Hacking, Cracking, Cyberwar
Transcrição
Hacking, Cracking, Cyberwar
uniQconsulting VIP Customer Event: IT-Sicherheit – ein Rezept für KUMs Bassersdorf, Mittwoch, 27. März 2002 Hacking, Cracking, Cyberwar – müssen wir wirklich reagieren? Prof. Dr. P. Heinzmann Institut für Internet-Technologien und –Anwendungen, Fachhochschule Ostschweiz, Hochschule Rapperswil (ITA-HSR) und cnlab Information Technology Research AG [email protected], www.cnlab.ch, www.ita.hsr.ch 27.03.02 2 ita.hsr.ch Institut für Internet-Technologien und –Anwendungen www.cnlab.ch University of Applied Sciences Eastern Switzerland (FHO), Rapperswil (HSR) • Electrical Engineering (195) • Computer Science (136) • Mechanical Engineering (103) • Landscape Architecture (93) • Urban Planning (68) • Civil Engineering (65) 660 Students () 44% FHO Students) • 1997 HSR spin-off • 10 Employees • Internet Security (PGP) • Internet Application development • Internet Quality Checks ITA-HSR: Institute for InternetTechnologies and Applications 27.03.02 3 Internet Security • 1998: The „PGP-Deal“ – E-Mails, File, Disk encryption – US export restrictions – cnlab Software AG develops international version US only 27.03.02 international 4 Welche Werte haben wir ? Gibt es Bedrohungen ? Internet: eine „öffentliche“ Informationsund Kommunikationsplattform Privatteilnehmer Anbieter ISP xyz.ch Geschäftsteilnehmer 27.03.02 6 Welche Gefahren gehen wir ein, wenn wir das Internet nutzen ? • Risikoabschätzung Schutzmassnahmen – Welche Werte (Schäden) stehen zur Diskussion? – Wie gross ist die Gefahr bestimmter Schäden? Werte • Schutzmassnahmen Bedrohungen Verletzlichkeiten 27.03.02 – Verletzlichkeiten identifizieren und beheben 7 Umfrage bei Gemeindenvertretern: Nennen Sie schützenswerte Dokumente, mit denen Sie im täglichen Umfeld arbeiten • • • • • • • • • Beschlüsse GR: Personendaten: Entwürfe: Vormundschaftsfälle: Fürsorgefälle: Personaldaten: Interne Mails: Finanzdaten: Steuerdaten: 27.03.02 13 Nennungen 9 Nennungen 5 Nennungen 2 Nennungen 2 Nennungen 2 Nennungen 2 Nennungen 2 Nennungen 2 Nennungen 8 Umfrage: Wie häufig versenden Sie solche (=schützenswerte) Dokumente via Email? • • • • Nie: Selten: Häufig: fast immer: 6 7 9 0 nie selten häufig fast immer 27.03.02 9 Umfrage: Kommentieren Sie den potentiellen Schaden bei Verlust / Diebstahl / Bekanntmachung dieser (=schützenswerten) Daten: • • • • • Datenschutz verletzt: Vertrauensverlust: Imageschaden: Fehlinformationen / Gerüchte: Nicht abschätzbar: 27.03.02 7 Nennungen 3 Nennungen 3 Nennungen 1 Nennungen 3 Nennungen 10 Januar 2002: weltweit 150 Mio Hosts, 550 Mio Internet Users Privatteilnehmer Anbieter ISP xyz.ch 27.03.02 Geschäftsteilnehmer 11 Viele Wege führen nach ... (vereinfachtes IT-System Schema) Tempest Memory Display Search: meier Programm (perl) Keyboard Keyboard Sniffer Disc Webserver cgi data OS/Application Operating System Vulnerabilities Buffer Overflows Hardware Peripherals Network / WLAN Sniffer Network 27.03.02 12 NIST Statistics on Exploitable Vulnerabilities Statistics on Remotely Exploitable Vulnerabilities Loss Type 2001 2000 1999 Availability 230 (38%) 244 (36%) 109 (31%) Confidentiality 161 (27%) 181 (27%) 102 (29%) Integrity 29 (5%) 59 (9%) 27 (8%) Security Protection 279 (46%) 291 (43%) 150 (43%) 1998 43 (42%) 21 (20%) 5 (5%) 45 (44%) Statistics on Locally Loss Type Availability Confidentiality Integrity Security Protection 1998 4 (6%) 4 (6%) 10 (15%) 52 (80%) 27.03.02 Exploitable Vulnerabilities 2001 2000 1999 62 (19%) 80 (19%) 39 (16%) 54 (16%) 75 (18%) 35 (14%) 70 (21%) 63 (15%) 31 (13%) 209 (64%) 253 (62%) 158 (65%) http://icat.nist.gov/icat.cfm?function=statistics 13 Availability: A vulnerability is given the “availability” label if it enables an attack that directly inhibits a