c2b_default

FHNW_Infsec_Gwerder_MSP

Infsec FHNW Gwerder

Infsec FHNW Gwerder

95
0.0 (0)

Fichier Détails

Cartes-fiches 95
Langue Deutsch
Catégorie Informatique
Niveau Université
Crée / Actualisé 05.07.2021 / 29.12.2021
Lien de web
https://card2brain.ch/box/20210705_fhnwinfsecgwerdermsp
Intégrer
<iframe src="https://card2brain.ch/box/20210705_fhnwinfsecgwerdermsp/embed" width="780" height="150" scrolling="no" frameborder="0"></iframe>
Étudier

Drive by Angriff 

Web basierter Angriff, nur beim besuch iener Webseite hat man die malware

Injektion-Attacken

Cross site scription

SQL Injection

XML-External Entity Attacken

Bomben

kleine Files die Risig werden, angriff entweder auf die CPU oder auf das RAM

 

Gibt es Permanent (zerstört Hardware) und nicht permanent (Dienst ist vorübergehen nicht erreichbar)

Malware Kategorisieren

Nach Schadenfunktion

nach Infektions/Instalationsweg

Nach gefährdetem Asset

Was gibt es für Detektionstypen?

Programm starten & im Hintergrund scannen (Zeitersparnis, aber gibt sachen, die nicht mehr rückgängig gemacht werden können)

Pattern prüfen

Statistikbasierte (Dauerhafter Scan des Filesystems. Etwas auffällig? ==> In Cloud VM prüfen. Bei potentieller Gefahr --> manuelles Team welech es prüft. Auffällig wenn ein File oft auftaucht (Aber kann z.B auch bei Windows updates der Fall sein))

Indikatoren für Angriffe

Ein Dienst versagt

Ein Asset wird zersötrt

Leistung hat sich geändert

System verhält sich anderst

SMTP-Tarpit

künstlich verlansamen z.B Mailversenden möglich aber vieeel längsemer (um den Angreiffer aufzuhalten / Zeit zu gewinnen ) leicht detektierbar, da sonst niemand über diesen SMTP sendet

Harvester-Tarpit

Unsichtbarelinks auf Webseite zu unterseiten mit vielen generierten E-Mails

TPM

Trusted Plattform Modules, stellt sicher das keine MitM attacke möglich ist

Uefi ist ein TPM

Wahrnehmbare Sicherheitsaspeckte in Betreibssystem

Login, Dateirechte, Prozessrechte, signierung, Verschlüsselung, Warnung bei Gefahr

Obligationenrecht

allgemiene INhalte im Bezug auf Verträge und Verpflichtungen

Strafgesetzbuch

Regelt wann eine Straftat vorliegt und wie die Strafe zu bemessen ist

Datenschutzgesetzt

Eines der wichtigsten Gesetzte für Daten-Verarbeiter. Es regelt, wie mit Daten in der Schweiz umgegangen werden darf.

Schützt Personen, keine Firmen

Fernmeldegesetzt

Regelt übertragungswege

Urheberrechtgesetzt

regelt oftmals urheberrechts verletzungen bie musik, Medien und Bbildern (aber nicht nur)

CIA Schutzziele

Confidentiality(Vertraulichkeit) Integrity (Integrität) und Availability (Verfügbarkeit)

3 A's beschreiben

Authentication:Benutzer/System/Prozess zweifelsfrei identifizieren. (nicht = Identifikation)

Authorisation: Festlegen, ob ein Nutzer die Rechte hat, eine bestimmte Aktion auszuführen

Accounting: Informationen über die Ressourcenbenutzung sammeln (Ziel: Kapazitätsplanung, Trendanalysen, Verrechnung)

Definition von Risiko

Schadensausmass * Eintretenswahrscheindlichkeit

Definition Bedrohung

Bedrohung ist eine mögliche Gefahr, die eines der Schutzziele beeinträchtigen könnte

Risikograph, was wird benötigt um ein Risiko in gelbem Bereich zu akzeptieren?

Management Sign-Off

Was ist Authentizitä

gewärleistet eigenschaften wie Echtheit, Überprüfbarkeit und Vertrauenswürdigkeit eines objekts

Nicht-Abstreitbar(non repudiation):

 Nichtabstreitbarkeit gewährleistet, dass Nachgewiesen werden kann ,dass eine Handlung tatsächlich stattgefunden hat

 

Verbindlichkeit(Accountability) 

Bei der Verbindlichkeit geht es darum, dass die Konsequenzen einer Hadnlung rechtlich bindend sind

Authorisation Wie werden die Rechte Verteilt (MAC, DAC, RBAC)

MAC: Rechte aufgrund von Regeln vergeben

DAC: Die rechte werden vom Eigentümmer des Zielbojektes vergeben

RBAC: Rechte aufgrund von Jobfunktion des Benutzers vergeben

Cipher Modis 

(ECB, CBC)

ECB: einfache verschlüsselung, gleiche blöcke sehen gleich aus

CBC nimmt eine XOR Operation, damit gleiche blöcke nicht gleich aussehen. dazu nimmt man das chiffrat aus dem vorblock. oder beim 1. block den initialisierungs vektor.

Block-Ciphren Padding

zeigt im letzten block bis zu welchem byte die verschlüsslung geht.

nachteil: wenn die verschlüsslung genau durch die blockgrösse aufgeht, muss man einen zusäthclihen block für dasp adding hinzfuügen

Unterschribener CSR (Certificate Singing Request)

ist ein öffentlicher schlüssel mit zusätzlichen metainformationen sie gültigkeit oder einsatzzweck und identität

was ist ein key- und was ist ein trust store

key-store: speichert öffentliche und private schlüssel

trust-store: speichert öffentliche schlüssel, aber hauptsächlich die zertifikate

IPS (Intrusion Prevention System)

Eine IPS (Intrusion Prevention System) soll verdächtige Aktionen (IoA oder IoC) auf einem produktiven System blockieren.

