secunet Security Networks AG

Dirk Reimers

Bremen, 08.11.2013

3, 2, 1, meins drei Wege zu Ihren Daten

2

Vorstellung

▀ Dirk Reimers

- Dipl. Inform. (Studium u.a. bei Prof. Dr. Klaus Brunnstein)

- nach dem Studium DFN-CERT (bis 1998)

- secunet seit 1999

- BSI-geprüfter Pentester

- Principal Informations-Sicherheitsmanagement

- Leiter des secunet Pentest-Teams

3

Erkennen Sie den Computervirus?

6

Die Welt ist schlecht – Beispiele aus der secunet-Arbeit

▀ Web-Portale oder Spielereien mit Kunden-IDs

- Datenabfluss über Zähler

▀ Wer ist krank im Krankenhaus?

- veraltete Anwendungen

- Zugriff auf beliebige Daten

- über den Fernseher ins KIS

▀ herum, herum, d‘rüber, d‘runter und durch (Grobi in der Sesamstrasse)

- Der Charme von 2-Firewall-Lösungen

8

Eine kurze Betrachtung der Realität

▀ Online-Auftritte werden unverzichtbarer Bestandteil des Unternehmens

▀ Systeme werden immer vernetzter und damit komplexer

▀ Historische Fehler werden trotzdem immer wieder gemacht

▀ Neue Systeme erschließen neue Fehlerquellen

▀ Applikations-Testing ist funktionales Testing

▀ Tools können selten „um die Ecke denken“

▀ manuelle Pen-Tests werden immer wichtiger

Ein Beispiel: Java-0-Day-Exploit (August 2012)

▀ Zentraler Aufruf des Exploits

System.setSecurityManager(null)

▀ Zusätzlich ausnutzen einer Lücke im ClassFinder

▀ Danach Zugriff auf das System unter Benutzerrechten

-Daten löschen

-Anwendungen installieren

-Remote-Administration via Poison Ivy (in the wild)

9

10

Weg 1: externe Angriffe

▀ Ihre Systeme werden gescannt

▀ 7/24

▀ „offenkundige“ Herkunft der Angriffe größtenteils aus östlichen Regionen

Beispiel: Web-Portale

▀ Wie funktioniert ein Web-Portal

- Benutzer senden Zeichen

- Portal wertet diese Zeichen aus

- Portal antwortet dem Benutzer

- alles ist gut

▀ Angriffe stecken in der Formulierung der Eingabezeichen

- Starten von ungeschützten Funktionen

- Variation von Eingabewerten

- Verwendung unerwarteter Eingaben (Buchstaben statt Ziffern)

- Einbetten von Skripten

- Einbetten von SQL Befehlen

11

12

Wie funktionieren Angriffe

▀ Beispiel Cross-Site-Scripting

▀ Suchstring:

- " /><script>alert(1)</script> <"

▀ HTML

- <input type="text" name="tx_indexedsearch[sword]" value "" /><script>alert(1)</script> <""/>

▀ Suchstring beendet Input Tag und startet ein Skript

▀ Hinterlegen von Code in

- Snipplets, Gästebüchern, Kommentaren

13

PHP Injection

▀ Ausführen von simplen Befehlen in der URL (phpinfo())

▀ Komplexe Shell-Umgebungen sind möglich

16

Cross-Site-Request-Forgery

▀ Voraussetzung: Gültige Sitzung zum Zielportal

▀ Remote Aufrufen von Funktionen des Ziel-Portals aus einer anderen Web-Seite

- Java-Script fügt Aktionen für den Benutzer aus

▀ unkritisches Testobjekt

- Logout

▀ kritische Funktionen:

- Ändern des Passwortes

- Hinzufügen von Benutzern

- Löschen von Dateien

17

SQL-Injection

▀ Einfügen von SQL-Befehlen in Web-Seiten

- Sonderzeichen ; (beendet einen SQL-Befehl)

- Sonderzeichen -- (Rest der Zeile ist Kommentar)

▀ Antworten kommen häufig in Fehlermeldungen

http://imgs.xkcd.com/comics/exploits_of_a_mom.png

18

Weg 2: Angriffe im Intranet (Low-Cost Variante)

▀ Der Zugriff in ihr LAN ist trivialer als sie glauben

▀ Die Einbruchswerkzeuge (alternativ)

- Ein Stück Pappe mit einem Foto (ca. 50ct)

- Ein Putzkittel mit Kopftuch (ca. 20 €)

- Blaumann (ca. 20 €)

▀ Technische Hilfsmittel

- LAN/WLAN Router (ca. 40 €)

▀ Ein offenes Büro

▀ Ergebnisse

- Zugriffe auf Ihr LAN vom Parkplatz aus

Conrad WLAN Mini-Router N150

Social Engineering (Premium Deluxe Plus-Variante)

