Peter Gantenbein Security Consultant MMK Security Training Willi Kernen (den kennen Sie schon) und Peter Gantenbein Security Consultant Trivadis AG

Agenda Einführung Kurzer Blick in die Vergangenheit….. Begriffe….und was wirklich dahintersteckt! Computersicherheit nur was für Banken und Grossfirmen?!? Was macht Computersysteme angreifbar?

Agenda Wie geht ein Angreifer vor? Wie kann man sich schützen? Einige Praxisbeispiele Wie bleibe ich up-to-date? Fragen/Antworten Offene Diskussion

Einführung Einige Fakten Ein standardmässig ausgelieferter PC klinkt sich ins Internet ein, nach ca. 4 Minuten ist er kompromittiert (Virus, Trojaner, Hacker..) Die Anzahl der privaten Breitbandanschlüsse steigt im zweistelligen Prozentbereich Vor einigen Jahren waren für einfache Attacken (DOS) vertieftes Fachwissen notwendig….. ….heutzutage werden komplexe Attacken von Leuten mit wenig Fachwissen ausgeführt (Session Hijacking, Viren, Trojaner)

Kurzer Rückblick I Erste Attacken wurden in den 80iger Jahren auf Telefonzentralen verübt => Ziel: kostenlose Verbindungen Durch den Computerspielboom wurden durch „Diffing“ die ersten Cheats durchgeführt Viren wurden noch via Datenträgeraustausch verbreitet Das Internet wird zum Massenmedium => Viren entwickeln sich zu Würmern

Kurzer Rückblick II Komplexe Tools für die Trojaner- und Virenerstellung wurden entwickelt und verbreitet => nun sind keine Programmierkenntnisse mehr erforderlich um einen Virus zu schreiben Werbemails werden zu SPAM und damit zu einer Plage Einer der grössten SPAM Versenden wurde 2005 in den USA zur Rechenschaft gezogen. Man schätzte sein monatliches Einkommen auf ca. 400‘000 USD. Im gesamten erwirtschaftete er 24 Mio. USD Dialer zocken ahnungslose Surfer ab

Kurzer Rückblick III Phishing Mails machen viele Sicherheitsmechanismen unwirksam SASSER, Code Red etc. legen ganze Firmennetzwerke lahm Pharming Attacken werden immer populärer

Begriffe und was dahintersteckt Virus, Würmer, Trojaner Diffing Sniffing Phishing Session Hijacking ARP Poisoning Backdoors XSS (Cross Site Scripting) SQL Injection

Begriffe und was dahintersteckt Spoofing Scanning Buffer Overflow, Format String Attacken DoS, DDoS Spamming (Bot-Netzwerke) Cracking Brute Force Dictionary Attack MITM Attacken Website Defacement Social Engineering Reverse Engineering Phishing Pharming

Und wer macht das alles? Ethical Hacker Cracker Script Kiddies Politisch motivierte Kreise….(da kann sicher jeder darunter vorstellen was er will!) Mafia

Warum machen die das? Technisches Interesse Vandalismus Geld Politische Motive (Hacking des WEF Webservers) Wirtschaftliches Interesse (siehe SPAM Versender) Anerkennung ….und noch vieles mehr!

Computersicherheit nur für Grossunternehmen?!? Häufige Aussagen Macht nichts, wenn meine Web-Server enthält keine geheimen Daten Ich mache häufig Backups und habe somit den Webauftritt schnell wieder „restauriert“ Sicherheit ist zu teuer für mich Es ist ja noch nie was passiert Ich betreibe keine geschäftskritischen Webapplikationen

Computersicherheit nur für Grossunternehmen?!? Einige Tatsachen Es ist nicht egal, wenn jemand meinen Web-Server verunstaltet Imageverlust Viele effektive Tools sind Open-Source und somit kostengünstig Eine gute IT Architektur muss nicht unbedingt teuer sein Fast jede Unternehmung besitzt Daten, die kritisch und somit schützenswert sind (vor allem im Dienstleistungsbereich) Schlechte Konfiguration öffnet Angreifern Tür und Tor  Fachwissen oftmals zu niedrig

Was macht Computersysteme angreifbar? Schlechtes Changemanagement Schlechtes Patchmanagement Mangelhafte Kenntnisse der Mitarbeiter Motto: Wenn‘s läuft ist es ja richtig konfiguriert! Nichtvorhandene Prozesse Mangelnde Awareness von Management, Mitarbeitern Monokultur in der IT „Firewallitis“ Kostendruck Vernetzung

Wie geht ein Angreifer vor? Informationsbeschaffung über das Ziel Scanning, Absurfen der Web-Seite, Google Welche Produkte werden eingesetzt? Welche Sicherheitslücken bestehen? Welche Hackingtechniken versprechen Erfolg? Planung des Angriffs Nachbilden der Infrastruktur Austesten verschiedener Techniken Durchführen des Angriffs im Lab Angriff ausführen Spuren verwischen

Wie schütze ich mich? Patches regelmässig einspielen Kryptografie sinnvoll einsetzen Verschlüsselungsstärke Sichere Algorithmen Verschlüsselung testen Sich nicht nur auf eine Barriere bzw. Sicherheitsmassnahme verlassen Monitoring (gute Idee zu bemerken, wenn was passiert) Monitoring bedeutet nicht nur Logs zu schreiben, sondern diese auch auszuwerten Hardening Produkte mit häufigen Sicherheitsproblemen meiden

Wie schütze ich mich? Security by Obscurity ist was für Leichtgläubige Vertrauen ist gut Kontrolle ist besser Know your enemy! Penetration Tests Automatisierte Sicherheitsscans Nur diejenigen Services erlauben, die auch wirklich benötigt werden Technische UND organisatorische Massnahmen treffen

Wie bleibe ich up-to-date? Folgende Quellen können mit vernünftigem Zeitaufwand genutzt werden: Internet Fachpresse Newsletter abonnieren Hersteller (betreffend Patches, und Sicherheitslücken)

Wie bleibe ich up-to-date? Links packetstormsecurity.nl www.sans.org www.securityfocus.com www.cert.org CCC (Chaos Computer Club) u.v.a.

Wenn trotzdem was passiert? Rechner nicht ausschalten – Strom weg Bitweise Kopie der Harddisk auf fremden Rechner Auf Testmaschine analysieren – Booten von sauberer HD Backup nur zurückspielen, wenn sichergestellt ist, dass es sauber ist

Praxis Passwort-Cracking HTTP Authentication mit Sniffer Phishing Mail aufzeigen Nmap/Nessus SQL Injection

Q&A/Offene Diskussion