Hacking, Cracking, Cyberwar müssen wir wirklich reagieren?

Transkript

1 uniqconsulting VIP Customer Event: IT-Sicherheit ein Rezept für KUMs Bassersdorf, Mittwoch, 27. März 2002 Hacking, Cracking, Cyberwar müssen wir wirklich reagieren? Prof. Dr. P. Heinzmann Institut für Internet-Technologien und Anwendungen, Fachhochschule Ostschweiz, Hochschule Rapperswil (ITA-HSR) und cnlab Information Technology Research AG

2

3 ita.hsr.ch Institut für Internet-Technologien und Anwendungen University of Applied Sciences Eastern Switzerland (FHO), Rapperswil (HSR) Electrical Engineering (195) Computer Science (136) Mechanical Engineering (103) Landscape Architecture (93) Urban Planning (68) Civil Engineering (65) 660 Students () 44% FHO Students) 1997 HSR spin-off 10 Employees Internet Security (PGP) Internet Application development Internet Quality Checks ITA-HSR: Institute for Internet- Technologies and Applications

4 Internet Security 1998: The PGP-Deal s, File, Disk encryption US export restrictions cnlab Software AG develops international version US only international

5 Welche Werte haben wir? Gibt es Bedrohungen?

6 Internet: eine öffentliche Informationsund Kommunikationsplattform Privatteilnehmer Anbieter ISP xyz.ch Geschäftsteilnehmer

7 Welche Gefahren gehen wir ein, wenn wir das Internet nutzen? Schutzmassnahmen Werte Verletzlichkeiten Bedrohungen Risikoabschätzung Welche Werte (Schäden) stehen zur Diskussion? Wie gross ist die Gefahr bestimmter Schäden? Schutzmassnahmen Verletzlichkeiten identifizieren und beheben

8 Umfrage bei Gemeindenvertretern: Nennen Sie schützenswerte Dokumente, mit denen Sie im täglichen Umfeld arbeiten Beschlüsse GR: 13 Nennungen Personendaten: 9 Nennungen Entwürfe: 5 Nennungen Vormundschaftsfälle: 2 Nennungen Fürsorgefälle: 2 Nennungen Personaldaten: 2 Nennungen Interne Mails: 2 Nennungen Finanzdaten: 2 Nennungen Steuerdaten: 2 Nennungen

9 Umfrage: Wie häufig versenden Sie solche (=schützenswerte) Dokumente via ? Nie: 6 Selten: 7 Häufig: 9 fast immer: 0 nie selten häufig fast immer

10 Umfrage: Kommentieren Sie den potentiellen Schaden bei Verlust / Diebstahl / Bekanntmachung dieser (=schützenswerten) Daten: Datenschutz verletzt: Vertrauensverlust: Imageschaden: Fehlinformationen / Gerüchte: Nicht abschätzbar: 7 Nennungen 3 Nennungen 3 Nennungen 1 Nennungen 3 Nennungen

11 Januar 2002: weltweit 150 Mio Hosts, 550 Mio Internet Users Privatteilnehmer Anbieter ISP xyz.ch Geschäftsteilnehmer

12 Viele Wege führen nach... (vereinfachtes IT-System Schema) Tempest Display Keyboard Keyboard Sniffer Peripherals Memory OS/Application Vulnerabilities Webserver Search: meier Programm (perl) Operating System Hardware cgi Disc data Buffer Overflows Network / WLAN Sniffer Network

13 NIST Statistics on Exploitable Vulnerabilities Statistics on Remotely Exploitable Vulnerabilities Loss Type Availability 230 (38%) 244 (36%) 109 (31%) 43 (42%) Confidentiality 161 (27%) 181 (27%) 102 (29%) 21 (20%) Integrity 29 (5%) 59 (9%) 27 (8%) 5 (5%) Security Protection 279 (46%) 291 (43%) 150 (43%) 45 (44%) Statistics on Locally Exploitable Vulnerabilities Loss Type Availability 62 (19%) 80 (19%) 39 (16%) 4 (6%) Confidentiality 54 (16%) 75 (18%) 35 (14%) 4 (6%) Integrity 70 (21%) 63 (15%) 31 (13%) 10 (15%) Security Protection 209 (64%) 253 (62%) 158 (65%) 52 (80%)

