Heimliche Online-Durchsuchung - EDV
Werbung
Heimliche Online-Durchsuchung Anlass, Technik und Folgen 24. September 2009 EDV-Gerichtstag Saarbrücken Prof. Dr. Hartmut Pohl Online-Durchsuchung Remote Forensic Software: „verdeckte Suche … nach verfahrensrelevanten Inhalten“ Online-Durchsicht „einmalig“ Online Überwachung “auf eine gewisse Dauer angelegt“ Quellen-TKÜ „Erhebung gespeicherter Telekommunikationsinhalte“ Definitionen zitiert aus dem Schreiben des BMI vom 22. August 2007 © Hartmut Pohl Online-Durchsuchung Remote Forensic Software: „verdeckte Suche … nach verfahrensrelevanten Inhalten“ Ziel: „ A lle IT-Sy R stem Reecch eem h n n e mb e rr,, N e“ beeddddee Neettzzee, dd S Online-Durchsicht „einmalig“ Syysstteem ,S Seerrvveer m R s Roou r,, s w wiiee H utteerr,, S H a a n Sw wiittcch heess,, In nddyy,, PPD DA A,, … Intteerrn … neett Online Überwachung “auf eine gewisse Dauer angelegt“ Quellen-TKÜ „Erhebung gespeicherter Telekommunikationsinhalte“ © Hartmut Pohl Online-Durchsuchung Remote Forensic Software: „verdeckte Suche … nach verfahrensrelevanten Inhalten“ Ziel: Alle IT-Systeme Rechner, Rechner, Netze, Netze, Server, Server, Clients, Clients, Router, Router, Switches Switches Online-Durchsicht Lokale Lokale Netze, Netze, IntraIntra- und und Extranets, Extranets, Internet Internet „einmalig“ embedded embedded Systems: Systems: Handy, Handy, Smart Smart Phones, Phones, PDA, PDA, … … generell alle generell alle ans ans Internet Internet direkt direkt oder oder indirekt indirekt angeschlossenen angeschlossenen Systeme Systeme mit mit Online Überwachung eingebautem Computer eingebautem Computer “auf eine gewisse Dauer angelegt“ Quellen-TKÜ „Erhebung gespeicherter Telekommunikationsinhalte“ Intelligenter Stromzähler, … © Hartmut Pohl Grundregel: Software is not bug-free Software contains security bugs © Hartmut Pohl Angriffspunkt: Eingabeschnittstellen Attack Paths Data © Hartmut Pohl Attack Surface, Attack Paths Attack Paths Organisation Attack Surface Information System Permitted Ports Firewall, Intrusion Detection, … Patched Patched Vulnerabilities Vulnerabilities Unpatched Unpatched or or unpublished unpublished Vulnerabilities. Vulnerabilities. Obfuscation Obfuscation COTS: COTS: Applications, Applications, Servers, Servers, … … SQL, SQL, IIS, IIS, Mails, Mails, FTP, FTP, … … CRM CRM Assets - Data Anti-Virus Software, Worms Verschlüsselung, Schlüssel © Hartmut Pohl Unveröffentlichte Sicherheitslücken Less-Than-Zero-Day-Exploits Sicherheitslücken seit Auslieferung der Software Angriffe sind nicht erkennbar Was man nicht kennt, bemerkt man nicht und was man nicht kennt, kann man nicht suchen © Hartmut Pohl Unveröffentlichte Sicherheitslücken Less-Than-Zero-Day-Exploits Steal th -A n griffe Sicherheitslücken seit Auslieferung der Software Angriffe sind nicht erkennbar Was man nicht kennt, bemerkt man nicht und was man nicht kennt, kann man nicht suchen © Hartmut Pohl Lifecycle of Vulnerabilities Vulnerability-free Phase - seemingly Product Shipment Fix, Patch, Update, Version … © Hartmut Pohl Lifecycle of Vulnerabilities Vulnerability-free Phase - seemingly Product Shipment Vulnerability discovered and used Vulnerability fully disclosed: Manufacturer … Vulnerability discovered Fix, Patch, Update, Version … © Hartmut Pohl Lifecycle of Vulnerabilities Vulnerability-free Phase - seemingly Product Shipment