swb6-it-sec/Lab05/documentation/part2/part2.tex

\section{Part 2: Attack Tree}

\subsection{Baum}

\begin{sideways}
\begin{forest}
    for tree={
        draw,
        minimum height=1cm,
        anchor=parent,
        align=center,
        child anchor=parent
    },
    [{Daten in Datenbank angreifen}, name=AD
        [{Zugang zum Server}
            [{Sicherheitsdients\\bestechen\\10.000€}, angle below
                [{Zugang zum Gebäude 10€}, color my roots=teal, rotate=270]
                [{Festplatten klauen 10€}, color my roots=teal, rotate=270]
                [{Spuren verwischen 50.000€}, color my roots=teal, rotate=270]
            ]
            [{Feueralarm\\aktivieren\\10€}, angle below
                [{Als Feuerwehrmann Gebäude betreten 100€}, color my roots=teal, rotate=270]
                [{Im Chaos Festplatten klauen 10€}, color my roots=teal, rotate=270]
            ]
        ]
        [{Zugang zu Daten}
            [{SSH\\hijack\\10€}
                [{Man In the Middle 10€}, color my roots=teal, rotate=270]
                [{Zertifikate klauen 1.000€}, color my roots=teal, rotate=270]
            ]
            [{SQL\\Injection\\10€}
                [{Passworteingabe 10€}, color my roots=teal, rotate=270]
                [{Kommentarfunktion 10€}, color my roots=teal, rotate=270]
            ]
            [{Schlechte\\Auth\\10€}
                [{Password ist 12345678 10€}, color my roots=red, rotate=270]
            ]
        ]
        [{Zugang zu Mitarbeiter}
            [{Daten auf\\USB Stick\\100.000€}, angle below
                [{Daten auf Server löschen 10.000€}, color my roots=teal, rotate=270]
                [{Daten an Firma verkaufen 500€}, color my roots=teal, rotate=270]
                [{Daten im Netz verkaufen 500€}, color my roots=teal, rotate=270]
            ]
            [{Daten\\in Cloud\\100.000€}
                [{Daten im Netz verkaufen 500€}, color my roots=teal, rotate=270]
                [{Firma mit Veröffentlichung drohen 1000€}, color my roots=teal, rotate=270]
            ]
        ]
    ]
\end{forest}
\end{sideways}

Wenn keine Kosten für die Aktion vorhanden sind werden trotzdem 10€ für Sprit, Strom, etc. gerechnet.

\subsection{Kosten des günstigsten Angriffs}

Wenn der Online-Shop oder die Webseite direkten Zugriff auf Daten per SQL-Injection preisgibt, könnte der günstigste Angriff darüber laufen. Es wird lediglich ein Terminal benötigt und Spuren könnten durch einen VPN verwischt werden. (20€)

Außerdem ist ein SSH hijacking denkbar. Allerdings müsste da bei dem ersten Verbindungsaufbau ein Man in the Middle Attack erfolgen. (20€)