Sicherheit wird messbar Lösungsansätze und Methoden Email Case 15. September 2009, Hotel St. Gotthard, Zürich
ActiveSync Div. Email Landschaft PeerToPeer -USB -Bluetooth Smart phone Netzwerk - Ethernet - WLAN Archiv Backup Angriff PC POP, IMAP, HTTP, RPC Server Content Scanner Mobile Angriff Smart phone POP, IMAP, HTTP, RPC Server Malware Scanner Black berry Synch Blackberry Server 2
Angriffe DMA Zugriff über FireWire Bitlocker mit PIN / ohne PIN Man-in-the-middle-Angriff Auswirkung fehlender Serverauthentisierung 3
Systemzustände Windows DMA Zugriff über FireWire System Zustand Aktiv Standby Suspend to RAM OS Zustand Windows Unlocked Windows Locked Windows Authentisierung (Benutzername / Passwort oder SmartCard) Ruhezustand / Hibernate Suspend to disk Ausgeschaltet Windows Kernel BIOS Preboot Authentisierung (TPM+PIN) 4
schützt schützt schützt Sicheres Endgerät durch Harddisk-Verschlüsselung z.b. Notebook mit Bitlocker DMA Zugriff über FireWire Windows Vista (Enterprise und Ultimate Edition) PIN (optional) Trusted platform module Client als Alternative zum PIN Schutz für das Device, welches das File-System enthält. TPM 1.2 Storage Root Key USB Device Optionaler PIN (preboot authentication) Hash BIOS Hash MBR Hash Bootload. Volume Master Key USB Device Alternativ zu TPM Recovery-Passwort (bzw. USB Device) für Notfall-Zugang zum Device. Full volume encryption key (FVEK) File System Volume Master Key FVEK File System schwarz markierte Komponenten sind nicht chiffriert. Boot loader Master boot record 5
DMA Zugriff über FireWire Veröffentlichte Details Die OHCI-Spezifikation (Open Host Controller Interface) beinhaltet eine Betriebsart für FireWire-Controller, in welcher FireWire-Geräte den Hauptspeicher eines Rechners auslesen oder überschreiben können. Zumindest in der voreingestellten Konfiguration sind unter anderem Linux, FreeBSD und Windows anfällig. Angriff wurde 2006 an einer Security Konferenz in Sydney von Adam Boileau zum ersten mal gezeigt. Nachdem Microsoft keine Gegenmassnahmen implementiert hat, veröffentlichte er seine Tools im März 2008: pythonraw1394: Python bindings for libraw1394 Winlockpwn: Python Skript um Windows Authentisierung auszuschalten (XP SP2, XP SP3, Vista SP1) bioskbsnarf: BIOS Keyboard Buffer via FireWire auslesen 6
DEMO DMA Zugriff über FireWire Linux Python Skript: Winlockpwn Windows XP (SP2, SP3), Vista (SP1, SP2*), Windows 7* FireWire I/O libraw1394 FireWire I/O RAM * Konzeptionell möglich. Code nicht öffentlich verfügbar. 7
Systemzustände Windows DMA Zugriff über FireWire Deaktivierung der Windows Authentisierung durch direkten Speicherzugriff (DMA) System Zustand Aktiv Standby Suspend to RAM OS Zustand Windows Unlocked Windows Locked PC-Card (FireWire) PCI-Bus (FireWire) FireWire Interface Windows Authentisierung (Benutzername / Passwort) Ruhezustand / Hibernate Suspend to disk Ausgeschaltet Windows Kernel BIOS Preboot Authentisierung (TPM+PIN) 8
DMA Zugriff über FireWire Gegenmassnahmen DMA Zugriff verhindern Hardware ohne: PC-Card, ext. PCI-Bus, FireWire I/O Deaktivierung: PC-Card, ext. PCI-Bus, FireWire I/O FireWire-Treiber löschen FireWire Blocker (Software)* Preboot-Authentisierung aktivieren Bitlocker PIN Policy Standby-Modus deaktivieren *Quelle: http://www.securityresearch.at/publications/windows_firewire_blocker.pdf 9
DMA Zugriff über FireWire Gegenmassnahmen Messen / Überwachen DMA Zugriff verhindern FireWire-Treiber deaktivieren Laden von Treiber durch Benutzer verhindern Überwachen der geladenen Treiber FireWire-Controller deaktivieren (SW) Integrität und Betrieb der SW monitoren Preboot-Authentisierung aktivieren Bitlocker PIN Security Disc Chiffrierung Sec. Monitoring or Disc Chiffrierung Configuration Sec. Monitoring Überwachen des Bitlocker Deployments und der Konfiguration Policy: Standby-Modus deaktivieren Policy überwachen 10
Übertragungs-Sicherheit: Verschlüsselung / Server Authentisierung TLS Email Sicherung mittels TLS Internes Netzwerk Firma-a.com Internet Internes Netzwerk Firma-b.com Server GW TLS GW Server Client DNS Client 11
Angreifer Übertragungs-Sicherheit: Verschlüsselung / Server Authentisierung Angriff: Man-in-the-middle Internes Netzwerk Firma-a.com Internet Angriffsmöglichkeiten: DNS Spoofing Routing/NAT ARP-Spoofing Internes Netzwerk Firma-b.com TLS Server GW GW TLS TLS Server Client DNS Client 12
Angreifer Übertragungs-Sicherheit: Verschlüsselung / Server Authentisierung TLS Demo Setup Windows Notebook Hotel St. Gotthard Internet Internes Netzwerk cnlab.ch cnlab.com Server (TLS) (TLS) GW Server Client Client 13
Übertragungs-Sicherheit: Verschlüsselung / Server Authentisierung Demo: Man-in-the-middle Internet TLS Firma xy: -Server -Client Angreifer: Sniffer IP-Tables -Server -Client cnlab ag: -Server für die Domains cnlab.ch und cnlab.com 14
Man-in-the-middle Gegenmassnahmen TLS Email-Server Firma-A.com CA- Zertifikat (TLS) TLS CONNECT Server Zertifikat Email-Server Firma-B.com Server- Zertifikat Zertifikatsprüfung Email Zertifikatsprüfung: Name Aussteller-Signatur (trusted CA) Gültigkeit ev. CRL 15
TLS Gegenmassnahmen Messen / Überwachen Server-Authentisierung Verifikation der aktivierten TLS-Verschlüsselung und Server-Authentisierung Überwachen der Server-Konfiguration Funktions-Überwachung Security Echtzeit-Analyse Server Logfile Chiffrierung Authentisierung Config überwachen Zertifikat prüfen 16
Danke Thomas Lüthi thomas.luethi@cnlab.ch +41 55 214 33 41 Christian Birchler christian.birchler@cnlab.ch +41 55 214 33 40 15. September 2009, Zürich Präsentation im Internet unter http://www.cnlab.ch/en/company/publications.html