Wie Hacker angreifen - Magdeburger Institut für Sicherheitsforschung
Transcrição
Wie Hacker angreifen - Magdeburger Institut für Sicherheitsforschung
Einführung Angreifer, Angriffsziele, Angriffsvektoren Gegenmaßnahmen Passwörter Fazit Wie Hacker angreifen Stefan Schumacher www.sicherheitsforschung-magdeburg.de 31.07.2013 Wirtschaft und Sicherheit Stefan Schumacher Wie Hacker angreifen www.sicherheitsforschung-magdeburg.de Einführung Angreifer, Angriffsziele, Angriffsvektoren Gegenmaßnahmen Passwörter Fazit Über Mich Direktor des Magdeburger Instituts für Sicherheitsforschung Forschungsprogramme zur Unternehmenssicherheit Berater für Unternehmenssicherheit Organisationssicherheit, Social Engineering, Security Awareness Geek, Nerd, Hacker seit knapp 20 Jahren Herausgeber des Magdeburger Journals zur Sicherheitsforschung www.Sicherheitsforschung-Magdeburg.de Stefan Schumacher Wie Hacker angreifen www.sicherheitsforschung-magdeburg.de Einführung Angreifer, Angriffsziele, Angriffsvektoren Gegenmaßnahmen Passwörter Fazit Informationstechnologie und Sicherheitspolitik Sambleben, J. und Schumacher, S. (Herausgeber) http://www.sicherheitsforschung-magdeburg.de/ buecher.html Stefan Schumacher Wie Hacker angreifen www.sicherheitsforschung-magdeburg.de Einführung Angreifer, Angriffsziele, Angriffsvektoren Gegenmaßnahmen Passwörter Fazit Inhaltsverzeichnis 1 Einführung 2 Angreifer, Angriffsziele, Angriffsvektoren 3 Gegenmaßnahmen 4 Passwörter 5 Fazit Stefan Schumacher Wie Hacker angreifen www.sicherheitsforschung-magdeburg.de Einführung Angreifer, Angriffsziele, Angriffsvektoren Gegenmaßnahmen Passwörter Fazit Einführungsvideo www.lt1.at/tv-berichte/alle/9218/0/50 Stefan Schumacher Wie Hacker angreifen www.sicherheitsforschung-magdeburg.de Einführung Angreifer, Angriffsziele, Angriffsvektoren Gegenmaßnahmen Passwörter Fazit Wirtschaftsspionage NASA-Hack 1986/87: u.a. franz. Rüstungskonzern Thomson (heute Thales) gehackt September 1991: Julian Assange hackt Master-Terminal Nortel Australien »Chinesische« Hacker sollen Tech-Konzern Nortel ausgeplündert haben (SpOn) Hacker hatten von 2000 an Manager-Passwörter und damit vollen Zugriff Nortel wird gegenwärtig liquidiert Stefan Schumacher Wie Hacker angreifen www.sicherheitsforschung-magdeburg.de Einführung Angreifer, Angriffsziele, Angriffsvektoren Gegenmaßnahmen Passwörter Fazit Angriffe auf Unternehmen 07.02.2000: Yahoo!, Buy.com, eBay, Amazon, E-Trade, MSN.com, Dell, ZDNet und CNN per dDoS lahmgelegt FBI schätzt Schaden auf 1,7 Mrd US-$ Angriffe auf Root-DNS-Server schlagen fehl FBI und RCMP identifizieren »Mafiaboy« als Urheber der Attacken einen 15-jährigen High-School-Schüler Operation Payback: dDoS-Attacke auf Visa, Mastercard und Paypal in den Niederlande, 16-jähriger Schüler festgenommen Stefan Schumacher Wie Hacker angreifen www.sicherheitsforschung-magdeburg.de Einführung Angreifer, Angriffsziele, Angriffsvektoren Gegenmaßnahmen Passwörter Fazit Angriffe auf Unternehmen 07.02.2000: Yahoo!, Buy.com, eBay, Amazon, E-Trade, MSN.com, Dell, ZDNet