...
Kartei Details
| Karten | 64 |
|---|---|
| Sprache | Deutsch |
| Kategorie | Technik |
| Stufe | Andere |
| Erstellt / Aktualisiert | 06.07.2021 / 23.11.2021 |
| Weblink |
https://card2brain.ch/box/20210706_infsecgwerderoldexams
|
| Einbinden |
<iframe src="https://card2brain.ch/box/20210706_infsecgwerderoldexams/embed" width="780" height="150" scrolling="no" frameborder="0"></iframe>
|
Nennen sie die vier typischen Phasen eines Angriffs und erlären Sie, was unter den einzelnen
Begriffen verstanden wird.
• Reconnaissance
Sammeln von Informationen, die den Angriff (oder die Wahl des Angriffs) erlauben.
• Exploitation
Ausführung des eigentlichen Angriffes.
• Reinforcement
Sichern des Zuganges. Dies kann Horizontal (z.b. durch weiteres Übernehmen von
Systemen) oder vertikal (z.B. durch installation von Rootkits oder Remote-Shells)
erfolgen.
• Covering Tracks
Spuren des angriffes beseitigen (z.B. durch entfernen verdächtiger Logeinträge, ent-
fernen von Coredumps oder ersetzen von verächtigen Programmen).
Erklären Sie den Begriff “Security Through Obscurity” (STO). Handelt es sich um STO, wenn
ich ein Passwort oder einen Benutzernamen geheim halte?
Von Security Through Obscurity spricht man, wenn allgemeine oder spezifische Informa-
tionen, die für Angriffe nützlich oder benötigt wären, verborgen werden (z.B. Programm-
Versionen oder versteckte APIs). Es gilt als allgemein akzeptiert, dass eine solche Praxis die
Reconnaiscance-Phase aufwändiger macht, die Sicherheit aber nicht erhöht.
Beispielsweise ist die Annahme, dass ein Angreifer nicht alle Systeme kennt, die ein potentiel-
les Opfer hat, als STO betrachtbar. Ebenfalls wird zu STO hinzugerechnet, wenn Versionen
aus den Bannner-Meldungen entfernt werden. Dies ist zwar eine gute Praxis, erhöht aber
die Sicherheit nicht, weil immer noch die selben Schwachstellen vorhanden sind.
Ein Passwort oder ein Schlüssel sind in diesem Sinne keine Informationen sondern Sicher-
heitsmerkmale (respektive der Benutzername ist ein Identifikationsmerkmal). Deshalb fallen
sie nicht unter diese Betrachtungsweisen.
Erklären sie den Begriff Zero-Day-Exploit.
Ein Zero-day-Exploit ist eine Schwachstelle, die erst bekannt wird durch das Entdecken von
Malware, die diese Schwachstelle ausnutzt. Diese Schwachstellen sind besonders gefährlich,
weil sie zum Zeitpunkt der Entdeckung bereits aktiv ausgenutzt werden, aber noch kein
Patch zum beseitigen der Schwachstelle existiert.
Erklären sie eine Skimming-Attacke und machen sie ein Beispiel dafür.
Skimming-Attacke ist ein Synonym für eine Man-in-the-Middle-Attacke. Man verbindet sich
mit den beiden Opfern und gibt jedem Opfer vor, man sei der andere, legitime Gesprächs-
partner.
Beispiel: Ein präparierter Bancomat mit aufgesetzter Tastatur.
Ein Angreifer testet systematisch Passworte für einen bestimmten Benutzer in einem Web-
portal durch und verwendet dazu ein Wörterbuch. Wie nennt man diesen Angriff?
Dictionary-Attacke oder Wörterbuchangriff (selten).
Erklären sie den Begriff Honeypot aus sicherheitstechnischer Sicht
Ein Honeypot ist ein technisches System, das gezielt Angreifern attraktiv vorkommen soll.
