[1][1] aktuelle it- sicherheitsrisiken in der praxis datenschutz und it-sicherheit - 5. november...
TRANSCRIPT
[1]
Aktuelle IT-Sicherheitsrisiken in der Praxis
Datenschutz und IT-Sicherheit - 5. November 2013,Dipl. Ing. Dr. Ulrich Bayer, SBA Research
[2]
Agenda
• Fallbeispiel: Hack eines US-Unternehmens
• Fallbeispiel: Malware Auf Android
Auf Windows
Malware Verbreitung via
•Social Engineering
•Exploits (Drive-By Downloads)
[3]
Hack von HBGary (2011)
• Vorspiel:
Regierungsnahes US Beratungsunternehmen
CEO äußert sich aggressiv gegen „Hackergruppen“
• Eigenes CMS, entwickelt von Dritthersteller
• Parameter auf Homepage anfällig für SQL Injection
Userdaten werden ausgelesen
http://www.hbgaryfederal.com/pages.php?pageNav=2&page=27
• Passwörter durch MD5 gehasht
Rainbow Tables für MD5
Hashwerte nicht gesalzen und keine Iteration des Hashvorgangs
md5(password)
1/3
[4]
Hack von HBGary (2011)
• Keine ausreichende Passwort Policy Sehr kurze Passwörter Passwörter von CEO und COO : 6 Kleinbuchstaben und 2
Ziffern (z.B. tkdfef56)
• Gleiches Passwort bei mehreren Services benutzt Mehrere Services werden durch 1 Hack betroffen
(Seiteneffekte!) Bei HBGary wurde das 8 stellige Passwort auch bei SSH,
Twitter und zur Verwaltung der Google Servicekonten verwendet
• Altes Betriebssystem (Linux) mit bekannter Privilege Escalation Lücke verwendet
Nach SSH Login mit „normalem“ Benutzerkonto => root
2/3
[5]
Hack von HBGary (2011)
• Verhindern von SQL-Injections
• Firmenweite, sichere Passwort Policy einführen z.B. Mindestlänge 12 Zeichen; Mix aus Groß- und Kleinbuchstaben,
Nummern und Sonderzeichen
Mitarbeiter auffordern, Passwörter nicht mehrmals zu verwenden
• Sicheres Passwort-hashing
• Patch-Management Anwendungen und Systeme auf neuestem Stand halten
• Sicherheitsbewusstsein der Mitarbeiter schärfen Schulungen, Workshops, …
• Usw…
SSH-Zugang über Public Key Kryptographie
3/3 – Wie hätte man den Hack verhindern können?
[6]
Fallbeispiel
• Erstmalig entdeckt März 2013
• Verbreitung von Android Malware oft über (alternative) Appstores
0.02% offizieller Android Market
0.20% bis 0.47% bei alternativen Marktplätzen (Zhou, Ndss 12)
• Bei Stels via Phishing Emails (Cutwail botnet)
• Öffnet backdoor, stiehlt Informationen
• Android package mit Namen FLASHPLAYER.UPDATE
Android Trojaner Stels
[7]
Cutwail Spam KampageZu Beginn: Eine Spam-Mail
Quelle: Dell SecureWorks
<a href='http://a_compromised_site.com/'> http://www.irs.gov/pub/irs-pdf/forms2012</a>
[8]
Auf Android - GerätenMalware tarnt sich als Flash.
Quelle: Dell SecureWorks
[9]
Android InstallationsdialogNachfrage, ob die Software installiert werden soll
Quelle: Dell SecureWorks
[10]
Anzeichen von StelsNach der Installation
Einmalige Anzeige des App-Symbols unter installierten Applikationen
Laufende Prozesse
Quelle: Dell SecureWorks
[11]
Bei Web-BrowserGefälschte IRS Webseite für IE, Firefox, Opera
Quelle: Dell SecureWorks
<li><iframe src=“http://malicious_site.com” width=“1px” height=“1px” /></li>
[12]
“Bösartige“ Webseite
• Bösartige Seite prüft nach Sicherheitsschwachstellen
• Browser und Browserplugins haben Bugs (Abstürze, Anzeigefehler)
immer wieder auch Sicherheitsprobleme
Sicherheitsschwachstellen ermöglichen Angriffe
• Drive-by-Download Unwissentlicher Download und Installation eines (Malware-)
Programms
Möglich aufgrund von einer Sicherheitsschwachstelle im Browser
• Im Fall von Stels: Redirect auf Webseite mit Blackhole Exploit Kit
Was kann beim Ansurfen einer Webseite schon passieren?
[13]
BlackHole
• Das verbreiteteste Exploit Kit
• Exploit Kit: Kommerzielle kriminelle Software zur
Verbreitung von Malware via Drive-By-Downloads
Kommt mit einer Sammlung an Exploits
Nutzen unterschiedlichste Webbrowser-Schwachstellen aus
Durch Drive-by-Downloads wird das Schadprogramm ohne Wissen des Anwenders auf den Computer heruntergeladen
• Erscheinung: 2011
• Kosten: $1500 und mehr
[14]
Blackhole Administration Panel
Anzahl infizierter PCs
Erfolgsquote
Angewandte Exploits
[15]
Bei anderen WebbrowsernAffiliate scam
Quelle: Dell SecureWorks
[16]
Fähigkeiten von Stels
• Download und Ausführen von Dateien
• Stehlen der Kontaktliste
• Berichten von Systeminformationen (Telefonnummer, IMEI etc.)
• Telefonanrufe machen
• SMS Nachrichten schicken
• Monitor and record SMS messages
• Benachrichtigungen anzeigen
• Applikationen deinstallieren
Funktioniert auf fast allen Android-Versionen
[17]
Schutzmaßnahmen
• Applikationen besser nur vom Android Appstore installieren
• Im Zweifel die Rechte analysieren INTERNET, READ_LOGS
• Allgemein Misstrauen gegenüber Links und Attachments in
E-Mails
SMS
Instant Messages
Unter Android
[18]
AndroidOption, um unter Android Apps aus anderen Quellen zu installieren
[19]
Schutzmaßnahmen
• Software aktuell halten Vor allem den Browser
•IE (Microsoft Update)
•Chrome, Firefox (prüfen selbsttätig)
Betriebssystem (Microsoft Update)
Browser-Plugins
•Online-Check für alle Browser hier möglich:https://www.mozilla.org/plugincheck/
• Einsatz von Antivirus Software sinnvoll
Für Desktop PCs
[20]
Sind meine Browser-Plugins aktuell?
[21]
Zusammenfassung
• Unsichere Webapplikation
• Veraltete Standardsoftware (Linux)
• Ausweitung des Angriffs durch mehrfach verwendete Passwörter
Fallbeispiel: Hack eines Unternehmens
[22]
Zusammenfassung
• Spam für Opfer verschiedener Betriebssysteme
• Kompromittierte Server zur Verbreitung von Drive-By Downloads
Warum werden manchmal kleine Webseiten gehackt?
Fallbeispiel: Malware
Quelle: Google Transparency Report
[23]
Fragen?
• Vielen Dank für die Aufmerksamkeit!