Compass Security AG [The ICT-Security Experts]

Transkript

1 Compass Security AG [The ICT-Security Experts] Mobile Security - Angriffsszenarien auf mobile Dienste: Wie (un-)sicher sind Laptop, iphone, Blackberry & Co.? Marco Di Filippo Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel Fax team@csnc.ch

2 Wer bin ich? Marco Di Filippo Regional Manager Germany verheiratet, eine Tochter Kreativer Umgang mit TK(IT)- Sicherheitssystemen seit1996 Werdegang: Von der TK-Security zur IT-Security Spezialgebiete sind technische Sicherheitsprüfungen ICT- Sicherheitskonzepte (VoIP, PSTN, GSM ) Slide 2

3 Übrigens: Heute müssen Sie Ihr Telefon nicht ausschalten. Ich empfehle jedoch den Stumm-Modus ;-) Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel Fax team@csnc.ch

4 Agenda Wer ist Compass Security AG? Einleitung Betrachtungsweise Mobile Security im Bezug auf die Plattform/das Netzwerk die Hardware die Applikationen die Schnittstellen Zusammenfassung/Resümee Fragen Slide 4

5 Wer ist Compass Security AG? Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel Fax team@csnc.ch

6 Zahlen/Fakten Gründungsjahr 1999 Geschäftsführer u. Gründer Firmensitz Walter Sprenger & Ivan Bütler Rapperswil SG Anzahl Mitarbeiter 21 Schwerpunkt Besonderheiten Kunden Ethical Hacking - Penetration Testing - IT-Forensics Betreiber des Hacking-Labs, Veranstalter des SCS (bzw. Attacke&Defense in DE) Finanzdienstleister, Telekommunikation, Industrie Slide 6

7 Das Team Slide 7

8 Service Portfolio.... Slide 8

9 Das Mobile Netzwerk Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel Fax team@csnc.ch

10 Die Geschichte. Cap n Crunch Hack Dank einem mehr oder weniger exakt 2600 Hertz hohen Ton (z.b. mittels einer Pfeife aus einer Cornflakes-Packung) konnte man den Gebührenzähler beim CCITT5-Standard manuell deaktivieren, um Kosten zu sparen. John Draper Er perfektionierte die Entdeckung von Joseph Engressia (16-jähriger blinder Schüler) in Form von der 1970 entwickelten BlueBox, mit der man die Gebührenzähler von AT&T überlisten konnte. Slide 10

11 Die Geschichte. BlueBox Die BlueBox produzierte einen Hertz-Ton, welcher von CCITT v5-kompatiblen Vermittlungsstellen benutzt wurde. Beim Phreaking wurden damit illegal kostenlose Telefonate erschlichen. BeigeBoxing Dienst zum illegalen Anzapfen der Telefonleitung einer anderen Person, um auf deren Kosten zu telefonieren bzw. Gespräche mitzuhören. Die BeigeBox hat ihren Namen von der beigen Farbe der durch sie angezapften Verteilerkästen. Slide 11

12 Mobile Network Architecture Ansatzpunkte möglicher Manipulationen Slide 12

13 Allgemein Mobile Geräte: kritisch und oft vergessene Kinder... Mobile Geräte arbeiten oft ohne schützende Firmen-Firewall. Sie werden viel transportiert und sind einfach zu bewegen. Sie kommunizieren mit fremden Netzen über unsichere Verfahren. Die Benutzer haben oft Administrator-Rechte. Können einfach entwendet, geklaut oder zerstört werden... Werden im Sicherheitskonzept oft vergessen oder bewusst nicht berücksichtigt. Übrigens: Haben Sie die Verschlüsselung Ihres BlackBerrys oder den Zugangsschutz Ihres iphones aktiviert? Slide 13

14 Allgemein Mobile Endgeräte sind heute mobile Datenträger Nur eine kleine Anzahl mobiler Devices besitzt heute einen angemessenen Schutz der auf ihnen gespeicherten Daten. Wenn ein Angreifer den physikalischen Zugang zu einem Datenträger erlangt, kann er sämtliche Schutzmechanismen des Betriebssystems umgehen es sei denn, der Datenträger ist verschlüsselt. Slide 14

