Wie Hacker angreifen

Transkript

1 Wirtschaft und Sicherheit

2 Über Mich Direktor des Magdeburger Instituts für Sicherheitsforschung Forschungsprogramme zur Unternehmenssicherheit Berater für Unternehmenssicherheit Organisationssicherheit, Social Engineering, Security Awareness Geek, Nerd, Hacker seit knapp 20 Jahren Herausgeber des Magdeburger Journals zur Sicherheitsforschung

3 Informationstechnologie und Sicherheitspolitik Sambleben, J. und Schumacher, S. (Herausgeber) buecher.html

4 Inhaltsverzeichnis 1 Einführung 2 Angreifer, Angriffsziele, Angriffsvektoren 3 Gegenmaßnahmen 4 Passwörter 5 Fazit

5 Einführungsvideo

6 Wirtschaftsspionage NASA-Hack 1986/87: u.a. franz. Rüstungskonzern Thomson (heute Thales) gehackt September 1991: Julian Assange hackt Master-Terminal Nortel Australien»Chinesische«Hacker sollen Tech-Konzern Nortel ausgeplündert haben (SpOn) Hacker hatten von 2000 an Manager-Passwörter und damit vollen Zugriff Nortel wird gegenwärtig liquidiert

7 Angriffe auf Unternehmen : Yahoo!, Buy.com, ebay, Amazon, E-Trade, MSN.com, Dell, ZDNet und CNN per ddos lahmgelegt FBI schätzt Schaden auf 1,7 Mrd US-$ Angriffe auf Root-DNS-Server schlagen fehl FBI und RCMP identifizieren»mafiaboy«als Urheber der Attacken einen 15-jährigen High-School-Schüler Operation Payback: ddos-attacke auf Visa, Mastercard und Paypal in den Niederlande, 16-jähriger Schüler festgenommen

8 Angriffe auf Unternehmen : Yahoo!, Buy.com, ebay, Amazon, E-Trade, MSN.com, Dell, ZDNet und CNN per ddos lahmgelegt FBI schätzt Schaden auf 1,7 Mrd US-$ Angriffe auf Root-DNS-Server schlagen fehl FBI und RCMP identifizieren»mafiaboy«als Urheber der Attacken einen 15-jährigen High-School-Schüler Operation Payback: ddos-attacke auf Visa, Mastercard und Paypal in den Niederlande, 16-jähriger Schüler festgenommen

9 Inhaltsverzeichnis 1 Einführung 2 Angreifer, Angriffsziele, Angriffsvektoren 3 Gegenmaßnahmen 4 Passwörter 5 Fazit

10 Angreifer und Angriffsziele Skript Kiddies: Just for Fun/Because I can politisierste Gruppen (Anonymous, PETA, etc.): Aufmerksamkeit, politische Ziele Geheimdienste (Frankreich, USA, GB, China, Russland): Wirtschaftsspionage oder Sabotage (Stuxnet) Umfassende Auswertung von Kommunikationsdaten durch Echelon/PRISM/Tempora Konkurrenten: Wirtschaftskriminalität Organisierte Kriminalität: Erpressung, Datendiebstahl eigene (Ex-)Mitarbeiter: Rache, Erpressung, Gier

11 Datensicherheit und Gefährdungen Wirtschaftskriminalität und Industriespionage kann jeden treffen! Gezielte Angriffe gegen Industrie und Wissenschaft durch ausländische Geheimdienste u.a. aus USA, Frankreich, China, Russland, Iran, Weißrussland... Gezielte Angriffe durch Konkurrenten, auch gegen KMU! Ungezielte Angriffe durch organisierte Cyberkriminalität u.a. aus Russland gut ausgebildete Mafia-Strukturen in RU, u.a. aus Informatikern und ehemaligen KGB/FSB-Offizieren

12 Datensicherheit und Gefährdungen Wirtschaftskriminalität und Industriespionage kann jeden treffen! Gezielte Angriffe gegen Industrie und Wissenschaft durch ausländische Geheimdienste u.a. aus USA, Frankreich, China, Russland, Iran, Weißrussland... Gezielte Angriffe durch Konkurrenten, auch gegen KMU! Ungezielte Angriffe durch organisierte Cyberkriminalität u.a. aus Russland gut ausgebildete Mafia-Strukturen in RU, u.a. aus Informatikern und ehemaligen KGB/FSB-Offizieren

13 Angriffsmöglichkeiten distributed Denial of Service (ddos) ein Angreifer schickt soviele Anfragen, dass der Server überlastet wird der Angreifer nutzt mehrere Rechner, sog. Botnetz erlangt durch Trojaner Kontrolle über»zombies«, idr Microsoft Windows Zombies sind normale Privatrechner, keine Kombatanten oder Söldner können jeden Rechner lahmlegen, Verteidigung sehr schwer Botnetze können gemietet werden Bsp: Stacheldraht (2000), Estland (2007), Georgien (2008) Erpressung als Modell

14 Angriffsmöglichkeiten einige Beispiele Schwarzmarkt für Sicherheitslücken und Schadsoftware existiert Phishing, Trojaner u.ä. können vorgefertigt beschafft werden Untergrund-Chaträume im IRC oder in diversen Untergrund-Foren einfache Standardangriffe sind leicht und recht billig durchzuführen! Wer sollte mich schon angreifen, bei mir gibt es doch nichts zu holen! Falsch! Ein»Schleppnetz«ist billig

15 Angriffsmöglichkeiten einige Beispiele Schwarzmarkt für Sicherheitslücken und Schadsoftware existiert Phishing, Trojaner u.ä. können vorgefertigt beschafft werden Untergrund-Chaträume im IRC oder in diversen Untergrund-Foren einfache Standardangriffe sind leicht und recht billig durchzuführen! Wer sollte mich schon angreifen, bei mir gibt es doch nichts zu holen! Falsch! Ein»Schleppnetz«ist billig

16 Angriffswerkzeuge automatisierte Scanner durchsuchen große Teile des Internets scannen nach Betriebssystemversionen mit bekannten Sicherheitslücken brechen dort automatisiert ein und trojanisieren Zombies Botnetze BredoLab: ; Mariposa ; Conficker Zombies; Rustock Zombies und 44 Milliarden Spammails/d

17 Angriffsvektoren keine Passwörter, schwache Passwörter, Standard-Passwörter (Handout) bekannte Sicherheitslücken in Betriebssystemen (Updates) Sicherheitslücken in Anwendungen: PDF-Exploits im Acrobat Reader mit angehängter PDF (Auftragsanfrage?), wird im Acrobat Reader geöffnet Rechner geownet Drive-By-Download im Browser: präparierte Webseite wird aufgerufen, im Hintergrund der Browser exploited und das Betriebssystem geownet Zero-Day-Exploit: Ausnutzung einer Sicherheitslücke am 0. Tag keine Updates verfügbar, siehe Stuxnet

18 Stuxnet greift Industristeuerungsanlagen (SCADA) an u.a. Siemens SIMATIC Step 7 für SPS Automatisierungstechnik als Angriffsziel Stromversorgung? Smartmeter? Smartgrid?

19 Social Engineering Jawoll, Herr Hauptmann... Ausnutzen menschlicher Verhaltensweisen Warum soll ich versuchen einen Rechner zu cracken, wenn ich doch den Benutzer nur nach dem Passwort fragen muss? Profiling (aus Facebook & Co., Namen von Freunden, Lieblingsmusik, Urlaub in...) Spear Phishing

20 Inhaltsverzeichnis 1 Einführung 2 Angreifer, Angriffsziele, Angriffsvektoren 3 Gegenmaßnahmen 4 Passwörter 5 Fazit

21 Metasploit-Demo

22 Gegenmaßnahmen Datenhygiene: auch unscheinbare Informationen können zusammengesetzt werden Multi-Faktor-Authentifikation: mehrere Sicherheitsmaßnahmen in der Tiefe Anrufe und s gegenchecken nicht alles glauben :-) Updates, Updates, Updates Sicherheit im Unternehmen prüfen (Penetration Test, Externe Validierung)

23 Gegenmaßnahmen Kryptographie einsetzen (Truecrypt, GnuPG) Backups machen Dateisystemintegrität prüfen

24 Inhaltsverzeichnis 1 Einführung 2 Angreifer, Angriffsziele, Angriffsvektoren 3 Gegenmaßnahmen 4 Passwörter 5 Fazit

25 Passwörter werden gehasht gespeichert Hash := mathematische Einwegfunktion Passwort Hash: einfach Hash Passwort: schwer

26 Wörterbuchangriffe Kombinatorik fröhliches Passwortraten: alle Kombinationen probieren Anzahl Kombinationen = verfuegbare Buchstaben P asswortlaenge 26 Buchstaben (a-z), 5 Stellen: 26 5 = Buchstaben, 10 Stellen: = Annahme: 5 Passwörter pro Sekunde pro Tag = 27, 5 Tage (99 10 / )/ Millionen Jahrtausende

27 Wörterbuchangriffe Kombinatorik fröhliches Passwortraten: alle Kombinationen probieren Anzahl Kombinationen = verfuegbare Buchstaben P asswortlaenge 26 Buchstaben (a-z), 5 Stellen: 26 5 = Buchstaben, 10 Stellen: = Annahme: 5 Passwörter pro Sekunde pro Tag = 27, 5 Tage (99 10 / )/ Millionen Jahrtausende Annahme: Passwörter pro Sekunde pro Tag Minuten (99 10 / )/ Tausend Jahrtausende

28 Wörterbuchangriffe Kombinatorik fröhliches Passwortraten: alle Kombinationen probieren Anzahl Kombinationen = verfuegbare Buchstaben P asswortlaenge 26 Buchstaben (a-z), 5 Stellen: 26 5 = Buchstaben, 10 Stellen: = Annahme: 5 Passwörter pro Sekunde pro Tag = 27, 5 Tage (99 10 / )/ Millionen Jahrtausende Annahme: Passwörter pro Sekunde pro Tag Minuten (99 10 / )/ Tausend Jahrtausende

29 Stratfor-Demo

30 Verwenden Sie kein Passwort das erraten werden kann! Verwenden Sie kein Passwort das in einem Wörterbuch steht! Verwenden Sie ein langes Passwort mit Groß- und Kleinschreibung, Zahlen und Sonderzeichen! Das Passwort muss geheim bleiben! Verwenden Sie nicht überall das selbe Passwort! Wechseln Sie Ihre Passwörter!

31 Passwörter von Hand generieren Einen Satz ausdenken und die Initialen zusammenziehen Wem der große Wurf gelungen, Eines Freundes Freund zu sein. - Friedrich Schiller, 1805

32 Passwörter von Hand generieren Einen Satz ausdenken und die Initialen zusammenziehen Wem der große Wurf gelungen, Eines Freundes Freund zu sein. - Friedrich Schiller, 1805 W d g W g, E F F z s. - F S,

33 Passwörter von Hand generieren Einen Satz ausdenken und die Initialen zusammenziehen Wem der große Wurf gelungen, Eines Freundes Freund zu sein. - Friedrich Schiller, 1805 W d g W g, E F F z s. - F S, Wörter und Zahlen mischen: R1i2n3g4p5a6r7a8b9e10l 2L2e0s1s1i7n2g9 GmoitatrhhoplEd

34 Passwörter von Hand generieren Einen Satz ausdenken und die Initialen zusammenziehen Wem der große Wurf gelungen, Eines Freundes Freund zu sein. - Friedrich Schiller, 1805 W d g W g, E F F z s. - F S, Wörter und Zahlen mischen: R1i2n3g4p5a6r7a8b9e10l 2L2e0s1s1i7n2g9 GmoitatrhhoplEd Leetspeak: D03s Any1 in - 3r3 5pE4 < 31337?

35 Passwörter von Hand generieren Einen Satz ausdenken und die Initialen zusammenziehen Wem der große Wurf gelungen, Eines Freundes Freund zu sein. - Friedrich Schiller, 1805 W d g W g, E F F z s. - F S, Wörter und Zahlen mischen: R1i2n3g4p5a6r7a8b9e10l 2L2e0s1s1i7n2g9 GmoitatrhhoplEd Leetspeak: D03s Any1 in - 3r3 5pE4 < 31337? Dialekte: Vocheljesank in Machteburch; Motschekiebschen

36 Passwörter von Hand generieren Einen Satz ausdenken und die Initialen zusammenziehen Wem der große Wurf gelungen, Eines Freundes Freund zu sein. - Friedrich Schiller, 1805 W d g W g, E F F z s. - F S, Wörter und Zahlen mischen: R1i2n3g4p5a6r7a8b9e10l 2L2e0s1s1i7n2g9 GmoitatrhhoplEd Leetspeak: D03s Any1 in - 3r3 5pE4 < 31337? Dialekte: Vocheljesank in Machteburch; Motschekiebschen

37 Inhaltsverzeichnis 1 Einführung 2 Angreifer, Angriffsziele, Angriffsvektoren 3 Gegenmaßnahmen 4 Passwörter 5 Fazit

38 Fazit Der Mensch spielt die wichtigste Rolle in der Unternehmenssicherheit! Menschen treffen Entscheidungen, nicht Computer! Schulungen notwendig, Ziel ist Handlungskompetenz Sensibilisierungen, Weiterbildungen, Technische Fachkompetenz, Wissensmanagement, Personal- und Organisationsentwicklung... Security-Awareness-Kampagnen Sicherheitskurse (auch VHS)

39 Fazit Die Frage ist nicht ob ich ein System hacken kann sondern welche Ressourcen ich dafür benötige

40 Forschungsprogramme des MIS Psychologie der Sicherheit Social Engineering Security Awareness, Sicherheit in Organisationen Didaktik der Sicherheit Didaktik der Kryptographie Lernfelder: Fachinformatiker IT-Sicherheit

41 sicherheitsforschung-magdeburg.de youtube.de/sicherheitsforschung