HS-Esslingen/swb6-it-sec
Archived
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
This repository has been archived on 2024-10-30. You can view files and clone it, but cannot push or open issues or pull requests.
swb6-it-sec/Lab05/documentation/part2/part2.tex

66 lines
2.9 KiB
TeX
Raw Normal View History

init lab5
2022-06-16 12:46:50 +02:00
\section{Part 2: Attack Tree}
part1
2022-06-23 08:53:03 +02:00
implement attack tree
2022-06-23 09:27:07 +02:00
\subsection{Baum}
include costs
2022-06-23 10:35:37 +02:00
\begin{sideways}
implement attack tree
2022-06-23 09:27:07 +02:00
\begin{forest}
for tree={
draw,
minimum height=1cm,
anchor=parent,
align=center,
child anchor=parent
},
More data
2022-06-23 10:08:06 +02:00
[{Daten in Datenbank angreifen}, name=AD
[{Zugang zum Server}
include costs
2022-06-23 10:35:37 +02:00
[{Sicherheitsdients\\bestechen\\10.000€}, angle below
[{Zugang zum Gebäude 10€}, color my roots=teal, rotate=270]
[{Festplatten klauen 10€}, color my roots=teal, rotate=270]
[{Spuren verwischen 50.000€}, color my roots=teal, rotate=270]
More data
2022-06-23 10:08:06 +02:00
]
include costs
2022-06-23 10:35:37 +02:00
[{Feueralarm\\aktivieren\\10€}, angle below
[{Als Feuerwehrmann Gebäude betreten 100€}, color my roots=teal, rotate=270]
[{Im Chaos Festplatten klauen 10€}, color my roots=teal, rotate=270]
More data
2022-06-23 10:08:06 +02:00
]
implement attack tree
2022-06-23 09:27:07 +02:00
]
include costs
2022-06-23 10:35:37 +02:00
[{Zugang zu Daten}
[{SSH\\hijack\\10€}
[{Man In the Middle 10€}, color my roots=teal, rotate=270]
[{Zertifikate klauen 10€}, color my roots=teal, rotate=270]
More data
2022-06-23 10:08:06 +02:00
]
include costs
2022-06-23 10:35:37 +02:00
[{SQL\\Injection\\10€}
[{Passworteingabe 10€}, color my roots=teal, rotate=270]
[{Kommentarfunktion 10€}, color my roots=teal, rotate=270]
]
[{Schlechte\\Auth\\10€}
[{Password ist 12345678 10€}, color my roots=red, rotate=270]
More data
2022-06-23 10:08:06 +02:00
]
implement attack tree
2022-06-23 09:27:07 +02:00
]
include costs
2022-06-23 10:35:37 +02:00
[{Zugang zu Mitarbeiter}
[{Daten auf\\USB Stick\\100.000€}, angle below
[{Daten auf Server löschen 10.000€}, color my roots=teal, rotate=270]
[{Daten an Firma verkaufen 500€}, color my roots=teal, rotate=270]
[{Daten im Netz verkaufen 500€}, color my roots=teal, rotate=270]
More data
2022-06-23 10:08:06 +02:00
]
include costs
2022-06-23 10:35:37 +02:00
[{Daten\\in Cloud\\100.000€}
[{Daten im Netz verkaufen 500€}, color my roots=teal, rotate=270]
[{Firma mit Veröffentlichung drohen 1000€}, color my roots=teal, rotate=270]
More data
2022-06-23 10:08:06 +02:00
]
implement attack tree
2022-06-23 09:27:07 +02:00
]
]
\end{forest}
include costs
2022-06-23 10:35:37 +02:00
\end{sideways}
Wenn keine Kosten für die Aktion vorhanden sind werden trotzdem 10€ für Sprit, Strom, etc. gerechnet.
implement attack tree
2022-06-23 09:27:07 +02:00
\subsection{Kosten des günstigsten Angriffs}
More data
2022-06-23 10:08:06 +02:00
\subsubsection{Scheinbar (Rot)}
Der Mitarbeiter in der Firma ist der einfachste Angriff. Vielleicht ist der Mitarbeiter unzufrieden oder möchste schnell viel Geld machen. Bei grpßen Firmen mit technischen Geheimnissen könnte das Stehlen der Daten sowie verkaufen im Netz viel Geld bringen. Der Mitarbeiter müsste allerdings Zugang zu solchen Daten haben.
Allerdings bleibt bei so einem Angriff nicht viel für den Angreifer übrig, da der Mitarbeiter bezahlt werden möchte.
\subsubsection{Besser (Blau)}
Wenn der Online-Shop oder die Webseite direkten Zugriff auf Daten per SQL-Injection preisgibt, könnte der günstigste Angriff darüber laufen. Es wird lediglich ein Terminal benötigt und Spuren könnten durch einen VPN verwischt werden.
Reference in a new issue Copy permalink