security made in hamburg - dfn-verein: willkommen im ......security made in hamburg – 25 jahre...

Security made in Hamburg 25 Jahre DFN-CERT

68. Betriebstagung | 14.03.2018

Christine Kahl & Stefan Kelm

Agenda

1. Eine kleine Zeitreise

2. Das DFN-CERT heute

The story so far...

Security made in Hamburg – 25 Jahre DFN-CERT 5

Geburtsstunde der CERTs

● Am 2. November 1988 blockiert der erste Internet-Wurm („Morris-Wurm“) ca. 5-10% des damaligen Internets!– Internet = 70.000 Rechner

– Kommunikationsinfrastruktur wird ausgeschaltet

– rexec/rsh -> sendmail -> fingerd

● Namhafte Experten arbeiten fieberhaft an der Lösung

– Keine Stelle alleine findet alle Probleme

● Keiner weiß von den anderen

– Weil Email nicht mehr funktioniert (der Wurm hatte „Bugs“)

● Keiner ist vorbereitet

– Weil wir Menschen Risiken ausblenden und oft – aber nicht immer – der Meinung sind:

„So schlimm wird es schon nicht!“


● 6. Dezember 1988: Aftermath

– Krisensitzung bei DARPA (Defense Advanced Research Projects Agency)

● Schlussfolgerungen

– Analyse der Angriffe: Okay

– Korrektur der Ursachen: Okay

– Behebung der Schäden: Teilweise

– Kommunikation / Koordination: NULL

Entwicklung des CERT-Konzepts


Entwicklung des CERT-Konzepts (2)

● Ende Dezember 1988

– Finanzierung für Projekt sichergestellt

– 4 Mitarbeiter

– Carnegie Mellon University, Pittsburgh, PA● Software Engineering Institute

CERT Coordination Center

● The CERT charter is to work with the Internet community

– to facilitate its response to computer security events involving Internet hosts

– to take proactive steps to raise the community‘s awareness of computer security issues, and

– to conduct research targeted at improving the security of existing systems.


● Computer Incident Advisory Capability = CIAC– US DoE bewilligt endlich Gelder für eigenes Team

● weitere Teams

– NASA Science Internet / SPAN, US NIST, amerikanisches Militär

● August 1989: Invitational Workshop

● November 1990: CERT-System

– Internet = 340.000 Rechner

– Elf Gründungsmitglieder, eins in Frankreich

● 1992: FIRST

– Internet = mehr als 1 Mill. Rechner

– Umbenennung von „CERT-System“ in:Forum of Incident Response and Security Teams

Entwicklung des CERT-Konzepts


● 1991-92 gab es innerhalb der europ. NREN-Community eine Arbeitsgruppe zum Thema „Security“– Arbeiten im DFN zum Thema schon deutlich früher

● 1992 Ausschreibung eines Projekts

– Für 18 Monate

– 2 Stellen, 2 studentische Hilfskräfte

– Reisemittel!

Und der DFN-Verein?


DFN Mitteilungen - Heft 31


Warum Uni Hamburg?

● Sommer 1988: Gründung des Virus Test Center („VTC“)– (Projektseminar) am FBI der Uni Hamburg

● Leiter: Prof. Klaus Brunnstein● Studierende: Kossakowski, Ellermann, Kelm, u.v.a.

– Jährliche Anti-Virus Scanner Tests, Disassemblieren von Viren, …● PC, Amiga, Macintosh, Unix, OS/2, Atari, MVS, VMS

– 4-semestriger Vorlesungszyklus „IT Security and Safety“

● Anfang 1992: „Michelangelo“ Virus

– Brunnstein in ZDF und WDR …● „Am 6. März werden Hunderttausende Rechner ihre Daten ins Nirwana schicken“● „VTC bietet Reparatur-Diskette an, die den Virus entfernt“

– ... dann verschwand er in den Urlaub


● „auf Trab“– ca. 35 Postsäcke

– ca. 18.000 Disketten

– Einrichtung einer Hotline

– PM: „...die Bearbeitung dieserPostmengen wurde vondurchschnittlich 15 Studenten,drei WissenschaftlichenMitarbeitern und unserervöllig gestressten Sekretärinübernommen...“

– Dann kam die CeBIT ...

NTIMICH


Was ist ein CERT eigentlich?

● Ja, wir machen auch Zertifikate!



● Ja, wir helfen auch bei richtigen Krisen oder Notfällen!

