Cyberspionage konkrete Bedrohung?

Transkript

1 Cyberspionage konkrete Bedrohung? TEFO, 19. November 2015 Compass Security Schweiz AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel Fax

2 Cyberspionage in der Schweiz? Wie beurteilt der Bundesrat die Bedrohung durch hochentwickelte Cyberspionage? Antwort des Bundesrates am : Der Bundesrat erachtet die Bedrohung durch hochentwickelte Cyberspionage als hoch. Die Art der Cyberangriffe auf Schweizer Unternehmen und die Verwaltung reicht von einfachen Phishing-Angriffen (Password Fishing) über DDoS- Angriffe (Distributed Denial of Service) bis hin zu hochkomplexen, vermutlich staatlich unterstützten Cyberspionage-Angriffen. Die Schweiz ist somit bezüglich solcher Bedrohungen mindestens so gefährdet wie jeder andere Staat. Quelle: Compass Security Schweiz AG Seite 2

3 Cyber-Untergrund Compass Security Schweiz AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel Fax

4 Motivation der Angreifer Angreifer Script-Kiddies Motivation Spass, Ruhm&Ehre Politische-Gruppierungen Ideologie/Gerechtigkeit Cyber-Kriminelle Geld Cyber-Spione Wettbewerbsvorteil/Geld Geheimdienste Staatsinteressen Compass Security Schweiz AG Seite 4

5 Vorteile der Cyber-Angreifer Die Cyber-Kriminellen/-Spione sind sehr gut organisiert reagieren schnell sind sehr kreativ haben viel Zeit haben viel Geld sind oft nicht identifizierbar! Compass Security Schweiz AG Seite 5

6 Job-Beschreibungen Stellenbezeichnung Hacker Systembetreiber Hoster Finanzexperten Projektleiter Händler Money Mule Programmierer Spammer Funktion Sucht Schwachstellen in Applikationen und Systemen Überwacht das Netzwerk Stellt Server zur Verfügung Kennt sich mit Geldwaschen aus Koordiniert und plant Aktivitäten Kauft und Verkauft Exploits/Dienste/Kreditkarten/Passworte etc. Leitet Zahlungen weiter Erstellt Software für die Angriffe Verschickt Massenmails Compass Security Schweiz AG Seite 6

7 Angriffsarten Compass Security Schweiz AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel Fax

8 Angriffe auf die Massen Drive-By SPAM-Mail Phishing- Webseite Soziale Medien Website- Defacement Würmer (Adress-Bücher) Manipulierte Programme Compass Security Schweiz AG Seite 8

9 Gezielte Angriffe Mail an einzelne WLAN Hotspots Transparenter Proxy DDoS Manipulierte Webseite USB Sticks Compass Security Schweiz AG Seite 9

10 Gezielter Angriff: USB Stick Covert Channel & Inside-Out Auslieferung Trojaner mit USB Stick Angreifer kontrolliert Ausführung Computer des Opfers Firmen-Netzwerk Internet Compass Security Schweiz AG Seite 10

11 Reale Angriffe Compass Security Schweiz AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel Fax

12 Fall 1: Anruf von Microsoft SCAM Compass Security Schweiz AG Seite 12

13 Fall 1: Anruf von Microsoft Compass Security Schweiz AG Seite 13

14 Fall 2: Urheberrechtsverletzung Compass Security Schweiz AG Seite 14

15 Fall 3: Ransomware Daten gesichert Compass Security Schweiz AG Seite 15

16 Fall 3: Ransomware Daten gesichert Compass Security Schweiz AG Seite 16

17 Advanced Persistent Threat (APT) Compass Security Schweiz AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel Fax

18 Advanced Persistent Threat Infection Persistence Exfiltration Privilege Elevation Exfiltration II Increase Network Access Compass Security Schweiz AG Seite 18

19 Advanced Persistent Threat Today Erstinfektion (no local admin) C&C Compass Security Schweiz AG Seite 19

20 Die Macht der Statistik 48 Tage Advisory wird publik Patch 54 Tage Exploit 6 Tage Quelle: ETHZ Stefan Frei 2009 (Dissertation): We found that exploit availability consistently exceeds patch availability. Compass Security Schweiz AG Seite 20

21 Advanced Persistent Threat Command & Control Communication Client C&C DNS Server Server POLL POLL POLL Command File Commands Execute commands Compass Security Schweiz AG Seite 21

22 Advanced Persistent Threat Today Erstinfektion (no local admin) Mit Zero-Day Exploit auf Local Admin C&C Compass Security Schweiz AG Seite 22

23 Advanced Persistent Threat Agent Agent Zombie Host Zombie Host C&C Server Agent Zombie Host Zombie Host Compass Security Schweiz AG Seite 23

24 Fall 4 APT und seine Folgen Compass Security Schweiz AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel Fax team@csnc.ch

25 Fall 4: 400 GB Daten veröffentlicht Compass Security Schweiz AG Seite 25

26 Fall 4: Was wurde gefunden Firmengeheimnisse Angebote, Rechnungen, Verträge Gesamter Verkehr, Kontaktnetzwerk Source Code der Schnüffel-Software Zero-Day Schwachstellen 4 funktionsfähige Adobe Flash Player Schwachstellen ( 3 Zero-Day) 1 Schwachstelle für Windows Kernel UEFI BIOS Rootkit 1 Internet Explorer Schwachstelle (Zero-Day) 1 Mobile News App (GooglePlay) 1 Windows Schwachstelle (Zero-Day) Preis für Zero-Days, $ Preis für ios Exploits bis $ Compass Security Schweiz AG Seite 26

27 Fall 5: ebanking Trojaner Dyre Quelle: Compass Security Schweiz AG Seite 27

28 Risikobetrachtung KMU Compass Security Schweiz AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel Fax

29 KMU: Ziel der Cyber-Kriminellen/-Spione? Attraktivität für Cyber-Attacken / Wahrscheinlichkeit Geringer Schutz -> Leichtes Opfer Daten sind persönlich wertvoll Politisch/Ideologisch exponiert KnowHow Vorsprung (Forschung, Rezepte, Anleitungen) Marktleader Viele Neider / Nachahmer Wertvolle Daten Zugriff auf Finanz-Netzwerke Interessante Kundendaten Geheimnisse Software/Hardware Lieferant für Ziel-Firmen Compass Security Schweiz AG Seite 29

30 Datenklassifizierung / Schutzbedarf Datenklassifizierung Welche Daten sind für meine Firma existenziell? Welche Daten sind für einen ordnungsgemässen Betrieb notwendig? Welche Daten sind nur für internen Gebrauch? Welche Daten sind öffentlich? Schutzbedarf Vertraulichkeit Was passiert, wenn meine Daten bekannt werden? Integrität Was passiert, wenn meine Daten nicht mehr korrekt sind? Verfügbarkeit Was passiert, wenn meine Daten nicht mehr vorhanden sind? Compass Security Schweiz AG Seite 30

31 Schutz-Massnahmen Compass Security Schweiz AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel Fax

32 Schutz-Massnahmen Autofahren Passive Sicherheit Sicherheitsgurt Airbags Verformungssteife Fahrgastzelle Knautsch-Zonen vorne und hinten Versicherung Aktive Sicherheit ABS EPS Abstandsradar Geschwindigkeits-Assistent Spurhalte-Assistant Totwinkel-Assistant Nachtsicht-Assistent Ausbildung/Prüfungen/KFZ Nothilfe-Organisationen Compass Security Schweiz AG Seite 32

33 Grundschutz-Massnahmen Massnahmen Testen/verbessern Firewall, Zonenbildung Virenscanner Backup Benutzer- Sensibilisierung Passworte Physischer Schutz Least Privilege Logdaten sammeln/speichern Updates OS, Apps, Plugins Compass Security Schweiz AG Seite 33

34 Erweiterter Schutz Trennung vom Internet Verschlüsselung Isolierte Netzwerke / Systeme Zugriffsberechtigungen einschränken Starke Authentisierung Compass Security Schweiz AG Seite 34

35 Monitoring Massnahmen Compass Security Schweiz AG Seite 35

36 Vorbereitung auf Krise Krisenmanagement vorbereiten! Compass Security Schweiz AG Seite 36

37 Fazit Compass Security Schweiz AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel Fax

38 Fazit Solange ein System eine Verbindung zum Internet herstellen kann ist die Wahrscheinlickeit sehr hoch, dass ein gezielter Angriff erfolgreich ist. Compass Security Schweiz AG Seite 38

39 Fazit Ich bin der Meinung, dass ein Umdenken stattfinden muss: Die Frage ist nicht mehr, wann wir Opfer eines Cyber-Angriffs werden, sondern wann wir merken, dass wir Opfer wurden! Compass Security Schweiz AG Seite 39

40 Vielen Dank für Ihre Aufmerksamkeit Fragen? Wir finden die Löcher! Penetration Tests IT Forensik/Incident Response Sicherheitskurse Hacking-Lab Compass Security Schweiz AG Seite 40