Your SlideShare is downloading. ×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Introducing the official SlideShare app

Stunning, full-screen experience for iPhone and Android

Text the download link to your phone

Standard text messaging rates apply

7 andreas wisler it sicherheit

589
views

Published on

Published in: Technology

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
589
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
5
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. 24.06.2011 Agenda Aktuelle Situation • Aktuelle Situation • BSI Lagebericht – 4. Quartal 2010 • Phishing, Identitätsdiebstahl – Hacker nutzen RTF-Dateien für AngriffeIT-Sicherheit • Internet – Schwachstellen – ScareWare, SQL-Injection, XSS • DemoAndreas WislerDipl. Ing. FH, CISSP, ISO 27001 Lead Auditor, IT-SIBE BSI, MCITP 1
  • 2. 24.06.2011Aktuelle Situation Aktuelle Situation Virenflut vor 2005 2005 3% 1% 2006 2%• BSI Lagebericht – 4. Quartal 2010 • BSI Lagebericht – 4. Quartal 2010 – Carberp: Online Banking Troj. Pferd – Zugangsdaten 2007 In einer Stichprobe des BSI 12% im Dezember 2010 wurden 2010 373.973 infizierte Systeme 40% entdeckt, die länderübergrei- 2008 fend verteilt waren. Davon 17% lieferten 86.507 Computer Zu- gangsdaten von Webseiten mit der Top Level-Domain DE. 2009 25% 2010: 55’000 neue Schädlinge pro Tag Quelle: avtest.org 2
  • 3. 24.06.2011Aktuelle Situation Aktuelle Situation iPhone Passwörter• 15.06.11 • Pharma Hack, 10. Juni 2011 • Auswertung aus 200’000 Passwörtern (15.06.11) Paypal.com enthält XSS-Schwachstelle In der Schweiz sind anscheinend hunderte Seiten mit• 09.06.11 Citigroup verliert bei Angriff Daten von 210.000 Kunden (URL dem so genannten Pharma-Hack verseucht worden. Manipulation) Der Pharma-Hack scheint sich vor allem auf Wordpress• 03.06.11 und Typo3 spezialisiert zu haben. Vermutlich wird er Skype-Protokoll als Open Source veröffentlicht durch unsichere Plugins ins System eingeschleust. Es• 30.05.11 befinden sich grosse Anbieter wie die Livit oder das Hacker brechen in Server von US-Rüstungskonzernen ein Institut für Informatik der Universität Zürich darunter.• 26.05.11 Auch Seiten der Uni Basel wurden gehackt, ebenso wie Noch ein Einbruch bei einem Comodo-Partner (SSL-Problematik!!) die Seite des FC Thun oder dem Schweizer• 23.05.11 Volleyballverband. Daneben hunderte von weiteren Gefährliche Sicherheitslücke in Business-Netzwerk LinkedIn entdeckt Schweizer Domains, wie Gemeinden, Verbänden, Blogs und Kleinbetrieben.Weitere News: www.goSecurity.ch/news 3
  • 4. 24.06.2011OWASP Top 10 / 2010 Zwei Beispiele Phishing• 1: Injection Flaws• 2: Cross Site Scripting (XSS) Grüss Gott. Ich komme von der Deutschen Bank. Immer wieder versuchen Gauner über fingierte• 3: Broken Authentication and Session-Management Emails an Kontoinformationen zu gelangen. Der neueste Trick ist, dass Leute, die offensichtlich keine• 4: Insecure Direct Object Reference Bankmitarbeiter sind, von Tür zu Tür gehen, um Kontodaten auszuspähen. Deshalb mussten wir ihre• 5: Cross Site Request Forgery (CSRF) Konten umstellen. Geben Sie mir bitte alle Ihre• 6: Security Misconfiguration Sparbücher, damit wir diese kostenlos für Sie aktualisieren können.• 7: Failure to Restrict URL Access• 8: Unvalidated Redirects and Forwards• 9: Insecure Cryptographic Storage• 10: Insufficient Transport Layer Protection Quelle: http://ritsch-renn.com/Quelle: http://www.owasp.org/ 4
