Post on 30-Apr-2020
Seite 1
IT SICHERHEIT DURCH BEWUSSTES VERHALTEN
Wie man sich vor Cyberkriminalität schützt?
17.09.2019
Seite 2
v
Michael Müller
Gruppenleiter Security Competence CenterLeiter R-IT CERT
T: +43 1 99 3 99-2525
M: +43 664 88772525
E: michael.mueller@r-it.at
W: www.r-it.at
IT Sicherheit durch bewusstes Verhalten | Michael Müller
Schwerpunkte:
• „Legales Hacken“
Penetration Tests und Vulnerability Management
• Schulungen, Workshops
• Bearbeitung von Sicherheitsvorfällen (CERT)
Seite 3
▪ Social Engineering
▪ Passwörter
▪ Crypto Ransomware / Erpressungstrojaner
▪ Datensicherung
▪ CEO Fraud / Betrug mit Chef-Masche
Inhalt
IT Sicherheit durch bewusstes Verhalten | Michael Müller
Seite 4Seite 4IT Sicherheit durch bewusstes Verhalten | Michael Müller
Wer sind die Angreifer
PROFIS
AMATEURE
ORGANISIERTE KRIMINELLEGLOBAL, KAUM IDENTIFIZIERBAR UND
VERFOLGBAR
MOTIVATION: Finanzielle Bereicherung
AUSWIRKUNG : Informationsdiebstahl & Abfluss
STAATLICHE ANGREIFERSPIONAGE UND SABOTAGE
MOTIVATION: Politische, wirtschaftliche & militärische
Interessen
AUSWIRKUNG: Unterbrechung oder Zerstörung von
Informationen & Infrastrukturen, Informationsdiebstahl,
Reputationsverlust
HACKTIVISTSHACKING INSPIRIERT DURCH DIE TECHNOLOGIE
MOTIVATION: Nicht vorhersehbar, politischer Idealismus
AUSWIRKUNG: Reputations- und/oder Informations-
verlust
INSIDER-THREATSMIT VORSATZ ODER UNABSICHTLICH
MOTIVATION: Neid, finanzielle Bereicherung
AUSWIRKUNG: Verteilung oder Zerstörung,
Informationsdiebstahl, Reputationsverlust
Die
ANGREIFER
Seite 5Seite 5IT Sicherheit durch bewusstes Verhalten | Michael Müller
Social Engineering
Seite 6Seite 6IT Sicherheit durch bewusstes Verhalten | Michael Müller
Social Engineering
Org
an
isati
on
Men
sch
Te
ch
nik
heitSicher
Org
an
isati
on
Te
ch
nik
Sicher
Org
an
isati
on
Te
ch
nik
Seite 7Seite 7IT Sicherheit durch bewusstes Verhalten | Michael Müller
Social Engineering – Technisch
▪ Informationen mit technischen Hilfsmitteln beschaffen
▪ Automatisierte Angriffe
▪ Manipulierte Internetseiten ("Phishing")
▪ Präparierte E-Mail-Anhänge
▪ Scam Mails (Vorschuss-Betrug)
▪ Anchatten via Skype, Soziale Netze
▪ Versenden/"Vergessen" von präparierten USB Sticks
▪ Gezielte Angriffe
▪ Individuell auf Opfer abgestimmt → „Spear-Phishing“
Seite 8Seite 8IT Sicherheit durch bewusstes Verhalten | Michael Müller
Social Engineering – Technisch
http://www.usbrubberducky.com
Seite 9Seite 9IT Sicherheit durch bewusstes Verhalten | Michael Müller
Social Engineering – Physisch
▪ Informationen werden über soziale Annäherung an Personen beschafft
▪ Direkter "Angriff" über die "Schnittstelle Mensch"
▪ Ausgeben als andere Person
▪ Durchstöbern von Müll
▪ Passwort aushorchen
▪ Ausdrucke bleiben im Drucker liegenMöglichkeit den Ausdruck mit PINzu sperren
Seite 10Seite 10IT Sicherheit durch bewusstes Verhalten | Michael Müller
Social Engineering – Physisch
Guten Tag, hier ist die Raiffeisen Informatik. Aufgrund
vermehrter Hacker-Angriffe führen wir zu Ihrer
Sicherheit eine Überprüfung von Passwörtern durch.
