Roadshow Die Hacker kommen

Roadshow Die Hacker kommen Tatsachen Techniken Tipps Ralf Wildvang, Thomas Pusch, Peter Becker www.bakoev.bund.de/sicher-gewinnt

Vorstellung Ralf Wildvang Senior Berater ML Consulting Berater und Trainer in der Kampagne Sicher gewinnt Trainer für IT und Informationssicherheit Ausbilder IT SiBöV Thomas Pusch Studium der Informatik Berater ML Consulting Berater und Trainer in der Kampagne Sicher gewinnt Trainer für technische Informationssicherheit Peter Becker MA Phil. Berater ML Consulting Berater und Trainer in der Kampagne Sicher gewinnt Trainer für IT und Informationssicherheit ML Consulting Leistungen Training Konzeption Trainingsorganisation Bildungsmedien Managed Training Services (MTS) ERP-Projekte Bildungskonzeption Change Management Bildungsmedien Prozessorientiertes Training Serviceanalyse & -qualifizierung Ganzheitlicher Ansatz Modulares Konzept Analyse und Bewertung Qualifizierungsprojekte Compliance & Informationssicherheit Individuelle Konzepte Bildungsmedien Sensibilisierung Qualifizierung IT Support Anwenderunterstützung First-,Second-,Third- Level-Support Rollout und Support www.bakoev.bund.de/sicher-gewinnt

Agenda E-Mails, Trojaner und Online-Banking Gefahren bei der Internetnutzung Mobilität mit Tücken Passwörter Angriffsziel Mensch www.bakoev.bund.de/sicher-gewinnt 3

www.bakoev.bund.de/sicher-gewinnt 4

Augsburger Allgemeine Zeitung, 21.01.2014 www.bakoev.bund.de/sicher-gewinnt Bild.de 08.04.2014

www.bakoev.bund.de/sicher-gewinnt

Tatsachen Faz.net, 16.02.2014 www.bakoev.bund.de/sicher-gewinnt 7

Der NSA-Skandal und das PRISM-Programm www.bakoev.bund.de/sicher-gewinnt 8

Anatomie eines Angriffs Der E-Mail-Angriff und Phishing Das Opfer erhält eine E-Mail mit gefährlichem Inhalt www.bakoev.bund.de/sicher-gewinnt 9

Gefährdungen der Informationssicherheit Aktuelle Phishing Mails werden immer besser: www.bakoev.bund.de/sicher-gewinnt

Tipps: E-Mail Vorsicht vor unbekannten Absendern Aufmerksam sein im Zweifel Rückruf Einsatz von digitalen Signaturen Vorsicht vor Anhängen insbesondere in E-Mails unbekannter Absender derzeit in Mode sind *.ZIP - Dateien Vorsicht vor HTML-E-Mails ermöglichen z. B. eine Verschleierung von Links www.bakoev.bund.de/sicher-gewinnt 11

Online-Banking praktisch und sicher? www.bakoev.bund.de/sicher-gewinnt

Tipps: Phishing / Pharming Für Hacker sind folgende Informationen interessant Seiten mit Zugangsdaten (z.b. Outlook Web Access) Informationen zum Identitätsdiebstahl (Email, Sociale Netzwerke) Seiten bei denen es uns ums Geld geht Vorteil beim Online-Banking: Nutzung sichererer TAN- Verfahren www.bakoev.bund.de/sicher-gewinnt 13

Tipps: Anti-Malwareprogramm Prüfung von Dateien vollautomatisch im Hintergrund Neue Dateien Neue Datenträger Bieten auch einen manuellen Scan von Dateien und Verzeichnissen Nutzung im Zweifelsfall bei einzelnen Dateien Eine vollständige Prüfung kann evtl. vor schlummernder Schadsoftware schützen Nicht ausgeführt aber zuvor nicht erkannt www.bakoev.bund.de/sicher-gewinnt 14

Tipps: Firewall Schützt vor direkten Angriffen von außen z.b. Bestandteil von DSL-Routern Personal Firewall Software auf dem PC selbst Windows 7: Windows Firewall bietet ausreichenden Schutz Zusätzlicher Schutz vor gesprächigen Programmen In fremden Netzwerken (WLANs) dringend empfohlen Windows Firewall vs. Drittanbieter www.bakoev.bund.de/sicher-gewinnt 15

Tipps: Reaktion auf Sicherheitsvorfälle (1) Ruhe bewahren und nicht unüberlegt handeln (2) Unverzüglich melden an dezentralen Sicherheitsverantwortlichen (3) Maßnahmen nur nach Aufforderung durchführen (4) Begleitumstände ungeschönt und offen melden (5) Erste persönliche Einschätzung über Schadensauswirkung abgeben (6) Keine Informationen unautorisiert an Dritte weitergeben (7) Weitere Maßnahmen gemäß Richtlinien zu Behandlung von Sicherheitsvorfällen beachten www.bakoev.bund.de/sicher-gewinnt 16

Gefahren bei der Internetnutzung www.bakoev.bund.de/sicher-gewinnt

Tatsachen Deutschland ist Europameister bei der Zahl der Online-Verbrechen Deutschland ist Europameister bei der Zahl der Phishing-Angriffe Deutschland ist Vizemeister bei der Zahl der Web-basierten Angriffe Symantec Internet Security Threat Report 17 Deutschland ist Vizemeister bei der Zahl der infizierten Computer www.bakoev.bund.de/sicher-gewinnt 18

Tatsachen - Gefährliche Webseiten TOP-10 Symantec Internet Security Threat Report 17 19,8%: Blogs/Web-Kommunikation 15,6%: Persönliche Webseiten 10,0%: Unternehmens-Auftritte 7,7%: Shopping 6,9%: Aus- und Weiterbildung 6,9%: Technologie-Webseiten 3,8%: Unterhaltung (Musik, ) 3,8%: Auto 2,7%: Gesundheit 2,4%: Pornographie! www.bakoev.bund.de/sicher-gewinnt 19

Anatomie eines Angriffs Surfen im Internet Das Opfer im Internet www.bakoev.bund.de/sicher-gewinnt 20

Techniken: Drive-by-Download Drive-by Angriffe werden automatisiert gestartet durch den Aufruf der Seite, oder wenn der Mauszeiger über den entsprechenden Inhalt fährt Sie sind deshalb nur schwer abzuwehren www.bakoev.bund.de/sicher-gewinnt 21

Techniken: Webseiten-Manipulation Platzierung von gefährlichen Inhalten durch Dritte Links auf Angriffswebseiten Manipulierte Bilder Manipulierte Videos Manipulierte Dokumente (PDFs, Word, ) Möglich über Sicherheitslücken auf Webseiten Nutzer-generierter Inhalt (Web2.0) www.bakoev.bund.de/sicher-gewinnt 22

Techniken: Cross-site-scripting (XSS) http:// www.heise.de/ security/ meldung/heise- Leser-entdeckt- Sicherheitslueck en-auf-150- Webseiten-16208 44.html www.bakoev.bund.de/sicher-gewinnt 23

Tipps: Updates www.bakoev.bund.de/sicher-gewinnt

Tipps: Aktive Inhalte Nur auf vertrauenswürdigen Webseiten zulassen z.b. NoScript für Firefox leider aufwändig Deaktivieren falls nicht benötigt z.b. das kaum genutzte Java-Plugin Regelmäßige Aktualitäts-Prüfung der Erweiterungen Heise Browsercheck oder browsereigene Funktionen Manche Browser deaktivieren unsichere Erweiterungen www.bakoev.bund.de/sicher-gewinnt 25

Mobilität mit Tücken www.bakoev.bund.de/sicher-gewinnt

Tatsachen Quelle: Quelle: Penomen Institue, Computer Security Group, Gartner Group, High Bream Research, UK Home Office, Check Point Tatsachen 2008/2009 2009: Über 1 Million Computer gingen 2009 auf Flughäfen der ganzen Welt verloren oder wurden gestohlen. Mehr als 12.000 Laptops auf US-Flughäfen pro Woche als abhanden gekommen oder gestohlen gemeldet. Verlust in Londoner Taxis innerhalb von sechs Monaten: 55.000 Mobiltelefone, 5.000 Handhelds, 3.000 Notebooks und 900 USB Sticks. Über 53% aller reisenden Geschäftsleute geben an: Ihre Laptops enthalten vertrauliche Informationen. 65% dieser Reisenden geben zu, nicht alle Maßnahmen zu ergreifen, um diese Informationen zu schützen oder zu sichern. www.bakoev.bund.de/sicher-gewinnt 27

Tatsachen Quelle: http:// www.tage sspiegel. de/berlin/ brandenb urg/ rockerverwerten -datenvonspeersgeklaute m-laptop/ 1937542.h tml www.bakoev.bund.de/sicher-gewinnt 28

Und jetzt erstmal ins W-LAN www.bakoev.bund.de/sicher-gewinnt

www.bakoev.bund.de/sicher-gewinnt 30

www.bakoev.bund.de/sicher-gewinnt 31

www.bakoev.bund.de/sicher-gewinnt 32

Gefährliche USB-Geräte www.bakoev.bund.de/sicher-gewinnt 33

Gefährliche USB-Geräte www.bakoev.bund.de/sicher-gewinnt 34

Legale Schadsoftware? www.bakoev.bund.de/sicher-gewinnt

Und wie funktionierts? Installation Durch Dritte direkt auf dem Telefon Physischer Zugriff notwendig Verhalten wie Trojanische Pferde Verstecken sich nach der Installation erlauben das Abhören und Aufzeichnen von Gesprächen sowie das Auslesen von Daten (E-Mails, SMS, Dateien, ) Legal erhältliche Programme zur Überwachung Der legalen Nutzung sind enge Grenzen gesetzt www.bakoev.bund.de/sicher-gewinnt 36

Echte Schadsoftware Bisher: Flexispy und die Alternativen Müssen noch per Hand aufgespielt werden Angreiferkreis ist deshalb begrenzt Heute/Zukunft: Schadsoftware über das Internet Infizierte Apps in den App-Stores Bisher überwiegend betroffen: Android Klassische Angriffswege: Webseiten und E-Mails Bisher nur in Machbarkeitsstudien www.bakoev.bund.de/sicher-gewinnt 37

Tipps: Smartphones www.bakoev.bund.de/sicher-gewinnt 38

Tipps: Smartphones (1) Geräte nicht aus der Hand geben (2) Korrekter Umgang mit Apps Minimal-Prinzip: Je weniger Apps desto besser Keine Apps aus Fremdquellen Auf Zugriffs-Rechte achten (3) Geräte mit Passwort vor Zugriff schützen 4-stellige Zahlen-PINs sind nicht ausreichend (4) Schutzsoftware, falls verfügbar (5) Kein Jailbreak/Root www.bakoev.bund.de/sicher-gewinnt 39

Tipps: WLAN Fremde Hotspots nur mit Vorsicht nutzen Keine sensiblen Daten übermitteln Verschlüsselung einsetzen (https) falls möglich Firefox: HTTPS everywhere Für die Profis: VPN PC: Firewall, Virenscanner, Updates Smartphones: Falls möglich UMTS nutzen Nicht alle Apps übertragen ihre Daten verschlüsselt (https) Automatischen Verbindungsaufbau zu offenen Hotspots deaktivieren www.bakoev.bund.de/sicher-gewinnt 40

Tipps: Mobiles Arbeiten (1) Management mobiler Geräte einrichten gestohlene oder verloren gegangene Geräte aus der Ferne sperren und wichtige Daten löschen (2) Festplattenverschlüsselung und VPN Schutz vor Diebstahl/Verlust Sichere Kommunikation (3) Die private Nutzung von Geräten sollte geregelt sein www.bakoev.bund.de/sicher-gewinnt 41

Tipps Problem: Arbeiten an öffentlichen Plätzen (Bahn, Flug etc.) Seitenblick Punktuelle Fotoaufnahmen (z. B. Foto-Handy) Filmen (z. B. Handy; ideal für Login-Prozeduren) Problem: Arbeiten mit dem (Mobil-)Telefon Telefonieren kann viele Zuhörer haben (offensichtliche und versteckte) Bei Einreise in fremde Länder können mobile Datenträger beschlagnahmt oder die Entschlüsselung verschlüsselter Daten gefordert werden www.bakoev.bund.de/sicher-gewinnt 42

www.bakoev.bund.de/sicher-gewinnt 43

Passwörter www.bakoev.bund.de/sicher-gewinnt

Tatsachen Quelle: http:// www.heis e.de/ thema/ Passw %C3%B 6rter! www.bakoev.bund.de/sicher-gewinnt 45

Passwort Top 50 (englischsprachig) Top 1-10 Top 11-20 Top 21-30 Top 31-40 Top 41-50 123456 letmein 6969 batman hockey password baseball jordan trustno1 killer 12345678 master harley thomas george 1234 michael ranger tigger sexy pussy football iwantu robert andrew 12345 shadow jennifer access charlie dragon monkey hunter love superman qwerty abc123 fuck buster asshole 696969 pass 2000 1234567 fuckyou mustang fuckme test soccer dallas http://www.whatsmypass.com/the-top-500-worst-passwords-of-all-time www.bakoev.bund.de/sicher-gewinnt 46

Häufige Angriffe auf Passwörter Brute-Force-Angriff Durchprobieren aller möglichen Kombinationen von Buchstaben, Ziffern und Sonderzeichen Wörterbuch-Angriff Durchprobieren eines definierten Wörterbuchs Herkömmliche Wörterbücher Bekannte Passwörter Beliebte Passwort-Variationen Viele Dienste versuchen sich vor solchen Angriffen zu schützen Begrenzung der fehlerhaften Anmeldevorgänge www.bakoev.bund.de/sicher-gewinnt

Alternative Angriffe Alternativer Ansatz Ein beliebtes Passwort bei möglichst vielen Konten testen Nur ein Versuch pro Konto à Keine Begrenzung Kombination mit einem Botnetz sehr effektiv 1000 PCs probieren je ein anderes Passwort an beliebig vielen Konten Beispiel: GMX (Juli 2012) www.bakoev.bund.de/sicher-gewinnt 48

Passwortkomplexität Quelle: http:// www.kes.info/archiv/ online/09-2-006.htm Passwortlänge Alphabet: 84 Zeichen 4 5 ms 5 464 ms 6 39 sek. 7 54 min. 8 3 Tage 9 8 Monate 10 61 Jahre 11 5176 Jahre 12 0,4 Mio. Jahre 13 36 Mio. Jahre t(max) 9 Mrd. Hashes/s (NTLM) 14 3,1 Mrd. Jahre Zahlen gültig für NTLM- Hashwerte. www.bakoev.bund.de/sicher-gewinnt 49

Übliche Fehler Zu kurz Je kürzer, desto unsicherer Zu einfach Bekannte Wörter Simple Kombinationen (z. B. Sommer12) Weitergabe Absichtlich: An Freunde und Arbeitskollegen Unabsichtlich: Eingabe auf fremden, infizierten Computern Mehrfachverwendung Wirkt wie ein Generalschlüssel www.bakoev.bund.de/sicher-gewinnt 50

Tipps: Das sichere Passwort Wie baue ich ein gutes Passwort Lang (mehr als 10 Stellen) Groß- und Kleinschreibung Ziffern verwenden Sonderzeichen verwenden Sinnfreie Zusammensetzung Geheim ist ein schlechtes Passwort Hier ein gutes: MFhidMi24.G! Und hier die Passwortregel: Meine Freundin hat in diesem Monat ihren 24. Geburtstag! www.bakoev.bund.de/sicher-gewinnt

Angriffsziel Mensch www.bakoev.bund.de/sicher-gewinnt

Tatsachen Vorgehensweise eines Social Engineers Vortäuschen falscher Tatsachen Wie ein Schauspieler wird ein Social Engineer zu einer Person und spielt sie nicht nur Es geht um die Schaffung eines erfundenen aber glaubwürdigen Szenarios Die Qualität definiert sich über die gesammelten Informationen Je mehr desto besser und je relevanter desto erfolgreicher spielt er seine Rolle www.bakoev.bund.de/sicher-gewinnt

Tatsachen Methoden des Social Engineering Reziprozität Das Leben ist ein Geben und Nehmen Verpflichtung Mentale Verträge Knappheit Das darf ich eigentlich nicht... Social Proof Das haben Ihre Kollegen bereits... Zugeständnis Verlange viel und dann... Hilfsbereitschaft nutzen oder anbieten www.bakoev.bund.de/sicher-gewinnt

Tatsachen Willst Du mein Freund sein? Robin Sage, 25 Jahre alt, Absolventin der Technischen Hochschule in Massachusetts, Analystin für Cybersicherheit der US- Marine zehn Jahre Berufserfahrung Quelle Bild: http://en.wikipedia.org/wiki/robin_sage www.bakoev.bund.de/sicher-gewinnt 55

Soziale Netze (2b) Sage ist eine Kunstfigur ca. 300 hochrangige Militärs, Industrielle und Politiker Soldat gab militärische Geheimdokumente weiter Stabschef eines Parlamentariers, Informationsdirektor der Marine und Mitarbeiter der NSA Sage-Bilder stammen einer Partnerbörse Quelle Bild: http://en.wikipedia.org/wiki/robin_sage www.bakoev.bund.de/sicher-gewinnt 56

Soziale Netze (2b) www.bakoev.bund.de/sicher-gewinnt 57

Tipps: Soziale Netzwerke (1) Datensparsamkeit Je weniger Informationen Sie preisgeben, desto weniger Angriffsfläche. Dass Netz vergisst nicht! (2) Informationstrennung (beruflich/privat) Berufliche Informationen gehören nicht in privat genutzte Soziale Netzwerke. (3)Privatsphärenschutz (schützen) Regelmäßige Änderung der AGBs bedeutet auch regelmäßige Überprüfung der Profil-Einstellungen. www.bakoev.bund.de/sicher-gewinnt 58

Tipps: Social Engineering (1) In der Öffentlichkeit Keine vertraulichen Gespräche (2) Identitätsprüfung Prüfen Sie die Identität Ihres Gegenübers www.bakoev.bund.de/sicher-gewinnt 59

FAZIT www.bakoev.bund.de/sicher-gewinnt 60

Fazit: Sie legen die Angriffsschwelle fest Quelle: Microsoft- Analyse zur IT- Sicherheit Ausgabe 11, S. 5 www.bakoev.bund.de/sicher-gewinnt 61

Informieren Bundesamt für Sicherheit in der Informationstechnik (BSI) www.bsi-fuer-buerger.de Newsletter Sicher Informiert à https://www.buerger-cert.de BAKöV à http://www.bakoev.bund.de Deutschland sicher im Netz à https://www.sicher-im-netz.de/ Marktplatz IT-Sicherheit à https://www.it-sicherheit.de www.bakoev.bund.de/sicher-gewinnt 62

Vielen Dank! Wildvang, Pusch, Rast www.bakoev.bund.de/sicher-gewinnt 63