Hacker haben auch einen Fahrplan. 9. Göttinger Tagung zu aktuellen Fragen zur Entwicklung der Energieversorgungsnetze

Transkript

1 Hacker haben auch einen Fahrplan 9. Göttinger Tagung zu aktuellen Fragen zur Entwicklung der Energieversorgungsnetze

2 Vorstellung Jörn Schneeweisz Security Consulting bei der Recurity Labs GmbH Audits / Assessments / Penetrationstests / Design Reviews Breit gefächerter Kundenkreis: Telekommunikation / Medizin / Start Ups / KMUs / Energieversorger / Behörden...

3 Agenda Hacker haben auch einen Fahrplan Idee: Aufzeigen der typischen Angriffsweise auf eine IT-Infrastruktur. Ziel: Durch das Verständnis des Vorgehens eigene Sicherheitsmängel besser erkennen, einschätzen und evtl. sogar beheben können. Sicherheitssoftware aus Angreiferperspektive Die Wolke

4 Die Ausgangslage Bedingt durch den stets steigenden Grad an Vernetzung werden immer mehr Schnittstellen potentiellen Angriffen ausgesetzt. Mehr und mehr Soft- und Hardware dringt an die Angriffsoberfläche.

5 Bedrohungen Viren / Würmer / Ransomware Hackerangriffe Extern, als auch Insiderjobs Begünstigt durch fehlende Sicherheitsmechanismen

6 Der Angreifer Auch ein Hacker hat ein bestimmtes Vorgehen sowie ein Budget. Auch ein Hackerangriff ist Arbeit. Aus der defensiven Position sollte dem Angreifer die Arbeit so schwer (=teuer) wie möglich gemacht werden. Ohne dabei selbst einen zu hohen Preis zu zahlen.

7 Der Fahrplan

8 Der Fahrplan Footprinting: Initiales Ausloten der Angriffsoberfläche. Scanning: Welche Dienste stehen bereit? Enumeration: Erlangen von genaueren Informationen (Dienstversionen, Benutzernamen, etc.) Gaining Access: Eigentlicher Angriff

9 Der Fahrplan Privilege Escalation: Erhöhung der Rechte auf dem kompromittierten System Pilfering: Erlangen von nützlichen Informationen des kompromittierten Systems Covering Tracks: Verwischen der Spuren Creating Backdoors: Dauerhaften Zugriff sicherstellen Denial of Service: Gezieltes Ausserbetriebsetzen von Diensten

10 Footprinting Initiales Ausloten der Angriffsoberfläche Größtenteils passives Vorgehen, abfragen öffentlich zugänglicher Informationen z.b. DNS, Registrare, Suchmaschinen Was ist das Ziel und von wo kann versucht werden Zugriff zu erlangen?

11 Scanning Beim Scanning wird die identifizierte Angriffsoberfläche nach zum Internet exponierten Diensten untersucht. Standardwerkzeug: nmap, erstmals veröffentlicht 1997

12 Scanning Beispiel

13 Enumeration Erlangen von genaueren Informationen (Dienstversionen, Benutzernamen, etc.) Dient der erweiterten Informationserfassung des Angriffsziels. Spezialisierte Angriffswerkzeuge je nach Dienst welcher zu untersuchen ist.

14 Gaining Access Der eigentliche Hack ; der Angreifer verschafft sich Zugriff zu einem System. Nicht notwendigerweise sofort direkter Betriebssystemzugriff z.b. nur administrativer Zugriff auf eine Webschnittstelle. Das kompromittierte System ist meist das Sprungbrett in interne Netze oder zu anderen nicht direkt zugreifbaren Zielen.

15 Was hilft hier? Minimierung der Angriffsoberfläche: Standardpasswörter immer ändern Provisorien vermeiden Sicherheitsupdates Frage: Brauchen wir das wirklich? Probleme: Gewachsene Infrastrukturen Bequemlichkeiten Betriebsblindheit

16 Gewachsene Infrastrukturen

17 Beispiel VNC Quelle:

18 Sicherheitssoftware Offenbar die Silberkugel gegen alle möglichen Bedrohungen: APT, 0day, Viren, DLP, IDS, IPS etc. Gerne in Form einer kostspieligen Black-Box1 Appliance Grundlegendes Problem: Sicherheitssoftware ist nicht zwangsläufig sichere Software! 1) magischen

19 Sicherheitssoftware Jedes Stück Software erhöht (potentiell) die Angriffsoberfläche. Insbesondere Sicherheitssoftware (z.b. AV) welche Angriffe abwehren soll, muss viele Dateiformate verarbeiten können. Falls hier sicherheitsrelevante Fehler auftreten ist der Schaden meist massiv, da Sicherheitskomponenten fast immer in einer privilegierten Position stehen.

20 Sicherheitssoftware Die beste Security Appliance kostet $ Thomas Dullien

21 Beispiel AV Paper: From Malware Signatures to Anti-Virus Assisted Attacks Grundidee: Malware Signaturen als Angriffsvektor AV löscht z.b. Logfiles welche Signatur enthalten.

22 Brauchen wir das wirklich? Finding 1: Hard-Coded Bluetooth PIN *****Credit: Daniel Crowley of Trustwave SpiderLabs CVE: CVE CWE: CWE-259 The "My Satis" Android application has a hard-coded Bluetooth PIN of "0000" [ ] Attackers could cause the unit to unexpectedly open/close the lid, activate bidet or air-dry functions, causing discomfort or distress to user.

23 Leider nicht nur ein Witz Auch ernsthaftere Anwendungen sind betroffen: z.b. ODB-II Dongle im KFZ

24 Die Wolke

25 Die Wolke Feature und Problem zugleich: Zentralisierung der Dienste. Abhängigkeit vom Provider. Keine Kontrolle über die Daten, sowie deren Verfügbarkeit.

26 Beispiel: Cloudbleed Memory Leak in Cloudflare Reverse Proxies Auf HTTP Anfragen wurden zu viele Daten zurückgeliefert Vertrauliche Informationen wurden aus Versehen an beliebige Nutzer gesendet. Details:

27 Beispiel: Amazon S3 Ausfall

28 Sicherheit durch weglassen Angriffsoberfläche So klein wie möglich. SmartXYZ Brauchen wir das wirklich? Sicherheitssoftware Nicht zwangsläufig sichere Software.

29 Fragen?!?

30 Vielen Dank. Jörn Schneeweisz Vulnerability Researcher Recurity Labs GmbH, Berlin, Germany