Technischer Datenschutz kann auch einfach sein! Live Hacking · Datenschutz I IT-Sicherheit I...

Datenschutz I IT-Sicherheit I IT-Forensik I IT-Compliance

Technischer Datenschutz

kann auch einfach sein!

Live HackingBvD-Herbstkonferenz Datenschutz 2018

Ablaufplan Hackerlabor

2

Wie funktioniert das Internet?

Hacking eines Xing-Profils

Passworthack mit L0phtcrack

Der Spion in meiner Tasche

Privacy by Design?

Was uns Fotos verraten

Risiko Nr. 1 – der USB-Stick

Das Netz weiß alles (Recherche via Maltego)

Social Engineering


3





Privacy by Design?




Social Engineering

Wie funktioniert das Internet?Funktionsweise des DNS-Servers

Internet

84.56.88.125

63.16.88.25

134.68.125.01

104.66.89.141

62.253.72.168

72.52.10.14

85.163.28.250

31.13.90.2

65.168.123.125

52.142.89.20

33.164.28.113

59.16.35.128

39.18.120.125

4

http://images.google.de/imgres?imgurl=http://www.tauchrevier-gasometer.de/assets/images/sat1.jpg&imgrefurl=http://www.tauchrevier-gasometer.de/html/body_medien.html&usg=__oOvAiD9MzFE67iOb_BJqMds32hM=&h=432&w=600&sz=50&hl=de&start=2&tbnid=fJQ-P_nUL_eViM:&tbnh=97&tbnw=135&prev=/images?q=sat1&um=1&hl=de&client=firefox-a&sa=G&rls=org.mozilla:de:official&tbs=isch:1&um=1&itbs=1

http://images.google.de/imgres?imgurl=http://www.24mobile.de/blog/wp-content/uploads/2009/08/vodafone-logo.jpg&imgrefurl=http://www.24mobile.de/blog/vodafonenetz-hotspots-bis-zu-144-mbit-hsdpa.html&usg=__91V_xEL6BbTR7BEC6YhaQHydRiI=&h=281&w=390&sz=12&hl=de&start=1&tbnid=cjXQvKdbK2MvsM:&tbnh=89&tbnw=123&prev=/images?q=vodafone&um=1&hl=de&client=firefox-a&sa=G&rls=org.mozilla:de:official&tbs=isch:1&um=1&itbs=1

http://images.google.de/imgres?imgurl=http://www.freebiereporter.com/images/logo11.jpg&imgrefurl=http://www.freebiereporter.com/free-biz-domain-from-1and1/&usg=__-MNuYLuI3lnUEtJTc21BINWtvi0=&h=1204&w=1200&sz=85&hl=de&start=1&tbnid=vDMurcdLF0pDnM:&tbnh=150&tbnw=150&prev=/images?q=1&1&um=1&hl=de&client=firefox-a&sa=G&rls=org.mozilla:de:official&tbs=isch:1&um=1&itbs=1

http://images.google.de/imgres?imgurl=http://picnica.ciao.com/de/157504380.jpg&imgrefurl=http://www.ciao.de/ebay_de__Test_8394591&usg=__yxjxVrKeztLBoj0c2d20UsY_F2Q=&h=300&w=400&sz=28&hl=de&start=6&tbnid=HDem5JlGtkSU0M:&tbnh=93&tbnw=124&prev=/images?q=ebay.de&um=1&hl=de&client=firefox-a&sa=G&rls=org.mozilla:de:official&tbs=isch:1&um=1&itbs=1

http://images.google.de/imgres?imgurl=http://www.meintag-blog.de/wp-content/uploads/2008/02/youtube1.jpg&imgrefurl=http://www.meintag-blog.de/internet/youtubede-offline/&usg=__KkdrItPFkF064KsIrAkGGoZJRHo=&h=213&w=320&sz=9&hl=de&start=3&tbnid=hlGUVh6QlMGZVM:&tbnh=79&tbnw=118&prev=/images?q=youtube.de&um=1&hl=de&client=firefox-a&sa=G&rls=org.mozilla:de:official&tbs=isch:1&um=1&itbs=1

