Science-Fiction von heute [Impressionen aus der realen Welt]

Transkript

1 Science-Fiction von heute [Impressionen aus der realen Welt] Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel Fax

2 Compass Security AG [The ICT-Security Experts] Mobile Security - Angriffsszenarien auf mobile Dienste: Wie (un-)sicher sind iphone, Blackberry & Co.? [Eventname ] Marco Di Filippo Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel Fax team@csnc.ch

3 Übrigens: Heute müssen Sie Ihr Telefon nicht ausschalten. Ich empfehle jedoch den Stumm-Modus ;-) Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel Fax

4 Wer bin ich? Marco Di Filippo Regional Manager Germany verheiratet, eine Tochter Kreativer Umgang mit TK(IT)- Sicherheitssystemen seit1996 Werdegang: Von der TK-Security zur IT-Security Spezialgebiete sind technische Sicherheitsprüfungen ICT- Sicherheitskonzepte (VoIP, PSTN, GSM ) Slide 4

5 Wer ist Compass Security AG? Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel Fax

6 Compass Security AG Womit verdienen wir unser Geld? Mit Techniken und Methoden eines Angreifers prüfen wir, ob sich unbefugt in das klar definierte Zielsystem eindringen lässt Wenn Sie wissen wollen, wie ein Angreifer Ihre IT sieht IT-Forensic Rekonstruktion und beweisdienliche Dokumentation von Missbrauchsfällen im Zusammenhang mit elektronischen Systemen Analyse und Erarbeiten von Sicherheitskonzepten Strukturierte Absicherung Ihrer IT bedarfsgerechter Schutz für Daten Schulungen für Mitarbeiter, Techniker, Verantwortliche und Management Know-How aus erster Hand Live-Hacking und Mitarbeitersensibilisierungen...um die Sicherheitslücke Nr. 1 (den Menschen) zu adressieren Slide 6

7 Zahlen/Fakten Gründungsjahr 1999 Geschäftsführer u. Gründer Firmensitz Walter Sprenger & Ivan Bütler Rapperswil SG Anzahl Mitarbeiter 22 Schwerpunkt Besonderheiten Kunden Ethical Hacking - Penetration Testing - IT-Forensics Betreiber des Hacking-Labs, Veranstalter des SCS (bzw. Attacke&Defense in DE) Finanzdienstleister, Telekommunikation, Industrie Slide 7

8 Das Team Slide 8

9 Die Erfolgsstory Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel Fax

10 Die Geschichte. Cap n Crunch Hack Dank einem mehr oder weniger exakt 2600 Hertz hohen Ton (z.b. mittels einer Pfeife aus einer Cornflakes-Packung) konnte man den Gebührenzähler beim CCITT5-Standard manuell deaktivieren, um Kosten zu sparen. John Draper Er perfektionierte die Entdeckung von Joseph Engressia (16-jähriger blinder Schüler) in Form von der 1970 entwickelten BlueBox, mit der man die Gebührenzähler von AT&T überlisten konnte. Slide 10

11 Die Geschichte. BlueBox Die BlueBox produzierte einen Hertz-Ton, welcher von CCITT v5-kompatiblen Vermittlungsstellen benutzt wurde. Beim Phreaking wurden damit illegal kostenlose Telefonate erschlichen. BeigeBoxing Dienst zum illegalen Anzapfen der Telefonleitung einer anderen Person, um auf deren Kosten zu telefonieren bzw. Gespräche mitzuhören. Die BeigeBox hat ihren Namen von der beigen Farbe der durch sie angezapften Verteilerkästen. Slide 11

12 Kurze Schwachstellen-Historie Mai 2008: Windows Mobile Smartphones erlauben die Ausführung von Schadcode via SMS (WAP Push SL) Januar 2009: Android Smartphones können über eine Schwachstelle im Browser manipuliert werden November 2009: iphones mit Jailbreak werden Rickrolled weil das root und mobile User Passwort (default: alpine ) nicht geändert wurde März 2010: TippingPoint's "WeatherFist" Experiment: 1900 Malware Downloads in 24h, 8000 in einem Monat (für rooted Android/ Jailbreaked iphone) April 2010: XSS und Content Injection in SMS PopUp von HTC WinMo Smartphones Mai 2010: Fehlerhafte Datenverschlüsselung in iphone: Voller Zugriff auf Daten über USB. (iphone erlaubt den Zugriff wenn nicht gesperrt beim ausschalten.) Slide 12

13 Aktuelle Schwachstellen November 2010: Umgehung der Code-Sperre beim iphone mit ios 4.x 1. Drücken der Notruf Taste 2. Eingeben einer beliebigen Sequenz; z.b. ### 3. Drücken der Anrufen Taste 4. Sofortiges Drücken der Sperrtaste (oben am Gerät) Slide 13

14 Aktuelle Schwachstellen November 2010: Auslesen der Userdaten mit der BackUp- Funktion Bei unverschlüsselten BackUp s werden Passcodes entfernt Bei verschlüsselten BackUp s bleiben die Passcodes im verschlüsselten Container erhalten Slide 14

15 Die Gegenwart Auszug aus den aktuellen Lagebericht zur IT-Sicherheit des BSI (Bundesamt für Sicherheit in der Informationstechnik) Cyberkriminelle nutzen neben Botnetzen, Spamversand und Phishing- s zunehmend Infiltration über Mobiltelefone und WLAN Slide 15

16 Die Gegenwart 2008: Einführung der Dienstleistung Smartphone Security Resonanz: Eine Anfrage pro Quartal 2010: Positionierung der Dienstleistung Smartphone Security Aktuell: 2-5 Anfragen pro Woche Slide 16

17 Die Gegenwart Geräte vs. Applikationen (Weltweite Marktanteile 06/2010) Geräte Applikationen Slide 17

18 Die Gegenwart Situation im Unternehmen: Got Boss, got iphone? Passt ein iphone ins Unternehmen? Nein! Eigentlich nicht!... Es sei denn Wie kommt es dann, dass dennoch so viele iphones in Unternehmen auftauchen? I am the Boss go get me an iphone! But Boss, iphones are the source of all evil. It s so vulnerable. We would expose our network, open the firewall, data leakage and much more!!! Oh?! However I am the Boss go get me an iphone! *sigh* Slide 18

19 Das Mobile Netzwerk Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel Fax

20 Allgemein Mobile Geräte: kritisch und oft vergessene Kinder... Mobile Geräte arbeiten oft ohne schützende Firmen-Firewall. Sie werden viel transportiert und sind einfach zu bewegen. Sie kommunizieren mit fremden Netzen über unsichere Verfahren. Die Benutzer haben oft Administrator-Rechte. Können einfach entwendet, geklaut oder zerstört werden... Werden im Sicherheitskonzept oft vergessen oder bewusst nicht berücksichtigt. Übrigens: Haben Sie die Verschlüsselung Ihres BlackBerrys oder den Zugangsschutz Ihres iphones aktiviert? Slide 20

21 Mobile Network Architecture Ansatzpunkte möglicher Manipulationen Slide 21

22 Mobile Network Architecture Was geschah am in Deutschland? Tag der Wirtschaft und Hannover Industrie Messe Auftaktveranstaltung um 10Uhr Erstes Cloud-Betriebssystem von VMware Das Cloud-OS vereinfacht die Datenverarbeitung ZDF heute journal Thema: Killerspiele & Verbot 39,1 Millionen Kunden in Deutschland ohne Handynetz: Fast das komplette Netz von T-Mobile ist ausgefallen etc. Slide 22

23 Mobile Phone Interfaces Schnittstellen für den Malware-Zugang! Bluetooth GSM Anwendungen (Apps) Updates Internetseiten LAN / WAN / WLAN/UMTS Slide 23

24 Glauben Sie dass die Handy-Ortung James Bond & Co. vorenthalten ist? Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel Fax

25 Wo bin ich? Ortung mittels GSM Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel Fax

26 Grundsätzliches Jeder, der Signale aussendet, kann prinzipiell auch geortet werden. Im Umkehrschluss kann man sich selbst orten, indem man Signale, welche von bekannten Positionen gesendet werden, auswertet. Slide 26

