Heimliche Online-Durchsuchung

Größe: px

Ab Seite anzeigen:

Download "Heimliche Online-Durchsuchung"

Markus Lorentz
vor 8 Jahren
Abrufe

1 Heimliche Online-Durchsuchung Anlass, Technik und Folgen 24. September 2009 EDV-Gerichtstag Saarbrücken Prof. Dr. Hartmut Pohl

2 Online-Durchsuchung Remote Forensic Software: verdeckte Suche nach verfahrensrelevanten Inhalten Online-Durchsicht einmalig Online Überwachung auf eine gewisse Dauer angelegt Quellen-TKÜ Erhebung gespeicherter Telekommunikationsinhalte Definitionen zitiert aus dem Schreiben des BMI vom 22. August 2007

auf eine gewisse Dauer angelegt Quellen-TKÜ Erhebung gespeicherter

3 Online-Durchsuchung Remote Forensic Software: verdeckte Suche nach verfahrensrelevanten Inhalten Ziel: Alle IT-Systeme IT-Systeme Online-Durchsicht einmalig Rechner, Netze, Server, embedded embedded Systems wie Handy, PDA, Router, Switches, Internet Online Überwachung auf eine gewisse Dauer angelegt Quellen-TKÜ Erhebung gespeicherter Telekommunikationsinhalte

Server, embedded embedded Systems wie Handy, PDA, Router, Switches, Internet Online

4 Online-Durchsuchung Remote Forensic Software: verdeckte Suche nach verfahrensrelevanten Inhalten Rechner, Netze, Server, Clients, Router, Switches Online-Durchsicht Lokale Netze, Intra- und Extranets, Internet einmalig embedded Systems: Handy, Smart Phones, PDA, Online Überwachung Ziel: Alle IT-Systeme generell alle ans Internet direkt oder indirekt angeschlossenen Systeme mit eingebautem Computer auf eine gewisse Dauer angelegt Quellen-TKÜ Erhebung gespeicherter Telekommunikationsinhalte Intelligenter Stromzähler,

PDA, Online Überwachung Ziel: Alle IT-Systeme generell alle ans Internet direkt oder indirekt angeschlossenen Systeme mit

5 Grundregel: Software is not bug-free Software contains security bugs Hartmut Pohl

6 Angriffspunkt: Eingabeschnittstellen Attack Paths Data

7 Attack Surface, Attack Paths Attack Paths Attack Surface Organisation Information System Permitted Ports Firewall, Intrusion Detection, Unpatched or unpublished Vulnerabilities. Obfuscation Patched Vulnerabilities COTS: Applications, Servers, SQL, IIS, Mails, FTP, CRM Assets - Data Anti-Virus Software, Worms Verschlüsselung, Schlüssel

8 Unveröffentlichte Sicherheitslücken Less-Than-Zero-Day-Exploits Sicherheitslücken seit Auslieferung der Software Angriffe sind nicht erkennbar Was man nicht kennt, bemerkt man nicht und was man nicht kennt, kann man nicht suchen

Auslieferung der Software Angriffe sind nicht erkennbar

9 Stealth-Angriffe Unveröffentlichte Sicherheitslücken Less-Than-Zero-Day-Exploits Sicherheitslücken seit Auslieferung der Software Angriffe sind nicht erkennbar Was man nicht kennt, bemerkt man nicht und was man nicht kennt, kann man nicht suchen

Auslieferung der Software Angriffe sind nicht erkennbar Was

10 Lifecycle of Vulnerabilities Vulnerability-free Phase - seemingly Product Shipment Fix, Patch, Update, Version

11 Lifecycle of Vulnerabilities Vulnerability-free Phase - seemingly Vulnerability discovered and used Vulnerability fully disclosed: Manufacturer Product Shipment Vulnerability discovered Fix, Patch, Update, Version

Vulnerability fully disclosed: Manufacturer Product

12 Lifecycle of Vulnerabilities Vulnerability-free Phase - seemingly Vulnerability discovered and used Vulnerability fully disclosed: Manufacturer Product Shipment Vulnerability discovered Vulnerability published Exploit published Patch published Fix, Patch, Update, Version Zero Day

Manufacturer Product Shipment Vulnerability discovered Vulnerability

13 Lifecycle of Vulnerabilities Vulnerability-free Phase - seemingly Vulnerability discovered and used Vulnerability fully disclosed: Manufacturer Product Shipment Vulnerability discovered Vulnerability published Exploit published Patch published Patched System Less-Than-Zero-Day Vulnerability Zero-Day Vulnerability Fix, Patch, Update, Version Zero Day

Vulnerability discovered Vulnerability published Exploit published Patch published

14 Lifecycle of Vulnerabilities Vulnerability-free Phase - seemingly Stealth Like Attack Vulnerability discovered and used Vulnerability fully disclosed: Manufacturer Product Shipment Vulnerability published Exploit published Patch published Patched System Less-Than-Zero-Day Vulnerability Zero-Day Vulnerability Fix, Patch, Update, Version Zero Day

Shipment Vulnerability published Exploit published Patch published Patched System

15 Patch Management In the first half of 2007: vulnerabilities published 90 % exploited remotely (internet) > 50 % access control rights for administrators 20 % not patched: Microsoft, Apple, Oracle, Cisco und Sun 60 % not patched: Others Patch development: Average time 21 days Microsoft 101 days HP 122 days Sun

control rights for administrators 20 % not patched: Microsoft, Apple, Oracle,

16 Tool Kits Vulnerability Detection and Exploit Development Fuzzers Random numbers as input (brute force) for a given system, protocol or application. Seek to cause abnormal behaviour in the protocol or application possibly indicating a software bug Metasploit Framework Collection of instant exploits available in Tool Kits e.g. develop and use exploits, contains shellcode-archive. CANVAS Core Impact WebAttacker

