Diese Präsentation wurde erfolgreich gemeldet.

Die Nachrichtendienste sind das eigentliche Risiko

1

Teilen

Wird geladen in …3
×
1 von 13
1 von 13

Weitere Verwandte Inhalte

Ähnliche Bücher

Kostenlos mit einer 14-tägigen Testversion von Scribd

Alle anzeigen

Ähnliche Hörbücher

Kostenlos mit einer 14-tägigen Testversion von Scribd

Alle anzeigen

Die Nachrichtendienste sind das eigentliche Risiko

  1. 1. Die Nachrichtendienste sind das eigentliche Risiko Oder: Methoden der Wirtschaftsspionage und der Online-Kriminalität Vortragender: Peter Welchering
  2. 2. 1982: In Russland explodiert eine Verdichtungsstation an der Chelyabinsk- Pipeline – Ursache: Software, die in die kanadische Steuerungssoftware eingebaut worden war, um Softwarediebstähle zu verhindern 1987: Die HVA verschafft sich mittels eines Hardware-Keyloggers Zugang zum Source-Code westlicher CAD- und CAM-Programme. Leicht verändert wird diese Software zur Planung eines Chemie-Kombinats eingesetzt. 1991 erbeuten kuweitische Widerstandskämpfer mit Hilfe von MI6-Agenten mittels eines Data Link Pläne einer High-Tech-Kanone, die der irakische Staatspräsident Saddam Hussein bauen lassen will. 1995: Datastream zapft aus drei VAX-Maschinen des Pentagon Pläne von Spionagesatelliten. 2004: Aus dem Atomwaffenlabor Los Alamos werden Bauanleitungen für Atomwaffen mittels recht einfacher Spionagesoftware gestohlen 2006: Mit Remote Forensic Software werden Rechner deutscher Manager massenhaft ausspioniert 2010: Mit dem Computervirus Stuxnet werden Industriesteuerungen manipuliert.
  3. 3. Sicherheitslücken und Exploits • Spionageprogramme nutzen Sicherheitslücken in Betriebssystem-Routinen und vor allen Dingen Kommunikationssoftware aus • Exploit-Markt findet weitgehend auf Auktionen im Internet statt • 30.000 Schwachstellenanalytiker weltweit, davon 10.000 in der VR China • In Deutschland arbeitet zur Zeit das bekannte „dreckige Dutzend“ an Exploits • Auftragsproduktionen westlicher Geheimdienste werden seit Sommer 2008 überwiegend in Minsk durchgeführt • Kooperationsprojekte westlicher Geheimdienste mit israelischen Entwicklern nehmen zu
  4. 4. Spionage-Mittel • Remote Forensic Software • SQL-Injection • Man-in-the-Middle-Atacken • Denial-of-Service-Attacken • Data Links zu Remote Terminal Units • Honeypots • Spezifisch angepasste Malware für den Datentransfer und für die Datenmanipulation
  5. 5. Das Vorgehen • Zielbereich der IP-Adressen festlegen • Verifikation mit Ping und Traceroute • Ermittlung offener Ports • Ermittlung verwendeter Protokolle • Offene Ports können prinzipiell belauscht werden • Analyse aller Verbindungen von und zu einem bestimmten Port • Netzwerküberwachung mit „wireshark“ möglich • Auswertung der Knotenrechner via telnet und aufgesetzten Tools möglich
  6. 6. Netzwerküberwachung mit wireshark Alternative: paketyzer
  7. 7. Forensische Tools • Open Source Autopsy Fire Sleuth Kit • Kommerziell Encase Safeback Smart
  8. 8. Die Strategie von Qiao Liang und Wang Yiangsui • Intern: Projekt Great Wall mit umfassender Proxy-Server-Struktur • Extern: Trapdoors in Routern und umfassende Port-Überwachung mit Gesamt-Scans • Umsetzung: u.a. Bundeskanzleramt 2007 • Methode: Spinageangriff auf HTTPS- und SOCKS-Proxys • Beispiel: Einsatz normaler Spam- und Virenscanner • Durchführung: Spam-Assassin Modul FuzzyOCR liest Datenpäckchen aus (Konfiguration entweder Header oder Gesamtscan) – Kombination mit Tcpdump bzw. Wireshark und Nmap • Diagnosemöglichkeit: autopsisch oder bei Fehlerverhalten • Fehlerverhalten: RFC822-Meldung „verbotener Zugriff“, wenn FuzzyOCR gekoppelt ist mit „Follow TCP Stream“ von Wireshark, um Pakete von einer best. IP-Adresse im Klartext mitzulesen
  9. 9. Das Duo fatale: Follow TCP Stream und Spam-Assassin
  10. 10. Der direkte „Nutzwert“ • Angezeigt werden alle in den Paketen abgelegten Informationen • Darstellung in ASCII erlaubt das direkte Mitlesen • Bei Verschlüsselung wird „John the Ripper“ aus der Metasploit-Sammlung eingesetzt – wirksame Decryption • Scan läuft automatisiert
  11. 11. Forensische und diagnostische Möglichkeiten • Häufigster Einsatz in Zusammenhang mit Spam- Assassin als „Auswertungsscript“ • Scriptfolge: Bei Übergabe von „Mail-Port“ an „Prüf-Port“ • Bei Übergabe von Adresse nach RFC-822 und IP- Adresse (v4) an Script für die Übergabe an „Follow TCP Stream“ von Wireshark ist eine falsche Datenfeldzuordnung häufiger beobachtet worden • Ursache: unsaubere Scriptprogrammierung • Verdacht: Fehlermeldung des Postmasters: „Delivery to this adress is restricted“ mit Resolver-Meldung „rfc822 vorname.nachname@server.com“
  12. 12. Schlussbemerkungen • Jede Software unterliegt dem „dual use“ • Jede „Verteidigungswaffe“ gegen organisierte Kriminalität ist auch immer eine Angriffswaffe und ein Spionage-Tool • Wirksamen Schutz garantiert nur die rückhaltlose Veröffentlichung aller entdeckten Sicherheitslücken • Die derzeitige Sicherheitsdoktrin basiert auf Geheimhaltung entdeckter Sicherheitslücken; dadurch wird ein erhebliches Sicherheitsrisiko geschaffen
  13. 13. Kritik, Anregungen, Fragen ? peter@welchering.de auf Twitter: @welchering www.welchering.de oder voice to voice: 0171-5135624

×