http://images.google.de/imgres?imgurl=http://www.ashastd.org/images/facebook_logo.jpg&imgrefurl=http://www.ashastd.org/hpv/hpv_overview.cfm&usg=__dxi_3LSn7u9OhImhhhtFNyCAbks=&h=790&w=2100&sz=135&hl=de&start=3&tbnid=WnsmOCuSOUlvmM:&tbnh=56&tbnw=150&prev=/images?q=facebook&um=1&hl=de&client=firefox-a&sa=G&rls=org.mozilla:de:official&tbs=isch:1&um=1&itbs=1

http://images.google.de/imgres?imgurl=http://germandancemasters.com/images/Pro7Logo.gif&imgrefurl=http://germandancemasters.com/index.php?menuid=16&reporeid=59&usg=__10ZbYguFW2Elg7IYlXpj24sD1Ak=&h=154&w=150&sz=2&hl=de&start=5&tbnid=aaaUD0ImfGjC5M:&tbnh=96&tbnw=94&prev=/images?q=pro7&um=1&hl=de&client=firefox-a&sa=G&rls=org.mozilla:de:official&tbs=isch:1&um=1&itbs=1

http://images.google.de/imgres?imgurl=http://www.tv-net.at/homepage/presse/images/RTL_LOGO.jpg&imgrefurl=http://www.tv-net.at/homepage/presse/news.htm&usg=__MltI8gnRmOYDYnRqqK__DzNxW3o=&h=365&w=1636&sz=117&hl=de&start=2&tbnid=gScVnGEkuYBNHM:&tbnh=33&tbnw=150&prev=/images?q=rtl&um=1&hl=de&client=firefox-a&sa=G&rls=org.mozilla:de:official&tbs=isch:1&um=1&itbs=1


Wie verbinde ich mich mit der BvD Webseite?

5

www.bvdnet.de


6

Ich möchte zur Webseite des BvD

BvD Webseite-IP = 80.241.58.60

Gehe zu IP 80.241.58.60

Jetzt bin ich beim BvD auf der Webseite

IP = 80.241.58.60


7


8

DNS-Server (Domain Name System)

▪ wandelt Internetadressen/Computernamen in IP-Adressen um und

umgekehrt

▪ sollte er Namen oder IP-Adressen nicht finden, fragt er einen

anderen DNS-Server

▪ ohne DNS könnten wir nicht auf z.B. Facebook, Twitter, Youtube

zugreifen

▪ Fazit: Ein DNS-Server ist das Telefonbuch des Internets


9





Privacy by Design?




Social Engineering


10

Quelle:

https://www.abendblatt.de/region/niedersachsen/article212741141/Unbekannte-

hacken-Twitter-Account-von-Kultusminister.htmlhttps://www.shz.de/regionales/schleswig-holstein/panorama/daniel-guenthers-privates-facebook-profil-

gehackt-id18143931.html

11

Ich möchte zu XING

manipulierte XING IP = 10.121.11.24

Gehe zu IP 10.121.11.24

IP = 10.121.11.24


richtige XING IP=

2.18.253.135

Jetzt bin ich auf

der manipulierten

Seite


Schutzmaßnahmen:

▪ Anmeldung bei Xing, Facebook, Amazon,

Zalando etc. nur aus bekannten

Netzwerken!!

12


13





Privacy by Design?




Social Engineering

14

Passworthack mit L0phtcrack Passwort - Knacker 2009

Stand 2009 Passwortlänge mit 100.000 Versuche pro Sekunde

Passwortzusammensetzung 5 6 7 8 9

A-Z (26 Zeichen) oder nur a-z (26 Zeichen) 2

min.

1

Std.

1

Tag

24

Tage

2

Jahre

A-Z, a-z, 0-9 (62 Zeichen kombiniert) 3

Std.