Vulnerability discovered and used Vulnerability fully disclosed: Manufacturer … Vulnerability discovered Vulnerability published Exploit published Patch published Zero Day Fix, Patch, Update, Version … © Hartmut Pohl Lifecycle of Vulnerabilities Vulnerability-free Phase - seemingly Product Shipment Vulnerability discovered and used Vulnerability fully disclosed: Manufacturer … Vulnerability discovered Vulnerability published Exploit published Less-Than-Zero-Day Vulnerability Patch published Patched System Zero-Day Vulnerability Zero Day Fix, Patch, Update, Version … © Hartmut Pohl Lifecycle of Vulnerabilities Vulnerability-free Phase - seemingly Stealth Like Attack Vulnerability fully disclosed: Vulnerability discovered and used Manufacturer … Product Shipment Vulnerability published Exploit published Less-Than-Zero-Day Vulnerability Patch published Patched System Zero-Day Vulnerability Zero Day Fix, Patch, Update, Version … © Hartmut Pohl Patch Management In the first half of 2007: 3.273 vulnerabilities published 90 % exploited remotely (internet) > 50 % access control rights for administrators 20 % not patched: Microsoft, Apple, Oracle, Cisco und Sun 60 % not patched: Others Patch development: Average time 21 days Microsoft 101 days HP 122 days Sun © Hartmut Pohl Tool Kits Vulnerability Detection and Exploit Development Fuzzers Random numbers as input (brute force) for a given system, protocol or application. Seek to cause abnormal behaviour in the protocol or application possibly indicating a software bug Metasploit Framework Collection of ‘instant’ exploits available in Tool Kits e.g. develop and use exploits, contains shellcode-archive. CANVAS Core Impact WebAttacker … © Hartmut Pohl 1. Regel Alle Zugriffsrechte (Admin) ohne Nutzung von Viren, Würmern, Trojanischen Pferden … Lesen (Spionage) und Schreiben (Sabotage) © Hartmut Pohl Ni c h t erken grds. nbare erfolg := reiche Angri ffe ! 1. Regel Alle Zugriffsrechte (Admin) ohne Nutzung von Viren, Würmern, Trojanischen Pferden … Lesen (Spionage) und Schreiben (Sabotage) © Hartmut Pohl Herr Herr Preatoni Preatoni … … 2. Regel Markt für unveröffentlichte Sicherheitslücken © Hartmut Pohl Käufer, Nutzer, Preise Organized crime Companies Intelligence Services : CIA, Mossad, FSB, … Ö Wirtschaftsspionage, politische Spionage Ö Sabotage 20.000.- € - 400.000.- € © Hartmut Pohl Interessierte Behörden Polizei: LKÄ, BKA Verfassungsschutz: LfV, BfV Bundesnachrichtendienst Zoll: … © Hartmut Pohl Bisherige Online-Durchsuchungen 12 Fälle insgesamt (BND) – davon 3 in Amtshilfe für das BfV 11 Ausnutzung unveröffentlichter Sicherheitslücken 1 mißlungen: E-Mail, CD, (ISP) Mehrere Quellen-TKÜ bei Landeskriminalämtern und Zoll Stand: Oktober 2007 © Hartmut Pohl BSI: CERT-Bund: Vulnerabilities Meldungen pro Monat (Oktober 2008): ~ 101 Davon remote (Internet): Risikobewertung: gering 35 %, mittel 35 %, Common Vulnerabilities and Exposures - CVE (Mitre) Ö Veröffentlichung anderer Veröffentlichungen 80 % hoch 30 % © Hartmut Pohl 3. Regel Behörden veröffentlichen alte Sicherheitslücken © Hartmut Pohl Regel 3a Behörden dürfen unveröffentlichte Sicherheitslücken verschweigen © Hartmut Pohl Regel 3b Behörden verschweigen unveröffentlichte Sicherheitslücken © Hartmut Pohl © Hartmut Pohl 4. Regel Hersteller implementieren unveröffentlichte Hintertüren © Hartmut Pohl Zusammenfassung: 4 Regeln 