Lernkartei FHNW_Infsec_Gwerder

Karten	95
Sprache	Deutsch
Kategorie	Informatik
Stufe	Universität
Erstellt / Aktualisiert	05.07.2021 / 29.12.2021
Weblink	https://card2brain.ch/box/20210705_fhnwinfsecgwerdermsp
Einbinden	<iframe src="https://card2brain.ch/box/20210705_fhnwinfsecgwerdermsp/embed" width="780" height="150" scrolling="no" frameborder="0"></iframe>

DSG, besonders schützenswerte Personendaten (3 unabhängige Kategorieren)

Die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten.
Die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit.
Massnahmen der Sozialen Hilfe.
Administrative oder Strafrechtliche Verfolgungen oder Sanktionen.

Welche Fälle sind im DSG anwendbar?

Ein Selfie wird auf eine öffentliche Plattform hochgeladen auf der sich eine Person im Hintergrund erkennbar befindet.
Meine Absenzenliste im Modul infsec wird auf Facebook publiziert.
Meine Daten, die ich bereits auf dem Internet selber veröffentlicht habe werden kopiert und weiter verbreitet.
Ich mache Fotos, die Personen enthalten, für meinen privaten Gebrauch.
Die IP-Adresse von meinem PC wird von mir oder jemand anderem auf Twitter publiziert.
Immer wenn ich den User-Agent-Eintrag (vereinfacht: den Webbrowser-Typ evtl.mit Version) im Webserver-Logfile aufbeware.

1. und 2.

Unterschied Integrität und Vertraulichkeit (Integrity & Confidentiality)

An was wird die Integrität gemessen?

Gewährleistet Vertraulichkeit die Integrität?

Vertraulichkeit: Nur befugte Entitäten erhalten zugriff auf die Daten

Integrität: Gewährleistet, dass Daten, Programme oder Funktionen in unveränderter Form vorliegen.

Die Integrität wird am Sollzustand gemessen

Vertraulichkeit gewährleisetet keine Integrität. Fehlerhafte Programme können Daten modifizieren.

Welches Schutzziel attakiere ich mit einer Cryptolocker-Attacke?

Entweder Integrität --> Daten sind nach dem Verschlüsseln nicht mehr korrekt abgelegt

oder Verfügbarkeit (Availability) Je nahcdem welche Datei verschlüsselt wurde, ist das System nachher nicht mehr funktionsfähig.

2 Schutzziele, die nicht zu CIA gehören + Beispiel

Anonymität/Pseudonymität: Quellenschutz bei Wikileaks

Zurechenbarkeit: Jede Art von Vertrag

objektive Kriterien, an denen der Wert zu einem Asset bemessen werden kann

Alter - z.B bei Wein

Zeitwert - muss nicht nur vom alter abhängen, sondern kann auch von Kilometeranzahl abhängen

Wiederbeschaffungswert/Kurswert - Gold

Lager- Transport-Kosten - z.B Kleinteile wie Schrauben, Beschaffungswert liegt unter den Lagerkosten

3 Beispiele einer Bedrohung, typischer Effekt aus der Ursache nennen

Menschliches Versagen ⇒ Fehlbedienung mit Datenverlust ⇒ Verfügbarkeit (eventuell auch Integrität)

Hochwasser ⇒ Wasser im Serverraum mit Funktionsausfall einer Dienstleistung ⇒ Verfügbarkeit

Sabotage ⇒ Malware verschlüsselt Daten ⇒ Integrität

Spionage ⇒ Informanten eines Enthüllungsnetzwerkes werden bekannt ⇒ Anonymität

Zero-Day-Exploit

Schwachstelle, welche erst bekannt wird, durch das Entdecken von Malware, welche diese Schwachstelle ausnutzt.

Besonders gefährlich, weil zum Zeitpunkt der Entdeckung bereits aktiv genutzt.

3 Asymetsichre Verschlüsslungen (1 gebrochen)

RSA1024 (gebrochen), ECC, ElGammal

3 Symmetrische Verschlüsselungen

3DES(gebrochen) Twofish, AES

3 Hashings (1 gebrochen)

MD5(gebrochen), SHA3, RIPEMD-160

Machen Sie zwei Beispiele, wofür Steganografie sinnvoll eingesetzt werden kann. Erklären Sie jeweils wie im genannten Fall Steganografie eingesetzt wird.

Steganografie kann eingesetzt werden um Datenströme zu verstecken. Hierbei werden beispilsweise die Niederwertigsten Bits-eines Bildes Manipuliert.
Steganografie kann verwendet werden um Copyrightverletzungen zu suchen. Hierbei werden bestimmte Eigenschaften (“Wasserzeichen”) in das Werk eingearbeitet, die einfach jederzeit detektiert werden können, auch wenn das Werk verfremdet wurde (z.B. unhörbare Töne oder Taktmuster).

Erklären Sie das CR-Verfahren. Nennen Sie mindestens ein Angriff, vor dem es nicht schützt und ein Angriff gegenüber dessen der Schutz gewährleistet ist. Begründen
Sie bei beiden Angriffen, weshalb Sie recht haben.

Server sendet Nonce & Salt. Client bildet Passworthash (mit dem Salt) und Hashed diesen mit dem Nonce. Server hasht das Pw seiner DB mit dem Nonce und vergleicht mit dem des Clients.

Hilft bei Reply Attaken, weil sich das Nonce jedes Mal ändert (Reply ändert sich auch)

Hilft nicht gegen MitM-Attaken, weil Nonce, Salt und Reply einfach weitergegeben werden können.

Wofür wird OCSP eingesetzt und was ist der Unterschied zu OCSP stapling

OCSP wird verwendet um bei der VA anzufragen ob ein Zertifikat vorzeitig revoziert wurde. Normalerweise macht dies die angefragte Authorität (typ. Server). Bei OCSP stapling organi- siert der Anfragende (typ. Client) den Echtheitsnachweis und liefert ihn an den Angefragten gleich mit.

Sie versuchen ein Dokument mit SHA-512 und ECC384 zu Unterschreiben und der Versuch schlägt fehl. Erklären Sie weshalb.

Der Hash (SHA) ist zu gross (512 Bit) um in einem Block verschlüsselt zu werden (384 Bits)

PFS beschreiben und erklären, mit welchen kryptografischen Bausteinen man PFS erreichen kann.

Bei Perfect Forward Secrecy geht es darum einen Sessionsschlüssel so auszuhandeln, dass wenn der Langzeitschlüssel zur Authentisierung gebrochen wird, dass Kommunikationen nicht retrospektiv entschlüsselt werden können. Typischerweise wird dies erreicht, indem Diffie-Hellman für die Generierung eines Sessions-Schlüssels verwendet wird.

was macht

openssl s_client −connect blu : https

Es wird eine Terminalsession zum Rechner “blu” auf dem https-Port (443) aufgebaut.

Welche der folgenden Punkte kann mit openssl bewerkstelligt werden?

Erstellen einer CA
Versenden eines verschlüsselten Mails
Erstellen einer PGP-signierten Mail
Erstellen eines PGP-signierten Files
Erstellen eines RSA-Schlüsselpaares
Verbinden mit einem TLS-verschlüsselten Serverport
Hashen eines Files
Überprüfen des Zertifikatsstatus mittels OCSP

Richtig: 1. 5. 6. 7. 8.

Erklären Sie den Begriff “deniable encryption” (abstreitbare Verschlüsselung)

Glaubhaft abstreiten können, das keine weitere Verschlüsselunf vorliegt.

1. Verschlüsselung welche unwichtiges Verschlüsselt (um glaubhaft zu sein, müssen aktuelle und verschlüsselungs-würdige Daten benutzt werden)

und die wirklich Geheimen Daten werden mit einer 2. Verschlüsselung geschützt.

Wird man bedroht, gibt man einfach nur den 1. Schlüssel raus

Abwehrstrategien (5)

Welches wird am meisten unterschätzt?

