Browser Poisoning oder vertrauen Sie Ihrem Internet Explorer / Firefox / Safari ? Rolf Gartmann [email protected] informatica08, „Internet Kriminalität“ 6. März 2008 Agenda • Motivation & Ziele • Übersicht E-Banking • Angriffsvarianten • Mögliches Szenario: Browser Poisoning • Demonstration • Schutzmassnahmen • Diskussion © 2008 SWITCH 3 Motivation • Als Mitglied eines CERT (Computer Emergency Response Team) generelles Interesse an neuesten Angriffsvarianten im Internet Umfeld • Eine Antwort auf die Frage finden (2006): „was könnten zukünftige Bedrohungen für e-Banking sein ?“ • Unterstützung Sektor Finanz im Rahmen CIIP Mandats (Critical Information Infrastructure Protection) • Problematik weitervermitteln anhand einer Demonstration (Bilder sagen mehr als 1000 Worte) © 2008 SWITCH 4 Ziele • Einen Blick hinter die Kulissen werfen • Verständnis vermitteln, wie Angriffe funktionieren • Bewusstsein von möglichen Gefahren stärken • Sensibilisierung für den Umgang mit dem Medium Internet • Umsetzbare Schutzmassnahmen aufzeigen © 2008 SWITCH 6 Übersicht e-Banking • Grundlage der Überlegungen bilden die heute üblicherweise verwendeten e-Banking Architekturen: - Client: Web Browser (Internet Explorer, Firefox) - Server: Web Applikation e-Banking Applikation Kunden PC © 2008 SWITCH 7 Ablauf e-Banking e-Banking Applikation Kundensystem Zahlungstransaktion: Name Empfänger, Konto Nummer, Betrag, etc Status Report: Name Empfänger, Konto#, Betrag, etc Zahlungsbestätigung t Empfangsbestätigung Gesicherter Kommunikationskanal (https) © 2008 SWITCH 8 Angriffsvarianten e-Banking Applikation Kundensystem Gesicherter Kommunikationskanal (https) © 2008 SWITCH Web Firewall Applikation Firewall 9 Angriffsvarianten • Kundensystem ist schwächstes Glied in dieser Kette • Einfachster Angriffspunkt © 2008 SWITCH 10 Angriffsvarianten Social Engineering: z.B “Ihr System ist infiziert, bitte installieren Sie folgende Software …” “Drive-by” Angriffspfad © 2008 SWITCH 11 Browser Manipulation • Heutige Web Browser (Internet Explorer, Firefox, etc) sind sehr modular Trauen Sie Ihrem Browser ? © 2008 SWITCH 13 Einfluss der Browser Poisoning Attacke Browser beim Kunden Zahlungstransaktion Manip. Zahlungstransaktion Veränd. Empfängername (B), Empfängername (A), Konto#(123), Betrag (250), veränd. Konto# (444), veränd. Betrag (545), etc etc Manip. Status E-Banking Applikation Zugehörig. Status Empfängername (A), Empfängername (B), Konto# Konto# (123), Betrag (250), (444), Betrag (545), etc etc Zahlungsbestätigung t Empfangsbestätigung Einflussbereich des Browser Poisoning (BHO) © 2008 SWITCH 14 Demonstration • Vereinfachte Darstellung einer e-Banking Applikation • Infektion des Systems – „Drive-by Infection“ – Quicktime Software Schwachstelle (QuickTime RTSP "Content-Type"-Header Pufferüberlauf) – Installation der Malware als Browser Helper Object (IE) • Was sieht der Kunde, was sieht die Bank © 2008 SWITCH 15 Demonstration © 2008 SWITCH 16 Schutzmassnahmen • Patchen • Patchen • Patchen (v.a auch Applikationen wie Acrobat Reader, Quicktime, etc) • Aktuelle Antivirenlösung (mit aktuellen Erkennungssignaturen) • Firewall aktivieren (Sicherheitseinstellungen) • Sorgfältiger Umgang mit dem Medium Internet • Patchen © 2008 SWITCH 17 Schutzmassnahmen II • Landwirtschaft: Monokultur risikoreich • Keine Administratoren Rechte • Live CDs © 2008 SWITCH 18 Fragen / Diskussion Danke für Ihre Aufmerksamkeit und „safe Netsurfing“ © 2008 SWITCH 19