Wie Hacker angreifen - Magdeburger Institut für Sicherheitsforschung

Einführung
Angreifer, Angriffsziele, Angriffsvektoren
Gegenmaßnahmen
Passwörter
Fazit
Wie Hacker angreifen
Stefan Schumacher
www.sicherheitsforschung-magdeburg.de
31.07.2013
Wirtschaft und Sicherheit
Stefan Schumacher
Wie Hacker angreifen
www.sicherheitsforschung-magdeburg.de
Einführung
Angreifer, Angriffsziele, Angriffsvektoren
Gegenmaßnahmen
Passwörter
Fazit
Über Mich
Direktor des Magdeburger Instituts für
Sicherheitsforschung
Forschungsprogramme zur Unternehmenssicherheit
Berater für Unternehmenssicherheit
Organisationssicherheit, Social Engineering, Security
Awareness
Geek, Nerd, Hacker seit knapp 20 Jahren
Herausgeber des Magdeburger Journals zur
Sicherheitsforschung
www.Sicherheitsforschung-Magdeburg.de
Stefan Schumacher
Wie Hacker angreifen
www.sicherheitsforschung-magdeburg.de
Einführung
Angreifer, Angriffsziele, Angriffsvektoren
Gegenmaßnahmen
Passwörter
Fazit
Informationstechnologie und Sicherheitspolitik
Sambleben, J. und Schumacher, S. (Herausgeber)
http://www.sicherheitsforschung-magdeburg.de/
buecher.html
Stefan Schumacher
Wie Hacker angreifen
www.sicherheitsforschung-magdeburg.de
Einführung
Angreifer, Angriffsziele, Angriffsvektoren
Gegenmaßnahmen
Passwörter
Fazit
Inhaltsverzeichnis
1
Einführung
2
Angreifer, Angriffsziele, Angriffsvektoren
3
Gegenmaßnahmen
4
Passwörter
5
Fazit
Stefan Schumacher
Wie Hacker angreifen
www.sicherheitsforschung-magdeburg.de
Einführung
Angreifer, Angriffsziele, Angriffsvektoren
Gegenmaßnahmen
Passwörter
Fazit
Einführungsvideo
www.lt1.at/tv-berichte/alle/9218/0/50
Stefan Schumacher
Wie Hacker angreifen
www.sicherheitsforschung-magdeburg.de
Einführung
Angreifer, Angriffsziele, Angriffsvektoren
Gegenmaßnahmen
Passwörter
Fazit
Wirtschaftsspionage
NASA-Hack 1986/87: u.a. franz. Rüstungskonzern
Thomson (heute Thales) gehackt
September 1991: Julian Assange hackt Master-Terminal
Nortel Australien
»Chinesische« Hacker sollen Tech-Konzern Nortel
ausgeplündert haben (SpOn)
Hacker hatten von 2000 an Manager-Passwörter und damit
vollen Zugriff
Nortel wird gegenwärtig liquidiert
Stefan Schumacher
Wie Hacker angreifen
www.sicherheitsforschung-magdeburg.de
Einführung
Angreifer, Angriffsziele, Angriffsvektoren
Gegenmaßnahmen
Passwörter
Fazit
Angriffe auf Unternehmen
07.02.2000: Yahoo!, Buy.com, eBay, Amazon, E-Trade,
MSN.com, Dell, ZDNet und CNN per dDoS lahmgelegt
FBI schätzt Schaden auf 1,7 Mrd US-$
Angriffe auf Root-DNS-Server schlagen fehl
FBI und RCMP identifizieren »Mafiaboy« als Urheber der
Attacken einen 15-jährigen High-School-Schüler
Operation Payback: dDoS-Attacke auf Visa, Mastercard
und Paypal in den Niederlande, 16-jähriger Schüler
festgenommen
Stefan Schumacher
Wie Hacker angreifen
www.sicherheitsforschung-magdeburg.de
Einführung
Angreifer, Angriffsziele, Angriffsvektoren
Gegenmaßnahmen
Passwörter
Fazit
Angriffe auf Unternehmen
07.02.2000: Yahoo!, Buy.com, eBay, Amazon, E-Trade,
MSN.com, Dell, ZDNet und CNN per dDoS lahmgelegt
FBI schätzt Schaden auf 1,7 Mrd US-$
Angriffe auf Root-DNS-Server schlagen fehl
FBI und RCMP identifizieren »Mafiaboy« als Urheber der
Attacken einen 15-jährigen High-School-Schüler
Operation Payback: dDoS-Attacke auf Visa, Mastercard
und Paypal in den Niederlande, 16-jähriger Schüler
festgenommen
