Das Überall-Netz. Sicher unterwegs mit Smartphone, Tablet und Co. Stefan Schumacher. Magdeburger Institut für Sicherheitsforschung

Transkript

1 Das Überall-Netz Sicher unterwegs mit Smartphone, Tablet und Co. Stefan Schumacher Magdeburger Institut für Sicherheitsforschung Thüringer Landesmedienanstalt Erfurt, Stefan Schumacher Das Überall-Netz Erfurt, / 43

2 Inhaltsverzeichnis 1 Einführung 2 Angriffsmöglichkeiten 3 Passwörter 4 Angriffsmöglichkeiten 2 5 Überwachung Stefan Schumacher Das Überall-Netz Erfurt, / 43

3 Über Mich Geschäftsführender Direktor des Magdeburger Instituts für Sicherheitsforschung Herausgeber des Magdeburger Journals zur Sicherheitsforschung Hacker seit >20 Jahren Berater Unternehmenssicherheit Berater für diverse Finanzinstitute, Strafverfolgungsbehörden und Regierungen B.A. Bildungswissenschaft/Psychologie, M.Sc./M.A. International Vocational Education Masterarbeit: Interaktives Lern- und Trainingssystem Informationssicherheit (ILTIS) E-Learning, Didaktik, Handlungskompetenz Stefan Schumacher Das Überall-Netz Erfurt, / 43

4 Forschungsprogramme des MIS Psychologie der Sicherheit Social Engineering Security Awareness, Sicherheit in Organisationen Didaktik der Sicherheit Didaktik der Kryptographie Lernfelder: Fachinformatiker IT-Sicherheit Lernfelder: IT-Sicherheit für Kaufleute Lernfelder: IT-Sicherheit für Elektroberufe Stefan Schumacher Das Überall-Netz Erfurt, / 43

5 Informationstechnologie und Sicherheitspolitik Sambleben, J. und Schumacher, S. (Herausgeber) sicherheitsforschung-magdeburg.de/buecher.html Stefan Schumacher Das Überall-Netz Erfurt, / 43

6 Jahrbuch Terrorismus 2013/2014 Hansen, S. und Krause, J. (Herausgeber) Stefan Schumacher: Cyber-Terrorismus: Reale Bedrohung oder Mythos? S Stefan Schumacher Das Überall-Netz Erfurt, / 43

7 Intro mobile Geräte breiten sich immer weiter aus vertrauliche Kommunikation über Endgeräte vertrauliche Daten auf Endgeräten vertrauliche Daten in der Cloud Sicherheit der Geräte ist problematisch Sicherheitsbewusstsein nicht existent exzellentes Hilfsmittel für Social Engineering :-) Stefan Schumacher Das Überall-Netz Erfurt, / 43

8 Datensicherheit und Gefährdungen Internetkriminalität und Spionage kann jeden treffen! Gezielte Angriffe gegen Industrie und Wissenschaft durch ausländische Geheimdienste u.a. aus USA, Frankreich, China, Russland, Iran, Weißrussland... Gezielte Angriffe durch Konkurrenten, auch gegen KMU, Behörden, Wissenschaft und Forschung Ungezielte Angriffe durch organisierte Cyberkriminalität u.a. aus Russland gut ausgebildete Mafia-Strukturen in RU, u.a. aus Informatikern und ehemaligen KGB/FSB-Offizieren Umfassende Auswertung von Kommunikationsdaten durch Echelon/PRISM/Tempora Stefan Schumacher Das Überall-Netz Erfurt, / 43

9 Datensicherheit und Gefährdungen Internetkriminalität und Spionage kann jeden treffen! Gezielte Angriffe gegen Industrie und Wissenschaft durch ausländische Geheimdienste u.a. aus USA, Frankreich, China, Russland, Iran, Weißrussland... Gezielte Angriffe durch Konkurrenten, auch gegen KMU, Behörden, Wissenschaft und Forschung Ungezielte Angriffe durch organisierte Cyberkriminalität u.a. aus Russland gut ausgebildete Mafia-Strukturen in RU, u.a. aus Informatikern und ehemaligen KGB/FSB-Offizieren Umfassende Auswertung von Kommunikationsdaten durch Echelon/PRISM/Tempora Stefan Schumacher Das Überall-Netz Erfurt, / 43

10 Inhaltsverzeichnis 1 Einführung 2 Angriffsmöglichkeiten 3 Passwörter 4 Angriffsmöglichkeiten 2 5 Überwachung Stefan Schumacher Das Überall-Netz Erfurt, / 43

