Ausgewählte Angriffsvektoren

Transkript

1 AusgewählteAngriffsvektoren AusgewählteAngriffsvektoren René Lynx Pfeiffer Michael MiKa Kafka DeepSecIn DepthSecurityConference

2 Worumgeht's? MöglicheGegenspieler&Motivationen WegefürAngriffe Schwachstellen&Risiken Schadensbegrenzung

3 Sicherheit? IntegritätderVerbindungs /Gesprächsdaten VertraulichkeitderVerbindungs /Gesprächsdaten IdentitätderGesprächsteilnehmer VerfügbarkeitderInfrastruktur

4 Gegenspieler

5 Hackers Ursprüngeinden1970erJahren Telefonsysteme/ Phreaking BoardsystememitModemeinwahl Internet Motivation Neugierde ErkundenvonTechnologie Spaß(unterVorbehalt)

6 Hackerhüte WhiteHats ErkundenvonSchwachstellen Informieren,Absichern Schadenwirdmöglichstvermieden BlackHats AusnutzenvonSchwachstellenzueigenemVorteil persönlichergewinn SchadenwirdinKaufgenommen/beabsichtig GreyHats MischungausWhite/BlackHat

7 ScriptKiddies ScriptKiddieshabenwenigKnow How Einsatz gefundener Tools nichtzielgerichtet( targetsofopportunity ) MotivationAnerkennung Hacks sindtrophäen eigenesprache/kultur(z.b.l33tsp33k, ) ScriptKiddieswerdenmituntermißbraucht/ausgespielt kaumorganisiert

8 Hacktivismus politisch/religiös/kulturellmotiviert bekanntseitoktober1989 WANKWurm(ProtestgegenNukleartechnik) Zeichensetzen,Botschaftenhinterlassen ZieleabhängigvonAusrichtung Auswirkungenebenso

9 Hacktivismus Symptome VerändernvonWebseiten(Defacing) LahmlegenvonWebseiten(WebSit Ins) E Mail Bomben subversive Software SpiegelnvonWebseiten(Antizensur) Geo Bombing(überYouTube) anonymesbloggen(z.b.blogdelnarco)

10 Hacktivismus Beispiele

11 Cybercrime Profit digitalesorganisiertesverbrechen DiensteundWerkzeugekäuflich schlüsselfertig Baukastenprinzip WarensindInformation

12 Cybercrime Symptome Betrug(Phishing,Spamming) Informationsdiebstahl Konten,Kreditkarten Logins,Paßworte,Identitäten Erpressung Spionage

13 Cybercrime Markplätze

14 ZeroDays/0days ZeroDayssindunveröffentlichteSchwachstellen Schwachstellen(noch)nichtbehoben VerwendunginAngriffscode ZeroDayswerdengehandelt PreisejenachWirksamkeit/Plattformen gutezerodayswerdensparsameingesetzt Verteidigung betroffenesystemeunzugänglichmachen gestaffeltesicherheitsbarrieren

15 Angriffsvektorenund mittel

16 DerlangeWegüberServer

17 ModerneAbkürzungen

18 Desktops/Smartphones

19 Desktops/Smartphones(2) sehrvielsoftwarevorhanden reichhaltigeauswahlvondokumentenformaten automatischeverknüpfungen automatischeprogrammaufrufe AusführenvonCode Angriff Netzwerk,USB GeräteundDatenträger! Filtersindimmerunvollständig

20 WegezumDesktop

21 BrowserundkurzeLinks Sicheroderunsicher? ContentDistributionNetworks wählengeographischnächstenserver verschiedeneansichten derselben Webseite BrowserversteckenDetails BrowserstellenaktiveInhaltesofortdar

22 AktiveInhalte Inline Dokumente(PDF, ) Adobe Flash/Shockwave/AIR Microsoft Silverlight OracleJava JavaScript Audio /Videodaten 3D beschleunigtewebseiten(webgl)

23 Zombies ZombiessindinfizierteSysteme InfektiondurchViren/trojanischePferde InfektionswegWeboderNachrichten(E Mail, ) SystemesindComputer(PCs,Server,Mobiltelefone, ) ZombieserhaltenKommandos Command&Control(C&C)Kanal zentralesteuerung MechanismenfürUpdates

24 Zombies Symptome SystemkannkeineSymptomezeigen moderneschadsoftwaretarntsich Auffallenistunerwünscht Systemkannseltsamreagieren Internetverbindungistlangsam/instabil Detektionmeistmöglich,abhängigvonSchadsoftware

25 Bot Netzwerke Bot NetzwerkebestehenausZombie Systemen voneinigen1.000biszumehreren zombies zentralgesteuert Bot Netz BetreibervermietenNetzwerkefür SendenvonE Mail( Spam ) Spionage(Zugänge,Passworte, ) ÜberlastenvonDiensten geschätzte60bis150millionensystemesindinbot Netzen

26 Zombie Verbreitung

27 Bot Netzwerke(2)

28 Bot NetzwerkinAktion

29 DenialofService(DoS) LahmlegenvonSystemendurch ErschöpfenvonResourcen AusnutzenvonFehlerninSoftware/Protokollen kannnebeneffektsein kannweitereschritteverdecken Ablenkungsmanöver AusnutzenvonAbhängigkeiten VorbereitungweitererAttacken

30 DistributedDenialofService DoSmitvielenverschiedenenQuellen koordinierteattacke Quellenmüssensynchronisiertsein QuellenagierenaufKommandos sehrwirkungsvollgegenvieleziele VerteidigungnurimVerbundmöglich ISPmußmithelfen EinsatzContentDistributionNetworks(CDNs)