Stefan Schumacher
Wie Hacker angreifen
www.sicherheitsforschung-magdeburg.de
Einführung
Angreifer, Angriffsziele, Angriffsvektoren
Gegenmaßnahmen
Passwörter
Fazit
Inhaltsverzeichnis
1
Einführung
2
Angreifer, Angriffsziele, Angriffsvektoren
3
Gegenmaßnahmen
4
Passwörter
5
Fazit
Stefan Schumacher
Wie Hacker angreifen
www.sicherheitsforschung-magdeburg.de
Einführung
Angreifer, Angriffsziele, Angriffsvektoren
Gegenmaßnahmen
Passwörter
Fazit
Angreifer und Angriffsziele
Skript Kiddies: Just for Fun/Because I can
politisierste Gruppen (Anonymous, PETA, etc.):
Aufmerksamkeit, politische Ziele
Geheimdienste (Frankreich, USA, GB, China, Russland):
Wirtschaftsspionage oder Sabotage (Stuxnet)
Umfassende Auswertung von Kommunikationsdaten
durch Echelon/PRISM/Tempora
Konkurrenten: Wirtschaftskriminalität
Organisierte Kriminalität: Erpressung, Datendiebstahl
eigene (Ex-)Mitarbeiter: Rache, Erpressung, Gier
Stefan Schumacher
Wie Hacker angreifen
www.sicherheitsforschung-magdeburg.de
Einführung
Angreifer, Angriffsziele, Angriffsvektoren
Gegenmaßnahmen
Passwörter
Fazit
Datensicherheit und Gefährdungen
Wirtschaftskriminalität und Industriespionage kann jeden
treffen!
Gezielte Angriffe gegen Industrie und Wissenschaft durch
ausländische Geheimdienste u.a. aus USA, Frankreich,
China, Russland, Iran, Weißrussland ...
Gezielte Angriffe durch Konkurrenten, auch gegen KMU!
Ungezielte Angriffe durch organisierte Cyberkriminalität
u.a. aus Russland
gut ausgebildete Mafia-Strukturen in RU, u.a. aus
Informatikern und ehemaligen KGB/FSB-Offizieren
Stefan Schumacher
Wie Hacker angreifen
www.sicherheitsforschung-magdeburg.de
Einführung
Angreifer, Angriffsziele, Angriffsvektoren
Gegenmaßnahmen
Passwörter
Fazit
Datensicherheit und Gefährdungen
Wirtschaftskriminalität und Industriespionage kann jeden
treffen!
Gezielte Angriffe gegen Industrie und Wissenschaft durch
ausländische Geheimdienste u.a. aus USA, Frankreich,
China, Russland, Iran, Weißrussland ...
Gezielte Angriffe durch Konkurrenten, auch gegen KMU!
Ungezielte Angriffe durch organisierte Cyberkriminalität
u.a. aus Russland
gut ausgebildete Mafia-Strukturen in RU, u.a. aus
Informatikern und ehemaligen KGB/FSB-Offizieren
Stefan Schumacher
Wie Hacker angreifen
www.sicherheitsforschung-magdeburg.de
Einführung
Angreifer, Angriffsziele, Angriffsvektoren
Gegenmaßnahmen
Passwörter
Fazit
Angriffsmöglichkeiten
distributed Denial of Service (dDoS)
ein Angreifer schickt soviele Anfragen, dass der Server
überlastet wird
der Angreifer nutzt mehrere Rechner, sog. Botnetz
erlangt durch Trojaner Kontrolle über »Zombies«, idR
Microsoft Windows
Zombies sind normale Privatrechner, keine Kombatanten
oder Söldner
können jeden Rechner lahmlegen, Verteidigung sehr
schwer
Botnetze können gemietet werden
Bsp: Stacheldraht (2000), Estland (2007), Georgien (2008)
Erpressung als Modell
Stefan Schumacher
Wie Hacker angreifen
www.sicherheitsforschung-magdeburg.de
Einführung
Angreifer, Angriffsziele, Angriffsvektoren
Gegenmaßnahmen
Passwörter
Fazit
Angriffsmöglichkeiten
einige Beispiele
Schwarzmarkt für Sicherheitslücken und Schadsoftware
existiert
Phishing, Trojaner u.ä. können vorgefertigt beschafft
werden
Untergrund-Chaträume im IRC oder in diversen
Untergrund-Foren
einfache Standardangriffe sind leicht und recht billig
durchzuführen!
