ML Consulting2

Herzlich Willkommen zum „Live Hacking “ Die Hacker: Ralf Wildvang Thomas Pusch 1 Vorstellung Ralf Wildvang
Thomas Pusch
§  Senior Berater ML Consulting
§  Berater und Trainer in der Kampagne
„Sicher gewinnt“ des Bundes
§  Erstellung von Sicherheitskonzepten
gemäß BSI IT-Grundschutz
§  Ausbilder der ITSicherheitsbeauftragten des Bundes
§  Senior Berater ML Consulting
§  Berater und Trainer in der Kampagne
„Sicher gewinnt“ des Bundes
§  Ethical Hacker und Pentester
§  Trainer für technische
Informationssicherheit
§  Technischer und strategischer Berater bei
der Erstellung von Sicherheitskonzepten
ML Gruppe - Leistungen
ERP-Projekte
Managed Training Services
(MTS)
•  Konzeption
• 
Bildungskonzeption
• 
Ganzheitlicher Ansatz
• 
Individuelle Konzepte
• 
Anwenderunterstützung
• 
Change Management
• 
Modulares Konzept
• 
Bildungsmedien
• 
First-Level-Support
• 
Bildungsmedien
• 
Analyse und Bewertung
• 
Sensibilisierung
• 
Second-Level-Support
• 
Prozessorientiertes Training
• 
Qualifizierungsprojekte
• 
Qualifizierung
• 
Rollout und Support
• 
• 
Trainingsorganisation
• 
Bildungsmedien
• 
Durchführung
2
Serviceanalyse
und
-qualifizierung
Compliance und
Informationssicherheit
Training
2 © ML Gruppe IT-Support
Was haben wir heute schon alles gehört „Stellen sie sich vor Ihr Unternehmen wurde gehackt und keiner kriegt´s mit!“ „IT-­‐Sicherheit??? Das machen die anderen ... ... die aus der IT!“ „Privates muss man von beruflichem trennen“ „Der kleine Mitarbeiter und der Chef“ „Technische und Organisatorische Maßnahmen“ Warum Live – Hacking? Vortrag über IT-­‐Sicherheit vs. Live – Hacking als Ihr Security Awareness Event 4 © ML Gruppe Warum machen wir Live-­‐Hacking? Natürlich NICHT weil… Ø  ... sie wissen sollen wie man ein EMail-­‐Konto hackt! Ø  ... sie lernen sollen wie sie einem Bekannten oder Kollegen mal richYg eins auswischen! Ø  ... sie wissen wollen, was die Nachbarn so auf Ihrem Computer haben! 5 Was wir nicht machen? Ø  Wir zeigen Ihnen NICHT wie man System hackt Ø  Wir bilden hier KEINE Hacker aus Ø  Wir wollen Ihnen KEINE Angst machen Ø  Wir zeigen Ihnen die Stolperfallen im Umgang mit dem Computer und wie Sie sich davor schützen können, dass Hacker diese für sich ausnutzen 6 Themenübersicht Thema 1 Der Windows -­‐ Trojaner Thema 2 Internetsicherheit – Gefahren im Netz Thema 3 Mobile KommunikaHon und Datenverarbeitung Thema 4 Social Engineering und Social Networks 7 Was wollen Hacker von uns? Ø  Sie wollen mein Geld Ø  Sie wollen meine Passwörter und meine IdenYtät Ø  Und sie wollen meine Bilder 8 Problem: Wer will der kann! 9 10 1
Themenübersicht Thema 1 Der Windows -­‐ Trojaner Thema 2 Internetsicherheit – Gefahren im Netz Thema 3 Mobile KommunikaHon und Datenverarbeitung Thema 4 Social Engineering und Social Networks 11 Live – Hacking Demo: Email-­‐Sicherheit Email-­‐Sicherheit: WichYge Maßnahmen §  Absenderadresse prüfen §  Im Idealfall: Digitale Signatur §  Auf E-­‐Mailtext achten § 
§ 
§ 
Wird ein Handlungsbedarf erzeugt Soll die E-­‐Mail offensichtlich die Neugier wecken Kommt man ohne den Anhang in der Bearbeitung nicht weiter und es wird immer auf den Anhang verwiesen §  HTML-­‐Mails -­‐ schön aber mit GefahrenpotenYal § 
Nur-­‐Text-­‐Anzeige akYvieren §  Vorsicht bei Anhängen im ZIP-­‐Format 13 Ihr Handlungsbedarf Doch nicht so!!! 1
Vorsicht 1
Themenübersicht Thema 1 Der Windows -­‐ Trojaner Thema 2 Internetsicherheit – Gefahren im Netz Thema 3 Mobile KommunikaHon und Datenverarbeitung Thema 4 Social Engineering und Social Networks 17 Live – Hacking Demo: Internet-­‐Sicherheit Angriff: Drive-­‐by Angriffe §  Werden automaYsiert gestartet durch Aufruf der Webseite §  Auch durch Mouse-­‐Over – FunkYonen §  Diese Angriffe sind schwer zu erkennen und abzuwehren Angriff: Webseiten-­‐ManipulaYon §  Platzierung von gefährlichen Inhalten durch Drige § 
§ 
§ 
§ 
§ 
Links auf Angriffswebseiten Manipulierte Bilder Manipulierte Videos Manipulierte Dokumente (PDFs, Word, …) … §  Möglich über § 
§ 
§ 
Sicherheitslücken auf Webseiten Nutzer-­‐generierter Inhalt (Web2.0) … Internet-­‐Sicherheit: WichYge Maßnahmen §  Keine Programme herunterladen und verbreiten! §  Heruntergeladene Dateien (Dokumente) erst speichern, danach prüfen und erst dann öffnen! §  Nicht jedem LINK folgen und vor dem Öffnen in der Statuszeile die Zieldomäne prüfen! §  Vermeidung von Inhalten (AcYveX, JavaScript) und PlugIns! §  Browser mit Add-­‐Ons wie NoScript, HTTPSEverywhere und Co einsetzen Internet-­‐Sicherheit: WichYge Maßnahmen §  Keine Programme herunterladen und verbreiten! §  Heruntergeladene Dateien (Dokumente) erst speichern, danach prüfen und erst dann öffnen! §  Nicht jedem LINK folgen und vor dem Öffnen in der Statuszeile die Zieldomäne prüfen! §  Vermeidung von Inhalten (AcYveX, JavaScript) und PlugIns! §  Browser mit Add-­‐Ons wie NoScript, HTTPSEverywhere und Co einsetzen Internet-­‐Sicherheit: WichYge Maßnahmen §  Keine Programme herunterladen und verbreiten! §  Heruntergeladene Dateien (Dokumente) erst speichern, danach prüfen und erst dann öffnen! §  Nicht jedem LINK folgen und vor dem Öffnen in der Statuszeile die Zieldomäne prüfen! §  Vermeidung von Inhalten (AcYveX, JavaScript) und PlugIns! §  Browser mit Add-­‐Ons wie NoScript, HTTPSEverywhere und Co einsetzen Angriff: Phishing / Pharming Live – Hacking Demo: Am Beispiel „Online Banking“ Phishing / Pharming -­‐ Sicherheitsmaßnahmen §  Nur vertrauenswürdige Computer nutzen §  Auf das hgps:// in der Adressleiste achten §  SSL-­‐ZerYfikat überprüfen (auf Schloss und Farbkennzeichnung der Adressleiste achten) §  URL per Hand eingeben* §  Links in E-­‐Mails oder auf Webseiten prüfen* §  Internet Security Suiten einsetzen (Rundum-­‐Schutz) * (Bei Pharming wirkungslos) WichYge Sicherheitsprogramme § 
§ 
§ 
§ 
Sandboxie / Bitbox WOT -­‐ Web of Trust NoScript (Add-­‐on für Firefox) Virtualisierung (VMWare etc.) 2
Angriff: Cross – Site -­‐ ScripYng Themenübersicht Thema 1 Der Windows -­‐ Trojaner Thema 2 Internetsicherheit – Gefahren im Netz Thema 3 Mobile KommunikaYon und Datenverarbeitung Thema 4 Social Engineering und Social Networks 29 Live – Hacking Demo: Mobile KommunikaYon und Datenverarbeitung Live – Hacking Demo: USB-­‐Hacking Der ungesperrte PC 3
Der ungesperrte PC 3
Der ungesperrte PC 3
Die Teensy -­‐ Mouse 3
Die Teensy -­‐ Mouse 3
USB-­‐Geräte: Sicherheitsmaßnahmen §  Den Computer nicht ungesperrt lassen §  Keine fremde Hardware anschliessen §  Autostart -­‐ FunkYon für externe Datenträger deakYvieren §  USB-­‐SYcks vor Gebrauch auf Viren prüfen 3
Angriffe auf Smartphones & Co You
are
Hacked!
Legale Sorware? Legale Sorware? Legale Sorware? Legale Sorware? Der Handy Trojaner §  InstallaYon § 
§ 
Durch Drige direkt auf dem Telefon Physischer Zugriff notwendig §  Verhalten wie Trojanische Pferde § 
§ 
§ 
Verstecken sich nach der InstallaYon erlauben das Abhören und Aufzeichnen von Gesprächen sowie das Auslesen von Daten (E-­‐Mails, SMS, Dateien, …) §  Legal erhältliche Programme zur Überwachung § 
Der legalen Nutzung sind enge Grenzen gesetzt Live – Hacking Demo: Passwort-­‐Sicherheit Passwort-­‐Sicherheit §  Brute-­‐Force-­‐Angriff § 
Durchprobieren aller möglichen KombinaYonen von Buchstaben, Ziffern und Sonderzeichen §  Wörterbuch-­‐Angriff § 
Durchprobieren eines definierten Wörterbuchs § 
Herkömmliche Wörterbücher § 
Bekannte Passwörter § 
Beliebte Passwort-­‐VariaYonen §  Viele Dienste versuchen sich vor solchen Angriffen zu schützen § 
Begrenzung der fehlerharen Anmeldevorgänge WichYge Passwortregeln § 
§ 
§ 
§ 
§ 
§ 
§ 
Groß-­‐, Kleinbuchstaben, Zahlen und Sonderzeichen Mindestens 8 Zeichen (besser min. 10) Nicht trivial Regelmäßig wechseln Geheim halten / nicht weitergeben Unterschiedlich Kennwörter verwenden Bei Hinterlegung geschützt auuewahren Achtung: Shoulder Surfing Themenübersicht Thema 1 Der Windows -­‐ Trojaner Thema 2 Internetsicherheit – Gefahren im Netz Thema 3 Mobile KommunikaHon und Datenverarbeitung Thema 4 Social Engineering und Social Networks 50 Social Engineering Vorgehensweise eines Social Engineers §  Vortäuschen falscher Tatsachen §  Wie ein Schauspieler wird ein Social Engineer zu einer Person und spielt sie nicht nur §  Es geht um die Schaffung eines erfundenen aber glaubwürdigen Szenarios §  Die Qualität definiert sich über die gesammelten InformaYonen §  Je mehr desto besser und je relevanter desto erfolgreicher spielt er seine Rolle Haben Sie Fragen? 52 Vielen Dank für Ihre Aufmerksamkeit!
Ralf Wildvang, Thomas Pusch
ML Consulting Schulung, Service & Support GmbH
Max-Planck-Straße 39, 50858 Köln
www.mlgruppe.de
02234/9203-112
[email protected]
53 © ML Gruppe