31.07.2013 Wirtschaft und Sicherheit
Über Mich Direktor des Magdeburger Instituts für Sicherheitsforschung Forschungsprogramme zur Unternehmenssicherheit Berater für Unternehmenssicherheit Organisationssicherheit, Social Engineering, Security Awareness Geek, Nerd, Hacker seit knapp 20 Jahren Herausgeber des Magdeburger Journals zur Sicherheitsforschung www.sicherheitsforschung-magdeburg.de
Informationstechnologie und Sicherheitspolitik Sambleben, J. und Schumacher, S. (Herausgeber) http:/// buecher.html
Inhaltsverzeichnis 1 Einführung 2 Angreifer, Angriffsziele, Angriffsvektoren 3 Gegenmaßnahmen 4 Passwörter 5 Fazit
Einführungsvideo www.lt1.at/tv-berichte/alle/9218/0/50
Wirtschaftsspionage NASA-Hack 1986/87: u.a. franz. Rüstungskonzern Thomson (heute Thales) gehackt September 1991: Julian Assange hackt Master-Terminal Nortel Australien»Chinesische«Hacker sollen Tech-Konzern Nortel ausgeplündert haben (SpOn) Hacker hatten von 2000 an Manager-Passwörter und damit vollen Zugriff Nortel wird gegenwärtig liquidiert
Angriffe auf Unternehmen 07.02.2000: Yahoo!, Buy.com, ebay, Amazon, E-Trade, MSN.com, Dell, ZDNet und CNN per ddos lahmgelegt FBI schätzt Schaden auf 1,7 Mrd US-$ Angriffe auf Root-DNS-Server schlagen fehl FBI und RCMP identifizieren»mafiaboy«als Urheber der Attacken einen 15-jährigen High-School-Schüler Operation Payback: ddos-attacke auf Visa, Mastercard und Paypal in den Niederlande, 16-jähriger Schüler festgenommen
Angriffe auf Unternehmen 07.02.2000: Yahoo!, Buy.com, ebay, Amazon, E-Trade, MSN.com, Dell, ZDNet und CNN per ddos lahmgelegt FBI schätzt Schaden auf 1,7 Mrd US-$ Angriffe auf Root-DNS-Server schlagen fehl FBI und RCMP identifizieren»mafiaboy«als Urheber der Attacken einen 15-jährigen High-School-Schüler Operation Payback: ddos-attacke auf Visa, Mastercard und Paypal in den Niederlande, 16-jähriger Schüler festgenommen
Inhaltsverzeichnis 1 Einführung 2 Angreifer, Angriffsziele, Angriffsvektoren 3 Gegenmaßnahmen 4 Passwörter 5 Fazit
Angreifer und Angriffsziele Skript Kiddies: Just for Fun/Because I can politisierste Gruppen (Anonymous, PETA, etc.): Aufmerksamkeit, politische Ziele Geheimdienste (Frankreich, USA, GB, China, Russland): Wirtschaftsspionage oder Sabotage (Stuxnet) Umfassende Auswertung von Kommunikationsdaten durch Echelon/PRISM/Tempora Konkurrenten: Wirtschaftskriminalität Organisierte Kriminalität: Erpressung, Datendiebstahl eigene (Ex-)Mitarbeiter: Rache, Erpressung, Gier
Datensicherheit und Gefährdungen Wirtschaftskriminalität und Industriespionage kann jeden treffen! Gezielte Angriffe gegen Industrie und Wissenschaft durch ausländische Geheimdienste u.a. aus USA, Frankreich, China, Russland, Iran, Weißrussland... Gezielte Angriffe durch Konkurrenten, auch gegen KMU! Ungezielte Angriffe durch organisierte Cyberkriminalität u.a. aus Russland gut ausgebildete Mafia-Strukturen in RU, u.a. aus Informatikern und ehemaligen KGB/FSB-Offizieren
Datensicherheit und Gefährdungen Wirtschaftskriminalität und Industriespionage kann jeden treffen! Gezielte Angriffe gegen Industrie und Wissenschaft durch ausländische Geheimdienste u.a. aus USA, Frankreich, China, Russland, Iran, Weißrussland... Gezielte Angriffe durch Konkurrenten, auch gegen KMU! Ungezielte Angriffe durch organisierte Cyberkriminalität u.a. aus Russland gut ausgebildete Mafia-Strukturen in RU, u.a. aus Informatikern und ehemaligen KGB/FSB-Offizieren
Angriffsmöglichkeiten distributed Denial of Service (ddos) ein Angreifer schickt soviele Anfragen, dass der Server überlastet wird der Angreifer nutzt mehrere Rechner, sog. Botnetz erlangt durch Trojaner Kontrolle über»zombies«, idr Microsoft Windows Zombies sind normale Privatrechner, keine Kombatanten oder Söldner können jeden Rechner lahmlegen, Verteidigung sehr schwer Botnetze können gemietet werden Bsp: Stacheldraht (2000), Estland (2007), Georgien (2008) Erpressung als Modell
Angriffsmöglichkeiten einige Beispiele Schwarzmarkt für Sicherheitslücken und Schadsoftware existiert Phishing, Trojaner u.ä. können vorgefertigt beschafft werden Untergrund-Chaträume im IRC oder in diversen Untergrund-Foren einfache Standardangriffe sind leicht und recht billig durchzuführen! Wer sollte mich schon angreifen, bei mir gibt es doch nichts zu holen! Falsch! Ein»Schleppnetz«ist billig
Angriffsmöglichkeiten einige Beispiele Schwarzmarkt für Sicherheitslücken und Schadsoftware existiert Phishing, Trojaner u.ä. können vorgefertigt beschafft werden Untergrund-Chaträume im IRC oder in diversen Untergrund-Foren einfache Standardangriffe sind leicht und recht billig durchzuführen! Wer sollte mich schon angreifen, bei mir gibt es doch nichts zu holen! Falsch! Ein»Schleppnetz«ist billig
Angriffswerkzeuge automatisierte Scanner durchsuchen große Teile des Internets scannen nach Betriebssystemversionen mit bekannten Sicherheitslücken brechen dort automatisiert ein und trojanisieren Zombies Botnetze BredoLab: 30.000.000; Mariposa 13.000.00; Conficker 9.000.000 Zombies; Rustock 1.700.000 Zombies und 44 Milliarden Spammails/d
Angriffsvektoren keine Passwörter, schwache Passwörter, Standard-Passwörter (Handout) bekannte Sicherheitslücken in Betriebssystemen (Updates) Sicherheitslücken in Anwendungen: PDF-Exploits im Acrobat Reader E-Mail mit angehängter PDF (Auftragsanfrage?), wird im Acrobat Reader geöffnet Rechner geownet Drive-By-Download im Browser: präparierte Webseite wird aufgerufen, im Hintergrund der Browser exploited und das Betriebssystem geownet Zero-Day-Exploit: Ausnutzung einer Sicherheitslücke am 0. Tag keine Updates verfügbar, siehe Stuxnet
Stuxnet greift Industristeuerungsanlagen (SCADA) an u.a. Siemens SIMATIC Step 7 für SPS Automatisierungstechnik als Angriffsziel Stromversorgung? Smartmeter? Smartgrid?
Social Engineering Jawoll, Herr Hauptmann... Ausnutzen menschlicher Verhaltensweisen Warum soll ich versuchen einen Rechner zu cracken, wenn ich doch den Benutzer nur nach dem Passwort fragen muss? Profiling (aus Facebook & Co., Namen von Freunden, Lieblingsmusik, Urlaub in...) Spear Phishing
Inhaltsverzeichnis 1 Einführung 2 Angreifer, Angriffsziele, Angriffsvektoren 3 Gegenmaßnahmen 4 Passwörter 5 Fazit
Metasploit-Demo
Gegenmaßnahmen Datenhygiene: auch unscheinbare Informationen können zusammengesetzt werden Multi-Faktor-Authentifikation: mehrere Sicherheitsmaßnahmen in der Tiefe Anrufe und E-Mails gegenchecken nicht alles glauben :-) Updates, Updates, Updates Sicherheit im Unternehmen prüfen (Penetration Test, Externe Validierung)
Gegenmaßnahmen Kryptographie einsetzen (Truecrypt, GnuPG) Backups machen Dateisystemintegrität prüfen
Inhaltsverzeichnis 1 Einführung 2 Angreifer, Angriffsziele, Angriffsvektoren 3 Gegenmaßnahmen 4 Passwörter 5 Fazit
Passwörter werden gehasht gespeichert Hash := mathematische Einwegfunktion Passwort Hash: einfach Hash Passwort: schwer
Wörterbuchangriffe Kombinatorik fröhliches Passwortraten: alle Kombinationen probieren Anzahl Kombinationen = verfuegbare Buchstaben P asswortlaenge 26 Buchstaben (a-z), 5 Stellen: 26 5 = 11.881.376 99 Buchstaben, 10 Stellen: 99 10 = 90.438.207.500.880.449.001 Annahme: 5 Passwörter pro Sekunde 432000 pro Tag 26 5 432.000 = 27, 5 Tage (99 10 /432.000)/365000 570 Millionen Jahrtausende
Wörterbuchangriffe Kombinatorik fröhliches Passwortraten: alle Kombinationen probieren Anzahl Kombinationen = verfuegbare Buchstaben P asswortlaenge 26 Buchstaben (a-z), 5 Stellen: 26 5 = 11.881.376 99 Buchstaben, 10 Stellen: 99 10 = 90.438.207.500.880.449.001 Annahme: 5 Passwörter pro Sekunde 432000 pro Tag 26 5 432.000 = 27, 5 Tage (99 10 /432.000)/365000 570 Millionen Jahrtausende Annahme: 5.000 Passwörter pro Sekunde 432.000.000 pro Tag 26 5 432.000.000 40 Minuten (99 10 /432.000.55)/365000 570 Tausend Jahrtausende
Wörterbuchangriffe Kombinatorik fröhliches Passwortraten: alle Kombinationen probieren Anzahl Kombinationen = verfuegbare Buchstaben P asswortlaenge 26 Buchstaben (a-z), 5 Stellen: 26 5 = 11.881.376 99 Buchstaben, 10 Stellen: 99 10 = 90.438.207.500.880.449.001 Annahme: 5 Passwörter pro Sekunde 432000 pro Tag 26 5 432.000 = 27, 5 Tage (99 10 /432.000)/365000 570 Millionen Jahrtausende Annahme: 5.000 Passwörter pro Sekunde 432.000.000 pro Tag 26 5 432.000.000 40 Minuten (99 10 /432.000.55)/365000 570 Tausend Jahrtausende
Stratfor-Demo
Verwenden Sie kein Passwort das erraten werden kann! Verwenden Sie kein Passwort das in einem Wörterbuch steht! Verwenden Sie ein langes Passwort mit Groß- und Kleinschreibung, Zahlen und Sonderzeichen! Das Passwort muss geheim bleiben! Verwenden Sie nicht überall das selbe Passwort! Wechseln Sie Ihre Passwörter!
Passwörter von Hand generieren Einen Satz ausdenken und die Initialen zusammenziehen Wem der große Wurf gelungen, Eines Freundes Freund zu sein. - Friedrich Schiller, 1805
Passwörter von Hand generieren Einen Satz ausdenken und die Initialen zusammenziehen Wem der große Wurf gelungen, Eines Freundes Freund zu sein. - Friedrich Schiller, 1805 W d g W g, E F F z s. - F S, 1 8 0 5
Passwörter von Hand generieren Einen Satz ausdenken und die Initialen zusammenziehen Wem der große Wurf gelungen, Eines Freundes Freund zu sein. - Friedrich Schiller, 1805 W d g W g, E F F z s. - F S, 1 8 0 5 Wörter und Zahlen mischen: R1i2n3g4p5a6r7a8b9e10l 2L2e0s1s1i7n2g9 GmoitatrhhoplEd
Passwörter von Hand generieren Einen Satz ausdenken und die Initialen zusammenziehen Wem der große Wurf gelungen, Eines Freundes Freund zu sein. - Friedrich Schiller, 1805 W d g W g, E F F z s. - F S, 1 8 0 5 Wörter und Zahlen mischen: R1i2n3g4p5a6r7a8b9e10l 2L2e0s1s1i7n2g9 GmoitatrhhoplEd Leetspeak: D03s Any1 in - 3r3 5pE4 < 31337?
Passwörter von Hand generieren Einen Satz ausdenken und die Initialen zusammenziehen Wem der große Wurf gelungen, Eines Freundes Freund zu sein. - Friedrich Schiller, 1805 W d g W g, E F F z s. - F S, 1 8 0 5 Wörter und Zahlen mischen: R1i2n3g4p5a6r7a8b9e10l 2L2e0s1s1i7n2g9 GmoitatrhhoplEd Leetspeak: D03s Any1 in - 3r3 5pE4 < 31337? Dialekte: Vocheljesank in Machteburch; Motschekiebschen
Passwörter von Hand generieren Einen Satz ausdenken und die Initialen zusammenziehen Wem der große Wurf gelungen, Eines Freundes Freund zu sein. - Friedrich Schiller, 1805 W d g W g, E F F z s. - F S, 1 8 0 5 Wörter und Zahlen mischen: R1i2n3g4p5a6r7a8b9e10l 2L2e0s1s1i7n2g9 GmoitatrhhoplEd Leetspeak: D03s Any1 in - 3r3 5pE4 < 31337? Dialekte: Vocheljesank in Machteburch; Motschekiebschen
Inhaltsverzeichnis 1 Einführung 2 Angreifer, Angriffsziele, Angriffsvektoren 3 Gegenmaßnahmen 4 Passwörter 5 Fazit
Fazit Der Mensch spielt die wichtigste Rolle in der Unternehmenssicherheit! Menschen treffen Entscheidungen, nicht Computer! Schulungen notwendig, Ziel ist Handlungskompetenz Sensibilisierungen, Weiterbildungen, Technische Fachkompetenz, Wissensmanagement, Personal- und Organisationsentwicklung... Security-Awareness-Kampagnen Sicherheitskurse (auch VHS)
Fazit Die Frage ist nicht ob ich ein System hacken kann sondern welche Ressourcen ich dafür benötige
Forschungsprogramme des MIS Psychologie der Sicherheit Social Engineering Security Awareness, Sicherheit in Organisationen Didaktik der Sicherheit Didaktik der Kryptographie Lernfelder: Fachinformatiker IT-Sicherheit
sicherheitsforschung-magdeburg.de stefan.schumacher@sicherheitsforschung-magdeburg.de youtube.de/sicherheitsforschung http://www.sicherheitsforschungmagdeburg.de/publikationen/journal.html