11 Angriffsmöglichkeiten einige Beispiele Schwarzmarkt für Sicherheitslücken und Schadsoftware existiert Phishing, Trojaner u.ä. können vorgefertigt beschafft werden Untergrund-Chaträume im IRC oder in diversen Untergrund-Foren einfache Standardangriffe sind leicht und recht billig durchzuführen! Wer sollte mich schon angreifen, bei mir gibt es doch nichts zu holen! Falsch! Ein»Schleppnetz«ist billig Stefan Schumacher Das Überall-Netz Erfurt, / 43

12 Angriffsmöglichkeiten einige Beispiele Schwarzmarkt für Sicherheitslücken und Schadsoftware existiert Phishing, Trojaner u.ä. können vorgefertigt beschafft werden Untergrund-Chaträume im IRC oder in diversen Untergrund-Foren einfache Standardangriffe sind leicht und recht billig durchzuführen! Wer sollte mich schon angreifen, bei mir gibt es doch nichts zu holen! Falsch! Ein»Schleppnetz«ist billig Stefan Schumacher Das Überall-Netz Erfurt, / 43

13 Angriffswerkzeuge automatisierte Scanner durchsuchen großte Teile des Internets scannen nach Betriebssystemversionen mit bekannten Sicherheitslücken brechen dort automatisiert ein und trojanisieren Zombies Botnetze BredoLab: ; Mariposa ; Conficker Zombies; Rustock Zombies und 44 Milliarden Spammails/d Botnetze können Zielrechner mit Anfragen lahmlegen (ddos) Stefan Schumacher Das Überall-Netz Erfurt, / 43

14 Kleingeräte immer mehr billige Kleingeräte mit schlechter Software (keine QA) Router, NAS, Fernseher, Smartphones, Smartmeter, Industrie 4.0, Autos Millionen Fritzboxen angreifbar - Router ist SPoF Bottleneck Heise Security: Synology-NAS-Geräte als Bitcoin-Miner missbraucht c t entdeckt Sicherheitslücken in zahlreichen Smart-TVs Stefan Schumacher Das Überall-Netz Erfurt, / 43

15 Social Engineering Jawoll, Herr Hauptmann... Ausnutzen menschlicher Verhaltensweisen Warum soll ich versuchen einen Rechner zu cracken, wenn ich doch den Benutzer nur nach dem Passwort fragen muss? Profiling (aus Facebook & Co., Namen von Freunden, Lieblingsmusik, Urlaub in...) Spear Phishing Stefan Schumacher Das Überall-Netz Erfurt, / 43

16 Wie lange brauche ich um einen Rechner zu hacken? Google: Windows hacken Youtube-Tutorials zu Metasploit, 40 Mio Treffer Kali-Linux Live-DVD runterladen (3GB), brennen und booten (30 Minuten) 30 Minuten Videos schauen Opfer-IP besorgen und Feuer frei Zeitansatz: 1h Stefan Schumacher Das Überall-Netz Erfurt, / 43

17 Was muss ich dazu wissen und können? googlen downloaden brennen einen Menüpunkt auswählen und anklicken gekaperten Rechner manipulieren :-) Stefan Schumacher Das Überall-Netz Erfurt, / 43

18 Welche Software benötige ich? Internet und Browser Brenner oder USB-Stick Kali-Linux Stefan Schumacher Das Überall-Netz Erfurt, / 43

19 Unterschiede zu PCs Ziel: rooten Mobilgeräte in der Cloud Cloud-Konten interessant Android/iOS sehr klein, problematisch für Rootkits etc. Ziel: Google/Apple-Passwort Stefan Schumacher Das Überall-Netz Erfurt, / 43

20 Inhaltsverzeichnis 1 Einführung 2 Angriffsmöglichkeiten 3 Passwörter 4 Angriffsmöglichkeiten 2 5 Überwachung Stefan Schumacher Das Überall-Netz Erfurt, / 43

21 Apple Touch ID Apple führt Fingerabdruckscanner für iphone 5s ein : vom CCC mit minimalem Aufwand gehackt 2004: fingerabdruck_kopieren?language=de 2008: schaeuble-attrappe.png Wo findet man mehr Fingerabdrücke als auf einem Touchscreen? Stefan Schumacher Das Überall-Netz Erfurt, / 43

22 Passwörter werden gehasht gespeichert Hash := mathematische Einwegfunktion Passwort Hash: einfach Hash Passwort: schwer Magdeburg = 59aceadf846f772736c4b40eee7b155d magdeburg = ae231b5f777bac5dd2eb80 magdeburg = eadfc a58847eee4cbdfc Stefan Schumacher Das Überall-Netz Erfurt, / 43