user (human or machine) from accessing a particular system resource. Denial of service attacks are availability violations by our definition. Confidentiality: A vulnerability is given the “confidentiality” label if it enables an attack that can directly steal information from a system. Integrity: A vulnerability is given the “integrity” label if it enables an attack that can directly change the information residing on or passing through a system. Security Protection: A vulnerability is given the “security protection” label if it enables an attack that gives the attacker privileges in a system that the attacker is not allowed to have by the access control policy of the system. The "security protection" label may appear by itself or in three other variations: “security protection (gain superuser access)" when the attack allows a hacker complete control of a system, "security protection (gain user access)" when the attack allows a hacker partial control over a system, “security protection (other) when the attack gives the hacker some other privilege on the system . 27.03.02 14 Tiger Team, White Hat Hacker, Penetration Testing, ... • Spiegel TV /VOX 2000, 3:49 • Cassian von Salomon, Rob Englehardt, John Scheer, Die Zukunft der Technik "Krieg im Netz“ – 1994 Pentagon Hack – Security Check • • • • 8932 attacks 88% of attacks success 4% of attacks detected Only 1 of 400 attacks lead to official reporting – Electronic Pearl Harbor 27.03.02 CyberTerroristen.mpg 15 „Hacker‘s Cycle“ The „Hacker’s Cycle“ Wahrscheinlichkeit / Häufigkeit der Ausnutzung von Verletzlichkeiten Verfügbarkeit einfacher Programme zur Ausnutzung von Verletzlichkeiten Bekanntgabe in News/WWW/Mailinglist/Chats Insider Wissen über Verletzlichkeiten Tage ... Jahre 27.03.02 Monate Zeit 17 Insider Wissen • Wer sind die „Insider“ ? – – – – Angestellte Produktentwickler Ehemalige Angestellter Berater, Outsourcer, ... • Gibt es Verletzlichkeiten / Zusatzfunktionen ? – Debugging Funktionen – Versteckte Funktionen (vgl. „Easter eggs“ http://www.eeggs.com) 27.03.02 18 Beispiel: Fly The Flight Simulator on Microsoft Excel How to Work: 1: Open a new Worksheet and Press F5. 2: Type "X97:L97" and press Enter. 3: Press the Tab key, Hold down Ctrl & Shift and left click the Chart Wizard toolbar icon. 4: Use the mouse to move around - Left button reverse thrust, Right button forward thrust. 5: Look around carefully to find the Shrine with the programmers messages and the Blue Lagoon ! 27.03.02 19 Bekanntgabe von Verletzlichkeiten Hacking Bank of America's Home Banking System Written By: Dark Creaper This file explains the basics of hacking the Bank of America Home Banking System ..... • Exploit Bugs • Hacking Archive • Security Bugware • Codetalker • ... 27.03.02 To connect with the Bank's computer call your local Tymnet service and type the following: PLEASE ENTER YOUR TERMINAL IDENTIFIER: APLEASE LOGIN: HOME .... 20 Beispiel: Meridian Mail PABX 055 / 222 xx xx TVA (PABX) Voice Mail Meridian Mail Services • Use PABX to make calls from remote location • Automated response and call forwarding possibilities • ... 27.03.02 21 PABX-Fraud: 100kCHF/Month 055 / 222 xx xx TVA (PABX) Voice Mail http://packetstorm.securify.com/voicemail/mer-ninj.txt http://www.hackcanada.com/homegrown/augsburg_mm.txt http://google.yahoo.com/bin/query?p=PBX+hacking+Voice+system+Meridian 27.03.02 22 Normale Destinationen (in 1'000 Taxminuten, Juli 2000) Rest of World 25% Germany 21% Netherlands 2% France 17% Spain 3% Italy 15% Austria United Kingdom 5% United States 7% 5% Destinationen nach PABX-Voicemail-Fraud (in 1'000 Taxminuren, Umsatz > Fr. 1'000.00) Nigeria 22% Andere (59) 29% Mali 2% Senegal 14% Mongolia 2% Cameroon 2% Monaco 2% Côte d'Ivoire 3% 27.03.02 Pakistan 8% Egypt 