Angriffe erschweren

Angriffe ableiten

Angriff entdecken

Schaden kontrollieren

vom Schaden erholen

Angriff verhindern

Unterschätzt wird: Angriffe entdecken und vom Angriff erhohlen (meist werden nur ganze Systeme gebackupt, bei grösseren schäden welche dies übertreffen, benötigt man riesen Aufwand)

Dumpster Diving erklären & 2 Beispiele, wie es heute angewendet werden kann

Informationen über das durchsuchen von Altpapier oder in Abfällen finden

Beispiele:

Suchen von Dateien auf veräusserten Festplatten und Datenspeichern

Durchsuchen von Webarchiven

Social Engineer, Arbeitsmethode: Vertrautheit, wie und zu welchem Ziel wird das eingesetzt=

Vertrautheit wird eingesetzt um eine soziale Nähe über gemeinsame Begebenheiten herzu- stellen (z.B. gemeinsames Hobby oder gemeinsame Bekannte).
Über Vertrautheit wird versucht die emotionale Bindung zu erhöhen, damit die Mithilfe beim Problem des Social Engineers auf stbilere eine gestellt werden kann.

Sie haben sich aus irgendwelchen Gründen (z.B. Sie haben sich an der Entwicklung von “PGP” oder “openssl” beteiligt) mit einer Regierung angelegt. Sie erhalten ein Mail, in dem versucht
wird Sie auf eine Webseite zu locken um mittels Drive-By-Infektion einen Troyaner auf ihrem
Endgerät zu installieren. Welche der Aussagen ist zutreffend.

Es handelt sich um eine Phishing Attacke

Mein Angreifer verwendet Techniken aus dem Social Engineering

Der Angriff wird auch als SQL-Injection bezeichnet

Der Angriff ist typischerweise nur erfolgreich, wenn ich Programme mit einem hohen Verbreitungsgrad verwende um die Webseite zu besuchen.

Sie entdecken, dass Sie von einer Malware befallen Sind. Ein Kollege von Ihnen entdeckt, dass sich die Malware über eine Schwachstelle in einem Spiel, das Sie heruntergeladen ha-
ben, in Ihr System gekommen ist. Jedesmal beim download der Scoreliste von Ihren Freunden
wird über diese Schwachstelle mittels eines manipulierten Namens ausgenutzt. Die Schwachstelle ist nicht dokjumentiert und es gibt derzeit kein Patch dafür. Welches wie heisst diese Schwachstellenart (nicht der Exploit!) und welches Veröffentlichungsmodell sollte hier zur Anwendung kommen?

Die Schwachstellenart ist eine Zero Day Weakness (oder kurz Zero Day) und das dazu zugehörige Veröffentlichungsmodell heisst “Full Disclosure”, weil die Schwachstelle bereits aktiv ausgenutzt wird.

Folgender Auszug aus einer Webseite von Pulse. Sie sind unter anderem als Hersteller von VPN-Produkten (um die es im vorliegenden Fall geht) bekannt. Erklären Sie zwei der krypti- schen XX:YY-Werte in der zweiten Spalte. Um was geht es hier [3P] und wie Stufen Sie die Kritikaltität dieses Advisorys ein? Begründen Sie Ihre Meinung.

Es handelt sich um eine sehr kritische Lücke, weil Sie 10 von 10 möglichen Punkten hat.

• Angriffs Vektor: Netzwerk
• Angriffskomplexität: Niedrig

Die Lücke hat im Basisbereich die maximale Punktzahl erreicht.

Punkte fehlen möglicherweise wenn aufgrund des hohen Scorings in 1-2 Bereichen kategorisch auf eine kritische Lücke geschlossen wurde.

Was ist Obfuskation

Obfuskation: Das verschleiern von funktionalität z.B. durch encoding (z.B. URL-Encoding) oder hinzufügen irrelevanter Codeteile (1==1 and ...).

Was ist eine Path-Traversal-Attacke?