● Aber meistens sind es „nur“ Angriffe oder Vorfälle– Incident Response / Incident Management

● Unterstützung Betroffener● Koordinierung verschiedener Bereiche● (Vorfallsbearbeitung vor Ort)

– Forensik / Malware-Analyse / „Threat Intelligence“

● Ausrichtung auf konkrete „Constituency“

– Das sind Sie! :-)

● Ab 1996 Aufbau und Betrieb der DFN-PKI

– The infrastructure formerly known as DFN-PCA



● Reaktiv – und Namensgebend!– Hotline

– Analyse

– Vorschläge zur Behebung

– Identifizierung anderer Betroffener

– Automatische Warnmeldungen, tlw. basierend auf externen Feeds

● Proaktiv – und viel effektiver!– Security Advisories: Aktive Warnung vor Schwachstellen

– Veranstaltungen● Konferenz „Sicherheit in vernetzten Systemen“ a.k.a. „DFN-CERT Workshop“● Datenschutz-Konferenz● Zahlreiche Tutorien


Reaktiv Vorbeugend Qualität

Alerts and Warnings

Incident Handling- Incident analysis- Incident response on site - Incident response support- Incident response coordination

Vulnerability Handling- Vulnerability analysis- Vulnerability response- Vulnerability response coordination

Artifact Handling- Artifact analysis- Artifact response- Artifact response coordination

Announcements

Technology Watch

Security Audit or Assessments

Configuration and Maintenance of Security Tools, Applications, and Infrastructures

Development of Security Tools

Intrusion Detection Services

Security-Related Information Dissemination

Risk Analysis

Business Continuity and Disaster Recovery Planning

Security Consulting

Awareness Building

Education/Training

Product Evaluation or Certification

CERT-Dienstleistungen heute


FIRST/www.first.org


www.first.org


● 1993 erste informelle Treffen

● 1995 Arbeitsgruppe zur europ. Koordinierung

● 1997 Projekt „EuroCERT“

● 1999 Krisensitzung (Ende des EuroCERTs)

● 2000 TERENA TF (Task Force) CSIRT

– Spezifikation eines Trustbrokers

– Informelle Arbeitsgruppen

– IODEF - RFCs 5070 und 7203

– „Small is beautiful“

www.terena.org => TF-CSIRT

http://www.terena.org/


● Objektivität und Aktualität von Informationen

über CERTs ist das Ziel

– Erlaubt neuen (und alten) Teams eine Ebene zu erlangen, die es anderen Teams einfach macht, relevante Informationen zu finden

● Dies erlaubt eine Zusammenarbeit und damit den Aufbau eines

Vertrauensverhältnisses

– Sanktionierung und Ausschluß ist möglich über ein TI Review Board

● Akkreditierung statt Zertifizierung

TI: www.trusted-introducer.org


DFN Mitteilungen - Nochmal Heft 31

Das DFN-CERT heute

▸ strukturiert in fünf Teams

▹ IRT = Incident Response Team

▹ PET = Projekt und Entwicklungs-Team

▹ ITS Team = IT-Service Team

▹ PKI-Team = Public Key Infrastruktur-Team

▹ CAT-Team = Team Consulting, Analysis und Training

▸ unterstützt von einer Orga-Gruppe, die

▹ die organisatorischen Herausforderungen von Konferenzen und Tutorien meistert

▹ den fünf Teams den Rücken für die fachliche Arbeit frei hält

14.03.2018 Security made in Hamburg – 25 Jahre DFN-CERT 23

50 Mitarbeiter

IRT = Incident Response-Team

▸ Präventiv

▹ Schwachstellenmeldungen inkl. Information zu

Patches (2017: 4407 Meldungen)

▹ Netzwerkprüfer zur proaktiven Netzwerkkontrolle

▸ Reaktiv

▹ Aufdeckung und Analyse aktueller Sicherheitsvorfälle (Incident Handling)

▹ Automatische Warnmeldungen zu Auffälligkeiten im Netz des DFN

→ besitzt immer mehr präventive Aspekte

▹ Analyseunterstützung und Quellenbekämpfung von DoS (Denial-of-Service)-Angriffen


IRT = Incident Response Team

▸ Wichtiger Aspekt für die erfolgreiche Arbeit:

▹ Beschaffung, Verifikation und Aggregation von Daten

▹ Effiziente Weitergabe von Daten

▸ Vernetzung

▹ FIRST, 409 Teams in 84 Ländern, 5 Teams im Aufnahmeprozess

▹ TI – Trusted Introducer, 27 Teams Certified, 10 Certification Candidates,

139 Teams Accredited, 3 Accreditation Candidates, 163 Teams Listed

▹ CERT-Verbund ca. 45 Mitglieder

▸ Spezialisierte Softwaresysteme zur Datenverarbeitung

▹ Keine Software auf dem Markt PET →


IRT = Incident Response Team

PET = Projekte und Entwicklungs-Team

▸ Systeme für die interne Nutzung

▹ Autorensystem für die Erstellung und Verwaltung

von Schwachstellenmeldungen

▹ Vorfalls-Aggregationssystem (AW-Meldungen)

