Sicherheitsmaßnahmen

[Kmitska]

Hallo Leute,

ich beschäftige mich im Moment mit ein bisschen Sicherheit im Netzwerk.
Ich würde gerne von Euch wissen, wie man sich z.B. in ein anderes Account einloggt.
Die einzige Methode, die ich kenne ist die SQL-Injection, doch was gibts da noch so alles?
Oder kennt Ihr andere Punkte, an denen ich aufpassen sollte?

Danke im Voraus!

Mit freundlichen Grüßen,
Kmitska

[cloidnerux]

Ich würde gerne von Euch wissen, wie man sich z.B. in ein anderes Account einloggt.

Indem man seine Anmeldeinformationen nutzt.
Was du doch egt Wissen willst, ist welche Schwachstellen man ausnutzen kann. Sehr Informativ sind hier reden von der Defcon, einfach mal bei youtube anschauen.

Wenn du nun schon über Sicherheit reden willst, musst du deinen Horizont noch erweitern. Denn bei Sicherheit geht es immer um die Frage: Was kann ich denn Angreifen? Und das geht von deinem Server selber bis hin zu bestimmten Nutzern.
Man kann einfach versuchen bestimmte bekannte Schwachstellen zu attackieren, man kann aber auch deine Nutzer dazu bringen, ihre Informationen preis zu geben, Stichwort XSS und Pishing.
Man kann per Syn-Flood(Edit by cloidnerux: war ACK-Poisoning) und ähnliche DOS Verfahren deinen Server lahmlegen oder einfach stupide mit der Ionen Kanone auf dich ballern(DDOS).
Man kann aber auch schwachstellen in deinem System ausnutzten. Wenn du z.B nen Onlineshop hast und die Preise aus der Website und nicht aus der Datenbank ausliest, kann man das ausnutzen. Dann kann dann auch jemend mal für -2000€ bestellen. Man kann dann aber auch wie bei Facebook evt private Bilder anderer ausspähen, weil das durch einen Bug möglich ist. Man kann auch per Crawler die erhältlichen Informationen auslesen, wie bei SchülerVZ geschehen.

Die Wege sind vielfältig, die Gegenmaßnahmen nicht. Wenn du dich schützen willst, musst du egt selber zum Angreifer werden.

[Kmitska]

Die Wege sind vielfältig, die Gegenmaßnahmen nicht. Wenn du dich schützen willst, musst du egt selber zum Angreifer werden.

Bin auch gerade dabei. :-)

Ist eigentlich ein 100% sicheres System machbar? Ich meine, man kann ja alle Sicherheitslücken schließen, und mit der Zeit würde man doch alle beheben?

[darksider3]

Ist eigentlich ein 100% sicheres System machbar? Ich meine, man kann ja alle Sicherheitslücken schließen, und mit der Zeit würde man doch alle beheben?

Ja und Nein. Wahrscheinlich nutzt du als Webserver Apache(2)...oder irgendeinen anderen..^.^
Das Problem ist, dass auch der Server lücken haben kann, z.B .ht* Zugriff usw.
Dadurch dass ja wirklich alles weiterentwickelt wird, was man heutzutage nutzt in diesem bereich(Apache,PHP,SQL,DB's,Python,CGI) ist das gewährleisten eines komplett sicheren Skripts/Programmes auf einem Webserver wohl nicht möglich. Man sollte versuchen so zu Programmieren, das die Bugs die sich automatisch einschleichen, so klein sind, dass man nur über einen Link z.b den Content Temporär für die Aktuelle Anzeige des einen Benutzers manipuliert...das sind die "harmlosen" Bugs... Schlimmer wäre es natürlich wenn man irgendwas in die Datenbank einschmuggeln könnte, z.B über Post/Get verfahren.

--
Naja kurz und Knackig: 100% sicher ist nichts...siehe den schönen Ninja-Hacking Beitrag von fat-lobyte oder nufan.

Mfg

[cloidnerux]

Ist eigentlich ein 100% sicheres System machbar? Ich meine, man kann ja alle Sicherheitslücken schließen, und mit der Zeit würde man doch alle beheben?

Nein. Es ist nicht möglich. Ich habe ja schon gesagt, es gibt mehr Möglichkeiten dich anzugreifen als nur ne SQL Injection. Ich kann deinen Server per DOS/DDOS blockieren, dann kann niemand mehr dein System nutzen. Wenn die Nutzer dann nach ein paar Tagen keine lust mehr haben, hast du verloren.
Ich kann versuchen deine Nutzer dazu zu bringen, ihre Daten selber freiwillig herauszurücken, sprich Pisihng.
Ich kann aber auch direkt dich angreifen und versuchen per Keylogger Zugangsdaten zu deinem Server und Datenbank zu bekommen.
Ich kann auch versuchen durch Zero-Days und Bugs in dem OS deines Servers und deinem Webserver hineinzukommen. Durch Updates werden zwangsläufig solche Lücken entstehen.
Generell kann man sagen, dass solange ein System von irgendwem genutzt werden kann, es auch ausgenutzt/angegriffen werden kann.

[Kmitska]

Wie ist das denn jetzt mit DDoS eigentlich? Es kann ja nicht sein, dass wegen paar DDoS-Fans die ganze Seite für Monate lahm gelegt wird.
Gibt es da gar keine Methoden zur Verteidigung? Immerhin ist das ein riesen Verlust!

[cloidnerux]

Wie ist das denn jetzt mit DDoS eigentlich? Es kann ja nicht sein, dass wegen paar DDoS-Fans die ganze Seite für Monate lahm gelegt wird.

DDoS ist wenn zu viele gleichzeitig auf deinen Server zugreifen, dass kann dir auch passieren wenn auf einmal aus irgendeinem Grund deine Seite populär wird und schlagartig sehr viele Verbinden, Gegenmaßnahme hier wären mehr Serverkapazitäten schaffen.
Es kann aber auch sein das du mal Anonymous verärgerst du und mit LOIC dich per DDoS außer Gefecht setzten. Auch hier kannst du mit mehr Servern aufwarten und hoffen, dass es nicht genug Gegner gibt, du kannst versuchen mit intelligenten Routern Angreifer gezielt auszuschließen oder deine Website auf sehr viele Server zu verteilen und dann entsprechen die DNS-Route umlegen.
Sam Browne hat auf der DEFCON ne Interessante Keynote gehalten:
http://www.youtube.com/watch?v=1EAnjZqXK9E

Gibt es da gar keine Methoden zur Verteidigung? Immerhin ist das ein riesen Verlust!

Es gibt immer Möglichkeiten sich zu verteidigen, aber du wirst niemals in der Lage sein dich gegen alles zu Verteidigen.
Von daher solltest du es deinen Gegner nicht zu einfach machen, nicht dass dann ein Script-Kiddy deine Datenbank klaut und alle Nutzerpasswörter, die du im Klartext gespeichert hast ausliest und ausnutzt.

[darksider3]

LOIC = Low Orbit Ion Canon...^^
Obwohl dies nur mit mehreren hundert Angreifern funktioniert...
Aber cloidnerux hat recht, du kannst es nur so schwer wie möglich machen, aber 100% sicherheit ist nie gewährleistet

[Xin]

Wie ist das denn jetzt mit DDoS eigentlich? Es kann ja nicht sein, dass wegen paar DDoS-Fans die ganze Seite für Monate lahm gelegt wird.
Gibt es da gar keine Methoden zur Verteidigung? Immerhin ist das ein riesen Verlust!

DDoS ist kein echter Angriff. Es ist nur die Verschwendung Deiner Resourcen. Wenn Dein Service so genutzt wird, dass er nicht hinterherkommt alle Anfragen zu bedienen - also auch die Deiner Kunden nicht.

Es gibt aber durchaus Verteidigungsstrategien: Stellt ein Client zuviele Anfragen in zu kurzer Zeit, lieferst Du entsprechende Fehlermeldungen und bedienst ihn erst wieder, wenn einige Sekunden vergangen sind. In der Wartezeit hast Du mehr Zeit für normale Clienten, weil Du einfach nur eine Fehlerdung aus dem RAM zurückfeuerst oder einfach die Verbindung kappst, ohne zu antworten.

[darksider3]

Ganz stark vereinfacht würde ich das so sagen:
IP's kurzzeitig loggen (ist mittlerweile standard denke ich), und gucken ob der innerhalb 0,5 Sekunden mehr als 4 Anfragen sendet. Dann kann man glaub ich sagen, dass hier entweder einer heftige Pings durchführt, oder versucht irgendwas rauszufinden über den Server selbst.

PS: Das habe ich jetzt daraus gelesen...^^ Falls nicht ganz richtig, bitte ich diese Fehlinformation zu entschuldigen

Mfg