Ich muss die Elektroinstallationen
im Serverraum kontrollieren
Seite 11Seite 11IT Sicherheit durch bewusstes Verhalten | Michael Müller
Social Engineering – Reverse
▪ Man verursacht ein Problem und ist dann zur Stelle,um es gleich zu lösen
▪ Passive Interaktion
▪ Virus einschleusen und entfernen
▪ Probleme vorspielen
▪ Störung des WLAN, um dann als "zufällig anwesender" IT-Expertedas Problem zu lösen – natürlich benötigt man das WLAN Passwort
Seite 12Seite 12IT Sicherheit durch bewusstes Verhalten | Michael Müller
Wurde mein Benutzerkonto schon gehackt?
▪ https://haveibeenpwned.com/8.428.463.891 gehackte Accounts
Seite 13Seite 13IT Sicherheit durch bewusstes Verhalten | Michael Müller
Social Engineering
▪ Gibt es Regeln?
▪ Wer hat Zugriff auf welche Informationen?
▪ Müssen z.B. Handwerker angemeldet sein?
▪ Sind sich die Mitarbeiter des Werts von Informationen bewusst?
▪ Vermeintliche Freunde sind nicht immer Freunde
▪ Kleider machen keine Leute
▪ Vorsicht vor Betrügern!
▪ Zu gut, um wahr zu sein!
Seite 14Seite 14IT Sicherheit durch bewusstes Verhalten | Michael Müller
Passwörter
Seite 15Seite 15IT Sicherheit durch bewusstes Verhalten | Michael Müller
Passwörter – Ein paar Zahlen
▪ ca. 35.000 "wahrscheinliche" Geburtsdaten
▪ ca. 300 Millionen einfache 6-stellige Passwörter (Kleinbuchstaben)
▪ ca. 53 Trillionen komplexe 10-stellige Passwörter(Groß, klein, Ziffern, Sonderzeichen)
35.000
300.000.000
53.000.000.000.000.000.000
Kommerzielle Produkte:
tw. mehr als 5 Milliarden Passwörter pro Sekunde
Seite 16Seite 16IT Sicherheit durch bewusstes Verhalten | Michael Müller
Passwort knacken
Seite 17Seite 17IT Sicherheit durch bewusstes Verhalten | Michael Müller
Passwörter – Gefahren
"Passwort Recycling""Eines für Alle"
Wörterbuchangriff"wo rohe Kräfte sinnlos walten"
"Erinnerungshilfen"
Seite 18Seite 18IT Sicherheit durch bewusstes Verhalten | Michael Müller
Wie merke ich mir alle Passwörter?
▪ Verwendung eines Passwort Safes!z.B. KeePass Passwort Safe
▪ Passwörter werden verschlüsselt gespeichert
Anmeldung mit Passwort,
Schlüsseldatei oder beidesPasswörter können temporär in Zwischenablage kopiert werden
Seite 19Seite 19IT Sicherheit durch bewusstes Verhalten | Michael Müller
Wie merke ich mir alle Passwörter?
▪ Apps für Mobile Geräte sind verfügbar
▪ Passwort PhrasenLange Sätze als Passwörter verwenden
▪ 2-Faktor AuthentifizierungHaben und Wissen
AndroidKeepass2Android
Apple IOSiKeePass
Apple IOSPassDrop 2
Seite 20Seite 20IT Sicherheit durch bewusstes Verhalten | Michael Müller
Passwörter – Checkliste
✓ Ist das Passwort hinreichend komplex?
✓mehr als 10 Zeichen
✓Groß- und Kleinschreibung, Ziffern, Sonderzeichen
✓Kein Geburtsdatum
✓kein Wörterbucheintrag
✓ Verwenden Sie dieselben Passwörter auch für unterschiedliche Bereiche (E-Mail, Soziale Netze,
Internet-Foren, Beruf)?
✓ Wie oft wechseln Sie Ihr Passwort?
