1. Die Nachrichtendienste sind
das eigentliche Risiko
Oder: Methoden der Wirtschaftsspionage und
der Online-Kriminalität
Vortragender: Peter Welchering

2. 1982: In Russland explodiert eine Verdichtungsstation an der Chelyabinsk-
Pipeline – Ursache: Software, die in die kanadische Steuerungssoftware
eingebaut worden war, um Softwarediebstähle zu verhindern
1987: Die HVA verschafft sich mittels eines Hardware-Keyloggers Zugang
zum Source-Code westlicher CAD- und CAM-Programme. Leicht verändert
wird diese Software zur Planung eines Chemie-Kombinats eingesetzt.
1991 erbeuten kuweitische Widerstandskämpfer mit Hilfe von MI6-Agenten
mittels eines Data Link Pläne einer High-Tech-Kanone, die der irakische
Staatspräsident Saddam Hussein bauen lassen will.
1995: Datastream zapft aus drei VAX-Maschinen des Pentagon Pläne von
Spionagesatelliten.
2004: Aus dem Atomwaffenlabor Los Alamos werden Bauanleitungen für
Atomwaffen mittels recht einfacher Spionagesoftware gestohlen
2006: Mit Remote Forensic Software werden Rechner deutscher Manager
massenhaft ausspioniert
2010: Mit dem Computervirus Stuxnet werden Industriesteuerungen
manipuliert.

3. Sicherheitslücken und Exploits
• Spionageprogramme nutzen Sicherheitslücken in Betriebssystem-Routinen
und vor allen Dingen Kommunikationssoftware aus
• Exploit-Markt findet weitgehend auf Auktionen im Internet statt
• 30.000 Schwachstellenanalytiker weltweit, davon 10.000 in der VR China
• In Deutschland arbeitet zur Zeit das bekannte „dreckige Dutzend“ an
Exploits
• Auftragsproduktionen westlicher Geheimdienste werden seit Sommer 2008
überwiegend in Minsk durchgeführt
• Kooperationsprojekte westlicher Geheimdienste mit israelischen Entwicklern
nehmen zu

4. Spionage-Mittel
• Remote Forensic Software
• SQL-Injection
• Man-in-the-Middle-Atacken
• Denial-of-Service-Attacken
• Data Links zu Remote Terminal Units
• Honeypots
• Spezifisch angepasste Malware für den Datentransfer und für die
Datenmanipulation

5. Das Vorgehen
• Zielbereich der IP-Adressen festlegen
• Verifikation mit Ping und Traceroute
• Ermittlung offener Ports
• Ermittlung verwendeter Protokolle
• Offene Ports können prinzipiell belauscht werden
• Analyse aller Verbindungen von und zu einem
bestimmten Port
• Netzwerküberwachung mit „wireshark“ möglich
• Auswertung der Knotenrechner via telnet und
aufgesetzten Tools möglich

6. Netzwerküberwachung mit wireshark
Alternative: paketyzer

7. Forensische Tools
• Open Source
Autopsy
Fire
Sleuth Kit
• Kommerziell
Encase
Safeback
Smart

8. Die Strategie von
Qiao Liang und Wang Yiangsui
• Intern: Projekt Great Wall mit umfassender Proxy-Server-Struktur
• Extern: Trapdoors in Routern und umfassende Port-Überwachung
mit Gesamt-Scans
• Umsetzung: u.a. Bundeskanzleramt 2007
• Methode: Spinageangriff auf HTTPS- und SOCKS-Proxys
• Beispiel: Einsatz normaler Spam- und Virenscanner
• Durchführung: Spam-Assassin Modul FuzzyOCR liest
Datenpäckchen aus (Konfiguration entweder Header oder
Gesamtscan) – Kombination mit Tcpdump bzw. Wireshark und
Nmap
• Diagnosemöglichkeit: autopsisch oder bei Fehlerverhalten
• Fehlerverhalten: RFC822-Meldung „verbotener Zugriff“, wenn
FuzzyOCR gekoppelt ist mit „Follow TCP Stream“ von Wireshark,
um Pakete von einer best. IP-Adresse im Klartext mitzulesen

9. Das Duo fatale: Follow TCP Stream und Spam-Assassin

10. Der direkte „Nutzwert“
• Angezeigt werden alle in den Paketen abgelegten
Informationen
• Darstellung in ASCII erlaubt das direkte Mitlesen
• Bei Verschlüsselung wird „John the Ripper“ aus der
Metasploit-Sammlung eingesetzt – wirksame Decryption
• Scan läuft automatisiert

11. Forensische und diagnostische Möglichkeiten
• Häufigster Einsatz in Zusammenhang mit Spam-
Assassin als „Auswertungsscript“
• Scriptfolge: Bei Übergabe von „Mail-Port“ an „Prüf-Port“
• Bei Übergabe von Adresse nach RFC-822 und IP-
Adresse (v4) an Script für die Übergabe an „Follow TCP
Stream“ von Wireshark ist eine falsche
Datenfeldzuordnung häufiger beobachtet worden
• Ursache: unsaubere Scriptprogrammierung
• Verdacht: Fehlermeldung des Postmasters: „Delivery to
this adress is restricted“ mit Resolver-Meldung „rfc822
vorname.nachname@server.com“

12. Schlussbemerkungen
• Jede Software unterliegt dem „dual use“
• Jede „Verteidigungswaffe“ gegen organisierte
Kriminalität ist auch immer eine Angriffswaffe und ein
Spionage-Tool
• Wirksamen Schutz garantiert nur die rückhaltlose
Veröffentlichung aller entdeckten Sicherheitslücken
• Die derzeitige Sicherheitsdoktrin basiert auf
Geheimhaltung entdeckter Sicherheitslücken; dadurch
wird ein erhebliches Sicherheitsrisiko geschaffen

13. Kritik, Anregungen, Fragen ?
peter@welchering.de
auf Twitter: @welchering
www.welchering.de
oder voice to voice: 0171-5135624