Hacking, Cracking, Cyberwar

uniQconsulting VIP Customer Event: IT-Sicherheit – ein Rezept für KUMs
Bassersdorf, Mittwoch, 27. März 2002
Hacking, Cracking, Cyberwar –
müssen wir wirklich reagieren?
Prof. Dr. P. Heinzmann
Institut für Internet-Technologien und –Anwendungen,
Fachhochschule Ostschweiz, Hochschule Rapperswil (ITA-HSR)
und cnlab Information Technology Research AG
[email protected], www.cnlab.ch, www.ita.hsr.ch
27.03.02
2
ita.hsr.ch
Institut für Internet-Technologien
und –Anwendungen
www.cnlab.ch
University of Applied Sciences Eastern
Switzerland (FHO), Rapperswil (HSR)
• Electrical Engineering (195)
• Computer Science (136)
• Mechanical Engineering (103)
• Landscape Architecture (93)
• Urban Planning (68)
• Civil Engineering (65)
660 Students () 44% FHO Students)
• 1997 HSR spin-off
• 10 Employees
• Internet Security (PGP)
• Internet Application development
• Internet Quality Checks
ITA-HSR: Institute for InternetTechnologies and Applications
27.03.02
3
Internet Security
• 1998: The „PGP-Deal“
– E-Mails, File, Disk encryption
– US export restrictions
– cnlab Software AG develops
international version
US only
27.03.02
international
4
Welche Werte haben wir ?
Gibt es Bedrohungen ?
Internet: eine „öffentliche“ Informationsund Kommunikationsplattform
Privatteilnehmer
Anbieter
ISP
xyz.ch
Geschäftsteilnehmer
27.03.02
6
Welche Gefahren gehen wir ein, wenn
wir das Internet nutzen ?
• Risikoabschätzung
Schutzmassnahmen
– Welche Werte
(Schäden) stehen zur
Diskussion?
– Wie gross ist die Gefahr
bestimmter Schäden?
Werte
• Schutzmassnahmen
Bedrohungen
Verletzlichkeiten
27.03.02
– Verletzlichkeiten
identifizieren und
beheben
7
Umfrage bei Gemeindenvertretern: Nennen Sie schützenswerte
Dokumente, mit denen Sie im täglichen Umfeld arbeiten
•
•
•
•
•
•
•
•
•
Beschlüsse GR:
Personendaten:
Entwürfe:
Vormundschaftsfälle:
Fürsorgefälle:
Personaldaten:
Interne Mails:
Finanzdaten:
Steuerdaten:
27.03.02
13 Nennungen
9 Nennungen
5 Nennungen
2 Nennungen
2 Nennungen
2 Nennungen
2 Nennungen
2 Nennungen
2 Nennungen
8
Umfrage: Wie häufig versenden Sie solche
(=schützenswerte) Dokumente via Email?
•
•
•
•
Nie:
Selten:
Häufig:
fast immer:
6
7
9
0
nie
selten
häufig
fast immer
27.03.02
9
Umfrage: Kommentieren Sie den potentiellen Schaden bei
Verlust / Diebstahl / Bekanntmachung dieser
(=schützenswerten) Daten:
•
•
•
•
•
Datenschutz verletzt:
Vertrauensverlust:
Imageschaden:
Fehlinformationen / Gerüchte:
Nicht abschätzbar:
27.03.02
7 Nennungen
3 Nennungen
3 Nennungen
1 Nennungen
3 Nennungen
10
Januar 2002: weltweit
150 Mio Hosts, 550 Mio Internet Users
Privatteilnehmer
Anbieter
ISP
xyz.ch
27.03.02
Geschäftsteilnehmer
11
Viele Wege führen nach ...