23 Stratfor-Hack Alle Passwörter durchprobieren? Auch»kequziasdbciuwe9«und»123QWEDsdf23f«? Menschen sind faul... Schlüsselraum eingrenzen Wörterbuchattacke! Stratfor-Demo Stefan Schumacher Das Überall-Netz Erfurt, / 43

24 Wörterbuchangriffe Kombinatorik fröhliches Passwortraten: alle Kombinationen probieren Anzahl Kombinationen = verfuegbare Buchstaben Passwortlaenge 26 Buchstaben (a-z), 5 Stellen: 26 5 = Buchstaben, 10 Stellen: = Annahme: 5 Passwörter pro Sekunde pro Tag = 27, 5 Tage (99 10 / )/ Millionen Jahrtausende Stefan Schumacher Das Überall-Netz Erfurt, / 43

25 Wörterbuchangriffe Kombinatorik fröhliches Passwortraten: alle Kombinationen probieren Anzahl Kombinationen = verfuegbare Buchstaben Passwortlaenge 26 Buchstaben (a-z), 5 Stellen: 26 5 = Buchstaben, 10 Stellen: = Annahme: 5 Passwörter pro Sekunde pro Tag = 27, 5 Tage (99 10 / )/ Millionen Jahrtausende Annahme: Passwörter pro Sekunde pro Tag Minuten (99 10 / )/ Tausend Jahrtausende Stefan Schumacher Das Überall-Netz Erfurt, / 43

26 Wörterbuchangriffe Kombinatorik fröhliches Passwortraten: alle Kombinationen probieren Anzahl Kombinationen = verfuegbare Buchstaben Passwortlaenge 26 Buchstaben (a-z), 5 Stellen: 26 5 = Buchstaben, 10 Stellen: = Annahme: 5 Passwörter pro Sekunde pro Tag = 27, 5 Tage (99 10 / )/ Millionen Jahrtausende Annahme: Passwörter pro Sekunde pro Tag Minuten (99 10 / )/ Tausend Jahrtausende Stefan Schumacher Das Überall-Netz Erfurt, / 43

27 Passwortregeln Verwenden Sie kein Passwort das erraten werden kann! Verwenden Sie kein Passwort das in einem Wörterbuch steht! Verwenden Sie ein langes Passwort mit Groß- und Kleinschreibung, Zahlen und Sonderzeichen! Das Passwort muss geheim bleiben! Verwenden Sie nicht überall das selbe Passwort! Wechseln Sie Ihre Passwörter! Stefan Schumacher Das Überall-Netz Erfurt, / 43

28 Passwörter von Hand generieren Einen Satz ausdenken und die Initialen zusammenziehen Wem der große Wurf gelungen, Eines Freundes Freund zu sein. - Friedrich Schiller, 1805 Stefan Schumacher Das Überall-Netz Erfurt, / 43

29 Passwörter von Hand generieren Einen Satz ausdenken und die Initialen zusammenziehen Wem der große Wurf gelungen, Eines Freundes Freund zu sein. - Friedrich Schiller, 1805 W d g W g, E F F z s. - F S, Stefan Schumacher Das Überall-Netz Erfurt, / 43

30 Passwörter von Hand generieren Einen Satz ausdenken und die Initialen zusammenziehen Wem der große Wurf gelungen, Eines Freundes Freund zu sein. - Friedrich Schiller, 1805 W d g W g, E F F z s. - F S, Wörter und Zahlen durchmischen: R1i2n3g4p5a6r7a8b9e10l 2L2e0s1s1i7n2g9 GmoitatrhhoplEd Stefan Schumacher Das Überall-Netz Erfurt, / 43

31 Passwörter von Hand generieren Einen Satz ausdenken und die Initialen zusammenziehen Wem der große Wurf gelungen, Eines Freundes Freund zu sein. - Friedrich Schiller, 1805 W d g W g, E F F z s. - F S, Wörter und Zahlen durchmischen: R1i2n3g4p5a6r7a8b9e10l 2L2e0s1s1i7n2g9 GmoitatrhhoplEd Leetspeak: D03s Any1 in - 3r3 5pE4 < 31337? Stefan Schumacher Das Überall-Netz Erfurt, / 43

32 Passwörter von Hand generieren Einen Satz ausdenken und die Initialen zusammenziehen Wem der große Wurf gelungen, Eines Freundes Freund zu sein. - Friedrich Schiller, 1805 W d g W g, E F F z s. - F S, Wörter und Zahlen durchmischen: R1i2n3g4p5a6r7a8b9e10l 2L2e0s1s1i7n2g9 GmoitatrhhoplEd Leetspeak: D03s Any1 in - 3r3 5pE4 < 31337? Dialekte: Vocheljesank in Machteburch; Motschekiebschen Stefan Schumacher Das Überall-Netz Erfurt, / 43

33 Passwörter von Hand generieren Einen Satz ausdenken und die Initialen zusammenziehen Wem der große Wurf gelungen, Eines Freundes Freund zu sein. - Friedrich Schiller, 1805 W d g W g, E F F z s. - F S, Wörter und Zahlen durchmischen: R1i2n3g4p5a6r7a8b9e10l 2L2e0s1s1i7n2g9 GmoitatrhhoplEd Leetspeak: D03s Any1 in - 3r3 5pE4 < 31337? Dialekte: Vocheljesank in Machteburch; Motschekiebschen Stefan Schumacher Das Überall-Netz Erfurt, / 43

34 Inhaltsverzeichnis 1 Einführung 2 Angriffsmöglichkeiten 3 Passwörter 4 Angriffsmöglichkeiten 2 5 Überwachung Stefan Schumacher Das Überall-Netz Erfurt, / 43

35 Man-in-the-Middle unverschlüsselte Kommunikation kann abgefangen und ausgewertet werden Stefan Schumacher Das Überall-Netz Erfurt, / 43

36 Man-in-the-Middle Lösung: Verschlüsselung zwischen den Endpunkten (Skype, VPN, GnuPG, SSL) ermöglicht Authentifikation und Vertraulichkeit Stefan Schumacher Das Überall-Netz Erfurt, / 43

37 Man-in-the-Middle Ausweich: Man-in-the-Middle-Attacke im System A oder B Stefan Schumacher Das Überall-Netz Erfurt, / 43

38 Man-in-the-Middle abschöpfen der Daten auf dem Zielsystem selbst, bevor diese verschlüsselt werden, schwache Kryptographie Stefan Schumacher Das Überall-Netz Erfurt, / 43

39 GSM und Kryptographie Downgrading beim Aushandeln von Kryptalgorithmus und Hash bei SSL-Verbindungen Lukas, G. (2013). Why Android SSL was downgraded from AES256-SHA to RC4- MD5 in late Magdeburger Journal zur Sicherheitsforschung, 2, Probleme im PRNG! Anbieter in den USA zur Herausgabe von privaten Schlüsseln gezwungen, siehe LavaBit, Cryptoseal Google und In-Q-Tel sind eng verbandelt (2005: Aktien-Swap für Keyhole) Stefan Schumacher Das Überall-Netz Erfurt, / 43

40 GSM und Kryptographie GSM ist prinzipiell unsicher diverse Probleme in der Implementierung und im Design der Krypt-Algorithmen, A5/0-A5/2 sind unsicher Angriffe auf GSM-Infrastruktur möglich, Kosten für Hardware bei ca Euro Kafka, M. & Pfeiffer, R. (2012a). Angriffe und Verteidigungsstrategien für vertrauliche Kommunikation über Funkdienste. In J. Sambleben & S. Schumacher (Herausgeber), Informationstechnologie und Sicherheitspolitik: Wird der dritte Weltkrieg im Internet ausgetragen? Anderson, R.: Why Cryptosystems Fail Stefan Schumacher Das Überall-Netz Erfurt, / 43

41 Sicherheitsmechanismen in Betriebssystemen richtige Betriebssysteme [TM] grenzen Daten und Prozesse voneinander ab vgl. MS DOS vs. Unix Mechanismen: Benutzer/Passwörter; Dateizugriffsrechte; chroot; FreeBSD Jails; Solaris Container; SysCalls im Kernel mit Systrace; Virtuelle Maschinen; Vorteil: Abgrenzung der Prozesse und Daten untereinander - ge0wnter Apache kann nicht auf /etc/master.passwd zugreifen, Trojaner etc. müssen erst root-rechte erlangen Nachteil: Komplexität; Benutzerunfreundlich in Mobilgeräten nur rudimentär vorhanden Google, Apple & Co. kontrollieren Geräte Stefan Schumacher Das Überall-Netz Erfurt, / 43

