Post on 23-Aug-2019
Datenschutz I IT-Sicherheit I IT-Forensik I IT-Compliance
Technischer Datenschutz
kann auch einfach sein!
Live HackingBvD-Herbstkonferenz Datenschutz 2018
Ablaufplan Hackerlabor
2
Wie funktioniert das Internet?
Hacking eines Xing-Profils
Passworthack mit L0phtcrack
Der Spion in meiner Tasche
Privacy by Design?
Was uns Fotos verraten
Risiko Nr. 1 – der USB-Stick
Das Netz weiß alles (Recherche via Maltego)
Social Engineering
Ablaufplan Hackerlabor
3
Wie funktioniert das Internet?
Hacking eines Xing-Profils
Passworthack mit L0phtcrack
Der Spion in meiner Tasche
Privacy by Design?
Was uns Fotos verraten
Risiko Nr. 1 – der USB-Stick
Das Netz weiß alles (Recherche via Maltego)
Social Engineering
Wie funktioniert das Internet?Funktionsweise des DNS-Servers
Internet
84.56.88.125
63.16.88.25
134.68.125.01
104.66.89.141
62.253.72.168
72.52.10.14
85.163.28.250
31.13.90.2
65.168.123.125
52.142.89.20
33.164.28.113
59.16.35.128
39.18.120.125
4
Wie funktioniert das Internet?
Wie verbinde ich mich mit der BvD Webseite?
5
www.bvdnet.de
Wie funktioniert das Internet?
6
Ich möchte zur Webseite des BvD
BvD Webseite-IP = 80.241.58.60
Gehe zu IP 80.241.58.60
Jetzt bin ich beim BvD auf der Webseite
IP = 80.241.58.60
Wie funktioniert das Internet?
7
Wie funktioniert das Internet?
8
DNS-Server (Domain Name System)
▪ wandelt Internetadressen/Computernamen in IP-Adressen um und
umgekehrt
▪ sollte er Namen oder IP-Adressen nicht finden, fragt er einen
anderen DNS-Server
▪ ohne DNS könnten wir nicht auf z.B. Facebook, Twitter, Youtube
zugreifen
▪ Fazit: Ein DNS-Server ist das Telefonbuch des Internets
Ablaufplan Hackerlabor
9
Wie funktioniert das Internet?
Hacking eines Xing-Profils
Passworthack mit L0phtcrack
Der Spion in meiner Tasche
Privacy by Design?
Was uns Fotos verraten
Risiko Nr. 1 – der USB-Stick
Das Netz weiß alles (Recherche via Maltego)
Social Engineering
Hacking eines Xing-Profils
10
Quelle:
https://www.abendblatt.de/region/niedersachsen/article212741141/Unbekannte-
hacken-Twitter-Account-von-Kultusminister.htmlhttps://www.shz.de/regionales/schleswig-holstein/panorama/daniel-guenthers-privates-facebook-profil-
gehackt-id18143931.html
11
Ich möchte zu XING
manipulierte XING IP = 10.121.11.24
Gehe zu IP 10.121.11.24
IP = 10.121.11.24
Hacking eines Xing-Profils
richtige XING IP=
2.18.253.135
Jetzt bin ich auf
der manipulierten
Seite
Hacking eines Xing-Profils
Schutzmaßnahmen:
▪ Anmeldung bei Xing, Facebook, Amazon,
Zalando etc. nur aus bekannten
Netzwerken!!
12
Ablaufplan Hackerlabor
13
Wie funktioniert das Internet?
Hacking eines Xing-Profils
Passworthack mit L0phtcrack
Der Spion in meiner Tasche
Privacy by Design?
Was uns Fotos verraten
Risiko Nr. 1 – der USB-Stick
Das Netz weiß alles (Recherche via Maltego)
Social Engineering
14
Passworthack mit L0phtcrack Passwort - Knacker 2009
Stand 2009 Passwortlänge mit 100.000 Versuche pro Sekunde
Passwortzusammensetzung 5 6 7 8 9
A-Z (26 Zeichen) oder nur a-z (26 Zeichen) 2
min.
1
Std.
1
Tag
24
Tage
2
Jahre
A-Z, a-z, 0-9 (62 Zeichen kombiniert) 3
Std.
7
Tage
1
Jahr
69
Jahre
4.290
Jahre
A-Z, a-z, 0-9,
- [ ] = \ ; ‚ , . / ` ~ ! @ # $ % ^ & * ( ) _ + { } | :
„ < > ? (96 Zeichen kombiniert)
23
Std.
91
Tage
24
Jahre
2.288
Jahre
219,5
Tsd. Jahre
Basierend auf einem handelsüblichen PC ergaben sich bei einem Angriff (durch
Ausprobieren) etwa 100.000 Versuche pro Sekunde im Jahre 2009:
Quelle: eigene Berechnung, Basis: Daten von Wikipedia, DuD u. www.1pw.de
Passworthack mit L0phtcrack Passwort - Knacker 2016
15
Die Angriffsdauer beim Passwortknacken im Jahre 2016:
Quelle: eigene Berechnung, Basis: Daten von Wikipedia, DuD u. www.1pw.de
Passworthack mit L0phtcrack
16
L0phtcrack wird verwendet, um Passwortstärken zu testen und
Microsoft Windows-Passwörter zu knacken.
Angriffsmethoden:
• Dictionary-Attacke
• Brute-Force-Attacke
• Rainbow-Tables
Passwort-Hack mit L0phtcrack
Schutzmaßnahmen:
Verwendung sicherer Passwörter!!
▪ Länge mind. 12 Zeichen
▪ Buchstaben, Zahlen und Sonderzeichen
▪ keine gängigen Varianten u. Tastaturmuster
▪ regelmäßige Änderung
▪ Geheimhaltung
▪ verschieden bei unterschiedlichen Konten
17
47(Schnecke)11-ama47(Schnecke)11(Schnecke)Schnecke
Ablaufplan Hackerlabor
18
Wie funktioniert das Internet?
Hacking eines Xing-Profils
Passworthack mit L0phtcrack
Der Spion in meiner Tasche
Privacy by Design?
Was uns Fotos verraten
Risiko Nr. 1 – der USB-Stick
Das Netz weiß alles (Recherche via Maltego)
Social Engineering
19
Der Spion in meiner Tasche
Quelle: https://t3n.de/news/skygofree-polizei-liest-whatsapp-913294/
Der Spion in meiner Tasche
20
FlexiSpy ist eine Software zum ausspionieren von Nutzerdaten auf
Smartphones und Tablets.
Unterstützte Systeme:
▪ Android / Android Tablets
▪ iPhone / iPad
▪ BlackBerry
▪ Nokia Symbian
Welche Informationen kann FlexiSpy abrufen?
▪ Telefonanrufe
▪ Nachrichten (SMS, WhatsApp...)
▪ GPS-Standorte
▪ Internet-Verlauf
▪ Musik, Bilder, Dokumente
▪ ...
Schutzmaßnahmen:
▪ niemals das Smartphone aus der Hand
geben
▪ nutzen Sie PIN, Gerätesperrcode und
Zugangscode
▪ installieren Sie einen Virenschutz (nur
Android)
▪ Mobile Device Management System
▪ Verlust immer melden
▪ Deaktivieren Sie die Sprachsteuerung im
Sperrbildschirm
21
Der Spion in meiner Tasche
Ablaufplan Hackerlabor
22
Wie funktioniert das Internet?
Hacking eines Xing-Profils
Passworthack mit L0phtcrack
Der Spion in meiner Tasche
Privacy by Design?
Was uns Fotos verraten
Risiko Nr. 1 – der USB-Stick
Das Netz weiß alles (Recherche via Maltego)
Social Engineering
Privacy by Design?
23
Privacy by Design?Shodan
24
Shodan ist die gefährlichste Computer-Suchmaschine.
▪ Sie ermöglicht Benutzern, bestimmte Arten von Computern
und Diensten (Webcams, Routern, Servern usw.), die mit dem
Internet verbunden sind, über eine Reihe von Filtern zu finden.
▪ Shodan sammelt Daten meist auf Webservern (HTTP/HTTPS
über die Ports 80, 8080, 443, 8443) sowie FTP (Port 21), SSH
(Port 22), Telnet (Port 23), SNMP (Port 161), SIP (Port 5060),
und Real Time Streaming Protocol (RTSP, Port 554).
(Quelle: Wikipedia)
Privacy by Design?Risiko Web Shops
25
https://www.watson.ch/Digital/Schweiz/899481299-70-000-Schweizer-Passwoerter-gestohlen-----jetzt-ist-klar--welcher-Online-
Shop-das-Leck-war
https://www.onlinehaendler-news.de/handel/allgemein/28895-amazon-fake-shops-zunahme.html
Schutzmaßnahmen:
▪ HTTPS-Verschlüsselung
▪ Check, wann die Webseite erstellt wurde
(Copyright o.Ä.)
▪ Misstrauen bei unrealistischen Angeboten
▪ Beachtung von Kundenbewertungen &
Kommentaren
▪ Beachtung, ob Zahlungswege sicher sind
(Paypal, Rechnung)
26
Privacy by Design?Risiko Web Shops
Schutzmaßnahmen:
▪ regelmäßige System-Updates
▪ Verwendung „vernünftiger“ Programme
▪ Schließen nicht benötigter Ports
27
Privacy by Design?Shodan
Ablaufplan Hackerlabor
28
Wie funktioniert das Internet?
Hacking eines Xing-Profils
Passworthack mit L0phtcrack
Der Spion in meiner Tasche
Privacy by Design?
Was uns Fotos verraten
Risiko Nr. 1 – der USB-Stick
Das Netz weiß alles (Recherche via Maltego)
Social Engineering
29
Das Netz weiß alles (Recherche via Maltego)
Das Netz weiß alles (Recherche via Maltego)
30
Maltego ist eine Software, mit der Daten aus dem Internet
visualisiert und anhand derer Zusammenhänge hergestellt
werden.
▪ Reale Beziehungen zwischen Personen, Websites,
Netzwerken etc. können analysiert werden.
Schutzmaßnahmen:
▪ „Es ist sinnvoll, vor dem Upload
nachzudenken.“
(Zitat einer Schülerin, 7. Schuljahr, 2013, Berlin)
31
Das Netz weiß alles (Recherche via Maltego)
Ablaufplan Hackerlabor
32
Wie funktioniert das Internet?
Hacking eines Xing-Profils
Passworthack mit L0phtcrack
Der Spion in meiner Tasche
Privacy by Design?
Was uns Fotos verraten
Risiko Nr. 1 – der USB-Stick
Das Netz weiß alles (Recherche via Maltego)
Social Engineering
Was uns Fotos verraten
Mit Hilfe der Webseite Fotoforensics.com lassen sich Fotos innerhalb
weniger Minuten analysieren / auswerten.
Informationen über Fotos:
• Gerätename
• Kamera-Modell
• Betriebssystem
• Aufnahmedatum
• GPS-Daten (Koordinaten)
33
Ablaufplan Hackerlabor
34
Wie funktioniert das Internet?
Hacking eines Xing-Profils
Passworthack mit L0phtcrack
Der Spion in meiner Tasche
Privacy by Design?
Was uns Fotos verraten
Risiko Nr. 1 – der USB-Stick
Das Netz weiß alles (Recherche via Maltego)
Social Engineering
Risiko Nr. 1 – der USB-Stick
35
Szene:
Sie finden einen USB-Stick auf dem Flur, den Sie nicht zuordnen
können.
Um den Stick dem rechtmäßigen Besitzer schnell zurückzugeben,
schließen Sie ihn kurz an, um anhand der Dokumente den Besitzer
ausfindig zu machen.......
Ergebnis:
Trojaner erfolgreich installiert, das war es mit Ihren Daten!
Risiko Nr. 1 – der USB-Stick
Schutzmaßnahmen
▪ Verwenden Sie bitte keine
unbekannten USB-Sticks!!!
▪ Überschreiben Sie USB-Sticks
mehrfach!!!
36
Ablaufplan Hackerlabor
37
Wie funktioniert das Internet?
Hacking eines Xing-Profils
Passworthack mit L0phtcrack
Der Spion in meiner Tasche
Privacy by Design?
Was uns Fotos verraten
Risiko Nr. 1 – der USB-Stick
Das Netz weiß alles (Recherche via Maltego)
Social Engineering
Social Engineering
38
Quelle: http://www.20min.ch/digital/news/story/Wie-ein-15-Jaehriger-
die-Spione-der-USA-narrte-20109240
Social Engineering
39
Definition:
Um Social Engineering oder auch Social Hacking handelt es sich, wenn durch
Annäherung an Geheimnisträger mittels gesellschaftlicher oder vorgespielter
Kontakte Zugang zu vertraulichen Informationen, Geld oder IT-Ressourcen
erlangt wird.
Warum hat Social Engineering Erfolg?
Menschen sind durch ihre persönlichen Eigenschaften manipulierbar wie z.B.:▪ Autoritätshörigkeit
▪ Eitelkeit
▪ Hilfsbereitschaft
▪ Geltungsdrang
▪ Solidarität mit Kollegen
▪ Gier
▪ Mitleid
▪ Social Engineering ist die gefährlichste Form des Informations-
diebstahls in Unternehmen.
Social Engineering
Motivationsgründe der Social Engineers
Die Motivation, einen Social Engineering-Angriff durchzuführen, ist
keine andere als bei einem „normalen“ technischen Angriff auf
Informationen.
▪ Meistens geht es dabei um einen der folgenden Punkte:
▪ Industriespionage
▪ Identitätsdiebstahl
▪ Spaß oder Macht
▪ Finanzielle Gründe
▪ soziale Gründe (Ex-Partner)
40
Schutzmaßnahmen
▪ nicht auf fremde Links klicken
▪ Bedarfs- und Schwachstellenanalyse
▪ Mitarbeiterschulungen
▪ Durchführung einer Social Engineering-
Kampagne
▪ Erarbeitung von Policies
▪ regelmäßige Überprüfung der Maßnahmen
41
Social Engineering
Noch Fragen?
Vielen Dank für Ihre
Aufmerksamkeit!
42