DI(FH) Daniel Fabian. Phishing Quo Vadis? Webapplikationssicherheit und ONR SEC Consult Unternehmensberatung GmbH Fachhochschule Hagenberg

Transkript

1 DI(FH) Daniel Fabian Phishing Quo Vadis? Webapplikationssicherheit und ONR SEC Consult Unternehmensberatung GmbH Fachhochschule Hagenberg IT-Security, Disaster Recovery, Finanzdienstleister, Pharmazeutische Industrie, Versicherungen, Fertigungsindustrie, Energieversorger

2 SEC Consult Unternehmensberatung GmbH Phishing Quo Vadis? Webapplikationssicherheit und ONR Security Forum 2006, Hagenberg 27. April 2006, Version 1.0

3 Agenda Vorstellung SEC Consult Was ist phishing Eine einfache Phishing Attacke Zahlen Trends und Statistiken Phishing Attacken Aktuelle Attacken Next Generation intelligentes Phishing Web Application Security ONR

4 SEC Consult ist das führende Unternehmen im Bereich Information Security Gründung 2002 in Wien Niederlassungen: Wr. Neustadt, Wien und Montreal/Kanada Absoluter Fokus auf Dienstleistungen (keine Abhängigkeit von Produktherstellern) Spezialist für Security Audits und Security Coaching (z.b.: Entwicklung der ONR gemeinsam mit dem Österreichischen Normungsinstitut) Kunden national (Auszug): OeNB, Generali, Lotterien, Frantschach, OMV Kunden international (Auszug): EZB/D, Adam Hall/D, typo3/n Partner: TU Wien, FH Hagenberg, British Standards Institute (BSI) Management Systems 4

5 Große Fische an Land ziehen Kunstwort aus Password und Fishing Identitätsklau im Internet Gestohlen werden primär: Kreditkarteninformationen Accounts für diverse Portale: ebay, Amazon,... Vor allem aber: Onlinebanking Accounts Die Methoden, wie Phisher vorgehen, werden laufend ausgefeilter und werden sich auch in Zukunft weiterentwickeln Schaden durch Phishing in D: EUR 4,5 Mio (Focus Online) 5

6 Eine einfache Phishing Attacke 6

7 Die wichtigsten Statistiken zum Thema Eckdaten und Phishing Trends (Februar 2006) Gemeldete Phishing Attacken ~ Aktive Phishing Seiten 9103 Größter Hoster von Phishing Seiten U.S.A. Durchschnittliche übernommene Brands 105 Durchschnittliche Online Zeiten einer Phishing Seite 5.0 Tage Die längste Online Zeit einer Phishing Seite betrug 31 Tage! (Source 7

8 Die Situation in UK ein Ausblick auf eine mögliche Situation in Österreich? Quelle: : Colin Whittaker, Head of Security, APACS, UK (Nov. 2005) 8

9 Wie stellt sich Phishing momentan dar? Mit Hilfe verschiedenster Social-Engineering Methoden werden Benutzer dazu überredet, gefälschte Webseiten zu benutzen und dort sensitive Daten an den Angreifer zu übermitteln. In den meisten Fällen handelt es sich dabei um Authentifizierungsdaten. Es können jedoch auch beliebige andere geheime Informationen angefordert werden (Kreditkarten, Sozialversicherungsnummern etc.). Quelle: Im Moment ist der Erfolg einer Phishing Attacke sehr stark von der über den Text transportierten Message abhängig! 9

10 Wie können Phishing Scams transportiert werden? die bevorzugte Methode Viren, Trojanische Pferde, Spyware, Pharming etc. Kompromittierte Anwendungen Instant Messages Message Boards Blog Einträge Telefonanrufe Rich Media Content (VOIP etc.) 10

11 Bisherige Phishings I Phishings per Sind zumeist leicht erkennbar: Quelle: 11

12 Bisherige Phishings II Trojaner wurden über WMF-Schwachstelle im Internet verbreitet wurde der Trojaner zum ersten Mal gesichtet 2 Wochen später von aktuellen Virenprogrammen zum Teil immer noch nicht erkannt 12

13 Trojaner Phishing Der Trojaner bestand aus IBM0000?.exe und IBM0000?.dll, wobei die.exe als Installer diente Unter anderem führt der Trojaner folgende Funktionen aus: Injiziert IBM00001.DLL in den explorer.exe (Windows-Shell) Prozess IBM00001.DLL wird in jeden neuen Prozess geladen Überwacht kompletten Netzwerkverkehr Trigger für Verfüger/Pincode Eingabe (Daten werden auf Webseite des Angreifers geloggt) Trigger für diverse Banking Websites, Aufruf speziell angepasster TAN Eingabe Seiten Funktioniert mit Internet Explorer und Mozilla Firefox Automatische Update-Funktion (Domainname für TAN-Seiten kann ausgetauscht werden)! URL und SSL Zertifikat waren gültig!!! 13

14 Trojaner Phishing II Beim Versuch einzuloggen: Betroffene Banken: Österreich: 4 Deutschland: 20 Italien: 5 UK: 22 Spanien: 30 Insgesamt 81 betroffene Banken!!! Trojaner funktionierte mindestens bis 4. Jänner! 14

15 Incident Response Was kann man gegen bisherige Attacken tun? Feststellen der Inhaber der gefälschten Webserver Kontaktaufnahme mit Betreiber (via ISPA/ICANN) Aktive Gegenmaßnahmen Referer Blocking Verwenden die Angreifer Rich Media Content des Opfers? Data Response Automatisiertes Befüllen mit Pseudo realen Daten? IDS / Honeypot Response Befinden sich unsere gefälschten Daten in zukünftigen Anfragen auf Ihr System? IP Analyses Woher kommen die Angreifer? 15

16 Wie wird die nächste Generation von Phishing Attacken aussehen? Folgende Faktoren ermöglichen noch intelligentere und effektivere Attacken: Webapplication Security Information Disclosure Information Harvesting ( Adressen etc.) Cross Site Scripting Klassisches Cross Site Scripting Browser Remote Control Javascript Proxies Einfache primitive Attacken werden in naher Zukunft durch sogenannte hybride Attacken ersetzt werden! 16

17 Beispielszenario einer intelligenten Phishing Attacke Angriffsvektor 1 Fehlerhafte Webapplikation / Formmail 17

18 Beispielszenario einer intelligenten Phishing Attacke Angriffsvektor 1 Mail Relaying mit Hilfe eines fehlerhaften Form - Mails 18

19 Beispielszenario einer intelligenten Phishing Attacke Angriffsvektor 2 Cross Site Scripting Fehler in Webapplikation 19

20 Beispielszenario einer intelligenten Phishing Attacke Wie können diese auf den ersten Blick unkritischen Fehler missbraucht werden? Mail Relaying Mit Hilfe derartiger Fehler können s mit beliebigen Inhalten (inkl. HTML) an beliebige Empfänger versendet werden. Selbst kritischste Anwender werden keine Unstimmigkeiten in den Mail Headern finden. Cross Site Scripting Cross Site Scripting Fehler erlauben es einem Angreifer beliebige Browserinhalte dynamisch zu generieren. Dateneingabeformulare können On the fly erzeugt werden. Der Browser kann ferngesteuert werden. Sogenannte Anti Phishing Lösungen die auf der Kontrolle von IP- Adressen, Domainnamen bzw. SSL Zertifikaten beruhen, werden mittels XSS Fehlern vollständig ausgehebelt. 20

21 Beispielszenario einer intelligenten Phishing Attacke Letztendlich können alle beschriebenen Methoden dazu verwendet werden eine einfache aber extrem effektive Attacke durchzuführen. Unser Angreifer verfasst ein entsprechend formatiertes HTML und versendet es mittels der fehlerhaften Infomail Funktionalität an Benutzer des attackierten Systems. Im HTML-Mail befindet sich ein Link, der den Cross Site Scripting Fehler des Servers nutzt um den kompletten Phishing Inhalt im Webbrowser des Opfers produziert. Die Phishing Inhalte benutzen wiederum die Infomail Funktionalität um die gestohlenen Daten an den Angreifer zu übermitteln. Der Angreifer missbraucht die gestohlenen Kundendaten => $$$ 21

22 Beispielszenario Das angegriffene System phisht sich selbst! 22

23 Intelligente Phishing Attacken haben Konsequenzen Kontrolle des Absenders/Mailservers Kontrolle der Server IP Kontrolle von SSL Zertifikaten Kontrolle der Phishing Server IP nutzlos nutzlos nutzlos nutzlos Natürlich können auch andere typische Fehlerklassen von Webapplikationen für derartige bzw. noch ausgefeiltere Angriffe missbraucht werden (SQL-Injection...)! Webapplication Security ist die erste und wichtigste Grundvoraussetzung um gegen intelligente Phishing Attacken vorzugehen! 23

24 Ich bin keine Bank! Social Engineering ist für einen Angreifer wesentlich einfacher, als Schwachstellen in den Systemen des Opfers zu finden Es ist damit zu rechnen, dass zukünftig auch normale Betreiber gephisht werden In Penetration Tests von SEC Consult wurde diese Methode schon mehrfach erfolgreich eingesetzt => Sicherheit von Webapplikationen ist für die Sicherheit des Gesamtsystems unumgänglich! Demonstration von Schwachstellen in Webapplikationen am SEC Consult Stand 24

25 ON Regel Überblick Titel: Sicherheitstechnische Anforderungen an Webapplikationen Zertifizierung auf Basis der Regel durch ÖNorm Entwicklung Entwickelt vom Österreichischen Normungsinstitut in Kooperation mit SEC Consult und österreichischen Großbanken und Großunternehmen 2004/05 Die Regel wurde im Juni 2005 freigegeben Erste Zertifikationsprojekte starteten im März 2006 Ziele Vollständige Abdeckung des Sicherheitsbereichs in Webapplikationen, die von anderen Normen nur gestreift werden Gewährleistung eines hohen Sicherheitsniveaus für kritische Webapplikationen Kommunikation des hohen Sicherheitsstandards zu Kunden und Partnern 25

26 Conclusio Worauf werden wir uns einstellen müssen? Zusammenfassung Die Hochblüte des Phishing ist leider noch lange nicht erreicht (siehe UK) Phishing entwickelt sich in ähnlichem Maß wie das Viren- und SPAM Problem Bestehende Sicherheitslücken fördern intelligenteres Phishing Bestehende Kontrollmechanismen werden durch intelligente Attacken nutzlos Phishing wird in Zukunft nicht auf Banken beschränkt bleiben Was ist zu tun? Webapplikation-Security ist die absolut notwendige Basis absolut notwendige Basis für die Eindämmung zukünftiger Attacken (z.b. ONR Compliance) 26

27 Für Fragen stehen wir Ihnen jederzeit gerne zur Verfügung SEC Consult Unternehmensberatung GmbH Blindengasse 3, A-1080 Wien Tel: +43 / 1 / Fax: +43 / 1 / office@sec-consult.com 27