In allen Bereichen, in denen Menschen sich austauschen, gibt es Schlagwörter, sogenannte Buzzwords, mit denen Sachverhalte prägnant und kurz formuliert werden. Auch im Bereich der IT-Sicherheit sind wir vor diesen Begriffen nicht gefeit. Ein paar der wichtigsten Buzzwords behandelt Dieser Artikel.
Angriffsfläche
Die Angriffsfläche einer Software ist die Summe aller Angriffsvektoren, an denen ein nicht autorisierter Benutzer (der „Angreifer“) versuchen kann, Daten in ein System einzugeben oder aus ihm zu extrahieren.
Je kleiner die Angriffsfläche, umso schwieriger ist es für einen Angreifer Schwachstellen in der Software zu finden und auszunutzen. Deshalb muss die Angriffsfläche so klein wie möglich gehalten werden.
Blue Teams
Unter einem Blue Team versteht man die interne IT-Sicherheit einer Firma. Diese Sicherheitsteams verteidigen die Firma gegen böswillige Angreifer oder gegen Red Teams.
Ihre Aufgabe ist der Schutz und die Sicherheit der IT-Infrastruktur.
Bruteforce Attack
Der Sinn einer „Bruteforce Attack“ ist es Zugang zu einem, durch Passwörter geschützten, Bereich zu erlangen.
Können die Zugangsdaten nicht auf anderem Wege (z.B. Social Engineering) erlangt werden, bleibt meist nur noch die Holzhammer-Methode. Bei einer solchen „Bruteforce Attack“ werden die Zugangsdaten zu einem System erraten. Dies geschieht entweder manuell durch einem Angreifer oder durch spezielle Tools.
Mit dem Einsatz solcher Tools können sehr viele Zeichenkombinationen in kurzer Zeit getestet werden. Dies führt vor allem bei kurzen Passwörtern recht schnell zum Erfolg. Bei längeren Passwörtern hingegen steigt die Rechenzeit proportional. Durch den Einsatz von – speziell für diesen Zweck entwickelten – Servern können auch längere Passwörter geknackt werden.
Einen interessanten Artikel zur Schnelligkeit eines dedizierten Passwort-Crackers finden Sie hier.
Buffer-Overflow
Bei einem Buffer-Overflow-Angriff werden Schwachstellen in der Implementierung eines Programms ausgenutzt. Wird in diesem nicht verifiziert, ob die übergebenen Daten in den vorgesehenen Bereich („Buffer“) passen, kommt es bei zu großen Datenmengen zu einem Überlauf („Overflow“). Dies kann Speicherbereiche überschreiben, die normalerweise für die Ausführungslogik des Programms vorgesehen sind. Der Angreifer bekommt so eventuell die Möglichkeit, einen von ihm eingeschleusten Code auszuführen und sich Zugang auf das System zu verschaffen.
Cross-Site Scripting (XSS)
Beim Cross-Site Scripting werden Sicherheitslücken in Webanwendung genutzt, um an sensible Daten eines Benutzers zu gelangen. Insbesondere Session-Cookies, die zur Identifizierung einzelner Nutzersitzungen im Webbrowser angelegt werden, sind hier für den Angreifer von Interesse.
Der Name setzt sich zusammen aus den Begriffen Cross-Site, womit die Kommunikation zwischen einzelnen Stellen einer Homepage gemeint ist, und Scripting, da die meisten Angriffe durch Scripting Sprachen (z.B. Javascript) ausgeführt werden.
Zur Vermeidung von Cross-Site Scripting hat die OWASP Foundation ein Cheat Sheet für Entwickler und Administratoren zusammen gestellt.
CVE – Common Vulnerabilities and Exposures
Common Vulnerabilities and Exposures ist ein Standard zur besseren Identifizierung von Sicherheitslücken im IT-Bereich mittels einheitlicher Namensgebung. Durch die Vergabe von CVE-IDs können öffentlich gemachte Schwachstellen eindeutig identifiziert werden.
Mehr Informationen zur CVE finden Sie direkt auf der CVE Homepage.
CWE – Common Weakness Enumeration
Die Common Weakness Enumeration richtet sich an Entwickler und Sicherheitsforscher. Es handelt sich hierbei um eine Typisierung von Softwareschwachstellen.
Durch die CWE-Liste wird die Beschreibung von Schwachstellen vereinheitlicht. Des Weiteren dient sie als Messstab für Software-Sicherheitstools.
Weitere Infos zur CWE finden Sie auf der CWE Homepage.
Exploit
Um eine gefundene Sicherheitslücke ausnutzen zu können, wird ein spezielles Programm entwickelt. Diese „Exploits“ verschaffen dem Angreifer Zugang zum Computersystem des Programms oder Zugriff auf Dateien, für die er normalerweise keine Berechtigungen hätte.
Hats
Wer sich nun fragt, was Hüte (Hats) mit IT-Sicherheit zu tun haben, ist hier genau richtig.
Kennen Sie die Redensart „den Hut aufhaben“? Genau darum geht es auch an dieser Stelle. So wie die Redensart sich auf die Eigenschaften eines Menschen bezieht, so bezieht sich der Hut auf die Intensionen und die moralische Ausrichtung eines Hackers. Hier werden drei Kategorien an Hüten unterschieden:
White Hats
White Hats setzen ihr Wissen und ihre Fertigkeiten gemäß der gesetzlichen Vorgaben ein. Sicherheitsforscher zum Beispiel suchen Sicherheitslücken und decken diese auf, um Systeme sicherer zu machen. Penetration Tester wiederum stellen Firmen ihre Fähigkeiten zur Verfügung, um deren interne IT-Infrastruktur abzusichern.
Black Hats
Wenn in den Medien über „Hacker“ berichtet wird, sind damit zumeist Black Hats gemeint. Dies sind Hacker, die sich außerhalb des Rechtssystems sehen oder ihr Wissen für kriminelle Handlungen einsetzen, zum Beispiel die mutwillige Zerstörung oder Lahmlegung einer IT-Infrastruktur oder der Diebstahl von personenbezogenen Daten.
Grey Hats
Mischt man schwarz und weiß bekommt man grau, nämlich einen grauen Hut. Grey Hats sind schwierig zu umschreiben, denn sie nutzen ihre Fähigkeiten nicht direkt zur mutwilligen Zerstörung, handeln aber auch nicht nach gesetzlichen Vorschriften. Sie brechen beispielsweise bestehende Gesetze, um Missstände aufzudecken und zu proklamieren.
Internet of Things (IoT)
Mit dem Internet der Dinge (IoT) wird die Anbindung aller Arten von Geräten an das Internet bezeichnet. Die damit zunehmende Vernetzung aller Teilbereiche des Lebens verändert unser tägliches Schaffen.
Die immer höhere „online“ Erreichbarkeit aller möglichen Endgeräte, siehe Smart Homes oder Smart Cars, birgt auch allerlei Gefahren. Welche Probleme bei der Anbindung auftauchen können zeigte ein Sicherheitsforscher 2015 mit dem Opel OnStar-Hack, bei dem ein Auto per Handy entriegelt und gestartet werden konnte.
IT Sicherheit
Die Interpretation was genau alles unter die IT Sicherheit fällt schwankt je nach Sprache und Autor. Wir verstehen unter IT Sicherheit den Schutz vor Gefahren und Bedrohungen und die Minimierung von Risiken eines IT System. Dies umfasst alle Arten von IT Systemen, sei es ein großes Firmennetzwerk, ein Smart Home oder das mobile Endgerät eines Anwenders.
Laut Claudia Eckert hat „IT-Sicherheit […] die Aufgabe, Unternehmen und deren Werte (Know-How, Kundendaten, Personaldaten) zu schützen und wirtschaftliche Schäden, die durch Vertraulichkeitsverletzungen, Manipulation oder auch Störungen der Verfügbarkeit von Diensten des Unternehmens entstehen können, zu verhindern.“ (Eckert 2014, 1)
OWASP
Das Open Web Application Security Project (OWASP) ist eine weltweite Non-Profit-Organisation mit dem Fokus die Sicherheit von Software zu verbessern. Hierfür stellt OWASP unter https://www.owasp.org ein eigenes Wiki rund um das Thema Softwaresicherheit zur Verfügung.
OWASP veröffentlicht jährlich eine Top 10 der größten Sicherheitslücken für Web Applikationen. Zu finden sind diese im OWASP Top 10 Project.
Pen Testing or Penetration Testing
Bei einem Penetration Test wird das Angriffsverhalten auf eine IT Infrastruktur simuliert um Schwachstellen aufzudecken und mögliche Schäden abschätzen zu können. Hierbei gibt es zwei Ansätze:
Black Box
Bei einem Black Box Penetration Test wird das Angriffsverhalten eines externen Angreifers simuliert der wenig bis keine Kenntnis über die Infrastruktur hat. Der größte Teil seines Wissens basiert auf öffentlich zugänglichen Daten.
White Box
Im Gegensatz zur Black Box wird hierbei das Angriffsverhalten eines internen Angreifers simuliert der detaillierte Informationen über das Ziel, dessen Infrastruktur und interne Vorgänge hat.
Mehr zum Prozessablauf eines Penetration Tests finden Sie auch auf unserer Pentesting Seite.
Pivoting
Pivoting bezeichnet einen Prozess im Penetration Testing bei dem eine, bereits kompromittierte Maschine, dazu genutzt wird weiter in das Netzwerk vorzudringen. Entweder um Firewall Konfigurationen zu umgehen oder Maschinen und Netzwerke zu erreichen die nicht von außen zugänglich sind.
Privilege Escalation
Erhält ein Angreifer durch einen Exploit Zugang zu einem Computer System geschieht dies oft nicht mit Administrationsberechtigungen, da viele Programme mit eingeschränkten Nutzerrechten gestartet werden. Um dennoch Zugriff auf das komplette System zu bekommen wird nach Schwachstellen gesucht mit denen sich die Berechtigungen verändern lassen.
Der Begriff setzt sich aus den englischen Worten für Benutzerrechte („Privilege“) und Steigerung („Escalation“) zusammen.
Red Teams
Red Teams sind externe Sicherheitsexperten die angeheuert werden um die Sicherheit und die Effektivität der Sicherheitsmaßnahmen einer Firma zu testen. Hierbei wird ein möglichst realer Angriff auf die IT Infrastruktur simuliert.
Ein Red Team arbeitet immer Hand in Hand mit dem Blue Team der Firma um zielgerichtet und effektiv Schwachstellen im System aufzudecken. Eine gute und offene Kommunikation zwischen beiden Teams sollte die Grundlage ihrer Arbeit sein.
Abgrenzung zwischen Red Teams und Pentests
Ein Red Team spielt den Härtefall eines Angriffs gegen die Infrastruktur einer Firma. Dies ist nötig um die Effektivität des Blue Teams auf Herz und Nieren zu prüfen.
Bei einem Penetration Test wird das System auf Schwachstellen geprüft. Unterstützt vom Blue Team wird genau abgeklärt was geprüft werden darf und soll. Während der Tests ist keine explizite Reaktion des Blue Teams notwendig.
Social Engineering
Die größte Schwachstelle in der IT Sicherheit ist der Mensch. Dieser ist das Angriffsziel im Social Engineering. Durch Täuschung, Überzeugungskraft und Manipulation wird versucht an Informationen über das Ziel zu gelangen. Der Einsatz von Technik ist hierfür nicht immer notwendig.
Hierzu zählen unter anderem Mails, die vorgaukeln von einem Vorgesetzten oder einem namhaften Unternehmen zu stammen, den Benutzer aber auf eine gefälschte Seite weiterleiten um seine Zugangs- oder Kreditkartendaten abzufangen.
SQL Injection
Unter SQL Injection versteht man eine, häufig anzutreffende, Schwachstelle in Web Anwendungen. Wenn Benutzereingaben, vor der Weiterleitung an die Datenbank, nicht richtig geprüft werden ist es möglich aus der ursprünglichen Abfrage auszubrechen um weitere Aktionen auszuführen.
Dies reicht vom Zugriff auf andere Datenbankinformationen (Zugangsdaten, Kreditkartendaten, personenbezogene Daten) bis zu einem direkten Zugang zum Computer System.
Schwachstellen (engl. Vulnerabilities)
Als Schwachstelle wird ein Fehler im IT-System bezeichnet, durch den das System oder das Unternehmen geschädigt werden kann.
Dies können fehlerhafte Programmierungen oder Konfigurationen sein. In diesem Fall bilden die Schwachstellen die Grundlage für Exploit Code, mit dem diese ausgenutzt werden.
Die Ursachen können allerdings auch schon im Betriebsablauf oder der Organisation innerhalb des Unternehmens liegen.
Spielen Sie Buzzword Bingo mit Ihren Mitarbeitern und Kollegen in unseren Cyber Security Awareness Workshops.
Literatur
Eckert, Claudia 2014: IT-Sicherheit Konzepte – Verfahren – Protokolle, 9. Auflage, Oldenbourg