Wer sollte mich schon angreifen, bei mir gibt es doch
nichts zu holen!
Falsch! Ein »Schleppnetz« ist billig
Stefan Schumacher
Wie Hacker angreifen
www.sicherheitsforschung-magdeburg.de
Einführung
Angreifer, Angriffsziele, Angriffsvektoren
Gegenmaßnahmen
Passwörter
Fazit
Angriffsmöglichkeiten
einige Beispiele
Schwarzmarkt für Sicherheitslücken und Schadsoftware
existiert
Phishing, Trojaner u.ä. können vorgefertigt beschafft
werden
Untergrund-Chaträume im IRC oder in diversen
Untergrund-Foren
einfache Standardangriffe sind leicht und recht billig
durchzuführen!
Wer sollte mich schon angreifen, bei mir gibt es doch
nichts zu holen!
Falsch! Ein »Schleppnetz« ist billig
Stefan Schumacher
Wie Hacker angreifen
www.sicherheitsforschung-magdeburg.de
Einführung
Angreifer, Angriffsziele, Angriffsvektoren
Gegenmaßnahmen
Passwörter
Fazit
Angriffswerkzeuge
automatisierte Scanner durchsuchen große Teile des
Internets
scannen nach Betriebssystemversionen mit bekannten
Sicherheitslücken
brechen dort automatisiert ein und trojanisieren Zombies
Botnetze
BredoLab: 30.000.000; Mariposa 13.000.00; Conficker
9.000.000 Zombies; Rustock 1.700.000 Zombies und 44
Milliarden Spammails/d
Stefan Schumacher
Wie Hacker angreifen
www.sicherheitsforschung-magdeburg.de
Einführung
Angreifer, Angriffsziele, Angriffsvektoren
Gegenmaßnahmen
Passwörter
Fazit
Angriffsvektoren
keine Passwörter, schwache Passwörter,
Standard-Passwörter (Handout)
bekannte Sicherheitslücken in Betriebssystemen (Updates)
Sicherheitslücken in Anwendungen: PDF-Exploits im
Acrobat Reader
E-Mail mit angehängter PDF (Auftragsanfrage?), wird im
Acrobat Reader geöffnet Rechner geownet
Drive-By-Download im Browser: präparierte Webseite
wird aufgerufen, im Hintergrund der Browser exploited
und das Betriebssystem geownet
Zero-Day-Exploit: Ausnutzung einer Sicherheitslücke am
0. Tag keine Updates verfügbar, siehe Stuxnet
Stefan Schumacher
Wie Hacker angreifen
www.sicherheitsforschung-magdeburg.de
Einführung
Angreifer, Angriffsziele, Angriffsvektoren
Gegenmaßnahmen
Passwörter
Fazit
Stuxnet
greift Industristeuerungsanlagen (SCADA) an
u.a. Siemens SIMATIC Step 7 für SPS
Automatisierungstechnik als Angriffsziel
Stromversorgung? Smartmeter? Smartgrid?
Stefan Schumacher
Wie Hacker angreifen
www.sicherheitsforschung-magdeburg.de
Einführung
Angreifer, Angriffsziele, Angriffsvektoren
Gegenmaßnahmen
Passwörter
Fazit
Social Engineering
Jawoll, Herr Hauptmann ...
Ausnutzen menschlicher
Verhaltensweisen
Warum soll ich versuchen einen
Rechner zu cracken, wenn ich doch
den Benutzer nur nach dem
Passwort fragen muss?
Profiling (aus Facebook & Co.,
Namen von Freunden,
Lieblingsmusik, Urlaub in ...)
