In IPv6 steckt doch der Wurm! thorsten jäger security consultant - international tjaeger@fortinet.com

In IPv6 steckt doch der Wurm! Seit 2004 bei Fortinet Consulting & Engineering EMEA & SEA F.I.A.T. Member seit 2005 Social Network www.xing.de thorsten jäger security consultant - international tjaeger@fortinet.com

Agenda Malware / Schadsoftware.biz Malware on Steroids Umgang mit Malware

schadsoftware.biz Warum gibt es Schadsoftware Wer verbreitet Schadsoftware Wie verbreitet sich Schadsoftware

Warum ? Hochprofitabel Geringes Risiko Milliarden Industrie Kein direkter „Objekt“ Kontakt Mobil, sehr attraktiv für Schwellenländer Milliarden Industrie

Geldgierige Kriminelle Wer ? Geldgierige Kriminelle Geldgierige Kriminelle Polizeiliche Kriminalstatisik 2009 Phising +64% „Ausspähen, Abfangen von Daten“ +48%, bei 7% weniger Aufklärungsquote Spionage

Wie ? Infektion von Hosts über Vektoren Email, http, Web 2.0 und Social Networks, Instant-Messaging, P2P, Adobe PDF, Google-Docs, Voice-over-IP Ausnutzen von Schwachstellen (Exploit) Schwachstellen in der Technik und „Social Exploits“ Installation Malware / Schadsoftware Selbstständiges Weiterverbreiten der Schadsoftware Kontrolle über den Hosts (Botnetz) Kommerzialisierung des „Botnetzes“ SPAM-Hosts (100.000 Hosts mit je 1.000 emails/std) 100.000.000 SPAMs Ausspähen von KK, Paypal, ebay Weiterversenden von Malware, DDoS Attacken und Erpressung

Wie ? Marktplätze Gute Forschungsarbeiten dazu verfügbar IRC (IRC v6), ICQ, Websites Gute Forschungsarbeiten dazu verfügbar „Dirty Money on the Wire“. Guillaume Lovet, FORTINET „Underground Economy“. Thorsten Holz, TU Wien

„Catch of the Day“ Menu Sehr guter 0-day Exploit ~500-1000$ Guter Exploit 20$ Gestohlene Kreditkartennummer mit Code 2$ Gestohlene Kreditkartennummer mit PIN 20$. Rabattstufen Baukasten für Trojaner 500-1000$ Mietpreis für ein DDoS Botnet (100.000 Zombies) ab 500$/h Mietpreis 1.Mio SPAM mit Malware ca 20$ Software as a Service, SaaS.

Malware in IPv6 – aus Alt mach Neu Alte Malware Verbreitet sich Protokoll- unabhängig (I LOVE YOU) Virus, Exploit Pimped Malware IPv6 Erweiterungen in Würmern. Beispiel: ZEUS (https://zeustracker.abuse.ch/) IPv6 Malware Malware die spezifische IPv6 Eigenschaften nutzt IPv6 Exploits (Stacks oder Parser)

Malware in IPv6 – the bad news Viele Schadsoftware ist schon IPv6 fähig Abhängig vom Vektor Probleme durch „Dual Stack“ Fast jeder Exploit ist IPv6 tauglich

Malware in IPv6 Bad news Starker Anstieg von SPAM Damit verbunden stärkere Verbreitung von Malware Direkte Erreichbarkeit der Hosts Mehr Gewicht auf Firewall Konfiguration als in der NAT Welt

Malware in IPv6 – not so bad news Heute ist kein Wurm aktiv der sich über IPv6 verbreitet Noch nicht . . . . . Bad news Mit dem Businesscase kommt IPv6 spezifische Malware

For IPv6 only Tunnelprotokolle Teredo et al Blacklisting Personal Firewall LAN versus WAN IPv4 zu IPv6 Generisch IPsec Stack hickups. OS-Stack, Application-Stack, Parser . . .

Von Fast-Flux zu Hyper-Fast-Flux Netzen Home-Router Exploitation For your IPv6 only Von Fast-Flux zu Hyper-Fast-Flux Netzen Home-Router Exploitation Quelle: abuse.ch. Fastflux Netz

Lokaler Service Provider For your IPv6 only- LAN Lokaler Service Provider Router Solicitation, Duplicate Address Detection ..... Gute Tools zum kreativen Umgang mit IPv6 im LAN THC IPV6 Attack Suite fakerouter6 – sendet neue Router Advts. dos-newipv6 – antwortet auf jede Neighbor Solicitation (DAD)

Danke 2128 Brute Detection / Scanning von Hosts Mit heutigen Tools unmöglich Money rulez. Und Kreativität auch.

Malware mit Migrationshintergrund Dual-stack Lösungen mit Dual-brain Admins Admins müssen sich dem 2. Protokoll bewusst sein Organisatorische Trennung, Netz vs Content Anpassen der Content Security Systeme Intrusion-Prevention, Application-Control, Proxy, Anti-Virus . . . Einsatz von Multifunction-/UTM Firewalls Andernfalls droht ein Produkteoverkill (Vekoren x2) Intelligente Firewalls Erkennen und Blocken von Tunneln

Malware mit Migrationshintergrund Zentraler Punkt für IPv4 und IPv6 Security Wenn auch Dual-stack Administrativ integriert Beispiel: Mailgateway oder Proxy Besonderer Schutz der DNS Infrastruktur Höhere Bedeutung bei IPv6 