15 Glauben Sie dass die Ortung von mobilen Geräten ausschließlich Sache von Behörden und Geheimdiensten ist? Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel Fax team@csnc.ch

16 Wo bin ich? Ortung mittels GSM Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel Fax team@csnc.ch

17 Professionelle Ortung (Kreuzpeilung) Erfasste Daten: Sendmasten Kreuzpeilung Mikrophon Slide 17

18 Ortung durch LBS Location Based Services Welche Informationen werden zur Ortung benötigt? Daten der Mobilfunkzelle, in der sich das Endgerät aufhält/befindet Datenbank mit den Senderkoordinaten (BTS/BSC) Slide 18

19 Ortung durch LBS Location Based Services Relevante Daten der momentan aktiven/befindlichen Zelle lokal auslesen (Beispiel iphone) Aktivieren des Feldtest-Modus Slide 19

20 Ortung durch LBS Location Based Services Relevante Daten der momentan aktiven/befindlichen Zelle lokal auslesen (Beispiel iphone) Aktivieren des Feldtest-Modus Auslesen der GSM Cell Daten Slide 20

21 Ortung durch LBS Location Based Services Relevante Daten der momentan aktiven/befindlichen Zelle lokal auslesen (Beispiel iphone) Aktivieren des Feldtest-Modus Auslesen der GSM Cell Daten MCC (Mobile Country Code) Slide 21

22 Ortung durch LBS Location Based Services MCC (Mobile Country Code) Anhand der ersten Ziffer kann man eine kontinentale Einordnung vornehmen: 0 nicht vergeben 1 nicht vergeben 2 Europa 3 Nordamerika und Karibik 4 Asien, Indien, naher Osten 5 Australien und Ozeanien 6 Afrika 7 Südamerika 8 nicht vergeben 9 Welt Siehe auch Slide 22

23 Ortung durch LBS Location Based Services MCC (Mobile Country Code) Die zweite und dritte Ziffer definiert das Land (Auswahl): 262 Germany 228 Switzerland 232 Austria 234 United Kingdom 235 United Kingdom 310 bis 316 United States of America Siehe auch Slide 23

24 Ortung durch LBS Location Based Services Relevante Daten der momentan aktiven/befindlichen Zelle lokal auslesen (Beispiel iphone) Aktivieren des Feldtest-Modus Auslesen der GSM Cell Daten MCC (Mobile Country Code) MNC (Mobile Network Code) Slide 24

25 Ortung durch LBS Location Based Services MNC (Mobile Network Code) Der MNC steht für den Netzbetreiber 01 T-Mobile 02 Vodafone 07 O 2 Slide 25

26 Ortung durch LBS Location Based Services Relevante Daten der momentan aktiven/befindlichen Zelle lokal auslesen (Beispiel iphone) Aktivieren des Feldtest-Modus Auslesen der GSM Cell Daten MCC (Mobile Country Code) MNC (Mobile Network Code) LAC (Location Area Code) organisatorische Zusammenfassung von Zellen Slide 26

27 Ortung durch LBS Location Based Services Relevante Daten der momentan aktiven/befindlichen Zelle lokal auslesen (Beispiel iphone) Aktivieren des Feldtest-Modus Auslesen der GSM Cell Daten MCC (Mobile Country Code) MNC (Mobile Network Code) LAC (Location Area Code) organisatorische Zusammenfassung von Zellen Cell ID, zwei Bytes die eine Zelle innerhalb einer LAC identifizieren Slide 27

28 Ortung durch LBS Location Based Services In unserem Beispiel wäre die eindeutige Lacation Based ID MCC MNC LAC CID Slide 28

29 LiveDemo [Aktuelle Cell-ID] Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel Fax team@csnc.ch

30 Ortung durch LBS Location Based Services Alternative Tools zum Ermitteln der Location Based ID TAPIR: NetMonitor mit PC-Unterstützung Siehe auch Slide 30

