Logo

Wie fasse ich Fuß in der IT Sicherheit?

Vor einigen Jahren fand ich genau das, von dem ich sagen kann: Es ist meine Leidenschaft. Letzlich durch einen Kurs in Kryptographie an der HTW Berlin. Aber das allein konnte es nicht gewesen sein, so versuchte in der Informationsflut zu filtern und einen eigenen Pfad zu finden, der mich an mein Ziel bringt. Und so kann ich heute auf die letzten vier Jahre zurück blicken und jedem, der sich die Frage stellt, wie man mit IT Sicherheit beginnt, meinen Pfad zeigen. Er ist nicht der beste und auch nicht maßgeschneidert, aber er dient auch mehr als Richtlinie.

Ausbildung

Diesen Schritt habe ich übersprungen, aber ich behaupte man sollte ihn definitiv gehen. Nirgendwo sonst lernt man, wie die IT eines Unternehmens funktioniert. Was ist ein Active Directory? Was sind Gruppenrichtlinien? Wie funktioniert Firmenpolitik? Das sind alles Fragen, die man eventuell über einen guten Platz als Werkstudent erhält, ansonsten aber nur in der Ausbildng:

Akademische Ausbildung

Man kann auch mit einer Ausbildung sehr viel in diesem Bereich erreichen, mein Weg aber fuhr über eine Hochschule. Das könnte der Anfang für die Karriere innerhalb der IT Security sein. Schließlich lernt man nicht nur das technische Know-How sondern auch einiges über Methodiken und Herangehensweisen. Folgende Anlaufstellen sind mir bekannt:

Online Kurse

Nicht immer reichen einem die akademischen Inhalte oder man möchte sich generell weiter bilden. Hier gibt es jede Menge Online Kurse, die man an teils ausländischen Unis absolvieren kann. Gegen ein Entgelt gibt es ein offizielles Dokument sowie entsprechend Punkte angerechnet, mit denen ein Abschluss irgendwann erreicht werden kann.

Khan Academy

Coursera

MIT OpenCourseWare

Bücher

Bei den Büchern werden keine Informatik Grundlagen dabei sein. Ich gehe davon aus, dass die Kenntnisse entweder vorhanden sind oder selbstständig erlernt werden.

Webseiten

Es gibt zahlreiche Seiten im Internet, die man ansteuern kann. Meine Auswahl hier ist mein persönlicher Geschmack:

Konferenzen

Nicht immer kann man jedes Jahr an den Konferenzen teilnehmen, aber man sollte sie kennen und ihre YouTube Channels mitverfolgen. Wer aber das Interesse und das nötige Kleingeld hat, kann sich gern darüber informieren:

Zertifizierngen

Zahlreiche Zertifizierungen überfluten die Märkte, aber nicht alle werden anerkannt. Manche sind theoretisch, andere eher praktisch. Kann ein Bewerber eine Zertifizierung nachweisen, ist das Finden eines Jobs wesentlich einfacher. Es gibt weitaus mehr als die von mir genannten:

Wie geht es weiter?

Jede Ausbildung, jedes Wissen bringt natürlich noch nicht viel. Es geht vor allem um die Erfahrungen, die man macht. Man muss proaktiv werden, sich Teams anschließen, Software entwickeln und sich mit dem Thema IT Sicherheit beschäftigen. Mancheiner eröffnet einen Blog und teilt sich damit der Welt mit.

Aber der finale Schritt ist die Erfahrung im Unternehmen. Mit viel Hintergrundwissen und möglichen Praktika findet sich eine Stelle als Consultant, Engineer oder wie auch immer die Jobbezeichnung ist. Auch hier gibt es gute Anlaufstellen, um sich mit Stellenangeboten vertraut zu machen:

 

TCP Idle Scan

Informationssammlung: TCP Idle Scan (IPv4)

Die Verwendung der folgenden Inhalte geschieht auf eigene Gefahr. Es ist mit den im Folgenden dargestellten Techniken möglich Schaden anzurichten. Aus diesem Grund dürfen diese unter keinen Umständen an fremden Netzwerken verwendet werden, ausgenommen es gibt eine schriftliche Erlaubnis und Vereinbarung mit dem Betreiber und/oder Eigentümer, über die durchgeführten Aktionen. Es handelt sich beim folgenden Text nicht um eine Rechtsberatung.

Vor jedem Einbruch in IT Systeme erfolgt eine umfangreiche Erkundung. Dabei geht es vor Allem um die offenen Ports. Diese geben einem System eine Schnittstelle in die Außenwelt, und damit die Möglichkeit einen Dienst zur Verfügung zu stellen. Ein sehr verbreiteter Port ist die 80. Standardmäßig werden HTTP Dienste zur Verfügung gestellt, um Webseiten nach außen besuchbar zu gestallten.

Portscanning

Möchte ein Angreifer erfahren, welche Ports und ggf. welche Dienste an einem Server zur Verfügung stehen müsste er einen Portscan durchführen. Dieses Unterfangen wird in der Regel sehr schnell als Angriff interpretiert und von IDS (Intrusion Detection System) und IPS (Intrusion Prevention System) Systemen schnell erkannt. Gerade im deutschen Rechtstraum kann dies unverzüglich als Vorbereitung zur Ausspähung von Daten ausgelegt werden. Hierzu wären einige Paragraphen erwähnenswert, welche genau auf diesen Tatbestand abzielen (§202c StGB Abs. 2).

Klassisches Portscanning versucht eine Verbindung zu allen Ports einer Maschine auf zu bauen. Ist die Verbindung erfolgreich, so ist dieser Port offen und ein akzeptierender Dienst verbirgt sich dahinter. Auf Paketebene lässt sich dies wie folgt darstellen:

Erfolgreiche TCP Verbindung

  1. Client —> SYN (Sequenz-ID = X) —> Server
  2. Server —> SYN-ACK (Sequenz-ID = Y, ACK-ID = X+1) —> Client
  3. Client —> ACK (ACK-ID = Y+1, Sequenz-ID = X+1) —> Server

Generell gilt bei TCP, dass Pakete durchnummeriert werden. Die Sequenz-ID wird vom Client aus an den Server mitgesendet, damit ein Offsetwert bekannt gemacht wird, an welchem die Zählung beginnt. Da jedes System anders zählt sendet auch der Server seine Sequenz-ID an den Client. Dadurch kennen beide “Gesprächsteilnehmer” den gegenseitigen Offsetwert der Sequenz-ID. Im Beispiel nehme ich nunmehr die Variable X für die Client Sequenz-ID und Y für die Server Sequenz-ID.

Nichterfolgreiche TCP Verbindung

  1. Client —> SYN (Sequenz-ID = X) —> Server
  2. Server —> RST (Server Sequenz-ID = Y) —> Client

Mit der Abarbeitung dieses kurzen Abschnittes weiß nun der Client, dass der in der Verbindung angegebene Port geschlossen ist. Werden in kurzer Zeit viele solcher Anfragen sequentiell beginnend ab Port 1 durchgeführt schlägt das Warnsysteme Alarm und sperrt den Angreifer zu meist aus. Das TCP Idle Scan Verfahren versucht diese Blockade erst gar nicht geschehen zu lassen. Dabei wird ein Portscan über ein drittes IT System durchgeführt.

TCP Idle Scan

Bei dieser besonderen Scanmethode verbirgt sich ein Angreifer hinter einem sogenannten Idle Host. Es existiert also nicht nur der Client und der Server sondern noch ein dritter, unbeteiligter Rechner. Dieser wird für den Angreifer, also den Client, die “Opferrolle” übernehmen und seine Identität für den Scan preisgeben. Wichtig bei dieser Scanmethode ist es Prinzip der Sequenz-IDs beim TCP Protokoll zu verstehen. Wer sich unsicher ist, kann hier (Sequenznummern) nachlesen.

