Aktuelle IT-Sicherheitsrisiken in der Praxis Datenschutz und IT-Sicherheit - 5. November 2013, Dipl. Ing. Dr. Ulrich Bayer, SBA Research.

Präsentation zum Thema: "Aktuelle IT-Sicherheitsrisiken in der Praxis Datenschutz und IT-Sicherheit - 5. November 2013, Dipl. Ing. Dr. Ulrich Bayer, SBA Research."—  Präsentation transkript:

1 Aktuelle IT-Sicherheitsrisiken in der Praxis Datenschutz und IT-Sicherheit - 5. November 2013, Dipl. Ing. Dr. Ulrich Bayer, SBA Research

2 Agenda Fallbeispiel: Hack eines US-Unternehmens Fallbeispiel: Malware
Auf Android Auf Windows Malware Verbreitung via Social Engineering Exploits (Drive-By Downloads)

3 Hack von HBGary (2011) Vorspiel:
1/3 Vorspiel: Regierungsnahes US Beratungsunternehmen CEO äußert sich aggressiv gegen „Hackergruppen“ Eigenes CMS, entwickelt von Dritthersteller Parameter auf Homepage anfällig für SQL Injection Userdaten werden ausgelesen Passwörter durch MD5 gehasht Rainbow Tables für MD5 Hashwerte nicht gesalzen und keine Iteration des Hashvorgangs md5(password)

4 Hack von HBGary (2011) Keine ausreichende Passwort Policy
2/3 Keine ausreichende Passwort Policy Sehr kurze Passwörter Passwörter von CEO und COO : 6 Kleinbuchstaben und 2 Ziffern (z.B. tkdfef56) Gleiches Passwort bei mehreren Services benutzt Mehrere Services werden durch 1 Hack betroffen (Seiteneffekte!) Bei HBGary wurde das 8 stellige Passwort auch bei SSH, Twitter und zur Verwaltung der Google Servicekonten verwendet Altes Betriebssystem (Linux) mit bekannter Privilege Escalation Lücke verwendet Nach SSH Login mit „normalem“ Benutzerkonto => root

5 Hack von HBGary (2011) Verhindern von SQL-Injections
3/3 – Wie hätte man den Hack verhindern können? Verhindern von SQL-Injections Firmenweite, sichere Passwort Policy einführen z.B. Mindestlänge 12 Zeichen; Mix aus Groß- und Kleinbuchstaben, Nummern und Sonderzeichen Mitarbeiter auffordern, Passwörter nicht mehrmals zu verwenden Sicheres Passwort-hashing Patch-Management Anwendungen und Systeme auf neuestem Stand halten Sicherheitsbewusstsein der Mitarbeiter schärfen Schulungen, Workshops, … Usw… SSH-Zugang über Public Key Kryptographie

6 Fallbeispiel Erstmalig entdeckt März 2013
Android Trojaner Stels Erstmalig entdeckt März 2013 Verbreitung von Android Malware oft über (alternative) Appstores 0.02% offizieller Android Market 0.20% bis 0.47% bei alternativen Marktplätzen (Zhou, Ndss 12) Bei Stels via Phishing s (Cutwail botnet) Öffnet backdoor, stiehlt Informationen Android package mit Namen FLASHPLAYER.UPDATE

7 Cutwail Spam Kampage Zu Beginn: Eine Spam-Mail
<a href=' </a> Quelle: Dell SecureWorks

8 Auf Android - Geräten Malware tarnt sich als Flash. Quelle: Dell
SecureWorks

9 Android Installationsdialog
Nachfrage, ob die Software installiert werden soll Quelle: Dell SecureWorks

10 Anzeichen von Stels Nach der Installation
Einmalige Anzeige des App-Symbols unter installierten Applikationen Laufende Prozesse Quelle: Dell SecureWorks

11 Bei Web-Browser Gefälschte IRS Webseite für IE, Firefox, Opera
<li> <iframe src=“ width=“1px” height=“1px” /> </li> Quelle: Dell SecureWorks

12 “Bösartige“ Webseite Was kann beim Ansurfen einer Webseite schon passieren? Bösartige Seite prüft nach Sicherheitsschwachstellen Browser und Browserplugins haben Bugs (Abstürze, Anzeigefehler) immer wieder auch Sicherheitsprobleme Sicherheitsschwachstellen ermöglichen Angriffe Drive-by-Download Unwissentlicher Download und Installation eines (Malware-) Programms Möglich aufgrund von einer Sicherheitsschwachstelle im Browser Im Fall von Stels: Redirect auf Webseite mit Blackhole Exploit Kit

13 BlackHole Das verbreiteteste Exploit Kit Exploit Kit:
Kommerzielle kriminelle Software zur Verbreitung von Malware via Drive-By-Downloads Kommt mit einer Sammlung an Exploits Nutzen unterschiedlichste Webbrowser-Schwachstellen aus Durch Drive-by-Downloads wird das Schadprogramm ohne Wissen des Anwenders auf den Computer heruntergeladen Erscheinung: 2011 Kosten: $1500 und mehr

14 Blackhole Administration Panel
Erfolgsquote Anzahl infizierter PCs Angewandte Exploits

15 Bei anderen Webbrowsern
Affiliate scam Quelle: Dell SecureWorks

16 Fähigkeiten von Stels Download und Ausführen von Dateien
Funktioniert auf fast allen Android-Versionen Download und Ausführen von Dateien Stehlen der Kontaktliste Berichten von Systeminformationen (Telefonnummer, IMEI etc.) Telefonanrufe machen SMS Nachrichten schicken Monitor and record SMS messages Benachrichtigungen anzeigen Applikationen deinstallieren

17 Schutzmaßnahmen Unter Android Applikationen besser nur vom Android Appstore installieren Im Zweifel die Rechte analysieren INTERNET, READ_LOGS Allgemein Misstrauen gegenüber Links und Attachments in s SMS Instant Messages

18 Android Option, um unter Android Apps aus anderen Quellen zu installieren

19 Schutzmaßnahmen Software aktuell halten
Für Desktop PCs Software aktuell halten Vor allem den Browser IE (Microsoft Update) Chrome, Firefox (prüfen selbsttätig) Betriebssystem (Microsoft Update) Browser-Plugins Online-Check für alle Browser hier möglich: Einsatz von Antivirus Software sinnvoll

20 Sind meine Browser-Plugins aktuell?

21 Zusammenfassung Unsichere Webapplikation
Fallbeispiel: Hack eines Unternehmens Unsichere Webapplikation Veraltete Standardsoftware (Linux) Ausweitung des Angriffs durch mehrfach verwendete Passwörter

22 Quelle: Google Transparency Report
Zusammenfassung Fallbeispiel: Malware Spam für Opfer verschiedener Betriebssysteme Kompromittierte Server zur Verbreitung von Drive-By Downloads Warum werden manchmal kleine Webseiten gehackt? Quelle: Google Transparency Report

23 Fragen? Vielen Dank für die Aufmerksamkeit!

24 Veränderung der Bedrohungslandschaft
25. Januar 2003, Ausbruch des SQL Slammer Wurms Grund: Schwachstelle im MS SQL Server 2000 Heutzutage vermehrt Angriffe auf den Client Browser, Plugins, Dokumente Quelle: Dell SecureWorks