(vereinfachtes IT-System Schema)
Tempest
Memory
Display
Search: meier
Programm
(perl)
Keyboard
Keyboard Sniffer
Disc
Webserver
cgi
data
OS/Application
Operating System
Vulnerabilities
Buffer Overflows
Hardware
Peripherals
Network / WLAN Sniffer Network
27.03.02
12
NIST Statistics on Exploitable
Vulnerabilities
Statistics on Remotely Exploitable Vulnerabilities
Loss Type
2001
2000
1999
Availability
230 (38%) 244 (36%)
109 (31%)
Confidentiality
161 (27%) 181 (27%)
102 (29%)
Integrity
29 (5%)
59 (9%)
27 (8%)
Security Protection
279 (46%) 291 (43%)
150 (43%)
1998
43 (42%)
21 (20%)
5 (5%)
45 (44%)
Statistics on Locally
Loss Type
Availability
Confidentiality
Integrity
Security Protection
1998
4 (6%)
4 (6%)
10 (15%)
52 (80%)
27.03.02
Exploitable Vulnerabilities
2001
2000
1999
62 (19%)
80 (19%)
39 (16%)
54 (16%)
75 (18%)
35 (14%)
70 (21%)
63 (15%)
31 (13%)
209 (64%) 253 (62%)
158 (65%)
http://icat.nist.gov/icat.cfm?function=statistics
13
Availability: A vulnerability is given the “availability” label if it enables an attack
that directly inhibits a user (human or machine) from accessing a particular
system resource. Denial of service attacks are availability violations by our
definition.
Confidentiality: A vulnerability is given the “confidentiality” label if it enables an
attack that can directly steal information from a system.
Integrity: A vulnerability is given the “integrity” label if it enables an attack that
can directly change the information residing on or passing through a system.
Security Protection: A vulnerability is given the “security protection” label if it
enables an attack that gives the attacker privileges in a system that the attacker
is not allowed to have by the access control policy of the system. The "security
protection" label may appear by itself or in three other variations: “security
protection (gain superuser access)" when the attack allows a hacker complete
control of a system, "security protection (gain user access)" when the attack
allows a hacker partial control over a system, “security protection (other) when
the attack gives the hacker some other privilege on the system .
27.03.02
14
Tiger Team, White Hat Hacker,
Penetration Testing, ...
• Spiegel TV /VOX 2000,
3:49
• Cassian von Salomon, Rob
Englehardt, John Scheer, Die
Zukunft der Technik
"Krieg im Netz“
– 1994 Pentagon Hack
– Security Check
•
•
•
•
8932 attacks
88% of attacks success
4% of attacks detected
Only 1 of 400 attacks lead
to official reporting
– Electronic Pearl Harbor
27.03.02
CyberTerroristen.mpg
15
„Hacker‘s Cycle“
The „Hacker’s Cycle“
Wahrscheinlichkeit
/ Häufigkeit der
Ausnutzung von
Verletzlichkeiten
Verfügbarkeit einfacher
Programme zur Ausnutzung
von Verletzlichkeiten
Bekanntgabe in
News/WWW/Mailinglist/Chats
Insider Wissen über
Verletzlichkeiten
Tage ... Jahre
27.03.02
Monate
Zeit
17
Insider Wissen
• Wer sind die „Insider“ ?
–
–
–
–
Angestellte
Produktentwickler
Ehemalige Angestellter
Berater, Outsourcer, ...
• Gibt es Verletzlichkeiten / Zusatzfunktionen ?
– Debugging Funktionen
– Versteckte Funktionen (vgl. „Easter eggs“
http://www.eeggs.com)
27.03.02
18
Beispiel: Fly The Flight Simulator
on Microsoft Excel
How to Work:
1: Open a new Worksheet and Press F5.
2: Type "X97:L97" and press Enter.
3: Press the Tab key, Hold down Ctrl & Shift and left
click the Chart Wizard toolbar icon.
4: Use the mouse to move around - Left button reverse
thrust, Right button forward thrust.
5: Look around carefully to find the Shrine with the
programmers messages and the Blue Lagoon !
27.03.02
19
Bekanntgabe von Verletzlichkeiten
Hacking Bank of America's
Home Banking System
Written By: Dark Creaper
This file explains the basics of hacking the
Bank of America Home Banking
System .....