7

Tage

1

Jahr

69

Jahre

4.290

Jahre

A-Z, a-z, 0-9,

- [ ] = \ ; ‚ , . / ` ~ ! @ # $ % ^ & * ( ) _ + { } | :

„ < > ? (96 Zeichen kombiniert)

23

Std.

91

Tage

24

Jahre

2.288

Jahre

219,5

Tsd. Jahre

Basierend auf einem handelsüblichen PC ergaben sich bei einem Angriff (durch

Ausprobieren) etwa 100.000 Versuche pro Sekunde im Jahre 2009:

Quelle: eigene Berechnung, Basis: Daten von Wikipedia, DuD u. www.1pw.de

Passworthack mit L0phtcrack Passwort - Knacker 2016

15

Die Angriffsdauer beim Passwortknacken im Jahre 2016:

Quelle: eigene Berechnung, Basis: Daten von Wikipedia, DuD u. www.1pw.de


16

L0phtcrack wird verwendet, um Passwortstärken zu testen und

Microsoft Windows-Passwörter zu knacken.

Angriffsmethoden:

• Dictionary-Attacke

• Brute-Force-Attacke

• Rainbow-Tables

Passwort-Hack mit L0phtcrack

Schutzmaßnahmen:

Verwendung sicherer Passwörter!!

▪ Länge mind. 12 Zeichen

▪ Buchstaben, Zahlen und Sonderzeichen

▪ keine gängigen Varianten u. Tastaturmuster

▪ regelmäßige Änderung

▪ Geheimhaltung

▪ verschieden bei unterschiedlichen Konten

17

47(Schnecke)11-ama47(Schnecke)11(Schnecke)Schnecke


18





Privacy by Design?




Social Engineering

19


Quelle: https://t3n.de/news/skygofree-polizei-liest-whatsapp-913294/


20

FlexiSpy ist eine Software zum ausspionieren von Nutzerdaten auf

Smartphones und Tablets.

Unterstützte Systeme:

▪ Android / Android Tablets

▪ iPhone / iPad

▪ BlackBerry

▪ Nokia Symbian

Welche Informationen kann FlexiSpy abrufen?

▪ Telefonanrufe

▪ Nachrichten (SMS, WhatsApp...)

▪ GPS-Standorte

▪ Internet-Verlauf

▪ Musik, Bilder, Dokumente

▪ ...

Schutzmaßnahmen:

▪ niemals das Smartphone aus der Hand

geben

▪ nutzen Sie PIN, Gerätesperrcode und

Zugangscode

▪ installieren Sie einen Virenschutz (nur

Android)

▪ Mobile Device Management System

▪ Verlust immer melden

▪ Deaktivieren Sie die Sprachsteuerung im

Sperrbildschirm

21



22





Privacy by Design?




Social Engineering

Privacy by Design?

23

Privacy by Design?Shodan

24

Shodan ist die gefährlichste Computer-Suchmaschine.

▪ Sie ermöglicht Benutzern, bestimmte Arten von Computern

und Diensten (Webcams, Routern, Servern usw.), die mit dem

Internet verbunden sind, über eine Reihe von Filtern zu finden.

▪ Shodan sammelt Daten meist auf Webservern (HTTP/HTTPS

über die Ports 80, 8080, 443, 8443) sowie FTP (Port 21), SSH

(Port 22), Telnet (Port 23), SNMP (Port 161), SIP (Port 5060),

und Real Time Streaming Protocol (RTSP, Port 554).

(Quelle: Wikipedia)

Privacy by Design?Risiko Web Shops

25

https://www.watson.ch/Digital/Schweiz/899481299-70-000-Schweizer-Passwoerter-gestohlen-----jetzt-ist-klar--welcher-Online-

Shop-das-Leck-war

https://www.onlinehaendler-news.de/handel/allgemein/28895-amazon-fake-shops-zunahme.html

Schutzmaßnahmen:

▪ HTTPS-Verschlüsselung

▪ Check, wann die Webseite erstellt wurde

(Copyright o.Ä.)