Spear Phishing
Stefan Schumacher
Wie Hacker angreifen
www.sicherheitsforschung-magdeburg.de
Einführung
Angreifer, Angriffsziele, Angriffsvektoren
Gegenmaßnahmen
Passwörter
Fazit
Inhaltsverzeichnis
1
Einführung
2
Angreifer, Angriffsziele, Angriffsvektoren
3
Gegenmaßnahmen
4
Passwörter
5
Fazit
Stefan Schumacher
Wie Hacker angreifen
www.sicherheitsforschung-magdeburg.de
Einführung
Angreifer, Angriffsziele, Angriffsvektoren
Gegenmaßnahmen
Passwörter
Fazit
Metasploit-Demo
Stefan Schumacher
Wie Hacker angreifen
www.sicherheitsforschung-magdeburg.de
Einführung
Angreifer, Angriffsziele, Angriffsvektoren
Gegenmaßnahmen
Passwörter
Fazit
Gegenmaßnahmen
Datenhygiene: auch unscheinbare Informationen können
zusammengesetzt werden
Multi-Faktor-Authentifikation: mehrere
Sicherheitsmaßnahmen in der Tiefe
Anrufe und E-Mails gegenchecken
nicht alles glauben :-)
Updates, Updates, Updates
Sicherheit im Unternehmen prüfen (Penetration Test,
Externe Validierung)
Stefan Schumacher
Wie Hacker angreifen
www.sicherheitsforschung-magdeburg.de
Einführung
Angreifer, Angriffsziele, Angriffsvektoren
Gegenmaßnahmen
Passwörter
Fazit
Gegenmaßnahmen
Kryptographie einsetzen (Truecrypt, GnuPG)
Backups machen
Dateisystemintegrität prüfen
Stefan Schumacher
Wie Hacker angreifen
www.sicherheitsforschung-magdeburg.de
Einführung
Angreifer, Angriffsziele, Angriffsvektoren
Gegenmaßnahmen
Passwörter
Fazit
Inhaltsverzeichnis
1
Einführung
2
Angreifer, Angriffsziele, Angriffsvektoren
3
Gegenmaßnahmen
4
Passwörter
5
Fazit
Stefan Schumacher
Wie Hacker angreifen
www.sicherheitsforschung-magdeburg.de
Einführung
Angreifer, Angriffsziele, Angriffsvektoren
Gegenmaßnahmen
Passwörter
Fazit
Passwörter
werden gehasht gespeichert
Hash := mathematische Einwegfunktion
Passwort
Hash
Stefan Schumacher
Wie Hacker angreifen
Hash: einfach
Passwort: schwer
www.sicherheitsforschung-magdeburg.de
Einführung
Angreifer, Angriffsziele, Angriffsvektoren
Gegenmaßnahmen
Passwörter
Fazit
Wörterbuchangriffe
Kombinatorik
fröhliches Passwortraten: alle Kombinationen probieren
Anzahl Kombinationen =
verf uegbare BuchstabenP asswortlaenge
26 Buchstaben (a-z), 5 Stellen: 265 = 11.881.376
99 Buchstaben, 10 Stellen:
9910 = 90.438.207.500.880.449.001
Annahme: 5 Passwörter pro Sekunde 432000 pro Tag
265
432.000 = 27, 5 Tage
(9910 /432.000)/365000 ≈ 570 Millionen Jahrtausende
Stefan Schumacher
Wie Hacker angreifen
www.sicherheitsforschung-magdeburg.de
Einführung
Angreifer, Angriffsziele, Angriffsvektoren
Gegenmaßnahmen
Passwörter
Fazit
Wörterbuchangriffe
Kombinatorik
fröhliches Passwortraten: alle Kombinationen probieren
Anzahl Kombinationen =
verf uegbare BuchstabenP asswortlaenge
26 Buchstaben (a-z), 5 Stellen: 265 = 11.881.376
99 Buchstaben, 10 Stellen:
9910 = 90.438.207.500.880.449.001
Annahme: 5 Passwörter pro Sekunde 432000 pro Tag
265
432.000 = 27, 5 Tage
(9910 /432.000)/365000 ≈ 570 Millionen Jahrtausende
Annahme: 5.000 Passwörter pro Sekunde 432.000.000
pro Tag
265
432.000.000 ≈ 40 M inuten