0. Software contains security bugs u.a.: Unveröffentlichte Sicherheitslücken 1. Alle Angriffe sind grundsätzlich erfolgreich! Alle Zugriffsrechte (Admin): Lesen (Spionage) und Schreiben (Sabotage) ohne Viren, Würmer, Trojanische Pferde … 2. Markt für unveröffentlichte Sicherheitslücken Behörden unterstützen diesen Markt 3. Behörden veröffentlichen alte - aber verschweigen unveröffentlichte Sicherheitslücken 4. Hersteller implementieren unveröffentlichte Hintertüren © Hartmut Pohl Herr Herr Preatoni Preatoni … … © Hartmut Pohl Herr Herr Preatoni Preatoni … … © Hartmut Pohl Titan Rain Moonlight Maze, … Seit 2003 mit steigender Intensität (China) … 2009? Erfolgreiche Angriffe gg. Unternehmen in > 50 Ländern Unternehmen und Regierungen von > 50 Ländern Systematisches, organisiertes Vorgehen: Exploits, Trojan horse, keystroke logger, system monitor - ¬ Bürostunden Network Crack Program Hacker group (NCPH): 4 core programmers, 10 associates, manager: ‘Wicked Rose’ counter-hacked by Shawn Carpenter Verschlußsache in den USA und Deutschland (7/2007), © Hartmut Pohl © Hartmut Pohl Secure Software Development Lifecycle Tasks and Processes Requirements Security Security Requirements Requirements Assessment Assessment Use Use Cases Cases Design Design Security Security Architecture, Architecture, Design, Design, Best Best Practice Practice Risk Risk Analysis Analysis Implementation Verification Verification Security Documentation && Tests Security Development Development Documentation Tests Security Security Review Review Tools, Tools, Code Code Generation Generation Static Static Analysis: Analysis: Source Source Code Code Analysis Analysis (white (white box) box) Exploiting Exploiting Frameworks Frameworks Security Security Training Training Threat Threat Modeling Modeling Release Release Dynamic Dynamic Analysis: Analysis: Last-Tests Last-Tests (black (black box) box) Support Support & & Servicing Servicing Security Security Servicing, Servicing, Field Field Feedback, Feedback, Response Response Execution, Execution, Patch Patch Management Management Final Final Security Security Review, Review, Code Code Signing Signing Fuzzing Fuzzing Security Security Architecture, Architecture, Black/White Black/White Box Box Abuse Cases, Risk Analysis, Abuse Cases, Risk Analysis, Attack Attack Surface Surface Minimalisation Minimalisation © Hartmut Pohl IT-Sicherheitsberatung 1. Management Consulting (ISO 2700x) Richtlinienwerke, Policies: Passwort, Firewall, WLAN, … Business Continuity Überprüfung der praktischen Informationssicherheit vor Ort: Passwörter, Firewalls, Server und Clients, Intrusion Detection Systems, … 2. Sensibilisierung und Awareness, Aus- und Weiterbildung 3. Penetration Testing 4. Threat Modeling und Fuzzing 5. Forensics 6. - Port- und Protokoll-Scans Vulnerability Scans Exploiting Remote und intern Handlungsempfehlungen Erkennen nicht-erkannter Fehler und Sicherheitslücken in Software Erkennung und Nachweis doloser Handlungen in Computern und Netzen: Innen- und Außentäter Coaching IT-Sicherheitsbeauftragte, Outsourcing, … © Hartmut Pohl Heimliche Online-Durchsuchung := Ausnutzung unveröffentlichter Sicherheitslücken © Hartmut Pohl Kontakt Prof. Dr. Hartmut Pohl Hochschule Bonn-Rhein-Sieg, Informationssicherheit http://www.inf.h-bonn-rhein-sieg.de/Pohl [email protected] Tel.: 0221 - 4847 - 553 © Hartmut Pohl