31 Ortung durch LBS Location Based Services Alternative Tools zum Ermitteln der Location Based ID GPS Tracker Peilsender TK102-2 Siehe auch und Slide 31

32 Ortung durch LBS Location Based Services Ermitteln der Location Based ID aus der Ferne Mittels Trojaner Ortung mittels Dienstleister (Ortungsfreigabe bei Provider Notwendig) SAT (SIM Applikation Toolkit) Carrier Services Home Location Register Lookup s (SS7) Slide 32

33 LiveDemo [Jedermann Lokalisierung] + Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel Fax team@csnc.ch

34 Proof-of-Concept Please Call xxx + Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel Fax team@csnc.ch

35 Ortung durch LBS Location Based Services How To Use The Proof-of-Concept? Rufnummer xxx (keine Blockwahl) wählen Nach dem Signalton die zu lokalisierende Nummer international eingeben (z.b oder ) Mit # Eingabe bestätigen Rufnummer wird wiederholt Lookup wird durchgeführt (Dauer ca. 3-5 Sekunden) Ländercode (Standort) angesagt (z.b. "d","e" oder "c","h") Slide 35

36 Was nun? Die Ermittlung des Standortes ist auch eine Frage der richtigen Datenbank Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel Fax team@csnc.ch

37 Ortung durch LBS Location Based Services Die Ermittlung des Standortes ist eine Frage der Datenbank. Ziel: Cell-ID zu Koordinaten (z.b. UTM-System, Gauß-Krüger, Google etc.) Datenbank der Netzbetreiber Nachteil: Non-Public, nur den Netzbetreibern und Behörden zugänglich Nutzung freier Datenbanken Nachteil: Örtlich begrenzt, unvollständig Googledaten??? Nachteil: Non-Public Slide 37

38 LiveDemo [Lokalisierung via Dienstleister] + Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel Fax team@csnc.ch

39 Ortung durch LBS Location Based Services (Stille) Lokalisierung mittels Dienstleister Step 1: Dienstleister autorisieren Slide 39

40 Ortung durch LBS Location Based Services (Stille) Lokalisierung mittels Dienstleister Step 1: Dienstleister autorisieren Step 2: Nachricht löschen Slide 40

41 Ortung durch LBS Location Based Services (Stille) Lokalisierung mittels Dienstleister Step 1: Dienstleister autorisieren Step2: Nachricht löschen Step3: Freund anlegen Slide 41

42 Ortung durch LBS Location Based Services (Stille) Lokalisierung mittels Dienstleister Step 1: Dienstleister autorisieren Step2: Nachricht löschen Step3: Freund anlegen Step4: Lokalisieren fertig! Slide 42

43 Ortung durch LBS Location Based Services Wie sammelt Google seine Daten? Übermittlung der Daten Slide 43

44 LiveDemo [Use Google's Dataset] Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel Fax team@csnc.ch

45 Ortung mittels SS7-Protokoll Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel Fax team@csnc.ch

46 Ortung mittels SS7 Was macht eigentlich das SS7 (Signalling System 7)? SS7 ist eine Reihe von Protokollen für die Signalisierung in öffentlichen TK-Netzen, wie z.b. ISDN, Mobilfunknetz und VoIP-Netzen Wird von den meisten TK-Betreibern weltweit genutzt, um miteinander Information auszutauschen Durch die ITU-T (früher CCITT) in den Serien Q.700 standardisiert Zum Zeitpunkt des SS7- Entwurfs gab es wenige Telekom-Betreiber die dieses nutzten (diese waren entweder staatlich oder Monopolisten) Keine Authentifizierung implementiert Heute kann jeder Betreiber (z. B. VoIP) SS7-Zugang bekommen Publizierung des Proof-of-Concepts auf dem CCC 2008 (durch Tobias Engel) Slide 46

