docHacken Kinder(leichtgemacht)
download 
Report Transcription
Hacken Kinder(leichtgemacht)
Hacken (Kinder)leichtgemacht Hans-Georg Eberhard Dr.-Ing. Thomas Leonard AuraSec GmbH 11.09.2014 Köln AuraSec GmbH Unter den Linden 16 10117 Berlin T 030 408173352 F 05334 948624 www.AuraSec.de Hacken Kinder(leichtgemacht) Hacken (Kinder)leichtgemacht 12.09.2014 Seite 2 Rechtliches: § 202a StGB Hacken (Kinder)leichtgemacht 12.09.2014 Seite 3 Rechtliches: § 202b StGB Hacken (Kinder)leichtgemacht 12.09.2014 Seite 4 Rechtliches: § 202c StGB Hacken (Kinder)leichtgemacht 12.09.2014 Seite 5 Über diesen Vortrag Hacken (Kinder)leichtgemacht 12.09.2014 Seite 6 Ich will da hinein! Anlage Satz 2 Nr. 1 zu § 9 Satz 1 BDSG (sinngemäß): Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, durch geeignete Maßnahmen der Zutrittskontrolle zu verwehren. Hacken (Kinder)leichtgemacht 12.09.2014 Seite 7 Der „klassische Weg“ durch das Schloss Das Lockpicking Set kann im Internet aus einschlägigen Quellen bezogen werden. Hacken (Kinder)leichtgemacht 12.09.2014 Seite 8 Schlüssel ist nicht Schlüssel schlecht keinesfalls gut sehr gut Geeignet für Sicherheitsbereiche sind ausschließlich Sicherheitsschlösser mit Codekarte. Hacken (Kinder)leichtgemacht 12.09.2014 Seite 9 Kontaktlose Zutrittskontrollsysteme ? ? schlecht OK Einige Zutrittskontrollsysteme sind kompromittiert. Es kommt auf den verwendeten Chip bzw. Standard an und ist zumeist von außen nicht erkennbar. Hacken (Kinder)leichtgemacht 12.09.2014 Seite 10 Reisekosten erhöhen – Exceltabelle mit Blattschutz Hacken (Kinder)leichtgemacht 12.09.2014 Seite 11 PDF Dokument - leider mit Kopierschutz Hacken (Kinder)leichtgemacht 12.09.2014 Seite 12 Die häufigsten Passwort sind… Oktober 2013: Hackern gelingt der Einbruch in einen Adobe-Server. Nutzerinformationen einschließlich der Passworte von 130 Millionen Kunden werden gestohlen und in Umlauf gebracht. Ein amerikanischer Sicherheitsexperte analysiert daraufhin die Passworte. Welche Passworte sind wohl am häufigsten? Hacken (Kinder)leichtgemacht 12.09.2014 Seite 13 Die häufigsten Passworte Passwort Häufigkeit bei 130 Millionen Passworten 123456 Ca. 2 Mio ! 123456789 450.000 password 350.000 Adobe 123 210.000 12345678 200.000 qwerty 130.000 Hacken (Kinder)leichtgemacht 12.09.2014 Seite 14 „Prominente“ Passworte Paris Hilton hatte als Frage zur Wiederherstellung ihres Handy-Adressbuchs die Frage nach dem Namen ihres Haustieres gewählt. Dank Tinkerbell wurden die Adressen und Telefonnummern zahlreicher Stars im Netz öffentlich. Die (gehackten) E-Mail-Konten des syrischen Präsidenten Assad waren mit dem Passwort "12345" geschützt. Bis 1977 wurde die Zahlenkombination 00000000 als StartCode für die amerikanischen Atomraketen genutzt. Im Ernstfall sollte Zeit gespart werden. Der Code wurde auf der Start-Checkliste abgedruckt und nicht separat aufbewahrt. Hacken (Kinder)leichtgemacht 12.09.2014 Seite 15 Tools zum Brechen von Passworten Tools zum Brechen von Passworten… • können im Internet frei heruntergeladen werden • unterscheiden sich in Preis und Leistungsumfang http://www.fakemysms.com/ • sind nach §§ 202a-c StGB verboten zum Ausspähen von fremden Daten • können ohne Verstoß gegen §§ 202a-c StGB zum Öffnen eigener Dateien, bei denen das Passwort verloren ging, eingesetzt werden (Dual-Use) Hacken (Kinder)leichtgemacht 12.09.2014 Seite 16 Passworte hacken – wie lang dauert es? • Wörterbuchmethode: sehr schnell • Brute-Force: abhängig von Länge und Komplexität des Passworts sowie Rechnerleistung Passwortlänge Zusammensetzung (Alphabet) Kombinationen Dauer 6 Zeichen Großbuchstaben (26) Circa 309 Millionen 7 Sekunden 6 Zeichen Groß, Klein (52) Circa 57 Milliarden 21 Minuten 8 Zeichen Groß, Klein, Zahlen (62) Circa 219 Billionen 1,2 Tage 15 Zeichen Groß, Klein, Zahlen (62) … 831.399.807 Jahre • Basis der Berechnung: gängige PCs – keine NSA Rechner Hacken (Kinder)leichtgemacht 12.09.2014 Seite 17 Gute Passworte Für ein gutes Passwort gilt: • Abhängig vom Anwendungsfall mindestens 8, besser 12 Zeichen lang • Worte als Bestandteil (z.B. “Blasmusikkapelle3.“) zählen nur als 3 Zeichen • Darf in keinem Wörterbuch enthalten sein • Kombination aus Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen • Ein Passwort darf jeweils nur für einen Zugang verwendet werden (keine Nutzung von privaten Passworten in Arbeitsumfeld) • Es ist schwer zu merken!? Hacken (Kinder)leichtgemacht 12.09.2014 Seite 18 Passwortbeispiele - und wie man sich diese merkt • WSlbNiB? Welcher Seemann liegt bei Nacht im Bett? (die ostfriesischen Inseln) • IFtz/\wg Im Frühtau zu Berge wir gehen • HeMue+FrSc Herr Müller und Frau Schneider Hacken (Kinder)leichtgemacht 12.09.2014 Seite 19 Generalschlüssel – der Keylogger • Keylogger zeichnen alle Tastatureingaben auf – auch Passworte • Software – Keylogger: • ggf. schwierig zu installieren und zu betreiben (Firewall, …) • werden oft als Schadsoftware identifiziert • Alternative: Hardware Keylogger Hacken (Kinder)leichtgemacht 12.09.2014 Seite 20 Hardware Keylogger – aus der Werbung des Herstellers „Nutzen Sie die Möglichkeiten zahlreicher neuer Funktionen: • Riesiger Speicher (bis zu 2 Gigabyte), • Mit beliebiger USB- bzw. PS2-Tastatur kompatibel • Keine Software oder Treiber erforderlich • Unsichtbar für den Computer, unauffindbar für Scansoftware Anwendungen: • WWW-, E-Mail- und Chatnutzung durch Kinder überwachen • Ihr Kind vor den Internetgefahren schützen • Leistungsfähigkeit Ihrer Mitarbeiter überwachen • ...und viele andere“ Hacken (Kinder)leichtgemacht 12.09.2014 Seite 21 Keylogger anbringen – Social Engineering Beispiel: Der Helfertrick. Ein Techniker wurde beauftragt, eine Störung zu beheben. Der Techniker bin ich. „Hier bitte, mein Ausweis…“ Dr.-Ing. Thomas Leonard Hacken (Kinder)leichtgemacht 12.09.2014 Seite 22 Welche Karte darf es sein? Internet - breite Basis für das Ausgangsmaterial Hacken (Kinder)leichtgemacht 12.09.2014 Seite 23 Meine Hilfsmittel Dr.-Ing. Thomas Leonard Hacken (Kinder)leichtgemacht 12.09.2014 Seite 24 Der Techniker wird angekündigt – eine E-Mail fälschen Absender: [email protected] Der Empfang bekommt eine E-Mail vom Vorstand oder der IT …. Guten Tag, Mein Rechner ist gestern kaputt gegangen. Ein Servicetechniker der Firma Siemens wurde bestellt. Er wird heute gegen 8 Uhr eintreffen. Bitte geleiten Sie den Herrn in mein Büro. Vielen Dank! Mit freundlichem Gruß Hans Vorstand BKK Der Datenschutz Hacken (Kinder)leichtgemacht 12.09.2014 Seite 25 Social Engineering: SMS fälschen • Einfach: WEB-basierte Lösung • Kosten vergleichbar mit einer normalen SMS Hacken (Kinder)leichtgemacht 12.09.2014 Seite 26 Screen Grabber • • • • Angeboten wird bereits ein Screen Grabber Der Screen Grabber wird zwischen PC und Monitor gesteckt Funktionsweise vergleichbar mit dem Keylogger Speichert alle 2 Sekunden (einstellbar) ein Bildschirmfoto Aus der Werbung des Herstellers „Er fängt unbemerkt Screenshots ein und speichert sie als JPEG-Dateien im eingebauten Flashspeicher mit 2 Gigabyte Speicherplatz. Schließen Sie einfach den Video-Logger an DVI, VGA oder HDMI Schnittstelle der Grafikkarte an, und sofort beginnt er, die Screenshots alle paar Sekunden aufzunehmen. „ Hacken (Kinder)leichtgemacht 12.09.2014 Seite 27 Wünsche eines Hackers 1. Keylogger und Screen Grabber kombinieren 2. WLAN-fähig 3. RDP-Session implementieren Jeder PC kann unbemerkt belauscht und fernbedient werden! Hacken (Kinder)leichtgemacht 12.09.2014 Seite 28 Target: Smartphone! Hacken (Kinder)leichtgemacht 12.09.2014 Seite 29 Vorgehensweise: Smartphone Überwachung • Installation einer Spy-Software auf dem Ziel-Smartphone • Dauer: circa drei Minuten • Verfügbar für alle Smartphone-Arten (iPhone, Android, Blackberry, Windows) Software Hacken (Kinder)leichtgemacht 12.09.2014 Seite 30 Funktionsweise: Smartphone Überwachung • Spy-Software sendet Daten des Smartphones an einen Server • Daten können per Browser gelesen werden • Direkte Befehle per SMS an das Ziel-Smartphone Hacken (Kinder)leichtgemacht 12.09.2014 Seite 31 Demonstration: Smartphone Überwachung 0152 52631005 Hacken (Kinder)leichtgemacht 12.09.2014 Seite 32 Thesen 1. Das Ausspionieren von Daten verlangt in der Tendenz weniger Spezialwissen. Damit wird die Anzahl von Angriffen steigen. 2. Technische Hilfsmittel zum Datenausspionieren gewinnen an Bedeutung. Abwehrstrategien müssen angepasst werden. 3. Die Kombination aus vereinfachter Technik und Social Engineering führt zu einer neuen Bedrohungslage. Schulungen und Awareness-Maßnahmen müssen erweitert werden! Hacken (Kinder)leichtgemacht 12.09.2014 Seite 33 Zum Schluss „Sicher ist, dass nichts sicher ist. Selbst das nicht.“ Joachim Ringelnatz Hacken (Kinder)leichtgemacht 12.09.2014 Seite 34 Vielen Dank für Ihre Aufmerksamkeit! Dr. Thomas Leonard [email protected] T 0151 41856547 AuraSec GmbH Unter den Linden 16 10117 Berlin T 030 408173352 F 05334 948624 www.AuraSec.de
