Die Nachrichtendienste sinddas eigentliche RisikoOder: Methoden der Wirtschaftsspionage undder Online-KriminalitätVortrage...
1982: In Russland explodiert eine Verdichtungsstation an der Chelyabinsk-Pipeline – Ursache: Software, die in die kanadisc...
Sicherheitslücken und Exploits•   Spionageprogramme nutzen Sicherheitslücken in Betriebssystem-Routinen    und vor allen D...
Spionage-Mittel•   Remote Forensic Software•   SQL-Injection•   Man-in-the-Middle-Atacken•   Denial-of-Service-Attacken•  ...
Das Vorgehen• Zielbereich der IP-Adressen festlegen• Verifikation mit Ping und Traceroute• Ermittlung offener Ports• Ermit...
Netzwerküberwachung mit wireshark             Alternative: paketyzer
Forensische Tools• Open SourceAutopsyFireSleuth Kit• KommerziellEncaseSafebackSmart
Die Strategie von                             Qiao Liang und Wang Yiangsui• Intern: Projekt Great Wall mit umfassender Pro...
Das Duo fatale: Follow TCP Stream und Spam-Assassin
Der direkte „Nutzwert“• Angezeigt werden alle in den Paketen abgelegten  Informationen• Darstellung in ASCII erlaubt das d...
Forensische und diagnostische Möglichkeiten• Häufigster Einsatz in Zusammenhang mit Spam-  Assassin als „Auswertungsscript...
Schlussbemerkungen• Jede Software unterliegt dem „dual use“• Jede „Verteidigungswaffe“ gegen organisierte  Kriminalität is...
Kritik, Anregungen, Fragen ?peter@welchering.de    auf Twitter: @welchering      www.welchering.de  oder voice to voice: 0...
Nächste SlideShare
Wird geladen in …5
×

Die Nachrichtendienste sind das eigentliche Risiko

2.416 Aufrufe

Veröffentlicht am

Vortrag auf der Tagung der Sicherheitsbeauftragten in Friedrichshafen

Veröffentlicht in: Technologie
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
2.416
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
1.306
Aktionen
Geteilt
0
Downloads
0
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Die Nachrichtendienste sind das eigentliche Risiko

  1. 1. Die Nachrichtendienste sinddas eigentliche RisikoOder: Methoden der Wirtschaftsspionage undder Online-KriminalitätVortragender: Peter Welchering
  2. 2. 1982: In Russland explodiert eine Verdichtungsstation an der Chelyabinsk-Pipeline – Ursache: Software, die in die kanadische Steuerungssoftwareeingebaut worden war, um Softwarediebstähle zu verhindern1987: Die HVA verschafft sich mittels eines Hardware-Keyloggers Zugangzum Source-Code westlicher CAD- und CAM-Programme. Leicht verändertwird diese Software zur Planung eines Chemie-Kombinats eingesetzt.1991 erbeuten kuweitische Widerstandskämpfer mit Hilfe von MI6-Agentenmittels eines Data Link Pläne einer High-Tech-Kanone, die der irakischeStaatspräsident Saddam Hussein bauen lassen will.1995: Datastream zapft aus drei VAX-Maschinen des Pentagon Pläne vonSpionagesatelliten.2004: Aus dem Atomwaffenlabor Los Alamos werden Bauanleitungen fürAtomwaffen mittels recht einfacher Spionagesoftware gestohlen2006: Mit Remote Forensic Software werden Rechner deutscher Managermassenhaft ausspioniert2010: Mit dem Computervirus Stuxnet werden Industriesteuerungenmanipuliert.
  3. 3. Sicherheitslücken und Exploits• Spionageprogramme nutzen Sicherheitslücken in Betriebssystem-Routinen und vor allen Dingen Kommunikationssoftware aus• Exploit-Markt findet weitgehend auf Auktionen im Internet statt• 30.000 Schwachstellenanalytiker weltweit, davon 10.000 in der VR China• In Deutschland arbeitet zur Zeit das bekannte „dreckige Dutzend“ an Exploits• Auftragsproduktionen westlicher Geheimdienste werden seit Sommer 2008 überwiegend in Minsk durchgeführt• Kooperationsprojekte westlicher Geheimdienste mit israelischen Entwicklern nehmen zu
  4. 4. Spionage-Mittel• Remote Forensic Software• SQL-Injection• Man-in-the-Middle-Atacken• Denial-of-Service-Attacken• Data Links zu Remote Terminal Units• Honeypots• Spezifisch angepasste Malware für den Datentransfer und für die Datenmanipulation
  5. 5. Das Vorgehen• Zielbereich der IP-Adressen festlegen• Verifikation mit Ping und Traceroute• Ermittlung offener Ports• Ermittlung verwendeter Protokolle• Offene Ports können prinzipiell belauscht werden• Analyse aller Verbindungen von und zu einem bestimmten Port• Netzwerküberwachung mit „wireshark“ möglich• Auswertung der Knotenrechner via telnet und aufgesetzten Tools möglich
  6. 6. Netzwerküberwachung mit wireshark Alternative: paketyzer
  7. 7. Forensische Tools• Open SourceAutopsyFireSleuth Kit• KommerziellEncaseSafebackSmart
  8. 8. Die Strategie von Qiao Liang und Wang Yiangsui• Intern: Projekt Great Wall mit umfassender Proxy-Server-Struktur• Extern: Trapdoors in Routern und umfassende Port-Überwachung mit Gesamt-Scans• Umsetzung: u.a. Bundeskanzleramt 2007• Methode: Spinageangriff auf HTTPS- und SOCKS-Proxys• Beispiel: Einsatz normaler Spam- und Virenscanner• Durchführung: Spam-Assassin Modul FuzzyOCR liest Datenpäckchen aus (Konfiguration entweder Header oder Gesamtscan) – Kombination mit Tcpdump bzw. Wireshark und Nmap• Diagnosemöglichkeit: autopsisch oder bei Fehlerverhalten• Fehlerverhalten: RFC822-Meldung „verbotener Zugriff“, wenn FuzzyOCR gekoppelt ist mit „Follow TCP Stream“ von Wireshark, um Pakete von einer best. IP-Adresse im Klartext mitzulesen
  9. 9. Das Duo fatale: Follow TCP Stream und Spam-Assassin
  10. 10. Der direkte „Nutzwert“• Angezeigt werden alle in den Paketen abgelegten Informationen• Darstellung in ASCII erlaubt das direkte Mitlesen• Bei Verschlüsselung wird „John the Ripper“ aus der Metasploit-Sammlung eingesetzt – wirksame Decryption• Scan läuft automatisiert
  11. 11. Forensische und diagnostische Möglichkeiten• Häufigster Einsatz in Zusammenhang mit Spam- Assassin als „Auswertungsscript“• Scriptfolge: Bei Übergabe von „Mail-Port“ an „Prüf-Port“• Bei Übergabe von Adresse nach RFC-822 und IP- Adresse (v4) an Script für die Übergabe an „Follow TCP Stream“ von Wireshark ist eine falsche Datenfeldzuordnung häufiger beobachtet worden• Ursache: unsaubere Scriptprogrammierung• Verdacht: Fehlermeldung des Postmasters: „Delivery to this adress is restricted“ mit Resolver-Meldung „rfc822 vorname.nachname@server.com“
  12. 12. Schlussbemerkungen• Jede Software unterliegt dem „dual use“• Jede „Verteidigungswaffe“ gegen organisierte Kriminalität ist auch immer eine Angriffswaffe und ein Spionage-Tool• Wirksamen Schutz garantiert nur die rückhaltlose Veröffentlichung aller entdeckten Sicherheitslücken• Die derzeitige Sicherheitsdoktrin basiert auf Geheimhaltung entdeckter Sicherheitslücken; dadurch wird ein erhebliches Sicherheitsrisiko geschaffen
  13. 13. Kritik, Anregungen, Fragen ?peter@welchering.de auf Twitter: @welchering www.welchering.de oder voice to voice: 0171-5135624

×