Roadshow Die Hacker kommen Tatsachen Techniken Tipps Ralf Wildvang, Thomas Pusch, Peter Becker www.bakoev.bund.de/sicher-gewinnt
Vorstellung Ralf Wildvang Senior Berater ML Consulting Berater und Trainer in der Kampagne Sicher gewinnt Trainer für IT und Informationssicherheit Ausbilder IT SiBöV Thomas Pusch Studium der Informatik Berater ML Consulting Berater und Trainer in der Kampagne Sicher gewinnt Trainer für technische Informationssicherheit Peter Becker MA Phil. Berater ML Consulting Berater und Trainer in der Kampagne Sicher gewinnt Trainer für IT und Informationssicherheit ML Consulting Leistungen Training Konzeption Trainingsorganisation Bildungsmedien Managed Training Services (MTS) ERP-Projekte Bildungskonzeption Change Management Bildungsmedien Prozessorientiertes Training Serviceanalyse & -qualifizierung Ganzheitlicher Ansatz Modulares Konzept Analyse und Bewertung Qualifizierungsprojekte Compliance & Informationssicherheit Individuelle Konzepte Bildungsmedien Sensibilisierung Qualifizierung IT Support Anwenderunterstützung First-,Second-,Third- Level-Support Rollout und Support www.bakoev.bund.de/sicher-gewinnt
Agenda E-Mails, Trojaner und Online-Banking Gefahren bei der Internetnutzung Mobilität mit Tücken Passwörter Angriffsziel Mensch www.bakoev.bund.de/sicher-gewinnt 3
www.bakoev.bund.de/sicher-gewinnt 4
Augsburger Allgemeine Zeitung, 21.01.2014 www.bakoev.bund.de/sicher-gewinnt Bild.de 08.04.2014
www.bakoev.bund.de/sicher-gewinnt
Tatsachen Faz.net, 16.02.2014 www.bakoev.bund.de/sicher-gewinnt 7
Der NSA-Skandal und das PRISM-Programm www.bakoev.bund.de/sicher-gewinnt 8
Anatomie eines Angriffs Der E-Mail-Angriff und Phishing Das Opfer erhält eine E-Mail mit gefährlichem Inhalt www.bakoev.bund.de/sicher-gewinnt 9
Gefährdungen der Informationssicherheit Aktuelle Phishing Mails werden immer besser: www.bakoev.bund.de/sicher-gewinnt
Tipps: E-Mail Vorsicht vor unbekannten Absendern Aufmerksam sein im Zweifel Rückruf Einsatz von digitalen Signaturen Vorsicht vor Anhängen insbesondere in E-Mails unbekannter Absender derzeit in Mode sind *.ZIP - Dateien Vorsicht vor HTML-E-Mails ermöglichen z. B. eine Verschleierung von Links www.bakoev.bund.de/sicher-gewinnt 11
Online-Banking praktisch und sicher? www.bakoev.bund.de/sicher-gewinnt
Tipps: Phishing / Pharming Für Hacker sind folgende Informationen interessant Seiten mit Zugangsdaten (z.b. Outlook Web Access) Informationen zum Identitätsdiebstahl (Email, Sociale Netzwerke) Seiten bei denen es uns ums Geld geht Vorteil beim Online-Banking: Nutzung sichererer TAN- Verfahren www.bakoev.bund.de/sicher-gewinnt 13
Tipps: Anti-Malwareprogramm Prüfung von Dateien vollautomatisch im Hintergrund Neue Dateien Neue Datenträger Bieten auch einen manuellen Scan von Dateien und Verzeichnissen Nutzung im Zweifelsfall bei einzelnen Dateien Eine vollständige Prüfung kann evtl. vor schlummernder Schadsoftware schützen Nicht ausgeführt aber zuvor nicht erkannt www.bakoev.bund.de/sicher-gewinnt 14
Tipps: Firewall Schützt vor direkten Angriffen von außen z.b. Bestandteil von DSL-Routern Personal Firewall Software auf dem PC selbst Windows 7: Windows Firewall bietet ausreichenden Schutz Zusätzlicher Schutz vor gesprächigen Programmen In fremden Netzwerken (WLANs) dringend empfohlen Windows Firewall vs. Drittanbieter www.bakoev.bund.de/sicher-gewinnt 15
Tipps: Reaktion auf Sicherheitsvorfälle (1) Ruhe bewahren und nicht unüberlegt handeln (2) Unverzüglich melden an dezentralen Sicherheitsverantwortlichen (3) Maßnahmen nur nach Aufforderung durchführen (4) Begleitumstände ungeschönt und offen melden (5) Erste persönliche Einschätzung über Schadensauswirkung abgeben (6) Keine Informationen unautorisiert an Dritte weitergeben (7) Weitere Maßnahmen gemäß Richtlinien zu Behandlung von Sicherheitsvorfällen beachten www.bakoev.bund.de/sicher-gewinnt 16
Gefahren bei der Internetnutzung www.bakoev.bund.de/sicher-gewinnt
Tatsachen Deutschland ist Europameister bei der Zahl der Online-Verbrechen Deutschland ist Europameister bei der Zahl der Phishing-Angriffe Deutschland ist Vizemeister bei der Zahl der Web-basierten Angriffe Symantec Internet Security Threat Report 17 Deutschland ist Vizemeister bei der Zahl der infizierten Computer www.bakoev.bund.de/sicher-gewinnt 18
Tatsachen - Gefährliche Webseiten TOP-10 Symantec Internet Security Threat Report 17 19,8%: Blogs/Web-Kommunikation 15,6%: Persönliche Webseiten 10,0%: Unternehmens-Auftritte 7,7%: Shopping 6,9%: Aus- und Weiterbildung 6,9%: Technologie-Webseiten 3,8%: Unterhaltung (Musik, ) 3,8%: Auto 2,7%: Gesundheit 2,4%: Pornographie! www.bakoev.bund.de/sicher-gewinnt 19
Anatomie eines Angriffs Surfen im Internet Das Opfer im Internet www.bakoev.bund.de/sicher-gewinnt 20
Techniken: Drive-by-Download Drive-by Angriffe werden automatisiert gestartet durch den Aufruf der Seite, oder wenn der Mauszeiger über den entsprechenden Inhalt fährt Sie sind deshalb nur schwer abzuwehren www.bakoev.bund.de/sicher-gewinnt 21
Techniken: Webseiten-Manipulation Platzierung von gefährlichen Inhalten durch Dritte Links auf Angriffswebseiten Manipulierte Bilder Manipulierte Videos Manipulierte Dokumente (PDFs, Word, ) Möglich über Sicherheitslücken auf Webseiten Nutzer-generierter Inhalt (Web2.0) www.bakoev.bund.de/sicher-gewinnt 22
Techniken: Cross-site-scripting (XSS) http:// www.heise.de/ security/ meldung/heise- Leser-entdeckt- Sicherheitslueck en-auf-150- Webseiten-16208 44.html www.bakoev.bund.de/sicher-gewinnt 23
Tipps: Updates www.bakoev.bund.de/sicher-gewinnt
Tipps: Aktive Inhalte Nur auf vertrauenswürdigen Webseiten zulassen z.b. NoScript für Firefox leider aufwändig Deaktivieren falls nicht benötigt z.b. das kaum genutzte Java-Plugin Regelmäßige Aktualitäts-Prüfung der Erweiterungen Heise Browsercheck oder browsereigene Funktionen Manche Browser deaktivieren unsichere Erweiterungen www.bakoev.bund.de/sicher-gewinnt 25
Mobilität mit Tücken www.bakoev.bund.de/sicher-gewinnt
