Losses resulting from Fraud, Espionage and Malware

Losses resulting from
Fraud, Espionage and
Malware
Daniel Eisenring
Petra Lustenberger
Marcel Lanz
Gliederung
• Einleitung anhand Beispielen, Definitionen
Statistiken,
• Wirtschaftliche Aspekte
• Technische Aspekte
• Gegenmassnahmen, Ausblick
Einleitung-Spionage
• Beispiel Spionage
Spionage-Definition
• (Industrie)Spionage
• Elektronische Aktivitäten
• Menschliche Aktivitäten
Einleitung-Fraud
• Beispiel Fraud
Beispiel von: Auktionen: Vorsicht Trickbetrüger
Monika Berger-Lenz 04.01.2000
Heise.de
www.docusearch.com/menu.html
Fraud-Definition
• Fraud
Einleitung-Malware
• Beispiel Malware
Malware-Definition
Malware = malicious und Software
„The Problem of Categorising Cybercrime and Cyberciminals“, S.M. Furnell
Statistiken
• Fraud, siehe internet_scams_halfyear_2005.pdf
Statistiken
• Malware
http://infosecuritymag.techtarget.com/2003/apr/virussurvey.shtml
http://infosecuritymag.techtarget.com/2003/apr/virussurvey.shtml
Wirtschaftliche Aspekte
• Arten von Verlusten, siehe auch
Auswirkungen Viren (Folie vorher)
Teil 2
Begriff Malware
Beispiele für Attacken:
Phising und DoS
Malware
• Malware: „Malicious Software“
• Ziel: Schaden anrichten
Š Manipulation oder Löschen von Dateien
Š Überwindung von Sicherheitseinrichtungen
Š Überlasten von Diensten
Š Diebstahl von Informationen
Typen von Malware
•
•
•
•
•
•
Virus*
Wurm*
Wabbit
Trojanisches Pferd
Backdoor
Spyware*
•
•
•
•
•
•
Key Logger
Dialers
Browser Hijacker
Exploit
Rootkit
...
Virus: Allgemein
• Eigenschaften:
Š Software
Š Replizierend
Š Breiten sich aus
Š Benötigen einen Wirt
• Vergleich zur Biologie:
Š Wirt oder Host
Š Infektion
Viren: Schädlichkeit &
Risiko
• Schädlichkeit:
Š Viren können mit Schadfunktionen
versehen
Š Risiko:
ƒ Zunahme der Vernetzung
ƒ Je größer die Anzahl der gemeinsam genutzten
Dateien, desto größer ist auch das Risiko einer
Infektion durch Viren
Viren: Infektion vs. Ausbruch
• Infektion: Ein Virus gelangt in ein
System und vermehrt sich
• Ausbruch (Aktivierung): Der Virus macht
sich bemerkbar in irgendeiner Form
Virus: Ausbruch
• Schadfunktionen:
Š Time bomb: Der Ausbruch findet statt, nach
Erreichung eines Zeitpunktes
Š Logic bomb (trigger):
ƒ Nach Ausführung eines bestimmten Vorgangs des
Benutzers
ƒ Nach Durchführung eines Prozesses
Computerwurm
• Eigenschaften:
Š Replizierend
Š Breiten sich aus
Š Eigenständige Programme
• Tarnung
• Ähnlichkeiten mit Virus, aber..
Viren und Würmer
Würmer:
Viren:
• Ein Computerwurm
• Ein Virus ist in einer
besteht aus einem in
ausführbaren Datei
sich geschlossenen
(Wirt) integriert und ist
Programm.
somit Teil einer schon
bestehenden
Programmroutine
wird.
Wurm: Typen (1)
• Verbreitung durch E-Mail:
Š Der Wurm verschickt eine Kopie von sich als E-MailAnhang
ƒ Doppelte Dateinamenerweiterung (musik.mp3.exe)
ƒ Wenig bekannte Dateiendungen (.scr, .pif)
ƒ Unzugängliche Formate (.zip)
• Automatisches Ausführen
Š Müssen vom User nicht ausgeführt werden ->
Sicherheitslücken
Š Bsp. Im Betriebssystem:
ƒ Ausnutzung einer Sicherheitslücke in der RPC- Schnittstelle
von Windows
ƒ Bsp. MS Blaster: W32.Blaster, W32.Lovsan, MSBlast
Wurm: Typen (2)
• Instant Messaging-Würmer
Š Der Wurm verbreitet sich, indem er allen
Kontakten, einen Link zu einer Seite
schickt, welche den Wurm enthält
• P2P-Würmer
Š Wurm kopiert sich in freigegebene Ordner,
von dem andere User Dateien downloaden
können
Š Bei jeder Suchabfrage wird infizierte Datei
angezeigt
• Handy-Würmer
Phishing
• Phishing: Password, Harvesting,
Fishing
• Ziel: Zugangsdaten gewinnen
Š Banken (online banking)
Š Versandhäuser
Š Internet Auktionshäuser
Š usw.
• Identity theft: Mit den gestohlenen
Daten kann die Identität des Opfers
übernommen werden
Phishing: Methoden
•
E-Mail
Š Mit Link zur gefälschten Website
Š Fordert Kunde auf, dem Link zu folgen
•
Gefälschte Website
Š Imitiert die originale Website
Š Falsche Adresszeile im Browser
ƒ
ƒ
ƒ
http://217.257.123.67/security/
http://www.security-mybank.ch/
http://www.juliusbär.ch statt
http://www.juliusbaer.ch
Pharming
• Pharming: Server-Farmen mit gefälschten
Websites
• Manipulation der Hostdatei von
Webbrowsern, um Anfragen auf gefälschte
Webseiten umzuleiten
• Oberbegriff für verschiedene Arten von
DNS-Angriffen
• Fortentwicklung des klassischen Phishings
DoS (1)
• DoS: Denial of Service
Š Angriff auf Server mit dem Ziel ihn
arbeitsunfähig zu machen
Š Bsp. Überlastung seiner Dienste
Š Mittel: Backdoors
• DDoS: Distributed DoS
Š Angriff ausgehend von mehreren System
DoS (2)
• Einfache DoS-Angriffe auf HTTP-Server:
Š Grosse Anzahl Anfrage führt den Server an
Grenzen
ƒ Verarbeitung sehr langsam
ƒ Der Dienst wird gänzlich unterbrochen
• Effizierer Weg:
Š Ausnutzen von Programmfehlern
ƒ Fehlerfunktion löst Absturz des Servers aus
Teil 3
Defense and Detection of
Intrusions and Malware &
Vulnerability
Petra Lustenberger
Defensive Massnahmen
• Ausblick
• Welche Gegen- und Schutz-Massnahmen
können unternommen werden?
• Verschiedenste Verbesserungs-Ansätze
Unterscheidung Angriffs-Arten
Nach Richtung des Angriffs:
• von innen: eigene Mitarbeiter
Fraud
• von „aussen“: Gezielte Attacken -Hacker, Phishing, Sniffing, Malware
• wie auch immer --> Losses
Defensive Protection
Das Informationssicherheits-Modell ®
Umfassender Ansatz
Quelle: Data Mining, Intrusion
Detection, Information
Assurance, and Data
Networks Security 2005,
Information Risk and
Security Modelling,
Predrag Zivic
Massnahmen
Können auf verschiedenen Ebenen
ansetzen:
•
•
•
•
Organisatorisch
Hardware
Infrastruktur
Strategisch
Firewalls
• engl. Feuerwand“
• System aus Software- und HardwareKomponenten, das den Zugriff zwischen
verschiedenen Rechnernetzen
beschränkt, um ein Sicherheitskonzept
umzusetzen
• Ein häufiger Einsatzzweck: den
Datenverkehr zwischen einem zu
schützenden lokalen Netzwerk (LAN) und
dem Internet zu kontrollieren.
Firewalls
• Hardwarekomponenten: Rechner mit
Netzwerkschnittstellen z.B. Router / Hosts
• Softwarekomponenten:
z.B. Paketfilter oder Proxyserver
Arten:
• Host-Firewall (Software)
• Netzwerk-Firewall (Hardware)
• Filter: Paket, Content, Proxy
Firewall ein einfaches Bsp.
• Firma möchte ihre Arbeitsplatzrechner ins
Internet bringen.
Quelle: wikipedia.org
IDS
• Intrusion Detection System
• Programm, dient der Erkennung von
Angriffen auf einem Computersystem
oder -netz
• Richtig eingesetzt, ergänzen sich eine
Firewall und ein IDS und erhöhen so die
Sicherheit von Netzwerken.
• Unterscheidung: netzwerkbasierte
(NIDS) und hostbasierte Intrusion
Detection Systeme (HIDS).
IDS: Funktionsweise
Bild-Quelle: Wikipedia.org
Zwei IDS-Arten
NIDS (Netzwerkbasiert) :
• Pakete im Netzwerk aufzeichnen, analysieren und
verdächtige Aktivitäten melden.
• Angriffsmuster-Erkennung aus dem Netzwerkverkehr
HIDS (Hostbasierte) :
• muss auf jedem zu überwachenden System installiert
werden und Betriebssystem unterstützen.
• Schlägt Alarm, sobald vermeintlichen Angriff erkannt
Honeypots
• Engl. Honigtopf
• Dienst, der die Aufgabe hat,
Angriffe
auf ein Netzwerk zu
protokollieren.
• Programm für (ein/mehrere Dienste) zur
Verfügung, oder ein Server.
• Überwachung eines Netzwerkes
Grundidee Honeypots (1)
• Installation Honeypot(s) im Netzwerk
• unbekannt für den legitimen Netznutzern
• von Usern niemals angesprochen
Angreifer:
• kann nicht zwischen echten
Servern/Programmen und Honeypots
unterscheiden
• untersucht routinemäßig alle
Netzkomponenenten auf Schwachstellen
Grundidee Honeypots (2)
Angreifer:
• Nimmt früher oder später die von einem
Honeypot angebotenen Dienste in
Anspruch
• Wird dabei von dem Honeypot
protokolliert
• Die bloße Tatsache:
• Kommunikations-Versuch mit
Honeypot, wird als potentieller
A iff b t ht t
Honeypot-Programms
Mittels eines Honeypot-Programms
Simulierung von:
• Netzwerkdienste
(Mail-Server, Datei-Server, ...)
• eines einzelnen Rechners oder sogar ein
vollständiges Netzwerk
• Erfolgt ein unberechtigter Zugriff auf einen
derartigen virtuellen Dienst, werden alle
ausgeführten Aktionen protokolliert und
gegebenenfalls ein Alarm ausgelöst
Versch. Honeypot-Typen
• Low-Interaction Honeypots (Software)
Š Honeyd
Š Mwcollect
Š Nepenthes
Š MultiPot
• High-Interaction Honeypots (Vollständige
Server mit Diensten)
• Tarpits (engl. Teergruben)
Tabelle Defense Massnahmen
Organisatorisch
Hardware
Infrastruktur
Strategisch
Computerwurm
Schutz vor social
Engineering
Rechte-Trennung d es
Betriebsystems
Personal Firewalls
(Paket-Filter)
Honeypo t(s)
Virenscanner Personal
Firewalls (Paket-Filter)
Honeypo t(s)
Reduktion von
Sicherheitslücken in
Anwendung en
Trojaner
Awareness gegen
Malware
Phishing
Briefpost
Bookmarks
Zertifikate
Awareness
Anti-VirenProgramme
Personal Firewalls
Alternative
Browser
Fingerprints
Alternative
Browser
Fazit
• Um so mehr Ebenen (Organisatorisch, Hardware,
Infrastruktur und Strategisch) prophylaktisch wirken
desto defensiver ist der defensive Ansatz
• Nebst der besten defensiven Software- und HardwareGegenmassnahmen sind der Mensch und menschliche
„Schwächen“ noch immer Haupt-Angriffsflächen für
Fraud, Maleware und Losses
• Organisatorische und strategische Massnahmen
steigern die menschliche Awareness
Losses resulting from
Fraud, Espionage and
Malware
Talk, 45 min
Thema 1.1
• Wie sieht die Zukunft aus?
Š Vernetzung hat zugenommen
Š Grosser Datenaustausch
--> Internet = Risiko?
Thema 1.2
• Was lässt sich dagegen tun?
Š Präventiv
Š Internationales Recht
Thema 1.3
• Was kann man gegen Phishing tun?
Thema 2
Mobile Telefone und
Malware
Mobile Telefone und Malware
• Beispiel Trojaner fürs Handy: Fontal.A.
„mobile malware“
• Eigene Erfahrungen?
• Grössere Gefahr durch Verlust oder
Diebstahl?
Thema 3 (Talk)
• Mensch als schwächstes Glied
„The need for security“, Course Technology, p 6
Beispiel-Szenario
Breitbandanschluss der Firma:
• Nicht 100%ig
ausgelastet
( Filesharing
( Instant Messaging
( Herunterladen /
( Installierung
kostenloser Programme
Herr Meier:
• Loyal
• Sachbearbeiter
Die Folge: Spyware im
Firmennetzwerk
Quelle: Business Security & Enterprise Policy: Risikofaktor Mensch, Interview mit Marcus Izmir,
Ersch.Datum: 06.09.2005, Output 9/05
Talk 3: Facts & Statements I
Angriffe / Intrusions:
• 80 Prozent aller Intrusions von innen - also nur 20%
von außen (Gartner-Studie)
Systemimmanenter Grund:
»Je sicherer technische Systeme werden, desto mehr
wird der Mensch zu einem zentralen Risikofaktor«
(Heinrich Kuhn von der Zürcher Hochschule Winterthur)
Schwächstes Glied Mensch:
• 70 Prozent aller Unfälle im Bereich Luftfahrt auf
menschliches Versagen zurückzuführen
(Bsp. Luftfahrt)
Bsp. Aus Quelle: Business Security & Enterprise Policy: Risikofaktor Mensch, Interview mit Marcus Izmir,
Ersch.Datum: 06.09.2005, Output 9/05
Talk 3: Facts & Statements II
Mitarbeiter werden unterschätzt:
• »Unsere Mitarbeiter haben kein so hohes kriminelles
Potenzial.«
(Chief Security Officer auf Frage, wie sich das Unternehmen gegen
die Bedrohung von innen schütze)
• Potential Motive: Frustration, überzogener Ehrgeiz oder
Unterbezahlung
Fehlende Awareness:
• vorallem Männer sind bereit Risiken einzugehen: „Herr
Meier“
(Aktuelle Studien von SurfControl und Meetbiz-Research)
• Allein 70 Prozent der Angestellten erledigen ihr OnlineBanking vom Büro aus
Bsp. Aus Quelle: Business Security & Enterprise Policy: Risikofaktor Mensch, Interview mit Marcus Izmir,
Ersch.Datum: 06.09.2005, Output 9/05
Talk 3 Questions:
Business Security & Enterprise Policy hat
einen oft unterschätzten:
»Risikofaktor
Mensch«
• Wird das Thema gerne unter den Teppich
gekehrt ?
• Mitarbeiter stellen eine potenzielle Gefahr
dar - warum oder warum nicht ?
• Gibt es sinnvolle Gegenstrategien ?