47 Ortung mittels SS7 Zur Erinnerung Die Base Transceiver Station (BSC) kontrolliert mehrere Basisstationen (BTS), teilt diesen die zu nutzenden Frequenzen zu und kann den Handover veranlassen. Das Mobile Switching Center (MSC MSC), dient als Vermittlungsknoten für die Weiterleitung der Anrufe und SMS- Nachrichten innerhalb des Netzes oder in das Festnetz. Das MSC kommunizieren über das Signalling System #7 (SS7 SS7). Das Visitor Location Register (VLR VLR), speichert Daten der User, die das MSC nutzten und keine Kunden des jeweiligen Netzbetreibers sind. Das Home Location Register (HLR HLR) eines Netzbetreibers enthält die persönlichen Daten aller Kunden. Slide 47

48 Ortung mittels SS7 Welche Infos werden mittels SS7 an das MSC im Roaming übertragen? die IMSI (die echte Rufnummer) Adresse des Home Location Register des Nutzers die Location Area Identification (LAC) Sendegebiet, in dem sich das Telefon befindet Slide 48

49 Ortung mittels SS7 Call-Setup Slide 49

50 Ortung mittels SS7 Übermittlung von SMS-Nachrichten Slide 50

51 Ortung mittels SS7 Anbieter von/mit SS7-Zugängen Slide 51

52 Ortung mittels SS7 Anbieter von/mit SS7-Zugängen Slide 52

53 Ortung mittels SS7 Anbieter von/mit SS7-Zugängen Slide 53

54 Ortung mittels SS7 Provider Home Location Register Lookups und LBS Slide 54

55 Ortung mittels SS7 Provider Home Location Register Lookups und LBS Slide 55

56 Ortung mittels SS7 Welche Routing-Infos werden zurück gegeben? die IMSI (die echte Rufnummer) Die Kennung der genutzten MSC Benutzer-Fehler (z. B. "Absent Subscriber" == das Telefon ist ausgeschaltet) Slide 56

57 LiveDemo [Ortung mittels SS7 abfrage] Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel Fax team@csnc.ch

58 Ortung mittels SS7 Auch hier ist die Nutzung der richtigen Datenbank essentiell! T-Mobile Germany Vodafone Germany Berlin Hamburg Frankfurt Stuttgart München Slide 58

59 Ach ja eine kleine Randnotiz Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel Fax team@csnc.ch

60 Ortung durch GPS/Geotagging Übrigens: Wussten Sie, dass Ihr Smartphone GeoTags in Ihren Fotos speichert? Slide 60

61 Ortung durch GPS/Geotagging Slide 61

62 Abhören von Daten und Sprache [Luftschnittstelle] Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel Fax team@csnc.ch

63 ISMI Catcher IMSI Catcher lokalisiert umliegende Handys und kann alles aufzeichnen Mobile GSM Empfangszelle Reichweite 800 m bis 1,5 km Alle Telefongespräche, SMS, Daten und Nummern können mitgeschnitten werden Kosten ca Euro pro Set Slide 63

64 The OpenBTS Project Das OpenBTS Projekt simuliert eine GSM-Funkzelle Open-Source Unix Applikation Nutzt das Universal Software Radio Peripheral (USRP) Stellt ein GSM-Fukzelle zur Verfügung Nutzt die Open-Surce Asterisk Software PBX zum Connectieren der Calls Siehe auch Slide 64

65 The OpenBSC Project Forciert die Entwicklung eines Open-Source Base-Station- Controllers (BSC) für GSM-Netze Wurde auf dem Chaos Communication Congress 2008 vorgestellt Simmuliert einen BSC Die Software beherrscht SMS-Versand und das Durchstellen von Gesprächen. Momentan werden Softwareseitig folgende BTSen unterstützt: BS11 mikro BTS von Siemens (E1 Primärmultiplex Schnittstelle) ip.access nano BTS (PoE Schnittstelle) Siehe auch Slide 65

66 Kommerzielle Lösung Running your own GSM-Network for everybody. Buy it! Slide 66

67 Kommerzielle Lösung Running your own GSM-Network for everybody. Buy it! Slide 67

68 SIM-Schnittstelle als Angriffsvektor auf mobile Endgeräte [SIM Application Toolkit] Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel Fax team@csnc.ch