Seek to cause abnormal behaviour in the protocol or application possibly indicating a software bug

17 1. Regel Alle Zugriffsrechte (Admin) ohne Nutzung von Viren, Würmern, Trojanischen Pferden Lesen (Spionage) und Schreiben (Sabotage) Hartmut Pohl

18 Nicht erkennbare erkennbare := grds. erfolgreiche erfolgreiche Angriffe! 1. Regel Alle Zugriffsrechte (Admin) ohne Nutzung von Viren, Würmern, Trojanischen Pferden Lesen (Spionage) und Schreiben (Sabotage) Hartmut Pohl

19 Herr Preatoni

20 2. Regel Markt für unveröffentlichte Sicherheitslücken Hartmut Pohl

21 Käufer, Nutzer, Preise Organized crime Companies Intelligence Services : CIA, Mossad, FSB, Wirtschaftsspionage, politische Spionage Sabotage

22 Interessierte Behörden Polizei: LKÄ, BKA Verfassungsschutz: LfV, BfV Bundesnachrichtendienst Zoll:

23 Bisherige Online-Durchsuchungen 12 Fälle insgesamt (BND) davon 3 in Amtshilfe für das BfV 11 Ausnutzung unveröffentlichter Sicherheitslücken 1 mißlungen: , CD, (ISP) Mehrere Quellen-TKÜ bei Landeskriminalämtern und Zoll Stand: Oktober 2007

24 BSI: CERT-Bund: Vulnerabilities Meldungen pro Monat (Oktober 2008): ~ 101 Davon remote (Internet): 80 % Risikobewertung: gering 35 %, mittel 35 %, hoch 30 % Common Vulnerabilities and Exposures - CVE (Mitre) Veröffentlichung anderer Veröffentlichungen

25 3. Regel Behörden veröffentlichen alte Sicherheitslücken Hartmut Pohl

26 Regel 3a Behörden dürfen unveröffentlichte Sicherheitslücken verschweigen Hartmut Pohl

27 Regel 3b Behörden verschweigen unveröffentlichte Sicherheitslücken Hartmut Pohl

29 4. Regel Hersteller implementieren unveröffentlichte Hintertüren Hartmut Pohl

30 Zusammenfassung: 4 Regeln 0. Software contains security bugs u.a.: Unveröffentlichte Sicherheitslücken 1. Alle Angriffe sind grundsätzlich erfolgreich! Alle Zugriffsrechte (Admin): Lesen (Spionage) und Schreiben (Sabotage) ohne Viren, Würmer, Trojanische Pferde 2. Markt für unveröffentlichte Sicherheitslücken Behörden unterstützen diesen Markt 3. Behörden veröffentlichen alte - aber verschweigen unveröffentlichte Sicherheitslücken 4. Hersteller implementieren unveröffentlichte Hintertüren

31 Herr Preatoni

32 Herr Preatoni

33 Titan Rain Moonlight Maze, Seit 2003 mit steigender Intensität (China) 2009? Erfolgreiche Angriffe gg. Unternehmen in > 50 Ländern Unternehmen und Regierungen von > 50 Ländern Systematisches, organisiertes Vorgehen: Exploits, Trojan horse, keystroke logger, system monitor - Bürostunden Network Crack Program Hacker group (NCPH): 4 core programmers, 10 associates, manager: Wicked Rose counter-hacked by Shawn Carpenter Verschlußsache in den USA und Deutschland (7/2007),

35 Secure Software Development Lifecycle Tasks and Processes Requirements Design Implementation Verification Release Support & Servicing Security Requirements Assessment Use Cases Risk Analysis Security Training Security Architecture, Design, Best Practice Security Development Tools, Code Generation Static Analysis: Source Code Analysis (white box) Documentation & Tests Exploiting Frameworks Security Review Dynamic Analysis: Last-Tests (black box) Final Security Review, Code Signing Security Servicing, Field Feedback, Response Execution, Patch Management Threat Modeling Security Architecture, Abuse Cases, Risk Analysis, Attack Surface Minimalisation Fuzzing Black/White Box

36 IT-Sicherheitsberatung 1. Management Consulting (ISO 2700x) Richtlinienwerke, Policies: Passwort, Firewall, WLAN, Business Continuity Überprüfung der praktischen Informationssicherheit vor Ort: Passwörter, Firewalls, Server und Clients, Intrusion Detection Systems, 2. Sensibilisierung und Awareness, Aus- und Weiterbildung 3. Penetration Testing - Port- und Protokoll-Scans - Vulnerability Scans - Exploiting - Remote und intern - Handlungsempfehlungen 4. Threat Modeling und Fuzzing Erkennen nicht-erkannter Fehler und Sicherheitslücken in Software 5. Forensics Erkennung und Nachweis doloser Handlungen in Computern und Netzen: Innen- und Außentäter 6. Coaching IT-Sicherheitsbeauftragte, Outsourcing,

37 Heimliche Online-Durchsuchung := Ausnutzung unveröffentlichter Sicherheitslücken

38 Kontakt Prof. Dr. Hartmut Pohl Hochschule Bonn-Rhein-Sieg, Informationssicherheit Tel.:

Ähnliche Dokumente

Informationssicherheit 2010

Informationssicherheit 2010 CONNECT 19. Jahreskonferenz zur praktischen IT-Sicherheit Donnerstag, 12. November 2009, IHK Neuss Prof. Dr. Hartmut Pohl Prof. Dr. Hartmut Pohl BSc. Peter Sakal Penetration