31 LowOrbitIonCannon ToolofteingesetztvonAnonymous(seit2006) ZielsindmeistWebserver

32 DigitaleZertifikate

33 Zertifikate,digitaleSignatur Certificate Authority Identity Certificate: Certificate info * Identity PubKI * Extensions Sig PrivKCA PrivKCA Hash Alg. Assym. Crypto PubKCA

34 Zertifikatsausstellung Identity Certificate Authority PrivKID PubKI PrivKCA Certif. R PubKCA eques t Requester Verification Identity Certificate: Certificate info * Identity PubKI Certificate info * Identity PubKI * Extensions * Extensions Sig PrivKCA Sig PrivKCA received

35 ZertifikatVerifikation1) Certificate Authority PrivKCA PubKCA Identity Self-signed Certificate: Requests "Root Certificate": Certificate info * Identity PubKCA Certificate info * Identity PubKCA * Extensions Sig PrivKCA * Extensions Sig PrivKCA received

36 ZertifikatVerifikation2) received Certificate Certificate info * Third Party "Root Certificate": Certificate info * Identity PubKCA PubKI * Extensions Sig PrivKCA * Extensions Sig PrivKCA Verify received Identity Certificate

37 ZertifikatVerifikation:Probleme Unklarheiten: WelchenRootZertifikatenvertraueich? WohatdieIdentitysignierenlassen? HatdieCAsauberverifiziert? GrundsätzlichesVertrauen ÜberprüfungNachfragenurexplizit CRLbzw.OCSP

38 VorfällebeimSignieren Verisign,Januar2001 SigniertzweiZertifikate"für"Microsoft Requestwargefälscht Zertifikatfür"CodeSigning" ZweiMonateunentdeckt: "Inmid March2001,VeriSign,Inc.,advisedMicrosoftthaton January29and30,2001,itissuedtwoVeriSignClass3code signing digitalcertificatestoanindividualwhofraudulentlyclaimedtobea Microsoftemployee "

39 FalschausgestellteZertifikate: FalschausgestellteZertifikate: ErfolgreicheMitMAttacke Wirdnichterkannt KeineVerknüpfungZwischenCAundIdentity Risikenz.B.Etisalat,ArabischeEmirate: Seit2005als"TrustedRoot"erkannt(Cybertrust) SchlechteErfahrungenmitBlackberry2009 GiltfürhunderteweitereOrganisationen...

40 GestohleneZertifikate Stuxnet(enthieltZertifikatefürJMicron&Realtek) VerwendetgestohleneZertifikate EntdecktvonESET

41 GestohleneZertifikate ComodoIncident2011: "IchSunbrokeintoComodo'sItalianregistrationauthority,called ComodoItaly,andonMarch15usedComodo'ssystemsto fraudulentlyissueninedigitalcertificates." Stelltunteranderemzwei"CertificateSigning"Zertifikateaus.

42 HilftExtendedValidation? ExtendedValidation: RichtlinienvonCA/BrowserForum(Ca.30bis40MitgliederOct 2009) Zielsetzungen: "IdentifythelegalentitythatcontrolsaWebsite" "EnableencryptedcommunicationswithaWebsite" "Identifythesourceofexecutablecode" "ThesecondarypurposesofanEVCertificatearetohelp establishthelegitimacyofabusiness" "addressingproblemsrelatedtophishing,malware,andother formsofonlineidentityfraud"

43 EVUmsetzung: SpeziellOIDsz.B.: ComodoEVCPS BrowserzeigenzusätzlicheMerkmale StanfordUniversity2006: "Extendedvalidationdidnothelpusersdefendagainsteither attack" "Extendedvalidationdidnothelpuntrainedusersclassifya legitimatesite" "Trainingcausedmorerealandfraudulentsitestobeclassifiedas legitimate"

44 ZumSchmunzeln:

45 FazitdigitaleZertifikate: KomplexeTechnik VieleMitspieler Nichtjederistvertrauenswürdig Anwenderistüberfordert UmfangreicheAngriffsvektoren Incidentswerdenoftspäterkannt

46 InternetRouting

47 RoutingAngriffeimInternet InternetisteinNetzvonNetzen KeinenZentraleRegistrierung,wermitwemredet FalscheRoutingInformationdenkbar: GenauereInformationbevorzugt Z.B. BerlinCharlottenburg odernur Berlin

48 Internet:EinNetzvonNetzen Vertrauenimplizit Routing(weiterleitenvonDaten)kannnichtverifiziertwerden. Dynamischesverhalten. FalscheRoutingInformationkanneingeschleustwerden(siehe folgendeseiten). Erkennungsehrschwer.

49 EinRoutingAngriff Wien Berlin Wien Hietzing Wien Hietzing Berlin Charlottenburg Berlin Charlottenburg

50 KombinierteAttacken Attackentretenselteneinzelnauf Kombination zurablenkung/vortäuschung/verwirrung zurübernahmevonsystemenalsangriffsplattform zumattackierenmehreresystemarten EinsatzkombinierterSchadsoftware

51 Fragen? asweknow,thereareknownknowns.there arethingsweknowweknow.wealsoknow thereareknownunknowns.thatistosaywe knowtherearesomethingswedonotknow. Buttherearealsounknownunknowns the oneswedon'tknowwedon'tknow. DonaldRumsfeld, ,Departmentof Defensenewsbriefing

52 Überuns The DeepSec IDSC is an annual European two day in depth conferenceoncomputer,network,andapplicationsecurity.weaimto bring together the leading security experts from all over the world. DeepSec IDSC is anon product, non vendor biased conference event. Intended target audience: Security Officers, Security Professionals and Product Vendors, IT Decision Makers, Policy Makers, Security /Network /Firewall Admins, Hackers and Software Developers. Web: Blog: