Un(der)cover. Netzwerk Recherche 09./10. Juli 2010, NDR Hamburg

Ähnliche Dokumente
Sicherheit und Industriespionage Von technischen und menschl

Sicherheit und Industriespionage. Von technischen und menschlichen Schwächen

Sicherheit und Industriespionage. Von technischen und menschlichen Schwächen

Was Dein ist, ist Mein

IT-Security aus dem Nähkästchen oder Das kann mir nicht passieren...

On the New Threats of Social Engineering Exploiting Social Networks

Eine Million Kundendaten gestohlen - Aktuelle Fälle von Datendiebstahl und wie sie grundsätzlich funktionieren

YOU ARE THE WEAKEST LINK A PEAK INTO MODERN DAY CYBER CRIME

IT-Security-Symposium 2019 IT- Security im Fokus

Theoretische und praktische Risiken der. Risiken von URL-Verkürzungsdiensten

lyondellbasell.com Sicherheit im Internet

Viren-Terror im Zeitalter von E-Health:

IT Security. Infos und Tipps von Sophos und Ihrem RZ-Team. Hochschule Amberg-Weiden

Moderne APT-Erkennung: Die Tricks der Angreifer

Your Home is My Castle. Angriff auf die Updates eines Heimrouters

HACKERSHOW DAS LIVE-HACKING-EVENT IST SICHER WIRKLICH SICHER???

Herzlich Willkommen zur Live Hacking Demonstration. Ralf Wildvang und Thomas Pusch

Kombinierte Attacke auf Mobile Geräte

Der Handytrojaner Flexispy im Praxistest

Daniel Schalberger, SySS GmbH 1. Typische Schwachstellen im Online-Handel, Prävention. Dipl. Inform. Daniel Schalberger, Syss GmbH

Daten löschen, aber richtig Über die Besonderheiten von SSDs

Überraschende Angriffsvektoren: Weit verbreitet, oft übersehen

SOCIAL ENGINEERING. Ing. Johannes Mariel, CSO Der IT-Dienstleister des Bundes. Öffentlich

Überblick über die Angriffsszenarien im Online-Banking

Alles wird gut? Über Menschen, Angreifer und die Zukunft

Sicherheit und Industriespionage: Ein Realitätsabgleich

Sicherheit und Industriespionage: Ein Realitätsabgleich

Informationsveranstaltung "Digitalisierung im KMU" Herzlich willkommen. Zusammen erfolgreich.

Datenschutztag. Eine Präsentation von Mateusz Gwara, Philipp Leder, Paul Panser und Patrick Wilke

Sicherung der logistischen Abläufe bei der HHLA durch Schutz der IT gegen aktuelle Sicherheitsbedrohungen

Beratung.Transfer.Umsetzung. Der Spion aus dem Cyberspace 2. Symposium Sicherheit im Unternehmen

» denn sie wissen nicht, was sie tun«

Sicherheitslücken im Unternehmen. Defizite in der Informationsbeschaffung. Wolfgang Müller

Surfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes Surf-Vergnügen

Penetrationtests: Praxisnahe IT-Sicherheit

Über Möglichkeiten und Risiken im Netz der Netze und ein Einblick in die Arbeitswelt bei Google

IT-Security in Theorie und Praxis

Gefangen im Netz der Netze

6207 IT-Security CURRICULUM. BZR Das NEUE Zentrum für Ihre PERSÖNLICHE Weiterbildung

Rotary SH. Paul Schöbi, Cnlab AG

Jedes Unternehmen hat sie - keiner mag sie!

Datensicherheit und Co. IHK Potsdam,

Soziale Netzwerke. Basisschutz leicht gemacht. Tipps zur sicheren Nutzung von Facebook, Xing & Co

Web Exploit Toolkits - Moderne Infektionsroutinen -

Internet-Sicherheit Sicherer Umgang mit dem Internet


Application Note. ipad. ipad Remote Desktop & WEB myhomecontrol. myhomecontrol Application Note: ipad Remote Desktop & WEB

Strukturierte Verbesserung der IT-Sicherheit durch den Aufbau eines ISMS nach ISO 27001

IT-Security Herausforderung für KMU s

Das kleine Web 2.0 ABC

Cyber War die Bedrohung der Zukunft Lehrerinformation

Social Media im Bewerbungsprozess

Ping of Death Spoofing Phisihing. B. Krbecek (DCP) A. Schempp (DCS, DCP, DCF) T. Schwarz

SOCIAL ENGINEERING AUDIT

SCHADOWSKI.com Professioneller Datenschutz.

Cyber Telekom Thomas Tschersich, SVP Group Cyber- and Datasecurity

Soziale Medien für Gastgeber. #(Un)Sinn

Sicher im Internet. PC-Treff-BB. Peter Rudolph

IT-Security Sicher im Internet bewegen

Emulationsbasiertes Entpacken von laufzeitgepackten Schadprogrammen und darüber hinaus

Live Hacking. Einblicke in die Methoden der Hacker und Was Sie zum Schutz Ihres Unternehmens tun können.

Social Media Eine Einführung. Rita Löschke, SinnWert Marketing GmbH Einführung in Social Media

VORBERICHT EXPERTENTELEFON "Sicher im Internet" am

First Steps. willkommen bei der pressebox

ProSecure Sales Training 4/6. Vielseitige Verteidigung des SMB

APTs in der Praxis. 5. Mai 2015 Ulrich Bayer, SBA Research

Leitfaden zur IT-Sicherheit für Anwender. PRESS Professional Learning

Gefahren im Internet -

eco Verband der deutschen Internetwirtschaft e.v.

Chess League Manager Zugangsdaten vergessen Schachverband Schleswig-Holstein - Stand vom

Working Out Loud! Circle Leitfaden!

Web-Sicherheit. Wo lauern Gefahren und wie schütze ich meine Website vor unberechtigtem Zugriff? Ihre Referenten:

mobile Geschäftsanwendungen

Häufigste Security-Lücken

Sicherheit beim Web-Auftritt

Wie Sie sich gegen Phishing und andere gefährliche Nachrichten gezielt schützen können Prof. Dr. Melanie Volkamer Dr.

Ein Recht auf Unvernunft?

Cyber-Sicherheit in der mobilen Kommunikation. Arne Schönbohm, Präsident Cyber-Sicherheits-Tag der Allianz für Cyber-Sicherheit

Cybercrime in Social Media Wo lauern die Gefahren, wer schützt mich?

Definitionen Schwachstellen und Bedrohungen von IT-Systemen Sicherheitsmanagement Katastrophenmanagement Trends und Entwicklungen bei IT-Bedrohungen

Sicherheit Wie sicher sind Schulnetzwerke? Was Lehrer und Schüler (oft) nicht wissen

Bei den folgenden 14 Fragen ist immer nur eine Antwort richtig. Bitte den jeweiligen Buchstaben ankreuzen.

Packetsniffer. Jens Zentgraf. 26. Juli Zentgraf Packetsniffer 26. Juli / 21

Anleitung Registrierung CH-Login

IT Security DOs und DON Ts. was tun was meiden worauf achten was melden sicher bleiben

IT-Sicherheit und Kryptographie in der Praxis. Fehler aus dem Alltag

First Steps. willkommen bei der pressebox

Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann

Wie Sie sich gegen Phishing und andere gefährliche Nachrichten schützen können

Jeder zweite Deutsche wird Opfer von Cyberkriminalität: 5 Tipps Pressemitteilung

First Steps. willkommen bei der lifepr

Haben wir ein Problem, Mission Control?

Schöne neue Online-Welt wo ist Ihre persönliche Grenze? Dr. Cora Burger

Capture The Flag-Team

Reverse Cloud. Michael Weisgerber. Channel Systems Engineer DACH September 2013

Bei den folgenden 14 Fragen ist immer nur eine Antwort richtig. Bitte den jeweiligen Buchstaben ankreuzen.

