1. 2 3 Adrian Lamo Kevin Poulsen Mercedes Haefer John “Captain Crunch” Draper Robert Morris...
-
Upload
cornelius-falk -
Category
Documents
-
view
216 -
download
3
Transcript of 1. 2 3 Adrian Lamo Kevin Poulsen Mercedes Haefer John “Captain Crunch” Draper Robert Morris...
1
HACKINGDAS SPIEL MIT DEM FEUER
2
VORURTEIL: HACKER == BÖSE
• HACKER SCHREIBEN HOCHENTWICKELTE COMPUTERPROGRAMME UM IN SYSTEME EINZUDRINGEN
• HACKER MACHEN DIES UM AN PERSÖNLICHE INFORMATIONEN FÜR IDENTITÄTSDIEBSTAHL ZU KOMMEN
• „HACKING“ IST DAS DIGITALE ÄQUIVALENT ZUM BANKÜBERFALL: HACKER DRINGEN IN SYSTEME EIN, NEHMEN ALLES WAS SIE BEKOMMEN UND VERSCHWINDEN SCHNELLSTMÖGLICH
• HACKING HINTERLÄSST DIGITALE FINGERABDRÜCKE DIE MAN ZURÜCKVERFOLGEN KANN UM DEN DIEB ZU FASSEN
3
WER IST HACKER?
4
WER IST HACKER?
Adrian Lamo
Kevin Poulsen
Mercedes Haefer
John “Captain Crunch” Draper Robert Morris
Berkley Blue & Oaf Tobark
5
MACHEN SIE ES UM GEWINN ZU MACHEN?
MANCHMAL, ABER:• RACHE• INFORMATIONSBESCHAFFUNG• „EIN WICHTIGER GRUND“• GLAUBWÜRDIGKEIT• LANGEWEILE• „WENN ES SCHON MAL DA IST…“
6
SIE SIND HINTER UNSEREN PERSÖNLICHEN INFORMATIONEN HER
SAGT WER?
7
HACKER SIND DIE BESTEN AUF IHREM GEBIET - ‚HACKERS ARE COMPUTER „BLACK BELTS“‘
Über 100 Hacking Tools Vorinstalliert
8
BELIEBTE TOOLS:
• JOHN THE RIPPER (PASSWORD CRACKING)• ANGRY IP SCANNER (NETZWERK SCANNER)• THC HYDRA (PASSWORD CRACKING)• CAIN & ABEL (TOOLSET FÜR WINDOWSIANER)• BURP-SUITE (WEB APPS)• SOCIAL ENGINEERING TOOLKIT („SET“)• WIRE SHARK (PACKET SNIFFER)
=> EINS DER GRÖẞTEN PROBLEM IST BEI DER GROẞEN AUSWAHL DAS RICHTIGE ZU FINDEN
9
NESSUS
Schlecht für dich/Gut für mich Schwachstellenname erleichtert die
Suche
10
HAUSFRIEDENSBRUCH NACH BELIEBEN? UNBEZAHLBAR
KALILINUXKOSTENLOS
DIE INKLUDIERTEN TOOLSKOSTENLOS
NESSUS KOSTENLOS
11
ABER DIE ZWEI WICHTIGSTEN HACKING TOOLS?
12
• INFORMATION AGGREGATION• SYSTEM KONFIGURATION• BENUTZERNAME• PASSWORT• E-MAIL ADRESSEN• BEZIEHUNGSMATRIZEN
• DIE ANTWORTEN AUF ALLE WIE -FRAGEN
13
YOUTUBE
RAT: Remote Administration TerminalFUD: Fully Undetectable
14
HACKING IST EINFACH ZU ERKENNEN
Informationsbeschaffung
Angriffsvektoren finden
Ausnutzen von Schwachstellen
Persistierung (Backdoor) / Dokumentation
Spuren vernichten / Lücken schließen
15
SCHNELLER ÜBERBLICK
• ANFÄNGE ERFORDERN ZUGRIFF AUF GOOGLE, YOUTUBE UND DEN WILLEN ZU LERNEN
• HACKER HABEN VERSCHIEDENE ZIELE• GUTE HACKER KÖNNEN FÜR MONATE UNENTDECKT IN EINEM SYSTEM
LAUERN• HACKING IST EXTREM SCHWER ZU ERKENNEN
16
ANGRIFF IST DIE BESTE VERTEIDIGUNG
• SCHWACHSTELLEN ALS ERSTES FINDEN UND SCHLIEẞEN• INSIDER WISSEN ERLEICHTERT DIE ANGRIFFE IMMENS => ZEITVORTEIL
17
PHISHING/SPEARPHISHING
• PHISHING: UNPERSÖNLICHE „MAẞEN“ EMAIL• SPEARPHISHING: PERSÖNLICHE INFORMATIONEN DES „SENDERS“ ODER
EMPFÄNGERS WERDEN BENUTZT• URLAUBSPLÄNE• FIRMENEVENTS• HOBBIES
• DIE INFORMATIONEN SIND LEICHT ZU BEKOMMEN DANK
18
THER‘S AN APP FOR THAT
19
PHYSICAL INTRUSIONFirst Rule of Hacking: If you can touch it, you will own it.
