Upload
leduong
View
220
Download
0
Embed Size (px)
Citation preview
secunet Security Networks AG
Dirk Reimers
Bremen, 08.11.2013
3, 2, 1, meins drei Wege zu Ihren Daten
2
Vorstellung
▀ Dirk Reimers
- Dipl. Inform. (Studium u.a. bei Prof. Dr. Klaus Brunnstein)
- nach dem Studium DFN-CERT (bis 1998)
- secunet seit 1999
- BSI-geprüfter Pentester
- Principal Informations-Sicherheitsmanagement
- Leiter des secunet Pentest-Teams
3
Erkennen Sie den Computervirus?
6
Die Welt ist schlecht – Beispiele aus der secunet-Arbeit
▀ Web-Portale oder Spielereien mit Kunden-IDs
- Datenabfluss über Zähler
▀ Wer ist krank im Krankenhaus?
- veraltete Anwendungen
- Zugriff auf beliebige Daten
- über den Fernseher ins KIS
▀ herum, herum, d‘rüber, d‘runter und durch (Grobi in der Sesamstrasse)
- Der Charme von 2-Firewall-Lösungen
8
Eine kurze Betrachtung der Realität
▀ Online-Auftritte werden unverzichtbarer Bestandteil des Unternehmens
▀ Systeme werden immer vernetzter und damit komplexer
▀ Historische Fehler werden trotzdem immer wieder gemacht
▀ Neue Systeme erschließen neue Fehlerquellen
▀ Applikations-Testing ist funktionales Testing
▀ Tools können selten „um die Ecke denken“
▀ manuelle Pen-Tests werden immer wichtiger
Ein Beispiel: Java-0-Day-Exploit (August 2012)
▀ Zentraler Aufruf des Exploits
System.setSecurityManager(null)
▀ Zusätzlich ausnutzen einer Lücke im ClassFinder
▀ Danach Zugriff auf das System unter Benutzerrechten
-Daten löschen
-Anwendungen installieren
-Remote-Administration via Poison Ivy (in the wild)
9
10
Weg 1: externe Angriffe
▀ Ihre Systeme werden gescannt
▀ 7/24
▀ „offenkundige“ Herkunft der Angriffe größtenteils aus östlichen Regionen
Beispiel: Web-Portale
▀ Wie funktioniert ein Web-Portal
- Benutzer senden Zeichen
- Portal wertet diese Zeichen aus
- Portal antwortet dem Benutzer
- alles ist gut
▀ Angriffe stecken in der Formulierung der Eingabezeichen
- Starten von ungeschützten Funktionen
- Variation von Eingabewerten
- Verwendung unerwarteter Eingaben (Buchstaben statt Ziffern)
- Einbetten von Skripten
- Einbetten von SQL Befehlen
11
12
Wie funktionieren Angriffe
▀ Beispiel Cross-Site-Scripting
▀ Suchstring:
- " /><script>alert(1)</script> <"
▀ HTML
- <input type="text" name="tx_indexedsearch[sword]" value "" /><script>alert(1)</script> <""/>
▀ Suchstring beendet Input Tag und startet ein Skript
▀ Hinterlegen von Code in
- Snipplets, Gästebüchern, Kommentaren
13
PHP Injection
▀ Ausführen von simplen Befehlen in der URL (phpinfo())
▀ Komplexe Shell-Umgebungen sind möglich
16
Cross-Site-Request-Forgery
▀ Voraussetzung: Gültige Sitzung zum Zielportal
▀ Remote Aufrufen von Funktionen des Ziel-Portals aus einer anderen Web-Seite
- Java-Script fügt Aktionen für den Benutzer aus
▀ unkritisches Testobjekt
- Logout
▀ kritische Funktionen:
- Ändern des Passwortes
- Hinzufügen von Benutzern
- Löschen von Dateien
17
SQL-Injection
▀ Einfügen von SQL-Befehlen in Web-Seiten
- Sonderzeichen ; (beendet einen SQL-Befehl)
- Sonderzeichen -- (Rest der Zeile ist Kommentar)
▀ Antworten kommen häufig in Fehlermeldungen
http://imgs.xkcd.com/comics/exploits_of_a_mom.png
18
Weg 2: Angriffe im Intranet (Low-Cost Variante)
▀ Der Zugriff in ihr LAN ist trivialer als sie glauben
▀ Die Einbruchswerkzeuge (alternativ)
- Ein Stück Pappe mit einem Foto (ca. 50ct)
- Ein Putzkittel mit Kopftuch (ca. 20 €)
- Blaumann (ca. 20 €)
▀ Technische Hilfsmittel
- LAN/WLAN Router (ca. 40 €)
▀ Ein offenes Büro
▀ Ergebnisse
- Zugriffe auf Ihr LAN vom Parkplatz aus
Conrad WLAN Mini-Router N150
Social Engineering (Premium Deluxe Plus-Variante)
▀ Geschichte und Aussehen auf das Ziel ausrichten
▀ Was ist das Zielobjekt
▀ Zugang zum Gebäude
- verabredetes Treffen in der Kantine
▀ Einzelnes Büro
- Kulanzdatenaustausch einer defekten Docking-Station / Netzteils / Monitors
- viele Probleme mit Lieferungen aus der gleichen Charge
- Service-Techniker war gerade vor Ort
▀ Serverraum
- Messung des GreenIT-Indexes durch ein externe Unternehmen
19
und das wird deponiert (Premium Deluxe Plus-Variante)
▀ Pwn Plug Elite v1.1
- funktionsfähiger Mini-PC
- Netzwerk-Anschluss
- WLAN-Modul
- UMTS-Modul
- komplette Hacking-Umgebung eingebunden
- Firewall-Bypass
- automatische Aktualisierung (über LAN, WLAN, oder UMTS)
- ca. 800 US$
▀ Durch Kommunikation via UMTS praktisch nicht zu finden
20
▀ … wird ein kompletter Computer in einer Steckdosenleiste versteckt
▀ man beachte den LAN Anschluss
mit etwas Bastelarbeit …
21
Weg 3: Wo wären wir ohne Benutzer?