Transkript:

jens.liebchen@redteam-pentesting.de patrick.hof@redteam-pentesting.de http://www.redteam-pentesting.de Netzwerk Recherche 09./10. Juli 2010, NDR Hamburg

RedTeam Pentesting, Daten & Fakten Über den Vortrag RedTeam Pentesting, Daten & Fakten Gegründet 2004 in Aachen Spezialisierung ausschließlich auf Penetrationstests Weltweite Durchführung von Penetrationstests Forschung im Bereich der IT-Sicherheit

RedTeam Pentesting, Daten & Fakten Über den Vortrag Über den Vortrag Von der einfachen Online-Recherche hin zur gezielten Generierung neuer Informationsflüsse Anregung zum selber denken und kreativ sein Seien Sie interaktiv Workshop

RedTeam Pentesting, Daten & Fakten Über den Vortrag Rechtliches Recherche Ausspähung Zivilrechtliche Konsequenzen Strafrechtliche Konsequenzen 202a Ausspähen von Daten 202b Abfangen von Daten 202c Vorbereiten des Ausspähens und Abfangens von Daten

RedTeam Pentesting, Daten & Fakten Über den Vortrag Zweigeteilte Sichtweise Journalist Gegenseite Journalist: Will Sachverhalte aufdecken, Informationen beschaffen Gegenseite: Will Informationen unterschieben, manipulieren, ausspähen Teilweise gleiche Techniken Gegenseite hat evtl. weniger ethische Bedenken

Definition Beispiele Hintergründe Reverse - Definition Social engineering uses influence and persuasion to deceive people by convincing them that the social engineer is someone he is not, or by manipulation. (Kevin D. Mitnick)

Einleitung Definition Beispiele Hintergründe Reverse

Einleitung Definition Beispiele Hintergründe Reverse

Definition Beispiele Hintergründe Reverse Faktor Mensch Warum sind -Attacken erfolgreich? sensitive Informationen oft nicht intuitiv als solche erkennbar spontane Einschätzung von Risiken schwierig Stress (evtl. gezielt aufgebaut) (anerzogene) Hilfsbereitschaft Macht der Gewohnheit Egoismus / Egozentrik bei jedem vorhanden

Definition Beispiele Hintergründe Reverse Spezialfall: Reverse : Der Angreifer kontaktiert das Opfer Reverse : Das Opfer kontaktiert freiwillig den Angreifer

Twitter: Exkursion zum Fail Whale Statusmeldungen Schnelligkeit Gefälschte Accounts URL Shortener

Statusmeldungen Schnelligkeit Gefälschte Accounts URL Shortener Twittermeldungen ca. 190 Mio. Besucher auf twitter.com am Tag 1 Es gibt nichts, was nicht getwittert wird Viele kleine Informationsschnipsel, welche sich zu einem Gesamtbild zusammensetzen und/oder als Hintergrundinformationen nutzen lassen 1 http://techcrunch.com/2010/06/08/twitter-190-million-users/

Twitter ist schneller: Kobil-Hack Statusmeldungen Schnelligkeit Gefälschte Accounts URL Shortener http://colibri-dvb.info

Twitter ist schneller: Kobil-Hack Statusmeldungen Schnelligkeit Gefälschte Accounts URL Shortener

Gefälschte Accounts Einleitung Statusmeldungen Schnelligkeit Gefälschte Accounts URL Shortener

URL Shortener Einleitung Statusmeldungen Schnelligkeit Gefälschte Accounts URL Shortener

Statusmeldungen Schnelligkeit Gefälschte Accounts URL Shortener Risiken und Möglichkeiten Risiken: Es ist unklar, was sich hinter den Links verbirgt Malware, illegale Inhalte, Angriffe auf Dritte... Menschen sind neugierig und klicken auf fast alles Möglichkeiten: Erstellen von Statistiken z.b. für Recherche

Mietwagen: Navigationsgeräte Mietwagen Hotels

Mietwagen: Telefone Einleitung Mietwagen Hotels

Mietwagen: Telefone Einleitung Mietwagen Hotels

Mietwagen: Telefone Einleitung Mietwagen Hotels

Hotel-WLAN Einleitung Mietwagen Hotels

Telefone Einleitung Mietwagen Hotels

Mietwagen Hotels Manchmal geht es noch einfacher...

Mietwagen Hotels Manchmal geht es noch einfacher...