69 Übrigens: Haben Sie mittlerweile die Verschlüsselung Ihres BlackBerrys oder den Zugangsschutz Ihres iphones aktiviert? Ich hatte Sie eingangs daran erinnert Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel Fax team@csnc.ch

70 SIM Application Toolkit Weshalb ein Angriff auf die SIM-Schnittstelle? SIM Schnittstelle als universeller Angriffsvektor auf mobile Endgeräte Standardisierte Schnittstelle Realisierung: Hardware-basierter Man-in-the-middle-Angriff Fernwirken von Endgeräten (wie teilweise schon von den Netzbetreibern genutzt) Publizierung des Proof-of-Concepts auf dem BSI-Kongress 2009 (durch Benedikt Heinz) Slide 70

71 SIM Application Toolkit SIM-Karte Ausgabe durch den Netzbetreiber Aufgaben Kryptografische Authentisierung des Mobilfunknutzers Geschützter Datenspeicher (Telefonbuch, SMS) Endgeräteunabhängig Funktionsweise Standartisierte Schnittstelle Smartcard (T0 Protokoll) Unverschlüsselte, serielle Datenübertragung zum mobilen Endgerät (ISO/IEC ) Slide 71

72 SIM Application Toolkit Wozu dienen SIM Application Toolkit (SAT)? Wunsch der Netzbetreiber nach Zusatzdiensten (z.b. Homezone, betreiberspezifische Menüs, etc.) Endgeräte: viele verschiedene Hard-/Software Plattformen Anpassung stellt enormen Aufwand dar SIM-Karte wird vom Provider ausgegeben einheitliche Hard-/Software SIM Application Toolkit Zusatzdienste werden auf der SIM-Karte realisiert Kommunikation mit der Außenwelt über das Endgerät Slide 72

73 SIM Application Toolkit Funktionen des SIM Application Toolkit Versand und Empfang von Kurznachrichten (SEND SHORT MESSAGE, SMS-PP Download) Initiieren ausgehender Anrufe (SET UP CALL) Umleiten ausgehender Anrufe (CALL CONTROL) Positionsbestimmung Datenübertragung via GPRS/UMTS Senden von AT-Kommandos an das Endgerät usw.. Slide 73

74 SIM Application Toolkit Funktionsweise eines SAT-Angriffs SIM-Karte kann die beschriebenen SAT-Funktionen nutzen Keine Kryptografie zwischen SIM und Endgerät Einschleusen eigener SAT-Kommandos möglich SIM wird weiterhin zur Authentisierung benötigt Man-in-the-middle-Angriff durch Einbau eines Mikrocontrollers Slide 74

75 SIM Application Toolkit Mögliche Angriffsszenarien auf mittels SAT Mobilfunkendgerät zur Überwachung (stiller Anruf) Übertragung von Daten Initiieren von Rufumleitungen Man-in-the-middle-Angriff Slide 75

76 SIM Application Toolkit Mikrocontroller-basierter Man-in-the-middle-Angriff Slide 76

77 SIM Application Toolkit Entwicklungshistorie Slide 77

78 SIM Application Toolkit Bezugsquellen inkl. Development-Kit Slide 78

79 SIM Application Toolkit Man-in in-the the-middle middle-angriff Beispiel Voice Freiton Call xxxxxxxx Slide 79

80 LiveDemo [SAT-Angriff] Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel Fax team@csnc.ch

81 Identifikationsfälschung [Call-ID-Spoofing] Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel Fax team@csnc.ch

82 Call-ID-Spoofing Weshalb ein Angriff mittels gefälschter Rufnummer? Oft dient die Rufnummer (CLIP) als Identifikationsmerkmal des Anrufers (z.b. bei Telefongesprächen, Fernzugängen, Anwendungen etc.) Das ISDN-Protokoll bietet technisch versierten Angreifern die Möglichkeit, die CLIP-ID mittels des Leistungsmerkmals CLIP No Screening zu manipulieren. Auch mittels SS7 (Signalling System 7) bieten sich Möglichkeiten des Spoofings. Dem Gesprächspartner bzw. dem TK-System können beliebige Rufnummern vorgetäuscht werden. Zugriffsbeschränkungen mittels Rufnummernidentifizierung können umgangen, bzw. beim Social-Engineering unterstützend eingesetzt werden. Matching der Rufnummern in EU-Endgeräten erfolgt nur bis zur max. 7. Stelle Slide 82

83 LiveDemo [Call-ID-Spoofing] + Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel Fax team@csnc.ch

84 Call-ID-Spoofing Call-ID ID-Spoofing Spoofing-Angriff Eingehender Anruf: Paris Hilton Freiton Slide 84

85 Identifikationsfälschung [SMS-ID-Spoofing] Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel Fax team@csnc.ch

86 SMS-ID-Spoofing Weshalb ein Angriff mittels gefälschter Rufnummer? Ähnlich wie mittels Rufnummernidentifizierung kann Social- Engineering unterstützend eingesetzt werden. Anstatt Nummern-Identifizierung kann der Absender direkt benannt werden. Phishing via SMS ist noch weitgehend unbekannt und daher aussichtsreicher. Keine Content-Filter vorhanden (wie z.b. bei s) Slide 86

87 SMS-ID-Spoofing SMS-Phishing mittels SMS-Spoofing Beispiel einer Phishing-SMS Originalnachricht des Netzbetreibers Slide 87

88 SMS-ID-Spoofing SMS-Phishing mittels SMS-Spoofing Beispiel einer Phishing-SMS Gefälschte Nachricht auf Grundlage der Netzbetreiber-SMS Slide 88

89 LiveDemo [SMS-ID-Spoofing] Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel Fax team@csnc.ch

90 Der umgekehrte Fall ist anonym gleich anonym Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel Fax team@csnc.ch

91 LiveDemo [Aufdecken von Rufnummern] + Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel Fax team@csnc.ch

92 Please Call xxxxxxx Mit unterdrückter Nummer! Tipp: #31# Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel Fax team@csnc.ch

93 Angriffe auf mobile Endgeräte mittels Malware [Trojaner & Co.] Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel Fax team@csnc.ch

94 Mobile Phone Malware Handyviren/Mobile Phone Malware sind Schadprogramme, die sich in mobile Geräte einschleusen Lange Zeit waren Handys geschützt, da sie geschlossene Systeme darstellten. Die Vielzahl der Schnittstellen ( , Bluetooth, W-LAN, Messaging, Spiele und Logos zum Download sowie Bluetooth, UMTS etc.) mit der Außenwelt stellt ein potenzielles Einfallstor für die Malware dar. Software Development Kits (SDK) stehen frei zur Verfügung jeder kann diese für seine Entwicklungen nutzen. Systeme verfügen in aller Regel über keinerlei (mitgelieferten) Sicherheitsfunktionen. Endgeräte stehen oftmals ungeschützt im Internet (W-LAN, UMTS etc.). Smartphone liegen oft unbeobachtet herum. Endgeräte sind oftmals nicht Bestandteil des Security-Konzepts. Viele User nutzen ihre Endgeräte ohne Passwort-Schutz. Slide 94

95 Mobile Phone Malware Wie kommen Trojaner und Spyware auf mobile Geräte? Bluetooth GSM Anwendungen (Apps) Updates Internetseiten LAN / WAN / WLAN/UMTS Slide 95

96 Mobile Phone Malware Einer der ersten war Cabir Ł nutzt zur Verbreitung Bluetooth Ein Handy-Wurm, der sich über Bluetooth auf Smartphones mit dem Betriebssystem Symbian OS verbreitet mit hohem Verbreitungs- Potential. Betroffen sein könnten Nokia Smartphones der 60er-Serie, N-Gage, Panasonic X700, Siemens SX-1, Sendo X und andere. Slide 96

97 Mobile Phone Malware Sexy Space: Handy-Trojaner mit Zertifizierung Der Trojaner "Sexy Space" erhielt eine digitale Signatur für Symbian- Handybetriebssysteme. Der Schädling vernetzt sich mit anderen befallenen Geräten und klaut Benutzerdaten, um Spam per oder SMS an die auf dem Handy gefundenen Kontakte zu senden. Kann hohe SMS-Kosten verursachen Slide 97

98 Mobile Phone Malware Java/Swapi.B: Der Java-Dialer versendet Premium-SMS Nach der Infektion schickt diese Malware regelmäßig SMS an teure Premium-Dienste. Da der Trojaner auf einer J2ME-Engine basiert, die auf nahezu 90 Prozent der im Markt erhältlichen Telefone installiert ist, lässt er sich nicht auf ein spezifisches Handy festlegen. Slide 98

99 Mobile Phone Malware ikee: Bringt Popsängers Rick Astley zu erneuten Ruhm Proof-of-Concept: Der Wurm ist nach Malware-Maßstäben relativ harmlos. Er ersetzt lediglich das aktuelle Hintergrundbild dauerhaft durch ein Foto des Sängers Rick Astley. Danach macht er sich auf die Suche nach weiteren Geräten, die er infizieren kann. Slide 99

100 Mobile Phone Malware Kommerzielle Trojaner: MOBILE SPY überwacht iphone und viele anderen Handys ab $49.00 im Quartal Inkl. 24/7 Support Slide 100

101 Mobile Phone Malware Kommerzielle Trojaner: Der Klassiker FlexiSpy. Für fast alle Plattformen verfügbar Slide 101

102 Mobile Phone Malware Kommerzielle Trojaner: Der Klassiker FlexiSpy. Konfigmenü von FlexiSpy Slide 102

103 Mobile Phone Malware Kommerzielle Trojaner: Der Klassiker FlexiSpy. Konfigmenü von FlexiSpy Slide 103

104 Mobile Phone Malware Kommerzielle Trojaner: Der Klassiker FlexiSpy. Slide 104

105 Mobile Phone Malware Wie sammelt FlexiPsy die User-Daten? Der Trojaner übermittelt alle Daten wie SMS, Calls, , etc. in definierten Intervallen direkt an den Server. Der Angreifer kann die Daten jederzeit übers Internet abrufen. WWW Database Slide 105

106 Und? Haben Sie Ihre Sicherheitsfeatures aktiviert? Nein? Zu spät! All Your Data Belong To Us.. Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel Fax team@csnc.ch

107 LiveDemo [Handy-Trojaner] Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel Fax team@csnc.ch

108 Angriffe über weitere Schnittstellen [Bluetooth] Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel Fax team@csnc.ch

109 Bluetooth Eine Geschichte zum Einstieg. Gestern im ICE Ł Freitickets per Bluetooth-Schnittstelle versendet Ergebnis der gestrigen Fahrt von Bamberg nach Berlin (ICE 584): Innerhalb von nur 8 Minuten fanden wir 28 mobile Endgeräte. Davon waren 7 verwundbar!!! Slide 109

110 Bluetooth Die Technik Ein Standard für die drahtlose Kommunikation im Nahbereich Ursprünglich in den 90er Jahren von Ericsson entwickelter Industriestandard gemäß IEEE für die drahtlose (Funk-) Vernetzung von Geräten über kurze Distanz. PAN Technology Personal Area Network Konzipiert für short-range Verbindungen als Ersatz für Kabel und Infrarot 2.4 GHz (wie Wireless LAN als Short Range Devices im lizenzfreien ISM-Band) 3200 hops pro Sekunde auf 79 Kanälen, 1600 bei Verbindung Master definiert die Hopping Sequenz Rechweite von 10 m (Klasse 3 1mW) bis 100 m (Klasse 1 100mW) Viel Bluetooth Security Forschung durch Trifinite Group ( Slide 110

111 Bluetooth Die Technik Modi für Erkennung (Inquiry): Discoverable: Device antwortet auf Anfragen Temporary Discoverable: Zeitlich begrenzter Discoverable Modus Non-Discoverable: Device antwortet nicht auf Broadcast Anfragen Modi für Pairing (Paging): Pairable: Device antwortet auf pairing Anfrage Non-pairable: Device blockt Anfrage in LMP (Link Manager Protocol ) Slide 111