▀ Behauptung 1: Technische Fehler lassen sich beheben
▀ Behauptung 2: Benutzer sind auch nur Menschen
▀ Er einfachste Zugriffe erfolgt direkt über einen Anwender
▀ Warum?
- Benutzer sind bequem
- Benutzer sind neugierig
- Benutzer sind keine IT-Experten (und das ist auch gut so)
- ca 80% der Angestellten würden einen unbekannten USB-Stick / eine unbekannte, verdächtig erscheinende e-Mail eher im Büro als daheim öffnen
22
23
Social Engineer Toolkit (SET)
24
▀ USB-Sticks mit U3 CD Autostart
- Funktion nur unter Windows XP
▀ Teensy / Rubber Ducky Sticks mit programmierbarer Eingabe
- programmierbares USB HID (Human Interface Device)
- zeitverzögerte Aktionen möglich
- Programmierung in Hochsprache, leicht erlernbar
- Kombination mit Maus möglich
- Hands On
USB-Sticks mit Sonderfunktionen
25
Angriff mit Benutzerinteraktion
▀ Ziel: Zugriff auf ein Benutzersystem im LAN
▀ Idee: Benutzer muss ‚motiviert‘ werden eine Datei (in einer Mail) auszuführen
▀ Motivation
- interessanter Inhalt (kleine süßte Kätzchen)
- „bekannter“ Absender
- Mahnungen
- Dokumente von
- Kunden
- Lieferanten
26
Autopwn (automatisierte Übernahme von Systemen)
▀ Automatische Erkennung von Web-Browsern
▀ Anwendung geeigneter Schwachstellen
▀ Verkettung von Aktionen (ausnutzen, hochladen, ausführen)
▀ Systemübernahme durch die Firewall über SSL-gesicherte Kanäle
27
Angriff ins LAN
▀ Ziel: Zugriff auf viele Benutzersysteme im LAN
▀ Idee: Haben wir ein System im LAN können wir damit arbeiten
▀ Realisierung:
- Metasploit‘s Pivoting Funktion
- Ausnutzung eines Systems als Router für weitere Angriffe
Weg 3.1: gibt es böswillige Benutzer?
▀ bei Ihnen sicher nicht
▀ aber gerüchteweise soll es bösartige Benutzer geben
▀ Was kann ein Benutzer mit Hardwarezugriff alles machen?
▀ Hand on
- OSK-“Hack“
28
… und nun zu etwas ganz anderem
29
Weg 3.2: Smart-Phones
▀ Smart-Phone (insbesondere iOS und Android)
▀ iPhone Hacks sind möglich (bisher ohne iPhone 4.s)
▀ Zugriffe auf Daten auf micro-SIM Karten!
- Verschlüsselung häufig nicht aktiviert
oder
- Verschlüsselung als Sicherheitsrisiko
▀ Abhören von Telefonen durch Spezialsoftware möglich
- Flexi-Spy
- Mobi-Stealth
- Achtung: Benutzung ohne Wissen des Abgehörten könnte strafrechtlich relevant sein
30
Weg 3.3: Laptops
▀ Der optimale Laptop ist ausgestattet mit
- Festplattenverschlüsselung
- VPN-Zugang
- sicheren Passworten für Benutzer
- keine Firewire / Thunderbold oder PCMCIA / Pcexpress Schnittstelle
▀ Ansonsten ist der Zugriff möglich
- KonBoot und OSK
▀ Selbst Festplattenverschlüsselung kann umgangen werden
- Inception
31
32
Fazit
▀ Die Welt ist schlecht
▀ Die Lücken stecken im Detail
▀ Ein Fehler kann alle Systeme kompromittieren
▀ Bösartiger Datenabfluss ist ein Kinderspiel
▀ Die Analyse komplexer Szenarien testen am besten die Profis
- für die SIE bezahlen und nicht ihr Marktbegleiter
secunet Security Networks AG Vielen Dank!
Dipl. Inform. Dirk ReimersBereichsleiter Pentest und Forensik
Telefon +49 201 [email protected]