  • 5. 24.06.2011Einschub: Beispiele sozialer Netzwerke Facebook-StatistikSoziale Netzwerke ermöglichen …• sich zu präsentieren • Mehr als 500 Millionen aktive Benutzer weltweit• mit Freunden in Kontakt zu bleiben • 50 % der Benutzer melden sich mindestens• Daten auszutauschen (Bilder, Filme, …) einmal täglich an• schnell neue Kontakte zu knüpfen • Ein Benutzer hat durchschnittlich 130 Freunde• Ideen auszutauschen und zu diskutieren • Die Weltbevölkerung verbringt pro Monat über 700 Milliarden Minuten auf Facebook • Pro Monat werden über 30 Milliarden Inhalte Mehr als 2,2 Millionen Facebook-Benutzer in der Schweiz, was einem Anteil von knapp 30 % entspricht. (Links, News, Fotos, …) hochgeladen 5
  • 6. 24.06.2011Phishing Phishing - Funktionsweise Informationssuche Yasni, Facebook, Xing und Co…• Phishing ist die Bezeichnung für einen interaktiven Informationsdiebstahl (password harvesting fishing, das Passwort fischen)• Nutzt meist eine geschickte Tarnung – E-Mail mit einem "plausiblen" Inhalt – Eingebettete Skripte auf Webseiten oder in E-Mails (html) – Komplett nachgemachte Seiten 6
  • 7. 24.06.2011Gefälschte E-Mail Gefälschte Webseite Richtige Webseite 7
  • 8. 24.06.2011Phishing - Beispiel Phishing - Beispiel Phishing - Beispiel • Versuch an persön- liche Angaben zu gelangen 8
  • 9. 24.06.2011Farbcodierung IE Farbcodierung Firefox Internet - Schwachstellen• Extended Validation Zertifikat, korrekte • Extended Validation Zertifikat, korrekte • ScareWare SSL-Verbindung SSL-Verbindung • SQL-Injection • XSS• Normales Zertifikat, korrekte SSL-Verbindung • Normales Zertifikat, korrekte SSL-Verbindung• Fehlerhafte SSL-Verbindung • Fehlerhafte SSL-Verbindung 9
  • 10. 24.06.2011ScareWare ScareWare ScareWare• Praktisch täglich tauchen neue Variationen desselben Schemas auf: – Internet-Nutzer werden mit vorgetäuschten Schädlingsbefunden zur Installation vorgeblicher Schutzprogramme genötigt.• Die Google-Forscher haben etwa 240 Millionen Web-Seiten untersucht und dabei mehr als 11.000 Domains entdeckt, die Scareware verbreiten 10
  • 11. 24.06.2011ScareWare ScareWare Informationssuche im Internet 11
  • 12. 24.06.2011Angriffspunkte Fehlerhafte Datenübergabe SQL Injection user Pwd email • Formulare zur Datenübergabe • Benutzerverwaltung: Pete perObINa peter@pan.org Tabelle Users John hogeldogel john@wayne.us • Informationen werden in Hidden-Felder übermittelt SELECT * FROM Users • Gefahr: Tools zum Manipulieren der Daten WHERE user= AND pwd= Web Developer – Skript login.php erhält die eingegebenen Zugangsdaten und verwendet diese in einer SQL Query – Benutzername/Passwort existiert: Query gibt eine Zeile zurück  der Benutzer ist identifiziert und erhält Zugang https://addons.mozilla.org/de/firefox/addon/60 12