14 Availability: A vulnerability is given the availability label if it enables an attack that directly inhibits a user (human or machine) from accessing a particular system resource. Denial of service attacks are availability violations by our definition. Confidentiality: A vulnerability is given the confidentiality label if it enables an attack that can directly steal information from a system. Integrity: A vulnerability is given the integrity label if it enables an attack that can directly change the information residing on or passing through a system. Security Protection: A vulnerability is given the security protection label if it enables an attack that gives the attacker privileges in a system that the attacker is not allowed to have by the access control policy of the system. The "security protection" label may appear by itself or in three other variations: security protection (gain superuser access)" when the attack allows a hacker complete control of a system, "security protection (gain user access)" when the attack allows a hacker partial control over a system, security protection (other) when the attack gives the hacker some other privilege on the system

15 Tiger Team, White Hat Hacker, Penetration Testing,... Spiegel TV /VOX 2000, 3:49 Cassian von Salomon, Rob Englehardt, John Scheer, Die Zukunft der Technik "Krieg im Netz 1994 Pentagon Hack Security Check 8932 attacks 88% of attacks success 4% of attacks detected Only 1 of 400 attacks lead to official reporting Electronic Pearl Harbor CyberTerroristen.mpg

16 Hacker s Cycle

17 The Hacker s Cycle Wahrscheinlichkeit / Häufigkeit der Ausnutzung von Verletzlichkeiten Verfügbarkeit einfacher Programme zur Ausnutzung von Verletzlichkeiten Bekanntgabe in News/WWW/Mailinglist/Chats Insider Wissen über Verletzlichkeiten Monate Tage... Jahre Zeit

18 Insider Wissen Wer sind die Insider? Angestellte Produktentwickler Ehemalige Angestellter Berater, Outsourcer,... Gibt es Verletzlichkeiten / Zusatzfunktionen? Debugging Funktionen Versteckte Funktionen (vgl. Easter eggs

19 Beispiel: Fly The Flight Simulator on Microsoft Excel How to Work: 1: Open a new Worksheet and Press F5. 2: Type "X97:L97" and press Enter. 3: Press the Tab key, Hold down Ctrl & Shift and left click the Chart Wizard toolbar icon. 4: Use the mouse to move around - Left button reverse thrust, Right button forward thrust. 5: Look around carefully to find the Shrine with the programmers messages and the Blue Lagoon!

20 Bekanntgabe von Verletzlichkeiten Hacking Bank of America's Home Banking System Written By: Dark Creaper This file explains the basics of hacking the Bank of America Home Banking System... Exploit Bugs Hacking Archive Security Bugware Codetalker... To connect with the Bank's computer call your local Tymnet service and type the following: PLEASE ENTER YOUR TERMINAL IDENTIFIER: APLEASE LOGIN: HOME

21 Beispiel: Meridian Mail PABX 055 / 222 xx xx TVA (PABX) Voice Mail Meridian Mail Services Use PABX to make calls from remote location Automated response and call forwarding possibilities

22 PABX-Fraud: 100kCHF/Month 055 / 222 xx xx TVA (PABX) Voice Mail

23 Normale Destinationen (in 1'000 Taxminuten, Juli 2000) Rest of World 25% Germany 21% Netherlands 2% Spain 3% Austria United Kingdom 5% United States 7% 5% Italy 15% France 17% Destinationen nach PABX-Voic -Fraud (in 1'000 Taxminuren, Umsatz > Fr. 1'000.00) Andere (59) 29% Nigeria 22% Mongolia 2% Mali 2% Senegal 14% Cameroon 2% Côte d'ivoire 3% Monaco 2% Bangladesh 5% Pakistan 8% Egypt 3% Marocco 4% Nepal 4%

24 Layman hacking -tools show up Determine Network-Structure Hosts and services Public Domain tool WhatsUp Traffic measurement Password Sniffing SessionWall-3 (eval. Version for free, Product appr CHF) Password Cracking Cracking of NT-Passwords provoke password entry

25 LAN Guard: Simple Tool for active info gathering

26 Cyberwar: Chip Location & EMP Spiegel TV /VOX 2000, 1:50 Cassian von Salomon, Rob Englehardt, John Scheer, Die Zukunft der Technik "Krieg im Netz CIA Microchip in Druckern, welche mit dem Luftabwehrsystem geortet werden können. Elektromagnetische Impulsbomben GulfwarCIAchipEMP.mpg

27 Rechtliche Rahmenbedingungen (Fallbeispiele)

28 Umfrage: Kommentieren Sie den potentiellen Schaden bei Verlust / Diebstahl / Bekanntmachung dieser (=schützenswerten) Daten: Datenschutz verletzt: Vertrauensverlust: Imageschaden: Fehlinformationen / Gerüchte: Nicht abschätzbar: 7 Nennungen 3 Nennungen 3 Nennungen 1 Nennungen 3 Nennungen

29 Bundesgesetz über den Datenschutz (DSG) vom 19. Juni Art. 7 Datensicherheit 1 Personendaten müssen durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden

30 Trojaner (BackOrifice, Netbus) Internet Internet Service Provider (Bluewin, Sunrise, Diax,...) Dial-up System BackOrifice Server BackOrifice Einfach bedienbar, Hobby Hacker -tauglich Beliebige Funktionen aufrufbar bzw. Computer steuerbar z.b. über zweiten ISDN Kanal des Opfers, eine beliebige Telefonverbindung herzustellen

31 Strafgesetzbuch: Unbefugte Datenbeschaffung / Hacking Art Wer in der Absicht, sich oder einen andern unrechtmässig zu bereichern, sich oder einem andern elektronisch oder in vergleichbarer Weise gespeicherte oder übermittelte Daten beschafft, die nicht für ihn bestimmt und gegen seinen unbefugten Zugriff besonders gesichert sind, wird mit Zuchthaus bis zu fünf Jahren oder mit Gefängnis bestraft. 2 Die unbefugte Datenbeschaffung zum Nachteil eines Angehörigen oder Familiengenossen wird nur auf Antrag verfolgt. Art. 143 bis Wer ohne Bereicherungsabsicht auf dem Wege von Datenübertragungseinrichtungen unbefugterweise in ein fremdes, gegen seinen Zugriff besonders gesichertes Datenverarbeitungssystem eindringt, wird, auf Antrag, mit Gefängnis oder mit Busse bestraft

32 Februar 2001: World Economic Forum's Davos Teilnehmer Daten Crackers accessed the forum's registration database in Davos, which stored data on "about 3,000 forum big shots," who had attended the World Economic Forum (WEF) over the last three years. They were able to copy all the records on that server. "They got credit card numbers, addresses, addresses, home and cell phone numbers and passport numbers". Former U.S. president Bill Clinton and his secretary of state, Madeleine Albright were reportedly on the hackers' list of 27,000 people, including Microsoft Chairman Bill Gates, and top officials from South Africa, China and other countries

33 MS SQL Hack Internet Router Web tcp port 80 HTML- Seiten Router Firewall Switch tcp port 1433 MS SQL- Server Login:sa, Passwort:- Daten

34 Juli 2001: Konten offen CD-Rom mit -Kontenangaben und Passwort von ISP-Kunden Betroffen vom Datenloch sind viele Prominente wie der ehemalige Ski-Olympiasieger Bernhard Russi und Tele 24-Chef Roger Schawinski Es ist möglich, dass Hacker seit Monaten alle E- Mails, die auf sensible Konten geschickt wurden, in das eigene Postfach weiterleiteten

35 cgi Hack und clear password file Display Memory Webserver Search: meier cgi Disc Programm (perl) data Keyboard Operating System Search: meier& /../xyz Hardware Peripherals Network