Path traversal: Das Ausbrechen aus einem Verzeichniskontext über Hard- oder Softlinks (z.B. via verwendung von "../..Patterns bei Filenamen)

Folgendes Sezenario: Ein Angreifer ermittelt die IPs einer firma und entdeckt eine Schwachstelle über die eine Buffer-Overflow mit anschliessender Remote Code Execution ausgeführt werden kann(a). Er übernimmt den Server (b). Anschliessend breitet er sich von da aus in das Ganze Netzwerk aus(c). Er schafft es 10% der Server so zu befallen. Zu einem bestimmten Zeitpunkt löscht er auf allen Maschinen wichtige Systemdateien und macht sie so unbrauchbarOrdnen Sie wo möglich den einzelnen geschilderten Tätigkeiten (a-d) zu den vier Phasen eines Angriffes zu (Tipp: Eine Phase kommt nicht vor und ein Buchstabe ist nicht zuortenbar)]. Zu welcher Kategorie von Angriffen gehören a und d? Begründen Sie

Reconaissance
Explitation
Reinforment (horizontal)
Nicht zuortenbar (kein Exploit, weil keine Ausnutzung einer Schwäche; kein Reinfor- cemen, weil weder Rechte ausgeweitet noch neue Systeme hinzukommen)

a) Wird auch als Fingerprinting bezeichnet. Ist kein Angriff

d) DoS-Attacke

Beschreiben Sie eine Tarpit und nennen Sie exemplarisch zwei Beispiele.

Eine Tarpit soll Angreifer anziehen und möglichst lange beschäftigen. Beispiele:

• IP-Level-Tarpit

• Harvester-Tarpit

• SMTP-Tarpit

Was ist notwendig, damit ein Betriebssystem sicher ist neben der Tatsache, dass das Betriebs- system sicher designed und realisiert sein muss?

Es muss auf einer abgesicherten Plattform laufen (typischerweise erreicht über “Secure Boot” oder ähnliche Mechanismen)-

Nennen Sie vier nicht durch den Benutzer wahrnehmbare Sicherheitsmerkmale, die ein moder- nes Betriebssystem haben/unterstützen sollte und jeweils gegen welche Rolle diese Merkmale im Falle eines Angriffes spielen.

SMEP: Verhindert, das über einen Buffer-Overflow Codeteile, die sich im Userspace befinden ausgeführt werden können.
SMAP: Verhindert, das über einen Buffer-Overflow Speicherbereiche, die sich im User- space befinden verwendet werden.
DEP/NX: Verhindert, dass Datenbereiche, die Code für einen Buffer-Overflow enthal- ten ausgeführt werden können.
Canaries: Verhindern, dass unbemerkt Werte auf dem Stack (z.B. Rücksprungadressen) überschrieben werden können.

Kerckhoff Prinzip

Schlüssel geheim, aber verschlüsselungs verfahren nicht

Soll Benutzerfreundlich, unenzifferbar und übermittelbar sein

Was ist ein Full Chain Break

das man bis zu Root rechte erlangen kann. Heute nicht mehr üblich. z.B landet man zuerst in Sandbox-Systemen

Zero click exploit

..

Was gibt es für Disclosure?

Full, None und Responsible

Full: Wenn die Schwachstelle schon ausgenutzt wird, sollte man es gleich komplett öffentlich machen, sonst ist responsible Disclosure meist der beste weg.

Responsible Disclosure: Plattform um Schwachstellen zu veröffentlcihen nach einer gewissen Zeit (so kann man nicht verklagt werden, dass man die Schwachstelle nicht mehr veröffentlichen darf)

Was macht in Zero Day Exploit aus?

Wird erst entdeckt durch bereits vorhandene Malware

ARP Spoofing

IP und MAC-Adresse sind entkoppelt. Man verändert die IP in de ARP-Tabelle des Opfers

DNS Poisioning

Als eine andere IP Ausgeben

DHCP Poisioning

Die eigene iP als Default Gateway angeben --> aller Verkeht geht über mich

Erpessung über Ransomware, wie wird es umgangen und wie reagieren die Angreiffer darauf

Ransomware verschlüsselt willkürlich Daten und dann wird Geld für das entschlüsseln verlangt.

Umgehen: Regelmässig backups, damit man seine Systeme wieder herstellen kann

Was machen die Angreifer? --> Kopieren alles auf eine Cloud und drohen die Daten zu veröffentlichen, wenn nciht bezahlt wird.

FHNW_Infsec_Gwerder_MSP

Lernkarteien erstellen oder kopieren

Lernkarteien erstellen oder kopieren

Melde dich an, um alle Karten zu sehen.

SWITCHaai

Office 365

Edulog

Apple ID

Google