleistet Vertraulichkeit die Integrität?
Vertraulichkeit: Nur befugte Entitäten erhalten zugriff auf die Daten
Integrität: Gewährleistet, dass Daten, Programme oder Funktionen in unveränderter Form vorliegen.
Die Integrität wird am Sollzustand gemessen
Vertraulichkeit gewährleisetet keine Integrität. Fehlerhafte Programme können Daten modifizieren.
Welches Schutzziel attakiere ich mit einer Cryptolocker-Attacke?
Entweder Integrität --> Daten sind nach dem Verschlüsseln nicht mehr korrekt abgelegt
oder Verfügbarkeit (Availability) Je nahcdem welche Datei verschlüsselt wurde, ist das System nachher nicht mehr funktionsfähig.
2 Schutzziele, die nicht zu CIA gehören + Beispiel
Anonymität/Pseudonymität: Quellenschutz bei Wikileaks
Zurechenbarkeit: Jede Art von Vertrag
objektive Kriterien, an denen der Wert zu einem Asset bemessen werden kann
Alter - z.B bei Wein
Zeitwert - muss nicht nur vom alter abhängen, sondern kann auch von Kilometeranzahl abhängen
Wiederbeschaffungswert/Kurswert - Gold
Lager- Transport-Kosten - z.B Kleinteile wie Schrauben, Beschaffungswert liegt unter den Lagerkosten
3 Beispiele einer Bedrohung, typischer Effekt aus der Ursache nennen
Menschliches Versagen ⇒ Fehlbedienung mit Datenverlust ⇒ Verfügbarkeit (eventuell auch Integrität)
Hochwasser ⇒ Wasser im Serverraum mit Funktionsausfall einer Dienstleistung ⇒ Verfügbarkeit
Sabotage ⇒ Malware verschlüsselt Daten ⇒ Integrität
Spionage ⇒ Informanten eines Enthüllungsnetzwerkes werden bekannt ⇒ Anonymität
Zero-Day-Exploit
Schwachstelle, welche erst bekannt wird, durch das Entdecken von Malware, welche diese Schwachstelle ausnutzt.
Besonders gefährlich, weil zum Zeitpunkt der Entdeckung bereits aktiv genutzt.
3 Asymetsichre Verschlüsslungen (1 gebrochen)
RSA1024 (gebrochen), ECC, ElGammal
3 Symmetrische Verschlüsselungen
3DES(gebrochen) Twofish, AES
3 Hashings (1 gebrochen)
MD5(gebrochen), SHA3, RIPEMD-160
Machen Sie zwei Beispiele, wofür Steganografie sinnvoll eingesetzt werden kann. Erklären Sie jeweils wie im genannten Fall Steganografie eingesetzt wird.
Steganografie kann eingesetzt werden um Datenströme zu verstecken. Hierbei werden beispilsweise die Niederwertigsten Bits-eines Bildes Manipuliert.
Steganografie kann verwendet werden um Copyrightverletzungen zu suchen. Hierbei werden bestimmte Eigenschaften (“Wasserzeichen”) in das Werk eingearbeitet, die einfach jederzeit detektiert werden können, auch wenn das Werk verfremdet wurde (z.B. unhörbare Töne oder Taktmuster).
Erklären Sie das CR-Verfahren. Nennen Sie mindestens ein Angriff, vor dem es nicht schützt und ein Angriff gegenüber dessen der Schutz gewährleistet ist. Begründen
Sie bei beiden Angriffen, weshalb Sie recht haben.
Server sendet Nonce & Salt. Client bildet Passworthash (mit dem Salt) und Hashed diesen mit dem Nonce. Server hasht das Pw seiner DB mit dem Nonce und vergleicht mit dem des Clients.
Hilft bei Reply Attaken, weil sich das Nonce jedes Mal ändert (Reply ändert sich auch)
Hilft nicht gegen MitM-Attaken, weil Nonce, Salt und Reply einfach weitergegeben werden können.
Wofür wird OCSP eingesetzt und was ist der Unterschied zu OCSP stapling
OCSP wird verwendet um bei der VA anzufragen ob ein Zertifikat vorzeitig revoziert wurde. Normalerweise macht dies die angefragte Authorität (typ. Server). Bei OCSP stapling organi- siert der Anfragende (typ. Client) den Echtheitsnachweis und liefert ihn an den Angefragten gleich mit.
Sie versuchen ein Dokument mit SHA-512 und ECC384 zu Unterschreiben und der Versuch schlägt fehl. Erklären Sie weshalb.
Der Hash (SHA) ist zu gross (512 Bit) um in einem Block verschlüsselt zu werden (384 Bits)
-
- 1 / 95
-