Tatsachen Quelle: Quelle: Penomen Institue, Computer Security Group, Gartner Group, High Bream Research, UK Home Office, Check Point Tatsachen 2008/2009 2009: Über 1 Million Computer gingen 2009 auf Flughäfen der ganzen Welt verloren oder wurden gestohlen. Mehr als 12.000 Laptops auf US-Flughäfen pro Woche als abhanden gekommen oder gestohlen gemeldet. Verlust in Londoner Taxis innerhalb von sechs Monaten: 55.000 Mobiltelefone, 5.000 Handhelds, 3.000 Notebooks und 900 USB Sticks. Über 53% aller reisenden Geschäftsleute geben an: Ihre Laptops enthalten vertrauliche Informationen. 65% dieser Reisenden geben zu, nicht alle Maßnahmen zu ergreifen, um diese Informationen zu schützen oder zu sichern. www.bakoev.bund.de/sicher-gewinnt 27
Tatsachen Quelle: http:// www.tage sspiegel. de/berlin/ brandenb urg/ rockerverwerten -datenvonspeersgeklaute m-laptop/ 1937542.h tml www.bakoev.bund.de/sicher-gewinnt 28
Und jetzt erstmal ins W-LAN www.bakoev.bund.de/sicher-gewinnt
www.bakoev.bund.de/sicher-gewinnt 30
www.bakoev.bund.de/sicher-gewinnt 31
www.bakoev.bund.de/sicher-gewinnt 32
Gefährliche USB-Geräte www.bakoev.bund.de/sicher-gewinnt 33
Gefährliche USB-Geräte www.bakoev.bund.de/sicher-gewinnt 34
Legale Schadsoftware? www.bakoev.bund.de/sicher-gewinnt
Und wie funktionierts? Installation Durch Dritte direkt auf dem Telefon Physischer Zugriff notwendig Verhalten wie Trojanische Pferde Verstecken sich nach der Installation erlauben das Abhören und Aufzeichnen von Gesprächen sowie das Auslesen von Daten (E-Mails, SMS, Dateien, ) Legal erhältliche Programme zur Überwachung Der legalen Nutzung sind enge Grenzen gesetzt www.bakoev.bund.de/sicher-gewinnt 36
Echte Schadsoftware Bisher: Flexispy und die Alternativen Müssen noch per Hand aufgespielt werden Angreiferkreis ist deshalb begrenzt Heute/Zukunft: Schadsoftware über das Internet Infizierte Apps in den App-Stores Bisher überwiegend betroffen: Android Klassische Angriffswege: Webseiten und E-Mails Bisher nur in Machbarkeitsstudien www.bakoev.bund.de/sicher-gewinnt 37
Tipps: Smartphones www.bakoev.bund.de/sicher-gewinnt 38
Tipps: Smartphones (1) Geräte nicht aus der Hand geben (2) Korrekter Umgang mit Apps Minimal-Prinzip: Je weniger Apps desto besser Keine Apps aus Fremdquellen Auf Zugriffs-Rechte achten (3) Geräte mit Passwort vor Zugriff schützen 4-stellige Zahlen-PINs sind nicht ausreichend (4) Schutzsoftware, falls verfügbar (5) Kein Jailbreak/Root www.bakoev.bund.de/sicher-gewinnt 39
Tipps: WLAN Fremde Hotspots nur mit Vorsicht nutzen Keine sensiblen Daten übermitteln Verschlüsselung einsetzen (https) falls möglich Firefox: HTTPS everywhere Für die Profis: VPN PC: Firewall, Virenscanner, Updates Smartphones: Falls möglich UMTS nutzen Nicht alle Apps übertragen ihre Daten verschlüsselt (https) Automatischen Verbindungsaufbau zu offenen Hotspots deaktivieren www.bakoev.bund.de/sicher-gewinnt 40