und CNN per dDoS lahmgelegt FBI schätzt Schaden auf 1,7 Mrd US-$ Angriffe auf Root-DNS-Server schlagen fehl FBI und RCMP identifizieren »Mafiaboy« als Urheber der Attacken einen 15-jährigen High-School-Schüler Operation Payback: dDoS-Attacke auf Visa, Mastercard und Paypal in den Niederlande, 16-jähriger Schüler festgenommen Stefan Schumacher Wie Hacker angreifen www.sicherheitsforschung-magdeburg.de Einführung Angreifer, Angriffsziele, Angriffsvektoren Gegenmaßnahmen Passwörter Fazit Inhaltsverzeichnis 1 Einführung 2 Angreifer, Angriffsziele, Angriffsvektoren 3 Gegenmaßnahmen 4 Passwörter 5 Fazit Stefan Schumacher Wie Hacker angreifen www.sicherheitsforschung-magdeburg.de Einführung Angreifer, Angriffsziele, Angriffsvektoren Gegenmaßnahmen Passwörter Fazit Angreifer und Angriffsziele Skript Kiddies: Just for Fun/Because I can politisierste Gruppen (Anonymous, PETA, etc.): Aufmerksamkeit, politische Ziele Geheimdienste (Frankreich, USA, GB, China, Russland): Wirtschaftsspionage oder Sabotage (Stuxnet) Umfassende Auswertung von Kommunikationsdaten durch Echelon/PRISM/Tempora Konkurrenten: Wirtschaftskriminalität Organisierte Kriminalität: Erpressung, Datendiebstahl eigene (Ex-)Mitarbeiter: Rache, Erpressung, Gier Stefan Schumacher Wie Hacker angreifen www.sicherheitsforschung-magdeburg.de Einführung Angreifer, Angriffsziele, Angriffsvektoren Gegenmaßnahmen Passwörter Fazit Datensicherheit und Gefährdungen Wirtschaftskriminalität und Industriespionage kann jeden treffen! Gezielte Angriffe gegen Industrie und Wissenschaft durch ausländische Geheimdienste u.a. aus USA, Frankreich, China, Russland, Iran, Weißrussland ... Gezielte Angriffe durch Konkurrenten, auch gegen KMU! Ungezielte Angriffe durch organisierte Cyberkriminalität u.a. aus Russland gut ausgebildete Mafia-Strukturen in RU, u.a. aus Informatikern und ehemaligen KGB/FSB-Offizieren Stefan Schumacher Wie Hacker angreifen www.sicherheitsforschung-magdeburg.de Einführung Angreifer, Angriffsziele, Angriffsvektoren Gegenmaßnahmen Passwörter Fazit Datensicherheit und Gefährdungen Wirtschaftskriminalität und Industriespionage kann jeden treffen! Gezielte Angriffe gegen Industrie und Wissenschaft durch ausländische Geheimdienste u.a. aus USA, Frankreich, China, Russland, Iran, Weißrussland ... Gezielte Angriffe durch Konkurrenten, auch gegen KMU! Ungezielte Angriffe durch organisierte Cyberkriminalität u.a. aus Russland gut ausgebildete Mafia-Strukturen in RU, u.a. aus Informatikern und ehemaligen KGB/FSB-Offizieren Stefan Schumacher Wie Hacker angreifen www.sicherheitsforschung-magdeburg.de Einführung Angreifer, Angriffsziele, Angriffsvektoren Gegenmaßnahmen Passwörter Fazit Angriffsmöglichkeiten distributed Denial of Service (dDoS) ein Angreifer schickt soviele Anfragen, dass der Server überlastet wird der Angreifer nutzt mehrere Rechner, sog. Botnetz erlangt durch Trojaner Kontrolle über »Zombies«, idR Microsoft Windows Zombies sind normale Privatrechner, keine Kombatanten oder Söldner können jeden Rechner lahmlegen, Verteidigung sehr schwer Botnetze können gemietet werden Bsp: Stacheldraht (2000), Estland (2007), Georgien (2008) Erpressung als Modell Stefan Schumacher Wie Hacker angreifen www.sicherheitsforschung-magdeburg.de Einführung Angreifer, Angriffsziele, Angriffsvektoren Gegenmaßnahmen Passwörter Fazit Angriffsmöglichkeiten einige Beispiele Schwarzmarkt für Sicherheitslücken und Schadsoftware existiert Phishing, Trojaner u.ä. können vorgefertigt beschafft werden Untergrund-Chaträume im IRC oder in diversen Untergrund-Foren einfache Standardangriffe sind leicht und recht billig durchzuführen! Wer sollte mich schon angreifen, bei mir gibt es doch nichts zu holen! Falsch! Ein »Schleppnetz« ist billig Stefan Schumacher Wie Hacker angreifen www.sicherheitsforschung-magdeburg.de Einführung Angreifer, Angriffsziele, Angriffsvektoren Gegenmaßnahmen Passwörter Fazit Angriffsmöglichkeiten einige Beispiele Schwarzmarkt für Sicherheitslücken und Schadsoftware existiert Phishing, Trojaner u.ä. können vorgefertigt beschafft werden Untergrund-Chaträume im IRC oder in diversen Untergrund-Foren einfache Standardangriffe sind leicht und recht billig durchzuführen! Wer sollte mich schon angreifen, bei mir gibt es doch nichts zu holen! Falsch! Ein »Schleppnetz« ist billig Stefan Schumacher Wie Hacker angreifen www.sicherheitsforschung-magdeburg.de Einführung Angreifer, Angriffsziele, Angriffsvektoren Gegenmaßnahmen Passwörter Fazit Angriffswerkzeuge automatisierte Scanner durchsuchen große Teile des Internets scannen nach Betriebssystemversionen mit bekannten Sicherheitslücken brechen dort automatisiert ein und trojanisieren Zombies Botnetze BredoLab: 30.000.000; Mariposa 13.000.00; Conficker 9.000.000 Zombies; Rustock 1.700.000 Zombies und 44 Milliarden Spammails/d Stefan Schumacher Wie Hacker angreifen www.sicherheitsforschung-magdeburg.de Einführung Angreifer, Angriffsziele, Angriffsvektoren Gegenmaßnahmen Passwörter Fazit Angriffsvektoren keine Passwörter, schwache Passwörter, Standard-Passwörter (Handout) bekannte Sicherheitslücken in Betriebssystemen (Updates) Sicherheitslücken in Anwendungen: PDF-Exploits im Acrobat Reader E-Mail mit angehängter PDF (Auftragsanfrage?), wird im Acrobat Reader geöffnet Rechner geownet Drive-By-Download im Browser: präparierte Webseite wird aufgerufen, im Hintergrund der Browser exploited und das Betriebssystem geownet Zero-Day-Exploit: Ausnutzung einer Sicherheitslücke am 0. Tag keine Updates verfügbar, siehe Stuxnet Stefan Schumacher Wie Hacker angreifen www.sicherheitsforschung-magdeburg.de Einführung Angreifer, Angriffsziele, Angriffsvektoren Gegenmaßnahmen Passwörter Fazit Stuxnet greift Industristeuerungsanlagen (SCADA) an u.a. Siemens SIMATIC Step 7 für SPS Automatisierungstechnik als Angriffsziel Stromversorgung? Smartmeter? Smartgrid? Stefan Schumacher Wie Hacker angreifen www.sicherheitsforschung-magdeburg.de Einführung Angreifer, Angriffsziele, Angriffsvektoren Gegenmaßnahmen Passwörter Fazit Social Engineering Jawoll, Herr Hauptmann ... Ausnutzen menschlicher Verhaltensweisen Warum soll ich versuchen einen Rechner zu cracken, wenn ich doch den Benutzer nur nach dem Passwort fragen muss? Profiling (aus Facebook & Co., Namen von Freunden, Lieblingsmusik, Urlaub in ...) Spear Phishing Stefan Schumacher Wie Hacker angreifen www.sicherheitsforschung-magdeburg.de Einführung Angreifer, Angriffsziele, Angriffsvektoren Gegenmaßnahmen Passwörter Fazit Inhaltsverzeichnis 1 Einführung 2 Angreifer, Angriffsziele, Angriffsvektoren 3 Gegenmaßnahmen 4 Passwörter 5 Fazit Stefan Schumacher Wie Hacker angreifen www.sicherheitsforschung-magdeburg.de Einführung Angreifer, Angriffsziele, Angriffsvektoren Gegenmaßnahmen Passwörter Fazit Metasploit-Demo Stefan Schumacher Wie Hacker angreifen www.sicherheitsforschung-magdeburg.de Einführung Angreifer, Angriffsziele, Angriffsvektoren Gegenmaßnahmen Passwörter Fazit Gegenmaßnahmen Datenhygiene: auch unscheinbare Informationen können zusammengesetzt werden Multi-Faktor-Authentifikation: mehrere Sicherheitsmaßnahmen in der Tiefe Anrufe und E-Mails gegenchecken nicht alles glauben :-) Updates, Updates, Updates Sicherheit im Unternehmen prüfen (Penetration Test, Externe Validierung) Stefan Schumacher Wie Hacker angreifen www.sicherheitsforschung-magdeburg.de Einführung Angreifer, Angriffsziele, Angriffsvektoren Gegenmaßnahmen Passwörter Fazit Gegenmaßnahmen Kryptographie einsetzen (Truecrypt, GnuPG) Backups machen Dateisystemintegrität prüfen Stefan Schumacher Wie Hacker angreifen www.sicherheitsforschung-magdeburg.de Einführung Angreifer, Angriffsziele, Angriffsvektoren Gegenmaßnahmen Passwörter Fazit Inhaltsverzeichnis 1 Einführung 2 Angreifer, Angriffsziele, Angriffsvektoren 3 Gegenmaßnahmen 4 Passwörter 5 Fazit Stefan Schumacher Wie Hacker angreifen www.sicherheitsforschung-magdeburg.de Einführung Angreifer, Angriffsziele, Angriffsvektoren Gegenmaßnahmen Passwörter Fazit Passwörter werden gehasht gespeichert Hash := mathematische Einwegfunktion Passwort Hash Stefan Schumacher Wie Hacker angreifen Hash: einfach Passwort: schwer www.sicherheitsforschung-magdeburg.de Einführung Angreifer, Angriffsziele, Angriffsvektoren Gegenmaßnahmen Passwörter Fazit Wörterbuchangriffe Kombinatorik fröhliches Passwortraten: alle Kombinationen probieren Anzahl Kombinationen = verf uegbare BuchstabenP asswortlaenge 26 Buchstaben (a-z), 5 Stellen: 265 = 11.881.376 99 Buchstaben, 10 Stellen: 9910 = 90.438.207.500.880.449.001 Annahme: 5 Passwörter pro Sekunde 432000 pro Tag 265 432.000 = 27, 5 Tage (9910 /432.000)/365000 ≈ 570 Millionen Jahrtausende Stefan Schumacher Wie Hacker angreifen www.sicherheitsforschung-magdeburg.de Einführung Angreifer, Angriffsziele, Angriffsvektoren Gegenmaßnahmen Passwörter Fazit Wörterbuchangriffe Kombinatorik fröhliches Passwortraten: alle Kombinationen probieren Anzahl Kombinationen = verf uegbare BuchstabenP asswortlaenge 26 Buchstaben (a-z), 5 Stellen: 265 = 11.881.376 99 Buchstaben, 10 Stellen: 9910 = 90.438.207.500.880.449.001 Annahme: 5 Passwörter pro Sekunde 432000 pro Tag 265 432.000 = 27, 5 Tage (9910 /432.000)/365000 ≈ 570 Millionen Jahrtausende Annahme: 5.000 Passwörter pro Sekunde 432.000.000 pro Tag 265 432.000.000 ≈ 40 M inuten (9910 /432.000.55)/365000 ≈ 570 Tausend Jahrtausende Stefan Schumacher Wie Hacker angreifen www.sicherheitsforschung-magdeburg.de Einführung Angreifer, Angriffsziele, Angriffsvektoren Gegenmaßnahmen Passwörter Fazit Wörterbuchangriffe Kombinatorik fröhliches Passwortraten: alle Kombinationen probieren Anzahl Kombinationen = verf uegbare BuchstabenP asswortlaenge 26 Buchstaben (a-z), 5 Stellen: 265 = 11.881.376 99 Buchstaben, 10 Stellen: 9910 = 90.438.207.500.880.449.001 Annahme: 5 Passwörter pro Sekunde 432000 pro Tag 265 432.000 = 27, 5 Tage (9910 /432.000)/365000 ≈ 570 Millionen Jahrtausende Annahme: 5.000 Passwörter pro Sekunde 432.000.000 pro Tag 265 432.000.000 ≈ 40 M inuten (9910 /432.000.55)/365000 ≈ 570 Tausend Jahrtausende Stefan Schumacher Wie Hacker angreifen www.sicherheitsforschung-magdeburg.de Einführung Angreifer, Angriffsziele, Angriffsvektoren Gegenmaßnahmen Passwörter Fazit Stratfor-Demo Stefan Schumacher Wie Hacker angreifen www.sicherheitsforschung-magdeburg.de Einführung Angreifer, Angriffsziele, Angriffsvektoren Gegenmaßnahmen Passwörter Fazit Verwenden Sie kein Passwort das erraten werden kann! Verwenden Sie kein Passwort das in einem Wörterbuch steht! Verwenden Sie ein langes Passwort mit Groß- und Kleinschreibung, Zahlen und Sonderzeichen! Das Passwort muss geheim bleiben! Verwenden Sie nicht überall das selbe Passwort! Wechseln Sie Ihre Passwörter! Stefan Schumacher Wie Hacker angreifen www.sicherheitsforschung-magdeburg.de Einführung Angreifer, Angriffsziele, Angriffsvektoren Gegenmaßnahmen Passwörter Fazit Passwörter von Hand generieren Einen Satz ausdenken und die Initialen zusammenziehen Wem der große Wurf gelungen , Eines Freundes Freund zu sein. - Friedrich Schiller, 1805 Stefan Schumacher Wie Hacker angreifen www.sicherheitsforschung-magdeburg.de Einführung Angreifer, Angriffsziele, Angriffsvektoren Gegenmaßnahmen Passwörter Fazit Passwörter von Hand generieren Einen Satz ausdenken und die Initialen zusammenziehen Wem der große Wurf gelungen , Eines Freundes Freund zu sein. - Friedrich Schiller, 1805 WdgWg,EFFzs.-FS,1805 Stefan Schumacher Wie Hacker angreifen www.sicherheitsforschung-magdeburg.de Einführung Angreifer, Angriffsziele, Angriffsvektoren Gegenmaßnahmen Passwörter Fazit Passwörter von Hand generieren Einen Satz ausdenken und die Initialen zusammenziehen Wem der große Wurf gelungen , Eines Freundes Freund zu sein. - Friedrich Schiller, 1805 WdgWg,EFFzs.-FS,1805 Wörter und Zahlen mischen: R1i2n3g4p5a6r7a8b9e10l 2L2e0s1s1i7n2g9 GmoitatrhhoplEd Stefan Schumacher Wie Hacker angreifen www.sicherheitsforschung-magdeburg.de Einführung Angreifer, Angriffsziele, Angriffsvektoren Gegenmaßnahmen Passwörter Fazit Passwörter von Hand generieren Einen Satz ausdenken und die Initialen zusammenziehen Wem der große Wurf gelungen , Eines Freundes Freund zu sein. - Friedrich Schiller, 1805 WdgWg,EFFzs.-FS,1805 Wörter und Zahlen mischen: R1i2n3g4p5a6r7a8b9e10l 2L2e0s1s1i7n2g9 GmoitatrhhoplEd Leetspeak: D03s Any1 in |-|3r3 5pE4|< 31337? Stefan Schumacher Wie Hacker angreifen www.sicherheitsforschung-magdeburg.de Einführung Angreifer, Angriffsziele, Angriffsvektoren Gegenmaßnahmen Passwörter Fazit Passwörter von Hand generieren Einen Satz ausdenken und die Initialen zusammenziehen Wem der große Wurf gelungen , Eines Freundes Freund zu sein. - Friedrich Schiller, 1805 WdgWg,EFFzs.-FS,1805 Wörter und Zahlen mischen: R1i2n3g4p5a6r7a8b9e10l 2L2e0s1s1i7n2g9 GmoitatrhhoplEd Leetspeak: D03s Any1 in |-|3r3 5pE4|< 31337? Dialekte: Vocheljesank in Machteburch; Motschekiebschen Stefan Schumacher Wie Hacker angreifen www.sicherheitsforschung-magdeburg.de Einführung Angreifer, Angriffsziele, Angriffsvektoren Gegenmaßnahmen Passwörter Fazit Passwörter von Hand generieren Einen Satz ausdenken und die Initialen zusammenziehen Wem der große Wurf gelungen , Eines Freundes Freund zu sein. - Friedrich Schiller, 1805 WdgWg,EFFzs.-FS,1805 Wörter und Zahlen mischen: R1i2n3g4p5a6r7a8b9e10l 2L2e0s1s1i7n2g9 GmoitatrhhoplEd Leetspeak: D03s Any1 in |-|3r3 5pE4|< 31337? Dialekte: Vocheljesank in Machteburch; Motschekiebschen Stefan Schumacher Wie Hacker angreifen www.sicherheitsforschung-magdeburg.de Einführung Angreifer, Angriffsziele, Angriffsvektoren Gegenmaßnahmen Passwörter Fazit Inhaltsverzeichnis 1 Einführung 2 Angreifer, Angriffsziele, Angriffsvektoren 3 Gegenmaßnahmen 4 Passwörter 5 Fazit Stefan Schumacher Wie Hacker angreifen www.sicherheitsforschung-magdeburg.de Einführung Angreifer, Angriffsziele, Angriffsvektoren Gegenmaßnahmen Passwörter Fazit Fazit Der Mensch spielt die wichtigste Rolle in der Unternehmenssicherheit! Menschen treffen Entscheidungen, nicht Computer! Schulungen notwendig, Ziel ist Handlungskompetenz Sensibilisierungen, Weiterbildungen, Technische Fachkompetenz, Wissensmanagement, Personal- und Organisationsentwicklung ... Security-Awareness-Kampagnen Sicherheitskurse (auch VHS) Stefan Schumacher Wie Hacker angreifen www.sicherheitsforschung-magdeburg.de Einführung Angreifer, Angriffsziele, Angriffsvektoren Gegenmaßnahmen Passwörter Fazit Fazit Die Frage ist nicht ob ich ein System hacken kann sondern welche Ressourcen ich dafür benötige Stefan Schumacher Wie Hacker angreifen www.sicherheitsforschung-magdeburg.de Einführung Angreifer, Angriffsziele, Angriffsvektoren Gegenmaßnahmen Passwörter Fazit Forschungsprogramme des MIS Psychologie der Sicherheit Social Engineering Security Awareness, Sicherheit in Organisationen Didaktik der Sicherheit Didaktik der Kryptographie Lernfelder: Fachinformatiker IT-Sicherheit Stefan Schumacher Wie Hacker angreifen www.sicherheitsforschung-magdeburg.de Einführung Angreifer, Angriffsziele, Angriffsvektoren Gegenmaßnahmen Passwörter Fazit sicherheitsforschung-magdeburg.de [email protected] youtube.de/Sicherheitsforschung http://www.sicherheitsforschungmagdeburg.de/publikationen/journal.html Stefan Schumacher Wie Hacker angreifen www.sicherheitsforschung-magdeburg.de