3% Marocco 4% Nepal 4% Bangladesh 5% 23 Layman „hacking“-tools show up Determine Network-Structure • • Hosts and services Public Domain tool WhatsUp Traffic measurement • • Password „Sniffing“ SessionWall-3 (eval. Version for free, Product appr. 2‘000 CHF) Password „Cracking“ • • 27.03.02 Cracking of NT-Passwords provoke password entry 24 LAN Guard: Simple Tool for active info gathering 27.03.02 25 Cyberwar: Chip Location & EMP • Spiegel TV /VOX 2000, 1:50 • Cassian von Salomon, Rob Englehardt, John Scheer, Die Zukunft der Technik "Krieg im Netz“ – CIA Microchip in Druckern, welche mit dem Luftabwehrsystem geortet werden können. – Elektromagnetische Impulsbomben 27.03.02 GulfwarCIAchipEMP.mpg 26 Rechtliche Rahmenbedingungen (Fallbeispiele) Umfrage: Kommentieren Sie den potentiellen Schaden bei Verlust / Diebstahl / Bekanntmachung dieser (=schützenswerten) Daten: • • • • • Datenschutz verletzt: Vertrauensverlust: Imageschaden: Fehlinformationen / Gerüchte: Nicht abschätzbar: 27.03.02 7 Nennungen 3 Nennungen 3 Nennungen 1 Nennungen 3 Nennungen 28 Bundesgesetz über den Datenschutz (DSG) vom 19. Juni 1992 http://www.edsb.ch/d/gesetz/schweiz/index.htm Art. 7 Datensicherheit 1 Personendaten müssen durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden. 27.03.02 29 Trojaner (BackOrifice, Netbus) Internet BackOrifice Server Internet Service Provider (Bluewin, Sunrise, Diax,...) Dial-up System BackOrifice 27.03.02 • Einfach bedienbar, „Hobby Hacker“-tauglich • Beliebige Funktionen aufrufbar bzw. Computer steuerbar • z.B. über zweiten ISDN Kanal des Opfers, eine beliebige Telefonverbindung herzustellen. 30 Strafgesetzbuch: Unbefugte Datenbeschaffung / „Hacking“ Art. 143 1 Wer in der Absicht, sich oder einen andern unrechtmässig zu bereichern, sich oder einem andern elektronisch oder in vergleichbarer Weise gespeicherte oder übermittelte Daten beschafft, die nicht für ihn bestimmt und gegen seinen unbefugten Zugriff besonders gesichert sind, wird mit Zuchthaus bis zu fünf Jahren oder mit Gefängnis bestraft. 2 Die unbefugte Datenbeschaffung zum Nachteil eines Angehörigen oder Familiengenossen wird nur auf Antrag verfolgt. Art. 143 bis Wer ohne Bereicherungsabsicht auf dem Wege von Datenübertragungseinrichtungen unbefugterweise in ein fremdes, gegen seinen Zugriff besonders gesichertes Datenverarbeitungssystem eindringt, wird, auf Antrag, mit Gefängnis oder mit Busse bestraft. http://www.admin.ch/ch/d/sr/311_0/ 27.03.02 31 Februar 2001: World Economic Forum's Davos Teilnehmer Daten • Crackers accessed the forum's registration database in Davos, which stored data on "about 3,000 forum big shots," who had attended the World Economic Forum (WEF) over the last three years. They were able to copy all the records on that server. • "They got credit card numbers, addresses, e-mail addresses, home and cell phone numbers and passport numbers". • Former U.S. president Bill Clinton and his secretary of state, Madeleine Albright were reportedly on the hackers' list of 27,000 people, including Microsoft Chairman Bill Gates, and top officials from South Africa, China and other countries. 27.03.02 32 MS SQL Hack Internet Web Router tcp port 80 Router Firewall HTMLSeiten Switch tcp port 1433 MS SQLServer Login:sa, Passwort:27.03.02 Daten 33 Juli 2001: 250 000 E-Mail-Konten offen • CD-Rom mit E-Mail-Kontenangaben und Passwort von 185 000 ISP-Kunden • Betroffen vom Datenloch sind viele Prominente wie der ehemalige Ski-Olympiasieger Bernhard Russi und Tele 24-Chef Roger Schawinski • Es ist möglich, dass Hacker seit Monaten alle EMails, die auf sensible Konten geschickt wurden, in das eigene Postfach weiterleiteten 27.03.02 34 cgi Hack und clear password file Display Memory Search: meier Programm (perl) Keyboard Disc Webserver cgi data Operating System Search: meier&“/../xyz“ Hardware Peripherals Network 27.03.02 35 Strafgesetzbuch: Datenbeschädigung / „Virentatbestand“ Art. 144bis Datenbeschädigung 1. Wer unbefugt elektronisch oder in vergleichbarer Weise gespeicherte oder übermittelte Daten verändert, löscht oder unbrauchbar macht, wird, auf Antrag, mit Gefängnis oder mit Busse bestraft. Hat der Täter einen grossen Schaden verursacht, so kann auf Zuchthaus bis zu fünf Jahren erkannt werden. Die Tat wird von Amtes wegen verfolgt. 2. Wer Programme, von denen er weiss oder annehmen muss, dass sie zu den in Ziffer 1 genannten Zwecken verwendet werden sollen, herstellt, einführt, in Verkehr bringt, anpreist, anbietet oder sonstwie zugänglich macht oder zu ihrer Herstellung Anleitung gibt, wird mit Gefängnis oder mit Busse bestraft. Handelt der Täter gewerbsmässig, so kann auf Zuchthaus bis zu fünf Jahren erkannt werden. http://www.admin.ch/ch/d/sr/311_0/ 27.03.02 36 Feb 2002: Strafe für Viren-CD-ROM • Das Zürcher Obergericht hat einen 30-jährigen EDV-Experten für den Vertrieb einer CD-ROM mit Quellcodes für Computerviren zu zwei Monaten Gefängnis und 5000 Franken Busse verurteilt. Die erste Instanz gab nur 300 Franken Ref: (IPD-074044-A) 25.02.01 27.03.02 37 Feb. 2000: Denial of Service Attacken • Einige der am häufigsten besuchten amerikanischen Sites wurden durch Denial-of-Service-Attacken lahmgelegt. • Betroffen waren CNN, Ebay, Buy.com, Yahoo und Amazon. Alle Sites waren während mehrerer Stunden nicht erreichbar. • Hacker hatten synchron aus verschiedenen IP-Adressen Anfragen auf die Sites der Anbieter geschossen. Bei Buy.com zum Beispiel prasselten 800 Mbit pro Sekunde auf die Server ein. Das war achtmal mehr, als dieser hätte verarbeiten können. 27.03.02 38 Distributed Denial of Service (DDoS) Attacke Router Firewall Router Internet We b Router Router We b Router Switch Firewall 27.03.02 Router Firewall Switch 39 DDoS Tools • • • • • • • • Trinoo / Trin00 TFN (Tribe Floot Network) Stacheldraht Trinity Shaft TFN2K mstream ... 27.03.02 (Juni/Juli 1999) (Juli/August 1999) (Sommer 1999) (Herbst 1999) (November 1999) (Dezember 1999) (April 2000) 40 Denial-of-Service Attacks, 7.2.2000 27.03.02 41 Abwehrmassnahmen Minimiere die kritische Zeit im Hacker’s Cycle Patch Available Risk Vulnerability widely known Vulnerabilitiy fixed (Patch Installed) Vulnerability detected Vulnerability not known Vulnerability announced Time days ... years 27.03.02 React to Reduce time of high risk Months 43 Massnahmen (1) • Schwächste Stellen identifizieren – Technische, organisatorische und betriebliche Aspekte beachten – Verschiedene Sicherheitsmassnahmen kombinieren • Zugang einschränken, Verkehr filtern – Physischer Zugang, Firewall, ..., Passworte • Daten verschlüsseln – Auf Speichermedien, in Mail, in Datenpaketen • Überwachen (Attacken detektieren) – Intrusion Detection – Vulnerability Testing • Reagieren – Löcher stopfen ... Abschalten – Wiederherstellungsprozeduren (Backup ... Informationspolitik) 27.03.02 44 Massnahmen (2) Application HTTP, FTP, Telnet, nntp, smtp, snmp, Transport IP Datalink Ethernet, Modem, Leased Line.. 27.03.02 Application Level Filtering Firewall TCP, UDP Network Physical Passwords (AAAA), Dynamic Passwords (SecureID), Challenge Response (S/Key) Network Address Translation (NAT) Stateful Inspection Secure Router MAC Access Control MAC Switching, VLAN Physical Access Cabling 45 Security „Life Cycle“ (x-Step Approach) 1: Security Policy (define goals & get overview ) (why?) 2: do risk analysis 3: define measures (what?) 5: verify 4: implement (how?) • 27.03.02 • • Bundesamt für Sicherheit in der Informationstechnik (BSI) ITGrundschutzhandbuch (www.bsi.de) DoD Orange Book (http://www.dynamoo.com/orange/summary.htm) British