Der Vortrag von Peter Welchering beschreibt diverse Methoden der Wirtschaftsspionage und Online-Kriminalität zwischen 1982 und 2010, einschließlich der Nutzung von Malware und Sicherheitslücken. Er kritisiert die derzeitige Sicherheitsdoktrin, die auf Geheimhaltung der Sicherheitslücken basiert, und argumentiert, dass dies ein erhebliches Risiko darstellt. Zudem werden verschiedene Spionagetechniken und -tools sowie deren Einsatz in der Netzwerkanalyse thematisiert.

1. Die Nachrichtendienste sind
das eigentliche Risiko
Oder: Methoden der Wirtschaftsspionage und
der Online-Kriminalität
Vortragender: Peter Welchering

2. 1982: In Russland explodiert eine Verdichtungsstation an der Chelyabinsk-
Pipeline – Ursache: Software, die in die kanadische Steuerungssoftware
eingebaut worden war, um Softwarediebstähle zu verhindern
1987: Die HVA verschafft sich mittels eines Hardware-Keyloggers Zugang
zum Source-Code westlicher CAD- und CAM-Programme. Leicht verändert
wird diese Software zur Planung eines Chemie-Kombinats eingesetzt.
1991 erbeuten kuweitische Widerstandskämpfer mit Hilfe von MI6-Agenten
mittels eines Data Link Pläne einer High-Tech-Kanone, die der irakische
Staatspräsident Saddam Hussein bauen lassen will.
1995: Datastream zapft aus drei VAX-Maschinen des Pentagon Pläne von
Spionagesatelliten.
2004: Aus dem Atomwaffenlabor Los Alamos werden Bauanleitungen für
Atomwaffen mittels recht einfacher Spionagesoftware gestohlen
2006: Mit Remote Forensic Software werden Rechner deutscher Manager
massenhaft ausspioniert
2010: Mit dem Computervirus Stuxnet werden Industriesteuerungen
manipuliert.

3. Sicherheitslücken und Exploits
• Spionageprogramme nutzen Sicherheitslücken in Betriebssystem-Routinen
und vor allen Dingen Kommunikationssoftware aus
• Exploit-Markt findet weitgehend auf Auktionen im Internet statt
• 30.000 Schwachstellenanalytiker weltweit, davon 10.000 in der VR China
• In Deutschland arbeitet zur Zeit das bekannte „dreckige Dutzend“ an
Exploits
• Auftragsproduktionen westlicher Geheimdienste werden seit Sommer 2008
überwiegend in Minsk durchgeführt
• Kooperationsprojekte westlicher Geheimdienste mit israelischen Entwicklern
nehmen zu

4. Spionage-Mittel
• Remote Forensic Software
• SQL-Injection
• Man-in-the-Middle-Atacken
• Denial-of-Service-Attacken
• Data Links zu Remote Terminal Units
• Honeypots
• Spezifisch angepasste Malware für den Datentransfer und für die
Datenmanipulation

5. Das Vorgehen
• Zielbereich der IP-Adressen festlegen
• Verifikation mit Ping und Traceroute
• Ermittlung offener Ports
• Ermittlung verwendeter Protokolle
• Offene Ports können prinzipiell belauscht werden
• Analyse aller Verbindungen von und zu einem
bestimmten Port
• Netzwerküberwachung mit „wireshark“ möglich
• Auswertung der Knotenrechner via telnet und
aufgesetzten Tools möglich

6. Netzwerküberwachung mit wireshark
Alternative: paketyzer

7. Forensische Tools
• Open Source
Autopsy
Fire
Sleuth Kit
• Kommerziell
Encase
Safeback
Smart

8. Die Strategie von
Qiao Liang und Wang Yiangsui
• Intern: Projekt Great Wall mit umfassender Proxy-Server-Struktur
• Extern: Trapdoors in Routern und umfassende Port-Überwachung
mit Gesamt-Scans
• Umsetzung: u.a. Bundeskanzleramt 2007
• Methode: Spinageangriff auf HTTPS- und SOCKS-Proxys
• Beispiel: Einsatz normaler Spam- und Virenscanner
• Durchführung: Spam-Assassin Modul FuzzyOCR liest
Datenpäckchen aus (Konfiguration entweder Header oder
Gesamtscan) – Kombination mit Tcpdump bzw. Wireshark und
Nmap
• Diagnosemöglichkeit: autopsisch oder bei Fehlerverhalten
• Fehlerverhalten: RFC822-Meldung „verbotener Zugriff“, wenn
FuzzyOCR gekoppelt ist mit „Follow TCP Stream“ von Wireshark,
um Pakete von einer best. IP-Adresse im Klartext mitzulesen

9. Das Duo fatale: Follow TCP Stream und Spam-Assassin

10. Der direkte „Nutzwert“
• Angezeigt werden alle in den Paketen abgelegten
Informationen
• Darstellung in ASCII erlaubt das direkte Mitlesen
• Bei Verschlüsselung wird „John the Ripper“ aus der
Metasploit-Sammlung eingesetzt – wirksame Decryption
• Scan läuft automatisiert

11. Forensische und diagnostische Möglichkeiten
• Häufigster Einsatz in Zusammenhang mit Spam-
Assassin als „Auswertungsscript“
• Scriptfolge: Bei Übergabe von „Mail-Port“ an „Prüf-Port“
• Bei Übergabe von Adresse nach RFC-822 und IP-
Adresse (v4) an Script für die Übergabe an „Follow TCP
Stream“ von Wireshark ist eine falsche
Datenfeldzuordnung häufiger beobachtet worden
• Ursache: unsaubere Scriptprogrammierung
• Verdacht: Fehlermeldung des Postmasters: „Delivery to
this adress is restricted“ mit Resolver-Meldung „rfc822
vorname.nachname@server.com“

12. Schlussbemerkungen
• Jede Software unterliegt dem „dual use“
• Jede „Verteidigungswaffe“ gegen organisierte
Kriminalität ist auch immer eine Angriffswaffe und ein
Spionage-Tool
• Wirksamen Schutz garantiert nur die rückhaltlose
Veröffentlichung aller entdeckten Sicherheitslücken
• Die derzeitige Sicherheitsdoktrin basiert auf
Geheimhaltung entdeckter Sicherheitslücken; dadurch
wird ein erhebliches Sicherheitsrisiko geschaffen

13. Kritik, Anregungen, Fragen ?
peter@welchering.de
auf Twitter: @welchering
www.welchering.de
oder voice to voice: 0171-5135624