(9910 /432.000.55)/365000 ≈ 570 Tausend Jahrtausende
Stefan Schumacher
Wie Hacker angreifen
www.sicherheitsforschung-magdeburg.de
Einführung
Angreifer, Angriffsziele, Angriffsvektoren
Gegenmaßnahmen
Passwörter
Fazit
Wörterbuchangriffe
Kombinatorik
fröhliches Passwortraten: alle Kombinationen probieren
Anzahl Kombinationen =
verf uegbare BuchstabenP asswortlaenge
26 Buchstaben (a-z), 5 Stellen: 265 = 11.881.376
99 Buchstaben, 10 Stellen:
9910 = 90.438.207.500.880.449.001
Annahme: 5 Passwörter pro Sekunde 432000 pro Tag
265
432.000 = 27, 5 Tage
(9910 /432.000)/365000 ≈ 570 Millionen Jahrtausende
Annahme: 5.000 Passwörter pro Sekunde 432.000.000
pro Tag
265
432.000.000 ≈ 40 M inuten
(9910 /432.000.55)/365000 ≈ 570 Tausend Jahrtausende
Stefan Schumacher
Wie Hacker angreifen
www.sicherheitsforschung-magdeburg.de
Einführung
Angreifer, Angriffsziele, Angriffsvektoren
Gegenmaßnahmen
Passwörter
Fazit
Stratfor-Demo
Stefan Schumacher
Wie Hacker angreifen
www.sicherheitsforschung-magdeburg.de
Einführung
Angreifer, Angriffsziele, Angriffsvektoren
Gegenmaßnahmen
Passwörter
Fazit
Verwenden Sie kein Passwort das erraten werden kann!
Verwenden Sie kein Passwort das in einem Wörterbuch
steht!
Verwenden Sie ein langes Passwort mit Groß- und
Kleinschreibung, Zahlen und Sonderzeichen!
Das Passwort muss geheim bleiben!
Verwenden Sie nicht überall das selbe Passwort!
Wechseln Sie Ihre Passwörter!
Stefan Schumacher
Wie Hacker angreifen
www.sicherheitsforschung-magdeburg.de
Einführung
Angreifer, Angriffsziele, Angriffsvektoren
Gegenmaßnahmen
Passwörter
Fazit
Passwörter von Hand generieren
Einen Satz ausdenken und die Initialen zusammenziehen
Wem der große Wurf gelungen ,
Eines Freundes Freund zu sein.
- Friedrich Schiller, 1805
Stefan Schumacher
Wie Hacker angreifen
www.sicherheitsforschung-magdeburg.de
Einführung
Angreifer, Angriffsziele, Angriffsvektoren
Gegenmaßnahmen
Passwörter
Fazit
Passwörter von Hand generieren
Einen Satz ausdenken und die Initialen zusammenziehen
Wem der große Wurf gelungen ,
Eines Freundes Freund zu sein.
- Friedrich Schiller, 1805
WdgWg,EFFzs.-FS,1805
Stefan Schumacher
Wie Hacker angreifen
www.sicherheitsforschung-magdeburg.de
Einführung
Angreifer, Angriffsziele, Angriffsvektoren
Gegenmaßnahmen
Passwörter
Fazit
Passwörter von Hand generieren
Einen Satz ausdenken und die Initialen zusammenziehen
Wem der große Wurf gelungen ,
Eines Freundes Freund zu sein.
- Friedrich Schiller, 1805
WdgWg,EFFzs.-FS,1805
Wörter und Zahlen mischen:
R1i2n3g4p5a6r7a8b9e10l
2L2e0s1s1i7n2g9
GmoitatrhhoplEd
Stefan Schumacher
Wie Hacker angreifen
www.sicherheitsforschung-magdeburg.de
Einführung
Angreifer, Angriffsziele, Angriffsvektoren
Gegenmaßnahmen
Passwörter
Fazit
Passwörter von Hand generieren
Einen Satz ausdenken und die Initialen zusammenziehen
Wem der große Wurf gelungen ,
Eines Freundes Freund zu sein.
- Friedrich Schiller, 1805
WdgWg,EFFzs.-FS,1805
Wörter und Zahlen mischen:
R1i2n3g4p5a6r7a8b9e10l
2L2e0s1s1i7n2g9
GmoitatrhhoplEd
Leetspeak: D03s Any1 in |-|3r3 5pE4|< 31337?