Standard 7799 (www.bsi-global.com) 46 Wer sind die Treiber für Sicherheit? BU‘s View of Security Security Budget Operations Management BU Risk Management 1 • No perception • No awareness No identified dedicated budget Deployment - 2 Seen as technical requirement 100% for infrastructure (from IT budget) Monitoring and Problem resolution Infrastructure security, Cyberincident response team (CIRT) 3 • Business activity damage potential • Need for business transaction security 25% for transaction security (from business budget) 75% for infrastructure security (from IT budget) Configuration and change management Security architecture, proactive risk analysis 4 As a quality of the IT environment that can provide competitive advantage 70% for transaction security (from business budget) 30% for infrastructure security (from IT budget) Transaction incidence Transaction risk management management In 2001 appr. 40% of companies are at stage 1 and 50% at stage 2, only 5% of companies are at stage 3 (at stage 3 are mainly financial, defence, health care companies). In 2003 appr. 30 % of companies will be at stage 3. 27.03.02 Source: Gartner Group 2002 47 Perimeter – Personal Firewall E-Mail-, Web-, Proxy-Server from ISP Personal Firewall Win 95 Perimeter Firewall Internet Backbone Router E-Mail-, Web-, Proxy-Server Win NT Hub, Switch Router Router 27.03.02 Win 98 NT-Server File Server Data Service-Modem local E-Mail-, Web-, Proxy-Server RAS RAS-Modem NT-Server File Server Data 48 Verschlüsselung: PGP Flop ? (Gartner Flash, 12 March 2002) On 7 March 2002, Network Associates (NAI) has discontinued sales of PGP for encrypting email at the desktop Failure of commercial PGP results from: – NAI past organizational problems – Lack of demand for secure e-mail – Failure to make PGP easier to use and manage 27.03.02 49 Vulnerability Testing Update expert system Run penetration test New vulnerability detected Vulnerability announced Vulnerability widely known Report vulnerability 27.03.02 Fix vulnerabilitiy 50 Regelmässige Security Checks Beipiel: Secure Scan Solutions von www.vigilante.com 27.03.02 51 SecureScan NX Internet Console Untrusted Firewall Trusted Agent 27.03.02 52 Silicon Virus, HW-Trojan (Chippen) • Spiegel TV /VOX 2000, 2:02 • Cassian von Salomon, Rob Englehardt, John Scheer, Die Zukunft der Technik "Krieg im Netz“ SiliconVirenChippen.mpg 27.03.02 53 Todays Situation 27.03.02 54 27.03.02 55 Bund lässt den Internetverkehr aushorchen SOZ, 23.12.2001 Ab nächstem Jahr wird die Überwachung von E-Mail und Internet in der Schweiz verschärft - ganz legal Ab April 2003 kommen neue computergesteuerte Überwachungssysteme zum Einsatz. Die Provider müssen dann die Daten an den „Dienst für besondere Aufgaben (DBA)“ weiterleiten. Dieser speichert sie in einer Datenbank, in der die Behörden die Daten einsehen können. «Wir wollen zuerst Erfahrungen mit dem E-Mail-Verkehr sammeln. In ein oder zwei Jahren werden wir die Überwachung auf den ganzen Internetverkehr ausweiten», sagt Bernard Werz, Leiter der Verordnungsarbeit und Datenschutzberater im Departement Leuenberger. 27.03.02 Obskure Observation: Der Bund lässt den Internetverkehr aushorchen 56 Ueberwachung zur Strafverfolgung • 2000: mehr als 4‘000 Telefon- und Handyanschlüsse überwacht • 2001: nur 5 E-Mail Briefkästen bei Bluewin (mit 680‘000 Kunden) überwacht • 2002: Bundesgesetz zur Überwachung des Post- und Fernmeldeverkehrs (BÜPF) in Kraft – Internetprovider müssen alle aus der Überwachung gewonnenen Daten (nicht nur „Randdaten“ Name, Adresse, Zeit) an „Dienst für besondere Aufgaben“ übertragen – Unklar, wer Kosten tragen wird – Schnittstellen noch nicht definiert (Standard ES 201 671, Version 2.1.1, ermöglicht auch Überwachung von SMS und E-Mail-Verkehr) 27.03.02 57