Compass Security AG - Hacking
Transcription
Compass Security AG - Hacking
Compass Security AG [The ICT-Security Experts] Mobile Security - Angriffsszenarien auf mobile Dienste: Wie (un-)sicher sind Laptop, iPhone, Blackberry & Co.? Marco Di Filippo Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel.+41 55-214 41 60 Fax+41 55-214 41 61 [email protected] www.csnc.ch Wer bin ich? Marco Di Filippo “ “ “ “ “ Regional Manager Germany verheiratet, eine Tochter Kreativer Umgang mit TK(IT)- Sicherheitssystemen seit1996 Werdegang: Von der TK-Security zur IT-Security Spezialgebiete sind “ technische Sicherheitsprüfungen “ ICT- Sicherheitskonzepte (VoIP, PSTN, GSM …) © Compass Security AG www.csnc.ch Slide 2 Übrigens: Heute müssen Sie Ihr Telefon nicht ausschalten. Ich empfehle jedoch den Stumm-Modus ;-) Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel.+41 55-214 41 60 Fax+41 55-214 41 61 [email protected] www.csnc.ch Agenda Wer ist Compass Security AG? Einleitung Betrachtungsweise Mobile Security im Bezug auf “ die Plattform/das Netzwerk “ die Hardware “ die Applikationen “ die Schnittstellen Zusammenfassung/Resümee Fragen © Compass Security AG www.csnc.ch Slide 4 Wer ist Compass Security AG? Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel.+41 55-214 41 60 Fax+41 55-214 41 61 [email protected] www.csnc.ch Zahlen/Fakten Gründungsjahr 1999 Geschäftsführer u. Gründer Walter Sprenger & Ivan Bütler Firmensitz Rapperswil SG Anzahl Mitarbeiter 21 Schwerpunkt Ethical Hacking - Penetration Testing - IT-Forensics Besonderheiten Betreiber des Hacking-Labs, Veranstalter des SCS (bzw. Attacke&Defense in DE) Kunden Finanzdienstleister, Telekommunikation, Industrie… © Compass Security AG www.csnc.ch Slide 6 Das Team © Compass Security AG www.csnc.ch Slide 7 Service Portfolio . . . . © Compass Security AG www.csnc.ch Slide 8 Das Mobile Netzwerk Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel.+41 55-214 41 60 Fax+41 55-214 41 61 [email protected] www.csnc.ch Die Geschichte . Cap‘n Crunch Hack Dank einem mehr oder weniger exakt 2600 Hertz hohen Ton (z.B. mittels einer Pfeife aus einer Cornflakes-Packung) konnte man den Gebührenzähler beim CCITT5-Standard manuell deaktivieren, um Kosten zu sparen. John Draper Er perfektionierte die Entdeckung von Joseph Engressia (16-jähriger blinder Schüler) in Form von der 1970 entwickelten BlueBox, mit der man die Gebührenzähler von AT&T überlisten konnte. © Compass Security AG www.csnc.ch Slide 10 Die Geschichte . BlueBox Die BlueBox produzierte einen 2.600 Hertz-Ton, welcher von CCITT v5-kompatiblen Vermittlungsstellen benutzt wurde. Beim Phreaking wurden damit illegal kostenlose Telefonate erschlichen. BeigeBoxing Dienst zum illegalen Anzapfen der Telefonleitung einer anderen Person, um auf deren Kosten zu telefonieren bzw. Gespräche mitzuhören. Die BeigeBox hat ihren Namen von der beigen Farbe der durch sie angezapften Verteilerkästen. © Compass Security AG www.csnc.ch Slide 11 Mobile Network Architecture Ansatzpunkte möglicher Manipulationen © Compass Security AG www.csnc.ch Slide 12 Allgemein Mobile Geräte: kritisch und oft vergessene Kinder ... “ “ “ “ “ “ Mobile Geräte arbeiten oft ohne schützende Firmen-Firewall. Sie werden viel transportiert und sind einfach zu bewegen. Sie kommunizieren mit fremden Netzen über unsichere Verfahren. Die Benutzer haben oft Administrator-Rechte. Können einfach entwendet, geklaut oder zerstört werden... Werden im Sicherheitskonzept oft vergessen oder bewusst nicht berücksichtigt. Übrigens: Haben Sie die Verschlüsselung Ihres BlackBerrys oder den Zugangsschutz Ihres iPhones aktiviert? © Compass Security AG www.csnc.ch Slide 13 Allgemein Mobile Endgeräte sind heute mobile Datenträger “ Nur eine kleine Anzahl mobiler Devices besitzt heute einen angemessenen Schutz der auf ihnen gespeicherten Daten. “ Wenn ein Angreifer den physikalischen Zugang zu einem Datenträger erlangt, kann er sämtliche Schutzmechanismen des Betriebssystems umgehen – es sei denn, der Datenträger ist verschlüsselt. © Compass Security AG www.csnc.ch Slide 14 Glauben Sie dass die Ortung von mobilen Geräten ausschließlich Sache von Behörden und Geheimdiensten ist? Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel.+41 55-214 41 60 Fax+41 55-214 41 61 [email protected] www.csnc.ch Wo bin ich? Ortung mittels GSM Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel.+41 55-214 41 60 Fax+41 55-214 41 61 [email protected] www.csnc.ch Professionelle Ortung (Kreuzpeilung) Erfasste Daten: Sendmasten Kreuzpeilung Mikrophon © Compass Security AG www.csnc.ch Slide 17 Ortung durch LBS Location Based Services Welche Informationen werden zur Ortung benötigt? “ Daten der Mobilfunkzelle, in der sich das Endgerät aufhält/befindet “ Datenbank mit den Senderkoordinaten (BTS/BSC) © Compass Security AG www.csnc.ch Slide 18 Ortung durch LBS Location Based Services Relevante Daten der momentan aktiven/befindlichen Zelle lokal auslesen (Beispiel iPhone) “ Aktivieren des Feldtest-Modus © Compass Security AG www.csnc.ch Slide 19 Ortung durch LBS Location Based Services Relevante Daten der momentan aktiven/befindlichen Zelle lokal auslesen (Beispiel iPhone) “ Aktivieren des Feldtest-Modus “ Auslesen der GSM Cell Daten © Compass Security AG www.csnc.ch Slide 20 Ortung durch LBS Location Based Services Relevante Daten der momentan aktiven/befindlichen Zelle lokal auslesen (Beispiel iPhone) “ Aktivieren des Feldtest-Modus “ Auslesen der GSM Cell Daten “ MCC (Mobile Country Code) © Compass Security AG www.csnc.ch Slide 21 Ortung durch LBS Location Based Services MCC (Mobile Country Code) “ Anhand der ersten Ziffer kann man eine kontinentale Einordnung vornehmen: 0 1 2 3 4 5 6 7 8 9 nicht vergeben nicht vergeben Europa Nordamerika und Karibik Asien, Indien, naher Osten Australien und Ozeanien Afrika Südamerika nicht vergeben Welt Siehe auch www.nobbi.com/wiki/doku.php/mcc © Compass Security AG www.csnc.ch Slide 22 Ortung durch LBS Location Based Services MCC (Mobile Country Code) “ Die zweite und dritte Ziffer definiert das Land (Auswahl): 262 228 232 234 235 310 316 Germany Switzerland Austria United Kingdom United Kingdom bis United States of America Siehe auch www.nobbi.com/wiki/doku.php/mcc © Compass Security AG www.csnc.ch Slide 23 Ortung durch LBS Location Based Services Relevante Daten der momentan aktiven/befindlichen Zelle lokal auslesen (Beispiel iPhone) “ Aktivieren des Feldtest-Modus “ Auslesen der GSM Cell Daten “ MCC (Mobile Country Code) “ MNC (Mobile Network Code) © Compass Security AG www.csnc.ch Slide 24 Ortung durch LBS Location Based Services MNC (Mobile Network Code) “ Der MNC steht für den Netzbetreiber 01 02 07 © Compass Security AG T-Mobile Vodafone O2 www.csnc.ch Slide 25 Ortung durch LBS Location Based Services Relevante Daten der momentan aktiven/befindlichen Zelle lokal auslesen (Beispiel iPhone) “ Aktivieren des Feldtest-Modus “ Auslesen der GSM Cell Daten “ MCC (Mobile Country Code) “ MNC (Mobile Network Code) “ LAC (Location Area Code) organisatorische Zusammenfassung von Zellen © Compass Security AG www.csnc.ch Slide 26 Ortung durch LBS Location Based Services Relevante Daten der momentan aktiven/befindlichen Zelle lokal auslesen (Beispiel iPhone) “ Aktivieren des Feldtest-Modus “ Auslesen der GSM Cell Daten “ MCC (Mobile Country Code) “ MNC (Mobile Network Code) “ LAC (Location Area Code) organisatorische Zusammenfassung von Zellen “ Cell ID, zwei Bytes die eine Zelle innerhalb einer LAC identifizieren © Compass Security AG www.csnc.ch Slide 27 Ortung durch LBS Location Based Services In unserem Beispiel wäre die eindeutige Lacation Based ID MCC – MNC – LAC – CID 262 – 01 – 38175 – 0028435 © Compass Security AG www.csnc.ch Slide 28 LiveDemo [Aktuelle Cell-ID] Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel.+41 55-214 41 60 Fax+41 55-214 41 61 [email protected] www.csnc.ch Ortung durch LBS Location Based Services Alternative Tools zum Ermitteln der Location Based ID TAPIR: NetMonitor mit PC-Unterstützung Siehe auch www.nobbi.com/monitor/index.html © Compass Security AG www.csnc.ch Slide 30 Ortung durch LBS Location Based Services Alternative Tools zum Ermitteln der Location Based ID GPS Tracker Peilsender TK102-2 Siehe auch www.itakka.at/shop/ und www.positionx.de © Compass Security AG www.csnc.ch Slide 31 Ortung durch LBS Location Based Services Ermitteln der Location Based ID aus der Ferne “ “ “ “ Mittels Trojaner Ortung mittels Dienstleister (Ortungsfreigabe bei Provider Notwendig) SAT (SIM Applikation Toolkit) Carrier Services Home Location Register Lookup‘s (SS7) © Compass Security AG www.csnc.ch Slide 32 LiveDemo [Jedermann Lokalisierung] + Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel.+41 55-214 41 60 Fax+41 55-214 41 61 [email protected] www.csnc.ch Proof-of-Concept Please Call +41 55 214 xxx + Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel.+41 55-214 41 60 Fax+41 55-214 41 61 [email protected] www.csnc.ch Ortung durch LBS Location Based Services How To Use The Proof-of-Concept? “ Rufnummer +41 55 214 xxx (keine Blockwahl) wählen “ Nach dem Signalton die zu lokalisierende Nummer international eingeben (z.B. 491511234567 oder 41791234567) “ Mit # Eingabe bestätigen “ Rufnummer wird wiederholt “ Lookup wird durchgeführt (Dauer ca. 3 - 5 Sekunden) “ Ländercode (Standort) angesagt (z.B. "d","e" oder "c","h") © Compass Security AG www.csnc.ch Slide 35 Was nun? Die Ermittlung des Standortes ist auch eine Frage der richtigen Datenbank Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel.+41 55-214 41 60 Fax+41 55-214 41 61 [email protected] www.csnc.ch Ortung durch LBS Location Based Services Die Ermittlung des Standortes ist eine Frage der Datenbank. Ziel: Cell-ID zu Koordinaten (z.B. UTM-System, Gauß-Krüger, Google etc.) “ Datenbank der Netzbetreiber Nachteil: Non-Public, nur den Netzbetreibern und Behörden zugänglich “ Nutzung freier Datenbanken “ www.nobbi.com/btsquerydb.html “ http://sercpos.com “ www.opencellid.org “ http://developer.yahoo.com/yrb/zonetag/locatecell.html Nachteil: Örtlich begrenzt, unvollständig “ Googledaten??? Googledaten??? Nachteil: NonNon-Public © Compass Security AG www.csnc.ch Slide 37 LiveDemo [Lokalisierung via Dienstleister] + Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel.+41 55-214 41 60 Fax+41 55-214 41 61 [email protected] www.csnc.ch Ortung durch LBS Location Based Services (Stille) Lokalisierung mittels Dienstleister “ Step 1: Dienstleister autorisieren © Compass Security AG www.csnc.ch Slide 39 Ortung durch LBS Location Based Services (Stille) Lokalisierung mittels Dienstleister “ Step 1: Dienstleister autorisieren “ Step 2: Nachricht löschen © Compass Security AG www.csnc.ch Slide 40 Ortung durch LBS Location Based Services (Stille) Lokalisierung mittels Dienstleister “ Step 1: Dienstleister autorisieren “ Step2: Nachricht löschen “ Step3: „Freund“ anlegen © Compass Security AG www.csnc.ch Slide 41 Ortung durch LBS Location Based Services (Stille) Lokalisierung mittels Dienstleister “ “ “ “ Step 1: Dienstleister autorisieren Step2: Nachricht löschen Step3: „Freund“ anlegen Step4: Lokalisieren – fertig! © Compass Security AG www.csnc.ch Slide 42 Ortung durch LBS Location Based Services Wie sammelt Google seine Daten? Übermittlung der Daten © Compass Security AG www.csnc.ch Slide 43 LiveDemo [Use Google's Dataset] Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel.+41 55-214 41 60 Fax+41 55-214 41 61 [email protected] www.csnc.ch Ortung mittels SS7-Protokoll Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel.+41 55-214 41 60 Fax+41 55-214 41 61 [email protected] www.csnc.ch Ortung mittels SS7 Was macht eigentlich das SS7 (Signalling System 7)? “ SS7 ist eine Reihe von Protokollen für die Signalisierung in öffentlichen TK-Netzen, wie z.B. ISDN, Mobilfunknetz und VoIP-Netzen “ Wird von den meisten TK-Betreibern weltweit genutzt, um miteinander Information auszutauschen “ Durch die ITU-T (früher CCITT) in den Serien Q.700 standardisiert “ Zum Zeitpunkt des SS7- Entwurfs gab es wenige Telekom-Betreiber die dieses nutzten (diese waren entweder staatlich oder Monopolisten) “ Keine Authentifizierung implementiert “ Heute kann „jeder“ Betreiber (z. B. VoIP) SS7-Zugang bekommen “ Publizierung des Proof-of-Concepts auf dem CCC 2008 (durch Tobias Engel) © Compass Security AG www.csnc.ch Slide 46 Ortung mittels SS7 Zur Erinnerung… Die Base Transceiver Station (BSC) BSC) kontrolliert mehrere Basisstationen (BTS), teilt diesen die zu nutzenden Frequenzen zu und kann den Handover veranlassen. Das Mobile Switching Center (MSC MSC), MSC dient als Vermittlungsknoten für die Weiterleitung der Anrufe und SMSNachrichten innerhalb des Netzes oder in das Festnetz. Das MSC kommunizieren über das Signalling System #7 (SS7 SS7). SS7 Das Visitor Location Register (VLR VLR), VLR speichert Daten der User, die das MSC nutzten und keine Kunden des jeweiligen Netzbetreibers sind. © Compass Security AG www.csnc.ch Das Home Location Register (HLR HLR) HLR eines Netzbetreibers enthält die persönlichen Daten aller Kunden. Slide 47 Ortung mittels SS7 Welche Infos werden mittels SS7 an das MSC im Roaming übertragen? “ “ “ “ die IMSI (die „echte“ Rufnummer) Adresse des Home Location Register des Nutzers die Location Area Identification (LAC) Sendegebiet, in dem sich das Telefon befindet © Compass Security AG www.csnc.ch Slide 48 Ortung mittels SS7 Call-Setup © Compass Security AG www.csnc.ch Slide 49 Ortung mittels SS7 Übermittlung von SMS-Nachrichten © Compass Security AG www.csnc.ch Slide 50 Ortung mittels SS7 Anbieter von/mit SS7-Zugängen www.mobilant.com © Compass Security AG www.csnc.ch Slide 51 Ortung mittels SS7 Anbieter von/mit SS7-Zugängen www.tyntect.de © Compass Security AG www.csnc.ch Slide 52 Ortung mittels SS7 Anbieter von/mit SS7-Zugängen www.routomessaging.com © Compass Security AG www.csnc.ch Slide 53 Ortung mittels SS7 Provider Home Location Register Lookups und LBS http://gateway.smsitaly.com/hlr/default_msc.asp © Compass Security AG www.csnc.ch Slide 54 Ortung mittels SS7 Provider Home Location Register Lookups und LBS http://www.smssubmit.se/en/hlr-lookup.html © Compass Security AG www.csnc.ch Slide 55 Ortung mittels SS7 Welche Routing-Infos werden zurück gegeben? “ die IMSI (die „echte“ Rufnummer) “ Die Kennung der genutzten MSC “ Benutzer-Fehler (z. B. "Absent Subscriber" == das Telefon ist ausgeschaltet) © Compass Security AG www.csnc.ch Slide 56 LiveDemo [Ortung mittels SS7 abfrage] Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel.+41 55-214 41 60 Fax+41 55-214 41 61 [email protected] www.csnc.ch Ortung mittels SS7 Auch hier ist die Nutzung der richtigen Datenbank essentiell! Berlin Hamburg Frankfurt Stuttgart München T-Mobile Germany Vodafone Germany +491710360000 +491710400000 +491710650000 +491710700000 +491710870000 +491720012097 +491720022097 +491720061097 +491720076097 +491720082097 © Compass Security AG www.csnc.ch Slide 58 Ach ja… eine kleine Randnotiz… Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel.+41 55-214 41 60 Fax+41 55-214 41 61 [email protected] www.csnc.ch Ortung durch GPS/Geotagging Übrigens: Wussten Sie, dass Ihr Smartphone GeoTags in Ihren Fotos speichert? © Compass Security AG www.csnc.ch Slide 60 Ortung durch GPS/Geotagging © Compass Security AG www.csnc.ch Slide 61 Abhören von Daten und Sprache [Luftschnittstelle] Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel.+41 55-214 41 60 Fax+41 55-214 41 61 [email protected] www.csnc.ch ISMI Catcher IMSI Catcher lokalisiert umliegende Handys und kann alles aufzeichnen “ Mobile GSM Empfangszelle “ Reichweite 800 m bis 1,5 km “ Alle Telefongespräche, SMS, Daten und Nummern können mitgeschnitten werden “ Kosten ca. 11.000.- Euro pro Set © Compass Security AG www.csnc.ch Slide 63 The OpenBTS Project Das OpenBTS Projekt simuliert eine GSM-Funkzelle “ “ “ “ Open-Source Unix Applikation Nutzt das Universal Software Radio Peripheral (USRP) www.ettus.com Stellt ein GSM-Fukzelle zur Verfügung Nutzt die Open-Surce Asterisk Software PBX zum Connectieren der Calls Siehe auch http://openbts.sourceforge.net/ © Compass Security AG www.csnc.ch Slide 64 The OpenBSC Project Forciert die Entwicklung eines Open-Source Base-StationControllers (BSC) für GSM-Netze “ Wurde auf dem Chaos Communication Congress 2008 vorgestellt “ Simmuliert einen BSC “ Die Software beherrscht SMS-Versand und das Durchstellen von Gesprächen. “ Momentan werden Softwareseitig folgende BTSen unterstützt: “ BS11 mikro BTS von Siemens (E1 Primärmultiplex Schnittstelle) “ ip.access nano BTS (PoE Schnittstelle) Siehe auch http://openbsc.gnumonks.org/trac/wiki/OpenBSC © Compass Security AG www.csnc.ch Slide 65 Kommerzielle Lösung Running your own GSM-Network for everybody. Buy it! www.ipaccess.com © Compass Security AG www.csnc.ch Slide 66 Kommerzielle Lösung Running your own GSM-Network for everybody. Buy it! www.ipaccess.com © Compass Security AG www.csnc.ch Slide 67 SIM-Schnittstelle als Angriffsvektor auf mobile Endgeräte [SIM Application Toolkit] Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel.+41 55-214 41 60 Fax+41 55-214 41 61 [email protected] www.csnc.ch Übrigens: Haben Sie mittlerweile die Verschlüsselung Ihres BlackBerrys oder den Zugangsschutz Ihres iPhones aktiviert? Ich hatte Sie eingangs daran erinnert… Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel.+41 55-214 41 60 Fax+41 55-214 41 61 [email protected] www.csnc.ch SIM Application Toolkit Weshalb ein Angriff auf die SIM-Schnittstelle? SIM Schnittstelle als universeller Angriffsvektor auf mobile Endgeräte Standardisierte Schnittstelle Realisierung: Hardware-basierter Man-in-the-middle-Angriff Fernwirken von Endgeräten (wie teilweise schon von den Netzbetreibern genutzt) “ Publizierung des Proof-of-Concepts auf dem BSI-Kongress 2009 (durch Benedikt Heinz) “ “ “ “ © Compass Security AG www.csnc.ch Slide 70 SIM Application Toolkit SIM-Karte “ Ausgabe durch den Netzbetreiber “ Aufgaben “ Kryptografische Authentisierung des Mobilfunknutzers “ Geschützter Datenspeicher (Telefonbuch, SMS) “ Endgeräteunabhängig “ Funktionsweise “ Standartisierte Schnittstelle – Smartcard (T0 Protokoll) “ Unverschlüsselte, serielle Datenübertragung zum mobilen Endgerät (ISO/IEC 7816-3) © Compass Security AG www.csnc.ch Slide 71 SIM Application Toolkit Wozu dienen SIM Application Toolkit (SAT)? “ Wunsch der Netzbetreiber nach Zusatzdiensten “ (z.B. Homezone, betreiberspezifische Menüs, etc.) “ Endgeräte: viele verschiedene Hard-/Software Plattformen “ Anpassung stellt enormen Aufwand dar “ SIM-Karte wird vom Provider ausgegeben “ einheitliche Hard-/Software “ SIM Application Toolkit “ Zusatzdienste werden auf der SIM-Karte realisiert “ Kommunikation mit der Außenwelt über das Endgerät © Compass Security AG www.csnc.ch Slide 72 SIM Application Toolkit Funktionen des SIM Application Toolkit “ Versand und Empfang von Kurznachrichten (SEND SHORT MESSAGE, SMS-PP Download) “ Initiieren ausgehender Anrufe (SET UP CALL) “ Umleiten ausgehender Anrufe (CALL CONTROL) “ Positionsbestimmung “ Datenübertragung via GPRS/UMTS “ Senden von AT-Kommandos an das Endgerät “ usw.. © Compass Security AG www.csnc.ch Slide 73 SIM Application Toolkit Funktionsweise eines SAT-Angriffs “ “ “ “ SIM-Karte kann die beschriebenen SAT-Funktionen nutzen Keine Kryptografie zwischen SIM und Endgerät Einschleusen eigener SAT-Kommandos möglich SIM wird weiterhin zur Authentisierung benötigt “ Man-in-the-middle-Angriff durch Einbau eines Mikrocontrollers © Compass Security AG www.csnc.ch Slide 74 SIM Application Toolkit Mögliche Angriffsszenarien auf mittels SAT “ Mobilfunkendgerät zur Überwachung (stiller Anruf) “ Übertragung von Daten “ Initiieren von Rufumleitungen “ Man-in-the-middle-Angriff © Compass Security AG www.csnc.ch Slide 75 SIM Application Toolkit Mikrocontroller-basierter Man-in-the-middle-Angriff © Compass Security AG www.csnc.ch Slide 76 SIM Application Toolkit Entwicklungshistorie © Compass Security AG www.csnc.ch Slide 77 SIM Application Toolkit Bezugsquellen inkl. Development-Kit “ www.bladox.com “ www.yourbluetoothtech.com © Compass Security AG www.csnc.ch Slide 78 SIM Application Toolkit ManMan -inin -thethe -middlemiddle -Angriff Beispiel Voice Freiton Call +49 151 xxxxxxxx © Compass Security AG www.csnc.ch Slide 79 LiveDemo [SAT-Angriff] Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel.+41 55-214 41 60 Fax+41 55-214 41 61 [email protected] www.csnc.ch Identifikationsfälschung [Call-ID-Spoofing] Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel.+41 55-214 41 60 Fax+41 55-214 41 61 [email protected] www.csnc.ch Call-ID-Spoofing Weshalb ein Angriff mittels gefälschter Rufnummer? “ Oft dient die Rufnummer (CLIP) als Identifikationsmerkmal des Anrufers (z.B. bei Telefongesprächen, Fernzugängen, Anwendungen etc.) “ Das ISDN-Protokoll bietet technisch versierten Angreifern die Möglichkeit, die CLIP-ID mittels des Leistungsmerkmals „CLIP – No Screening“ zu manipulieren. “ Auch mittels SS7 (Signalling System 7) bieten sich Möglichkeiten des Spoofings. “ Dem Gesprächspartner bzw. dem TK-System können beliebige Rufnummern vorgetäuscht werden. “ Zugriffsbeschränkungen mittels Rufnummernidentifizierung können umgangen, bzw. beim Social-Engineering unterstützend eingesetzt werden. “ Matching der Rufnummern in EU-Endgeräten erfolgt nur bis zur max. 7. Stelle © Compass Security AG www.csnc.ch Slide 82 LiveDemo [Call-ID-Spoofing] + Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel.+41 55-214 41 60 Fax+41 55-214 41 61 [email protected] www.csnc.ch Call-ID-Spoofing CallCall -IDID-SpoofingSpoofing-Angriff Eingehender Anruf: +49666666666666 Paris Hilton Freiton © Compass Security AG www.csnc.ch Slide 84 Identifikationsfälschung [SMS-ID-Spoofing] Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel.+41 55-214 41 60 Fax+41 55-214 41 61 [email protected] www.csnc.ch SMS-ID-Spoofing Weshalb ein Angriff mittels gefälschter Rufnummer? “ Ähnlich wie mittels Rufnummernidentifizierung kann SocialEngineering unterstützend eingesetzt werden. “ Anstatt Nummern-Identifizierung kann der Absender direkt benannt werden. “ Phishing via SMS ist noch weitgehend unbekannt und daher aussichtsreicher. “ Keine Content-Filter vorhanden (wie z.B. bei E-Mails) © Compass Security AG www.csnc.ch Slide 86 SMS-ID-Spoofing SMS-Phishing mittels SMS-Spoofing “ Beispiel einer Phishing-SMS “ Originalnachricht des Netzbetreibers © Compass Security AG www.csnc.ch Slide 87 SMS-ID-Spoofing SMS-Phishing mittels SMS-Spoofing “ Beispiel einer Phishing-SMS “ Gefälschte Nachricht auf Grundlage der Netzbetreiber-SMS © Compass Security AG www.csnc.ch Slide 88 LiveDemo [SMS-ID-Spoofing] Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel.+41 55-214 41 60 Fax+41 55-214 41 61 [email protected] www.csnc.ch Der umgekehrte Fall – ist anonym gleich anonym Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel.+41 55-214 41 60 Fax+41 55-214 41 61 [email protected] www.csnc.ch LiveDemo [Aufdecken von Rufnummern] + Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel.+41 55-214 41 60 Fax+41 55-214 41 61 [email protected] www.csnc.ch Please Call +49 172 xxxxxxx Mit unterdrückter Nummer! Tipp: #31# Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel.+41 55-214 41 60 Fax+41 55-214 41 61 [email protected] www.csnc.ch Angriffe auf mobile Endgeräte mittels Malware [Trojaner & Co.] Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel.+41 55-214 41 60 Fax+41 55-214 41 61 [email protected] www.csnc.ch Mobile Phone Malware Handyviren/Mobile Phone Malware sind Schadprogramme, die sich in mobile Geräte einschleusen “ Lange Zeit waren Handys geschützt, da sie geschlossene Systeme darstellten. “ Die Vielzahl der Schnittstellen (E-Mail, Bluetooth, W-LAN, Messaging, Spiele und Logos zum Download sowie Bluetooth, UMTS etc.) mit der Außenwelt stellt ein potenzielles Einfallstor für die „Malware“ dar. “ Software Development Kits (SDK) stehen frei zur Verfügung – jeder kann diese für seine „Entwicklungen“ nutzen. “ Systeme verfügen in aller Regel über keinerlei (mitgelieferten) Sicherheitsfunktionen. “ Endgeräte stehen oftmals ungeschützt im Internet (W-LAN, UMTS etc.). “ Smartphone liegen oft unbeobachtet herum. “ Endgeräte sind oftmals nicht Bestandteil des Security-Konzepts. “ Viele User nutzen ihre Endgeräte ohne Passwort-Schutz. © Compass Security AG www.csnc.ch Slide 94 Mobile Phone Malware Wie kommen Trojaner und Spyware auf mobile Geräte? Bluetooth GSM Anwendungen (Apps) Updates eMail © Compass Security AG Internetseiten LAN / WAN / WLAN/UMTS www.csnc.ch Slide 95 Mobile Phone Malware Einer der ersten war Cabir Ł nutzt zur Verbreitung Bluetooth “ Ein Handy-Wurm, der sich über Bluetooth auf Smartphones mit dem Betriebssystem Symbian OS verbreitet – mit hohem VerbreitungsPotential. Betroffen sein könnten Nokia Smartphones der 60er-Serie, N-Gage, Panasonic X700, Siemens SX-1, Sendo X und andere. © Compass Security AG www.csnc.ch Slide 96 Mobile Phone Malware Sexy Space: Handy-Trojaner mit Zertifizierung “ Der Trojaner "Sexy Space" erhielt eine digitale Signatur für SymbianHandybetriebssysteme. “ Der Schädling vernetzt sich mit anderen befallenen Geräten und klaut Benutzerdaten, um Spam per E-Mail oder SMS an die auf dem Handy gefundenen Kontakte zu senden. “ Kann hohe SMS-Kosten verursachen © Compass Security AG www.csnc.ch Slide 97 Mobile Phone Malware Java/Swapi.B: Der Java-Dialer versendet Premium-SMS “ Nach der Infektion schickt diese Malware regelmäßig SMS an teure Premium-Dienste. “ Da der Trojaner auf einer J2ME-Engine basiert, die auf nahezu 90 Prozent der im Markt erhältlichen Telefone installiert ist, lässt er sich nicht auf ein spezifisches Handy festlegen. © Compass Security AG www.csnc.ch Slide 98 Mobile Phone Malware ikee: Bringt Popsängers Rick Astley zu erneuten Ruhm “ Proof-of-Concept: Der Wurm ist nach Malware-Maßstäben relativ harmlos. “ Er ersetzt lediglich das aktuelle Hintergrundbild dauerhaft durch ein Foto des Sängers Rick Astley. “ Danach macht er sich auf die Suche nach weiteren Geräten, die er infizieren kann. © Compass Security AG www.csnc.ch Slide 99 Mobile Phone Malware Kommerzielle Trojaner: MOBILE SPY überwacht iPhone und viele anderen Handys ab $49.00 im Quartal Inkl. 24/7 Support www.mobile-spy.com © Compass Security AG www.csnc.ch Slide 100 Mobile Phone Malware Kommerzielle Trojaner: Der Klassiker „FlexiSpy“. Für fast alle Plattformen verfügbar… www.flexispy.com © Compass Security AG www.csnc.ch Slide 101 Mobile Phone Malware Kommerzielle Trojaner: Der Klassiker „FlexiSpy“. “ Konfigmenü von FlexiSpy www.flexispy.com © Compass Security AG www.csnc.ch Slide 102 Mobile Phone Malware Kommerzielle Trojaner: Der Klassiker „FlexiSpy“. “ Konfigmenü von FlexiSpy www.flexispy.com © Compass Security AG www.csnc.ch Slide 103 Mobile Phone Malware Kommerzielle Trojaner: Der Klassiker „FlexiSpy“. www.flexispy.com © Compass Security AG www.csnc.ch Slide 104 Mobile Phone Malware Wie sammelt FlexiPsy die User-Daten? Der Trojaner übermittelt alle Daten wie SMS, Calls, eMail, etc. in definierten Intervallen direkt an den Server. Der Angreifer kann die Daten jederzeit übers Internet abrufen. WWW Database © Compass Security AG www.csnc.ch Slide 105 Und? Haben Sie Ihre Sicherheitsfeatures aktiviert? Nein? Zu spät! All Your Data Belong To Us….. Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel.+41 55-214 41 60 Fax+41 55-214 41 61 [email protected] www.csnc.ch LiveDemo [Handy-Trojaner] Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel.+41 55-214 41 60 Fax+41 55-214 41 61 [email protected] www.csnc.ch Angriffe über weitere Schnittstellen [Bluetooth] Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel.+41 55-214 41 60 Fax+41 55-214 41 61 [email protected] www.csnc.ch Bluetooth Eine Geschichte zum Einstieg…. Gestern im ICE Ł Freitickets per Bluetooth-Schnittstelle versendet… Ergebnis der gestrigen Fahrt von Bamberg nach Berlin (ICE 584): “ Innerhalb von nur 8 Minuten fanden wir 28 mobile Endgeräte. “ Davon waren 7 verwundbar !!! © Compass Security AG www.csnc.ch Slide 109 Bluetooth Die Technik… “ Ein Standard für die drahtlose Kommunikation im Nahbereich “ Ursprünglich in den 90er Jahren von Ericsson entwickelter Industriestandard gemäß IEEE 802.15.1 für die drahtlose (Funk-) Vernetzung von Geräten über kurze Distanz. “ PAN Technology – Personal Area Network “ Konzipiert für short-range Verbindungen als Ersatz für Kabel und Infrarot “ 2.4 GHz (wie Wireless LAN als Short Range Devices im lizenzfreien ISM-Band) “ 3200 hops pro Sekunde auf 79 Kanälen, 1600 bei Verbindung “ Master definiert die Hopping Sequenz “ Rechweite von 10 m (Klasse 3 1mW) bis 100 m (Klasse 1 100mW) “ Viel Bluetooth Security Forschung durch Trifinite Group (www.trifinite.org) © Compass Security AG www.csnc.ch Slide 110 Bluetooth Die Technik… “ Modi für Erkennung (Inquiry): “ Discoverable: Device antwortet auf Anfragen “ Temporary Discoverable: Zeitlich begrenzter Discoverable Modus “ Non-Discoverable: Device antwortet nicht auf Broadcast Anfragen “ Modi für Pairing (Paging): “ Pairable: Device antwortet auf pairing Anfrage “ Non-pairable: Device blockt Anfrage in LMP (Link Manager Protocol ) © Compass Security AG www.csnc.ch Slide 111 Bluetooth Paarungsverhalten Master Slave Point to Point © Compass Security AG Piconet www.csnc.ch Scatternet Slide 112 Bluetooth Bluetooth Stack Anwendungs-Sicherheitsmechanismen System-Sicherheitsmechanismen Hardware-Sicherheitsmechanismen Source: http://www.trifinite.org © Compass Security AG www.csnc.ch Slide 113 Bluetooth Bluetooth Hacking Hardware “ Notebook mit Bluetooth Adapter “ Ideal: “ Modifizierter Bluetooth Adapter mit 2.4 GHz Antenne “ Frontline Bluetooth Sniffer (inklusive Dongle mit RAW Modus) Grafiken: www.trifinite.org © Compass Security AG www.csnc.ch Slide 114 Bluetooth Bluetooth Scanning (First Step) “ Bekannteste Software zum Finden von Bluetooth Devices: “ btscanner (www.pentest.co.uk) “ Erkennt Device Typen, Hersteller und Vulnerabilities “ Inquiry Scan: “ Schickt Broadcast Anfragen “ Findet alle Devices im discoverable Modus “ Brute-Force Scan: “ Schickt einzelne Anfragen an eine Liste vom MAC Adressen “ Findet auch Devices im hidden Modus © Compass Security AG www.csnc.ch Slide 115 LiveDemo [BTScanner] Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel.+41 55-214 41 60 Fax+41 55-214 41 61 [email protected] www.csnc.ch Bluetooth Bluetooth Angriffe mittels Bluejacking “ Missbrauch der Funktion zum Senden von Visitenkarten im VCardFormat per Bluetooth zur Übermittlung von Nachrichten “ Aktueller Modetrend bei Jugendlichen “ Kein Gefahrenpotential vorhanden © Compass Security AG www.csnc.ch Slide 117 LiveDemo [Bluejacking] Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel.+41 55-214 41 60 Fax+41 55-214 41 61 [email protected] www.csnc.ch Bluetooth Bluetooth Angriffe mittels Bluesnarf “ Tool: bluesnarfer (http://www.alighieri.org/project.html) “ Bluesnarf = OBEX push Angriff “ Erlaubt den Zugang auf den Kalender, das Adressbuch, E-Mails und Textmitteilungen “ Daten werden herunter- statt hochgeladen “ Keine Authentifizierung erforderlich “ Beispiele für verwundbare Device: “ Ericsson T68(i), R520m, T610, Z1010, Z600 “ Nokia 6310(i), 8910(i) © Compass Security AG www.csnc.ch Slide 119 Bluetooth Bluetooth Angriffe mittels Bluebug “ Tool: bluebugger (http://www.codito.de) “ BlueBug = AT Befehle auf Device ausführen “ Ermöglicht volle Kontrolle über ein Device. Z.B. das Ausführen (interner) Befehle, ohne dass es die Zielperson mitbekommt. “ Einige Möglichkeiten: “ Anrufen / Nachrichten schreiben “ Einstellungen umkonfigurieren “ Adressbuch / Nachrichten auslesen “ etc.pp. © Compass Security AG www.csnc.ch Slide 120 Bluetooth Bluetooth Angriffe mittels Carwhisperer “ Tool: carwhisperer (http://trifinite.org/trifinite_stuff_carwhisperer.html) “ Ausnutzen der Default PIN’s von Bluetooth Hardware “ Die meisten Headphones haben fixe Bluetooth PIN’s: 1111, 1234, 0000, …. “ Durch die bekannte PIN kann das Headset gepaired werden. “ Audio kann aufgenommen und abgespielt werden. “ Carwhisperer: Bluetooth Freisprecheinrichtungen sind häufig in Autos implementiert. © Compass Security AG www.csnc.ch Slide 121 LiveDemo [Carwhisperer] Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel.+41 55-214 41 60 Fax+41 55-214 41 61 [email protected] www.csnc.ch Bluetooth Bluetooth Angriffe mittels Link-Keys Authentication start Bei Bluetooth gilt: Gültiger LinkLink-Key = Authentifizierte Verbindung! link authenticated already link key available? Imp_authentication Initiate pairing? Imp_authentication Authentication failed © Compass Security AG Authentication valid/ok www.csnc.ch Source: http://www.remote-exploit.org Slide 123 Bluetooth Bluetooth Angriffe mittels Carwhisperer “ Tool: BTCrack (http://www.nruns.com/security_tools.php) “ Zuerst muss ein Pairing mitgeschnitten werden. “ Hierzu wird meist die bestehende Verbindung unterbrochen, damit die zwei Devices neu pairen. “ Master oder Slave muss bekannt sein. “ Es wird ein spezieller Dongle mit RAW Funktionalität benötigt. “ Mittels Link-Key hat der Angreifer nun folgende Möglichkeiten: “ Kommunikation zwischen den 2 Devices mitlesen. “ Zugriff auf die beiden Devices mittels des geknackten Link-Keys “ Der Angreifer muss lediglich seine MAC Adresse anpassen und Link-Key angeben “ Tools: Frontline Bluetooth Sniffer / BTCrack © Compass Security AG www.csnc.ch Slide 124 Bluetooth Bluetooth Angriffe (Toolsammlung) “ Tool: Blooover (http://trifinite.org/trifinite_stuff_bloooverii.html) “ Blooover – Bluetooth Hacking Software fürs Handy “ Verschiedene Attacken implementiert: “ Bluesnarf “ BlueBug “ Etc. “ Tool: Blooover © Compass Security AG www.csnc.ch Slide 125 Missbrauch des Soundlogos [Early Media] Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel.+41 55-214 41 60 Fax+41 55-214 41 61 [email protected] www.csnc.ch Early Media Der Early Media Stream “ Übermittelt bereits während des Rufaufbaus Audioinformationen “ Eigentlich für individuelle Freizeichen und Ansagen wie „Kein Anschluss unter dieser Nummer“, „Teilnehmer ist vorübergehend nicht erreichbar“ und Preisansagen gedacht “ Erfolgt vor dem Verbindungsaufbau und ist daher kostenfrei © Compass Security AG www.csnc.ch Slide 127 EarlyMediaStream Funktionsweise Early Media Rufaufbau Herkömmliches Telefonnetz (PTSN) Rufaufbau Teilnehmer © Compass Security AG PSTNPSTNVOIPVOIPGateway www.csnc.ch Slide 128 Early Media Nutzung von „Chanspy“ und „Whisper“ unter Asterisk “ “ “ “ Ursprünglich zu Schulungszwecken in Callcenter entwickelt Umgehung von Vorratsdatenspeicherung Mikrofone von Teilnehmern sind schon während der Rufphase geöffnet Erfolgt vor dem Verbindungsaufbau und ist daher kostenfrei INVITE 183 Session Progress Chanspy Early Media Whisper Early Media Timeout/ Cancel © Compass Security AG www.csnc.ch Slide 129 EarlyMediaStream Gespräche belauschen während des Freitons Infos Ring Freiton Rufaufbau © Compass Security AG www.csnc.ch Slide 130 LiveDemo Lauschangriff [Early Media] + Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel.+41 55-214 41 60 Fax+41 55-214 41 61 [email protected] www.csnc.ch Please Call +49 152 xxxxxxx Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel.+41 55-214 41 60 Fax+41 55-214 41 61 [email protected] www.csnc.ch Selbsttest: Please Call +49 151 xxxxxxx 1. Call (Record) 2. Call (Play Back) Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel.+41 55-214 41 60 Fax+41 55-214 41 61 [email protected] www.csnc.ch Resümee Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel.+41 55-214 41 60 Fax+41 55-214 41 61 [email protected] www.csnc.ch Resümee Beziehen Sie mobile Endgeräte unbedingt in Ihren Security überlegen mit ein! Ansatzpunkte: “ Sensibilisierung der Anwender “ Implementierung eines Mobile Device Managements (siehe auch Open Mobile Alliance Standard – OMA Device Management) “ Backup “ Update “ Sicherheitseinstellungen “ Fernlöschung und Ortung bei Diebstahl “ Verwendung von Firewall und Virenscanner (ggf. von Drittanbietern) “ Sie werden viel transportiert und sind einfach zu bewegen. “ Reglementierung von Anwenderzugriffen “ Passwort-Richtlienen © Compass Security AG www.csnc.ch Slide 135 Offene Diskussion Fragen?! © Compass Security AG www.csnc.ch Slide 136 Vielen Dank! Vielen Dank für Ihre Aufmerksamkeit! © Compass Security AG www.csnc.ch Slide 137 Kontakt Compass Security Network Computing Glärnischstrasse 7 Postfach 1628 CH - 8640 Rapperswil [email protected] | www.csnc.ch | +41 55 214 41 60 Secure File Exchange: www.csnc.ch/filebox PGP-Fingerprint: © Compass Security AG www.csnc.ch Slide 138