▸ Plattform zum Austausch von Vorfallsdaten

▹ Entwickelt im Rahmen eines internationalen Projekts

▹ Europaweite rechtliche und technische Grundlage für den Datenaustausch



▹ ACDC= Advanced Cyber Defence Centre

▹ https://www.acdc-project.eu/

▹ Betrieb und Verwaltung der zentralen

Datenaustauschkomponente

https://www.acdc-project.eu/

▸ Komponenten für den sicheren Netzbetrieb

▹ Messplattform, die auf die Router des DFN zugeschnitten ist

▹ Unterstützung der Peering-Planung



▸ NeMo (Network Monitoring)

▹ DoS (Denial-of-Service)-Basisdienst

▹ Selbstschutz des X-Wins

▹ Beachtung von Datenschutzaspekten und

gewünschter minimalinvasiver Eingriff machte

Eigenentwicklung notwendig

→ DFN bietet diese Plattform anderen

Forschungsnetzen (europaweit) an

ITS-Team = IT-Services-Team

▸ Sicherer, stabiler Betrieb

▹ Netzwerk- und Basis-IT-

Infrastruktur

▹ Überwachung der Dienste

(Bsp. Sicherheitsportal)

▹ Bereitstellung sämtlicher Endgeräte,

IT-Dienste und technischer

Basisinfrastruktur für CERTlinge



▸ Unterstützt Entwicklungsprojekte

▹ DoS-Abwehrplattform (NeMo)

▹ Aufbau von Sensorik

▹ Themenschwerpunkt aktuell: Konzeption und Planung der Auswertung von

Daten für ein mögliches DFN-SOC (Security Operations Center)

▸ Unterstützt Kunden und Projektpartner

▹ Installation und Inbetriebnahme eigenentwickelter Softwarekomponenten

und Softwaresysteme



PKI-Team = Public Key Infrastruktur-Team

▸ Nutzer- und Geräte-Authentifizierung

▸ X.509-PKIs

▹ DFN-PKI: 1.8 Millionen Zertifikate seit 2005

▹ Nutzer- und Serverzertifikate

▹ Vertrauensanker direkt im Betriebssystem & Browser

▸ Vertrauenswürdig per Default hat Konsequenzen

▹ Baseline Requirements des CA/Browserforums

▹ Sonderregeln der Root-Programme von Mozilla & Microsoft

▹ Audit nach ETSI EN 319 411-1 Standard durch den TÜViT (jährlich)


PKI-Team = Publ ic Key Infrastruktur-Team

▸ Bereitstellung von Validierungsdiensten (CRLs & OCSP)

▸ Verifikationen im Kontext des Teilnehmer-Enrollments

▸ Fragen rund um die Erzeugung und Nutzung von Zertifikaten

auf verschiedensten Geräten

▸ Sichere Authentifizierung von Nutzern und

Geräten als Kern-Baustein vernetzter Dienste

▹ PKIs mit X.509-Zertifikaten sind eine Lösung

▹ z.B. genutzt vom Sicherheitsportal und NeMo

▸ Pflege und Erweiterung der Software

▹ Vom Gesetzgeber vorgegebene eIDAS-Verordnung

▹ IT-Sicherheitsgesetz


PKI-Team = Publ ic Key Infrastruktur-Team

CAT-Team = Team Consult ing, Analys is und Tra in ing

▸ Jüngstes Team im DFN-CERT

▸ Beraterteam unterstützt Anwender bei

▹ Aufbau eigener CERTs und SOCs

▹ Planung und Implementierung von Informationssicherheits- (ISMS)

und Datenschutzmanagementsystemen (DSMS)

▹ Datenschutzrechtlichen Anforderungen in der Praxis

▸ Langjährige Erfahrung im Hochschul- und Forschungsbereich

▸ Penetrationstests

▸ Risikoanalysen


CAT-Team = Team Consult ing, Analysis und Training

▸ Know-How-Transfer über

▹ Konferenzen

▹ Workshops

▹ Tutorien

▸ Aktuelle Beratungsschwerpunkte

▹ Umsetzung der Anforderungen zum Datenschutz aus

der EU-Datenschutzgrundverordnung (DSGVO)

▹ Aufbau von Sicherheitsteams an Hochschulen

▹ Sichere und datenschutzgerechte Implementierung von Campus-

Managementsystemen


CAT-Team = Team Consult ing, Analysis und Training

Dankeschön!

PKI

F ü r 2 5 J a h r e e r f o l g r e i c h e r Z u s a m m e n a r b e i t !

ITS

CAT

PET

IRT

Orga

Haben Sie noch Fragen?

▸ Kontakt

▹ Christine Kahl, [email protected]▹ Stefan Kelm, [email protected]

X.400:s=dfncert, ou=rz, ou=informatik, p=uni-hamburg, A=dbp, C=de

▹ https://www.dfn-cert.de

mailto:[email protected]

security made in hamburg - dfn-verein: willkommen im ......security made in hamburg – 25 jahre...

Documents