• Exploit Bugs
• Hacking Archive
• Security Bugware
• Codetalker
• ...
27.03.02
To connect with the Bank's computer call
your local Tymnet service and type the
following:
PLEASE ENTER YOUR TERMINAL
IDENTIFIER: APLEASE
LOGIN: HOME ....
20
Beispiel: Meridian Mail PABX
055 / 222 xx xx
TVA
(PABX)
Voice Mail
Meridian Mail Services
• Use PABX to make calls from remote location
• Automated response and call forwarding possibilities
• ...
27.03.02
21
PABX-Fraud: 100kCHF/Month
055 / 222 xx xx
TVA
(PABX)
Voice Mail
http://packetstorm.securify.com/voicemail/mer-ninj.txt
http://www.hackcanada.com/homegrown/augsburg_mm.txt
http://google.yahoo.com/bin/query?p=PBX+hacking+Voice+system+Meridian
27.03.02
22
Normale Destinationen (in 1'000 Taxminuten, Juli 2000)
Rest of World
25%
Germany
21%
Netherlands
2%
France
17%
Spain
3%
Italy
15%
Austria
United Kingdom
5% United States
7%
5%
Destinationen nach PABX-Voicemail-Fraud
(in 1'000 Taxminuren, Umsatz > Fr. 1'000.00)
Nigeria
22%
Andere (59)
29%
Mali
2%
Senegal
14%
Mongolia
2%
Cameroon
2%
Monaco
2%
Côte d'Ivoire
3%
27.03.02
Pakistan
8%
Egypt
3%
Marocco
4%
Nepal
4%
Bangladesh
5%
23
Layman „hacking“-tools show up
Determine Network-Structure
•
•
Hosts and services
Public Domain tool WhatsUp
Traffic measurement
•
•
Password „Sniffing“
SessionWall-3 (eval. Version for free, Product appr.
2‘000 CHF)
Password „Cracking“
•
•
27.03.02
Cracking of NT-Passwords
provoke password entry
24
LAN Guard: Simple Tool
for active info gathering
27.03.02
25
Cyberwar: Chip Location & EMP
• Spiegel TV /VOX 2000,
1:50
• Cassian von Salomon, Rob
Englehardt, John Scheer,
Die Zukunft der Technik
"Krieg im Netz“
– CIA Microchip in
Druckern, welche mit
dem Luftabwehrsystem
geortet werden können.
– Elektromagnetische
Impulsbomben
27.03.02
GulfwarCIAchipEMP.mpg 26
Rechtliche Rahmenbedingungen
(Fallbeispiele)
Umfrage: Kommentieren Sie den potentiellen Schaden bei
Verlust / Diebstahl / Bekanntmachung dieser
(=schützenswerten) Daten:
•
•
•
•
•
Datenschutz verletzt:
Vertrauensverlust:
Imageschaden:
Fehlinformationen / Gerüchte:
Nicht abschätzbar:
27.03.02
7 Nennungen
3 Nennungen
3 Nennungen
1 Nennungen
3 Nennungen
28
Bundesgesetz über den Datenschutz
(DSG) vom 19. Juni 1992
http://www.edsb.ch/d/gesetz/schweiz/index.htm
Art. 7 Datensicherheit
1 Personendaten müssen durch angemessene technische
und organisatorische Massnahmen gegen unbefugtes
Bearbeiten geschützt werden.
27.03.02
29
Trojaner (BackOrifice, Netbus)
Internet
BackOrifice
Server
Internet Service
Provider (Bluewin,
Sunrise, Diax,...)
Dial-up
System
BackOrifice
27.03.02
• Einfach bedienbar,
„Hobby Hacker“-tauglich
• Beliebige Funktionen
aufrufbar bzw. Computer
steuerbar
• z.B. über zweiten ISDN
Kanal des Opfers, eine
beliebige
Telefonverbindung
herzustellen.
