Losses resulting from Fraud, Espionage and Malware. Daniel Eisenring Petra Lustenberger Marcel Lanz

Transkript

1 Losses resulting from Fraud, Espionage and Malware Daniel Eisenring Petra Lustenberger Marcel Lanz

2 Gliederung Einleitung anhand Beispielen, Definitionen Statistiken, Wirtschaftliche Aspekte Technische Aspekte Gegenmassnahmen, Ausblick

3 Einleitung-Spionage Beispiel Spionage

4 Spionage-Definition (Industrie)Spionage Elektronische Aktivitäten Menschliche Aktivitäten

5 Einleitung-Fraud Beispiel Fraud Beispiel von: Auktionen: Vorsicht Trickbetrüger Monika Berger-Lenz Heise.de

6

7 Fraud Fraud-Definition

8 Einleitung-Malware Beispiel Malware

9 Malware-Definition Malware = malicious und Software The Problem of Categorising Cybercrime and Cyberciminals, S.M. Furnell

10 Statistiken Fraud, siehe internet_scams_halfyear_2005.pdf

11 Malware Statistiken

12

13

14 Wirtschaftliche Aspekte Arten von Verlusten, siehe auch Auswirkungen Viren (Folie vorher)

15 Teil 2 Begriff Malware Beispiele für Attacken: Phising und DoS

16 Malware Malware: Malicious Software Ziel: Schaden anrichten Manipulation oder Löschen von Dateien Überwindung von Sicherheitseinrichtungen Überlasten von Diensten Diebstahl von Informationen

17 Typen von Malware Virus* Wurm* Wabbit Trojanisches Pferd Backdoor Spyware* Key Logger Dialers Browser Hijacker Exploit Rootkit...

18 Virus: Allgemein Eigenschaften: Software Replizierend Breiten sich aus Benötigen einen Wirt Vergleich zur Biologie: Wirt oder Host Infektion

19 Viren: Schädlichkeit & Schädlichkeit: Risiko Viren können mit Schadfunktionen versehen Risiko: Zunahme der Vernetzung Je größer die Anzahl der gemeinsam genutzten Dateien, desto größer ist auch das Risiko einer Infektion durch Viren

20 Viren: Infektion vs. Ausbruch Infektion: Ein Virus gelangt in ein System und vermehrt sich Ausbruch (Aktivierung): Der Virus macht sich bemerkbar in irgendeiner Form

21 Virus: Ausbruch Schadfunktionen: Time bomb: Der Ausbruch findet statt, nach Erreichung eines Zeitpunktes Logic bomb (trigger): Nach Ausführung eines bestimmten Vorgangs des Benutzers Nach Durchführung eines Prozesses

22 Computerwurm Eigenschaften: Replizierend Breiten sich aus Eigenständige Programme Tarnung Ähnlichkeiten mit Virus, aber..

23 Viren und Würmer Viren: Ein Virus ist in einer ausführbaren Datei (Wirt) integriert und ist somit Teil einer schon bestehenden Programmroutine wird. Würmer: Ein Computerwurm besteht aus einem in sich geschlossenen Programm.

24 Wurm: Typen (1) Verbreitung durch Der Wurm verschickt eine Kopie von sich als - Anhang Doppelte Dateinamenerweiterung (musik.mp3.exe) Wenig bekannte Dateiendungen (.scr,.pif) Unzugängliche Formate (.zip) Automatisches Ausführen Müssen vom User nicht ausgeführt werden -> Sicherheitslücken Bsp. Im Betriebssystem: Ausnutzung einer Sicherheitslücke in der RPC- Schnittstelle von Windows Bsp. MS Blaster: W32.Blaster, W32.Lovsan, MSBlast

25 Wurm: Typen (2) Instant Messaging-Würmer Der Wurm verbreitet sich, indem er allen Kontakten, einen Link zu einer Seite schickt, welche den Wurm enthält P2P-Würmer Wurm kopiert sich in freigegebene Ordner, von dem andere User Dateien downloaden können Bei jeder Suchabfrage wird infizierte Datei angezeigt Handy-Würmer

26 Phishing Phishing: Password, Harvesting, Fishing Ziel: Zugangsdaten gewinnen Banken (online banking) Versandhäuser Internet Auktionshäuser usw. Identity theft: Mit den gestohlenen Daten kann die Identität des Opfers übernommen werden

27 Phishing: Methoden Mit Link zur gefälschten Website Fordert Kunde auf, dem Link zu folgen Gefälschte Website Imitiert die originale Website Falsche Adresszeile im Browser statt

