AusgewählteAngriffsvektoren AusgewählteAngriffsvektoren René Lynx Pfeiffer Michael MiKa Kafka DeepSecIn DepthSecurityConference
Worumgeht's? MöglicheGegenspieler&Motivationen WegefürAngriffe Schwachstellen&Risiken Schadensbegrenzung
Sicherheit? IntegritätderVerbindungs /Gesprächsdaten VertraulichkeitderVerbindungs /Gesprächsdaten IdentitätderGesprächsteilnehmer VerfügbarkeitderInfrastruktur
Gegenspieler
Hackers Ursprüngeinden1970erJahren Telefonsysteme/ Phreaking BoardsystememitModemeinwahl Internet Motivation Neugierde ErkundenvonTechnologie Spaß(unterVorbehalt)
Hackerhüte WhiteHats ErkundenvonSchwachstellen Informieren,Absichern Schadenwirdmöglichstvermieden BlackHats AusnutzenvonSchwachstellenzueigenemVorteil persönlichergewinn SchadenwirdinKaufgenommen/beabsichtig GreyHats MischungausWhite/BlackHat
ScriptKiddies ScriptKiddieshabenwenigKnow How Einsatz gefundener Tools nichtzielgerichtet( targetsofopportunity ) MotivationAnerkennung Hacks sindtrophäen eigenesprache/kultur(z.b.l33tsp33k, ) ScriptKiddieswerdenmituntermißbraucht/ausgespielt kaumorganisiert
Hacktivismus politisch/religiös/kulturellmotiviert bekanntseitoktober1989 WANKWurm(ProtestgegenNukleartechnik) Zeichensetzen,Botschaftenhinterlassen ZieleabhängigvonAusrichtung Auswirkungenebenso
Hacktivismus Symptome VerändernvonWebseiten(Defacing) LahmlegenvonWebseiten(WebSit Ins) E Mail Bomben subversive Software SpiegelnvonWebseiten(Antizensur) Geo Bombing(überYouTube) anonymesbloggen(z.b.blogdelnarco)
Hacktivismus Beispiele
Cybercrime Profit digitalesorganisiertesverbrechen DiensteundWerkzeugekäuflich schlüsselfertig Baukastenprinzip WarensindInformation
Cybercrime Symptome Betrug(Phishing,Spamming) Informationsdiebstahl Konten,Kreditkarten Logins,Paßworte,Identitäten Erpressung Spionage
Cybercrime Markplätze
ZeroDays/0days ZeroDayssindunveröffentlichteSchwachstellen Schwachstellen(noch)nichtbehoben VerwendunginAngriffscode ZeroDayswerdengehandelt PreisejenachWirksamkeit/Plattformen gutezerodayswerdensparsameingesetzt Verteidigung betroffenesystemeunzugänglichmachen gestaffeltesicherheitsbarrieren
Angriffsvektorenund mittel
DerlangeWegüberServer
ModerneAbkürzungen
Desktops/Smartphones
Desktops/Smartphones(2) sehrvielsoftwarevorhanden reichhaltigeauswahlvondokumentenformaten automatischeverknüpfungen automatischeprogrammaufrufe AusführenvonCode Angriff Netzwerk,USB GeräteundDatenträger! Filtersindimmerunvollständig
WegezumDesktop
BrowserundkurzeLinks Sicheroderunsicher? http://t.co/w90evyq http://tpr.ly/nycn14 http://is.gd/mpcnrs ContentDistributionNetworks wählengeographischnächstenserver verschiedeneansichten derselben Webseite BrowserversteckenDetails BrowserstellenaktiveInhaltesofortdar
AktiveInhalte Inline Dokumente(PDF, ) Adobe Flash/Shockwave/AIR Microsoft Silverlight OracleJava JavaScript Audio /Videodaten 3D beschleunigtewebseiten(webgl)
Zombies ZombiessindinfizierteSysteme InfektiondurchViren/trojanischePferde InfektionswegWeboderNachrichten(E Mail, ) SystemesindComputer(PCs,Server,Mobiltelefone, ) ZombieserhaltenKommandos Command&Control(C&C)Kanal zentralesteuerung MechanismenfürUpdates
Zombies Symptome SystemkannkeineSymptomezeigen moderneschadsoftwaretarntsich Auffallenistunerwünscht Systemkannseltsamreagieren Internetverbindungistlangsam/instabil Detektionmeistmöglich,abhängigvonSchadsoftware
Bot Netzwerke Bot NetzwerkebestehenausZombie Systemen voneinigen1.000biszumehreren1.000.000zombies zentralgesteuert Bot Netz BetreibervermietenNetzwerkefür SendenvonE Mail( Spam ) Spionage(Zugänge,Passworte, ) ÜberlastenvonDiensten geschätzte60bis150millionensystemesindinbot Netzen
Zombie Verbreitung
Bot Netzwerke(2)
Bot NetzwerkinAktion
DenialofService(DoS) LahmlegenvonSystemendurch ErschöpfenvonResourcen AusnutzenvonFehlerninSoftware/Protokollen kannnebeneffektsein kannweitereschritteverdecken Ablenkungsmanöver AusnutzenvonAbhängigkeiten VorbereitungweitererAttacken
DistributedDenialofService DoSmitvielenverschiedenenQuellen koordinierteattacke Quellenmüssensynchronisiertsein QuellenagierenaufKommandos sehrwirkungsvollgegenvieleziele VerteidigungnurimVerbundmöglich ISPmußmithelfen EinsatzContentDistributionNetworks(CDNs)
LowOrbitIonCannon ToolofteingesetztvonAnonymous(seit2006) ZielsindmeistWebserver
DigitaleZertifikate
Zertifikate,digitaleSignatur Certificate Authority Identity Certificate: Certificate info * Identity PubKI * Extensions Sig PrivKCA PrivKCA Hash Alg. Assym. Crypto PubKCA
Zertifikatsausstellung Identity Certificate Authority PrivKID PubKI PrivKCA Certif. R PubKCA eques t Requester Verification Identity Certificate: Certificate info * Identity PubKI Certificate info * Identity PubKI * Extensions * Extensions Sig PrivKCA Sig PrivKCA received
ZertifikatVerifikation1) Certificate Authority PrivKCA PubKCA Identity Self-signed Certificate: Requests "Root Certificate": Certificate info * Identity PubKCA Certificate info * Identity PubKCA * Extensions Sig PrivKCA * Extensions Sig PrivKCA received
ZertifikatVerifikation2) received Certificate Certificate info * Third Party "Root Certificate": Certificate info * Identity PubKCA PubKI * Extensions Sig PrivKCA * Extensions Sig PrivKCA Verify received Identity Certificate
ZertifikatVerifikation:Probleme Unklarheiten: WelchenRootZertifikatenvertraueich? WohatdieIdentitysignierenlassen? HatdieCAsauberverifiziert? GrundsätzlichesVertrauen ÜberprüfungNachfragenurexplizit CRLbzw.OCSP
VorfällebeimSignieren Verisign,Januar2001 SigniertzweiZertifikate"für"Microsoft Requestwargefälscht Zertifikatfür"CodeSigning" ZweiMonateunentdeckt: "Inmid March2001,VeriSign,Inc.,advisedMicrosoftthaton January29and30,2001,itissuedtwoVeriSignClass3code signing digitalcertificatestoanindividualwhofraudulentlyclaimedtobea Microsoftemployee "
FalschausgestellteZertifikate: FalschausgestellteZertifikate: ErfolgreicheMitMAttacke Wirdnichterkannt KeineVerknüpfungZwischenCAundIdentity Risikenz.B.Etisalat,ArabischeEmirate: Seit2005als"TrustedRoot"erkannt(Cybertrust) SchlechteErfahrungenmitBlackberry2009 GiltfürhunderteweitereOrganisationen...
GestohleneZertifikate Stuxnet(enthieltZertifikatefürJMicron&Realtek) VerwendetgestohleneZertifikate EntdecktvonESET
GestohleneZertifikate ComodoIncident2011: "IchSunbrokeintoComodo'sItalianregistrationauthority,called ComodoItaly,andonMarch15usedComodo'ssystemsto fraudulentlyissueninedigitalcertificates." Stelltunteranderemzwei"CertificateSigning"Zertifikateaus.
HilftExtendedValidation? ExtendedValidation: RichtlinienvonCA/BrowserForum(Ca.30bis40MitgliederOct 2009) Zielsetzungen: "IdentifythelegalentitythatcontrolsaWebsite" "EnableencryptedcommunicationswithaWebsite" "Identifythesourceofexecutablecode" "ThesecondarypurposesofanEVCertificatearetohelp establishthelegitimacyofabusiness" "addressingproblemsrelatedtophishing,malware,andother formsofonlineidentityfraud"
EVUmsetzung: SpeziellOIDsz.B.: 1.3.6.1.4.1.6449.1.2.1.5.1 ComodoEVCPS BrowserzeigenzusätzlicheMerkmale StanfordUniversity2006: "Extendedvalidationdidnothelpusersdefendagainsteither attack" "Extendedvalidationdidnothelpuntrainedusersclassifya legitimatesite" "Trainingcausedmorerealandfraudulentsitestobeclassifiedas legitimate"
ZumSchmunzeln:
FazitdigitaleZertifikate: KomplexeTechnik VieleMitspieler Nichtjederistvertrauenswürdig Anwenderistüberfordert UmfangreicheAngriffsvektoren Incidentswerdenoftspäterkannt
InternetRouting
RoutingAngriffeimInternet InternetisteinNetzvonNetzen KeinenZentraleRegistrierung,wermitwemredet FalscheRoutingInformationdenkbar: GenauereInformationbevorzugt Z.B. BerlinCharlottenburg odernur Berlin
Internet:EinNetzvonNetzen Vertrauenimplizit Routing(weiterleitenvonDaten)kannnichtverifiziertwerden. Dynamischesverhalten. FalscheRoutingInformationkanneingeschleustwerden(siehe folgendeseiten). Erkennungsehrschwer.
EinRoutingAngriff Wien Berlin Wien Hietzing Wien Hietzing Berlin Charlottenburg Berlin Charlottenburg
KombinierteAttacken Attackentretenselteneinzelnauf Kombination zurablenkung/vortäuschung/verwirrung zurübernahmevonsystemenalsangriffsplattform zumattackierenmehreresystemarten EinsatzkombinierterSchadsoftware
Fragen? asweknow,thereareknownknowns.there arethingsweknowweknow.wealsoknow thereareknownunknowns.thatistosaywe knowtherearesomethingswedonotknow. Buttherearealsounknownunknowns the oneswedon'tknowwedon'tknow. DonaldRumsfeld,12.2.2002,Departmentof Defensenewsbriefing
Überuns The DeepSec IDSC is an annual European two day in depth conferenceoncomputer,network,andapplicationsecurity.weaimto bring together the leading security experts from all over the world. DeepSec IDSC is anon product, non vendor biased conference event. Intended target audience: Security Officers, Security Professionals and Product Vendors, IT Decision Makers, Policy Makers, Security /Network /Firewall Admins, Hackers and Software Developers. Web:https://deepsec.net/ Blog:http://blog.deepsec.net/