Das Netz der grösste Teil ist unter Wasser

Transkript

1 Hacking und Darknet

2 Vom Deepweb zu TOR

3 Das Netz der grösste Teil ist unter Wasser

4 TOR The Onion Router

5 TOR The Onion Router

6 TOR Hidden Services Der Hidden Service annonciert sich an 3 Relays mit seinem Service Descriptor Der Hidden Service meldet sich bei der verteilten Datenbank ( Tor Directory )

7 TOR Hidden Services

8 TOR Verwenden Spezialisierte Linux Distributionen wie z.b. Whonix oder Tails Linux Leiten sämtlichen Traffic via TOR Netzwerk Verfügen über weitere Elemente zur Sicherung der Privatsphäre (Verschlüsselung, Löschen aller Dateien, Offline Modus, etc.)

9 TOR Verwenden TOR Browser (nur der Webtraffic ist geschützt)

10 Technische Gefahren TOR Software kann Fehler enthalten Netzwerkdaten können «leaken», d.h. nicht via TOR verschickt werden (z.b. DNS, IPv6)

11 TOR und Strafermittlung

12 TOR und Strafermittlung Strafermittlung im Darknet ist aufwändig, aber nicht unmöglich Verbrecher machen Fehler und Hilfe dieser Fehler werden sie gefunden.

13 Suchen und Finden Im Darknet gibt es keine Suchmaschinen, die mit denen im regulären Internet vergleichbar sind. Deswegen muss man sich mithilfe von Links von Seite zu Seite hangeln. Übersichtsseiten wie diese sammeln zahlreiche.onion-links.

14 Was kann man im Darknet finden? Fast alles, was man auch um Clearnet finden kann services Hosting service Forums News sites E-commerce

15 -Services z.b. Darknet-Only-Mail

16 -Services z.b. Normale Mails im Darknet

17 Hosting Service z.b. Bilder-Host

18 Forums z.b. Darknet Forums

19 TOR und Erpressung Viele Ransomware verlangt, dass das Opfer via TOR Netzwerk und Bitcoins einen kauft. Ein Beispiel war Torrentlocker

20 TOR und Erpressung

21 TOR und Malware - Retefe Retefe ist ein Bankentrojaner Retefe fokussiert sich auf die CH Im Augenblick haben wir mehrere Wellen pro Woche Quelle: govcert.ch

22 TOR und Malware Retefe Infection Chain Retefe verwendet TOR für die Kommunikation Die Kommunikation wird via einen lokalen Socks Server ins TOR Netzwerk geleitet Dies macht eine Blockierung der Infrastruktur schwierig

23 TOR und Malware Retefe Infection Chain Quelle: welivesecurity.com

24 TOR und Malware Retefe Infection Chain Quelle: countuponsecurity.com

25 TOR und Malware Retefe Kommunikation Proxy Pac via TOR herunterladen Redirections von ebanking Sessions via TOR Netzwerk Anleitung zur Installation einer Mobile App. Diese dient dem Diebstahl der Mobile TANs. Man in the Middle Angriff mit Hilfe eines Rogue CA Zertifikates

26 Ecommerce z.b. Marktplätze

27 Illegale Angebote Drogen Waffenhandel Pornographie Software Film / Music / ebooks (Produkt-)Fälschungen Daten / Informationen Services (Crime as a Service) Hacking Tools (Crime Ware)

28 Auftragsmord Quelle: (2016)

29 Einfache Login-Seite zu einem Marktplatz

30 Vertrauen durch Bewertungssysteme und Treuhänder

31 Cybercrime Inc. Professionalisierung des Cyber Crime 80% der Hacker arbeiten mit der organisierten Kriminalität zusammen. Cosa Nostra, Japanische Yakuza, Chinesische Triaden, Russische Mafia, Südamerikanische Kartelle, Cyberkriminalitätsorganisationen "businessorientiert" gut organisiert Unternehmensstrategien Anonymitätsmethoden: Darknet Kryptowährungen

32 Carbanak Organisation

33 CYBERCRIME INC. Organisation

34 Verdienstmöglichkeiten Re-Hashed: 2018 Cybercrime Statistics: A closer look at the Web of Profit

35 Cybercrime Inc. - Business model Hacker nutzen die Vorteile von "anonymen" Diensten, um ihre "normalen" Produkte und Dienstleistungen online zu bewerben und zu verkaufen. Einige der "Geschäftsmöglichkeiten": Identitätsdiebstahl Diebstahl geistigen Eigentums Geschäftsgeheimnisse Wirtschaftsspionage Sensibler Datendiebstahl Online-Erpressung Finanzkriminalität Datenmanipulation

36 Crime Ware Preise Man bezahlt mindestens $ für einen funktionierenden 0-Day iphone Remote Exploit

37 Crime Ware Preise: Autolog keylogger Malware Trends on Darknet Crypto-markets: Research Review: Report of the Australian National University Cybercrime Observatory for the Korean Institute of Criminology 2018

38 DDoS as a Service Distributed Denial of Service

39 DDoS as a Service Distributed Denial of Service

40 Schadsoftware / Ransomware as a Service

41 Schadsoftware / Ransomware as a Service

42 Hacking-as-a-Service

43 Ausbildung und Support Tutorials Sammlungen Geräte

44 Ausbildung und Support Tutorials Sammlungen Geräte

45 Ausbildung und Support Tutorials Sammlungen Geräte

46 Allgemein: Botnets as a Service

47 10 Steps to Cyber Security

48 Merkblatt Informationssicherheit für KMUs

49 Präventive Massnahmen Ramsomware regelmässiges Backup Ihrer Daten. Die Sicherungskopie sollte offline, d.h. auf einem externen Medium sein Stellen Sie daher sicher, dass Sie das Medium, auf welche Sie die Sicherungskopie erstellen, nach dem Backup-Vorgang vom Computer trennen. Sowohl Betriebssysteme als auch alle auf den Computern installierte Applikationen (z. B. Adobe Reader, Adobe Flash, Sun Java etc.) müssen konsequent auf den neuesten Stand gebracht werden. Falls vorhanden, am besten mit der automatischen Update-Funktion. Vorsicht bei verdächtigen s, bei s, welche Sie unerwartet bekommen, oder welche von einem unbekannten Absender stammen. Befolgen Sie hier keine Anweisungen, öffnen Sie keinen Anhang, folgen Sie keinen Links. Aktueller Virenschutz Aktuelle Personal Firewall

50 Massnahmen nach einem erfolgreichen Angriff Im Falle einer Infektion empfehlen wir den Computer sofort von allen Netzwerken zu trennen. Danach Neuinstallation des Systems und Ändern aller Passwörter. Danach können die Backup-Daten wieder zurückgespielt werden. Wenn kein Backup der Daten vorliegt, die verschlüsselten Daten behalten und sichern, damit Sie sie allenfalls später noch entschlüsseln können, sollte hierzu eine Lösung gefunden werden. In jedem Falle empfiehlt MELANI den Vorfall der Koordinationsstelle zur Bekämpfung der Internetkriminalität (KOBIK) zur Kenntnis zu bringen und Anzeige bei der lokalen Polizeidienststelle zu erstatten. Verzichten Sie darauf, ein Lösegeld zu bezahlen Es gibt es keine Garantie die Schlüssel für die Entschlüsselung zu bekommen

51 MELANI / GovCERT kontaktieren Via Meldeformular unter GovCERT für technische Belange und via S/MIME oder PGP outreach@govcert.ch Twitter: