aktuelle bedrohungen im internet - raiffeisen.at · ing. michael müller gruppenleiter security...
Post on 30-Oct-2019
3 Views
Preview:
TRANSCRIPT
Ing. Michael Müller
Gruppenleiter Security Competence Center
Leiter R-IT CERT
Phone: +43 1 99 3 99-2525
Mobile: +43 664 88772525
E-Mail: michael.mueller@r-it.at
Web: www.r-it.at Schwerpunkte:
• „Legales Hacken“, Penetration Tests
• Schulungen, Workshops
• Bearbeitung von Sicherheitsvorfällen
(CERT)
RAIFFEISEN INFORMATIK
|
Motive der Angreifer
Hacktivismus
Legen Daten offen, um Botschaften zu verbreiten
Cyber Kriminalität
Mehr als 300 Milliarden Euro Schaden jährlich in der EU1)
Spionage
Spionage von Geheimdiensten und Wirtschaftsspionage Shadow Brokers veröffentlicht Werkzeuge der NSA
09.10.2017 Aktuelle Bedrohungen im Internet | nicht eingeschränkt 3
1) Quelle: https://media.arbeiterkammer.at/noe/pdfs/Treffpunkt_0114_web.pdf
RAIFFEISEN INFORMATIK
|
Inhalt
Passwörter
WLAN
Sicherheit im Internet
Crypto Ransomware / Erpressungstrojaner
CEO Fraud / Betrug mit Chef-Masche
09.10.2017 Aktuelle Bedrohungen im Internet | nicht eingeschränkt 4
RAIFFEISEN INFORMATIK
|
Passwörter – Ein paar Zahlen
ca. 35.000 "wahrscheinliche" Geburtsdaten
ca. 300 Millionen einfache 6-stellige Passwörter (Kleinbuchstaben)
ca. 53 Trillionen komplexe 10-stellige Passwörter (Groß, klein, Ziffern, Sonderzeichen)
09.10.2017 Aktuelle Bedrohungen im Internet | nicht eingeschränkt 6
35.000
300.000.000
53.000.000.000.000.000.000
Kommerzielle Produkte:
tw. mehr als 5 Milliarden Passwörter pro Sekunde
RAIFFEISEN INFORMATIK
|
Passwort knacken
09.10.2017 Aktuelle Bedrohungen im Internet | nicht eingeschränkt 7
RAIFFEISEN INFORMATIK
|
Passwörter – Gefahren
09.10.2017 Aktuelle Bedrohungen im Internet | nicht eingeschränkt 8
"Passwort Recycling" "Eines für Alle"
Wörterbuchangriff "wo rohe Kräfte sinnlos
walten"
"Erinnerungshilfen"
RAIFFEISEN INFORMATIK
|
Passwort schon einmal geknackt?
https://haveibeenpwned.com/Passwords 4.778.372.805 gehackte Accounts
Vorsicht, geben sie nicht Ihre Passwörter bekannt!
09.10.2017 Aktuelle Bedrohungen im Internet | nicht eingeschränkt 9
RAIFFEISEN INFORMATIK
|
Wie merke ich mir alle Passwörter?
Verwendung eines Passwort Safes! z.B. KeePass Passwort Safe
Passwörter werden verschlüsselt gespeichert
09.10.2017 Aktuelle Bedrohungen im Internet | nicht eingeschränkt 10
Anmeldung mit Passwort,
Schlüsseldatei oder beides Passwörter können temporär in Zwischenablage kopiert werden
RAIFFEISEN INFORMATIK
|
Wie merke ich mir alle Passwörter?
Apps für Mobile Geräte sind verfügbar
Passwort Phrasen Lange Sätze als Passwörter verwenden
2-Faktor Authentifizierung Haben und Wissen
09.10.2017 Aktuelle Bedrohungen im Internet | nicht eingeschränkt 11
Android Keepass2Android
Apple IOS iKeePass
Apple IOS PassDrop 2
RAIFFEISEN INFORMATIK
|
Passwörter – Checkliste
09.10.2017 Aktuelle Bedrohungen im Internet | nicht eingeschränkt 12
Ist das Passwort hinreichend komplex?
mehr als 10 Zeichen
Groß- und Kleinschreibung, Ziffern, Sonderzeichen
Kein Geburtsdatum
kein Wörterbucheintrag
Verwenden Sie dieselben Passwörter auch für unterschiedliche
Bereiche (E-Mail, Soziale Netze, Internet-Foren, Beruf)?
Wie oft wechseln Sie Ihr Passwort?
Verwendung eines Passwort Safes
|
Wie sicher ist ihr WLAN zuhause oder öffentliche WLANs?
09.10.2017 Aktuelle Bedrohungen im Internet | nicht eingeschränkt 13
RAIFFEISEN INFORMATIK
|
WLAN Sicherheit
Was sind die Gefahren, wenn jemand in mein WLAN eindringt?
Angreifer ist in ihrem Netzwerk
weitere Angriffe wesentlich leichter
"Mitlauschen"
über Ihr Netzwerk surfen
09.10.2017 Aktuelle Bedrohungen im Internet | nicht eingeschränkt 14
RAIFFEISEN INFORMATIK
|
WLAN Sicherheit
Aber die Standardeinstellungen sind doch sicher, oder?
09.10.2017 Aktuelle Bedrohungen im Internet | nicht eingeschränkt 15
http://www.nickkusters.com/Services/Thomson-SpeedTouch
RAIFFEISEN INFORMATIK
|
WLAN Sicherheit – Verschlüsselung
09.10.2017 Aktuelle Bedrohungen im Internet | nicht eingeschränkt 16
Verschlüsselungsart Sicher?
WEP Sehr unsicher;
innerhalb weniger Minuten geknackt
WPA2-AES Je nach Passwort (und SSID);
mehr als 20 Stellen, hinreichend
komplex: sicher
WPA2 Enterprise Gilt als sicher –
für Privatbereich i.d.R. zu kompliziert
WPS ist sehr unsicher, daher unbedingt deaktivieren
"SSID" – Service Set Identifier = Name des WLAN
RAIFFEISEN INFORMATIK
|
Vorsicht bei Gratis WLANs
09.10.2017 Aktuelle Bedrohungen im Internet | nicht eingeschränkt 17
WLAN
WLAN
Router
Internet
www.orf.at
www.gmx.at
banking.raiffeisen.at
Angreifer
Benutzer
RAIFFEISEN INFORMATIK
|
Vorsicht bei Gratis WLANs – HTTPS / SSL
09.10.2017 Aktuelle Bedrohungen im Internet | nicht eingeschränkt 18
WLAN
WLAN
Router
Internet
www.orf.at
www.gmx.at
banking.raiffeisen.at
Angreifer
Benutzer
RAIFFEISEN INFORMATIK
|
Vorsicht bei Gratis WLANs – HTTPS / SSL
09.10.2017 Aktuelle Bedrohungen im Internet | nicht eingeschränkt 19
WLAN
WLAN
Router
Internet
www.orf.at
www.gmx.at
banking.raiffeisen.at
Angreifer
Benutzer
RAIFFEISEN INFORMATIK
|
Vorsicht bei Gratis WLANs – HTTPS / SSL
09.10.2017 Aktuelle Bedrohungen im Internet | nicht eingeschränkt 20
WLAN
WLAN
Router
Internet
www.orf.at
www.gmx.at
banking.raiffeisen.at
Angreifer
Benutzer
RAIFFEISEN INFORMATIK
|
WLAN Sicherheit – Checkliste
Ist WLAN notwendig?
Sicheres WLAN-Passwort gewählt
"SSID" geändert?
Verschlüsselung eingestellt?
"WPS" deaktiviert?
Administrator Kennwort geändert?
09.10.2017 Aktuelle Bedrohungen im Internet | nicht eingeschränkt 21
RAIFFEISEN INFORMATIK
|
Sicherheit im Internet – Warnungen
09.10.2017 Aktuelle Bedrohungen im Internet | nicht eingeschränkt 23
RAIFFEISEN INFORMATIK
|
Sicherheit im Internet – Phishing
09.10.2017 Aktuelle Bedrohungen im Internet | nicht eingeschränkt 24
Raiffeisen wird Ihnen nie eine E-Mail
schicken, in der Sie aufgefordert werden,
geheime Bankdaten bekanntzugeben bzw. zu
aktualisieren!
RAIFFEISEN INFORMATIK
|
Sicherheit im Internet – Mein Account gehackt?
https://haveibeenpwned.com/ 4.778.372.805 gehackte Accounts
09.10.2017 Aktuelle Bedrohungen im Internet | nicht eingeschränkt 25
RAIFFEISEN INFORMATIK
|
Sicherheit im Internet – Checkliste
Hohe Sicherheitseinstellungen
Keine Passwörter im Browser speichern
Halten Sie Ihren Browser und Plugins aktuell
Warnungen lesen und beherzen
vor allem bei Java, Flash und "Zertifikaten"
Nicht einfach "abklicken"
Überlegen Sie sich, was Sie von sich preisgeben
09.10.2017 Aktuelle Bedrohungen im Internet | nicht eingeschränkt 26
|
Crypto Ransomware / Erpressungstrojaner
09.10.2017 Aktuelle Bedrohungen im Internet | nicht eingeschränkt 27
RAIFFEISEN INFORMATIK
|
Erpressungstrojaner verschlüsseln Daten
09.10.2017 Aktuelle Bedrohungen im Internet | nicht eingeschränkt 28
Quelle: http://wien.orf.at/news/stories/2794230/
https://www.heise.de/thema/Ransomware
http://arstechnica.com/security/2013/10/youre-infected-if-you-want-to-see-your-data-again-pay-us-300-in-bitcoins/
RAIFFEISEN INFORMATIK
|
Crypto Ransomware
CryptoLocker, TorrentLocker, Cryptowall Locky, TeslaCrypt oder Cerber
Kriminelle infizieren den PC des Opfers, verschlüsseln alle Dateien und verlangen Lösegeld für Entschlüsselung
Kriminelle nutzen moderne Verschlüsselungsverfahren, die nicht entschlüsselt werden können
09.10.2017 Aktuelle Bedrohungen im Internet | nicht eingeschränkt 29
RAIFFEISEN INFORMATIK
|
Geschäftsmodell
Hoher Leidensdruck beim Opfer
Kinderfotos oder Diplomarbeit verloren
Alle Kontakte weg
Unternehmensdaten nicht mehr verfügbar
Aufwand der Wiederherstellung größer als die Erpressersumme
Zahlungen mit Ist anonym und muss nicht „gewaschen“ werden
Kurios: Ransomware fordert Spiele Highscore
09.10.2017 Aktuelle Bedrohungen im Internet | nicht eingeschränkt 30
RAIFFEISEN INFORMATIK
|
Infektionswege
Versenden von Spam E-Mails getarnt als Rechnung, Nachricht vom Paketdienst, Anwaltsbriefe / Drohungen
mit Anhängen, die ausführbare Dateien enthalten
Links (URLs) um Schadsoftware herunter zu laden
Besuch einer kompromittierten Webseite
Ausnutzung von Sicherheitslücken im Web Browser oder der Browser Plug-ins (Drive-By-Infektionen)
Ungeschützte Fernwartungszugänge
09.10.2017 Aktuelle Bedrohungen im Internet | nicht eingeschränkt 31
RAIFFEISEN INFORMATIK
|
Maßnahmen im Vorfeld umsetzen!
Aktuelles, funktionierendes Backup
Backup auf eigener Hardware und offline vom PC
Funktion des Backups überprüfen
Keine Schreibrechte auf Archiv
Application Whitelisting
Es dürfen nur bekannte Applikationen ausgeführt werden Crypto Ransomware kann nicht starten
Organisatorischer Aufwand um benötigte Applikationen zu erheben
Advanced Persistent Threat (APT) Protection
Datei Download wird in einer „Sandbox“ analysiert und ggf. geblockt
09.10.2017 Aktuelle Bedrohungen im Internet | nicht eingeschränkt 32
RAIFFEISEN INFORMATIK
|
Maßnahmen im Vorfeld umsetzen!
Blocken von ausführbaren Dateien
Applikationen: .exe, .pif, .application, .gadget, .msi, .msp, .com, .scr, .hta, .cpl, .msc, .jar
Potentiell gefährliche Dateien: .pdf, .doc, .rtf, .ppt, .xls, .odt
Office Makros: .docm, .dotm, .xlsm, .xltm, .xlam, .pptm, .potm, .ppam, .ppsm, .sldm
Containerformate: .zip, .rar, .tar, .7z, .z, .iso…
Skripte: .bat, .cmd, .vb, .vbs, .vbe, .js, .jse, .ws, .wsf, .wsc, .wsh, .ps1, .ps1xml, .ps2, .ps2xml, .psc1, .psc2, .msh, .msh1, .msh2, .mshxml, .msh1xml, .msh2xml
Verknüpfungen und andere: .scf, .lnk, .inf, .reg, .dll
09.10.2017 Aktuelle Bedrohungen im Internet | nicht eingeschränkt 33
RAIFFEISEN INFORMATIK
|
Verhalten bei Infektion
Netzwerkkabel vom PC trennen und WLAN abschalten
Für forensischer Analyse ist „Memory Dump“ des Arbeitsspeichers und Sicherung der Festplatte notwendig
Kopie der verschlüsselten Festplatte aufheben, um vielleicht später die Dateien wiederherzustellen z.B. TeslaCrypt
Neuinstallation
Betriebssystems von „sauberem“ Datenträger
Überprüfung des Backups nach Schadprogrammen
Rückspielen des Backups
09.10.2017 Aktuelle Bedrohungen im Internet | nicht eingeschränkt 34
RAIFFEISEN INFORMATIK
|
Verhalten bei Infektion
Wiederherstellung in seltenen Fällen möglich z.B. gelöschte Dateien, schwacher Verschlüsselung oder Fehler in Ransomware
Decrypter verwenden https://id-ransomware.malwarehunterteam.com/ https://www.varonis.com/ransomware-identifier/ https://www.nomoreransom.org/de/index.html
09.10.2017 Aktuelle Bedrohungen im Internet | nicht eingeschränkt 35
RAIFFEISEN INFORMATIK
|
Lösegeld zahlen?
Es gibt kein Entschlüsselungsprogramm, kein funktionierendes Backup und die Daten werden dringend benötigt?
Ca. 20% bekommen keinen Schlüssel!
Kriminelle nicht kontaktieren
Kein Lösegeld zahlen
Anzeige erstatten
09.10.2017 Aktuelle Bedrohungen im Internet | nicht eingeschränkt 36
RAIFFEISEN INFORMATIK
|
Crypto Ransomware / Erpressungstrojaner – Checkliste
Aktuelles, funktionierendes Backup (keine Schreibrechte auf Archiv)
Laufende Softwareupdates
Anti Virus und Anti Spam
Getrennte Konten für jeden Nutzer und eigenes Admin Konto
Backup auf eigener Hardware und nicht dauerhaft mit PC verbinden
Awareness der User
Für Firmen:
Application Whitelisting
Blocken von speziellen Dateiendungen
Hardening der Systeme
Advanced Persistent Threat (APT) Protection
09.10.2017 Aktuelle Bedrohungen im Internet | nicht eingeschränkt 37
|
CEO Fraud / Betrug mit Chef-Masche
09.10.2017 Aktuelle Bedrohungen im Internet | nicht eingeschränkt 38
RAIFFEISEN INFORMATIK
|
CEO Fraud / Betrug mit Chef-Masche
09.10.2017 Aktuelle Bedrohungen im Internet | nicht eingeschränkt 39
Quelle: http://www.wallstreet-online.de/nachricht/8862132-ceo-fraud-enkeltrick-groesser-chef-masche-deutsche-unternehmen-110-millionen-euro-erleichtert
RAIFFEISEN INFORMATIK
|
Seitenquelltext im Lotus Notes
09.10.2017 Aktuelle Bedrohungen im Internet | nicht eingeschränkt 40
MisterX@example.net
RAIFFEISEN INFORMATIK
|
E-Mails im Detail: Quelltext
Received: from xlspam01-internal.wien.rbgat.net ([10.14.36.18]) by mx01.mdcs.at (Lotus Domino Release 8.5.3FP6) with ESMTP id 2015090822122811-231477 ; Tue, 8 Sep 2015 22:12:28 +0200 Received-SPF: None (xlspam01.mdcs.at: no sender authenticity information available from domain of postmaster@smtpout.aon.at) identity=helo; client-ip=195.3.96.112; receiver=xlspam01.mdcs.at; envelope-from="MisterX@a1.net"; x-sender="postmaster@smtpout.aon.at"; x-conformance=sidf_compatible.downgrade_pra X-IronPort-Anti-Spam-Filtered: true X-IronPort-Anti-Spam-Result: A0EJDgAEQO9VnHBgA8NdGQEBBgEBhBepOQIJBoQal2IBgT08EAEBAQEBAQEDDgEBAQEBBg0JCSEuQQECAoR7AQKJYgGnY6QwhiyCTweIFoMBgRQFkjKDHAeBSIFFhR6fRoFwCwEBAQGCKYNsVIR4AQEB X-IPAS-Result: A0EJDgAEQO9VnHBgA8NdGQEBBgEBhBepOQIJBoQal2IBgT08EAEBAQEBAQEDDgEBAQEBBg0JCSEuQQECAoR7AQKJYgGnY6QwhiyCTweIFoMBgRQFkjKDHAeBSIFFhR6fRoFwCwEBAQGCKYNsVIR4AQEB X-IronPort-AV: E=Sophos;i="5.17,492,1437429600"; d="scan'208,217";a="272481695" Received: from smtpout.aon.at ([195.3.96.112]) by xlspam01.mdcs.at with ESMTP/TLS/DHE-RSA-AES256-SHA; 08 Sep 2015 22:12:27 +0200 Received: (qmail 28981 invoked from network); 8 Sep 2015 20:12:27 -0000 X-Spam-Checker-Version: SpamAssassin 3.4.0 (2014-02-07) on WARSBL507.highway.telekom.at X-Spam-Level: Received: from 178-190-254-83.adsl.highway.telekom.at (HELO [10.0.0.2]) ([178.190.254.83]) (envelope-sender <MisterX@a1.net>) by smarthub82.res.a1.net (qmail-ldap-1.03) with AES128-SHA encrypted SMTP for <wilhelm.raiffeisen@r-it.at>; 8 Sep 2015 20:12:26 -0000 X-A1Mail-Track-Id: 1441743143:28755:smarthub82:178.190.254.83:1
09.10.2017 Aktuelle Bedrohungen im Internet | nicht eingeschränkt 41
Start
Ziel
1. „Received-Header“:
IP-Adresse
des Absenders
„Zwischenstationen“
inklusive IP-Adressen
RAIFFEISEN INFORMATIK
|
E-Mails im Detail: Quelltext
From: MisterX@a1.net Subject: Herzliche Gratulation! To: wilhelm.raiffeisen@r-it.at Mime-Version: 1.0 (Mac OS X Mail 7.3 \(1878.6\)) X-Mailer: Apple Mail (2.1878.6) X-TNEFEvaluated: 1 Message-ID: <8F8EFCD5-E605-4D40-B088-0C61B4CC9C56@a1.net> Date: Tue, 8 Sep 2015 22:12:22 +0200 X-MIMETrack: Serialize by Notes Client on Wilhelm RAIFFEISEN/R-IT/RAIVIE/AT(Release 8.5.3FP6 SHF416|February 28, 2015) at 10.09.2015 15:47:20, Serialize complete at 10.09.2015 15:47:20 Content-Type: multipart/alternative; boundary="Apple-Mail=_2EAAD322-AEEC-4CA4-B750-483B526F6D14" --Apple-Mail=_2EAAD322-AEEC-4CA4-B750-483B526F6D14 Content-Transfer-Encoding: quoted-printable Content-Type: text/plain; charset=iso-8859-1 Sie haben gewonnen! Klicken Sie hier um Ihren Gewinn zu best=E4tigen. Mit freundlichen Gr=FC=DFen MisterX.= --Apple-Mail=_2EAAD322-AEEC-4CA4-B750-483B526F6D14 Content-Transfer-Encoding: quoted-printable Content-Type: text/html; …
09.10.2017 Aktuelle Bedrohungen im Internet | nicht eingeschränkt 42
Diese Angaben können
vom Absender beliebig erfasst werden
und geben nicht unbedingt Auskunft
über den wirklichen Absender bzw.
das tatsächliche Sendedatum.
Auch Informationen über verwendete
Technologien und E-Mail-Programme
finden sich im Quelltext.
Hier beginnt der eigentliche Inhalt
der E-Mail bzw. die Nachricht.
Alles davor sind „Header“ bzw.
„Informationen am Briefumschlag“
RAIFFEISEN INFORMATIK
|
Wem gehört diese IP-Adresse?
https://apps.db.ripe.net/search/query.html
09.10.2017 Aktuelle Bedrohungen im Internet | nicht eingeschränkt 43
RAIFFEISEN INFORMATIK
|
Wird über diese IP-Adresse Spam verschickt?
http://www.senderbase.org/
09.10.2017 Aktuelle Bedrohungen im Internet | nicht eingeschränkt 44
RAIFFEISEN INFORMATIK
|
Analyse von Dateianhängen
https://www.virustotal.com/de/
09.10.2017 Aktuelle Bedrohungen im Internet | nicht eingeschränkt 45
RAIFFEISEN INFORMATIK
|
CEO Fraud / Betrug mit Chef-Masche – Checkliste
Prozess bei der Freigabe von Rechnungen (4-Augen Prinzip)
Nachfragen beim Vorgesetzten muss erlaubt sein!
Awareness der User
„Fake-Check“ (Anti Spoofing)
E-Mails mit internem Absender von Extern müssen abgelehnt werden
Hardening der E-Mail Infrastruktur mit technischen
Maßnahmen wie SPF, DMARC und DKIM
Anti Spam
09.10.2017 Aktuelle Bedrohungen im Internet | nicht eingeschränkt 46
RAIFFEISEN INFORMATIK
|
Datensicherung
Anti Virus
Software Updates
Starke Passwörter
Vorsicht vor Betrügern!
5 einfache Schritte!
09.10.2017 Aktuelle Bedrohungen im Internet | nicht eingeschränkt 47
top related