27 Grundsätzliches Welche Informationen werden zur Ortung benötigt? Referenzpunkte: Eindeutige Kennung der Mobilfunkzelle, in der sich das Endgerät aufhält/befindet Koordinaten der Referenzpunkte: Datenbank mit den Senderkoordinaten (BTS/BSC) Slide 27

28 Grundsätzliches Die Ortungsmethoden lassen sich in zwei unterschiedliche Gruppen einteilen: Selbstortung (auch mobile centric positioning) Signale von Sendern mit bekannten Positionen werden ausgewertet, um somit die eigene Position zu ermitteln. Beispiele hierfür sind Leuchttürme, Astronavigation oder GPS. Fremdortung (auch network centric positioning) Der Netzbetreiber sammelt Positionsinformationen von mehreren seiner Basisstationen und kombiniert sie später zentral, um die Position eines Endgerätes zu berechnen. Slide 28

29 Referenzpunkte im Mobilnetz Der Base Station Controller (BSC BSC) kontrolliert mehrere Basisstationen (BTS), teilt diesen die zu nutzenden Frequenzen zu und kann den Handover veranlassen. Das Mobile Switching Center (MSC MSC), dient als Vermittlungsknoten für die Weiterleitung der Anrufe und SMS- Nachrichten innerhalb des Netzes oder in das Festnetz. Das MSC kommunizieren über das Signalling System #7 (SS7 SS7). Das Visitor Location Register (VLR VLR), speichert Daten der User, die das MSC nutzten und keine Kunden des jeweiligen Netzbetreibers sind. Das Home Location Register (HLR HLR) eines Netzbetreibers enthält die persönlichen Daten aller Kunden. Die Zelle (Celll Celll) ist die direkte Luftschnitte zum Teilnehmer Slide 29

30 Vermittlungsweg im GSM-Netz PSTN HLR/ AuC MSC MSC MSC VLR VLR VLR BSC BSC =LAC BTS BTS =CellID BTS BTS BTS BTS BTS Slide 30

31 Ortung durch LBS Location Based ID Relevante Daten der momentan aktiven/befindlichen Zelle lokal auslesen (Beispiel Siemens S45 Monitormode) CH Frequency Channel Number *) RX RXLEV Reception Level [dbm] CI Cell Identity (in Hex) C1 Path-loss Criterion xx Technological type SIM? (hier93) LAI Location Area Identity MCC Mobile Country Code (hier 23F4 = 324) MNC Mobile Network Code (hier 05 = 50) Format: c²c¹fc³n²n¹ kkkk LAC Location Area Code (hier 0538) TXPWR Allowed Transmit Power [dbm] RXAM Reception Acceptable Minimal Level [dbm] C2 Cell-reselection Criterion BSPA BSPA multiframe is feature of the network. Describes, how often the mobile must switch on the receiver. The range is between 2 and 9. The most networks use multiframe=6. A lower figure indicates more power consumption. BA BCCH Allocation P0, P1, P2, P3 Paging Slide 31

32 Ortung durch LBS Location Based ID Relevante Daten der momentan aktiven/befindlichen Zelle lokal auslesen (Beispiel iphone) Aktivieren des Feldtest-Modus Slide 32

33 Ortung durch LBS Location Based ID Relevante Daten der momentan aktiven/befindlichen Zelle lokal auslesen (Beispiel iphone) Aktivieren des Feldtest-Modus Auslesen der GSM Cell Daten Slide 33

34 Ortung durch LBS Location Based ID Relevante Daten der momentan aktiven/befindlichen Zelle lokal auslesen (Beispiel iphone) Aktivieren des Feldtest-Modus Auslesen der GSM Cell Daten MCC (Mobile Country Code) Slide 34

35 Ortung durch LBS Location Based ID MCC (Mobile Country Code) Anhand der ersten Ziffer kann man eine kontinentale Einordnung vornehmen: 0 nicht vergeben 1 nicht vergeben 2 Europa 3 Nordamerika und Karibik 4 Asien, Indien, naher Osten 5 Australien und Ozeanien 6 Afrika 7 Südamerika 8 nicht vergeben 9 Welt Siehe auch Slide 35