Tipps: Mobiles Arbeiten (1) Management mobiler Geräte einrichten gestohlene oder verloren gegangene Geräte aus der Ferne sperren und wichtige Daten löschen (2) Festplattenverschlüsselung und VPN Schutz vor Diebstahl/Verlust Sichere Kommunikation (3) Die private Nutzung von Geräten sollte geregelt sein www.bakoev.bund.de/sicher-gewinnt 41
Tipps Problem: Arbeiten an öffentlichen Plätzen (Bahn, Flug etc.) Seitenblick Punktuelle Fotoaufnahmen (z. B. Foto-Handy) Filmen (z. B. Handy; ideal für Login-Prozeduren) Problem: Arbeiten mit dem (Mobil-)Telefon Telefonieren kann viele Zuhörer haben (offensichtliche und versteckte) Bei Einreise in fremde Länder können mobile Datenträger beschlagnahmt oder die Entschlüsselung verschlüsselter Daten gefordert werden www.bakoev.bund.de/sicher-gewinnt 42
www.bakoev.bund.de/sicher-gewinnt 43
Passwörter www.bakoev.bund.de/sicher-gewinnt
Tatsachen Quelle: http:// www.heis e.de/ thema/ Passw %C3%B 6rter! www.bakoev.bund.de/sicher-gewinnt 45
Passwort Top 50 (englischsprachig) Top 1-10 Top 11-20 Top 21-30 Top 31-40 Top 41-50 123456 letmein 6969 batman hockey password baseball jordan trustno1 killer 12345678 master harley thomas george 1234 michael ranger tigger sexy pussy football iwantu robert andrew 12345 shadow jennifer access charlie dragon monkey hunter love superman qwerty abc123 fuck buster asshole 696969 pass 2000 1234567 fuckyou mustang fuckme test soccer dallas http://www.whatsmypass.com/the-top-500-worst-passwords-of-all-time www.bakoev.bund.de/sicher-gewinnt 46
Häufige Angriffe auf Passwörter Brute-Force-Angriff Durchprobieren aller möglichen Kombinationen von Buchstaben, Ziffern und Sonderzeichen Wörterbuch-Angriff Durchprobieren eines definierten Wörterbuchs Herkömmliche Wörterbücher Bekannte Passwörter Beliebte Passwort-Variationen Viele Dienste versuchen sich vor solchen Angriffen zu schützen Begrenzung der fehlerhaften Anmeldevorgänge www.bakoev.bund.de/sicher-gewinnt
Alternative Angriffe Alternativer Ansatz Ein beliebtes Passwort bei möglichst vielen Konten testen Nur ein Versuch pro Konto à Keine Begrenzung Kombination mit einem Botnetz sehr effektiv 1000 PCs probieren je ein anderes Passwort an beliebig vielen Konten Beispiel: GMX (Juli 2012) www.bakoev.bund.de/sicher-gewinnt 48
Passwortkomplexität Quelle: http:// www.kes.info/archiv/ online/09-2-006.htm Passwortlänge Alphabet: 84 Zeichen 4 5 ms 5 464 ms 6 39 sek. 7 54 min. 8 3 Tage 9 8 Monate 10 61 Jahre 11 5176 Jahre 12 0,4 Mio. Jahre 13 36 Mio. Jahre t(max) 9 Mrd. Hashes/s (NTLM) 14 3,1 Mrd. Jahre Zahlen gültig für NTLM- Hashwerte. www.bakoev.bund.de/sicher-gewinnt 49
Übliche Fehler Zu kurz Je kürzer, desto unsicherer Zu einfach Bekannte Wörter Simple Kombinationen (z. B. Sommer12) Weitergabe Absichtlich: An Freunde und Arbeitskollegen Unabsichtlich: Eingabe auf fremden, infizierten Computern Mehrfachverwendung Wirkt wie ein Generalschlüssel www.bakoev.bund.de/sicher-gewinnt 50
Tipps: Das sichere Passwort Wie baue ich ein gutes Passwort Lang (mehr als 10 Stellen) Groß- und Kleinschreibung Ziffern verwenden Sonderzeichen verwenden Sinnfreie Zusammensetzung Geheim ist ein schlechtes Passwort Hier ein gutes: MFhidMi24.G! Und hier die Passwortregel: Meine Freundin hat in diesem Monat ihren 24. Geburtstag! www.bakoev.bund.de/sicher-gewinnt
Angriffsziel Mensch www.bakoev.bund.de/sicher-gewinnt
Tatsachen Vorgehensweise eines Social Engineers Vortäuschen falscher Tatsachen Wie ein Schauspieler wird ein Social Engineer zu einer Person und spielt sie nicht nur Es geht um die Schaffung eines erfundenen aber glaubwürdigen Szenarios Die Qualität definiert sich über die gesammelten Informationen Je mehr desto besser und je relevanter desto erfolgreicher spielt er seine Rolle www.bakoev.bund.de/sicher-gewinnt
Tatsachen Methoden des Social Engineering Reziprozität Das Leben ist ein Geben und Nehmen Verpflichtung Mentale Verträge Knappheit Das darf ich eigentlich nicht... Social Proof Das haben Ihre Kollegen bereits... Zugeständnis Verlange viel und dann... Hilfsbereitschaft nutzen oder anbieten www.bakoev.bund.de/sicher-gewinnt
Tatsachen Willst Du mein Freund sein? Robin Sage, 25 Jahre alt, Absolventin der Technischen Hochschule in Massachusetts, Analystin für Cybersicherheit der US- Marine zehn Jahre Berufserfahrung Quelle Bild: http://en.wikipedia.org/wiki/robin_sage www.bakoev.bund.de/sicher-gewinnt 55
Soziale Netze (2b) Sage ist eine Kunstfigur ca. 300 hochrangige Militärs, Industrielle und Politiker Soldat gab militärische Geheimdokumente weiter Stabschef eines Parlamentariers, Informationsdirektor der Marine und Mitarbeiter der NSA Sage-Bilder stammen einer Partnerbörse Quelle Bild: http://en.wikipedia.org/wiki/robin_sage www.bakoev.bund.de/sicher-gewinnt 56
Soziale Netze (2b) www.bakoev.bund.de/sicher-gewinnt 57
Tipps: Soziale Netzwerke (1) Datensparsamkeit Je weniger Informationen Sie preisgeben, desto weniger Angriffsfläche. Dass Netz vergisst nicht! (2) Informationstrennung (beruflich/privat) Berufliche Informationen gehören nicht in privat genutzte Soziale Netzwerke. (3)Privatsphärenschutz (schützen) Regelmäßige Änderung der AGBs bedeutet auch regelmäßige Überprüfung der Profil-Einstellungen. www.bakoev.bund.de/sicher-gewinnt 58
Tipps: Social Engineering (1) In der Öffentlichkeit Keine vertraulichen Gespräche (2) Identitätsprüfung Prüfen Sie die Identität Ihres Gegenübers www.bakoev.bund.de/sicher-gewinnt 59
FAZIT www.bakoev.bund.de/sicher-gewinnt 60
Fazit: Sie legen die Angriffsschwelle fest Quelle: Microsoft- Analyse zur IT- Sicherheit Ausgabe 11, S. 5 www.bakoev.bund.de/sicher-gewinnt 61
Informieren Bundesamt für Sicherheit in der Informationstechnik (BSI) www.bsi-fuer-buerger.de Newsletter Sicher Informiert à https://www.buerger-cert.de BAKöV à http://www.bakoev.bund.de Deutschland sicher im Netz à https://www.sicher-im-netz.de/ Marktplatz IT-Sicherheit à https://www.it-sicherheit.de www.bakoev.bund.de/sicher-gewinnt 62
Vielen Dank! Wildvang, Pusch, Rast www.bakoev.bund.de/sicher-gewinnt 63