112 Bluetooth Paarungsverhalten Master Slave Point to Point Piconet Scatternet Slide 112

113 Bluetooth Bluetooth Stack Anwendungs-Sicherheitsmechanismen System-Sicherheitsmechanismen Hardware-Sicherheitsmechanismen Source: Slide 113

114 Bluetooth Bluetooth Hacking Hardware Notebook mit Bluetooth Adapter Ideal: Modifizierter Bluetooth Adapter mit 2.4 GHz Antenne Frontline Bluetooth Sniffer (inklusive Dongle mit RAW Modus) Grafiken: Slide 114

115 Bluetooth Bluetooth Scanning (First Step) Bekannteste Software zum Finden von Bluetooth Devices: btscanner ( Erkennt Device Typen, Hersteller und Vulnerabilities Inquiry Scan: Schickt Broadcast Anfragen Findet alle Devices im discoverable Modus Brute-Force Scan: Schickt einzelne Anfragen an eine Liste vom MAC Adressen Findet auch Devices im hidden Modus Slide 115

116 LiveDemo [BTScanner] Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel Fax team@csnc.ch

117 Bluetooth Bluetooth Angriffe mittels Bluejacking Missbrauch der Funktion zum Senden von Visitenkarten im VCard- Format per Bluetooth zur Übermittlung von Nachrichten Aktueller Modetrend bei Jugendlichen Kein Gefahrenpotential vorhanden Slide 117

118 LiveDemo [Bluejacking] Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel Fax team@csnc.ch

119 Bluetooth Bluetooth Angriffe mittels Bluesnarf Tool: bluesnarfer ( Bluesnarf = OBEX push Angriff Erlaubt den Zugang auf den Kalender, das Adressbuch, s und Textmitteilungen Daten werden herunter- statt hochgeladen Keine Authentifizierung erforderlich Beispiele für verwundbare Device: Ericsson T68(i), R520m, T610, Z1010, Z600 Nokia 6310(i), 8910(i) Slide 119

120 Bluetooth Bluetooth Angriffe mittels Bluebug Tool: bluebugger ( BlueBug = AT Befehle auf Device ausführen Ermöglicht volle Kontrolle über ein Device. Z.B. das Ausführen (interner) Befehle, ohne dass es die Zielperson mitbekommt. Einige Möglichkeiten: Anrufen / Nachrichten schreiben Einstellungen umkonfigurieren Adressbuch / Nachrichten auslesen etc.pp. Slide 120

121 Bluetooth Bluetooth Angriffe mittels Carwhisperer Tool: carwhisperer ( Ausnutzen der Default PIN s von Bluetooth Hardware Die meisten Headphones haben fixe Bluetooth PIN s: 1111, 1234, 0000,. Durch die bekannte PIN kann das Headset gepaired werden. Audio kann aufgenommen und abgespielt werden. Carwhisperer: Bluetooth Freisprecheinrichtungen sind häufig in Autos implementiert. Slide 121

122 LiveDemo [Carwhisperer] Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel Fax team@csnc.ch

123 Bluetooth Bluetooth Angriffe mittels Link-Keys Authentication start Bei Bluetooth gilt: Gültiger Link-Key = Authentifizierte Verbindung! link authenticated already link key available? Imp_authentication Initiate pairing? Imp_authentication Authentication failed Authentication valid/ok Source: Slide 123

124 Bluetooth Bluetooth Angriffe mittels Carwhisperer Tool: BTCrack ( Zuerst muss ein Pairing mitgeschnitten werden. Hierzu wird meist die bestehende Verbindung unterbrochen, damit die zwei Devices neu pairen. Master oder Slave muss bekannt sein. Es wird ein spezieller Dongle mit RAW Funktionalität benötigt. Mittels Link-Key hat der Angreifer nun folgende Möglichkeiten: Kommunikation zwischen den 2 Devices mitlesen. Zugriff auf die beiden Devices mittels des geknackten Link-Keys Der Angreifer muss lediglich seine MAC Adresse anpassen und Link-Key angeben Tools: Frontline Bluetooth Sniffer / BTCrack Slide 124