Die Informationen auf dem System sind typischerweise veraltet oder falsch (oder es hat
möglicherweise gar keine). Das Ziel des Honneypots ist es Angriffe zu identifizieren. Weil
legitime Benutzer nie auf Honneypots zugreifen sollten sind Angriffe auf dieses System
einfach zu identifizieren.
Erklären sie den Begriff Tarpit aus sicherheitstechnischer Sicht. Erklären Sie den Begriff anhand
des Beispieles einer IP-Level-Tarpit.
Eine Tarpit (auch als Sticky Honeypot bezeichnet) versucht Angreifer auf sich zu ziehen
(Honeypot funktionalität) und ihnen einen möglichst hohen Aufwand (Zeitlich oder Auf-
wandsmässig) für falsche Informationen abzupressen (mit möglichst minimalem eigenem
Aufwand). (2 Punkte)
Eine IP-Level-Tarpit belegt alle nicht benutzten IP-Adressen eines Netzwerkes mit einem
fiktiven Gerät. Dieses kann getan werden um entweder den Aufwand für das Scanning zu
erhöhen oder auch um als Honney-Pot oder Tarpit-Ziel agieren.
Erklären Sie den Begriff ”Mutual Authentication”. Weshalb ist Verchlüsselung alleine (ohne
“Mutual Authentication”) typischerweise schlecht?
Mutual-Authentication ist das gegenseitige Authentifizieren des Gesprächspartners. Bei der
Verschlüsselung ohne Mutual-Authentication ist zwar die Übertragung der Daten potenti-
ell sicher, aber da nicht klar ist, mit wem die Daten ausgetauscht werden, ist die Daten
Vertraulichkeit und Integrität möglicherweise gefährdet, weil eine MITM-Attacke möglich
ist.
Erklären Sie den Unterschied zwischen einer DoS-Attacke und einer DDoS-Attacke.
Bei einer DoS ist ein überbegriff von DDoS. Als DoS werden alle Angriffe bezeichnet, welche
einen Temporären oder Permanenten Ausfall des Angegriffenen Systems zur Folge haben.
Bei DDoS handelt es sich typischerweise um eine Attacke, die über einen Intermediär auf
das Zielsystem geführt wird. Die einfachste und derzeit häufigste Form überfüllt einfach die
Netzwerkzuleitungen oder überlastet ein System mit vielen sinnlosen Queries und führt so
zur“nicht funktion” aus der Sicht des legitimen Benutzers.
Erklären sie wie im Falle einer “Baiting”-Attacke vorgegangen wird und bei welcher Arbeits-
methode sie zum Einsatz kommt.
Bei Baiting werden “interessante Applikationen” gratis oder zu einem übertrieben günsti-
gen Preis angeboten. Eine andere Möglichkeit ist das Versprechen von Features, die nicht
gehalten werden können.
Oftmals wird das Angebot mit einem Zeitdruck versehen, was die Prüfung erschweren soll.
Im Gegenzug erteilt man oft weitreichende Rechte auf die Daten des Benutzers (z.B. Face-
book, Whatsapp oder viele Gratsspiele) oder die Software installiert einen Trojaner, welcher
beim entfernen des Programmes nicht entfernt wird.
Nennen sie neben “direkt”, “Brief” und “E-Mail” mindestens drei weitere Angriffskanäle des
“Social Engineerings”
• Soziale Medien
• Chat
• Fax
• Telefon / VOIP
Welche 2 Kriterien muss ein Prozess erfüllen, damit er effektiv als Abwehr gegen Social
Engineering eingesetzt werden kann?
• Er muss Ausnahmen im Prozess Regeln und sinnvolle Schranken, wie zum Beispiel das
Vieraugen-Prinzip einführen.
• Er muss regelmässig der Realität angepasst werden.
Erklären sie worum es bei einer “Privilege Escalation” geht. Nennen sie
zusätzlich ein Beispiel.
Bei der “Privilege Escalation” werden typischerweise existierende Sicherheitsbarrieren
umgangen. Dies erfolgt entweder durch Übernahme von Rechten hochprivilegierter
Prozesse (1 Pkt) oder durch die Überwindung von Sicherheitsbarrieren (1 Pkt).
Einer der häufigsten Hilfsmittel zur “Privilege Escalation” ist der sogenannte “Buffer
Overflow” (1 Pkt).
Wichtig: Das vorhandensein eines SUID-Bittes oder das Ausführen von sudo ist keine
“Privilege Escalation”.
Nennen sie die CIA-Schutzziele (1 Pkt; Egal welche Sprache) und nenne sie
mindestens zwei zusätzliche Schutzziele (je 1 Pkt). Nenne sie zu jedem der genannten
Schutzziele je ein gutes Beispiel (je 2 Pkt)
CIA-Schutzziele:
• “Confidentiality” (Schützen vor Zugriff Unberechtigter indem Dateirechte ver-
geben werden) (1 Pkt)
• “Integrity” (Signieren von Dokumenten) (1 Pkt)
• “Availability” (Redundant aufgebaute Serversysteme) (1 Pkt)
, Zusätzliche (Beispiele):
• “Auditability” (Überprüfbarkeit/Logen von Zugriffen) (1Pkt Nennung und max
2 Pkt für Beschreibung)
• “non-repudiation” (nicht-Abstreitbarkeit; Zum Beispiel unterschreiben eines
Dokumentes) (1Pkt Nennung und max 2 Pkt für Beschreibung)
• “Accountability” (Zurechenbarkeit; Stempel eines QS-Verantwortlichen oder
einer Bestückerin an einem Werkstück) (1Pkt Nennung und max 2 Pkt für
Beschreibung)
Welche Kriterien gelten für Risiken, damit sie sinnvollerweise in einem
Risikographen eingetragen werden sollen. Nennen sie mindestens vier.
• Sie müssen wesentlich sein (Es bringt nichts Risiken einzutragen, die offensicht-
lich immer im grünen Bereich sind).
• Sie müssen durch Massnahmen homogen gesenkt werden können (Es bringt
nichts interne und externe Angriffe als ein Angriff zu klassifizieren, wenn davon
Ausgegangen wird, dass das Risiko mit einer Firewall gegen aussen gesenkt
werden soll).
• Sie müssen so gegliedert sein, das eine Aufgliederung nach Unterkriterien/-
Kategorien keinen zusätzlichen Wissensgewinn mehr bringt.
• Sie müssen quantifizierbar sein nach Schadensausmass
• Sie müssen quantifizierbar sein nach Eintretenswahrscheinlichkeit.
• Das Risiko (Schadensausmass x Eintretenswahrscheinlichkeit) muss Beeinfluss-
bar sein (Also kein Weltuntergang; Der kann auch nicht versichert werden)
Nennen sie mindestens vier Bedrohungen für ein Server in einem Ser-
verraum, die nicht auf einen Angriff zurückzuführen sind und nennen sie für jeden
mindestens einen Indikator für das Eintreten.
• Wassereinbruch (Nasse Füsse beim Betreten des Serverraums)
• Feuer (Rauchentwicklung im Serverraum)
• Stromausfall (Kein Betriebsgeräusch im Serverraum)
• Ausfall der Klimaanlage (Temperatur im Serverraum ist überdurchschnittlich
hoch)
Erklären sie den Begriff “single loss expectancy” (SLE). Zählen sie min-
destens drei Teilkriterien auf und erklären sie wie sie sich auf die SLE auswirken.
Das Schadensausmass, ist ein Wert, der die Höhe eines Schadens bemisst.
• Anschaffungswert
Falls vorhanden und bezifferbar wird dieser Wert häufig als Ausgangswert ver-
wendet.
• Alter
Alter Wein ist üblicherweise teurer als neuer Wein aber alte Computer haben
einen geringeren Wert als neue.
• Ersetzbarkeit / Wiederbeschaffbarkeit
Das Gemälde der Mona Lisa hat einen geringen Materialwert aber kann nicht
wieder beschafft werden.
Wie wird der Begriff Risiko (engl. Risk) in der Sicherheit definiert?
Risiko ist das Produkt aus Schadensausmass und Eintretenswahrscheinlichkeit.
Welche Massnamen um Zugriff auf ein IT-System zu limitieren gibt es in
den Kategorien “Netzwerk”, “Physisch” und “auf dem System”. Nennen Sie mindes-
tens zwei Massnahmen je Kategorie.
• Physisch
– Bauliche Massnahmen (Türen und Schlösser).
– Bewachung durch einen Sicherheitsdienst.
• Lokal
– Netzwerke mit Firewalls absichern.
– Einsatz eines IPS.
• Auf dem System
– Sandboxen
– Sichere Laufzeitumgebung
– Benutzerkonten mit eng umgrenzten Rechten
– Sensible Daten verschlüsseln
Nennen Sie mindestens fünf Abwehrstrategien
• Angriff entdecken
• Angriff verhindern
• Angriff erschweren
• Angriff ableiten
• Schaden kontrollieren
• Vom Angriff erholen
Erklären sie was ein Tarpit ist (3 Pkt) und nennen sie mindestens zwei
unterschiedliche Formen einer Tarpit
Tarpits sind normal aussehende Dienste, die potentielle Angreifer möglichst lange
beschäftigt halten. Sie tun dies entweder durch verlangsamen der Kommunikation
oder durch Generierung von Dummy-Daten.
• IP-Level Tarpit
• SMTP Tarpit
• Harvester Tarpit
Geben sie jeweils für die folgenden Kategorien an, ab wie vielen Bits sie
derzeit als sicher gelten (Richtwert ca. 3 Jahre). Kategorien: Elliptische Kurven, RSA-
Schlüssel, Symmetrischer Schlüssel.
(Es werden Abweichungen bis zu 49% vom richtigen Wert akzeptiert)
Tarpits sind normal aussehende Dienste, die potentielle Angreifer möglichst lange
beschäftigt halten.
• Elliptische Kurven: 224-384 Bit
• RSA-Schlüssel: 2048 Bit
• Symmetrische Schlüssel: 192 Bit
Asymmetrische Verschlüsselung hat nicht das Problem des Sicheren Schlüs-
seltransfers. Warum wird dieses Verfahren nicht überall eingesetzt und stattdessen mit
einer Kombination aus Symmetrischer und Asymmetrischer Verschlüsselung gearbei-
tet?
Asymmetrische verfahren haben einen viel grösseren Overhead. Ausserdem können sie
nicht Dinge übertragen, die ihre Schlüssellänge übersteigen (anders als bei Symmetri-
schen Verfahren haben sie keinen “Mode” sondern nur ein Padding). Der asymmetri-
sche Schlüssel kann für die Identifikation oder die Übermittlung eines symmetrischen
Schlüssels verwendet werden. Nachher wird aber aus Effizienzgründen mit symmetri-
schen Verfahren gearbeitet.
Besser noch wird aber ein symmetrischer Schlüssel über ein Schlüsseltauschverfahren
(z.B. Diffie-Hellmann) realisiert (PFS).
Erklären sie den Begriff “mutual authentication” (2 Pkt) und warum ist
eine solche Authentisierung so wichtig bei einer perfekt verschlüsselten Verbindung (4
Pkt)?
Mutual authentication ist, wenn sich beide Parteien Gegenseitig authentifizieren. Eine
Mutual authentication kann nicht mit den traditionellen Mitteln von User/Paswort
mit den aus der Vorlesung erreicht werden. Nur mit Zertifikaten ist dies möglich.
Auf diese Art und Weise kann ausgeschlossen werden, dass ein Kommunikations-
kanal mit einer möglicherweise gefährlichen, dritten Partei aufgebaut wird (MITM-
Attacke). Der am besten verschlüsselte Kanal bringt nichts, wenn nicht gewährleistet
ist, dass der richtige Kommunikationspartner am anderen Ende sitzt.