Stefan Schumacher
Wie Hacker angreifen
www.sicherheitsforschung-magdeburg.de
Einführung
Angreifer, Angriffsziele, Angriffsvektoren
Gegenmaßnahmen
Passwörter
Fazit
Passwörter von Hand generieren
Einen Satz ausdenken und die Initialen zusammenziehen
Wem der große Wurf gelungen ,
Eines Freundes Freund zu sein.
- Friedrich Schiller, 1805
WdgWg,EFFzs.-FS,1805
Wörter und Zahlen mischen:
R1i2n3g4p5a6r7a8b9e10l
2L2e0s1s1i7n2g9
GmoitatrhhoplEd
Leetspeak: D03s Any1 in |-|3r3 5pE4|< 31337?
Dialekte: Vocheljesank in Machteburch;
Motschekiebschen
Stefan Schumacher
Wie Hacker angreifen
www.sicherheitsforschung-magdeburg.de
Einführung
Angreifer, Angriffsziele, Angriffsvektoren
Gegenmaßnahmen
Passwörter
Fazit
Passwörter von Hand generieren
Einen Satz ausdenken und die Initialen zusammenziehen
Wem der große Wurf gelungen ,
Eines Freundes Freund zu sein.
- Friedrich Schiller, 1805
WdgWg,EFFzs.-FS,1805
Wörter und Zahlen mischen:
R1i2n3g4p5a6r7a8b9e10l
2L2e0s1s1i7n2g9
GmoitatrhhoplEd
Leetspeak: D03s Any1 in |-|3r3 5pE4|< 31337?
Dialekte: Vocheljesank in Machteburch;
Motschekiebschen
Stefan Schumacher
Wie Hacker angreifen
www.sicherheitsforschung-magdeburg.de
Einführung
Angreifer, Angriffsziele, Angriffsvektoren
Gegenmaßnahmen
Passwörter
Fazit
Inhaltsverzeichnis
1
Einführung
2
Angreifer, Angriffsziele, Angriffsvektoren
3
Gegenmaßnahmen
4
Passwörter
5
Fazit
Stefan Schumacher
Wie Hacker angreifen
www.sicherheitsforschung-magdeburg.de
Einführung
Angreifer, Angriffsziele, Angriffsvektoren
Gegenmaßnahmen
Passwörter
Fazit
Fazit
Der Mensch spielt die wichtigste Rolle in der
Unternehmenssicherheit!
Menschen treffen Entscheidungen, nicht Computer!
Schulungen notwendig, Ziel ist Handlungskompetenz
Sensibilisierungen, Weiterbildungen, Technische
Fachkompetenz, Wissensmanagement, Personal- und
Organisationsentwicklung ...
Security-Awareness-Kampagnen
Sicherheitskurse (auch VHS)
Stefan Schumacher
Wie Hacker angreifen
www.sicherheitsforschung-magdeburg.de
Einführung
Angreifer, Angriffsziele, Angriffsvektoren
Gegenmaßnahmen
Passwörter
Fazit
Fazit
Die Frage ist nicht ob ich ein System hacken kann sondern
welche Ressourcen ich dafür benötige
Stefan Schumacher
Wie Hacker angreifen
www.sicherheitsforschung-magdeburg.de
Einführung
Angreifer, Angriffsziele, Angriffsvektoren
Gegenmaßnahmen
Passwörter
Fazit
Forschungsprogramme des MIS
Psychologie der Sicherheit
Social Engineering
Security Awareness, Sicherheit in Organisationen
Didaktik der Sicherheit
Didaktik der Kryptographie
Lernfelder: Fachinformatiker IT-Sicherheit
Stefan Schumacher
Wie Hacker angreifen
www.sicherheitsforschung-magdeburg.de
Einführung
Angreifer, Angriffsziele, Angriffsvektoren
Gegenmaßnahmen
Passwörter
Fazit
sicherheitsforschung-magdeburg.de
[email protected]
youtube.de/Sicherheitsforschung
http://www.sicherheitsforschungmagdeburg.de/publikationen/journal.html
Stefan Schumacher
Wie Hacker angreifen
www.sicherheitsforschung-magdeburg.de