▪ Misstrauen bei unrealistischen Angeboten

▪ Beachtung von Kundenbewertungen &

Kommentaren

▪ Beachtung, ob Zahlungswege sicher sind

(Paypal, Rechnung)

26

Privacy by Design?Risiko Web Shops

Schutzmaßnahmen:

▪ regelmäßige System-Updates

▪ Verwendung „vernünftiger“ Programme

▪ Schließen nicht benötigter Ports

27

Privacy by Design?Shodan


28





Privacy by Design?




Social Engineering

29



30

Maltego ist eine Software, mit der Daten aus dem Internet

visualisiert und anhand derer Zusammenhänge hergestellt

werden.

▪ Reale Beziehungen zwischen Personen, Websites,

Netzwerken etc. können analysiert werden.

Schutzmaßnahmen:

▪ „Es ist sinnvoll, vor dem Upload

nachzudenken.“

(Zitat einer Schülerin, 7. Schuljahr, 2013, Berlin)

31



32





Privacy by Design?




Social Engineering


Mit Hilfe der Webseite Fotoforensics.com lassen sich Fotos innerhalb

weniger Minuten analysieren / auswerten.

Informationen über Fotos:

• Gerätename

• Kamera-Modell

• Betriebssystem

• Aufnahmedatum

• GPS-Daten (Koordinaten)

33


34





Privacy by Design?




Social Engineering


35

Szene:

Sie finden einen USB-Stick auf dem Flur, den Sie nicht zuordnen

können.

Um den Stick dem rechtmäßigen Besitzer schnell zurückzugeben,

schließen Sie ihn kurz an, um anhand der Dokumente den Besitzer

ausfindig zu machen.......

Ergebnis:

Trojaner erfolgreich installiert, das war es mit Ihren Daten!


Schutzmaßnahmen

▪ Verwenden Sie bitte keine

unbekannten USB-Sticks!!!

▪ Überschreiben Sie USB-Sticks

mehrfach!!!

36


37





Privacy by Design?




Social Engineering

Social Engineering

38

Quelle: http://www.20min.ch/digital/news/story/Wie-ein-15-Jaehriger-

die-Spione-der-USA-narrte-20109240

Social Engineering

39

Definition:

Um Social Engineering oder auch Social Hacking handelt es sich, wenn durch

Annäherung an Geheimnisträger mittels gesellschaftlicher oder vorgespielter

Kontakte Zugang zu vertraulichen Informationen, Geld oder IT-Ressourcen

erlangt wird.

Warum hat Social Engineering Erfolg?

Menschen sind durch ihre persönlichen Eigenschaften manipulierbar wie z.B.:▪ Autoritätshörigkeit

▪ Eitelkeit

▪ Hilfsbereitschaft

▪ Geltungsdrang

▪ Solidarität mit Kollegen

▪ Gier

▪ Mitleid

▪ Social Engineering ist die gefährlichste Form des Informations-

diebstahls in Unternehmen.

Social Engineering

Motivationsgründe der Social Engineers

Die Motivation, einen Social Engineering-Angriff durchzuführen, ist

keine andere als bei einem „normalen“ technischen Angriff auf

Informationen.

▪ Meistens geht es dabei um einen der folgenden Punkte:

▪ Industriespionage

▪ Identitätsdiebstahl

▪ Spaß oder Macht

▪ Finanzielle Gründe

▪ soziale Gründe (Ex-Partner)

40

Schutzmaßnahmen

▪ nicht auf fremde Links klicken

▪ Bedarfs- und Schwachstellenanalyse

▪ Mitarbeiterschulungen

▪ Durchführung einer Social Engineering-

Kampagne

▪ Erarbeitung von Policies

▪ regelmäßige Überprüfung der Maßnahmen

41

Social Engineering

Noch Fragen?

Vielen Dank für Ihre

Aufmerksamkeit!

42

Technischer Datenschutz kann auch einfach sein! Live Hacking · Datenschutz I IT-Sicherheit I...

Documents

Transcript of Technischer Datenschutz kann auch einfach sein! Live Hacking · Datenschutz I IT-Sicherheit I...