+ IT-Sicherheitsattacken Bekannte Attacken Beispiele und Historie
+ Von Blackhatsund Whitehats und einer kleinen Pfeife Bildquelle: http://upload.wikimedia.org/wikipedia/en/9/95/capncrunch.png http://upload.wikimedia.org/wikipedia/commons/1/14/capncrunchwistle.png
+ Kleine Historie Die Anfänge John Thomas Draper (Captain Crunch) Kevin Mitnick Karl Koch... Bildquellen: http://upload.wikimedia.org/wikipedia/commons/4/41/kevin_mitnick_2008.jpeg http://upload.wikimedia.org/wikipedia/commons/d/de/john_draper.jpg http://www.allmystery.de/dateien/gg55484,1248792859,kochkarl-1.jpg
+ Begriffsbestimmungen Was ist ein Hacker Ein Hacker ist jemand der kreativ mit Dingen umgeht Was ist ein Cracker Jemand der versucht eine elektronische Grenze zu überwinden (in der Regel strafbar) Was sind Skript-Kiddies Nutzen vorhandene Automatische Tools aus ohne tiefere Grundkenntnis zu besitzen
+ White-, Grey-und Black-Hats White-Hats Verwenden ihr Wissen innerhalb der Gesetze und innerhalb der Hackerethik Penetrationstests Grey-Hats Verstoß gegen Gesetze oder restriktive Auslegungen der Hackerethik zum Erreichen höherer Ziele. Beispielsweise Veröffentlichung von Sicherheitslücken. Grey-Hats sind nicht eindeutig gut oder böse. Black-Hats Handeln mit krimineller Energie und beabsichtigen das Zielsystem zu beschädigen oder Daten zu stehlen.
+ Wandlung Am Anfang handelte es sich bei der Hackergemeinschaft um Enthusiasten bei denen die Technik im Vordergrund stand (siehe CCC BTX Hack und ähnliches) Nach dem Siegeszug des Internets und dessen Popularität in der Bevölkerung verstärktes Interesse auch bei Kriminellen Mittlerweile sind im Netz nicht mehr nur Private Hacker unterwegs sondern auch Geheimdienste nutzen verstärkt dessen Möglichkeiten bis hin zum Cyberwar PLA Unit 61398 NSA BKA... Vergleiche: http://de.wikipedia.org/wiki/hacker_(computersicherheit)#white-.2c_grey-_und_black-hats
+ Botnets Bildquelle: http://upload.wikimedia.org/wikipedia/commons/c/c6/botnet.svg Quellen: http://de.wikipedia.org/wiki/botnet https://open.hpi.de/courses/intsec2014/items/5qq5lkpouqan5atu0okpt2 Buch Kali-Linux
+ Was ist ein Botnet Zusammenschluss ferngesteuerter Rechner Nutzung ohne Wissen des Besitzers Herstellung mittels Malware Verwaltung der Rechner über Command&Control Server Nutzen: Angriffe mit hoher Parallelität und Rechenleistung möglich!
+ Erschaffung Malware vielfältig Viren Würmer Trojaner Schwachstellen Webbrowser Betriebssystem...
+ Handlungsweisen extern Öffnen von Verbindung zum C&C Server Bots führen Befehle selbständig aus Angriffe können sein DDOS Attacken Spam Mails verteilen Proxy (Adressverschleierung) Klickbetrug Dechiffrierung von WLAN, Passwd/Shadow,...
+ Handlungsweisen intern Auslesen sensibler Daten Speichern von Fremddaten Bitcoin Mining Ransomware(Verschlüsselung der Platte mit anschliessender Erpressung des Opfers) TAN s stehlen...
+ Bekannte Bot-Netze BredoLab mit einer geschätzten Größe von ca. 30.000.000 Bots (Mai 2009 Oktober 2010) Mariposamit einer geschätzten Größe von ca. 13.000.000 Bots (Mai 2009 Dezember 2009) Confickermit einer geschätzten Größe von ca. 9.000.000 Bots (Start 2008) Zeus mit einer geschätzten Größe von ca. 3.600.000 Bots (Start 2007)
+ Beispiel STORM Botnet Verbreitung über Storm-Worm (2007) SPAM Windows 1-10 MioRechner infiziert Betreiber bis heute unbekannt Forscher Angegriffen Keine Entdeckung über Antivirus Mehr Rechenleistung als Supercoputer
+ Aufbau STORM Botnet Einer Backdoor mit Downloader SMTP Relay Server, um Mails zu versenden Eine Anwendung zum Stehlen von Mailadressen Eine Anwendung, um Malware via Mails zu verbreiten Eine DDoS Funktionalität Eine Update Funktion, um immer neue Updates der Anwendung zu installieren.
+ Gegenmaßnahmen Entschlüsselung des Datenverkehrs durch den CCC Platzierung eines Rechners als C&C Server im Botnet Senden eines Updates Trennen der Rechner mit dem Update von den Feindlichen C&C Servern Bots damit disabled, keine Neuinfizierung möglich
+ Beispiel Zeus Erstmals 2007 aufgetreten Zielte ebenfalls auf Windows Rechner 74000 FTP Accounts (NASA, Bank ofamerika, Oracle, Cisco...) Durch Verschleierung schwer identifizierbar Verbreitung durch Phishing und infizierte Downloads Allein in USA 3.600.000 Rechner
+ Angriffe von Zeus Die Betreiber von Zeus können sehr fein auswählen, welche Daten Sie interessieren. Zugangsdaten, Soziale Netze, Online-Banking...) FBI 2010 entdeckte Hosts bei Banken und Versicherungen. Konten wurden übernommen und Geld transferiert Gesamtschaden ca. 70 Mio$
+ Erfolge Mehr als 100 Personen festgenommen Insgesamt wurden 390 Betrugsfälle registriert und der erbeutete Gesamtbetrag belief sich auf ca. 220 Mio. $. Die Hacker selber stammten aus Osteuropa und hatten Mittelsmänner in Amerika, Großbritannien und Osteuropa. Die Opfer waren größtenteils Amerikaner.
+ Mutationen Abwandlung gameover Zeus. Moderner Verschlüsselte Übertragung Generieren von einmal Domänen Zielt auf Amerika und Ukraine
+ Schutz Aktuelle Antivirus Software. Regelmäßiges Scannen des Rechners mittels externer Software (CT-Security Software Paket, Linux Systeme) Beobachten des Rechners, ungewöhnliche Rechenaktivität (langsam, sprunghaft), Netzwerkverbindungen zu seltsamen Adressen (Wireshark, Kali Linux) Keine unbekannten Mails öffnen und keine ungewöhnlichen Links anklicken. Nicht auf unbekannten Seiten surfen, in Foren auf ungewöhnliche Aktivität/Posts achten. (Ggf. direkt danach Rechner scannen).
+ DDOS-Attacken Quellen: http://de.wikipedia.org/wiki/denial_of_service http://security.radware.com/uploadedfiles/resources_and_content/ddos_handbook/ddos_handbook.pdf http://www.computec.ch/download.php?list.7 Bildquelle: http://upload.wikimedia.org/wikipedia/en/a/a6/ddos_stachledraht_attack.png
+ Was ist DOS / DDOS DenialofService... Out oforder und nicht erreichbar. Distributed Denial of Service DDosAngriffe können durch unterschiedliche Quellen initiiert werden. Häufig werden sogenannte Botnetsbenutzt, welche die Kraft von Millionen Internetanschlüssen darstellen können Satz in die Einführung (Definition) aufnehmen!
+ Beispiele August 2008: Die Webseite des georgischen Präsidenten Micheil Saakaschwili ist nicht mehr erreichbar. Anfang Juli 2009: Südkoreanische und US-amerikanische Regierungsseiten, Shoppingportale und Nachrichtendienste sind nach Angriffen vorübergehend nicht mehr erreichbar. Die ferngesteuerten Zugriffe von bis zu 30.000 mit schädlicher Software infizierten PCs sollen an dem Angriff beteiligt gewesen sein.
+ Beispiele 2 6. bis 8. Dezember 2010: Als Reaktion auf Sperrungen von WikiLeaks-Konten bei der PostFinancewie auch bei den Zahlungsdiensten MasterCard, Visa, PayPal und Amazon wurden deren Webseiten angegriffen und, bis auf die Amazon-Seite, zeitweise in die Knie gezwungen. 18. Mai 2012: Die Webseite der Stadt Frankfurt wurde im Rahmen der Blockupy-Proteste durch Anonymous attackiert und war zeitweise nicht mehr erreichbar.