✓ Verwendung eines Passwort Safes
Seite 21Seite 21IT Sicherheit durch bewusstes Verhalten | Michael Müller
Crypto Ransomware / Erpressungstrojaner
Seite 22Seite 22IT Sicherheit durch bewusstes Verhalten | Michael Müller
Crypto Ransomware
▪ CryptoLocker, TorrentLocker, CryptowallLocky, TeslaCrypt oder Cerber
▪ Kriminelle infizieren den PC des Opfers, verschlüsseln alle Dateien und verlangen Lösegeld für Entschlüsselung
▪ Kriminelle nutzen moderne Verschlüsselungsverfahren, die nicht entschlüsselt werden können
Seite 23Seite 23IT Sicherheit durch bewusstes Verhalten | Michael Müller
Geschäftsmodell
▪ Hoher Leidensdruck beim Opfer
▪ Kinderfotos oder Diplomarbeit verloren
▪ Alle Kontakte weg
▪ Unternehmensdaten nicht mehr verfügbar
▪ Aufwand der Wiederherstellung größer als die Erpressersumme
▪ Zahlungen mitIst anonym und muss nicht „gewaschen“ werden
▪ Kurios: Ransomware fordert Spiele Highscore
Seite 24Seite 24IT Sicherheit durch bewusstes Verhalten | Michael Müller
Infektionswege
▪ Versenden von Spam E-Mails getarnt alsRechnung, Nachricht vom Paketdienst,Anwaltsbriefe / Drohungen
▪ mit Anhängen, die ausführbare Dateien enthalten
▪ Links (URLs) um Schadsoftware herunter zu laden
▪ Besuch einer kompromittierten Webseite
▪ Ausnutzung von Sicherheitslücken im Web Browser oder der Browser Plug-ins (Drive-By-Infektionen)
▪ Ungeschützte Fernwartungszugänge
Seite 25Seite 25IT Sicherheit durch bewusstes Verhalten | Michael Müller
Maßnahmen im Vorfeld umsetzen!
▪ Aktuelles, funktionierendes Backup
▪ Backup auf eigener Hardware und offline vom PC
▪ Funktion des Backups überprüfen
▪ Keine Schreibrechte auf Archiv
▪ Application Whitelisting
▪ Es dürfen nur bekannte Applikationen ausgeführt werden→ Crypto Ransomware kann nicht starten
▪ Organisatorischer Aufwand um benötigte Applikationen zu erheben
▪ Advanced Persistent Threat (APT) Protection
▪ Datei Download wird in einer „Sandbox“ analysiert und ggf. geblockt
Seite 26Seite 26IT Sicherheit durch bewusstes Verhalten | Michael Müller
Maßnahmen im Vorfeld umsetzen!
▪ Blocken von ausführbaren Dateien
▪ Applikationen: .exe, .pif, .application, .gadget, .msi, .msp,.com, .scr, .hta, .cpl, .msc, .jar
▪ Potentiell gefährliche Dateien: .pdf, .doc, .rtf, .ppt, .xls, .odt
▪ Office Makros: .docm, .dotm, .xlsm, .xltm, .xlam, .pptm, .potm, .ppam, .ppsm, .sldm
▪ Containerformate: .zip, .rar, .tar, .7z, .z, .iso…
▪ Skripte: .bat, .cmd, .vb, .vbs, .vbe, .js, .jse, .ws, .wsf, .wsc, .wsh, .ps1, .ps1xml, .ps2, .ps2xml, .psc1, .psc2, .msh, .msh1, .msh2, .mshxml, .msh1xml, .msh2xml
▪ Verknüpfungen und andere: .scf, .lnk, .inf, .reg, .dll
Seite 27Seite 27IT Sicherheit durch bewusstes Verhalten | Michael Müller
Verhalten bei Infektion
▪ Netzwerkkabel vom PC trennen und WLAN abschalten
▪ Für forensischer Analyse ist „Memory Dump“ des Arbeitsspeichers und Sicherung der Festplatte notwendig
▪ Kopie der verschlüsselten Festplatte aufheben,um vielleicht später die Dateien wiederherzustellenz.B. TeslaCrypt
▪ Neuinstallation
▪ Betriebssystems von „sauberem“ Datenträger
▪ Überprüfung des Backups nach Schadprogrammen
▪ Rückspielen des Backups
Seite 28Seite 28IT Sicherheit durch bewusstes Verhalten | Michael Müller
Verhalten bei Infektion
▪ Wiederherstellung in seltenen Fällen möglichz.B. gelöschte Dateien, schwacher Verschlüsselung oder Fehler in Ransomware
▪ Decrypter verwenden
https://id-ransomware.malwarehunterteam.com/https://www.varonis.com/ransomware-identifier/https://www.nomoreransom.org/de/index.html
Seite 29Seite 29IT Sicherheit durch bewusstes Verhalten | Michael Müller
Lösegeld zahlen?
▪ Es gibt kein Entschlüsselungsprogramm, kein funktionierendes Backup und die Daten werden dringend benötigt?
▪ Ca. 80% bekommen einen Schlüssel!50% können mit Schlüssel Daten wiederherstellen
▪ Kriminelle nicht kontaktieren
▪ Kein Lösegeld zahlen
▪ Anzeige erstatten
Seite 30Seite 30IT Sicherheit durch bewusstes Verhalten | Michael Müller
Crypto Ransomware / Erpressungstrojaner –Checkliste
✓Aktuelles, funktionierendes Backup (keine Schreibrechte auf Archiv)
✓Laufende Softwareupdates
✓Anti Virus und Anti Spam
✓Getrennte Konten für jeden Nutzer und eigenes Admin Konto
✓Backup auf eigener Hardware und nicht dauerhaft mit PC verbinden
✓Awareness der User
✓Für Firmen:
✓ Application Whitelisting
✓ Blocken von speziellen Dateiendungen
✓ Hardening der Systeme
✓ Advanced Persistent Threat (APT) Protection
Seite 31Seite 31IT Sicherheit durch bewusstes Verhalten | Michael Müller
Datensicherung
▪ Beispiel BackUp Maker
Seite 32Seite 32IT Sicherheit durch bewusstes Verhalten | Michael Müller
▪ Backup erstellen
▪ Expertenmodus für weitere Einstellungsmöglichkeiten
Seite 33Seite 33IT Sicherheit durch bewusstes Verhalten | Michael Müller
▪ Einfache Möglichkeit über Schnellauswahl
▪ Erweiterte Möglichkeit mit selbst ausgewählten Dateien und Ordnern
Seite 34Seite 34IT Sicherheit durch bewusstes Verhalten | Michael Müller
▪ Sicherung zu einem bestimmten Zeitpunkt
▪ Sicherung auf bestimmte Tage und Zeiten beschränken
▪ Sicherung bei einem Systemereignis startenz.B. Windows Start, Festplatte anstecken
Seite 35Seite 35IT Sicherheit durch bewusstes Verhalten | Michael Müller
▪ Zielordner des Backups auswählen
Seite 36Seite 36IT Sicherheit durch bewusstes Verhalten | Michael Müller
▪ Name für Backup vergeben
▪ Datum zum Dateinamen hinzu fügen
Seite 37Seite 37IT Sicherheit durch bewusstes Verhalten | Michael Müller
Backup fertig eingerichtet
▪ Backup wird nun automatisch am festgelegten Termin / Ereignis erstellt
Seite 38Seite 38IT Sicherheit durch bewusstes Verhalten | Michael Müller
CEO Fraud / Betrug mit Chef-Masche
Seite 39Seite 39IT Sicherheit durch bewusstes Verhalten | Michael Müller
CEO Fraud / Betrug mit Chef-Masche
Abwesend
Seite 40Seite 40IT Sicherheit durch bewusstes Verhalten | Michael Müller
Seitenquelltext anzeigen lassen
Seite 41Seite 41IT Sicherheit durch bewusstes Verhalten | Michael Müller
E-Mails im Detail: Quelltext
Received: from xlspam01-internal.wien.rbgat.net ([10.14.36.18])by mx01.mdcs.at (Lotus Domino Release 8.5.3FP6)with ESMTP id 2015090822122811-231477 ;Tue, 8 Sep 2015 22:12:28 +0200
Received-SPF: None (xlspam01.mdcs.at: no sender authenticityinformation available from domain ofpostmaster@smtpout.aon.at) identity=helo;client-ip=195.3.96.112; receiver=xlspam01.mdcs.at;envelope-from="MisterX@a1.net";x-sender="postmaster@smtpout.aon.at";x-conformance=sidf_compatible.downgrade_pra
X-IronPort-Anti-Spam-Filtered: trueX-IronPort-Anti-Spam-Result: A0EJDgAEQO9VnHBgA8NdGQEBBgEBhBepOQIJBoQal2IBgT08EAEBAQEBAQEDDgEBAQEBBg0JCSEuQQECAoR7AQKJYgGnY6QwhiyCTweIFoMBgRQFkjKDHAeBSIFFhR6fRoFwCwEBAQGCKYNsVIR4AQEBX-IPAS-Result: A0EJDgAEQO9VnHBgA8NdGQEBBgEBhBepOQIJBoQal2IBgT08EAEBAQEBAQEDDgEBAQEBBg0JCSEuQQECAoR7AQKJYgGnY6QwhiyCTweIFoMBgRQFkjKDHAeBSIFFhR6fRoFwCwEBAQGCKYNsVIR4AQEBX-IronPort-AV: E=Sophos;i="5.17,492,1437429600";
d="scan'208,217";a="272481695"Received: from smtpout.aon.at ([195.3.96.112])by xlspam01.mdcs.at with ESMTP/TLS/DHE-RSA-AES256-SHA; 08 Sep 2015 22:12:27 +0200
Received: (qmail 28981 invoked from network); 8 Sep 2015 20:12:27 -0000X-Spam-Checker-Version: SpamAssassin 3.4.0 (2014-02-07) on
WARSBL507.highway.telekom.atX-Spam-Level: Received: from 178-190-254-83.adsl.highway.telekom.at (HELO [10.0.0.2]) ([178.190.254.83])
(envelope-sender <MisterX@a1.net>)by smarthub82.res.a1.net (qmail-ldap-1.03) with AES128-SHA encrypted SMTPfor <wilhelm.raiffeisen@r-it.at>; 8 Sep 2015 20:12:26 -0000
X-A1Mail-Track-Id: 1441743143:28755:smarthub82:178.190.254.83:1
Start
Ziel
1. „Received-Header“: IP-
Adresse
des Absenders
„Zwischenstationen“ inklusive IP-
Adressen
Seite 42Seite 42IT Sicherheit durch bewusstes Verhalten | Michael Müller
E-Mails im Detail: Quelltext
From: MisterX@a1.netSubject: Herzliche Gratulation!To: wilhelm.raiffeisen@r-it.atMime-Version: 1.0 (Mac OS X Mail 7.3 \(1878.6\))X-Mailer: Apple Mail (2.1878.6)X-TNEFEvaluated: 1Message-ID: <8F8EFCD5-E605-4D40-B088-0C61B4CC9C56@a1.net>Date: Tue, 8 Sep 2015 22:12:22 +0200X-MIMETrack: Serialize by Notes Client on Wilhelm RAIFFEISEN/R-IT/RAIVIE/AT(Release 8.5.3FP6SHF416|February 28, 2015) at 10.09.2015 15:47:20,
Serialize complete at 10.09.2015 15:47:20Content-Type: multipart/alternative; boundary="Apple-Mail=_2EAAD322-AEEC-4CA4-B750-483B526F6D14"
--Apple-Mail=_2EAAD322-AEEC-4CA4-B750-483B526F6D14Content-Transfer-Encoding: quoted-printableContent-Type: text/plain;
charset=iso-8859-1
Sie haben gewonnen!
Klicken Sie hier um Ihren Gewinn zu best=E4tigen.
Mit freundlichen Gr=FC=DFen
MisterX.=
--Apple-Mail=_2EAAD322-AEEC-4CA4-B750-483B526F6D14Content-Transfer-Encoding: quoted-printableContent-Type: text/html;…
Diese Angaben können
vom Absender beliebig erfasst werden und geben
nicht unbedingt Auskunft über den wirklichen
Absender bzw. das tatsächliche Sendedatum.
Auch Informationen über verwendete
Technologien und E-Mail-Programme finden sich
im Quelltext.
Hier beginnt der eigentliche Inhalt der E-Mail bzw.
die Nachricht.
Alles davor sind „Header“ bzw. „Informationen
am Briefumschlag“
Seite 43Seite 43IT Sicherheit durch bewusstes Verhalten | Michael Müller
Wem gehört diese IP-Adresse?
https://apps.db.ripe.net/search/query.html
Seite 44Seite 44IT Sicherheit durch bewusstes Verhalten | Michael Müller
Wird über diese IP-Adresse Spam verschickt?
▪ https://talosintelligence.com/
Seite 45Seite 45IT Sicherheit durch bewusstes Verhalten | Michael Müller
Analyse von Dateianhängen
▪ https://www.virustotal.com/de/
Seite 46Seite 46IT Sicherheit durch bewusstes Verhalten | Michael Müller
CEO Fraud / Betrug mit Chef-Masche –Checkliste
✓Prozess bei der Freigabe von Rechnungen (4-Augen Prinzip)
✓Nachfragen beim Vorgesetzten muss erlaubt sein!
✓Awareness der User
✓„Fake-Check“ (Anti Spoofing) – E-Mails mit internem Absender
von Extern müssen abgelehnt werden
✓Hardening der E-Mail Infrastruktur mit technischen
Maßnahmen wie SPF, DMARC und DKIM
✓Anti Spam
Seite 47Seite 47
Datensicherung
Anti Virus
Software Updates
Starke Passwörter
Vorsicht vor Betrügern!
IT Sicherheit durch bewusstes Verhalten | Michael Müller
5 einfache Schritte!
Seite 48
v
Raiffeisen Informatik GmbH
Lilienbrunngasse 7-9
1020 Wien
T +43 1 99 3 99 0
E info@r-it.at
W www.r-it.at
IT Sicherheit durch bewusstes Verhalten | Michael Müller