Mietwagen Hotels : Man hinterlässt überall Nutzen Sie die anderer für Ihre Recherche Benutzung öffentlicher / verteilter Ressourcen (Hotels, Mietwagen etc.) birgt Risiken und kann ungünstig für Vertrauliches sein Achten Sie darauf, welche Sie hinterlassen (Quellenschutz)

Web-Bugging Streuung von Informationen Angriffe auf Daten Web-Bugging Einfügen von (versteckten) Bildern in Nachrichten Problem: E-Mail-Programme laden heute meist keine externen Bilder mehr nach Stattdessen: URL Shortener-Dienste mit Zugriffsstatistiken IP-Adressen, Zugriffszeiten, Referrer... Aufdecken von Beziehungen zwischen Quellen Link an eine einzige Quelle weitergeben greift noch jemand Drittes darauf zu?

Web-Bugging Streuung von Informationen Angriffe auf Daten Gezielte Streuung von Informationen Streuung von Informationen erzeugt neue Informationen Eigene Webseite, Foren, Social Networks USB-Sticks, CDs, Notizen liegen lassen Gezielte Anfragen Vorgeben, mehr (oder auch weniger) zu wissen, als man eigentlich weiß

Web-Bugging Streuung von Informationen Angriffe auf Daten Wie kommt ein Angreifer an unsere Daten? Sicherheit muss ein Gesamtkonzept sein, denn ein Angreifer sucht sich die schwächste Stelle Im Folgenden einige Beispiele...

Web-Bugging Streuung von Informationen Angriffe auf Daten Emails und andere Accounts... Passwörter werden vergessen Geheime Fragen Wie ist der Vorname ihrer Oma? Wie heißt ihr Haustier? Was ist ihre Lieblingsfarbe? Sicherheitstechnisch katastrophal, wer die Antwort kennt, hat Zugriff auf den Account

Emails und andere Accounts... Web-Bugging Streuung von Informationen Angriffe auf Daten Where did you meet your spouse?

Emails und andere Accounts... Web-Bugging Streuung von Informationen Angriffe auf Daten

Web-Bugging Streuung von Informationen Angriffe auf Daten Mobile Telefone... Ankommende Telefongespräche abfangen Onlinebanking! (mtan) Was hindert einen Angreifer daran, eine fremde Telefonnummer zu portieren?

Web-Bugging Streuung von Informationen Angriffe auf Daten Mobile Telefone... Ankommende Telefongespräche abfangen Onlinebanking! (mtan) Was hindert einen Angreifer daran, eine fremde Telefonnummer zu portieren?

Mobile Telefone... Einleitung Web-Bugging Streuung von Informationen Angriffe auf Daten

Web-Bugging Streuung von Informationen Angriffe auf Daten Amtliche Dokumente... Ausweise Geburtsurkunden epass auf fremden Namen aber mit den eigenen Fingerabdrücken?...

Was wäre wenn... Einleitung Was bedeutet? Was tun nach einer?... jemand Interesse an Ihren Daten hätte? Demo

Was bedeutet? Was bedeutet? Was tun nach einer? Der Rechner ist unter der vollständigen Kontrolle des Angreifers Der Angreifer kann... alles was Sie sehen vorgeben alles was Sie machen einsehen alle Daten auf dem Rechner einsehen und manipulieren Was im Hintergrund passiert, wissen Sie nicht

Was bedeutet? Was tun nach einer? Was tun nach einer? Was nicht hilft: Virenscanner Personal Firewalls Den Sohn des Nachbarn fragen, ob er das beheben kann Stattdessen: Rechner komplett neu installieren Genau überlegen, welche (Backup-) Daten auf das neue System übernommen werden

Fragen Linksammlung Der Übergang zwischen Recherche und Ausspähen ist fließend Scheinbare Anonymität des Netzes sowie die Einfachheit der Informationsbeschaffung / -generierung können dazu führen, dass Legalität und Ethik nicht bedacht werden Trotzdem: Nutzen Sie die Chancen!

Fragen? Einleitung Fragen Linksammlung Vielen Dank für Ihre Aufmerksamkeit Freie Diskussion

Fragen Linksammlung Linksammlung http://www.social-engineer.org http://www.tweetmeme.com http://www.tweepsearch.com http://www.tweetstats.com http://www.xefer.com/twitter http://apps.asterisq.com/mentionmap http://www.blippy.com http://www.paterva.com http://bit.ly http://zi.ma http://nvg8.it

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback