Herzlich Willkommen zum „Live Hacking “ Die Hacker: Ralf Wildvang Thomas Pusch 1 Vorstellung Ralf Wildvang Thomas Pusch § Senior Berater ML Consulting § Berater und Trainer in der Kampagne „Sicher gewinnt“ des Bundes § Erstellung von Sicherheitskonzepten gemäß BSI IT-Grundschutz § Ausbilder der ITSicherheitsbeauftragten des Bundes § Senior Berater ML Consulting § Berater und Trainer in der Kampagne „Sicher gewinnt“ des Bundes § Ethical Hacker und Pentester § Trainer für technische Informationssicherheit § Technischer und strategischer Berater bei der Erstellung von Sicherheitskonzepten ML Gruppe - Leistungen ERP-Projekte Managed Training Services (MTS) • Konzeption • Bildungskonzeption • Ganzheitlicher Ansatz • Individuelle Konzepte • Anwenderunterstützung • Change Management • Modulares Konzept • Bildungsmedien • First-Level-Support • Bildungsmedien • Analyse und Bewertung • Sensibilisierung • Second-Level-Support • Prozessorientiertes Training • Qualifizierungsprojekte • Qualifizierung • Rollout und Support • • Trainingsorganisation • Bildungsmedien • Durchführung 2 Serviceanalyse und -qualifizierung Compliance und Informationssicherheit Training 2 © ML Gruppe IT-Support Was haben wir heute schon alles gehört „Stellen sie sich vor Ihr Unternehmen wurde gehackt und keiner kriegt´s mit!“ „IT-‐Sicherheit??? Das machen die anderen ... ... die aus der IT!“ „Privates muss man von beruflichem trennen“ „Der kleine Mitarbeiter und der Chef“ „Technische und Organisatorische Maßnahmen“ Warum Live – Hacking? Vortrag über IT-‐Sicherheit vs. Live – Hacking als Ihr Security Awareness Event 4 © ML Gruppe Warum machen wir Live-‐Hacking? Natürlich NICHT weil… Ø ... sie wissen sollen wie man ein EMail-‐Konto hackt! Ø ... sie lernen sollen wie sie einem Bekannten oder Kollegen mal richYg eins auswischen! Ø ... sie wissen wollen, was die Nachbarn so auf Ihrem Computer haben! 5 Was wir nicht machen? Ø Wir zeigen Ihnen NICHT wie man System hackt Ø Wir bilden hier KEINE Hacker aus Ø Wir wollen Ihnen KEINE Angst machen Ø Wir zeigen Ihnen die Stolperfallen im Umgang mit dem Computer und wie Sie sich davor schützen können, dass Hacker diese für sich ausnutzen 6 Themenübersicht Thema 1 Der Windows -‐ Trojaner Thema 2 Internetsicherheit – Gefahren im Netz Thema 3 Mobile KommunikaHon und Datenverarbeitung Thema 4 Social Engineering und Social Networks 7 Was wollen Hacker von uns? Ø Sie wollen mein Geld Ø Sie wollen meine Passwörter und meine IdenYtät Ø Und sie wollen meine Bilder 8 Problem: Wer will der kann! 9 10 1 Themenübersicht Thema 1 Der Windows -‐ Trojaner Thema 2 Internetsicherheit – Gefahren im Netz Thema 3 Mobile KommunikaHon und Datenverarbeitung Thema 4 Social Engineering und Social Networks 11 Live – Hacking Demo: Email-‐Sicherheit Email-‐Sicherheit: WichYge Maßnahmen § Absenderadresse prüfen § Im Idealfall: Digitale Signatur § Auf E-‐Mailtext achten § § § Wird ein Handlungsbedarf erzeugt Soll die E-‐Mail offensichtlich die Neugier wecken Kommt man ohne den Anhang in der Bearbeitung nicht weiter und es wird immer auf den Anhang verwiesen § HTML-‐Mails -‐ schön aber mit GefahrenpotenYal § Nur-‐Text-‐Anzeige akYvieren § Vorsicht bei Anhängen im ZIP-‐Format 13 Ihr Handlungsbedarf Doch nicht so!!! 1 Vorsicht 1 Themenübersicht Thema 1 Der Windows -‐ Trojaner Thema 2 Internetsicherheit – Gefahren im Netz Thema 3 Mobile KommunikaHon und Datenverarbeitung Thema 4 Social Engineering und Social Networks 17 Live – Hacking Demo: Internet-‐Sicherheit Angriff: Drive-‐by Angriffe § Werden automaYsiert gestartet durch Aufruf der Webseite § Auch durch Mouse-‐Over – FunkYonen § Diese Angriffe sind schwer zu erkennen und abzuwehren Angriff: Webseiten-‐ManipulaYon § Platzierung von gefährlichen Inhalten durch Drige § § § § § Links auf Angriffswebseiten Manipulierte Bilder Manipulierte Videos Manipulierte Dokumente (PDFs, Word, …) … § Möglich über § § § Sicherheitslücken auf Webseiten Nutzer-‐generierter Inhalt (Web2.0) … Internet-‐Sicherheit: WichYge Maßnahmen § Keine Programme herunterladen und verbreiten! § Heruntergeladene Dateien (Dokumente) erst speichern, danach prüfen und erst dann öffnen! § Nicht jedem LINK folgen und vor dem Öffnen in der Statuszeile die Zieldomäne prüfen! § Vermeidung von Inhalten (AcYveX, JavaScript) und PlugIns! § Browser mit Add-‐Ons wie NoScript, HTTPSEverywhere und Co einsetzen Internet-‐Sicherheit: WichYge Maßnahmen § Keine Programme herunterladen und verbreiten! § Heruntergeladene Dateien (Dokumente) erst speichern, danach prüfen und erst dann öffnen! § Nicht jedem LINK folgen und vor dem Öffnen in der Statuszeile die Zieldomäne prüfen! § Vermeidung von Inhalten (AcYveX, JavaScript) und PlugIns! § Browser mit Add-‐Ons wie NoScript, HTTPSEverywhere und Co einsetzen Internet-‐Sicherheit: WichYge Maßnahmen § Keine Programme herunterladen und verbreiten! § Heruntergeladene Dateien (Dokumente) erst speichern, danach prüfen und erst dann öffnen! § Nicht jedem LINK folgen und vor dem Öffnen in der Statuszeile die Zieldomäne prüfen! § Vermeidung von Inhalten (AcYveX, JavaScript) und PlugIns! § Browser mit Add-‐Ons wie NoScript, HTTPSEverywhere und Co einsetzen Angriff: Phishing / Pharming Live – Hacking Demo: Am Beispiel „Online Banking“ Phishing / Pharming -‐ Sicherheitsmaßnahmen § Nur vertrauenswürdige Computer nutzen § Auf das hgps:// in der Adressleiste achten § SSL-‐ZerYfikat überprüfen (auf Schloss und Farbkennzeichnung der Adressleiste achten) § URL per Hand eingeben* § Links in E-‐Mails oder auf Webseiten prüfen* § Internet Security Suiten einsetzen (Rundum-‐Schutz) * (Bei Pharming wirkungslos) WichYge Sicherheitsprogramme § § § § Sandboxie / Bitbox WOT -‐ Web of Trust NoScript (Add-‐on für Firefox) Virtualisierung (VMWare etc.) 2 Angriff: Cross – Site -‐ ScripYng Themenübersicht Thema 1 Der Windows -‐ Trojaner Thema 2 Internetsicherheit – Gefahren im Netz Thema 3 Mobile KommunikaYon und Datenverarbeitung Thema 4 Social Engineering und Social Networks 29 Live – Hacking Demo: Mobile KommunikaYon und Datenverarbeitung Live – Hacking Demo: USB-‐Hacking Der ungesperrte PC 3 Der ungesperrte PC 3 Der ungesperrte PC 3 Die Teensy -‐ Mouse 3 Die Teensy -‐ Mouse 3 USB-‐Geräte: Sicherheitsmaßnahmen § Den Computer nicht ungesperrt lassen § Keine fremde Hardware anschliessen § Autostart -‐ FunkYon für externe Datenträger deakYvieren § USB-‐SYcks vor Gebrauch auf Viren prüfen 3 Angriffe auf Smartphones & Co You are Hacked! Legale Sorware? Legale Sorware? Legale Sorware? Legale Sorware? Der Handy Trojaner § InstallaYon § § Durch Drige direkt auf dem Telefon Physischer Zugriff notwendig § Verhalten wie Trojanische Pferde § § § Verstecken sich nach der InstallaYon erlauben das Abhören und Aufzeichnen von Gesprächen sowie das Auslesen von Daten (E-‐Mails, SMS, Dateien, …) § Legal erhältliche Programme zur Überwachung § Der legalen Nutzung sind enge Grenzen gesetzt Live – Hacking Demo: Passwort-‐Sicherheit Passwort-‐Sicherheit § Brute-‐Force-‐Angriff § Durchprobieren aller möglichen KombinaYonen von Buchstaben, Ziffern und Sonderzeichen § Wörterbuch-‐Angriff § Durchprobieren eines definierten Wörterbuchs § Herkömmliche Wörterbücher § Bekannte Passwörter § Beliebte Passwort-‐VariaYonen § Viele Dienste versuchen sich vor solchen Angriffen zu schützen § Begrenzung der fehlerharen Anmeldevorgänge WichYge Passwortregeln § § § § § § § Groß-‐, Kleinbuchstaben, Zahlen und Sonderzeichen Mindestens 8 Zeichen (besser min. 10) Nicht trivial Regelmäßig wechseln Geheim halten / nicht weitergeben Unterschiedlich Kennwörter verwenden Bei Hinterlegung geschützt auuewahren Achtung: Shoulder Surfing Themenübersicht Thema 1 Der Windows -‐ Trojaner Thema 2 Internetsicherheit – Gefahren im Netz Thema 3 Mobile KommunikaHon und Datenverarbeitung Thema 4 Social Engineering und Social Networks 50 Social Engineering Vorgehensweise eines Social Engineers § Vortäuschen falscher Tatsachen § Wie ein Schauspieler wird ein Social Engineer zu einer Person und spielt sie nicht nur § Es geht um die Schaffung eines erfundenen aber glaubwürdigen Szenarios § Die Qualität definiert sich über die gesammelten InformaYonen § Je mehr desto besser und je relevanter desto erfolgreicher spielt er seine Rolle Haben Sie Fragen? 52 Vielen Dank für Ihre Aufmerksamkeit! Ralf Wildvang, Thomas Pusch ML Consulting Schulung, Service & Support GmbH Max-Planck-Straße 39, 50858 Köln www.mlgruppe.de 02234/9203-112 [email protected] 53 © ML Gruppe
© Copyright 2024 ExpyDoc