Losses resulting from Fraud, Espionage and Malware Daniel Eisenring Petra Lustenberger Marcel Lanz Gliederung • Einleitung anhand Beispielen, Definitionen Statistiken, • Wirtschaftliche Aspekte • Technische Aspekte • Gegenmassnahmen, Ausblick Einleitung-Spionage • Beispiel Spionage Spionage-Definition • (Industrie)Spionage • Elektronische Aktivitäten • Menschliche Aktivitäten Einleitung-Fraud • Beispiel Fraud Beispiel von: Auktionen: Vorsicht Trickbetrüger Monika Berger-Lenz 04.01.2000 Heise.de www.docusearch.com/menu.html Fraud-Definition • Fraud Einleitung-Malware • Beispiel Malware Malware-Definition Malware = malicious und Software „The Problem of Categorising Cybercrime and Cyberciminals“, S.M. Furnell Statistiken • Fraud, siehe internet_scams_halfyear_2005.pdf Statistiken • Malware http://infosecuritymag.techtarget.com/2003/apr/virussurvey.shtml http://infosecuritymag.techtarget.com/2003/apr/virussurvey.shtml Wirtschaftliche Aspekte • Arten von Verlusten, siehe auch Auswirkungen Viren (Folie vorher) Teil 2 Begriff Malware Beispiele für Attacken: Phising und DoS Malware • Malware: „Malicious Software“ • Ziel: Schaden anrichten Manipulation oder Löschen von Dateien Überwindung von Sicherheitseinrichtungen Überlasten von Diensten Diebstahl von Informationen Typen von Malware • • • • • • Virus* Wurm* Wabbit Trojanisches Pferd Backdoor Spyware* • • • • • • Key Logger Dialers Browser Hijacker Exploit Rootkit ... Virus: Allgemein • Eigenschaften: Software Replizierend Breiten sich aus Benötigen einen Wirt • Vergleich zur Biologie: Wirt oder Host Infektion Viren: Schädlichkeit & Risiko • Schädlichkeit: Viren können mit Schadfunktionen versehen Risiko: Zunahme der Vernetzung Je größer die Anzahl der gemeinsam genutzten Dateien, desto größer ist auch das Risiko einer Infektion durch Viren Viren: Infektion vs. Ausbruch • Infektion: Ein Virus gelangt in ein System und vermehrt sich • Ausbruch (Aktivierung): Der Virus macht sich bemerkbar in irgendeiner Form Virus: Ausbruch • Schadfunktionen: Time bomb: Der Ausbruch findet statt, nach Erreichung eines Zeitpunktes Logic bomb (trigger): Nach Ausführung eines bestimmten Vorgangs des Benutzers Nach Durchführung eines Prozesses Computerwurm • Eigenschaften: Replizierend Breiten sich aus Eigenständige Programme • Tarnung • Ähnlichkeiten mit Virus, aber.. Viren und Würmer Würmer: Viren: • Ein Computerwurm • Ein Virus ist in einer besteht aus einem in ausführbaren Datei sich geschlossenen (Wirt) integriert und ist Programm. somit Teil einer schon bestehenden Programmroutine wird. Wurm: Typen (1) • Verbreitung durch E-Mail: Der Wurm verschickt eine Kopie von sich als E-MailAnhang Doppelte Dateinamenerweiterung (musik.mp3.exe) Wenig bekannte Dateiendungen (.scr, .pif) Unzugängliche Formate (.zip) • Automatisches Ausführen Müssen vom User nicht ausgeführt werden -> Sicherheitslücken Bsp. Im Betriebssystem: Ausnutzung einer Sicherheitslücke in der RPC- Schnittstelle von Windows Bsp. MS Blaster: W32.Blaster, W32.Lovsan, MSBlast Wurm: Typen (2) • Instant Messaging-Würmer Der Wurm verbreitet sich, indem er allen Kontakten, einen Link zu einer Seite schickt, welche den Wurm enthält • P2P-Würmer Wurm kopiert sich in freigegebene Ordner, von dem andere User Dateien downloaden können Bei jeder Suchabfrage wird infizierte Datei angezeigt • Handy-Würmer Phishing • Phishing: Password, Harvesting, Fishing • Ziel: Zugangsdaten gewinnen Banken (online banking) Versandhäuser Internet Auktionshäuser usw. • Identity theft: Mit den gestohlenen Daten kann die Identität des Opfers übernommen werden Phishing: Methoden • E-Mail Mit Link zur gefälschten Website Fordert Kunde auf, dem Link zu folgen • Gefälschte Website Imitiert die originale Website Falsche Adresszeile im Browser http://217.257.123.67/security/ http://www.security-mybank.ch/ http://www.juliusbär.ch statt http://www.juliusbaer.ch Pharming • Pharming: Server-Farmen mit gefälschten Websites • Manipulation der Hostdatei von Webbrowsern, um Anfragen auf gefälschte Webseiten umzuleiten • Oberbegriff für verschiedene Arten von DNS-Angriffen • Fortentwicklung des klassischen Phishings DoS (1) • DoS: Denial of Service Angriff auf Server mit dem Ziel ihn arbeitsunfähig zu machen Bsp. Überlastung seiner Dienste Mittel: Backdoors • DDoS: Distributed DoS Angriff ausgehend von mehreren System DoS (2) • Einfache DoS-Angriffe auf HTTP-Server: Grosse Anzahl Anfrage führt den Server an Grenzen Verarbeitung sehr langsam Der Dienst wird gänzlich unterbrochen • Effizierer Weg: Ausnutzen von Programmfehlern Fehlerfunktion löst Absturz des Servers aus Teil 3 Defense and Detection of Intrusions and Malware & Vulnerability Petra Lustenberger Defensive Massnahmen • Ausblick • Welche Gegen- und Schutz-Massnahmen können unternommen werden? • Verschiedenste Verbesserungs-Ansätze Unterscheidung Angriffs-Arten Nach Richtung des Angriffs: • von innen: eigene Mitarbeiter Fraud • von „aussen“: Gezielte Attacken -Hacker, Phishing, Sniffing, Malware • wie auch immer --> Losses Defensive Protection Das Informationssicherheits-Modell ® Umfassender Ansatz Quelle: Data Mining, Intrusion Detection, Information Assurance, and Data Networks Security 2005, Information Risk and Security Modelling, Predrag Zivic Massnahmen Können auf verschiedenen Ebenen ansetzen: • • • • Organisatorisch Hardware Infrastruktur Strategisch Firewalls • engl. Feuerwand“ • System aus Software- und HardwareKomponenten, das den Zugriff zwischen verschiedenen Rechnernetzen beschränkt, um ein Sicherheitskonzept umzusetzen • Ein häufiger Einsatzzweck: den Datenverkehr zwischen einem zu schützenden lokalen Netzwerk (LAN) und dem Internet zu kontrollieren. Firewalls • Hardwarekomponenten: Rechner mit Netzwerkschnittstellen z.B. Router / Hosts • Softwarekomponenten: z.B. Paketfilter oder Proxyserver Arten: • Host-Firewall (Software) • Netzwerk-Firewall (Hardware) • Filter: Paket, Content, Proxy Firewall ein einfaches Bsp. • Firma möchte ihre Arbeitsplatzrechner ins Internet bringen. Quelle: wikipedia.org IDS • Intrusion Detection System • Programm, dient der Erkennung von Angriffen auf einem Computersystem oder -netz • Richtig eingesetzt, ergänzen sich eine Firewall und ein IDS und erhöhen so die Sicherheit von Netzwerken. • Unterscheidung: netzwerkbasierte (NIDS) und hostbasierte Intrusion Detection Systeme (HIDS). IDS: Funktionsweise Bild-Quelle: Wikipedia.org Zwei IDS-Arten NIDS (Netzwerkbasiert) : • Pakete im Netzwerk aufzeichnen, analysieren und verdächtige Aktivitäten melden. • Angriffsmuster-Erkennung aus dem Netzwerkverkehr HIDS (Hostbasierte) : • muss auf jedem zu überwachenden System installiert werden und Betriebssystem unterstützen. • Schlägt Alarm, sobald vermeintlichen Angriff erkannt Honeypots • Engl. Honigtopf • Dienst, der die Aufgabe hat, Angriffe auf ein Netzwerk zu protokollieren. • Programm für (ein/mehrere Dienste) zur Verfügung, oder ein Server. • Überwachung eines Netzwerkes Grundidee Honeypots (1) • Installation Honeypot(s) im Netzwerk • unbekannt für den legitimen Netznutzern • von Usern niemals angesprochen Angreifer: • kann nicht zwischen echten Servern/Programmen und Honeypots unterscheiden • untersucht routinemäßig alle Netzkomponenenten auf Schwachstellen Grundidee Honeypots (2) Angreifer: • Nimmt früher oder später die von einem Honeypot angebotenen Dienste in Anspruch • Wird dabei von dem Honeypot protokolliert • Die bloße Tatsache: • Kommunikations-Versuch mit Honeypot, wird als potentieller A iff b t ht t Honeypot-Programms Mittels eines Honeypot-Programms Simulierung von: • Netzwerkdienste (Mail-Server, Datei-Server, ...) • eines einzelnen Rechners oder sogar ein vollständiges Netzwerk • Erfolgt ein unberechtigter Zugriff auf einen derartigen virtuellen Dienst, werden alle ausgeführten Aktionen protokolliert und gegebenenfalls ein Alarm ausgelöst Versch. Honeypot-Typen • Low-Interaction Honeypots (Software) Honeyd Mwcollect Nepenthes MultiPot • High-Interaction Honeypots (Vollständige Server mit Diensten) • Tarpits (engl. Teergruben) Tabelle Defense Massnahmen Organisatorisch Hardware Infrastruktur Strategisch Computerwurm Schutz vor social Engineering Rechte-Trennung d es Betriebsystems Personal Firewalls (Paket-Filter) Honeypo t(s) Virenscanner Personal Firewalls (Paket-Filter) Honeypo t(s) Reduktion von Sicherheitslücken in Anwendung en Trojaner Awareness gegen Malware Phishing Briefpost Bookmarks Zertifikate Awareness Anti-VirenProgramme Personal Firewalls Alternative Browser Fingerprints Alternative Browser Fazit • Um so mehr Ebenen (Organisatorisch, Hardware, Infrastruktur und Strategisch) prophylaktisch wirken desto defensiver ist der defensive Ansatz • Nebst der besten defensiven Software- und HardwareGegenmassnahmen sind der Mensch und menschliche „Schwächen“ noch immer Haupt-Angriffsflächen für Fraud, Maleware und Losses • Organisatorische und strategische Massnahmen steigern die menschliche Awareness Losses resulting from Fraud, Espionage and Malware Talk, 45 min Thema 1.1 • Wie sieht die Zukunft aus? Vernetzung hat zugenommen Grosser Datenaustausch --> Internet = Risiko? Thema 1.2 • Was lässt sich dagegen tun? Präventiv Internationales Recht Thema 1.3 • Was kann man gegen Phishing tun? Thema 2 Mobile Telefone und Malware Mobile Telefone und Malware • Beispiel Trojaner fürs Handy: Fontal.A. „mobile malware“ • Eigene Erfahrungen? • Grössere Gefahr durch Verlust oder Diebstahl? Thema 3 (Talk) • Mensch als schwächstes Glied „The need for security“, Course Technology, p 6 Beispiel-Szenario Breitbandanschluss der Firma: • Nicht 100%ig ausgelastet ( Filesharing ( Instant Messaging ( Herunterladen / ( Installierung kostenloser Programme Herr Meier: • Loyal • Sachbearbeiter Die Folge: Spyware im Firmennetzwerk Quelle: Business Security & Enterprise Policy: Risikofaktor Mensch, Interview mit Marcus Izmir, Ersch.Datum: 06.09.2005, Output 9/05 Talk 3: Facts & Statements I Angriffe / Intrusions: • 80 Prozent aller Intrusions von innen - also nur 20% von außen (Gartner-Studie) Systemimmanenter Grund: »Je sicherer technische Systeme werden, desto mehr wird der Mensch zu einem zentralen Risikofaktor« (Heinrich Kuhn von der Zürcher Hochschule Winterthur) Schwächstes Glied Mensch: • 70 Prozent aller Unfälle im Bereich Luftfahrt auf menschliches Versagen zurückzuführen (Bsp. Luftfahrt) Bsp. Aus Quelle: Business Security & Enterprise Policy: Risikofaktor Mensch, Interview mit Marcus Izmir, Ersch.Datum: 06.09.2005, Output 9/05 Talk 3: Facts & Statements II Mitarbeiter werden unterschätzt: • »Unsere Mitarbeiter haben kein so hohes kriminelles Potenzial.« (Chief Security Officer auf Frage, wie sich das Unternehmen gegen die Bedrohung von innen schütze) • Potential Motive: Frustration, überzogener Ehrgeiz oder Unterbezahlung Fehlende Awareness: • vorallem Männer sind bereit Risiken einzugehen: „Herr Meier“ (Aktuelle Studien von SurfControl und Meetbiz-Research) • Allein 70 Prozent der Angestellten erledigen ihr OnlineBanking vom Büro aus Bsp. Aus Quelle: Business Security & Enterprise Policy: Risikofaktor Mensch, Interview mit Marcus Izmir, Ersch.Datum: 06.09.2005, Output 9/05 Talk 3 Questions: Business Security & Enterprise Policy hat einen oft unterschätzten: »Risikofaktor Mensch« • Wird das Thema gerne unter den Teppich gekehrt ? • Mitarbeiter stellen eine potenzielle Gefahr dar - warum oder warum nicht ? • Gibt es sinnvolle Gegenstrategien ?