Aktuelle IT-Sicherheitsrisiken in der Praxis Datenschutz und IT-Sicherheit - 5. November 2013, Dipl. Ing. Dr. Ulrich Bayer, SBA Research

Agenda Fallbeispiel: Hack eines US-Unternehmens Fallbeispiel: Malware Auf Android Auf Windows Malware Verbreitung via Social Engineering Exploits (Drive-By Downloads)

Hack von HBGary (2011) Vorspiel: 1/3 Vorspiel: Regierungsnahes US Beratungsunternehmen CEO äußert sich aggressiv gegen „Hackergruppen“ Eigenes CMS, entwickelt von Dritthersteller Parameter auf Homepage anfällig für SQL Injection Userdaten werden ausgelesen http://www.hbgaryfederal.com/pages.php?pageNav=2&page=27 Passwörter durch MD5 gehasht Rainbow Tables für MD5 Hashwerte nicht gesalzen und keine Iteration des Hashvorgangs md5(password)

Hack von HBGary (2011) Keine ausreichende Passwort Policy 2/3 Keine ausreichende Passwort Policy Sehr kurze Passwörter Passwörter von CEO und COO : 6 Kleinbuchstaben und 2 Ziffern (z.B. tkdfef56) Gleiches Passwort bei mehreren Services benutzt Mehrere Services werden durch 1 Hack betroffen (Seiteneffekte!) Bei HBGary wurde das 8 stellige Passwort auch bei SSH, Twitter und zur Verwaltung der Google Servicekonten verwendet Altes Betriebssystem (Linux) mit bekannter Privilege Escalation Lücke verwendet Nach SSH Login mit „normalem“ Benutzerkonto => root

Hack von HBGary (2011) Verhindern von SQL-Injections 3/3 – Wie hätte man den Hack verhindern können? Verhindern von SQL-Injections Firmenweite, sichere Passwort Policy einführen z.B. Mindestlänge 12 Zeichen; Mix aus Groß- und Kleinbuchstaben, Nummern und Sonderzeichen Mitarbeiter auffordern, Passwörter nicht mehrmals zu verwenden Sicheres Passwort-hashing Patch-Management Anwendungen und Systeme auf neuestem Stand halten Sicherheitsbewusstsein der Mitarbeiter schärfen Schulungen, Workshops, … Usw… SSH-Zugang über Public Key Kryptographie

Fallbeispiel Erstmalig entdeckt März 2013 Android Trojaner Stels Erstmalig entdeckt März 2013 Verbreitung von Android Malware oft über (alternative) Appstores 0.02% offizieller Android Market 0.20% bis 0.47% bei alternativen Marktplätzen (Zhou, Ndss 12) Bei Stels via Phishing Emails (Cutwail botnet) Öffnet backdoor, stiehlt Informationen Android package mit Namen FLASHPLAYER.UPDATE

Cutwail Spam Kampage Zu Beginn: Eine Spam-Mail <a href='http://a_compromised_site.com/'> http://www.irs.gov/pub/irs-pdf/forms2012 </a> Quelle: Dell SecureWorks

Auf Android - Geräten Malware tarnt sich als Flash. Quelle: Dell SecureWorks

Android Installationsdialog Nachfrage, ob die Software installiert werden soll Quelle: Dell SecureWorks

Anzeichen von Stels Nach der Installation Einmalige Anzeige des App-Symbols unter installierten Applikationen Laufende Prozesse Quelle: Dell SecureWorks

Bei Web-Browser Gefälschte IRS Webseite für IE, Firefox, Opera <li> <iframe src=“http://malicious_site.com” width=“1px” height=“1px” /> </li> Quelle: Dell SecureWorks

“Bösartige“ Webseite Was kann beim Ansurfen einer Webseite schon passieren? Bösartige Seite prüft nach Sicherheitsschwachstellen Browser und Browserplugins haben Bugs (Abstürze, Anzeigefehler) immer wieder auch Sicherheitsprobleme Sicherheitsschwachstellen ermöglichen Angriffe Drive-by-Download Unwissentlicher Download und Installation eines (Malware-) Programms Möglich aufgrund von einer Sicherheitsschwachstelle im Browser Im Fall von Stels: Redirect auf Webseite mit Blackhole Exploit Kit

BlackHole Das verbreiteteste Exploit Kit Exploit Kit: Kommerzielle kriminelle Software zur Verbreitung von Malware via Drive-By-Downloads Kommt mit einer Sammlung an Exploits Nutzen unterschiedlichste Webbrowser-Schwachstellen aus Durch Drive-by-Downloads wird das Schadprogramm ohne Wissen des Anwenders auf den Computer heruntergeladen Erscheinung: 2011 Kosten: $1500 und mehr

Blackhole Administration Panel Erfolgsquote Anzahl infizierter PCs Angewandte Exploits

Bei anderen Webbrowsern Affiliate scam Quelle: Dell SecureWorks

Fähigkeiten von Stels Download und Ausführen von Dateien Funktioniert auf fast allen Android-Versionen Download und Ausführen von Dateien Stehlen der Kontaktliste Berichten von Systeminformationen (Telefonnummer, IMEI etc.) Telefonanrufe machen SMS Nachrichten schicken Monitor and record SMS messages Benachrichtigungen anzeigen Applikationen deinstallieren

Schutzmaßnahmen Unter Android Applikationen besser nur vom Android Appstore installieren Im Zweifel die Rechte analysieren INTERNET, READ_LOGS Allgemein Misstrauen gegenüber Links und Attachments in E-Mails SMS Instant Messages

Android Option, um unter Android Apps aus anderen Quellen zu installieren

Schutzmaßnahmen Software aktuell halten Für Desktop PCs Software aktuell halten Vor allem den Browser IE (Microsoft Update) Chrome, Firefox (prüfen selbsttätig) Betriebssystem (Microsoft Update) Browser-Plugins Online-Check für alle Browser hier möglich: https://www.mozilla.org/plugincheck/ Einsatz von Antivirus Software sinnvoll

Sind meine Browser-Plugins aktuell?

Zusammenfassung Unsichere Webapplikation Fallbeispiel: Hack eines Unternehmens Unsichere Webapplikation Veraltete Standardsoftware (Linux) Ausweitung des Angriffs durch mehrfach verwendete Passwörter

Quelle: Google Transparency Report Zusammenfassung Fallbeispiel: Malware Spam für Opfer verschiedener Betriebssysteme Kompromittierte Server zur Verbreitung von Drive-By Downloads Warum werden manchmal kleine Webseiten gehackt? Quelle: Google Transparency Report

Fragen? Vielen Dank für die Aufmerksamkeit!

Veränderung der Bedrohungslandschaft 25. Januar 2003, Ausbruch des SQL Slammer Wurms Grund: Schwachstelle im MS SQL Server 2000 Heutzutage vermehrt Angriffe auf den Client Browser, Plugins, Dokumente Quelle: Dell SecureWorks