security made in hamburg - dfn-verein: willkommen im ......security made in hamburg – 25 jahre...
TRANSCRIPT
Security made in Hamburg 25 Jahre DFN-CERT
68. Betriebstagung | 14.03.2018
Christine Kahl & Stefan Kelm
Agenda
1. Eine kleine Zeitreise
2. Das DFN-CERT heute
The story so far...
Security made in Hamburg – 25 Jahre DFN-CERT 5
Geburtsstunde der CERTs
● Am 2. November 1988 blockiert der erste Internet-Wurm („Morris-Wurm“) ca. 5-10% des damaligen Internets!– Internet = 70.000 Rechner
– Kommunikationsinfrastruktur wird ausgeschaltet
– rexec/rsh -> sendmail -> fingerd
● Namhafte Experten arbeiten fieberhaft an der Lösung
– Keine Stelle alleine findet alle Probleme
● Keiner weiß von den anderen
– Weil Email nicht mehr funktioniert (der Wurm hatte „Bugs“)
● Keiner ist vorbereitet
– Weil wir Menschen Risiken ausblenden und oft – aber nicht immer – der Meinung sind:
„So schlimm wird es schon nicht!“
Security made in Hamburg – 25 Jahre DFN-CERT 6
● 6. Dezember 1988: Aftermath
– Krisensitzung bei DARPA (Defense Advanced Research Projects Agency)
● Schlussfolgerungen
– Analyse der Angriffe: Okay
– Korrektur der Ursachen: Okay
– Behebung der Schäden: Teilweise
– Kommunikation / Koordination: NULL
Entwicklung des CERT-Konzepts
Security made in Hamburg – 25 Jahre DFN-CERT 7
Entwicklung des CERT-Konzepts (2)
● Ende Dezember 1988
– Finanzierung für Projekt sichergestellt
– 4 Mitarbeiter
– Carnegie Mellon University, Pittsburgh, PA● Software Engineering Institute
CERT Coordination Center
● The CERT charter is to work with the Internet community
– to facilitate its response to computer security events involving Internet hosts
– to take proactive steps to raise the community‘s awareness of computer security issues, and
– to conduct research targeted at improving the security of existing systems.
Security made in Hamburg – 25 Jahre DFN-CERT 8
● Computer Incident Advisory Capability = CIAC– US DoE bewilligt endlich Gelder für eigenes Team
● weitere Teams
– NASA Science Internet / SPAN, US NIST, amerikanisches Militär
● August 1989: Invitational Workshop
● November 1990: CERT-System
– Internet = 340.000 Rechner
– Elf Gründungsmitglieder, eins in Frankreich
● 1992: FIRST
– Internet = mehr als 1 Mill. Rechner
– Umbenennung von „CERT-System“ in:Forum of Incident Response and Security Teams
Entwicklung des CERT-Konzepts
Security made in Hamburg – 25 Jahre DFN-CERT 9
● 1991-92 gab es innerhalb der europ. NREN-Community eine Arbeitsgruppe zum Thema „Security“– Arbeiten im DFN zum Thema schon deutlich früher
● 1992 Ausschreibung eines Projekts
– Für 18 Monate
– 2 Stellen, 2 studentische Hilfskräfte
– Reisemittel!
Und der DFN-Verein?
Security made in Hamburg – 25 Jahre DFN-CERT 10
DFN Mitteilungen - Heft 31
Security made in Hamburg – 25 Jahre DFN-CERT 11
Warum Uni Hamburg?
● Sommer 1988: Gründung des Virus Test Center („VTC“)– (Projektseminar) am FBI der Uni Hamburg
● Leiter: Prof. Klaus Brunnstein● Studierende: Kossakowski, Ellermann, Kelm, u.v.a.