30
Strafgesetzbuch: Unbefugte
Datenbeschaffung / „Hacking“
Art. 143
1 Wer in der Absicht, sich oder einen andern unrechtmässig zu bereichern, sich oder
einem andern elektronisch oder in vergleichbarer Weise gespeicherte oder übermittelte
Daten beschafft, die nicht für ihn bestimmt und gegen seinen unbefugten Zugriff
besonders gesichert sind, wird mit Zuchthaus bis zu fünf Jahren oder mit Gefängnis
bestraft.
2 Die unbefugte Datenbeschaffung zum Nachteil eines Angehörigen oder
Familiengenossen wird nur auf Antrag verfolgt.
Art. 143 bis
Wer ohne Bereicherungsabsicht auf dem Wege von Datenübertragungseinrichtungen
unbefugterweise in ein fremdes, gegen seinen Zugriff besonders gesichertes
Datenverarbeitungssystem eindringt, wird, auf Antrag, mit Gefängnis oder mit Busse
bestraft.
http://www.admin.ch/ch/d/sr/311_0/
27.03.02
31
Februar 2001: World Economic
Forum's Davos Teilnehmer Daten
• Crackers accessed the forum's registration database in Davos,
which stored data on "about 3,000 forum big shots," who had
attended the World Economic Forum (WEF) over the last three
years. They were able to copy all the records on that server.
• "They got credit card numbers, addresses, e-mail addresses,
home and cell phone numbers and passport numbers".
• Former U.S. president Bill Clinton and his secretary of state,
Madeleine Albright were reportedly on the hackers' list of 27,000
people, including Microsoft Chairman Bill Gates, and top
officials from South Africa, China and other countries.
27.03.02
32
MS SQL Hack
Internet
Web
Router
tcp port 80
Router
Firewall
HTMLSeiten
Switch
tcp port 1433
MS SQLServer
Login:sa, Passwort:27.03.02
Daten
33
Juli 2001: 250 000 E-Mail-Konten
offen
• CD-Rom mit E-Mail-Kontenangaben und
Passwort von 185 000 ISP-Kunden
• Betroffen vom Datenloch sind viele Prominente
wie der ehemalige Ski-Olympiasieger Bernhard
Russi und Tele 24-Chef Roger Schawinski
• Es ist möglich, dass Hacker seit Monaten alle EMails, die auf sensible Konten geschickt
wurden, in das eigene Postfach weiterleiteten
27.03.02
34
cgi Hack und clear password file
Display
Memory
Search: meier
Programm
(perl)
Keyboard
Disc
Webserver
cgi
data
Operating System
Search: meier&“/../xyz“
Hardware
Peripherals
Network
27.03.02
35
Strafgesetzbuch: Datenbeschädigung
/ „Virentatbestand“
Art. 144bis
Datenbeschädigung
1. Wer unbefugt elektronisch oder in vergleichbarer Weise gespeicherte oder übermittelte
Daten verändert, löscht oder unbrauchbar macht, wird, auf Antrag, mit Gefängnis
oder mit Busse bestraft.
Hat der Täter einen grossen Schaden verursacht, so kann auf Zuchthaus bis zu fünf
Jahren erkannt werden. Die Tat wird von Amtes wegen verfolgt.
2. Wer Programme, von denen er weiss oder annehmen muss, dass sie zu den in
Ziffer 1 genannten Zwecken verwendet werden sollen, herstellt, einführt, in
Verkehr bringt, anpreist, anbietet oder sonstwie zugänglich macht oder zu ihrer
Herstellung Anleitung gibt, wird mit Gefängnis oder mit Busse bestraft.
Handelt der Täter gewerbsmässig, so kann auf Zuchthaus bis zu fünf Jahren erkannt
werden.
http://www.admin.ch/ch/d/sr/311_0/
27.03.02
36
Feb 2002: Strafe für Viren-CD-ROM
• Das Zürcher Obergericht hat einen 30-jährigen
EDV-Experten für den Vertrieb einer CD-ROM
mit Quellcodes für Computerviren zu zwei
Monaten Gefängnis und 5000 Franken Busse
verurteilt.