Offener Port über Idle Host

  1. Client —> SYN-ACK —> Idle Host
    Der Angreifer schickt ein SYN-ACK Paket an den Idle Host, um die Verbindung zu initiieren.
  2. Idle Host —> RST (Sequenz-ID IH=X) —> Client
    Der Idle Host hat das nicht erwartet. Normalerweise kommt erst der Verbindungsaufbau weswegen die Verbindung mit einem RST Paket abgelehnt wird.
  3. Client —> SYN (Quelle maskiert als Idle Host) —> Server
    Der Client baut nun ein SYN Paket zusammen und nimmt als Absenderadresse die IP Adresse des Idle Hosts. Dadurch folgen die Antworten direkt an den Idle Host und nicht an den Angreifer (Client).
  4. Server —> SYN-ACK —> Idle Host
    Ist der Port nun offen, wird der Server ein SYN-ACK Paket absenden, um die Verbindung mit dem Idle Host zu initiieren. Damit steigt die Sequenz-ID beim Idle Host um 2, da der TCP Handshake vollständig durchgeführt wird.
  5. Client —> SYN-ACK —> Idle Host
    Um das Ergebnis des Scanvorganges über den Idle Host zu erhalten muss eine SYN-ACK Anfrage an den Idle Host gesendet werden. Für diesen ist dies unerwartet, da normalerweise ein SYN Paket folgt.
  6. Idle Host —> RST (Sequenz-ID IH=X+2) —> Client
    Die unerwartete Nachricht wird mit deinem RST Paket abgelehnt. Da der Handshake mit dem Server aber funktioniert hat, wurde die Sequenz-ID um zwei erhöht.

Die Erhöhung um zwei bedeutet für den Angreifer, dass der Port offen und verfügbar ist. Kein einziger Hinweis auf den Angreifer gelangt zum Server. Lediglich der Idle Host kennt den Client (Angreifer) und könnte unter Umständen misstrauisch werden.

Geschlossener Port über Idle Host

Der einzige Unterschied ist im Punkt 4 (oben beschrieben) zu finden. Anstatt des SYN-ACK Paketes, wird der Server die Verbindung mit einem RST Paket ablehnen. Auf das RST Paket folgt kein weiteres mehr, da keine TCP Verbindung initiiert wird. Auf Grund dessen erhöht sich die Sequenz-ID des Idle Hosts lediglich um 1. So wird also in Schritt 6 durch das RST Paket des Idle Hosts zum Client (Angreifer) eine Sequenz-ID verwendet, die nur um 1 erhöht ist. Damit ist für den Client nunmehr klar, dass der Port geschlossen ist.

Fazit

Es ist also möglich ein fremdes IT System auf offene Ports und damit indirekt auf Schwachstellen zu überprüfen, ohne seine Identität dem Ziel offenbaren zu  müssen. Gleichzeitig besteht jedoch die Gefahr, dass der Idle Host falsch ausgewählt wird, so dass dieser Alarm schlagen könnte oder das Vorhaben versucht zu unterbinden.

Abwehrmaßnahmen gibt es natürlich auch. Für die, die sich damit intensiver beschäftigen wollen sollten sich die Software nmap etwas näher ansehen. Mittels IPv6 sieht das ganze übrigens etwas anders aus, da das Protokoll anders funktioniert.

Abwehrmaßnahmen, um sich gegen ausgefeilte Angriffe zu schützen gibt es zahlreiche. IDS bzw. IPS Systeme helfen auf Netzwerkebene weiter. Der dargestellte Portscan ist gültig für IPv4. Sobald ein System ausschließlich IPv6 verwendet sieht das Vorgehen anders aus und sprengt in diesem Fall den Rahmen dieses Beitrages.

Android Werkseinstellungen

Wie wird ein Smartphone sicher gelöscht?

Irgendwann wird jede Technologie alt und kann mit den aktuellen Gegebenheiten nur noch schwierig umgehen. Die E-Mail App benötigt bereits so viele Ressourcen, dass ein 4K Video auf dem kleinen Bildschirm des Smartphones schon gar nicht mehr flüssig abläuft. Aber auch das Multitasking fällt dem Single-Core Prozessor immer schwerer. Dann ist es so weit, und ein neues Gerät wird gekauft. Aber was ist mit dem alten?

