Cyber Security Workshop - Encrypt Everything!

1.390 Aufrufe

Veröffentlicht am

Präsentation des Cyber Security Workshops an der Hochschule Albstadt-Sigmaringem im Rahmen der VDI-Veranstaltungsreihe. Dieses Mal ging es schwerpunktmäßig um das Thema Verschlüsselungstechnologien und –methoden. Außerdem wurden aktuelle Vorfälle besprochen.

Veröffentlicht in: Bildung
0 Kommentare
2 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

Keine Downloads
Aufrufe
Aufrufe insgesamt
1.390
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
288
Aktionen
Geteilt
0
Downloads
26
Kommentare
0
Gefällt mir
2
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Cyber Security Workshop - Encrypt Everything!

  1. 1. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 1 Cyber Security Workshop
  2. 2. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Cyber Security Workshop Encrypt Everything! 2
  3. 3. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Patrick Eisoldt  Studium an der Hochschule Albstadt-Sigmaringen und der Glyndwr University in Wales  Praktika/Thesen: Siemens, Marquardt  November 2010 bis August 2011: Mitarbeiter Digitale Forensik  Seit 2012: Mitarbeiter Open C³S Schwerpunkte: Windows-Forensik, Unix-Forensik, Python (Forensik und Pentesting) 3 Einführung in die Informatik OpenC3S–Zertifikatsprogramm Prof. Dr. Martin Rieger Programmieren im IT-Sec-Umf. OpenC3S–Zertifikatsprogramm Prof. Dr. Martin Rieger Datenträgerforensik OpenC3S–Zertifikatsprogramm Prof. Dr. Martin Rieger Windows-Forensik OpenC3S–Zertifikatsprogramm Prof. Dr. Martin Rieger Unix-Forensik OpenC3S–Zertifikatsprogramm Prof. Dr. Martin Rieger
  4. 4. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Tobias Scheible  Studium Kommunikations- und Softwaretechnik, HS Albstadt-Sigmaringen  Softwareingenieur im Bereich Web Development, Werbeagentur Gute Aussicht  Seit 2012: Wissenschaftlicher Mitarbeiter, IWW HS Albstadt-Sigmaringen Schwerpunkte: Internettechnologien, Web Applications Security und Penetration Testing 4 Digitale Rechnersysteme Open C3S – Studium Initiale Prof. Dr. Joachim Gerlach Einführung Algorithmen Open C3S – Studium Initiale Prof.'in Dr. Ute Matecki Wissenschaftliches Arbeiten Open C3S – Studium Initiale Prof. Dr. Otto Kurz Internettechnologien OpenC3S–Zertifikatsprogramm Prof. Dr. Martin Rieger Cloud Computing Open C3S – Master IT GRC Prof. Dr. Stefan Ruf Praktikum IT Security 2 Bachelor IT Security Prof. Holger Morgenstern PraktikumInformationssicherheit Bachelor Wirtschaftsinformatik Prof. Holger Morgenstern CyberSecurityLab Blog, Workshops & Vorträge http://cyber-security-lab.de
  5. 5. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 David Schlichtenberger  Studium Medien- und Kommunikationsinformatik, Hochschule Reutlingen  2010 bis 2013: Softwareingenieur im Bereich Web Entwicklung, informedia GmbH, Stuttgart  2013 bis 2014: Systemingenieur / Kundenberater für Internetservices, KIRU, Reutlingen  Seit 2014: Wissenschaftlicher Mitarbeiter im Masterstudiengang Digitale Forensik, Hochschule Albstadt-Sigmaringen – IWW  Schwerpunkte: Digitale Forensik, Netzwerke, Python, Pentesting 5
  6. 6. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Agenda  IT-Sicherheit  Passwortschutz  Sicherheit von Passwörtern  Verschlüsselungstechniken  Hashing und Verschlüsselung  Drahtlose Kommunikation  W-LAN Sicherheit  Speichermedien  Festplattenverschlüsselung  Instant Messaging  Verschlüsselte Chatprotokolle  E-Mail-Kommunikation  E-Mails signieren und verschlüsseln  Sichere Webverbindungen  HTTPS mit TLS 6
  7. 7. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 7 IT-Sicherheit
  8. 8. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 00000000 ? 8 Quelle: heise.de
  9. 9. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 00000000 Launch-Code für die in den USA stationierten Atomraketen (1962 bis 1977) 9 Quelle: heise.de
  10. 10. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Aktuelle IT-News  Cyber-Erpresser verschlüsseln PCs und Smartphones Kasparsky.de 10. Juni 2014  Das Ende von Bitcryptor und Coinvault: Alle Schlüssel in Tool verfügbar Kaspersky hat seinem Ransomware Decryptor ein Update spendiert und alle Schlüssel von Bitcryptor und Coinvault hinzugefügt. Opfer der Ransomware können so wieder Zugriff auf verschlüsselte Daten erlangen. heise.de 02. November 2015  ADAC zeigte versehentlich Mitgliederdaten online Im Zuge der Antragsstellung einer ADAC-Kreditkarte waren seit Anfang Oktober vertrauliche Daten von Mitgliedern einsehbar. heise.de 02.11.2015 10
  11. 11. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Angriff auf den Fernsehsender TV5  Umfangreicher Angriff auf den französischen Sender TV5Monde  Alle Kanäle des Fernsehunternehmens TV5Monde gingen offline  Die Website verbreitete kurzfristig islamistische Drohungen  Auf der Facebook-Seite wurden ebenfalls Drohungen verbreitet  Spekulationen über öffentlich einsehbare Passwörter  Im Hintergrund waren im eigenen Studio Passwörter bzw. Zugangsdaten zu erkennen  YouTube Passwort: "lemotdepassedeyoutube" (etwa "dasyoutubepasswort") 11 Quelle: heise.de
  12. 12. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Gefängnisausbruch mittels E-Mail  Moderner Ausbruch aus einem britischen Gefängnis (März 2015)  SocialEngineering Angriff auf das Gefängnis  Smartphone eingeschmuggelt  Domain reserviert, die dem zuständigen Gericht ähnelt  E-Mail Adresse mit dieser Domain eingerichtet  Hat sich als leitender Beamter ausgegeben  Anweisungen zu seiner Entlassung gegeben  Gefangener kam am 10. März frei 12 Quelle: heise.de
  13. 13. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Live Demonstration 13
  14. 14. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Hacking mit Google  Anweisungen zum Formulieren von Suchanfragen: Quelle: wikipedia.org 14
  15. 15. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Hacking mit Google  Beispiel Suchanfragen nach Webcams:  inurl:"viewerframe?mode=motion"  intitle:"snc-rz30 home"  intitle:"WJ-NT104 Main"  inurl:LvAppl intitle:liveapplet  intitle:"Live View / - AXIS"  inurl:indexFrame.shtml 15
  16. 16. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Hacking mit Google  Datenbank mit vorformulierten Suchanfragen Quelle: wexploit-db.com 16
  17. 17. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Phisher verwenden Geo-Blocking  "Sorry. Diese Phishing Website ist in deinem Land nicht verfügbar."  Malware-Filterlisten (Crawler) häufig USA- zentriert  Wenn eine deutsche Phishing-Website aus dem Ausland aufgerufen wird, werden harmlose Inhalte dargestellt Quelle: heise.de 17
  18. 18. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Zugriff auf Geldautomaten  11/2015: Kommandozeilen-Zugriff auf Geldautomat während eines Updates (http://www.heise.de/security/meldung/Kommando zeilen-Zugriff-Sicherheitsluecke-in-Geldautomaten- der-Sparkasse-2867559.html)  10/2015: Angriff auf Geldautomaten via USB-Stick (http://www.berlin.de/polizei/polizeimeldungen/ pressemitteilung.386807.php)  12/2014: Kriminelle verschafften sich über Spionage Software Zugriff auf Geldautomaten und manipulierten die Geldausgabe so, dass die Scheinausgabefächer falsche Werte erhielten (http://www.heise.de/security/meldung/Anunak- So-geht-Bankraub-im-21-Jahrhundert-2505940.html) Quelle: heise.de 18
  19. 19. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 HTML5 Hard Disk Filler  Neue Webtechnologien führen zu weiteren Sicherheitsrisiken  LocalStorage erlaubt bis zu 2.5, 5 oder 10 MB an Speicher pro Domain (von der Browserimplementierung abhängig)  http://www.filldisk.com/ 19
  20. 20. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Bad USB  Cyber Security Workshop 04/2015  Vorführung Demo-Programme "Peensy"  Sicherheitsrisiko:  Controller und Firmware in USB-Geräten  Gegenmaßnahmen:  Schwierig  Schnittstellen absichern  Signierte Firmware Quelle: pjrc.com 20
  21. 21. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Bad E-Cigarette  Ende 2014 machte eine Geschichte (ungeprüft) über einen mit Malware infizierten PC die Runde  Nach Überprüfung aller Angriffsvektoren fand man heraus, dass über ein E- Zigaretten USB-Ladegerät Malware eingeschleust wurde 21 Quelle: reddit.com
  22. 22. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Passwortschutz
  23. 23. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Bad Passwords – Bad Lock Patterns  Jeder kennt Toplisten mit schlechten Passwörtern:  12345  password  qwerty  …  Studie von Marte Løge analysierte über 4000 Android Entsperrmuster im Rahmen ihrer Master Thesis Quelle: technic-al.com 23
  24. 24. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Bad Lock Patterns  10 % aller Versuchspersonen nutzen ein Muster, das einem Buchstaben ähnelt  44 % starten oben links  77 % fangen in einer der vier Ecken an  Durchschnittliche Anzahl von fünf verwendeten Knoten (~9000 Kombinationsmöglichkeiten)  Muster von links  rechts; oben  unten werden häufig verwendet Quelle: arstechnica.com 24
  25. 25. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Bad Lock Patterns - Gegenmaßnahmen  Komplizierte Muster verwenden  Allerdings sind weitere mögliche Angriffsvektoren vorhanden:  Brute Force z. B. via Teensy + USB OTG Kabel  Selbst bei Beachtung der Penalty (i. d. R. 30 Sekunden) meist in einem vertretbaren Zeitraum knackbar 😏  Angriffe über ADB (Android Debug Bridge)  PINs verwenden Quelle: arstechnica.com 25
  26. 26. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Aktion der Groupe Mutuel 26 Quelle: youtube.com
  27. 27. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Zwei-Faktor-Authentifizierung  Klassische Authentifizierung 27 Benutzernamen Passwort Benutzernamen Passwort
  28. 28. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Zwei-Faktor-Authentifizierung  Klassische Authentifizierung 28 Benutzernamen Passwort Benutzernamen Passwort
  29. 29. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Zwei-Faktor-Authentifizierung  Einmal gültiger zweiter Faktor 29 Benutzernamen Passwort Benutzernamen Passwort Zweiter Faktor (ungültig) Zweiter Faktor
  30. 30. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Zwei-Faktor-Authentifizierung  Mittelbare Zwei-Faktor-Authentifizierung  Manuelle Eingabe eines zweiten Faktors  Halbautomatische Zwei-Faktor-Authentifizierung  Keine Dateneingabe mehr notwendig – z.B. NFC-Karte  Vollautomatische Zwei-Faktor-Authentifizierung  Authentifizierung mit dem Smartphone per Bluetooth  Universelle Zwei-Faktor-Authentifizierung  Über Herstellergrenzen hinweg – z.B. FIDO-Allianz 30
  31. 31. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Zwei-Faktor-Authentifizierung 31 Quelle: linuxveda.comQuelle: mockuphone.com
  32. 32. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 KeePass Password Safe  Open Source und OSI-zertifiziert  Passwortdatenbankformat .kdb, .kdbx  Verschlüsselungsalgorithmen AES und Twofish  Versionen für Windows, Linux, Android, iOS  Browser-Erweiterungen  Synchronisierungsoptionen 32
  33. 33. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 KeePass Autotype  Globales Tastenkürzel ermöglicht die Eingabe von Logindaten in Eingabemasken / Formularfelder  Zwischenablage mit Clearfunktion  Seit Version 2: Autotype-Obfuscation (optional)  http://keepass.info/ Quelle: https://de.wikipedia.org/wiki/Datei:Keepass-autotype.gif 33
  34. 34. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Supergenpass  Hashalgorithmus, der anhand eines Masterpassworts eindeutige dienstbezogene Passwörter erstellt  Keine Speicherung oder Synchronisierung von Passwörtern notwendig  Bookmarklet, Mobile Website, Android App vorhanden  http://www.supergenpass.com/ 34
  35. 35. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 LastPass: Pro  Webbasierter Passwort-Manager  Zentraler „Tresor“ für Anmelde-, Formulardaten und Notizen  Unterstützt beim Erstellen neuer Passwörter  Für viele Browser gibt es Erweiterungen  Login-Formulare werden automatisch erkannt und mit den hinterlegten Zugangsdaten ausgefüllt.  Gleiches gilt für Formulardaten  Mobile Anwendung für Android, iOS, …  Mehrstufige Authentifizierung  Automatische Überprüfung aller Passwörter/Dienste 35
  36. 36. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 LastPass: Contra  Voller Funktionsumfang nur mit PREMIUM-Account (12 $ im Jahr)  Synchronisierung über fremde Server (Ver- und Entschlüsselung passiert lokal)  Keine Open Source Software  LogMeIn kauft Passwort-Manager LastPass – heise.de News vom 12.10.2015 36
  37. 37. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 LastPass: Tresor, Eintrag und Autofill 37
  38. 38. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 LastPass: YubiKey 38
  39. 39. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 LastPass: Neue Anmeldedaten 39
  40. 40. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 LastPass: Sicherheitstest 40
  41. 41. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Passwortkarten 41
  42. 42. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Passwortkarten 42
  43. 43. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Passwortkarten Link: sparkasse.de Passwort: 43
  44. 44. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Passwortkarten Link: sparkasse.de Passwort: V= 44
  45. 45. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Passwortkarten Link: sparkasse.de Passwort: V=6< 45
  46. 46. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Passwortkarten Link: sparkasse.de Passwort: V=6<Bd 46
  47. 47. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Passwortkarten Link: sparkasse.de Passwort: V=6<BdG2 47
  48. 48. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Passwortkarten Link: sparkasse.de Passwort: V=6<BdG2W- 48
  49. 49. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Fingerabdruckscanner Quelle: rolf-fensterbau.de 49
  50. 50. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Fingerabdruckscanner Quelle: aivanet.com 50
  51. 51. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Fingerabdruckscanner Quelle: telegraph.co.uk 51
  52. 52. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Fingerabdruckscanner  Einmal verlorener Abdruck kann nicht ersetzt werden  Nur „10“ Möglichkeiten stehen zur Verfügung  Größere Verbreitung sorgt für häufigere Diebstähle  Komplexe Lösung nicht immer die sicherste Quelle: cclker.com 52
  53. 53. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Venen-Scanner 53 Quelle: futurezone.at
  54. 54. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Venen-Scanner 54 Quelle: futurezone.at
  55. 55. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Verschlüsselungstechniken
  56. 56. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Symmetrisch vs. Asymmetrisch vs. Hybrid  Klassische Verschlüsselungsverfahren: Symmetrisch  Ab 1977: Asymmetrische Verschlüsselungsverfahren (Rivest, Shamir, Adleman)  Hybride Verfahren nutzen den Vorteil von symmetrischer und asymmetrischer Kryptographie 56 Quelle: viterbi.usc.edu Rivest, Shamir, Adleman
  57. 57. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Symmetrische Verschlüsselung  Alice und Bob müssen den gleichen Schlüssel besitzen, um eine Nachricht zu verschlüsseln / entschlüsseln  Einfaches Beispiel: Caesar-Verschlüsselung (ROT13) 57 Quelle: wikipedia.org Quelle: wikipedia.org
  58. 58. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Symmetrische Verschlüsselung  Bekannte Verfahren  AES (Advanced Encryption Standard)  DES (mitentwickelt von der NSA, geringe Schlüssellänge)  Blowfish  One-Time-Pad (beweisbar unknackbar)  Problem: Wie kann der Schlüssel sicher übertragen werden? Früher: Schlüssel wurde per Bote auf anderem Weg übertragen (und der Bote ist öfters "verschwunden" 😏). 58 Quelle: wikipedia.org
  59. 59. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Asymmetrische Verschlüsselung  Alice und Bob haben jeweils einen eigenen öffentlichen und privaten Schlüssel  Der öffentliche Schlüssel kann (weltweit) bekannt gegeben werden, der private Schlüssel muss geheim gehalten werden  Alice verschlüsselt eine Nachricht mit dem öffentlichen Schlüssel von Bob. Dieser kann die Nachricht mit seinem privaten Schlüssel entschlüsseln. 59 Quelle: wikipedia.org
  60. 60. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Asymmetrische Verschlüsselung  Anwendung:  E-Mail Verschlüsselung (OpenPGP; S/MIME)  SSL/TLS (https)  Bekannte Vertreter:  RSA  Elgamal 60 Quelle: lengerke.de
  61. 61. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Asymmetrische Verschlüsselung  Beispiel zum Nachrechnen:  Für die Schlüsselerzeugung und das Ver- und Entschlüsseln wird etwas Mathematik benötigt 😊  Analogie zu den folgenden Begrifflichkeiten:  n : Straße und Hausnummer  e : Postleitzahl (der öffentliche Schlüssel)  d : Briefkastenschlüssel (der private Schlüssel des Empfängers)  Alice möchte Bob einen Brief schreiben. Dazu braucht Alice allerdings die Adressen von Bob, also die Straße (n) und Postleitzahl (e). Die Adresse (n, e) darf jeder wissen (z. B. Telefonbuch). Aber nur Bob darf den Briefkasten auch öffnen (mit n, d). 61
  62. 62. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Asymmetrische Verschlüsselung  RSA (Sicherheit durch Primfaktorzerlegung) – Welche zwei Primzahlen ergeben das Produkt 91?  Zufällig zwei Primzahlen wählen: p = 7 und q = 13 (Produkt n = p * q = 91)  Euler'sche Phi-Funktion berechnen: phi(n) = (7-1) * (13-1) = 6 * 12 = 72  Berechnung öffentlicher Schlüssel:  Zufälliger Wert e (teilerfremd  ggT(e, phi(n)) und kleiner als phi(n)): 5 / Öffentlicher Schlüssel (n, e) = (91, 5)  Berechnung privater Schlüssel (modulares Inverses):  d  1 = (e * d) mod phi(n)  (e * d) = s(phi(n)) + 1  5d = 72s+1  d = 72/5s + 1/5 = 29 (d=29 für s=2) / Privater Schlüssel (n, d) = (91, 29) 62
  63. 63. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Asymmetrische Verschlüsselung  Verschlüsselung von ASCII-Buchstaben (CYBER = 67 89 66 69 82) / Formel: verschlüsselung = nachrichte mod n  enc(CYBER) = (675 mod 91) (895 mod 91) … = 58 59 40 62 10  Entschlüsselung der geheimen Nachricht / Formel: entschlüsselung = geheimnachrichtd mod n  dec(58 59 40 62 10) = (5829 mod 91) (5929 mod 91) … = 67 89 66 69 82 (CYBER)  Try it yourself: https://www.mathematik.de/ger/information/wasistmathematik/rsa/rsa_self.html 63
  64. 64. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Hybride Verschlüsselung  Symmetrische Verschlüsselung: Schnell, sicher ABER: Schlüsselverteilungsproblem  Asymmetrische Verschlüsslung: Lösen Schlüsselverteilungsproblem ABER: Sehr langsam  Hybride Verschlüsselung: Das Beste aus beiden  Mit einem Session Key werden die Daten symmetrisch verschlüsselt (z. B. AES256)  Der Session Key wird mit dem öffentlichen Schlüssel des Empfängers verschlüsselt (z. b. RSA)  Verwendung: IPSec, TLS/SSL, PGP, GPG … 64
  65. 65. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Hashfunktionen  Abbildung einer großen Eingabemenge auf eine kleinere Zielmenge  Einwegfunktion auf Basis mathematischer Algorithmen  Verwendung:  Speicherung von Passwörtern  Validierung von größeren Datenmengen  Beispiele (MD5):  test 098f6bcd4621d373cade4e832627b4f6  Es gibt keine Sicherheit, nur verschiedene Grade der Unsicherheit. 648374430dca4feb98efbba184bb8c97 65
  66. 66. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Hashfunktionen 66 Quelle: stricture-group.com
  67. 67. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Passwörter knacken  Am Beispiel von ZIP-Dateien 67
  68. 68. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Drahtlose Kommunikation
  69. 69. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Keysweeper 69
  70. 70. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Keysweeper  Das proprietäre und unverschlüsselte Protokoll eines Keyboards wurde Reverse Engineering analysiert und „geknackt“  Das Ergebnis basiert auf der Arbeit von Travis Goodspeed (goodfet.nrf), welche wiederum auf der Arbeit von Thorsten Schröder und Max Moser (KeyKeriki v2.0) basiert.  Die Hardware besteht im wesentlichen aus einem programmierbaren Mikrocontroller und dem 2,4 GHz Transceiver nRF24L01+  maniacbug‘s RF24-Bibliothek 70
  71. 71. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Hardware 71 Quelle: sparkfun.comQuelle: miniinthebox.com
  72. 72. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Keysweeper Reverse Engineering für Anfänger  Allgemeines Vorgehen: 1. Gehäuse entfernen 2. Funktion der Bauteile identifizieren 3. Bauteil identifizieren 4. Informationen zum Bauteil sammeln 5. Blogs finden, die sich mit dem Bauteil/Protokoll/… beschäftigen 72
  73. 73. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Keysweeper: Schwierigkeiten des Sniffings  Wir reden von 2,4 GHz, ABER es gibt mehrere Kanäle innerhalb der Frequenz  Die Pakete werden gezielt versendet (MAC-Adressen)  MAC-Adressen sind nicht bekannt  Das Modul nRF24L01+ liefert nur Pakete, die gezielt an seine MAC-Adresse gesendet wurden 73
  74. 74. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Keysweeper: Transceiver umfunktionieren  Die MAC-Adresse wird entgegen dem Standard auf 2 Bytes verkürzt und auf die bekannte Preambel 0x00AA oder 0x0055 gesetzt, somit erhalte ich Pakete, die nicht für mich bestimmt sind.  Die gesammelten Daten werden interpretiert und so die MAC-Adresse identifiziert 74
  75. 75. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Keysweeper: Transceiver umfunktionieren  Die MAC-Adresse wird entgegen dem Standard auf 2 Bytes verkürzt und auf die bekannte Preambel 0x00AA oder 0x0055 gesetzt, somit erhalte ich Pakete, die nicht für mich bestimmt sind. 75 Seestr. 1 Seestr. 2 Seestr. 3 Bergstr. 1 Bergstr. 2 An Seestr. 2 Sichtfeld des Postboten
  76. 76. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Keysweeper: Transceiver umfunktionieren  Die MAC-Adresse wird entgegen dem Standard auf 2 Bytes verkürzt und auf die bekannte Preambel 0x00AA oder 0x0055 gesetzt, somit erhalte ich Pakete, die nicht für mich bestimmt sind. 76 Seestr.An Seestr. 2 Sichtfeld des Postboten
  77. 77. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Keysweeper: Ablauf  Von Frequenzbereich 2403 bis 2480 die MAC-Adresse 0x00AA und 0x0055 durchwechseln und schauen, ob man was „hört“  Interpretation (Entschlüsselung) der Daten, wenn was Sinnvolles „reinkommt“ 77
  78. 78. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Angriffe auf WLANs  Verschiedene Verschlüsselungsverfahren für WLAN  WEP (mehrere Angriffe bekannt, Vorführung folgt)  WPA / WPA2 (bisher ohne Passwort nur Bruteforceangriffe möglich)  WPA2 Shared Key (wird im privaten Bereich eingesetzt)  WPA2 Enterprise (jeder Benutzer authentifiziert sich mit individuellen Zugangsdaten)  Andere Angriffsvektoren  MAC Zugangsfilter  WPS (implementierungsabhängig)  Über Webinterface (Fernwartung)  Rogue access point  Passive Sniffing (Vorführung folgt) 78
  79. 79. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 MAC Zugangsfilter  MAC-Adressen (weltweit eindeutige Hardware IDs für Netzwerkadapter) können einfach gefälscht werden.  Auslesen über:  Windows: In der cmd > ipconfig /all  Linux: Im Terminal > ifconfig –a  Mac ändern:  Windows: In der Registry [HKEY_LOCAL_MACHINESYSTEMCurrentControlSet ControlClass{4D36E972-E325-11CE-BFC1- 08002BE10318}0] / oder mit 3rd Party Tools  Linux: macchanger –m 00:11:22:33:44:55 eth0 79
  80. 80. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Rogue / Evil twin Access Point  Rogue Access point (= WLAN Router eines Angreifers wird ins Netzwerk eingeschleust)  Evil twin access point: Ein gleichnamiger Fake Access Point wird vom Angreifer erstellt, mit dem Ziel, dass sich Clients mit diesem verbinden.  Aufgabe: Schauen Sie auf Ihrem Handy / Laptop nach, welche bekannten WLAN Access Points Sie abgespeichert haben.  Telekom  FreeWifi / PublicWifi  Freifunk  Hotelnamen: IBIS  Horizon Wifi  Problem: Erstellt der Angreifer einen unverschlüsselten Hotspot mit einem dieser Namen, werden sich Geräte automatisch verbinden s. a. http://www.heise.de/security/artikel/WLAN-Angriffstool-wifiphisher- 2513841.html 80 Quelle: aariko.com
  81. 81. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 WPS  Verschiedene Verfahren:  PIN-Eingabe (oftmals unsicher)  Push Button Configuration (PBC) (i. d. R. sicher)  PINs sind je nach Implementierung drei- bis vierstellig (= max. 10000 Möglichkeiten) Bruteforce möglich, unabhängig der Länge des WPA2-Keys  Kali (Linux) Tools: Reaver, Wifite e. g. 81 Quelle: pwnieexpress.com
  82. 82. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 WPA2  Keine bekannten Angriffe auf die Verschlüsselung, ABER:  Hotspots in Hotels, Flughäfen, auf öffentlichen Plätzen etc. verwenden oftmals alle WPA2 Shared Key.  Jeder Benutzer verwendet den gleichen geheimen (!) Schlüssel.  Dieses Verfahren ist NICHT geeignet, wenn sich die Teilnehmer nicht gegenseitig vertrauen!  Jeder, der den Schlüssel kennt und den initialen Verbindungsaufbau eines Clients mithört, kann den Datenverkehr mitschneiden (!).  Vorführung mit Wireshark (Emissionsloses passives WPA2-Sniffing) 82
  83. 83. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Empfehlungen gegen WLAN-basierte Angriffe  Offene WLANs meiden!  Praxistipp: Falls offenes WLAN verwendet wird, im Anschluss die Konfiguration vom Gerät löschen (!)  WEP vergessen!  WPA2 Shared Key nur im Heimbereich (unter vertrauenswürdigen Kommunikationspartnern verwenden)  Praxistipp: Falls es im Hotel etc. nur dieses Verfahren gibt, dann wenigstens VPN einsetzen (!)  WPA2 Enterprise in Firmen oder öffentlichen Bereich verwenden  WPS abschalten oder recherchieren, ob WPS sicher implementiert ist (z. B. PBC) 83
  84. 84. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Speichermedien
  85. 85. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Festplattenverschlüsselung  Sicherste Möglichkeit: Festplattenvollverschlüsselung (System + Daten)  Softwareseitig:  Pre-Boot Authentication (Authentifizierung vor dem Startvorgang, nach dem Biosladeprozess, aber vor dem Betriebssystemstart) / Code oder Verweis im Master Boot Record (MBR)  Produkte: VeraCrypt / TrueCrypt; BitLocker; Full Disk Encryption Checkpoint; …  After Systemstart  dm-crypt (Kryptographie-Modul Linux) 85
  86. 86. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Festplattenverschlüsselung  Hardwareseitig:  SSDs mit hardwareseitiger AES-Verschlüsselung (HDD Passwort im Bios muss gesetzt werden!)  Teilweise unzureichend implementiert, Hersteller kann teilweise ein Masterpasswort generieren, AES Keys liegen unverschlüsselt in der Firmware  Max. HDD Passwortlänge im BIOS ebenfalls entscheidend.  s.a. http://vxlabs.com/2012/12/22/ssds-with-usable-built-in-hardware-based-full-disk-encryption/ https://media.ccc.de/v/29c3-5091-de-en- unsicherheit_hardwarebasierter_festplattenverschluesselung_h264 86
  87. 87. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Festplattenverschlüsselung: Hands on  FullDisk Encryption mit VeraCrypt (Backup 1st!)  Im Menü: System > Encrypt System Partition/Drive …  Verschlüsselungsalgorithmus auswählen  Masterpasswort festlegen und merken!  Random noise hinzufügen  Rescue Disk erstellen (!) Benutzerhandbuch: https://veracrypt.codeplex.com/downloads/get/1473 633# https://veracrypt.codeplex.com/ 87
  88. 88. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Festplattenverschlüsselung  Angriffsvektoren:  Passwort muss im RAM geladen bleiben. (Tools wie Volatility können dieses ggf. auslesen: http://volatility-labs.blogspot.de/2014/01/truecrypt- master-key-extraction-and.html)  Keylogger  Gegenmaßnahmen:  Keine 😏  Ggf. Keyfiles / Tokens und Smartcards als Zwei-Faktor- Authentifizierung (Besitz & Wissen)  nicht für System Encryption 88
  89. 89. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 USB-Sticks schützen  VeraCrypt – Abspaltung von TrueCrypt  Kompatibilität zu TrueCrypt-Containern  Bekannte Sicherheitslücken wurden geschlossen  Mehr Iterationen als TrueCrypt  Künstliche Verzögerungen 89
  90. 90. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Instant Messaging
  91. 91. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 OTR (Off-the-Record Messaging)  OTR = inoffizielle, vertrauliche, nicht für die Öffentlichkeit bestimmte Nachrichtenübermittlung  Die NSA mag OTR nicht (Snowden Dokumente) 😉  Vier Ziele:  Verschlüsselung (Encryption): Keiner soll Nachrichten mitlesen können.  Beglaubigung (Authentification): Während der Kommunikation kann man sich sicher sein, dass der Empfänger derjenige ist, für den man ihn hält.  Abstreitbarkeit (Deniability): Nach einer Konversation können Nachrichten gefälscht werden.  Folgenlosigkeit (Perfect Forward Secrecy): Gespräche können nicht nachträglich entschlüsselt werden. 91
  92. 92. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 OTR (Off-the-Record Messaging)  Leider ein Nischenprotokoll und in relativ wenigen bekannten Anwendungen implementiert, u. a.:  Adium (Max OS X)  IM+  ChatSecure  Plugins für:  Pidgin  Jabber  Gajim  Usability fehlt oftmals 92 Quelle: play.google.com
  93. 93. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 One-Time-Pad  Einmalverschlüsselung oder Einmalschlüssel-Verfahren  Schlüssel, der (mindestens) so lang ist wie die Nachricht selbst  Perfekte Sicherheit (Bedingung: jedes Passwort nur einmal)  Mit beliebig hohem Rechenaufwand kann die Verschlüsselung nicht gebrochen werden  Beispiel (XOR-Verknüpfungen): hallo hallo hallo hallo + bziqx abmmo cpzbk mhvvg = jaucm icyyd kqlnz uihhv 93
  94. 94. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 PRAXIS One-Time-Pad 94
  95. 95. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Whatsapp: Entwicklungen bei der Sicherheit  2009: Erscheinung  Mai 2011: Erste Sicherheitslücke wird bekannt (Kontoübernahme möglich), weitere kritische Sicherheitsmängel werden nach und nach aufgedeckt. 50-100 Mio. Nutzer  Sep. 2012: Fremde Konten lassen sich mit leicht zugänglichen Infos kapern.  März 2014: WhatsApp Verschlüsselungs-Key (lokale Datenbank) taucht im Internet auf.  WhatsApp bessert nach.  Nov. 2014: Ende-zu-Ende-Verschlüsselung wird eingeführt (powered by TextSecure).  April 2015: Untersuchungen von Heise online weisen auf eine inkonsistente Verschlüsselung hin (Android only?). 800 Mio. Nutzer 95
  96. 96. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Sichere Alternativen zu Whatsapp  Sichere Alternativen werden immer wieder diskutiert…  …und kämpfen oft mit den gleichen Problemen:  Komfort  Unbekannte Sicherheitslücken, die erst mit zunehmender Bekanntheit aufgedeckt werden  Verbreitung  Wann ist die Alternative sicher? Reicht eine Ende-zu-Ende-Verschlüsselung aus? 96
  97. 97. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Signal/TextSecure/Redphone  Signal – Private Messenger (iOS und Android)  Vereint/aka TextSecure und Redphone in einer App  kostenlos  Ende-zu-Ende-Verschlüsselung  Verschlüsselte Textnachrichten, Dokumenten, Fotos, Videos, Kontaktinformation und Gruppennachrichten sowie Telefonie  Initialisierung/Synchronisation der Kontakte vergleichbar mit Whatsapp  Der Signal-fork SMSSecure verschüsselt SMS  93 Whatsapp-Kontakte vs. 6 Signal-Kontakte 97
  98. 98. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 E-Mail-Kommunikation
  99. 99. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Initiative "E-Mail Made in Germany"  "Werbewirksames Marketing"  E-Mails liegen weiterhin unverschlüsselt beim jeweiligen E-Mail-Anbieter, lediglich die Kommunikation  vom Benutzer zum Dienstanbieter und  alle Dienstanbieter der Initiative untereinander ist verschlüsselt (nur Transportverschlüsselung!).  Teilnehmer der Initiative: GMX, T-Online, Web.de, freenet, 1&1, Strato 99 Quelle: md-linksdrehend.org
  100. 100. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Initiative "E-Mail Made in Germany"  Aktuelle Berichte: "Warum die großen deutschen Mailanbieter ihre Logins nicht komplett samt Formular verschlüsseln, wollte keiner von ihnen erklären. In Sachen Sicherheit und Verschlüsselung ist E-Mail made in Germany offenbar kein Qualitätssiegel." (Zeit Online, 11/2015)  Login im Webmail auch ohne SSL möglich (Angriff z. B. via stripssl) "Über eine Sicherheitslücke in drei großen Webmail-Portalen hätten Angreifer die Postfächer von Nutzern übernehmen können. Hinweise auf Datendiebstahl gibt es nicht." (Wired; Zeit Online, 08/2015)  Kontoinhaber musste auf einen Link klicken / SessionID Exposure über Referrer 100
  101. 101. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 De-Mail  De-Mail-Gesetz (2011): Versuch eine rechtsverbindliche elektronische Kommunikationsplattform zu erschaffen.  Derzeit vier akkreditierte Anbieter (1&1, Mentana, T- Systems, Telekom)  Suggeriert ähnlich wie E-Mail zu sein (allerdings: eigenständiges System)  Transportverschlüsselung, optional: End-to-End Verschlüsselung (Plugins seit 03/15)  Viele ungelöste Probleme:  Nutzen / Anreiz für Privatkunden?  Verpflichtung, Postfach regelmäßig zu prüfen  Gateways  Usability 101 Quelle: cio.bund.de
  102. 102. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Schutzmechanismen und Alternativen  Wo möglich, End-to-end-Verschlüsselung verwenden (PGP / S/MIME). Problematisch: Geringe Verbreitung.  FreeMail-Anbieter meiden und Anbieter verwenden, die sichere Technologien einsetzen, z. B.  mailbox.org  posteo.de  …  Ggf. auf Serverstandorte und Datenverarbeitungsrichtlinien achten.  Weiterhin Briefe / Faxe verschicken 😉  Seit der ersten E-Mail, die in Deutschland verschickt wurde (1984), hat sich wenig bis nichts geändert. 102
  103. 103. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 S/MIME Verfahren  Standard für die Verschlüsselung und Signatur von E-Mails  Hybride Verschlüsselung - privater und öffentlicher Schlüssel  Offizieller Standard RFC 1847 (Outlook, Thunderbird und R2mail2)  Kostenlose S/MIME-Zertifikate: https://www.comodo.com/home/email-security/free-email-certificate.php  Anleitungen von Prof. Bernhard Esslinger (Outlook, Thunderbird, Android und iOS): https://www.anti-prism-party.de/downloads/sichere-email-am-pc-und-mit-dem- smartphone-anleitung.zip 103
  104. 104. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 PGP  „PGP ist technisch veraltet, schon auf PCs schwer zu bedienen und auf Smartphones ein nahezu hoffnungsloser Fall. Allein die Existenz dieses Dinosauriers blockiert die Entwicklung neuer, innovativer E-Mail-Verschlüsselungstechniken.“ Jürgen Schmidt, heise.de – Februar 2015  Mail-Verschlüsselung mit PGP ist zwar sicher, aber auch umständlich. Leider werden deshalb zu wenige Mails verschlüsselt. Um dies zu ändern, will 1&1 PGP in die Web- Oberfläche der Maildienste GMX und Web.de sowie in deren Smartphone-Apps integrieren. Doch passen sicher und bequem zusammen? heise.de – August 2015 104
  105. 105. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 PGP  1991 veröffentlichtes Verfahren zum Verschlüsseln von Daten  Benutzt Public-Key-Verfahren  Wer hat PGP bereits in Verwendung?  Wer findet zuerst einen einfachen Weg für die Einrichtung von PGP eisoldt@hs-albsig.de 105 Quelle: wikipedia.org
  106. 106. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 PGP – Web.de 106
  107. 107. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Sichere Webverbindungen
  108. 108. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Websites manipulieren  Manipulation über Short-Link  Beispiel Short-Link: http://bit.ly/1E0kPOv  Anfällig bei der Verbreitung über soziale Netzwerke  Auf Smartphones spielt die URL eine untergeordnete Rolle 108 Quelle: tinyur1.co
  109. 109. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 TLS/SSL-Infrastruktur  Verschlüsselte Verbindungen (z.B. HTTPS)  Public-Key-Verschlüsselungsverfahren  Technik basiert auf einem Zertifikatssystem 109 Zertifikat cyber-security-lab.de Zertifikat Alpha SSL CA Zertifikat Global Sign Root CA
  110. 110. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 TLS/SSL-Funktionsweise 110 „hello“ Krypto Informationen „hello“ Krypto Informationen Server-Zertifikat(e) inkl. Public-Key Überprüfung Client-Zertifikat(e) inkl. Public-Key Generiert neues Geheimnis Überprüfung Bestätigt TLS-Verbindung Bestätigt TLS-Verbindung Pr PuPr Pu Pu Pu Pu Pu Pu
  111. 111. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 TLS/SSL Server Test 111 Quelle: ssllabs.com
  112. 112. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Let‘s Encrypt  Zertifizierungsstelle, die Ende 2015 startet  Ziel des Projekts ist es, verschlüsselte Verbindungen zum Normalfall zu machen  Sehr einfach in der Anwendung:  sudo apt-get install letsencrypt  letsencrypt run  Automatisiertes Verfahren: Automated Certificate Management Environment (ACME) 112
  113. 113. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 SSL Man-in-the-middle  Bei einem Man-in-the-middle-Angriff steht ein Angreifer physikalisch oder logisch zwischen den beiden Kommunikationspartnern  Der Angreifer hat dabei vollständige Kontrolle über den Datenverkehr der Netzwerkteilnehmer  Kann eine SSL-Verbindung Manipulationen oder das Mitlesen von Netzwerkverkehr unterbinden? – Vielleicht. 113 Quelle: wifi4free.info
  114. 114. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 SSL Angriffe auf die Verschlüsselung  Tool sslstrip – Versuch der Verhinderung, eine verschlüsselte Verbindung aufzubauen  Tool sslsniff – Erzeugt ein (vertrauenswürdiges) Zertifikat für eine beliebige Website  Tool BurpSuite 114 Quelle: trendmicro.com
  115. 115. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 SSL Sniffing Übung  Übung:  Download Burp Suite: https://portswigger.net/burp/download.html  In den Internetproxyeinstellungen den simulierten MITM-Angreifer eintragen (127.0.0.1:8080)  Burp Stammzertifikat installieren  Verschlüsselte Website aufrufen und Zertifikat untersuchen 115 Quelle: trendmicro.com
  116. 116. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 SSL Angriffe Gegenmaßnahmen  Entwickler:  Anwendungsseitig SSL-Zertifikat prüfen (!)  Benutzer:  In vielen E-Mail Clients o. ä. können die E-Mailserverzertifikate fest hinterlegt werden!  Keine unbekannten (Stamm-)Zertifikate installieren!  Überprüfung der installierten Stammzertifikate für Benutzer so gut wie unmöglich 😒  Aktuelle Fälle:  Lenovo Superfish 02/2015; http://www.heise.de/security/meldung/Gefahr-fuer-Lenovo-Laptops- durch-vorinstallierte-Adware-2554455.html / Test: https://filippo.io/Badfish/ 116
  117. 117. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Perfect Forward Secrecy  Sitzungsschlüssel anstatt Langzeitschlüssel  Diffie-Hellman 117 gemeinsame Farbe geheime Farbe + + == + + = = geheime Farbe gemeinsames Geheimnis
  118. 118. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 07.11.2015 Vielen Dank

×