+ LAND IP-Syn Flood Attacke: Der Datenaufbau geschieht im Internet über einen Syn-Ack Mechanismus, welcher eine Anfrage (Syn) mit einer Antwort (Ack) bestätigt. Race-Condition(Land Attacke). Diese Attacke wirkte bei Windows bis Windows XP SP2 und Windows Server 2003. Durch Botnetskann man Hosts auch mit SynAttacken bombardieren und einfach auf das ACK Paket nicht antworten, der Host reserviert dazu einen Slot und forkt(vervielfältigt) ggf. interne Prozesse, um die zu erwartenden Anfragen abzuarbeiten. Auch das kann einen Host effektiv lahmlegen.
+ Teardrop Sendet dem Host mehrere Pakete mit überlappenden Offset Feldern. Werden diese Fragmente im Stackzusammengeführt, stürzt der attackierte Rechner ab.
+ Ping ofdeath Beim Ping ofdeath wird ein ICMP Paket gesendet, welches ein zu großes Datenpaket trägt (größer als 1500 Byte) und damit die zulässige Maximalgröße überschreitet. (Offset und Fragment des letzten Segments müssen passend gewählt werden.) Das Ziel stürzt ab. Windows bis Server 2012 anfällig!
+ DNS Spoofing Dieser Angriff nutzt aus, dass eine kleine DNS Anfrage ein wesentlich längeres Antwortpaket generiert. (60 Byte 3000 Byte Verstärkung 50 Fach!) Botnet Adresse im Paket mit Target tauschen (Spoofen) Ziel wird durch DNS Antworten erdrückt!
+ THC Attacke SSL-Attacke Der Server bekommt viele Anfragen über einen SSL Aufbau. Dieser benötigt zum Berechnen der Schlüssel eine gewisse Rechenzeit Durch viele Anfragen wird der Rechner nicht über die Netzwerkschnittstelle lahm gelegt, sondern durch die benötigte Rechenzeit in die Knie gezwungen.
+ Schutz Firewalling mit Rate Limitation und Erkennen von Syn Flood und ICMP-Flood. Sperrlisten Grenzrouter sollten die Absenderadressen auf Gültigkeit prüfen, um IP-Spoofing zu vermeiden. Domain-IP Änderung.
+ Heartbleed Quelle: http://de.wikipedia.org/wiki/heartbleed http://www.heise.de/security/artikel/so-funktioniert-der-heartbleed-exploit-2168010.html Bildquelle: http://upload.wikimedia.org/wikipedia/commons/d/dc/heartbleed.svg
+ Opfer Zeitweilig 2/3 aller Server weltweit angreifbar Banken Krankenhäuser Dienstanbieter Versandhäuser... Sogar die Geheimdienste wie NSA und andere waren dadurch angreifbar und wurden kompromittiert!
+ Attacke Angriff auf SSL-Verschlüsselung Direkte Attacke auf den Server-Cache Senden eines kleinen Paketes mit einem großem Offset Bis 16KB pro Attacke Zusammensetzen der erbeuteten Pakete
+ Schutz Schnellstmöglicher Patch des Servers auf die Aktuellste Version Sollte ein Patch nicht möglich sein ggf. Serverwechsel (je nach Sensibilität der Daten)
+ Twitter, Facebook und Co. Soziale Netzwerke sind immer wieder Ziel von verschiedensten Angriffen Viele TwitterAccounts wurden gehackt, darunter das Weiße Haus, die US-Army, Sony, und viele mehr.
+ Angriffe Angriffe erfolgen über SPAM Mails WEB Browser Injections (z.b. Metasploit Framework) Cookie stealing (z.b.: Wireshark/ Ettercap/ Hamster & Ferret...) Social Engineering und Login faking (z.b. SET Toolkit)
+ Sozial Engineering Toolkit SET ist dazu da, um Spam Mails zu kreieren oder auch ganze Webseiten zu klonen und so das Opfer dazu zu verleiten, sich anzumelden und damit seine Daten praktisch freiwillig auszuliefern. Das Opfer merkt in der Regel nicht, dass es angegriffen wurde, da es anschließend einfach auf die echte Seite umgeleitet wird.
+ Web Injection Bei WEB Injectionsüber den Webbrowser wird eine Backdoorinstalliert, über welche Schadcode nachgeladen wird und der Rechner einfach um Cookies und gespeicherte Anmeldedaten erleichtert wird. Sollten keine Daten zu finden sein, kann man auch einfach warten, bei der Anmeldung die Tastenanschläge mit dem Rootkit mitschneiden und später abholen.
+ Kekse, Kekse, Kekse (Cookie Injection) Hat man Zugriff auf das Netz des Opfers oder einen Netzknoten, kann man auch den Netzwerkverkehr direkt abhörenund versuchen, so einen Cookie zu erwischen oder das Login abzuhören. Um sich mit den erbeuteten Daten anzumelden, reicht ein ganz gewöhnliches Login oder eine sogenannte Cookie injektion. Auch eine SSL-Verbindung schützt dabei nicht 100%ig vor einer Attacke, da sie entweder gefälscht werden kann oder der Schlüssel geknackt werden könnte.
+ Schutz Mails von eigentümlichen Absendern vernichten, keinen Links folgen, bei Zweifel immer direkt anmelden, Mail vernichten. Bei SSL Verbindungen: bei einer Meldung wie ungültiges Zertifikatoder einer langsamen Verbindung sollte man ablehnen und evtl. ein neues Netz wählen, oder dieses trennen und sich erneut anmelden.
+ BMW ConnectedDrive Quelle: http://www.heise.de/ct/ausgabe/2015-5-sicherheitsluecken-bei-bmws-connecteddrive-2536384.html Bildquellen: http://upload.wikimedia.org/wikipedia/commons/4/44/bmw.svg http://www.heise.de/ct/zcontent/15/05-hocmsmeta/1424306007946193/contentimages/ad.bmw.ig.ig.jpg
+ Das Internet der Dinge Viele Alltagsgegenstände welche wir benutzen tragen in sich einen Computer welcher erweiterte Funktionalitäten ermöglicht Handys Fernseher Kühlschränke Autos... BMW Fahrzeuge tragen oft ein eingebautes GSM-Modul für die Fahrzeugkommunikation in sich.
+ Was ist BMW ConnectedDrive BMW ConnectedDriveist ein System, welches Daten über den Zustand des Fahrzeugs an BWM senden und Daten von dort empfangen kann. Es können weiterhin Internetdaten gesendet und empfangen werden, um Dienste wie Google Maps oder Webbrowser zu ermöglichen. Fahrzeug kann über eine APP in einem Smartphone entsperrt und in gewissen Grenzen gesteuert werden.
+ Ablauf
+ Ablauf
+ Ablauf Bildquelle Heise-Online
+ Opfer (potentiell) Insgesamt waren 2.2 Mio. Fahrzeuge von dieser Schwachstelle betroffen! Bildquelle BMW-Deutschland http://cosy01.bmwgroup.com/next/cosysec?cosy-eu-100-7331c9nv2z7d5ykths9p3akwl2jeixnsegpnj7wrl7x63d%25zxdg7bnzmlwgmncqms30ke% 25poKGKXssdHSfWQr4y%25V1PaZcDfNEbn%25NL10s9OfmuE4riInLSscZwBQv4rxRteapJZ857Mj67RUQunKeNWJeim5JfNw%25arfh19mXOPoxiEAGZI63VQedpRgv
+ Schutz KEINER! Nur über Update des Herstellers (erfolgt am 8.12.2014). Kann über den Menü Punkt Dienste aktualisieren ausgelöst werden).
+ Schöne neue Welt? Das Internet der Dinge hat den großen Nachteil, dass es bei Anfälligkeitenoft nur schlecht oder gar nicht geschützt werden kann. Das gilt für Router genauso wie für Autos oder Kühlschränke. (Es wurde ein Botnet gefunden, welches neben einem Heer aus Routern sogar einen Kühlschrank enthielt, der Spam-Mails versendete!)
+ Schlusswort Folgen Sie nicht blind jedem Link auch wenn dieser augenscheinlich von einer vertrauenswürdigen Person zu kommen scheint. Achten Sie darauf stets einen Aktuellen Virenscanner zu besitzen (Und scannen sie regelmäßig Ihren Rechner!) Meiden Sie, wenn möglich, öffentliche WLANs Beschränken Sie WhatsApp, Facebook und Co. auf das absolute Minimum und achten Sie darauf was sie veröffentlichen und an wen. Bleiben Sie wachsam! Vielen Dank