36 Strafgesetzbuch: Datenbeschädigung / Virentatbestand Art. 144bis Datenbeschädigung 1. Wer unbefugt elektronisch oder in vergleichbarer Weise gespeicherte oder übermittelte Daten verändert, löscht oder unbrauchbar macht, wird, auf Antrag, mit Gefängnis oder mit Busse bestraft. Hat der Täter einen grossen Schaden verursacht, so kann auf Zuchthaus bis zu fünf Jahren erkannt werden. Die Tat wird von Amtes wegen verfolgt. 2. Wer Programme, von denen er weiss oder annehmen muss, dass sie zu den in Ziffer 1 genannten Zwecken verwendet werden sollen, herstellt, einführt, in Verkehr bringt, anpreist, anbietet oder sonstwie zugänglich macht oder zu ihrer Herstellung Anleitung gibt, wird mit Gefängnis oder mit Busse bestraft. Handelt der Täter gewerbsmässig, so kann auf Zuchthaus bis zu fünf Jahren erkannt werden

37 Feb 2002: Strafe für Viren-CD-ROM Das Zürcher Obergericht hat einen 30-jährigen EDV-Experten für den Vertrieb einer CD-ROM mit Quellcodes für Computerviren zu zwei Monaten Gefängnis und 5000 Franken Busse verurteilt. Die erste Instanz gab nur 300 Franken Ref: (IPD A)

38 Feb. 2000: Denial of Service Attacken Einige der am häufigsten besuchten amerikanischen Sites wurden durch Denial-of-Service-Attacken lahmgelegt. Betroffen waren CNN, Ebay, Buy.com, Yahoo und Amazon. Alle Sites waren während mehrerer Stunden nicht erreichbar. Hacker hatten synchron aus verschiedenen IP-Adressen Anfragen auf die Sites der Anbieter geschossen. Bei Buy.com zum Beispiel prasselten 800 Mbit pro Sekunde auf die Server ein. Das war achtmal mehr, als dieser hätte verarbeiten können

39 Distributed Denial of Service (DDoS) Attacke Router Firewall Router Internet We b Router Router We b Switch Firewall Router Router Firewall Switch

40 DDoS Tools Trinoo / Trin00 (Juni/Juli 1999) TFN (Tribe Floot Network) (Juli/August 1999) Stacheldraht (Sommer 1999) Trinity (Herbst 1999) Shaft (November 1999) TFN2K (Dezember 1999) mstream (April 2000)

41 Denial-of-Service Attacks,

42 Abwehrmassnahmen

43 Minimiere die kritische Zeit im Hacker s Cycle Risk Patch Available Vulnerability not known Vulnerability detected Vulnerability widely known Vulnerability announced React to Reduce time of high risk Vulnerabilitiy fixed (Patch Installed) Time days... years Months

44 Massnahmen (1) Schwächste Stellen identifizieren Technische, organisatorische und betriebliche Aspekte beachten Verschiedene Sicherheitsmassnahmen kombinieren Zugang einschränken, Verkehr filtern Physischer Zugang, Firewall,..., Passworte Daten verschlüsseln Auf Speichermedien, in Mail, in Datenpaketen Überwachen (Attacken detektieren) Intrusion Detection Vulnerability Testing Reagieren Löcher stopfen... Abschalten Wiederherstellungsprozeduren (Backup... Informationspolitik)

45 Massnahmen (2) Application HTTP, FTP, Telnet, nntp, smtp, snmp, Passwords (AAAA), Dynamic Passwords (SecureID), Challenge Response (S/Key) Application Level Filtering Transport Network TCP, UDP IP Network Address Translation (NAT) Firewall Stateful Inspection Secure Router Datalink Physical Ethernet, Modem, Leased Line.. MAC Access Control Physical Access MAC Switching, VLAN Cabling