28 Pharming Pharming: Server-Farmen mit gefälschten Websites Manipulation der Hostdatei von Webbrowsern, um Anfragen auf gefälschte Webseiten umzuleiten Oberbegriff für verschiedene Arten von DNS-Angriffen Fortentwicklung des klassischen Phishings

29 DoS (1) DoS: Denial of Service Angriff auf Server mit dem Ziel ihn arbeitsunfähig zu machen Bsp. Überlastung seiner Dienste Mittel: Backdoors DDoS: Distributed DoS Angriff ausgehend von mehreren System

30 DoS (2) Einfache DoS-Angriffe auf HTTP-Server: Grosse Anzahl Anfrage führt den Server an Grenzen Verarbeitung sehr langsam Der Dienst wird gänzlich unterbrochen Effizierer Weg: Ausnutzen von Programmfehlern Fehlerfunktion löst Absturz des Servers aus

31 Teil 3 Defense and Detection of Intrusions and Malware & Vulnerability Petra Lustenberger

32 Defensive Massnahmen Ausblick Welche Gegen- und Schutz-Massnahmen können unternommen werden? Verschiedenste Verbesserungs-Ansätze

33 Unterscheidung Angriffs-Arten Nach Richtung des Angriffs: von innen: eigene Mitarbeiter Fraud von aussen : Gezielte Attacken -- Hacker, Phishing, Sniffing, Malware wie auch immer --> Losses

34 Defensive Protection Das Informationssicherheits-Modell Umfassender Ansatz Quelle: Data Mining, Intrusion Detection, Information Assurance, and Data Networks Security 2005, Information Risk and Security Modelling, Predrag Zivic

35 Massnahmen Können auf verschiedenen Ebenen ansetzen: Organisatorisch Hardware Infrastruktur Strategisch

36 Firewalls engl. Feuerwand System aus Software- und Hardware- Komponenten, das den Zugriff zwischen verschiedenen Rechnernetzen beschränkt, um ein Sicherheitskonzept umzusetzen Ein häufiger Einsatzzweck: den Datenverkehr zwischen einem zu schützenden lokalen Netzwerk (LAN) und dem Internet zu kontrollieren.

37 Firewalls Hardwarekomponenten: Rechner mit Netzwerkschnittstellen z.b. Router / Hosts Softwarekomponenten: z.b. Paketfilter oder Proxyserver Arten: Host-Firewall (Software) Netzwerk-Firewall (Hardware) Filter: Paket, Content, Proxy

38 Firewall ein einfaches Bsp. Firma möchte ihre Arbeitsplatzrechner ins Internet bringen. Quelle: wikipedia.org

39 IDS Intrusion Detection System Programm, dient der Erkennung von Angriffen auf einem Computersystem oder -netz Richtig eingesetzt, ergänzen sich eine Firewall und ein IDS und erhöhen so die Sicherheit von Netzwerken. Unterscheidung: netzwerkbasierte (NIDS) und hostbasierte Intrusion Detection Systeme (HIDS).

40 IDS: Funktionsweise Bild-Quelle: Wikipedia.org

41 Zwei IDS-Arten NIDS (Netzwerkbasiert) : Pakete im Netzwerk aufzeichnen, analysieren und verdächtige Aktivitäten melden. Angriffsmuster-Erkennung aus dem Netzwerkverkehr HIDS (Hostbasierte) : muss auf jedem zu überwachenden System installiert werden und Betriebssystem unterstützen. Schlägt Alarm, sobald vermeintlichen Angriff erkannt

42 Honeypots Engl. Honigtopf Dienst, der die Aufgabe hat, Angriffe auf ein Netzwerk zu protokollieren. Programm für (ein/mehrere Dienste) zur Verfügung, oder ein Server. Überwachung eines Netzwerkes

43 Grundidee Honeypots (1) Installation Honeypot(s) im Netzwerk unbekannt für den legitimen Netznutzern von Usern niemals angesprochen Angreifer: kann nicht zwischen echten Servern/Programmen und Honeypots unterscheiden untersucht routinemäßig alle Netzkomponenenten auf Schwachstellen

44 Grundidee Honeypots (2) Angreifer: Nimmt früher oder später die von einem Honeypot angebotenen Dienste in Anspruch Wird dabei von dem Honeypot protokolliert Die bloße Tatsache: Kommunikations-Versuch mit Honeypot, wird als potentieller

45 Honeypot-Programms Mittels eines Honeypot-Programms Simulierung von: Netzwerkdienste (Mail-Server, Datei-Server,...) eines einzelnen Rechners oder sogar ein vollständiges Netzwerk Erfolgt ein unberechtigter Zugriff auf einen derartigen virtuellen Dienst, werden alle ausgeführten Aktionen protokolliert und gegebenenfalls ein Alarm ausgelöst

46 Versch. Honeypot-Typen Low-Interaction Honeypots (Software) Honeyd Mwcollect Nepenthes MultiPot High-Interaction Honeypots (Vollständige Server mit Diensten) Tarpits (engl. Teergruben)

47 Tabelle Defense Massnahmen Organisatorisch Hardware Infrastruktur Strategisch Computerwurm Trojaner Phishing Schutz vor social Awareness gegen Engineering Malware Rechte-Trennung d es Betriebsystems Personal Firewalls (Paket-Filter) Honeypo t(s) Virenscanner Personal Firewalls (Paket-Filter) Honeypo t(s) Reduktion von Sicherheitslücken in Anwendung en Anti-Viren- Programme Personal Firewalls Briefpost Bookmarks Zertifikate Awareness Alternative Browser Fingerprints Alternative Browser

48 Fazit Um so mehr Ebenen (Organisatorisch, Hardware, Infrastruktur und Strategisch) prophylaktisch wirken desto defensiver ist der defensive Ansatz Nebst der besten defensiven Software- und Hardware- Gegenmassnahmen sind der Mensch und menschliche Schwächen noch immer Haupt-Angriffsflächen für Fraud, Maleware und Losses Organisatorische und strategische Massnahmen steigern die menschliche Awareness

49 Losses resulting from Fraud, Espionage and Malware Talk, 45 min

50 Thema 1.1 Wie sieht die Zukunft aus? Vernetzung hat zugenommen Grosser Datenaustausch --> Internet = Risiko?

51 Thema 1.2 Was lässt sich dagegen tun? Präventiv Internationales Recht

52 Thema 1.3 Was kann man gegen Phishing tun?

53 Mobile Telefone und Malware Thema 2

54 Mobile Telefone und Malware Beispiel Trojaner fürs Handy: Fontal.A. mobile malware Eigene Erfahrungen? Grössere Gefahr durch Verlust oder Diebstahl?

55 Thema 3 (Talk) Mensch als schwächstes Glied The need for security, Course Technology, p 6

56 Beispiel-Szenario Breitbandanschluss der Firma: Nicht 100%ig ausgelastet Herr Meier: Loyal Sachbearbeiter Filesharing Instant Messaging Herunterladen / Installierung kostenloser Programme Die Folge: Spyware im Firmennetzwerk Quelle: Business Security & Enterprise Policy: Risikofaktor Mensch, Interview mit Marcus Izmir, Ersch.Datum: , Output 9/05

57 Talk 3: Facts & Statements I Angriffe / Intrusions: 80 Prozent aller Intrusions von innen - also nur 20% von außen (Gartner-Studie) Systemimmanenter Grund:»Je sicherer technische Systeme werden, desto mehr wird der Mensch zu einem zentralen Risikofaktor«(Heinrich Kuhn von der Zürcher Hochschule Winterthur) Schwächstes Glied Mensch: 70 Prozent aller Unfälle im Bereich Luftfahrt auf menschliches Versagen zurückzuführen (Bsp. Luftfahrt) Bsp. Aus Quelle: Business Security & Enterprise Policy: Risikofaktor Mensch, Interview mit Marcus Izmir, Ersch.Datum: , Output 9/05

58 Talk 3: Facts & Statements II Mitarbeiter werden unterschätzt:»unsere Mitarbeiter haben kein so hohes kriminelles Potenzial.«(Chief Security Officer auf Frage, wie sich das Unternehmen gegen die Bedrohung von innen schütze) Potential Motive: Frustration, überzogener Ehrgeiz oder Unterbezahlung Fehlende Awareness: vorallem Männer sind bereit Risiken einzugehen: Herr Meier (Aktuelle Studien von SurfControl und Meetbiz-Research) Allein 70 Prozent der Angestellten erledigen ihr Online- Banking vom Büro aus Bsp. Aus Quelle: Business Security & Enterprise Policy: Risikofaktor Mensch, Interview mit Marcus Izmir, Ersch.Datum: , Output 9/05

59 Talk 3 Questions: Business Security & Enterprise Policy hat einen oft unterschätzten:»risikofaktor Mensch«Wird das Thema gerne unter den Teppich gekehrt? Mitarbeiter stellen eine potenzielle Gefahr dar - warum oder warum nicht? Gibt es sinnvolle Gegenstrategien?