Die erste Instanz gab nur 300 Franken
Ref: (IPD-074044-A) 25.02.01
27.03.02
37
Feb. 2000: Denial of Service
Attacken
• Einige der am häufigsten besuchten amerikanischen
Sites wurden durch Denial-of-Service-Attacken
lahmgelegt.
• Betroffen waren CNN, Ebay, Buy.com, Yahoo und
Amazon. Alle Sites waren während mehrerer Stunden
nicht erreichbar.
• Hacker hatten synchron aus verschiedenen IP-Adressen
Anfragen auf die Sites der Anbieter geschossen. Bei
Buy.com zum Beispiel prasselten 800 Mbit pro
Sekunde auf die Server ein. Das war achtmal mehr, als
dieser hätte verarbeiten können.
27.03.02
38
Distributed Denial of Service
(DDoS) Attacke
Router
Firewall
Router
Internet
We
b
Router
Router
We
b
Router
Switch Firewall
27.03.02
Router
Firewall Switch
39
DDoS Tools
•
•
•
•
•
•
•
•
Trinoo / Trin00
TFN (Tribe Floot Network)
Stacheldraht
Trinity
Shaft
TFN2K
mstream
...
27.03.02
(Juni/Juli 1999)
(Juli/August 1999)
(Sommer 1999)
(Herbst 1999)
(November 1999)
(Dezember 1999)
(April 2000)
40
Denial-of-Service Attacks, 7.2.2000
27.03.02
41
Abwehrmassnahmen
Minimiere die kritische Zeit im
Hacker’s Cycle
Patch
Available
Risk
Vulnerability
widely known
Vulnerabilitiy fixed
(Patch Installed)
Vulnerability
detected
Vulnerability
not known
Vulnerability
announced
Time
days ...
years
27.03.02
React to Reduce
time of high risk
Months
43
Massnahmen (1)
• Schwächste Stellen identifizieren
– Technische, organisatorische und betriebliche Aspekte beachten
– Verschiedene Sicherheitsmassnahmen kombinieren
• Zugang einschränken, Verkehr filtern
– Physischer Zugang, Firewall, ..., Passworte
• Daten verschlüsseln
– Auf Speichermedien, in Mail, in Datenpaketen
• Überwachen (Attacken detektieren)
– Intrusion Detection
– Vulnerability Testing
• Reagieren
– Löcher stopfen ... Abschalten
– Wiederherstellungsprozeduren (Backup ... Informationspolitik)
27.03.02
44
Massnahmen (2)
Application HTTP, FTP,
Telnet, nntp,
smtp, snmp,
Transport
IP
Datalink
Ethernet,
Modem, Leased
Line..
27.03.02
Application Level
Filtering
Firewall
TCP, UDP
Network
Physical
Passwords (AAAA),
Dynamic Passwords
(SecureID), Challenge
Response (S/Key)
Network Address
Translation (NAT)
Stateful
Inspection
Secure Router
MAC Access
Control
MAC Switching,
VLAN
Physical Access
Cabling
45
Security „Life Cycle“
(x-Step Approach)
1: Security Policy
(define goals &
get overview )
(why?)
2: do risk analysis
3: define measures
(what?)
5: verify
4: implement (how?)
•
27.03.02
•
•
Bundesamt für Sicherheit in der Informationstechnik (BSI) ITGrundschutzhandbuch (www.bsi.de)
DoD Orange Book (http://www.dynamoo.com/orange/summary.htm)
British Standard 7799 (www.bsi-global.com)
46
Wer sind die Treiber für Sicherheit?
BU‘s View of
Security
Security Budget
Operations
Management
BU Risk
Management
1
• No perception
• No awareness
No identified dedicated
budget
Deployment
-
2
Seen as technical
requirement
100% for infrastructure (from
IT budget)
Monitoring and
Problem resolution
Infrastructure
security, Cyberincident response
team (CIRT)
3
• Business activity
damage potential
• Need for business
transaction security
25% for transaction security
(from business budget)
75% for infrastructure
security (from IT budget)
Configuration and
change management
Security
architecture,
proactive risk
analysis
4
As a quality of the IT
environment that can
provide competitive
advantage
70% for transaction security
(from business budget)
30% for infrastructure
security (from IT budget)
Transaction incidence Transaction risk
management
management
In 2001 appr. 40% of companies are at stage 1 and 50% at stage 2, only 5% of companies are at stage 3 (at
stage 3 are mainly financial, defence, health care companies).
In
2003 appr. 30 % of companies will be at stage 3.
27.03.02
Source: Gartner Group 2002
47
Perimeter – Personal Firewall
E-Mail-, Web-,
Proxy-Server from ISP
Personal
Firewall
Win 95
Perimeter
Firewall
Internet
Backbone
Router
E-Mail-, Web-,
Proxy-Server
Win NT
Hub, Switch
Router
Router
27.03.02
Win 98
NT-Server
File Server
Data
Service-Modem
local
E-Mail-, Web-,
Proxy-Server
RAS
RAS-Modem
NT-Server
File Server
Data
48
Verschlüsselung: PGP Flop ?
(Gartner Flash, 12 March 2002)
On 7 March 2002, Network Associates (NAI)
has discontinued sales of PGP for encrypting email at the desktop
Failure of commercial PGP results from:
– NAI past organizational problems
– Lack of demand for secure e-mail
– Failure to make PGP easier to use and manage
27.03.02
49
Vulnerability Testing
Update
expert system
Run
penetration test
New
vulnerability
detected
Vulnerability
announced
Vulnerability
widely known
Report
vulnerability
27.03.02
Fix
vulnerabilitiy
50
Regelmässige Security Checks
Beipiel: Secure Scan Solutions
von www.vigilante.com
27.03.02
51
SecureScan NX
Internet
Console
Untrusted
Firewall
Trusted
Agent
27.03.02
52
Silicon Virus, HW-Trojan (Chippen)
• Spiegel TV /VOX
2000, 2:02
• Cassian von Salomon,
Rob Englehardt, John
Scheer, Die Zukunft
der Technik "Krieg
im Netz“
SiliconVirenChippen.mpg
27.03.02
53
Todays Situation
27.03.02
54
27.03.02
55
Bund lässt den Internetverkehr
aushorchen
SOZ, 23.12.2001
Ab nächstem Jahr wird die
Überwachung von E-Mail und
Internet in der Schweiz
verschärft - ganz legal
Ab April 2003 kommen neue computergesteuerte
Überwachungssysteme zum Einsatz. Die Provider
müssen dann die Daten an den „Dienst für besondere
Aufgaben (DBA)“ weiterleiten. Dieser speichert sie in
einer Datenbank, in der die Behörden die Daten
einsehen können. «Wir wollen zuerst Erfahrungen mit
dem E-Mail-Verkehr sammeln. In ein oder zwei Jahren
werden wir die Überwachung auf den ganzen
Internetverkehr ausweiten», sagt Bernard Werz, Leiter
der Verordnungsarbeit und Datenschutzberater im
Departement Leuenberger.
27.03.02
Obskure Observation: Der
Bund lässt den
Internetverkehr aushorchen
56
Ueberwachung zur Strafverfolgung
• 2000: mehr als 4‘000 Telefon- und Handyanschlüsse
überwacht
• 2001: nur 5 E-Mail Briefkästen bei Bluewin (mit 680‘000
Kunden) überwacht
• 2002: Bundesgesetz zur Überwachung des Post- und
Fernmeldeverkehrs (BÜPF) in Kraft
– Internetprovider müssen alle aus der Überwachung gewonnenen
Daten (nicht nur „Randdaten“ Name, Adresse, Zeit) an „Dienst für
besondere Aufgaben“ übertragen
– Unklar, wer Kosten tragen wird
– Schnittstellen noch nicht definiert (Standard ES 201 671, Version
2.1.1, ermöglicht auch Überwachung von SMS und E-Mail-Verkehr)
27.03.02
57