36 Ortung durch LBS Location Based ID MCC (Mobile Country Code) Die zweite und dritte Ziffer definiert das Land (Auswahl): 262 Germany 228 Switzerland 232 Austria 234 United Kingdom 235 United Kingdom 310 bis 316 United States of America Siehe auch Slide 36

37 Ortung durch LBS Location Based ID Relevante Daten der momentan aktiven/befindlichen Zelle lokal auslesen (Beispiel iphone) Aktivieren des Feldtest-Modus Auslesen der GSM Cell Daten MCC (Mobile Country Code) MNC (Mobile Network Code) Slide 37

38 Ortung durch LBS Location Based ID MNC (Mobile Network Code) Der MNC steht für den Netzbetreiber Deutschland 01,06 T-Mobile 02,04,09 Vodafone 07,08,11 O 2 Schweiz 01 Swisscom Mobile 02 Sunrise 03 Orange Slide 38

39 Ortung durch LBS Location Based ID Relevante Daten der momentan aktiven/befindlichen Zelle lokal auslesen (Beispiel iphone) Aktivieren des Feldtest-Modus Auslesen der GSM Cell Daten MCC (Mobile Country Code) MNC (Mobile Network Code) LAC (Location Area Code) organisatorische Zusammenfassung von Zellen Slide 39

40 Ortung durch LBS Location Based ID Relevante Daten der momentan aktiven/befindlichen Zelle lokal auslesen (Beispiel iphone) Aktivieren des Feldtest-Modus Auslesen der GSM Cell Daten MCC (Mobile Country Code) MNC (Mobile Network Code) LAC (Location Area Code) organisatorische Zusammenfassung von Zellen Cell ID, zwei Bytes die eine Zelle innerhalb einer LAC identifizieren Slide 40

41 Ortung durch LBS Location Based ID Relevante Daten der momentan aktiven/befindlichen Zelle lokal auslesen (Beispiel iphone/signalapp) Installieren der Signal.app deb file Signal.deb - ios4 app. Die Datei Signal.deb in das Verzeichnis /var/root/media/cydia/autoinstall legen und das iphone neu starten (evtl. das Verzeichnis neu erstellen). Hinweis: In der Version ios 4.x wurde der Fieldtest von Apple Inc. deaktiviert. Slide 41

42 Ortung durch LBS Location Based ID Relevante Daten der momentan aktiven/befindlichen Zelle lokal auslesen (Beispiel iphone/signalapp) Installieren der Signal.app Auslesen der GSM Cell Daten Slide 42

43 Ortung durch LBS Location Based ID Relevante Daten der momentan aktiven/befindlichen Zelle lokal auslesen (Beispiel iphone/signalapp) Aktivieren des Feldtest-Modus Auslesen der GSM Cell Daten MCC (Mobile Country Code) Slide 43

44 Ortung durch LBS Location Based ID MCC (Mobile Country Code) Anhand der ersten Ziffer kann man eine kontinentale Einordnung vornehmen: 0 nicht vergeben 1 nicht vergeben 2 Europa 3 Nordamerika und Karibik 4 Asien, Indien, naher Osten 5 Australien und Ozeanien 6 Afrika 7 Südamerika 8 nicht vergeben 9 Welt Siehe auch Slide 44

45 Ortung durch LBS Location Based ID MCC (Mobile Country Code) Die zweite und dritte Ziffer definiert das Land (Auswahl): 262 Germany 228 Switzerland 232 Austria 234 United Kingdom 235 United Kingdom 310 bis 316 United States of America Siehe auch Slide 45

46 Ortung durch LBS Location Based ID Relevante Daten der momentan aktiven/befindlichen Zelle lokal auslesen (Beispiel iphone/signalapp) Aktivieren des Feldtest-Modus Auslesen der GSM Cell Daten MCC (Mobile Country Code) MNC (Mobile Network Code) Slide 46

