Szenarienbeschreibung Awareness-Performance / Live-Hacking



Ähnliche Dokumente
.htaccess HOWTO. zum Schutz von Dateien und Verzeichnissen mittels Passwortabfrage

TELIS FINANZ Login App

Registrierung im Datenraum

Leichte-Sprache-Bilder

Anleitung für Berichte in Word Press, auf der neuen Homepage des DAV Koblenz

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

SAMMEL DEINE IDENTITÄTEN::: NINA FRANK :: :: WINTERSEMESTER 08 09

Mail-Account Unimail mit der Einstellungen für Outlook Express 5.0

-Verschlüsselung mit S/MIME

Zur Teilnahme am Webinar bitten wir Sie, sich auf der Lernplattform der Firma edudip zu registrieren.

ACDSee 9 Foto-Manager

BMW ConnectedDrive. connecteddrive. Freude am Fahren BMW CONNECTED DRIVE. NEUERUNGEN FÜR PERSONALISIERTE BMW CONNECTED DRIVE DIENSTE.

Partnerportal Installateure Registrierung

s-sparkasse Verlassen Sie sich darauf: giropay ist sicher. Sparkassen-Finanzgruppe

Ein Hinweis vorab: Mailkonfiguration am Beispiel von Thunderbird

oder ein Account einer teilnehmenden Einrichtung also

Kurzanleitung. Nutzung des Online Office von 1&1. Zusammengestellt:

Anleitung Microsoft Select-Plus Registrierung

Einrichten eines Postfachs mit Outlook Express / Outlook bis Version 2000

MOM - Medienforum Online-Medien Anleitung zum Ändern der Login-Nummer und des Passworts

Anmeldeverfahren. Inhalt. 1. Einleitung und Hinweise

Dokumentation PuSCH App. iphone

GEORG.NET Anbindung an Ihr ACTIVE-DIRECTORY

Datensicherung. Beschreibung der Datensicherung

Kleines Handbuch zur Fotogalerie der Pixel AG

Herzlich Willkommen bei der nfon GmbH

Kurzanleitung BKB-E-Banking-Stick

Der Jazz Veranstaltungskalender für Deutschland, Österreich und die Schweiz

TeamSpeak3 Einrichten

Anleitung zum erfassen von Last Minute Angeboten und Stellenangebote

Einrichten eines E- Mail-Kontos unter Windows Live Mail mit der IMAP-Funktion

Daten am USB Stick mit TrueCrypt schützen

Sicherer Datenaustausch mit Sticky Password 8

Leitfaden zur ersten Nutzung der R FOM Portable-Version für Windows (Version 1.0)

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

Matrix42. Use Case - Sicherung und Rücksicherung persönlicher Einstellungen über Personal Backup. Version September

Anlegen eines DLRG Accounts

PC-Umzug: So ziehen Sie Ihre Daten von Windows XP nach Windows 8 um

(im Rahmen der Exchange-Server-Umstellung am )

Öffnen Sie den Internet-Browser Ihrer Wahl. Unabhängig von der eingestellten Startseite erscheint die folgende Seite in Ihrem Browserfenster:

Handbuch ECDL 2003 Modul 2: Computermanagement und Dateiverwaltung Dateien löschen und wiederherstellen

Internationales Altkatholisches Laienforum

Bedienungsanleitung für den Online-Shop

Windows 7: Neue Funktionen im praktischen Einsatz - Die neue Taskleiste nutzen

Anleitung für Kunden zum Umgang mit verschlüsselten s von der LASA Brandenburg GmbH

Inhalt: Ihre persönliche Sedcard... 1 Login... 1 Passwort vergessen... 2 Profildaten bearbeiten... 3

Der große VideoClip- Wettbewerb von Media Markt.

Registrierung am Elterninformationssysytem: ClaXss Infoline

Navigieren auf dem Desktop

POP -Konto auf iphone mit ios 6 einrichten

Wollen Sie einen mühelosen Direkteinstieg zum Online Shop der ÖAG? Sie sind nur einen Klick davon entfernt!

Einrichten eines POP-Mailkontos unter Thunderbird Mail DE:

SharePoint-Migration.docx

Handbuch. NAFI Online-Spezial. Kunden- / Datenverwaltung. 1. Auflage. (Stand: )

Dokumentation PuSCH App. windows-phone

Version Deutsch In diesem HOWTO wird beschrieben wie Sie Ihren Gästen die Anmeldung über eine SMS ermöglichen.

Anleitung: Passwort-Self-Service-Portal

Anleitung zum Extranet-Portal des BBZ Solothurn-Grenchen

ZIMT-Dokumentation Zugang zum myidm-portal für Mitarbeiter Setzen der Sicherheitsfragen und Ändern des Passworts

Wie halte ich Ordnung auf meiner Festplatte?

Toolbeschreibung: EVERNOTE

Serien- mit oder ohne Anhang

OnlineAgenda Ihres Zahnarztes

Einführung Inhaltsverzeichnis

Ihre Interessentendatensätze bei inobroker. 1. Interessentendatensätze

FTP-Server einrichten mit automatischem Datenupload für

Sie müssen sich für diesen Fall mit IHREM Rechner (also zeitgut jk o.ä.) verbinden, nicht mit dem Terminalserver.

SafeRun-Modus: Die Sichere Umgebung für die Ausführung von Programmen

Einrichtung einer Weiterleitung auf eine private Adresse in der Hochschule

Updatebeschreibung JAVA Version 3.6 und Internet Version 1.2

icloud nicht neu, aber doch irgendwie anders

Hallo, Anmeldung auf der Office-Webplattform: Seite 1 von 7 Office 365 Pro Plus

1. Einschränkung für Mac-User ohne Office Dokumente hochladen, teilen und bearbeiten

Updatehinweise für die Version forma 5.5.5

Arbeiten mit dem neuen WU Fileshare unter Windows 7

Ablaufbeschreibung Einrichtung EBICS in ProfiCash

Mit der Maus im Menü links auf den Menüpunkt 'Seiten' gehen und auf 'Erstellen klicken.

Sich einen eigenen Blog anzulegen, ist gar nicht so schwer. Es gibt verschiedene Anbieter. ist einer davon.

Herzlich Willkommen bei der BITel!

Anleitung zur Daten zur Datensicherung und Datenrücksicherung. Datensicherung

SANDBOXIE konfigurieren

Festplatte defragmentieren Internetspuren und temporäre Dateien löschen

Einen Wiederherstellungspunktes erstellen & Rechner mit Hilfe eines Wiederherstellungspunktes zu einem früheren Zeitpunkt wieder herstellen

PC-Software für Verbundwaage

Novell Client. Anleitung. zur Verfügung gestellt durch: ZID Dezentrale Systeme. Februar ZID Dezentrale Systeme

Outlook Vorlagen/Templates

Übung - Datensicherung und Wiederherstellung in Windows 7

Netzlaufwerke verbinden

Danke, dass sie sich für die Infoliste der Moodleveranstaltung eingetragen haben.

Personalisierte versenden

Apple Mail, ical und Adressbuch

mysql - Clients MySQL - Abfragen eine serverbasierenden Datenbank

Sie wollen Was heißt das? Grundvoraussetzung ist ein Bild oder mehrere Bilder vom Wechseldatenträger

Handbuch für Easy Mail in Leicht Lesen

inviu routes Installation und Erstellung einer ENAiKOON id

Handbuch ECDL 2003 Basic Modul 2: Computermanagement und Dateiverwaltung Dateien löschen und wiederherstellen

Handbuch zur Anlage von Turnieren auf der NÖEV-Homepage

Anleitung über den Umgang mit Schildern

Es gibt einige Kardinalstellen, an denen sich auf der Festplatte Müll ansammelt: Um einen Großteil davon zu bereinigen.

Transkript:

Szenarienbeschreibung Awareness-Performance / Live-Hacking Die Live-Hacking Performance wird in verteilten Rollen von zwei Referenten vorgetragen. Alle Themen, die anhand von Live-Beispielen vorgeführt werden, werden im Anschluss erläutert und Gegenmaßnahmen sowie Handlungsempfehlungen an die Hand gegeben, die einen möglichen Schaden oder Angriff verhindern. Bei Bedarf können mehrere Szenarien aus einem Gesamtportfolio zusammengestellt werden. Im Folgenden werden die möglichen Szenarien kurz umrissen: Modul: Plattformsicherheit Windows-Trojaner - "Ich sehe was, was Du nicht willst" Die IT-Sicherheitsexperten demonstrieren, wie durch das Fehlverhalten des Nutzers ein Windows-System angegriffen wird. Mittels eines Trojaners wird ein Bot injiziert. Anschließend wird aufgezeigt, dass der Angreifer damit die volle Kontrolle über den Rechner einnehmen kann. Das Szenario bietet einen Angriff für Windows XP über einen Link in einer gefälschten E-Mail oder alternativ einen Angriff für Windows 7 über eine manipulierte PDF- Datei. Anschließend wird gezeigt, wie sich der Nutzer schützen und richtig verhalten sollte. USB-Datenträger - "Autostart: Komfort auch für Angreifer" Das Szenario zeigt, wie ein Windowssystem über die Autoplay-Funktion eines USB-Sticks infiziert und manipuliert wird. Dabei werden Daten manipuliert und Daten vom System gestohlen. Das Aufzeigen der Gegenmaßnahmen bildet den Abschluss des Szenarios. USB-Eingabegeräte - Die Mausefalle Eine modifizierte Computermaus übernimmt ohne jegliche Benutzerinteraktion mit dem PC nach dem Anschließen die Kontrolle über den Rechner und schleust Schadcode ein. Dabei werden auch Daten ausgelesen, ohne von Virenscannern daran gehindert zu werden. Passwörter zurücksetzen - Alles auf Null Auf einem Windows-System wird demonstriert, wie die gespeicherten Passwörter gelöscht werden können, so dass ein ungehindertes Anmelden am System möglich ist. Dabei werden auch private Daten geklaut. Das Vorgehen und mögliche Abhilfen werden erläutert. Eine Lösung zur sicheren Speicherung der eigenen Daten wird vorgestellt. Im Anschluss bietet sich der Passwort-Block an. www.internet-sicherheit.de Seite 1 von 5

Modul: Websicherheit Phishing - "Die Phisherman's Bank" Das Szenario zeigt einen klassischen Phishing-Angriff per E-Mail mit einer gefälschten Bankseite. Die Kontodaten werden ausgespäht. Pharming - "Phishing reloaded" Das Szenario sollte in Kombination mit dem Windows-Trojaner durchgeführt werden. Der Rechner wird durch den Trojaner dauerhaft manipuliert (hosts-datei). Auch nachdem der Trojaner vom System entfernt wurde, kann der Angreifer Bankdaten mitschneiden, obwohl die Bankdaten über eine HTTPS-Verbindung übermittelt werden; Lösungen und Gegenmaßnahmen werden direkt aufgezeigt. Cross-Site-Scripting (XSS) - "Die Ewänz-Agentur" Bei Cross-Site-Scripting werden fehleranfällige Webseiten manipuliert. Im Szenario wird eine Webseite durch eine spezielle Eingabe in einem Formularfeld um ein Element erweitert, so dass Besucher der Seite auf die Präsenz des Angreifers gelockt werden. Schlussendlich werden bei diesem Szenario so wieder Zugangsdaten ausgespäht. Google-Hacking - "Ich finde was, was du nicht willst" Das Szenario zeigt, wie einfach man mit einer Suchmaschine steuerbare Kameras und Drucker im Internet finden kann. Es wird aufgezeigt, wie wichtig es ist, netzwerkfähige Geräte korrekt vor dem Zugriff durch Unbefugte zu schützen. www.internet-sicherheit.de Seite 2 von 5

Modul: Sicherheit von Zugangsdaten Optimalerweise werden die folgenden zwei Szenarien immer zusammen vorgestellt Passwortdatenbank - "Passwort-Scrabble" Anhand einer echten Passwortdatenbank werden mit dem Publikum zusammen Passwörter erraten und dabei verbreitete Fehler angesprochen. Brute-Force-Angriffe - "Probieren geht über studieren" In aktuellen Systemen werden nicht mehr die Passwörter selbst abgelegt, sondern daraus errechnete Hash-Werte. Aus diesen Hash-Werten können die ursprünglichen Passwörter nur durch stumpfes Ausprobieren ermittelt werden. Es wird live gezeigt, wie jedoch kurze Passwörter mittels entsprechender Hardware in wenigen Sekunden ermittelt werden können. Zum Einsatz kommt hier ein Grafikkartenhochleistungsrechner des Instituts, der über eine Internetverbindung angesprochen wird. Benutzernamen-Harvester - "Hallo! Wie heißt Du?" Es wird anhand von ebay gezeigt, dass ein Onlineangriff zur Übernahme von Accounts möglich ist, indem viele Benutzernamen gesammelt werden und in der Folge nur ein einfaches Passwort bei allen Benutzeraccounts ausprobiert wird. So können Accounts geklaut werden, ohne sich von Passworteingabesperre belästigen zu lassen. Lösung ist auch hier wieder ein gutes Passwort. Man-in-the-Middle-Angriffe: Der stille Teilhaber Wer vertrauliche Daten austauscht, sollte stets auf starke Verschlüsselung setzen, da Dritte ansonsten Zugriff und sogar Einfluss auf die übertragenen Daten erhalten können. Doch neben den technischen Voraussetzungen spielt auch die Aufmerksamkeit des Anwenders eine besondere Rolle, will er Angriffen beim Besuch bekannter Webseiten entgehen. www.internet-sicherheit.de Seite 3 von 5

Modul: Mobile Sicherheit Handy-Trojaner - "Der flexible Trojaner" Ein Spionage-Programm für Mobiltelefone wird vorgestellt. Das Mobiltelefon kann als Mikrofon genutzt werden um die Umgebung abzuhören. Darüber hinaus können SMS gelesen, Bewegungsprofile erstellt und Anrufe kontrolliert werden. Dieses Szenario ist unabhängig vom Provider. Bluetooth-Headset - "Die Wanze" Hierbei wird demonstriert, wie ein Bluetooth-Headset als Wanze genutzt werden kann. Nach einer erfolgreichen Kopplung zwischen Headset und Mobiltelefon gelingt dies, wenn das Mobiltelefon ausgeschaltet wird. Daraufhin befindet sich das Headset in einem Ruhezustand und sendet permanent seine Bereitschaft für eine neue Kopplung aus. Jetzt kann ein Angreifer auf das Headset zugreifen und es als Wanze verwenden. Außerdem wird gezeigt, dass man aus einer Pringlesdose eine Richtfunkantenne für Bluetooth und WLAN bauen kann, um die sonst geringen Reichweiten von Bluetooth und WLAN zu umgehen. Auskunftsfreudige Smartphones: "Ich weiß, wo du letzten Sommer gesurft hast" Modernen Smartphones lässt sich mit einfachen Mitteln die Liste aller WLANs entlocken, die ein Anwender mit ihnen genutzt hat. Hierdurch lassen sich nicht nur gezielt Bewegungsprofile über ausgewählte Personen erstellen, die so gewonnenen Informationen dienen ebenso als Ausgangspunkt für weitere Angriffe, sowohl technischer als auch sozialer Natur. www.internet-sicherheit.de Seite 4 von 5

Weitere Szenarien Dokumentensicherheit Word - "Perfect Holiday" Es wird gezeigt, dass der voreingestellte passwortgeschützte Formularschutz sehr einfach zu umgehen ist. Voraussetzung hier ist MS Office 2003 auf einem Windows-System. Dokumentensicherheit PDF "Komfortfunktionen für alle" Es wird gezeigt, dass geschwärzte PDF-Abschnitte schnell wieder sichtbar gemacht werden können, wenn der Nutzer diese falsch anlegt. Das Publikum erfährt, wie Abschnitte in PDF- Dokumenten zuverlässig unkenntlich gemacht werden können. E-Mail-Harvester - "Jäger und Sammler" Der E-Mail-Harvester ist eine Entwicklung vom Institut für Internet-Sicherheit. Er scannt Webseiten nach E-Mail-Adressen, die dann für gerichtete Angriffe verwendet werden können. Wenn ein Scan Ihrer Unternehmenswebseiten durchgeführt werden soll, so kündigen Sie dies bitte mindestens 5 Tage vorher an. Das Ergebnis wird dann zur Live-Hacking Veranstaltung mitgebracht und wenn gewünscht vorgestellt. Sicheres Löschen - Alle Daten sind noch da, alle Daten, alle Obwohl eine Datei auf einem Datenträger gelöscht wurde, kann sie mit entsprechenden Programmen wiederhergestellt werden - eine Komfortfunktion für Nutzer und Angreifer. Dies wird an einem Beispiel demonstriert. Gegenmaßnahmen werden im Weiteren aufgezeigt. Zusatzinfo Sofern passende und aktuelle Informationen zu verschiedenen Szenarien vorliegen, fließen diese, je nach Aufwand und dem zur Verfügung stehenden Zeitfenster, von den IT- Sicherheitsexperten mit in die Szenarien ein. Alle Szenarien werden ständig aktualisiert, optimiert und durch neue Themen ergänzt. Die Szenarien werden bestmöglich auf die jeweilige Zuhörerschaft und Thematik angepasst. Auf Anfrage können auch zusätzliche Szenarien zu angefragten Themen erstellt werden. Weiterführende Informationen rund um das Thema Live-Hacking finden Sie unter: www.internet-sicherheit.de/live-hacking www.internet-sicherheit.de Seite 5 von 5

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback