Questão | Responda |
Angriff | eine absichtliche Form einer Bedrohung, d.h. eine unerwünschte oder unautorisierte Handlung mit dem Ziel, einen Vorteil zu erlangen oder einem Dritten Schaden zuzufügen |
Passive Angriffe | bedrohen die Vertraulichkeit von Informationen, aber verändern weder Daten noch das Systemverhalten |
Aktive Angriffe | bedrohen die Integrität und Verfügbarkeit von Informationen durch Veränderung von Daten oder Systemverhalten (könnte auffallen/aktives Verhalten) |
Angriffe durchlaufen normalerweise Phasen... | 1. Prä-Angriff (Footprinting, Port Scanning, Enumeration) 2. Angriff (Exploitation / Penetration, Ausführen der Payload) 3. Post-Angriff (Spuren verwischen) |
Prä-Angriff - Footprinting | Ziel: Informationen über das Ziel finden Ansätze: öffentliche Datenbanken, Netzwerksarchitektur, Social Engineering Ergebnis: Teilweise Verständnis des Zielnetzwerks, Verantwortlichkeiten |
Prä-Angriff - Port Scanning | Ziel: Welche Ports sind auf den Zielrechnern offen? Ansätze: Brute-Force(leicht erkennbar), fragmentierter Paket-Port-Scan, SYN-Scan, FIN-Scan, Idle-Scan (weniger "laut") Ergebnis: Lister offener Ports/Protokolle der Zielrechner |
Prä-Angriff - Enumeration | Ziel: potenzielle Einstiegspunkte identifizieren (welche Anwendungen laufen, welches Betriebssystem wird verwendet?, weitere Informationen über das Gerät) Ansätze: anwendungs- / betriebssystemspezifisch Ergebnis: OS-Typ und Version, Anwendungstyp und Version, weitere Systeminformationen |
Aufzählung - Automatisierung mit Tools | Anwendungen und Betriebssysteme implementieren standardisierte Protokolle für die Kommunikation -> unterschiedliche Implementierungsarten -> moderne Werkzeuge (z.B. nmap) speichern Feinheiten in Datenbanken -> Ermittlung durch viele Protokoll-Nachrichten, auf spezielle Antworten wartet, Antwort zuordnet, Datenbank durchsucht um passende Anwendung zu finden |
Angriff - Exploitation / Penetration | Ziel: unbefugten Systemzugriff erhalten (Admin) Ansatz: Ausnutzung von Schwachstellen jeweiliger Anwendung Ergebnis (optimal aus Sicht des Angreifers): eigenen Code als Admin auf Zielrechner ausführen können (Remote Code Execution (RCE))) |
Angriff - Ausführen der Payload | Ziel: eigentlich Mission ausführen (Zugang zum endgültigen Ziel ist hergestellt, Mission-Schad-SW wird ausgeführt, evtl. geheime Hintertür) Ansatz: versteckter Server-Prozess auf Nicht-Standard-Ports eines zusätzlichen Admin.-Kontos Ergebnis: System-/Netzwerkkompromittierung, Daten werden gestohlen, manipuliert, gelöscht... |
Post-Angriff - Spuren verwischen | Ziel: Alle Hinweise auf Angreifer löschen (Anti-Forensik, kompromittierende Beweise loswerden (Log-Dateien, zusätzliche Accounts...)) Ergebnis: System, das unauffällig aussieht (im besten Fall auch für Experten) ABER: alle Beweise loszuwerden ist praktisch nicht machbar |
Lateral Movement | nach Infektion eines ersten Systems weitere Systeme infizieren auch: Pivoting, mehrstufiger/-schichtiger Angriff, Island Hopping erlaubt Angriffe, die sonst von Firewall blockiert werden würden |
Commodity Threat | breiter Angriff große Anzahl von Opfern bekannte Angriffsmethoden z.B. Standard-Phishing-Mails |
Advanced Persistent Threat | gezielter Angriff ein (wenige) Ziel(e) angepasste, einzigartige Angriffsmethode z.B. Spear-Phishing - einzigartige E-Mail für bestimmten Benutzer |
Commodity & Advanced Persistent Threat | Video |
Hactivism | Akt des Hackens oder Eindringens in ein Computersystem zu politisch oder sozial motivierten Zwecken |
Werkzeuge | Bsp.: Kali Linux kombiniert Tools verschiedener Phasen (z.B. Nmap, John the Ripper, Metasploit, Netzwerkscanner, Knacken von Passwörtern, Ausnutzen von Schwachstellen) |
Nmap Scanning Process | 1. falls Nmap mit Hostnamen aufgerufen wird (d.h. nicht direkt mit IP-Adresse) => DNS Lookup 2. Nmap Ping des entfernten Rechners 3. Reverse DNS Lookup (optional) - Warum? Name -> IP oft ungleich IP -> Name 4. Eigentlicher Scan identifiziere offene Ports des Zielhosts |
Nmap Scanning-Methoden | TCP SYN Scan XMAS Tree Scan Idlescan |
TCP SYN Scan | Nmap sammelt Daten über offene Ports durch nicht-komplettierten TCP-Verbindungsaufbau Geschlossener Port: Zielrechner antwortet auf SYN-Anfrage mit RST Offener Port: Zielrechner antwortet auf SYN-Anfrage mit SYN/ACK; Quelle schickt RST |
XMAS Tree Scan | Nmap sammelt Daten über offene Ports durch senden eines TCP-Segments, bei dem URG, PUSH und FIN Flag gesetzt sind Geschlossener Port: Zielrechner antwortet auf SYN-Anfrage mit RST Offener Port: Zielrechner verhält sich ruhig (keine Antwort) |
Idlescan | benutzt dritten Rechner (sog. Zombie-Rechner im Leerlauf mit vorhersagbaren Identifier-Feldern im IP-Header), um IP-Adresse der Quelle des Scan-Prozesses zu verbergen |
Idlescan - Ablauf | 1. Nmap sendet SYN/ACK Paket an Zombie Antwort: RST + IPID 2. Nmap sendet SYN-Paket mit Quell-IP des Zombies an zu scannenden Port des Zielrechners Antwort: SYN/ACK aber an Zombie Zombie: RST mit nächster IPID 3. Nmap sendet erneut SYN/ACK an Zombie Antwort: zweimal inkrementiert => Port des Zielrechners ist offen einmal inkrementiert => Port geschlossen |
Kryptologie | Wissenschaft, die sich mit der Kommunikation und Speicherung von Daten sicherer und meist geheimer Form beschäftigt umfasst Kryptographie & Kryptanalyse |
Kryptographie | umfasst heute den gesamten Bereich der schlüsselgesteuerten Transformationen von Informationen in Formen, deren Duplizierung oder Rückgängigmachen für Unbefugte entweder unmöglich oder rechnerisch zu aufwändig ist |
Kryptanalyse | Wissenschaft der Wiederherstellung oder Fälschung von kryptographisch gesicherten Informationen ohne Kenntnis des Schlüssels Antagonistin der Kryptographie |
Kryptographische Algorithmen | symmetrische kryptographische Algorithmen asymmetrische kryptographische Algorithmen kryptographische Hash-Funktionen |
Symmetrische kryptographische Algorithmen | gleicher Schlüssel für Ver- und Entschlüsselung Paar von Verschlüsselungs- & Entschlüsselungsalgorithmen => Chiffre Ver- & Entschlüsselung kann durch dieselbe oder verschiedene Instanzen passieren |
Blockchiffren | verschlüsseln Eingabe in Klartext-Blöcken (benötigen bestimmte Blockgröße als Eingabe) gut und weit verbreitet Bsp.: Data Encrpytion Standard (DES) -> veraltet Advanced Encryption Standard (AES) -> aktuell |
Stromchiffren | verschlüsseln einzelne Klartext-Zeichen (flexibel bzgl. Eingabe, aber beliebig langer Strom von Schlüsselbits) schnell und einfach, eignen sich bei Klartexten unbestimmter Länge Bsp.: RC4 (gilt als gebrochen) ChaCha |
Advanced Encryption Standard (AES) | unterstützt Blocklängen von 128 und Schlüssellängen von 128, 192 und 256 Bit verwendet einfache Operationen wie Substitutionen (Ersetzen) und Permutationen (Reihenfolge ändern) |
"128-Bit Key AES" | 4x4-Byte-Matrix für 128-Bit-Blocklänge 4x4-Byte-Matrix für 128-Bit-Schlüssel insgesamt 10 Runden (10. etwas anders) |
Asymmetrische kryptographische Alogrithmen | zwei Schlüssel (Schlüsselpaar) ein privater (geheim) ein öffentlicher (beliebig oft kopierbar) => verschieden, aber nicht unabhängig Sicherheit beruht auf der Schwierigkeit, bestimmte mathematische Probleme zu lösen Bsp.: Diffie-Hellmann, RSA |
Diffie-Hellmann | basierend auf diskreten Logarithmen Schlüsselaustausch zweier Parteien ohne vorherige, gegenseitige Kenntnis generiert gemeinsamen geheimen Schlüssel über einen unsicheren Kanal ABER: MITM-Attack möglich |
RSA (Rivest-Shamir-Adleman) | um RSA zu brechen muss man n faktorisieren, d.h. seine Primfaktoren finden 2048-Bit gelten als sicher, besser 3072+ gewählte Primzahlen p & q beeinflussen Sicherheit (wirklich zufällig, (p-q) nicht zu klein, ähnlich Bitlänge, groß) |
Hashfunktionen | bildet große Eingabemenge auf eine kleinere Zielmenge ab Menge möglicher Hashwerte meist kleiner als die der möglichen Eingaben => Kollisionen (unterschiedliche Eingaben führen zum selben Hashwert) prinzipiell unvermeidlich |
Kryptographische Hashfunktionen | verwenden keinen Schlüssel Daten werden mit spezifischen Algorithmus transformiert |
Kryptographische Hashfunktionen - Bedingungen | Kompression (bildet Eingabe beliebiger Länge auf feste Bitlänge ab) Einfachheit der Berechnung Einwegfunktion (zu gegebenen Hash-Wert ist Urbild nur mit unvertretbar hohem Aufwand zu berechnen) schwache Kollisionsresistenz (zu einem gegebenen Urbild darf kein Urbild mit gleichem Hash-Wert zu finden sein) starke Kollisionsresistenz (zwei verschiedenen Urbilder dürfen nicht den gleichen Hash-Wert haben) |
Kryptographische Hashfunktionen - Anwendungsbeispiele | Integrität von Nachrichten und Dateien (kryptographische Hashes gleich => unverändert) Signaturerstellung & -prüfung Passwortüberprüfung (Server sollten Benutzerpasswörter nur gehasht speichern) MD5 (Message Digest 5) & SHA-1 (Secure Hash Algorithm) gelten als unsicher SHA-2 oder noch besser SHA-3 |
Message Authentication Code (MAC) | kurze Information, die sowohl die Datenintegrität als auch die Authentizität einer Nachricht schützt basieren oft auf kryptographischen Hashes oder Blockchiffren |
Authentifizierte Verschlüsselung | schützt auch die Vertraulichkeit gleichzeitig verschlüsseln & authentifizieren |
Kryptanalyse | Chiffriertext gegeben Schlüssel gilt es zu finden Grundannahme: Analytiker kennt die Betriebsart des kryptographischen Algorithmus |
Kerckhoffs'sches Prinzip | Ein Kryptosystem sollte auch dann sicher sein, wenn alles über das System, mit Ausnahme des Schlüssels, öffentlich bekannt ist. Gegenteil: "Sicherheit durch Unklarheit" (versucht Methode geheim zu halten) |
Krypto brechen | Einfacher Angriff: Brute-Force => führt immer zum Erfolg, da Schlüssel endlich, ABER: kann sehr lange dauern! |
Unbreakable Codes | aufgrund mathematischer Eigenschaften auch nicht mit Brute-Force zu knacken Bsp.: One-Time Pads (Einwegcodes) |
One-Time Pads | zu jedem Klartext-Bit gibt es ein Schlüssel-Bit (zufällig) gleicher Größe Ver- & Entschlüsselung durch bitweises XOR beide Seiten haben das gleiche One-Time Pad kann nur angegriffen werden, wenn One-Time Pads wiederverwendet/abgefangen werden |
Post-Quantum-Kryptographie | Quantencomputer lösen bestimmte mathematische Probleme viel schneller (Grovers & Shors zwei wichtige Algorithmen) symmetrische Schlüssel gelten bei ausreichender Schlüssellänge als sicher asymmetrische Schlüssel nicht-post-quantensicher => Vorbereitung schon heute |
Quer criar seus próprios Flashcards gratuitos com GoConqr? Saiba mais.