  • 13. 24.06.2011SQL Injection Cross-Site Scripting (XSS) Testen auf XSS• Ziel des Angreifers: Zugang zum System ohne • Javascript: In Webseiten eingefügter Code, der im • Eingabe eines einfachen Javascripts in verschiedenen Kenntnis von Benutzername/Passwort Browser ausgeführt werden Feldern von Web-Formularen: <script>alert("Testing XSS vulnerability");</script>• Bei Logins funktioniert dies häufig mit or = • Oft enthalten dynamisch generierte Webseiten die von einem Benutzer eingegebenen Daten • Bei Erfolg öffnet sich SELECT * FROM Users – Produktresultatseiten, Google etc. zeigen den eingegebenen ein Popup-Fenster WHERE user= or = AND pwd= or = Suchstring an immer TRUE • Bei XSS nutzt ein Angreifer dieses Feature aus: 13
  • 14. 24.06.2011Beispiel: XSS Beispiel: XSS Beispiele: XSS • Opfer hat Account für einen Web-Shop, Angreifer möchte Account-Daten erhalten. • Xssed.com (Zur Zeit nicht gepflegt!) • Angreifer hat ein entsprechendes JavaScript in einem Link in einer Nachricht in einem Web-Forum platziert, Opfer hat die Nachricht geöffnet. Quelle: Marc Rennhard, ZHAW Click Me! (1) Verwundbare Webseite des Shops wird geladen, dargestellt und Javascript wird ausgeführt (2) Javascript lädt Code von einem Server des Angreifers nach (5) Account-Daten werden zum Angreifer gesendet Mai 2011: 39‘321 bekannte XSS Seiten / 2551 geschlossen (3) Code integriert einen Login-Screen in die Webseite des Web-Shops (6) Script auf dem Server April 2010: 36‘091 bekannte XSS Seiten / 1889 geschlossen (4) „Gutgläubiger“ Benutzer gibt seine des Angreifers nimmt die November 2009: 35‘984 bekannte XSS Seiten / 1889 geschlossen Account-Daten an und klickt auf Login Account-Daten entgegen August 2008: 31‘029 bekannte XSS Seiten / 1551 geschlossen 14
  • 15. 24.06.2011Beispiel: XSS Man in the Middle Angriffe Man in the Middle Angriffe• Achtung: Der Link kann in verschiedenen • Cain & Abel Dokumenten hinterlegt sein: – Email – Diskussions-Forum / Chat – Instant Messaging – PDF, Excel, Powerpoint, Word, etc. – Hochgeladene Datei Dienst / Webseite• Welchen Quellen trauen Sie? 15
  • 16. 24.06.2011Kombination Backtrack / Metasploit Citrix Umgebung 16
  • 17. 24.06.2011Schutzmöglichkeiten Schutzmöglichkeiten1. System aktuell halten 2. Virenscanner, aktuell halten 17
  • 18. 24.06.2011Schutzmöglichkeiten Schutzmöglichkeiten Animationsfilm Infosurance3. Firewall, aktuell halten 4. Gesunder Menschenverstand • Illustriert die „5 Schritte für Ihre Computer-Sicherheit“ • Wurde für den SwissSecurityDay 2009 von der Hochschule Luzern – Design & Kunst erstellt – http://www.youtube.com/watch?v=K_bs-BX2l_E • Im gleichen Kontext wurden die 5 Schritte auch von Peach Weber in Form eines Filmes interpretiert und dargestellt – http://www.youtube.com/watch?v=9gEfj-cvxrk 18
  • 19. 24.06.2011Informieren Sie sich! GO OUT Production GmbH• http://www.infosurance.ch• http://www.melani.admin.ch Wissen Sie, wie es um Ihre IT-Sicherheit steht? – Infoseite zu den Gefahren im Internet GO OUT Production GmbH• http://www.ebankingabersicher.ch Security Audits, -analysen und –beratungen – Infoseite für sicheres e-Banking Schulstrasse 11 8542 Wiesendangen• http://www.geschichtenausdeminternet.ch 052 320 91 20 – Infoseite zu den Gefahren im Internet http://www.goSecurity.ch• http://www.security4kids.ch – Infoseite für Jugend- und Kinderschutz im Internet 19