42 Man-in-the-Middle Stefan Schumacher Das Überall-Netz Erfurt, / 43

43 Man-in-the-Middle Stefan Schumacher Das Überall-Netz Erfurt, / 43

44 Sicherheitsmechanismen in Betriebssystemen Probleme mit der Signatur von Apps im PlayStore Apps können manipuliert und trojanisiert werden Attacken über Browser oder Mail-App unzureichende Sicherheitsmechanismen im System AntiVir etc. kann u.u. ausgehebelt werden... Botnetz aus Millionen Android-Geräten... Schumacher, S. (2012a). Timeo Danaos et dona ferentes: Zur Funktionsweise von Schadsoftware. In J. Sambleben & S. Schumacher (Herausgeber), Informationstechnologie und Sicherheitspolitik: Wird der dritte Weltkrieg im Internet ausgetragen?. Stefan Schumacher Das Überall-Netz Erfurt, / 43

45 SIM-Betrug und MTAN-Phishing gezielte, elaborierte Phishing-Attacken auf Mobilgeräte von Bankkunden PCs und Smartphone gezielt angegriffen um MTAN abzugreifen. SIM-Karten nachbestellt und an Angreifer schicken lassen alle Anrufe/SMSen kommen auch beim Angreifer an - inkl. MTANs Stefan Schumacher Das Überall-Netz Erfurt, / 43

46 Fazit GSM ist verrottet und gehört ausgetauscht oder wenigstens erweitert (Kryptographie!) Sicherheitsmechanismen in mobilen Devices sind suboptimal Hersteller sind nicht vertrauenswürdig Software (OS) verbessern, ordentliche Kryptographie rein Hardware verbessern (Crypto-CPU) Stefan Schumacher Das Überall-Netz Erfurt, / 43

47 Inhaltsverzeichnis 1 Einführung 2 Angriffsmöglichkeiten 3 Passwörter 4 Angriffsmöglichkeiten 2 5 Überwachung Stefan Schumacher Das Überall-Netz Erfurt, / 43

48 Bewegungsprofil Malte Spitz Stefan Schumacher Das Überall-Netz Erfurt, / 43

49 Bewegungsprofil Malte Spitz Stefan Schumacher Das Überall-Netz Erfurt, / 43

50 Kommunikationsnetz TechCrunch Stefan Schumacher Das Überall-Netz Erfurt, / 43

51 Aufklärung großflächige Überwachung sozialer Netzwerke Erkennung von sich entwickelnden Revolutionen Kommunikationsaufkommen steigt massiv an Metadaten zur Analyse der Situation Braut sich was zusammen? Arabische Revolution etc.pp. Bilderkennung, GPS in EXIF (Beispiel) Stefan Schumacher Das Überall-Netz Erfurt, / 43

52 Gegenmaßnahmen Passwörter! Datensparsamkeit - Was ich nicht speichere, kann nicht missbraucht werden! Updates einspielen - sofern möglich und überhaupt bereitgestellt Cyanogen-Mod (erfordert rooten) Verschlüsselung aktivieren Virenscanner - nun ja... physikalische Sicherheit verschlüsselte Kommunikation - Ende-zu-Ende OSTN, RedPhone... Nicht: Skype, WhatsApp Stefan Schumacher Das Überall-Netz Erfurt, / 43

53 Juice Jack Stefan Schumacher Das Überall-Netz Erfurt, / 43

54 Juice Jack Stefan Schumacher Das Überall-Netz Erfurt, / 43

55 Juice Jack Stefan Schumacher Das Überall-Netz Erfurt, / 43

56 Juice Jack Stefan Schumacher Das Überall-Netz Erfurt, / 43

57 Demo Juice Jack rogue-ap Beacon-Collection sslstrip Redirect & Fake-Login Stefan Schumacher Das Überall-Netz Erfurt, / 43

58 Unterrichtsmaterial Magdeburger Journal für Sicherheitsforschung 23 - Nichts ist wie es scheint / Kuckucksei von Clifford Stoll (KGB-Hack) Wargames, Sneakers, Blackout Cyber-Krieg / Cyber-Terror Überwachung durch NSA &Co., arabische Revolution Daten bei Facebook und Co. - Datenschutz vs. Selbstauslieferung Maschinenlernen, Data Warehouse, Big Data Enercon Stefan Schumacher Das Überall-Netz Erfurt, / 43

59 sicherheitsforschung-magdeburg.de sicherheitsforschung-magdeburg.de/publikationen/ journal.html youtube.de/ Sicherheitsforschung Twitter: 0xKaishakunin Xing: Stefan Schumacher Stefan Schumacher Das Überall-Netz Erfurt, / 43