47 Ortung durch LBS Location Based ID MNC (Mobile Network Code) Der MNC steht für den Netzbetreiber Deutschland 01,06 T-Mobile 02,04,09 Vodafone 07,08,11 O 2 Schweiz 01 Swisscom Mobile 02 Sunrise 03 Orange Slide 47

48 Ortung durch LBS Location Based ID Relevante Daten der momentan aktiven/befindlichen Zelle lokal auslesen (Beispiel iphone/signalapp) Aktivieren des Feldtest-Modus Auslesen der GSM Cell Daten MCC (Mobile Country Code) MNC (Mobile Network Code) LAC (Location Area Code) organisatorische Zusammenfassung von Zellen Slide 48

49 Ortung durch LBS Location Based ID Relevante Daten der momentan aktiven/befindlichen Zelle lokal auslesen (Beispiel iphone/signalapp) Aktivieren des Feldtest-Modus Auslesen der GSM Cell Daten MCC (Mobile Country Code) MNC (Mobile Network Code) LAC (Location Area Code) organisatorische Zusammenfassung von Zellen Cell ID, zwei Bytes die eine Zelle innerhalb einer LAC identifizieren Slide 49

50 Ortung durch LBS Location Based ID In unserem Beispiel wäre die eindeutige Location Based ID MCC MNC LAC CID Aktuelle Position (LAI) xxx xx xx xxxxx Slide 50

51 Ortung durch LBS Location Based ID Alternative Tools zum Ermitteln der Location Based ID TAPIR: NetMonitor mit PC-Unterstützung Siehe auch Slide 51

52 Ortung durch LBS Location Based ID Alternative Tools zum Ermitteln der Location Based ID GPS Tracker Peilsender TK102-2 Live Demo [ ] Siehe auch und Slide 52

53 Was nun? Die Ermittlung des Standortes ist auch eine Frage der richtigen Datenbank Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel Fax

54 Ermittlung der Referenzkoordinaten Die Ermittlung des Standortes ist eine Frage der Datenbank. Ziel: Cell-ID zu Koordinaten (z.b. UTM-System, Gauß-Krüger, Google etc.) Datenbank der Netzbetreiber Nachteil: Non-Public, nur den Netzbetreibern und Behörden zugänglich Nutzung freier Datenbanken Nachteil: Örtlich begrenzt, unvollständig Googledaten??? Nachteil: Non-Public Slide 54

55 Ermittlung der Referenzkoordinaten Mittels OpenCellID Slide 55

56 LiveDemo [Use Google's Dataset] Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel Fax

57 Ermittlung der Referenzkoordinaten Wie sammelt Google seine Daten? Übermittlung der Daten Slide 57

58 Ortung mittels stiller SMS Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel Fax

59 Ortung mittels stiller SMS Wozu benötigt man die stille SMS Nach Netz-Authentizierung wird nur die Location Area Identity (LAI) im Visitor Location Register (VLR/HLR) gespeichert Bei netzseitiger Kontaktaufnahme mit dem Mobiltelefon, rufen alle Basisstationen (BTS) innerhalb des BSC nach dem Teilnehmer Information über die benutzten Basisstationen während eines Gesprächs oder zum Zeitpunkt des Empfangs/Senden einer SMS zählen nach dem Telekommunikationsgesetz zu den zu speichernden Vorratsdaten Verhält sich bei der Übermittlung wie eine normale SMS, wird aber auf dem Mobiltelefon weder optisch noch akustisch angezeigt Zugriff auf die Datenbank des Netzbetreibers notwendig Slide 59

60 Ortung mittels stiller SMS BSC =LAC BTS BTS =CellID BTS BTS Slide 60

61 LiveDemo [Stille SMS/PDUspy] Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel Fax

62 Ortung mittels SS7-Protokoll Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel Fax

63 Ortung mittels SS7 Was ist SS7? Eine Sammlung von Protokollen und Verfahren für die Signalisierung in Telekommunikationsnetzen. Welche Routing-Infos werden zurück gegeben? die IMSI (die echte Rufnummer) Die Kennung der genutzten MSC Benutzer-Fehler (z. B. "Absent Subscriber" == das Telefon ist ausgeschaltet) Slide 63

64 LiveDemo [Ortung mittels SS7 Abfrage] Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel Fax

65 Ortung mittels SS7 Auch hier ist die Nutzung der richtigen Datenbank essentiell! T-Mobile Germany Vodafone Germany Berlin Hamburg Frankfurt Stuttgart München Slide 65

66 Ortung mittels SS7 Auch hier ist die Nutzung der richtigen Datenbank essentiell! Orange Switzerland Bern Basel Zürich Slide 66

67 Ortung mittels SS7 Ermitteln des MSC in xxx! T-Mobile Germany Vodafone Germany xxx xxxx xxxx Slide 67

68 Selbsttest [ xxxx] + Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel Fax team@csnc.ch

69 Ortung mittels SS7 How To Use The Proof-of-Concept? Rufnummer xxx xx (keine Blockwahl) wählen Nach dem Signalton die zu lokalisierende Nummer international eingeben (z.b oder ) Mit # Eingabe bestätigen Rufnummer wird wiederholt Lookup wird durchgeführt (Dauer ca. 3-5 Sekunden) Ländercode (Standort) angesagt (z.b. "d","e" oder "c","h") Slide 69

70 Ach ja eine kleine Randnotiz Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel Fax

71 Ortung durch GPS/Geotagging Übrigens: Wussten Sie, dass Ihr Smartphone GeoTags in Ihren Fotos speichert? Slide 71

72 Ortung durch GPS/Geotagging Slide 72

73 Übrigens: Haben Sie mittlerweile die Verschlüsselung Ihres BlackBerrys oder den Zugangsschutz Ihres iphones aktiviert? Ich hatte Sie eingangs daran erinnert Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel Fax

74 Identifikationsfälschung [Call-ID-Spoofing] Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel Fax

75 Call-ID-Spoofing Weshalb ein Angriff mittels gefälschter Rufnummer? Oft dient die Rufnummer (CLIP) als Identifikationsmerkmal des Anrufers (z.b. bei Telefongesprächen, Fernzugängen, Anwendungen etc.) Zugriffsbeschränkungen mittels Rufnummernidentifizierung können umgangen, bzw. beim Social-Engineering unterstützend eingesetzt werden. Matching der Rufnummern in EU-Endgeräten erfolgt nur bis zur max. 7. Stelle Slide 75

76 Call-ID-Spoofing Anbieter kommerzieller Call-ID-Spoofing-Dienste Slide 76

77 Call-ID-Spoofing Werkzeuge zum Call-ID-Spoofing Telefonanschluss mit Dienstmerkmal CLIP -no screeningoder SIP-Gateway ins PSTN (z.b. Softphone (z.b. Slide 77

78 LiveDemo [Call-ID-Spoofing] + Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel Fax team@csnc.ch

79 Call-ID-Spoofing (MITM-Angriff) Call-ID ID-Spoofing Spoofing-Angriff Eingehender Anruf: Paris Hilton Freiton Slide 79

80 Der umgekehrte Fall ist anonym gleich anonym Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel Fax

81 Call-ID- Identifikation Werkzeuge zur Call-ID-Identifikation Anbindung als VoIP-Provider ans PSTN oder Vermittlungsstelle/Gateway mit Fehlinterpretierung des Presentation indicator (z.b. Betamax GmbH & Co KG/Köln oder KeyCollect SA/Zürich) Hinweis: Presentation indicator: mit diesem Wert kann man festlegen, ob die eigene Rufnummer beim B-Tln. angezeigt wird oder nicht. Screening indicator: dieser gibt an, wie die CgPyNr zustande kam: User-provided, not screened (in der Vst), User-provided, verified and passed User-provided, verified and failed (wird in EDSS1 nicht verwendet) Network provided: das Netz hat die CgPyNr erzeugt Slide 81

82 LiveDemo [Nummer Identifizieren] + Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel Fax team@csnc.ch

83 Please Call Me [ xxxx] Tipp: #31# Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel Fax

84 Identifikationsfälschung [SMS-ID-Spoofing] Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel Fax

85 SMS-ID-Spoofing Weshalb ein Angriff mittels gefälschter Rufnummer? Ähnlich wie mittels Rufnummernidentifizierung kann Social- Engineering unterstützend eingesetzt werden. Anstatt Nummern-Identifizierung kann der Absender direkt benannt werden. Phishing via SMS ist noch weitgehend unbekannt und daher aussichtsreicher. Keine Content-Filter vorhanden (wie z.b. bei s) Slide 85