IDS (Intrusion Detection System)

Ein IDS (Intrusion Detection System) soll verdächtige Ak- tivitäten im sicheren Umfeld aufdecken.

Registration Authority

  • Überprüft ob eine Entität berechtigt ist einen CSR zur Unterschrift zu übergeben (z.B. wurde der geforderte Geldbetrag überwiesen oder hat die Entität die Kontrolle über die zu signierende Domäne).

Validation Authority

Sorgt dafür, dass zurückgezogene Zertifikate als solche erkannt werden können. Unter- schreibt mit einem eigenen Schlüssel die CRL oder OCSP-Anfragen, damit Entitäten belegen können, dass das Zertifikat noch nicht revoziert ist. Der Schlüssel der VA wird typischerweise von der CA (mit ihrem privaten Schlüssel natürlich) unterschrieben. Es wird zum beglaubigen niemals der private Schlüssel der CA verwendet.

Was sind die Hauptunterschiede zwischen einem CSR und einem Zertifikat

  • Ein CSR ist nicht von einer CA unterschrieben (ein Zertifikat schon).

  • Ein Zertifikat beinhaltet zusätzliche Informationen (z.B. den Ort der RA), welche im CSR nicht vorhanden sind (falls doch werden Sie ersetzt; Siehe nächstes Beispiel).

  • Ein CSR hat typischerweise kein Gültigkeitsbereich (dieser wird durch eine CA beim überschreiben hinzugefügt oder ersetzt).

  • Ein CSR hat typischerweise keine Einschränkungen. Diese werden typischerweise erst bei Unterschrift durch die CA hinzugefügt.

Erklären Sie, was im folgenden Kommando gemacht wird:

openssl x509 req in file1 CA file2 CAkey file3 CAcreateserial out file4 days 500 sha256 

Was befindet sich in den Files “file1”, “file2” und “file4”?
Wofür wird SHA256 im vorliegenden Beispiel verwendet?

Es wird ein CSR (file1) unterschrieben mit dem CA Zertifikat (file2). Das neue, unter- schriebene Zertifikat wird in File4 abgelegt. Der sha256-Hash wird verwendet um das Zer- tifikat zu unterschreiben.

Nennen Sie 3 typische Funktionen einer Smartcard, ausser verschlüsseln, entschlüsseln und signieren von Datenblöcken?

  • Sicherer Zufallszahlengenerator

  • Schlüsselgenerator für asymmetrische Schlüssel

  • Sicherer Schlüsselspeicher (nicht zugänglich für Anwendungen ausserhalb der Smart- card)

  • Öffentlicher Lesespeicher (für die Zertifikate)

  1. Welche zwei Eigenschaften verschlechtern sich typischerweise, wenn Sie bei einer App oder einem Prozess die Sicherheit erhöhen (Tipp: Denken Sie an ein Dreieck)?

• Benutzbarkeit/Usability

• Funktionalität/Functionality

Nennen Sie zwei typische Formen ausser “Jails”, die bei einer Isolation (z.B. Prozess oder Dateisystem)zum Einsatz kommen.

• Sandboxes 

• Jails

• Container

 • VMs

Erklären Sie möglichst genau, was Canaries prüfen, wie sie Aussehen können und welche Art von Angriffen damit detektiert werden können.

Bei Canaries werden zwischen einzelnen Elementen auf dem Stack (oder allgemein im Spe- icher) Prüfbytes mit einem wechselnden Wert eingefügt. Dieser Wert wird kontinuierlich durch die Applikation oder das OS geprüft. Wenn der Wert dieser Prüfbits sich ändert liegt typischerweise ein Buffer-Overflow auf dem Stack vor.

Sie senden Pakete an mehrere DNS-Server mit gefälschter Absenderadresse. Die Antwort an den Zielrechner ist wesentlich grösser als die Anfrage. Ihr Kollege ist sich jetzt nicht sicher, ob er diesen Angriff als Spoofing-, Reflektor oder DDoS-Attacke einordnen soll. Erklären Sie weshalb jede einzelne dieser Attacken zutreffen oder nicht zutreffen könnte.

Es könnte als eine Spoofing-Attacke ausgelegt werden (atypisch aber möglich), weil die Absender-Adresse gefälscht wird, was wiederum typisch für Spoofing ist.

Eine Reflektor-Attacke liegt auf jeden Fall vor. Der Sender greift sein Ziel über einen Dritten an. Ausserdem ist die zu erwartende Datenmenge an den Dritten wesentlich höher, als die durch den Sender versendete Information (Amplifier Effekt).

Eine DDoS-Attacke ist ebenfalls richtig, weil der Sender sein Ziel über mehrere DNS-Server angreift. Bedingung ist allerdings, dass das Ziel ist die Netzwerkzuleitungen der Zielsysteme zu fluten.

  1. Welche Kriterien sind bei einem Protokoll besonders wünschenswert, damit es für eine Reflektorattacke verwendet werden kann. Nennen Sie zwei.

• Verbindungslos (z.B. UDP)

• Antwort grösser als Anfrage (Amplifier-Effekt)

• Evtl. kein Loging auf dem reflektierenden System für die verwendete Transaktion (er- schwert auffinden des Ursprungssystems)

Study