46 Security Life Cycle (x-step Approach) 1: Security Policy (define goals & get overview ) (why?) 2: do risk analysis 5: verify 3: define measures (what?) 4: implement (how?) Bundesamt für Sicherheit in der Informationstechnik (BSI) IT- Grundschutzhandbuch ( DoD Orange Book ( British Standard 7799 (

47 Wer sind die Treiber für Sicherheit? BU s View of Security Security Budget Operations Management BU Risk Management 1 No perception No awareness No identified dedicated budget Deployment - 2 Seen as technical requirement 100% for infrastructure (from IT budget) Monitoring and Problem resolution Infrastructure security, Cyberincident response team (CIRT) 3 Business activity damage potential Need for business transaction security 25% for transaction security (from business budget) 75% for infrastructure security (from IT budget) Configuration and change management Security architecture, proactive risk analysis 4 As a quality of the IT environment that can provide competitive advantage 70% for transaction security (from business budget) 30% for infrastructure security (from IT budget) Transaction incidence management Transaction risk management In 2001 appr. 40% of companies are at stage 1 and 50% at stage 2, only 5% of companies are at stage 3 (at stage 3 are mainly financial, defence, health care companies). In appr. 30 % of companies will be at stage 3. Source: Gartner Group

48 Perimeter Personal Firewall -, Web-, Proxy-Server from ISP Personal Firewall Win 95 Win 98 Win NT Internet Perimeter Firewall Hub, Switch NT-Server File Server Router Router Data Service-Modem Backbone Router local -, Web-, Proxy-Server RAS RAS-Modem NT-Server File Server -, Web-, Proxy-Server Data

49 Verschlüsselung: PGP Flop? (Gartner Flash, 12 March 2002) On 7 March 2002, Network Associates (NAI) has discontinued sales of PGP for encrypting e- mail at the desktop Failure of commercial PGP results from: NAI past organizational problems Lack of demand for secure Failure to make PGP easier to use and manage

50 Vulnerability Testing Update expert system Vulnerability announced Run penetration test Report vulnerability New vulnerability detected Fix vulnerabilitiy Vulnerability widely known

51 Regelmässige Security Checks Beipiel: Secure Scan Solutions von

52 SecureScan NX Internet Console Untrusted Firewall Trusted Agent

53 Silicon Virus, HW-Trojan (Chippen) Spiegel TV /VOX 2000, 2:02 Cassian von Salomon, Rob Englehardt, John Scheer, Die Zukunft der Technik "Krieg im Netz SiliconVirenChippen.mpg

54 Todays Situation

55

56 Bund lässt den Internetverkehr aushorchen SOZ, Ab nächstem Jahr wird die Überwachung von und Internet in der Schweiz verschärft - ganz legal Ab April 2003 kommen neue computergesteuerte Überwachungssysteme zum Einsatz. Die Provider müssen dann die Daten an den Dienst für besondere Aufgaben (DBA) weiterleiten. Dieser speichert sie in einer Datenbank, in der die Behörden die Daten einsehen können. «Wir wollen zuerst Erfahrungen mit dem -Verkehr sammeln. In ein oder zwei Jahren werden wir die Überwachung auf den ganzen Internetverkehr ausweiten», sagt Bernard Werz, Leiter der Verordnungsarbeit und Datenschutzberater im Departement Leuenberger. Obskure Observation: Der Bund lässt den Internetverkehr aushorchen

57 Ueberwachung zur Strafverfolgung 2000: mehr als Telefon- und Handyanschlüsse überwacht 2001: nur 5 Briefkästen bei Bluewin (mit Kunden) überwacht 2002: Bundesgesetz zur Überwachung des Post- und Fernmeldeverkehrs (BÜPF) in Kraft Internetprovider müssen alle aus der Überwachung gewonnenen Daten (nicht nur Randdaten Name, Adresse, Zeit) an Dienst für besondere Aufgaben übertragen Unklar, wer Kosten tragen wird Schnittstellen noch nicht definiert (Standard ES , Version 2.1.1, ermöglicht auch Überwachung von SMS und -Verkehr)