▀ Geschichte und Aussehen auf das Ziel ausrichten

▀ Was ist das Zielobjekt

▀ Zugang zum Gebäude

- verabredetes Treffen in der Kantine

▀ Einzelnes Büro

- Kulanzdatenaustausch einer defekten Docking-Station / Netzteils / Monitors

- viele Probleme mit Lieferungen aus der gleichen Charge

- Service-Techniker war gerade vor Ort

▀ Serverraum

- Messung des GreenIT-Indexes durch ein externe Unternehmen

19

und das wird deponiert (Premium Deluxe Plus-Variante)

▀ Pwn Plug Elite v1.1

- funktionsfähiger Mini-PC

- Netzwerk-Anschluss

- WLAN-Modul

- UMTS-Modul

- komplette Hacking-Umgebung eingebunden

- Firewall-Bypass

- automatische Aktualisierung (über LAN, WLAN, oder UMTS)

- ca. 800 US$

▀ Durch Kommunikation via UMTS praktisch nicht zu finden

20

▀ … wird ein kompletter Computer in einer Steckdosenleiste versteckt

▀ man beachte den LAN Anschluss

mit etwas Bastelarbeit …

21

Weg 3: Wo wären wir ohne Benutzer?

▀ Behauptung 1: Technische Fehler lassen sich beheben

▀ Behauptung 2: Benutzer sind auch nur Menschen

▀ Er einfachste Zugriffe erfolgt direkt über einen Anwender

▀ Warum?

- Benutzer sind bequem

- Benutzer sind neugierig

- Benutzer sind keine IT-Experten (und das ist auch gut so)

- ca 80% der Angestellten würden einen unbekannten USB-Stick / eine unbekannte, verdächtig erscheinende e-Mail eher im Büro als daheim öffnen

22

23

Social Engineer Toolkit (SET)

24

▀ USB-Sticks mit U3 CD Autostart

- Funktion nur unter Windows XP

▀ Teensy / Rubber Ducky Sticks mit programmierbarer Eingabe

- programmierbares USB HID (Human Interface Device)

- zeitverzögerte Aktionen möglich

- Programmierung in Hochsprache, leicht erlernbar

- Kombination mit Maus möglich

- Hands On

USB-Sticks mit Sonderfunktionen

25

Angriff mit Benutzerinteraktion

▀ Ziel: Zugriff auf ein Benutzersystem im LAN

▀ Idee: Benutzer muss ‚motiviert‘ werden eine Datei (in einer Mail) auszuführen

▀ Motivation

- interessanter Inhalt (kleine süßte Kätzchen)

- „bekannter“ Absender

- Mahnungen

- Dokumente von

- Kunden

- Lieferanten

26

Autopwn (automatisierte Übernahme von Systemen)

▀ Automatische Erkennung von Web-Browsern

▀ Anwendung geeigneter Schwachstellen

▀ Verkettung von Aktionen (ausnutzen, hochladen, ausführen)

▀ Systemübernahme durch die Firewall über SSL-gesicherte Kanäle

27

Angriff ins LAN

▀ Ziel: Zugriff auf viele Benutzersysteme im LAN

▀ Idee: Haben wir ein System im LAN können wir damit arbeiten

▀ Realisierung:

- Metasploit‘s Pivoting Funktion

- Ausnutzung eines Systems als Router für weitere Angriffe

Weg 3.1: gibt es böswillige Benutzer?

▀ bei Ihnen sicher nicht

▀ aber gerüchteweise soll es bösartige Benutzer geben

▀ Was kann ein Benutzer mit Hardwarezugriff alles machen?

▀ Hand on

- OSK-“Hack“

28

… und nun zu etwas ganz anderem

29

Weg 3.2: Smart-Phones

▀ Smart-Phone (insbesondere iOS und Android)

▀ iPhone Hacks sind möglich (bisher ohne iPhone 4.s)

▀ Zugriffe auf Daten auf micro-SIM Karten!

- Verschlüsselung häufig nicht aktiviert

oder

- Verschlüsselung als Sicherheitsrisiko

▀ Abhören von Telefonen durch Spezialsoftware möglich

- Flexi-Spy

- Mobi-Stealth

- Achtung: Benutzung ohne Wissen des Abgehörten könnte strafrechtlich relevant sein

30

Weg 3.3: Laptops

▀ Der optimale Laptop ist ausgestattet mit

- Festplattenverschlüsselung

- VPN-Zugang

- sicheren Passworten für Benutzer

- keine Firewire / Thunderbold oder PCMCIA / Pcexpress Schnittstelle

▀ Ansonsten ist der Zugriff möglich

- KonBoot und OSK

▀ Selbst Festplattenverschlüsselung kann umgangen werden

- Inception

31

32

Fazit

▀ Die Welt ist schlecht

▀ Die Lücken stecken im Detail

▀ Ein Fehler kann alle Systeme kompromittieren

▀ Bösartiger Datenabfluss ist ein Kinderspiel

▀ Die Analyse komplexer Szenarien testen am besten die Profis

- für die SIE bezahlen und nicht ihr Marktbegleiter

secunet Security Networks AG Vielen Dank!

Dipl. Inform. Dirk ReimersBereichsleiter Pentest und Forensik

Telefon +49 201 5454-2023Dirk.Reimers@secunet.com