Ob man es verkauft, wieder an den Provider zurück schickt oder in den Müll wirft ist zuerst von keiner großen Bedeutung. In allen drei Fällen sind Daten auf dem Gerät vorhanden, die unter Umständen nicht in fremde Hände fallen dürfen. Das gilt sowohl für den Consumer, als auch für den Business Bereich. Speziell die intensive Nutzung der Geräte in Firmen ist für Angreifer interessant.

Herkömliches Zurücksetzen

Der einfachste und schnellste Weg ein Gerät rückstandslos zu säubern ist scheinbar das “Zurücksetzen auf Werkseinstellungen”. Bei einigen Herstellern reicht dies aber nicht wirklich aus. Es ist vielleicht mit dem Papierkorb in Windows zu vergleichen. Dort wird eigentlich nichts “gelöscht”.

Auf Werkseinstellungen zurücksetzen

Auf Werkseinstellungen zurücksetzen

Ein Speicher wird in mehrere Bereiche unterteilt, die tief im Betriebssystem organisiert werden (Dateisystem). Jeder Bereich hat eine bestimmte Größe und eine Adresse. Zusätzlich gibt es unter Umständen auch die Möglichkeit Bereiche zu markieren, das heißt “genutzt” oder “ungenutzt”. Bei manchen Smartphones ist das ähnlich. Das Zurücksetzen wird also den Bereich, den der Nutzer vorher verwendet hat, auf “ungenutzt” setzen und das Betriebssystem über mehrere Mechanismen wieder in den Ursprungszustand versetzen.

Die eigentlichen Daten ruhen nach wie vor im Speicher und sind lediglich als “ungenutzt” markiert. Gelöscht wurde noch nichts. Das geschieht mit der Verwendung dieser Speicherbereiche, automatisch.

Wiederherstellung nach dem Zurücksetzen

Es gibt verschiedene Programme, die sich darauf spezialisieren, die Daten zu retten. Voraussetzung ist natürlich, dass das Gerät nur wenig verwendet worden ist. Ein Beispiel von vielen ist das Programm Recuva

Folgende Schritte führen zu den noch lesbaren Daten:

  1. WLAN, Mobilfunk und Mobile Daten ausschalten (Damit keine Daten eintreffen, die etwas überschreiben)
  2. Gerät per USB an einen Rechner anschließen
  3. Recuva starten und entsprechendes Laufwerk, dass das Smartphone repräsentiert, auswählen (E:, F:, G: usw.)
  4. Auf “Scan” klicken und abwarten was wiederhergestellt werden kann

Sicheres Löschen des Speichers

Der einzige Weg die Daten wirklich unwiderruflich zu löschen besteht also nicht nur aus dem Zurücksetzen auf Werkseinstellungen, sondern auch aus einem weiteren Schritt mit dem die als “ungenutzt” markierten Speicherbereiche wirklich gelöscht werden. Aber wie?

Samsung Android Kamera App

Samsung Android Kamera App

Kurz nach dem Zurücksetzen der Daten ist es nach wie vor ratsam keine Verbindungen über WLAN, Mobilfunk oder Mobile Daten zu zulassen. Ansonsten treffen wieder Daten ein, die eigentlich gelöscht werden sollten. Im letzten Schritt müssen die Daten also irgendwie mit nichtssagendem Inhalt überschrieben werden. Dies kann man wie folgt erreichen:

  1. Kamera App auf dem Gerät starten
  2. Auf Videoaufnahme umschalten und möglichst hohe Auflösung konfigurieren
  3. Das Telefon mit der Kamera auf den Tisch legen, so dass ein schwarzes Bild zu sehen ist
  4. Videoaufnahme starten und so lange durchführen, bis der Speicher voll ist

Nun ist der gesamte Speicher mit Daten gefüllt, mit denen niemand etwas anfangen kann. Alte Fotos, E-Mails und Anhänge mit wichtigen Daten und Zeichnungen sind damit für immer weg. Einzig und allein das lange Video mit dem konstant schwarzen Bild ist unter Umständen rekonstruierbar.

Technisches zum Abschluss

  • Inside Android” erschienen in der c’t Ausgabe 4/11 – Android aus interner Sicht
  • YAFFS – Ein von Android verwendetes Dateisystem