– Jährliche Anti-Virus Scanner Tests, Disassemblieren von Viren, …● PC, Amiga, Macintosh, Unix, OS/2, Atari, MVS, VMS
– 4-semestriger Vorlesungszyklus „IT Security and Safety“
● Anfang 1992: „Michelangelo“ Virus
– Brunnstein in ZDF und WDR …● „Am 6. März werden Hunderttausende Rechner ihre Daten ins Nirwana schicken“● „VTC bietet Reparatur-Diskette an, die den Virus entfernt“
– ... dann verschwand er in den Urlaub
Security made in Hamburg – 25 Jahre DFN-CERT 12
● „auf Trab“– ca. 35 Postsäcke
– ca. 18.000 Disketten
– Einrichtung einer Hotline
– PM: „...die Bearbeitung dieserPostmengen wurde vondurchschnittlich 15 Studenten,drei WissenschaftlichenMitarbeitern und unserervöllig gestressten Sekretärinübernommen...“
– Dann kam die CeBIT ...
NTIMICH
Security made in Hamburg – 25 Jahre DFN-CERT 13
Was ist ein CERT eigentlich?
● Ja, wir machen auch Zertifikate!
Security made in Hamburg – 25 Jahre DFN-CERT 14
Was ist ein CERT eigentlich?
● Ja, wir helfen auch bei richtigen Krisen oder Notfällen!
● Aber meistens sind es „nur“ Angriffe oder Vorfälle– Incident Response / Incident Management
● Unterstützung Betroffener● Koordinierung verschiedener Bereiche● (Vorfallsbearbeitung vor Ort)
– Forensik / Malware-Analyse / „Threat Intelligence“
● Ausrichtung auf konkrete „Constituency“
– Das sind Sie! :-)
● Ab 1996 Aufbau und Betrieb der DFN-PKI
– The infrastructure formerly known as DFN-PCA
Security made in Hamburg – 25 Jahre DFN-CERT 15
Was ist ein CERT eigentlich?
● Reaktiv – und Namensgebend!– Hotline
– Analyse
– Vorschläge zur Behebung
– Identifizierung anderer Betroffener
– Automatische Warnmeldungen, tlw. basierend auf externen Feeds
● Proaktiv – und viel effektiver!– Security Advisories: Aktive Warnung vor Schwachstellen
– Veranstaltungen● Konferenz „Sicherheit in vernetzten Systemen“ a.k.a. „DFN-CERT Workshop“● Datenschutz-Konferenz● Zahlreiche Tutorien
Security made in Hamburg – 25 Jahre DFN-CERT 16
Reaktiv Vorbeugend Qualität
Alerts and Warnings
Incident Handling- Incident analysis- Incident response on site - Incident response support- Incident response coordination
Vulnerability Handling- Vulnerability analysis- Vulnerability response- Vulnerability response coordination
Artifact Handling- Artifact analysis- Artifact response- Artifact response coordination
Announcements
Technology Watch
Security Audit or Assessments
Configuration and Maintenance of Security Tools, Applications, and Infrastructures
Development of Security Tools
Intrusion Detection Services
Security-Related Information Dissemination
Risk Analysis
Business Continuity and Disaster Recovery Planning
Security Consulting
Awareness Building
Education/Training
Product Evaluation or Certification
CERT-Dienstleistungen heute
Security made in Hamburg – 25 Jahre DFN-CERT 17
FIRST/www.first.org
Security made in Hamburg – 25 Jahre DFN-CERT 18
www.first.org
Security made in Hamburg – 25 Jahre DFN-CERT 19
● 1993 erste informelle Treffen
● 1995 Arbeitsgruppe zur europ. Koordinierung
● 1997 Projekt „EuroCERT“
● 1999 Krisensitzung (Ende des EuroCERTs)
● 2000 TERENA TF (Task Force) CSIRT
– Spezifikation eines Trustbrokers
– Informelle Arbeitsgruppen
– IODEF - RFCs 5070 und 7203
– „Small is beautiful“
www.terena.org => TF-CSIRT
Security made in Hamburg – 25 Jahre DFN-CERT 20
● Objektivität und Aktualität von Informationen
über CERTs ist das Ziel
– Erlaubt neuen (und alten) Teams eine Ebene zu erlangen, die es anderen Teams einfach macht, relevante Informationen zu finden
● Dies erlaubt eine Zusammenarbeit und damit den Aufbau eines
Vertrauensverhältnisses
– Sanktionierung und Ausschluß ist möglich über ein TI Review Board
● Akkreditierung statt Zertifizierung
TI: www.trusted-introducer.org
Security made in Hamburg – 25 Jahre DFN-CERT 21
DFN Mitteilungen - Nochmal Heft 31
Das DFN-CERT heute
▸ strukturiert in fünf Teams
▹ IRT = Incident Response Team
▹ PET = Projekt und Entwicklungs-Team
▹ ITS Team = IT-Service Team
▹ PKI-Team = Public Key Infrastruktur-Team
▹ CAT-Team = Team Consulting, Analysis und Training
▸ unterstützt von einer Orga-Gruppe, die
▹ die organisatorischen Herausforderungen von Konferenzen und Tutorien meistert
▹ den fünf Teams den Rücken für die fachliche Arbeit frei hält
14.03.2018 Security made in Hamburg – 25 Jahre DFN-CERT 23
50 Mitarbeiter
IRT = Incident Response-Team
▸ Präventiv
▹ Schwachstellenmeldungen inkl. Information zu
Patches (2017: 4407 Meldungen)
▹ Netzwerkprüfer zur proaktiven Netzwerkkontrolle
▸ Reaktiv
▹ Aufdeckung und Analyse aktueller Sicherheitsvorfälle (Incident Handling)
▹ Automatische Warnmeldungen zu Auffälligkeiten im Netz des DFN
→ besitzt immer mehr präventive Aspekte
▹ Analyseunterstützung und Quellenbekämpfung von DoS (Denial-of-Service)-Angriffen
14.03.2018 Security made in Hamburg – 25 Jahre DFN-CERT 25
IRT = Incident Response Team
▸ Wichtiger Aspekt für die erfolgreiche Arbeit:
▹ Beschaffung, Verifikation und Aggregation von Daten
▹ Effiziente Weitergabe von Daten
▸ Vernetzung
▹ FIRST, 409 Teams in 84 Ländern, 5 Teams im Aufnahmeprozess
▹ TI – Trusted Introducer, 27 Teams Certified, 10 Certification Candidates,
139 Teams Accredited, 3 Accreditation Candidates, 163 Teams Listed
▹ CERT-Verbund ca. 45 Mitglieder
▸ Spezialisierte Softwaresysteme zur Datenverarbeitung
▹ Keine Software auf dem Markt PET →
14.03.2018 Security made in Hamburg – 25 Jahre DFN-CERT 26
IRT = Incident Response Team
PET = Projekte und Entwicklungs-Team
▸ Systeme für die interne Nutzung
▹ Autorensystem für die Erstellung und Verwaltung
von Schwachstellenmeldungen
▹ Vorfalls-Aggregationssystem (AW-Meldungen)
▸ Plattform zum Austausch von Vorfallsdaten
▹ Entwickelt im Rahmen eines internationalen Projekts
▹ Europaweite rechtliche und technische Grundlage für den Datenaustausch
14.03.2018 Security made in Hamburg – 25 Jahre DFN-CERT 28
PET = Projekte und Entwicklungs-Team
▹ ACDC= Advanced Cyber Defence Centre
▹ https://www.acdc-project.eu/
▹ Betrieb und Verwaltung der zentralen
Datenaustauschkomponente
▸ Komponenten für den sicheren Netzbetrieb
▹ Messplattform, die auf die Router des DFN zugeschnitten ist
▹ Unterstützung der Peering-Planung
14.03.2018 Security made in Hamburg – 25 Jahre DFN-CERT 29
PET = Projekte und Entwicklungs-Team
▸ NeMo (Network Monitoring)
▹ DoS (Denial-of-Service)-Basisdienst
▹ Selbstschutz des X-Wins
▹ Beachtung von Datenschutzaspekten und
gewünschter minimalinvasiver Eingriff machte
Eigenentwicklung notwendig
→ DFN bietet diese Plattform anderen
Forschungsnetzen (europaweit) an
ITS-Team = IT-Services-Team
▸ Sicherer, stabiler Betrieb
▹ Netzwerk- und Basis-IT-
Infrastruktur
▹ Überwachung der Dienste
(Bsp. Sicherheitsportal)
▹ Bereitstellung sämtlicher Endgeräte,
IT-Dienste und technischer
Basisinfrastruktur für CERTlinge
14.03.2018 Security made in Hamburg – 25 Jahre DFN-CERT 31
ITS-Team = IT-Services-Team
▸ Unterstützt Entwicklungsprojekte
▹ DoS-Abwehrplattform (NeMo)
▹ Aufbau von Sensorik
▹ Themenschwerpunkt aktuell: Konzeption und Planung der Auswertung von
Daten für ein mögliches DFN-SOC (Security Operations Center)
▸ Unterstützt Kunden und Projektpartner
▹ Installation und Inbetriebnahme eigenentwickelter Softwarekomponenten
und Softwaresysteme
14.03.2018 Security made in Hamburg – 25 Jahre DFN-CERT 32
ITS-Team = IT-Services-Team
PKI-Team = Public Key Infrastruktur-Team
▸ Nutzer- und Geräte-Authentifizierung
▸ X.509-PKIs
▹ DFN-PKI: 1.8 Millionen Zertifikate seit 2005
▹ Nutzer- und Serverzertifikate
▹ Vertrauensanker direkt im Betriebssystem & Browser
▸ Vertrauenswürdig per Default hat Konsequenzen
▹ Baseline Requirements des CA/Browserforums
▹ Sonderregeln der Root-Programme von Mozilla & Microsoft
▹ Audit nach ETSI EN 319 411-1 Standard durch den TÜViT (jährlich)
14.03.2018 Security made in Hamburg – 25 Jahre DFN-CERT 34
PKI-Team = Publ ic Key Infrastruktur-Team
▸ Bereitstellung von Validierungsdiensten (CRLs & OCSP)
▸ Verifikationen im Kontext des Teilnehmer-Enrollments
▸ Fragen rund um die Erzeugung und Nutzung von Zertifikaten
auf verschiedensten Geräten
▸ Sichere Authentifizierung von Nutzern und
Geräten als Kern-Baustein vernetzter Dienste
▹ PKIs mit X.509-Zertifikaten sind eine Lösung
▹ z.B. genutzt vom Sicherheitsportal und NeMo
▸ Pflege und Erweiterung der Software
▹ Vom Gesetzgeber vorgegebene eIDAS-Verordnung
▹ IT-Sicherheitsgesetz
14.03.2018 Security made in Hamburg – 25 Jahre DFN-CERT 35
PKI-Team = Publ ic Key Infrastruktur-Team
CAT-Team = Team Consult ing, Analys is und Tra in ing
▸ Jüngstes Team im DFN-CERT
▸ Beraterteam unterstützt Anwender bei
▹ Aufbau eigener CERTs und SOCs
▹ Planung und Implementierung von Informationssicherheits- (ISMS)
und Datenschutzmanagementsystemen (DSMS)
▹ Datenschutzrechtlichen Anforderungen in der Praxis
▸ Langjährige Erfahrung im Hochschul- und Forschungsbereich
▸ Penetrationstests
▸ Risikoanalysen
14.03.2018 Security made in Hamburg – 25 Jahre DFN-CERT 37
CAT-Team = Team Consult ing, Analysis und Training
▸ Know-How-Transfer über
▹ Konferenzen
▹ Workshops
▹ Tutorien
▸ Aktuelle Beratungsschwerpunkte
▹ Umsetzung der Anforderungen zum Datenschutz aus
der EU-Datenschutzgrundverordnung (DSGVO)
▹ Aufbau von Sicherheitsteams an Hochschulen
▹ Sichere und datenschutzgerechte Implementierung von Campus-
Managementsystemen
14.03.2018 Security made in Hamburg – 25 Jahre DFN-CERT 38
CAT-Team = Team Consult ing, Analysis und Training
Dankeschön!
PKI
F ü r 2 5 J a h r e e r f o l g r e i c h e r Z u s a m m e n a r b e i t !
ITS
CAT
PET
IRT
Orga
Haben Sie noch Fragen?
▸ Kontakt
▹ Christine Kahl, [email protected]▹ Stefan Kelm, [email protected]
X.400:s=dfncert, ou=rz, ou=informatik, p=uni-hamburg, A=dbp, C=de
▹ https://www.dfn-cert.de