86 SMS-ID-Spoofing Beispiele Slide 86

87 SMS-ID-Spoofing Beispiel 1: SMS-Phishing mittels SMS-Spoofing Beispiel einer Phishing-SMS Originalnachricht des Netzbetreibers Slide 87

88 SMS-ID-Spoofing Beispiel 1: SMS-Phishing mittels SMS-Spoofing Beispiel einer Phishing-SMS Gefälschte Nachricht auf Grundlage der Netzbetreiber-SMS Slide 88

89 SMS-ID-Spoofing Beispiel 2: SMS-Phishing mittels SMS-Spoofing Den Wettbewerber zuhause lassen Slide 89

90 SMS-ID-Spoofing Werkzeuge zum SMS-ID-Spoofing Anbindung an einem SMS-Hub eines Providers (z.b. oder Short Message Service Centre (SMSC) mit UCP Zugangsprotokoll Beispielsweise: Germany D n1 UCP Switzerland Swisscom n1 UCP Schnittstelle als Provider ans SS7 Übertragung zwischen MSC und SMSC erfolgt im MAP (Mobile Application Part) des SS7 Slide 90

91 LiveDemo [SMS-ID-Spoofing] Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel Fax

92 Missbrauch des Soundlogos [Early Media] Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel Fax

93 Early Media Der Early Media Stream Übermittelt bereits während des Rufaufbaus Audioinformationen Eigentlich für individuelle Freizeichen und Ansagen wie Kein Anschluss unter dieser Nummer, Teilnehmer ist vorübergehend nicht erreichbar und Preisansagen gedacht Erfolgt vor dem Verbindungsaufbau und ist daher kostenfrei Slide 93

94 Early Media Nutzung von Chanspy und Whisper unter Asterisk Ursprünglich zu Schulungszwecken in Callcenter entwickelt Umgehung von Vorratsdatenspeicherung Mikrofone von Teilnehmern sind schon während der Rufphase geöffnet Erfolgt vor dem Verbindungsaufbau und ist daher kostenfrei INVITE 183 Session Progress Early Media Chanspy Whisper Early Media Timeout/ Cancel Slide 94

95 EarlyMediaStream Gespräche belauschen während des Freitons Infos Freiton Ring Rufaufbau Slide 95

96 LiveDemo Lauschangriff [Early Media] + Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel Fax team@csnc.ch

97 Please Call Me [ xxxx] Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel Fax

98 Selbsttest [ xxxx] 1. Call (Record) 2. Call (Play Back) Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel Fax

99 SIM-Schnittstelle als Angriffsvektor auf mobile Endgeräte [SIM Application Toolkit] Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel Fax

100 SIM Application Toolkit Weshalb ein Angriff auf die SIM-Schnittstelle? SIM Schnittstelle als universeller Angriffsvektor auf mobile Endgeräte Standardisierte Schnittstelle Realisierung: Hardware-basierter Man-in-the-middle-Angriff Fernwirken von Endgeräten (wie teilweise schon von den Netzbetreibern genutzt) Slide 100

101 SIM Application Toolkit Funktionen des SIM Application Toolkit Versand und Empfang von Kurznachrichten (SEND SHORT MESSAGE, SMS-PP Download) Initiieren ausgehender Anrufe (SET UP CALL) Umleiten ausgehender Anrufe (CALL CONTROL) Positionsbestimmung Datenübertragung via GPRS/UMTS Senden von AT-Kommandos an das Endgerät usw.. Slide 101

102 SIM Application Toolkit Funktionsweise eines SAT-Angriffs SIM-Karte kann die beschriebenen SAT-Funktionen nutzen Keine Kryptografie zwischen SIM und Endgerät Einschleusen eigener SAT-Kommandos möglich SIM wird weiterhin zur Authentisierung benötigt Man-in-the-middle-Angriff durch Einbau eines Mikrocontrollers (z.b. Atmel ATTiny85V) Slide 102