20
GEGENMAẞNAHMEN
• AUFMERKSAMKEIT UND VERSTÄNDNIS SCHÄRFEN• JEDER MITTARBEITER GEHÖRT ZUM SICHERHEITSPLAN
• TRAINING• DIE ANGRIFFSVEKTOREN VERSTEHEN• DIE GEFAHR RICHTIG EINSCHÄTZEN
21
SICHERE SICHERHEIT• „IT“ VERSTEHEN
• HOCH SPEZIALISIERT• NETZWERK• DESKTOP• DATENBANKEN• PROGRAMMIERUNG• WEBSEITEN
• SICHERHEIT IST 10% IT UND 90% ALLE ANDEREN• PHYSIKALISCHER SCHUTZ• MOBILE DEVICE SECURITY• ANTI-PHISHING SCHULUNGEN
22
WAS IST DER NÄCHSTE SCHRITT?
IHR CHEF ERHÄLT EINE E-MAIL MIT DEN PRIVATEN INFORMATIONEN VON 10 ANGESTELLTEN. DER ABSENDER GIBT AN, DASS ER ÜBER 10.000 SOLCHER DATENSÄTZE HAT UND DIESE VERÖFFENTLICHT, FALLS DIE FIRMA KEINEN ANGEMESSENEN BETRAG INNERHALB VON 12 STUNDEN BEZAHLT.• WELCHE VORSCHRIFTEN HABEN IHRE FIRMEN HIERFÜR?• ZIEHEN SIE EINE ANZEIGE IN ERWÄGUNG?• WIE LAUTET IHRE MEDIENSTRATEGIE?• DECKT IHRE VERSICHERUNG SO ETWAS AB?• WIE ÜBERPRÜFEN SIE, OB DIE GEFAHR ECHT IST?
23
VERSCHLÜSSELUNG
• MINIMIERT DIE INFORMATIONEN AUF DIE EIN ANGREIFER ZUGRIFF HAT.• VERSCHLÜSSELUNG GIBT ES IN VERSCHIEDENEN FORMEN:
• ÜBERTRAGUNGSVERSCHLÜSSELUNG (TLS, S/MIME, PGP)• DATEIVERSCHLÜSSELUNG• FESTPLATTENVERSCHLÜSSELUNG (TRUECRYPT, BIT LOCKER)
24
ZUSAMMENFASSUNG
• UPDATE & PATCH• SEHR WENIG „ZERO DAY“ MALWARE• DIE MEISTE MALWARE IST VOM PATCH ABGELEITET
• PASSWORT SICHERHEIT• LÄNGER IST SICHERER ALS KOMPLEX• (TD$K! < 1 SECUNDE; „ICH KANN MIR MEIN PASSWORT NICHT MERKEN“ >
MEHRERE JAHRZEHNTE)• PHYSIKALISCHEN ZUGRIFF VERHINDERN• STANDARD PASSWÖRTER ÄNDERN
• COMPUTER/WIRELESS ACCESS POINTS/ROUTER/ALARM ANLAGEN/SOFTWARE/…
25
FRAGEN?PRESENTATION: KLAUS FRANK
THIS PRESENTATION BY KLAUS FRANK IS LICENSED UNDER A CREATIVE COMMONS ATTRIBUTION-SHAREALIKE 4.0 INTERNATIONAL LICENSE.PERMISSIONS BEYOND THE SCOPE OF THIS LICENSE MAY BE AVAILABLE AT [email protected].
WIRESHARK IS A REGISTERED TRADEMARK OF WIRESHARK FOUNDATIONMETASPLOIT IS A REGISTERED TRADEMARK OF METASPLOIT, LLC.© 2015 GOOGLE INC. ALL RIGHTS RESERVED. GOOGLE AND THE GOOGLE LOGO ARE REGISTERED TRADEMARKS OF GOOGLE INC© 2015 GOOGLE INC. ALL RIGHTS RESERVED. YOUTUBE AND THE YOUTUBE LOGO ARE REGISTERED TRADEMARKS OF GOOGLE INCKALI LINUX ™ IS A TRADEMARK OF OFFENSIVE SECURITY.LINKEDIN, THE LINKEDIN LOGO, THE IN LOGO AND INMAIL ARE REGISTERED TRADEMARKS OR TRADEMARKS OF LINKEDIN CORPORATION AND ITS AFFILIATES IN THE UNITED STATES AND/OR OTHER COUNTRIES.THE FACEBOOK LOGO IS TRADEMARK OF FACEBOOK INC. ALL VECTOR IMAGES AND PHOTOS USED IN PRESENTATION ARE COPYRIGHTED BY THEIR RESPECTIVE OWNERS.