103 SIM Application Toolkit Entwicklungshistorie Slide 103

104 SIM Application Toolkit Man-in in-the the-middle middle-angriff Beispiel Voice Freiton Call xxxxxxxx Slide 104

105 LiveDemo [SAT-Angriff] Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel Fax

106 Please Call Me [+49 xxxx] Ortung!!! Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel Fax

107 Und? Haben Sie Ihre Sicherheitsfeatures aktiviert? Nein? Zu spät! All Your Data Belongs To Us.. Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel Fax

108 Modeerscheinung Gefängnisausbruch [Jailbreaking] Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel Fax

109 Jailbreaking Situation im Unternehmen: Got Boss, got iphone? Passt ein iphone ins Unternehmen? Nein! Eigentlich nicht!... Es sei denn Wie kommt es dann, dass dennoch so viele iphones in Unternehmen auftauchen? I am the Boss go get me an iphone! But Boss, iphones are the source of all evil. It s so vulnerable. We would expose our network, open the firewall, data leakage and much more!!! Oh?! However I am the Boss go get me an iphone! *sigh* Slide 109

110 Jailbreaking Got children, got jailbreaked? Ein iphone in das Unternehmensnetzwerk einzubinden (z.b. VPN oder Exchange) bedeutet meist das Aufreißen sorgfältig über Jahre hinweg gestopfter Löcher in der Infrastruktur. Richtig gefährlich für das Unternehmensnetzwerk wird es jedoch erst, wenn Bosse Kinder in Computerkompatiblen Alter haben Look what I can do with my iphone now. My son jailbreaked it! He s so clever!!! OMG! Boss, you made it even worse. Now this phone is open for every malware. Our whole infrastructure is on high risk now Oh?! However Look what I can do with my iphone now. My son jailbreaked it! He s so clever!!! *sigh* Slide 110

111 Jailbreaking iphone OS: Das iphone OS (jetzt ios genannt) verhindert den vollen Zugriff auf die Systemressourcen durch Sandboxing, bzw. Software Jails. Jedes Programm läuft in seinem eigenen Jail und erhält nur den Zugriff auf das System, welcher für die Erfüllung der Programmaufgabe notwendig ist. Um diesen Schutzmechanismus auszuhebeln, werden Schwachstellen in Betriebssystemkomponenten ausgenutzt, und die Beschränkungen werden aufgehoben. Slide 111

112 Jailbreaking Android OS: Die graphische Benutzeroberfläche und die meisten Programme laufen unter einem eingeschränkten Benutzeraccount. Damit ist der volle Zugriff auf die Systemressourcen eingeschränkt. Um diese Beschränkung aufzuheben verändert man das ROM Image des Gerätes so, dass Programme als root (vi su) ausgeführt werden können, und man das Gerät so nutzen kann, wie man es möchte. iphone OS: Das iphone OS (jetzt ios genannt) verhindert den vollen Zugriff auf die Systemressourcen durch Sandboxing, bzw. Software Jails. Jedes Programm läuft in seinem eigenen Jail und erhält nur den Zugriff auf das System, welcher für die Erfüllung der Programmaufgabe notwendig ist. Um diesen Schutzmechanismus auszuhebeln, werden Schwachstellen in Betriebssystemkomponenten ausgenutzt, und die Beschränkungen werden aufgehoben. Slide 112

113 Jailbreaking Vorteile: Volle Kontrolle über das Gerät Die Möglichkeit das Gerät so anzupassen wie man es haben möchte Die Möglichkeit Applikationen unabhängig von Stores zu betreiben Die Möglichkeit Herstellervorgaben bei der Anwendungsentwicklung zu umgehen Nachteile: Garantieverlust Offen für Malware Offen für Fehlbedienung Slide 113

114 LiveDemo [Let s hack the BOSS ] Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel Fax team@csnc.ch

115 Let s hack the BOSS I am the boss. And that s my iphone Internet I m connected to our intranet over VPN via public hotspot. Yeah! Slide 115