Social Engineering und Security Awareness für ... · PDF fileSocial Engineering und...

Social Engineering und Security Awarenessfür Systemadministratoren

Stefan Schumacher

Magdeburger Institut für Sicherheitsforschungstefan.schumacher@sicherheitsforschung-magdeburg.de

SLAC2016

Stefan Schumacher Social Engineering SLAC2016 1 / 111

[email protected]

Über Mich


Über Mich

Bildungswissenschaft/Psychologie20+ Jahre Hacker, einige Jahre NetBSD-EntwicklerBerater für Unternehmenssicherheit www.Kaishakunin.comBerater für Finanzinstitute, Regierungen, SicherheitsbehördenOrganisationssicherheit, Social Engineering, Security AwarenessDirektor des Magdeburger Instituts für SicherheitsforschungHerausgeber des Magdeburger Journals zur Sicherheitsforschungwww.Sicherheitsforschung-Magdeburg.de

Lehrbeauftragter


www.Kaishakunin.com

www.Sicherheitsforschung-Magdeburg.de

Forschungsprogramme des MIS

Psychologie der SicherheitI Social EngineeringI Security Awareness, Sicherheit in OrganisationenI Didaktik der SicherheitI Didaktik der Kryptographie

LehrerfortbildungI Lernfelder: Fachinformatiker IT-SicherheitI Lernfelder: IT-Sicherheit für KaufleuteI Lernfelder: IT-Sicherheit für Elektroberufe

IT-Sicherheit in KMUI empirische GrundlagenforschungI didaktische AufbereitungI Schulungen


Schulungs- und Beratungsangebote

Sicher unterwegs in InternetSecurity Awareness Kampagnen konzipierenDie psychologischen Grundlagen des Social EngineeringsAnonymität und Überwachung im InternetDer digitale Untergrund: zur aktuellen Bedrohungslage im InternetKryptographie - Konzepte, Methoden und AnwendungenStrategien im WirtschaftskriegSelbstschutz in KrisengebietenNetzwerke absichern


Stefan Schumacher and René Pfeiffer (editors)In Depth Security – Proceedings of the DeepSec Conference360 PagesMagdeburger Institut für Sicherheitsforschung978-3981770001http://www.amazon.de/Depth-Security-Stefan-Schumacher/dp/3981770005/ref=sr_1_1?ie=UTF8&qid=1448888706


http://www.amazon.de/Depth-Security-Stefan-Schumacher/dp/3981770005/ref=sr_1_1?ie=UTF8&qid=1448888706



Schumacher, Stefan (2011)Die psychologischen Grundlagen des Social Engineeringsin: Magdeburger Journal zur Sicherheitsforschung, 01/2011, S.1-26http://www.sicherheitsforschung-magdeburg.de/publikationen/journal.html#c291

Schumacher, Stefan (2012)Sicherheit messen. Eine Operationalisierung als latentessoziales Konstrukt. In: Die sicherheitspolitische Streitkultur inder Bundesrepublik Deutschland. Hrsg. von S. Adorf, J. Schaffeldund Dietmar Schössler. Magdeburg: Meine Verlag, S. 1–38.


http://www.sicherheitsforschung-magdeburg.de/publikationen/journal.html#c291

http://www.sicherheitsforschung-magdeburg.de/publikationen/journal.html#c291

Inhalt

Die Psychologischen Grundlagen des Social EngineeringsSecurity Awareness KampagnenBeispiel: sichere Passwörter2FA mit Yubikey


Teil I

Psychologischen Grundlagen des SocialEngineering


Social EngineeringJawoll, Herr Hauptmann ...

Ausnutzen menschlicherVerhaltensweisenWarum sollte ich/etc/master.passwd cracken,wenn ich doch einen Benutzer dazubringen kann, mir sein Passwort zugeben.»Hacking People«Ausnutzen psychologischerVerhaltensweisen


GrundlagenFixed Action Patterns

Verhaltensbiologen untersuchen Fixed Action PatternsKonrad Lorenzens GraugänseExperiment nach M. W. Fox (1974)I ausgestopftes Wiesel mit LautsprecherI Truthenne hat Wiesel attackiert (naturlicher Feind)I Lautsprecher spielte Trutküken-Tschiep-TschiepI Truthenne akzeptierte Wiesel als TrutkükenI in der Natur macht ein Wiesel nicht Tschiep-Tschiep ...

Kuckuckskinder ...


Grundlagenstereotypes Verhalten

Wir sind auch nur Tierefight-or-flight-Reaktion (Flucht oder Kampf)Teuer ist gut (Mercedes, Miele, Chivas Regal)Experten wissen wovon sie reden ...Frauen und Schuhläden ...Der erste Eindruck ...


Grundlagenstereotypes Verhalten

Umwelt ist zu schnell und zu komplex um jede Entscheidung zuanalysierenUrteilsheuristiken als kurze Entscheidungsmakros werden durchAuslösemerkmale ausgelöstautomatisiertes, stereotypes Verhalten ist die effizientesteVerhaltensformAuslösemerkmale sind tlw. kulturabhängig (ehre die Alten, Frauensind wertlos)kontrolliertes Verhalten aufgrund sorgfältiger Analyse nur, wenndie Entscheidung als wichtig empfunden wird (Motivation istentscheidend)wir erwarten von unseren Beratern kontrolliertes Verhalten


stereotypes VerhaltenWahrnehmungskontraste

Wir reagieren auf Unterschiede/KontrasteExperiment: 3 Wassereimer: kalt, warm, heißlinke Hand in kaltes, rechte Hand in heißes Wasserdann beide Hände in warmes Wasser


Table of Contents

1 Reziprozität

2 Commitment und Konsistenz

3 Soziale Bewährtheit

4 Obedience to Authority

5 Sympathie

6 Knappheit


ReziprozitätGrundlagen

einen Gefallen zurückzahlen/eine Hand wäscht die andereGesellschaften gewinnen durch ReziprozitätReziprozität existiert in allen Kulturenkönnte biologistische Ursachen haben


ReziprozitätBeispiel

1985 erschütterte ein Erdbeben Mexiko, Äthiopien hungerte (BandAid)Das Äthiopische Rote Kreuz hat Mexiko 5,000$ gespendet1935 hat Mexiko Äthiopien geholfen, als es von Italien angegriffenwurdeDas ÄRK spürte den Drang zu helfenEbenso: freie Kostproben im Supermarkt, 5$-Scheck im Vorausbei Fragebögen, Geschäftsessen


Reziprozitätetwas subtiler:

ein Eingeständniss machen, das wird als Geschenk betrachtet ReziprozitätKannst du mir 100e leihen? Nein? Vielleicht 10?Kontrast spielt auch mit


ReziprozitätAbwehr

Geschenke ablehnen ist schwer (Japan)Es gibt immer großzügige Menschen (Wir sind kein HomoÖkonomicus!)Gefallen akzeptieren, aber wenn er sich als Trick herausstellt,sollte man die Reziprozität ignorieren


Table of Contents

1 Reziprozität




5 Sympathie

6 Knappheit


Commitment und KonsistenzTheorie des Commitment

Konsistenz: sich erwartungsgemäß/wie angekündigt verhaltenDer Wunsch nach Konsistenz wird als zentraleVerhaltensgrundlage betrachtetKonsistenz wird geschätzt und erwartet (vgl. Niklas Luhmann»Vertrauen als Mittel zur Reduktion sozialer Komplexität«)Inkonsistenz wird gewöhnlich als unerwünschte VerhaltensweisebetrachtetInkonsistenz wird häufig als geistige Störung betrachtet


Commitment und KonsistenzExample

Ein Assistent ging zum Strand um sich zu sonnen und nahm einKofferradio mitnach 10min holte er sich etwas zu trinkenein anderer Assistent griff sich das Radio und verschwand damit4/10 VPn hielten den Dieb aufim 2. Durchlauf bat der 1. Assistent seine Nachbarn auf das Radiozu achten19/20 VPn stoppten den Diebeinige sogar mit Gewalt


Commitment und KonsistenzFurby


Commitment und KonsistenzWarum funktioniert Konsistenz?

Was löst konsistentes Verhalten aus?Ein Commitment löst konsistentes Verhalten aus (bspw.Versprechen, auf Treu und Glauben)Das Commitment muss freiwillig, ohne Druck oder Belohnunggemacht werden»aktives Opt-In« ist das beste Commitmentein Commitment kann das Selbstbild einer Person verändern


Commitment und KonsistenzBeispiele

Initiationsriten (Armee, Burschenschaften, Organisationen,Gruppen...)initiierte Personen unterstützen die Gruppe besser und finden dieGruppe auch besser


Commitment und KonsistenzAbwehr

Commitment und Konsistenz können nicht einfach ignoriertwerdenhöre auf deine Bauchsignale, wir haben immer noch unsereInstinktehöre auf dein Herz, das ist etwas sensibler als der BauchWürde ich mich wieder so verhalten, wie ich es gerade tue?


Commitment und KonsistenzZusammenfassung

persönliche Konsistenz wird von der Gesellschaft erwartet undwertgeschätztKonsistenz vereinfacht das komplexe tägliche LebenNach einem Commitment sind Menschen gewillter, Anfragen zuerfüllen, wenn diese in ihr Commitment passensogar falsche Commitments können selbst-erfüllend werden


Table of Contents

1 Reziprozität




5 Sympathie

6 Knappheit


Soziale BewährtheitPrinzip

wir entscheiden was korrekt ist, indem wir herausfinden, wasandere Menschen für korrekt halteneine Handlung gilt als korrekt, wenn andere sie auch vollziehenwenn alle von der Brücke springen würden ...funktioniert sehr gut, wenn Menschen unsicher sindfunktioniert sehr gut, wenn die Referenzen uns ähnlich sind(Teenager)


Soziale BewährtheitBeispiele

Gelächter vom Band in TV-SendungenJemand der den Kirchturm anstarrtJeder kauft/nutzt/tut XBanken crashen (Malaysia 1999)Stampedesaffektive Desensibilisierung mittels Video möglich (Kinder/Hunde)Passive Bystander


Soziale BewährtheitAnwendung

Wenn die Mehrheit die Sicherheitsrichtlinie ignoriert, haben SieverlorenWenn die Mehrheit die Sicherheitsrichtlinie beachtet, haben Siegewonnenkritische Masse erreichen und ausnutzen


Soziale BewährtheitCountermeasures

ignoring Soziale Bewährtheit is impossiblecheck the data you are getting (the trigger feature)is really the majority doing X? (ads)train your workforce


Table of Contents

1 Reziprozität




5 Sympathie

6 Knappheit


Obedience to Authority

Stanley Milgram:40 VPn, Lernexperiment mit Wortpaarenbei falscher Antwort: Stromstoß15V, 30V, 45V ... 450V40VPn bis 300V, 26VPn bis 450V (65%)UV: Autorität des VL, Distanz zwischen VPnaber: Nervenzusammenbrüche der VPn

Stanford Prison, Affenherden und KaramellbonbonsWir glauben an Autoritäten, Rollenmodelle, Überraschung hilft



Stanley Milgram:40 VPn, Lernexperiment mit Wortpaarenbei falscher Antwort: Stromstoß15V, 30V, 45V ... 450V40VPn bis 300V, 26VPn bis 450V (65%)UV: Autorität des VL, Distanz zwischen VPnaber: Nervenzusammenbrüche der VPnStanford Prison, Affenherden und KaramellbonbonsWir glauben an Autoritäten, Rollenmodelle, Überraschung hilft



Menschen reagieren auf Symbole der AutoritätForschung: Titel, Kleidung, AutomobileKrankenschwestern (r.ear)


Table of Contents

1 Reziprozität




5 Sympathie

6 Knappheit


SympathiePrinzip

wir werden eher von Menschen beeinflusst, die wir mögenEin Rat unter Freunden ...Marketingmasche


SympathieWarum finden wir Menschen sympathisch?

physische Attraktivität (Halos)Ähnlichkeit (gespiegelte Fotos)Komplimente/Sympathie/Liebe (Romeo-Agenten)Konditionierung und Assoziation(Klingelt es beim Namen Pawlow?)

zusammenarbeiten und erfolgreich sein (Muzafer Sherif)


SympathieWarum finden wir Menschen sympathisch?

physische Attraktivität (Halos)Ähnlichkeit (gespiegelte Fotos)Komplimente/Sympathie/Liebe (Romeo-Agenten)Konditionierung und Assoziation(Klingelt es beim Namen Pawlow?)zusammenarbeiten und erfolgreich sein (Muzafer Sherif)


Table of Contents

1 Reziprozität




5 Sympathie

6 Knappheit


Knappheit

limitierte Ausgabe (special limited edition)begrenzte Angebote (Time Life)ZensurEbay/Auktionen


Knappheit

Entscheidungsmöglichkeiten gelten als wertvoller, wenn sieweniger verfügbar sindDinge an die man schwerer rannkommt sind in der RegelwertvollerWenn Dinge weniger verfügbar werden, verlieren wirFreiheitsgradeWenn man Informationen einschränkt, wollen Menschen dieseumso mehr bekommen und schätzen sie auch wertvoller ein(Beraterparadoxon)niemals einer einzelnen Informationsquelle vertrauen


Biologische Psychologie

endogenes Neuropeptid Oxytozin, generiert im Nucleusparaventricularis und Nucleus supraopticusZwischenspeicherung in der Hypophysesenkt Blutdruck und Cortisol, wirkt sedierend, verringert StressBindungsverhalten, z.B. zwischen Mutter und SäuglingDitzena et. al. (2006) Effects of social support and oxytocin onpsychological and physiological stress responses during maritalconflictggw. Forschung: Sozialphobien, Schizophrenie,Autismus/Asperger


Fazit

Social Engineering nutzt grundlegendes menschliches VerhaltenausKognitive Prozesse werden durch emotionale ReaktionenunterdrücktSecurity-Awareness-Kampagnen können dasSicherheitsbewusstsein erhöhenmenschliches Verhalten ist weder deterministisch nochdeterminierend


Fazit

Es gibt keine 100%ige Sicherheit und damit auch keinen100%igen Schutz vor Social EngineeringResiliente Systeme entwerfen, die Social Engineering beachtenpsychische und soziale Systeme beachtenHäufiger Schwachpunkt: Authentifikationsmechanismen


Teil II

Security Awareness Kampagnen


Table of Contents

7 Einführung/Motivation

8 Psychologie

9 Veränderungen in Organisationen

10 Motivation

11 Sicherheitsrichtlinie


Was ist eine Security-Awareness-Kampagne?

Gesamtheit aller Maßnahmen und notwendigen Ressourcen, umdas Sicherheitsbewusstsein einer Organisation zu erhöhen.(technische) Sicherheitsmaßnahmen vermittelnProjektmanagement: Managementmethoden, Psychologie,Soziologie, PädagogikBewusstseinsveränderung: Psychologie, Bildungswissenschaft,Chemie . . .Awareness; Training; Lernen


Organisation

keine Einzelkämpfer-Lösung (Championmodell)Kooperation mit anderen AbteilungenSchulung muss auch bei Führungskräften ansetzen


Table of Contents


8 Psychologie


10 Motivation



Wie wirklich ist die Wirklichkeit?Paul Watzlawick

Wirklichkeit wird im Subjekt konstruiert, ist damit abhängig vondessen Biografie (s. Radikaler Konstruktivismus)Watzlawick: Modell der zwei WirklichkeitenI Wirklichkeit 1. Ordnung

harte, also messbare, Realität (Temperatur, Alter, Gewicht)I Wirklichkeit 2. Ordnung

gefühlte, konstruierte Realität (Ist es warm/kalt? Bin ich jung/alt,dünn/dick?)

Jedes Subjekt konstruiert seine eigene, immanente RealitätDie Wirklichkeit gibt es nicht!s. a.: Jean Piaget, von Foerster, von Bertalanffy (Kybernetik 2.Ordnung)






Jedes Subjekt konstruiert seine eigene, immanente RealitätDie Wirklichkeit gibt es nicht!

s. a.: Jean Piaget, von Foerster, von Bertalanffy (Kybernetik 2.Ordnung)






Jedes Subjekt konstruiert seine eigene, immanente RealitätDie Wirklichkeit gibt es nicht!s. a.: Jean Piaget, von Foerster, von Bertalanffy (Kybernetik 2.Ordnung)


Perspektivenübernahme

Admin lebt in seiner Realität ./. User lebt in seiner RealitätAdmin will Systeme am laufen halten, dazu gehört auchSicherheit, Benutzer umgehen SicherheitsmaßnahmenUser will seine Aufgaben erledigen, und dazu möglichst einfachdie Systeme nutzen, Sicherheit als Barriere wahrgenommen

Führt zu Interessenkonflikt!?nicht zwangsläufig, wenn die Realitäten berücksichtigt werdenPerspektivenübernahme, EmpathiePerspektivziel Admin und User: eigene Aufgaben erledigen,Unternehmen am laufen halten, angenehmen Arbeitsplatzbehalten



Admin lebt in seiner Realität ./. User lebt in seiner RealitätAdmin will Systeme am laufen halten, dazu gehört auchSicherheit, Benutzer umgehen SicherheitsmaßnahmenUser will seine Aufgaben erledigen, und dazu möglichst einfachdie Systeme nutzen, Sicherheit als Barriere wahrgenommenFührt zu Interessenkonflikt!?

nicht zwangsläufig, wenn die Realitäten berücksichtigt werdenPerspektivenübernahme, EmpathiePerspektivziel Admin und User: eigene Aufgaben erledigen,Unternehmen am laufen halten, angenehmen Arbeitsplatzbehalten



Admin lebt in seiner Realität ./. User lebt in seiner RealitätAdmin will Systeme am laufen halten, dazu gehört auchSicherheit, Benutzer umgehen SicherheitsmaßnahmenUser will seine Aufgaben erledigen, und dazu möglichst einfachdie Systeme nutzen, Sicherheit als Barriere wahrgenommenFührt zu Interessenkonflikt!?nicht zwangsläufig, wenn die Realitäten berücksichtigt werdenPerspektivenübernahme, EmpathiePerspektivziel Admin und User: eigene Aufgaben erledigen,Unternehmen am laufen halten, angenehmen Arbeitsplatzbehalten


Was heißt das?

Niemand tut etwas gegen den eigenen Willen!Allerdings ist der »eigene Wille« adjustierbarZiel der SAK: EinstellungsänderungVerhalten: extrinsisch (Anschnallen, sonst Strafe)Einstellung: intrinsisch (Anschnallen, weil sicherer)User soll sich als sicherheitsbewusst wahrnehmen und auch sohandelnKompetenzentwicklung


MotivationspsychologieEntwicklung als probabilistische Epigenese

DefinitionDer Einfluss, den ein Kontext auf eine Person ausübt, wird durch dieBedeutung bestimmt, die sie ihm beimisst.

PETERMANN, F. (Hrsg.):Lehrbuch der klinischen Kinderpsychologie und -psychotherapie.Göttingen : Hogrefe, 2002


Was heißt das?

Motivation zwingend erforderlichBegründung warum Sicherheitsmaßnahmen erforderlichSich der Lebenswelt des Users nähern (Internetbanking, ZweiSchlüssel für Banktresore)Dem User seine Wichtigkeit zeigen (dein schlechtes Passwortkann das ganze Netzwerk gefährden)Verunsicherung ist MEGA-BÖSE, erleichtert ManipulationAuf neue User aufpassen: erst einweisen, dann ans Gerät lassen


Table of Contents


8 Psychologie


10 Motivation



Sozialpsychologie

SAK muss von allen getragen werdenvon oben nach untenEinstellungsänderungen bei allen, auch den Chefs und Schlipsenund den Nicht-UsernFühren durch VorbildPrinzip der sozialen Bewährtheit


Table of Contents


8 Psychologie


10 Motivation



MotivationMotive

treibt einen Organismus an, einem Ziel näher zu kommenbewusst oder unbewusstentspringt einem Bedürfnis, jedes Bedürfnis hat dieBedürfnis-Befriedigung zum Zielohne Motiv kein Verhaltenohne unbefriedigte Bedürfnisse kein MotivMotive sind stabil, Motivation nicht


MotivationBedürfnishierarchie nach Maslow (2002)

Begründer der Humanistischen Psychologie (mit Rogers/Fromm)

Stufe Bedürfnis

V SelbstverwirklichungIV Soziale AnerkennungIII Soziale BeziehungenII Sicherheit

I Körperliche Bedürfnisse




Stufe Bedürfnis

V SelbstverwirklichungIV Soziale AnerkennungIII Soziale Beziehungen

II SicherheitI Körperliche Bedürfnisse




Stufe Bedürfnis

V SelbstverwirklichungIV Soziale Anerkennung

III Soziale BeziehungenII SicherheitI Körperliche Bedürfnisse




Stufe Bedürfnis

V Selbstverwirklichung

IV Soziale AnerkennungIII Soziale BeziehungenII SicherheitI Körperliche Bedürfnisse




Stufe BedürfnisV SelbstverwirklichungIV Soziale AnerkennungIII Soziale BeziehungenII SicherheitI Körperliche Bedürfnisse


MotivationZwei-Faktoren-Theorie nach Herzberg

Zufriedenheit und Unzufriedenheit als unabhängige DimensionenUnzufriedenheit wird durch extrinsische Faktoren begünstigtStatus, Entlassungsdruck, Beziehung zu Vorgesetzten undKollegenZufriedenheit nur durch intrinsische Faktoren begünstigtErfolgserlebnisse, Anerkennung, Verantwortung


MotivationMotivation vs. Manipulation

Bei Manipulationen werden nur die Bedürfnisse desManipulierenden befriedigt, während die Bedürfnisse desManipulierten außer acht gelassen werden. Am Ende ist nur derManipulierende zufrieden.Das Kriterium optimaler Motivation ist, daß beide Parteienhinterher zufrieden sind (da die Bedürfnisse beider befriedigtwurden).


Motivationintrinsisch/extrinsisch

intrinsische Motivation aus der Tätigkeit selbstextrinsische Motivation von außen (Belohnung/Bestrafung)Überrechtfertigungseffekt externe Motivation untergräbt vorhandene

intrinsische Motivation


MotivationGrundlagen

Optimal kommunizieren heißt: den anderen richtig motivierenJemanden motivieren heißt, jemanden dazu zu bewegen, ein vonmir gewünschtes Verhalten an den Tag zu legen.Jemanden motivieren heißt: jemanden veranlassen, ein altesVerhaltensmuster zugunsten eines neuen aufzugeben.Ich motiviere jemanden, indem ich eines seiner unbefriedigtenBedürfnisse anspreche und ihm zeige, durch welches Verhalten erdieses befriedigen kann.Je besser der andere sich die Zielsituation vorstellen kann, destomotivierter wird er.


MotivationGrundlagen

Don’t sell the steak – sell the sizzle


MotivationVorgehensweise

Nur momentanes Verhalten kann sofort beeinflußt werden.Jedes regelmäßige Verhalten ist durch Lernprozesse entstanden.Jede Änderung von regelmäßigem Verhalten bedarf eines neuenLernprozesses.Jeder Lernprozess braucht Zeit.


Veränderungen in Organisationen durchsetzenPromotoren-Modell

DefinitionPromotoren ergreifen die Initiative und fördern Innovationen aktiv undintensiv. Die Aktivitäten von Promotoren sind von ihrer Persönlichkeit,vom Motivationspotenzial der Innovation und der Promotorenrollevorbestimmt.

WITTE, Eberhard:Organisation für Innovationsentscheidungen - DasPromotoren-Modell.Göttingen : Schwartz, 1973.



Fachpromotor überwindet Fähigkeitsbarrieren (Nicht-Wissen) durchobjektspezifisches Fachwissen

IdeengenerierungAlternativentwicklungKonzeptevaluierungInformationsbereitstellung

Machtpromotor überwindet Willens- und Hierarchiebarrieren(Nicht-Wollen) durch hierarchisches Potenzial

ZieldefinitionRessourcenbereitstellungSchutz vor OpponentenProzesssteuerung



Prozesspromotor überwindet Fähigkeits- und Abhängigkeitsbarrieren(Nicht-Dürfen) durch Organisationskenntnis undKommunikationsfähigkeit

ZusammenführungVermittlung/KonfliktmanagementProzesssteuerung/-koordination

Beziehungspromotor überwindet fachübergreifende Fähigkeits- undAbhängigkeitsbarrieren (Nicht-Miteinander-Wollen/-Können/-Dürfen) durch soziale Kompetenzen,Netzwerkwissen und Beziehungen (Vitamin B)

InformationsaustauschKonfliktmanagementSteuerung von AustauschprozessenInteraktionspartner zusammenbringen



Technologischer Gatekeeper überwindet Wissensbarrieren durchZugang zu fachspezifischen Informationen und dieKontrolle der Informationsflüsse

ExpertenwissenMeinungsführerschaftKontaktvermittlunginterpretiert fachspezifische Informationen


Table of Contents


8 Psychologie


10 Motivation



SicherheitsrichtlinieWozu?

Organisatorische Richtschnur (Zielvorgaben)soll kopfloses Vorgehen verhindernZiele festlegen und klar kommunizierenVerantwortliche festlegenAnsprechpartner und Meldewege festlegenBenutzer müssen sicherheitskonformes Vorgehen erlernenSie wissen nicht was ein sicherers Passwort ist und es interessiertsie auch nicht so ohne weiteres!


Teil III

Beispiel: Sichere Passwörter


Table of Contents

12 Live-Hacking

13 Passwörter


Live-Hacking

Wie lange brauche ich um einen Rechner zu hacken?Was muss ich dazu wissen und können?Welche Software benötige ich?

Metasploit-DemoIch stehle die Passwort-Datei ...


Table of Contents

12 Live-Hacking

13 Passwörter


Passwörter

werden gehasht gespeichertHash := mathematische EinwegfunktionPasswort Hash: einfachHash Passwort: schwer

Magdeburg 59aceadf846f772736c4b40eee7b155dmagdeburg 7712722364ae231b5f777bac5dd2eb80MagdeBurg eadfc761160224295a58847eee4cbdfcMagdeburger 0c52463fc68f157a5756cdde4adf762dMagdeburgerin 68a783bebaf27a448481d5341b77b4f9


Wörterbuchangriffefröhliches Passwortraten: alle Kombinationen probieren

Kombinationen = Alphabet ˆ Länge


26 Buchstaben (a-z), 5 Stellen: 265 = 11.881.376aaaaa aaaba aaaca ... zzzya zzzzaaaaab aaabb aaacb ... zzzyb zzzzbaaaac aaabc aaacc ... zzzyc zzzzcaaaad aaabd aaacd ... zzzyd zzzzdaaaae aaabe aaace ... zzzye zzzze

...aaaav aaabv aaacv ... zzzyv zzzzvaaaaw aaabw aaacw ... zzzyw zzzzwaaaax aaabx aaacx ... zzzyx zzzzxaaaay aaaby aaacy ... zzzyy zzzzyaaaaz aaabz aaacz ... zzzyz zzzzz


WörterbuchangriffeKombinatorik

9910 = 90.438.207.500.880.449.0019915 = 860.058.354.641.288.524.893.953.951.4999920 = 8.179.069.375.972.308.708.891.986.605.443.361.898.001Annahme: 5 Passwörter pro Sekunde 432000 pro Tag

265

432.000 = 27,5 Tage

(9910/432.000)/365000 ≈ 570 Millionen Jahrtausende

Annahme: 5.000 Passwörter pro Sekunde 432.000.000 pro Tag265

432.000.000 ≈ 40 Minuten

(9910/432.000.55)/365000 ≈ 570 Tausend Jahrtausende


WörterbuchangriffeKombinatorik

9910 = 90.438.207.500.880.449.0019915 = 860.058.354.641.288.524.893.953.951.4999920 = 8.179.069.375.972.308.708.891.986.605.443.361.898.001Annahme: 5 Passwörter pro Sekunde 432000 pro Tag

265

432.000 = 27,5 Tage

(9910/432.000)/365000 ≈ 570 Millionen JahrtausendeAnnahme: 5.000 Passwörter pro Sekunde 432.000.000 pro Tag

265

432.000.000 ≈ 40 Minuten

(9910/432.000.55)/365000 ≈ 570 Tausend Jahrtausende


Stratfor-Demo

Stratfor-Demo


Wörterbuchangriffe

Thomas Roth, 2010lässte alle 1-6 stelligen Passwörter generierenSHA-1 Hashes berechnennutzt Amazon Cloud GPU ProgrammDauer: 49 Minuten, Kosten 2,1$/h


Passwörter raten

beliebte Social-Engineering-MethodePasswortwahl sagt einiges über den Benutzer ausmuss einfach merkbar sein naheliegendes DatumName des Sohnes/Tochter/Ehemann/Hund/Katze/Maus ...Postleitzahl, KFZ-Kennzeichen, Hochzeitstag, Geburtstagleicht herausfindbar (Pers-Akte, Lohnsteuerkarte, Blog,Homepage)Daher absolut verboten!


Passwörter recyclen?

mehrere Passwörter nötig RecyclingWebforen etc. werden oft angegriffenIst das Webforum vertrauenswürdig?Technisch einwandfrei? Oder gar Honeypot?

Auf keinen Fall überall das selbe Passwort verwenden!


Passwortregeln

Verwenden Sie kein Passwort das erraten werden kann!Verwenden Sie kein Passwort das in einem Wörterbuch steht!Verwenden Sie ein langes Passwort mit Groß- undKleinschreibung, Zahlen und Sonderzeichen!Das Passwort muss geheim bleiben!Verwenden Sie nicht überall das selbe Passwort!Wechseln Sie Ihre Passwörter!


Passwörter von Hand generieren

Einen Satz ausdenken und die Initialen zusammenziehenWem der große Wurf gelungen ,Eines Freundes Freund zu sein.- Friedrich Schiller, 1805

W d g W g , E F F z s . - F S , 1 8 0 5

Leetspeak: D03s Any1 in |-|3r3 5pE4|< 31337?

Dialekte: Vocheljesank in Machteburch;Motschekiebschen



Einen Satz ausdenken und die Initialen zusammenziehenWem der große Wurf gelungen ,Eines Freundes Freund zu sein.- Friedrich Schiller, 1805 W d g W g , E F F z s . - F S , 1 8 0 5

Leetspeak: D03s Any1 in |-|3r3 5pE4|< 31337?




Einen Satz ausdenken und die Initialen zusammenziehenWem der große Wurf gelungen ,Eines Freundes Freund zu sein.- Friedrich Schiller, 1805 W d g W g , E F F z s . - F S , 1 8 0 5Leetspeak: D03s Any1 in |-|3r3 5pE4|< 31337?



Teil IV

2FA mit Yubikey


Authentifizierung

Authentifizierung: Nachweis einer bestimmten EigenschaftBsp: Benutzername/Passwort; Anruf/Parole;Person/Personalausweis;Problem: Jeder der Benutzername und Passwort kennt, kann sichals der Benutzer ausgebenschwache Passwörter, schlechte PasswortsicherheitStratfor-Hack: Kundendatenbank gestohlen, Passwörter als MD5gehashtThomas Roth: 1-6 stellige SHA1-Hashes in 50 Minuten/2$ aufAmazon EC2


Zwei-Faktor-Authentifizierung

Zwei-Faktor-Authentifizierung: Einführung eines 2. Faktors zurAuthentifizierungEinbrechern kann Passwort kennen, benötigt aber 2. Faktor(Token)Schutz vor Shouldersurfing, schwachen Passwörtern, schlechtenDatenbankenSchutz vor Man-in-the-Middle möglich


Wissen: Passwort, Pin, TANBesitz: Schlüssel, EC-Karte, Token, DateiSein: Fingerabdruck, Iris, Stimme, GesichtKombinationen: Benutzername+Passwort+Token;Benutzername+TAN+Token; Smartcard+TokenNachteile: Token muss mitgeführt werden und kostet Geld


Table of Contents

14 Standards

15 Token


OATH

Initiative for Open Authentication (OATH)IndustriezusammenschlussMitgliedschaft kostet GeldHOTP: RFC4226TOTP: RFC6238


FIDO

Industrie-Konsortium mit 200 Mitgliedern, u.a. Google, Paypal,Lenovo, Alibaba, NTT DoCoMo, Samsung, Visa, RSA, Intel, ING,YubicoSpezifikationsrahmen u.a. für Biometrie, Trusted PlatformModules, Smart Cards, NFCAuthentifikation mittels asymmetrischer KryptographieU2F: Universal 2nd Factor, offener Standard für 2FA via USB oderNFCIntegriert in Chrome seit 38, Firefox, Windows 10 und Edge folgen


Table of Contents

14 Standards

15 Token


Yubikey Token

Yubikey Neo: 55e, USB+NFC, OTP, PIV, OpenPGP (2048bit), U2FYubikey 4: 48e, USB, OTP, PIV, OpenPGP (4096bit), U2F,PKCS#11Yubikey 4 Nano: 60eFIDO U2F Security Key: 17e, nur U2FPlug-up U2F: 5eYubikey Neo/4: 2 Slots, müssen programmiert werden


Fähigkeiten

Public-Key-basiertes Challenge-Response ProtokollPhishing und MitM-Schutzapplikationsspezifische Schlüssel,Erkennung geklonter TokenBeglaubigung von Token


One Time Passwort (OTP)

Passwort, welches nur einmal gültig istverfällt nach (missglücktem) Login-Vorgangpassives Mithören, Replay-Attacken nicht möglichMitMA können funktionierenAlice und Bob müssen das gültige OTP kennenKennwortliste oder Kennwortgenerator


One Time Passwort (OTP)Kennwortgeneratoren

übertragen das Ergebnis eines AlgorithmusZeitgesteuerte Generatorenwohldefiniertes Zeitintervall, Uhren müssen synchron seinEreignisgesteuerte GeneratorenEreignis löst Kennwortgenerator aus, keine Uhr/Strom nötig, OTPkann theoretisch ∞ gültig bleibenChallenge-Response-gesteuerte GeneratorenClient berechnet OTP basierend auf Challenge, Challenge sollteZufallsgeneriert seinHOTP: HMAC-SHA1 via Zähler und Seed, SHA1 + Key +Message +XOR (definierte Werte)


U2F Login

Login auf Google.comBenutzername und Passwort eingebenwenn Passwort korrekt, Token einstecken (oder SMS)Kontaktschalter drückenToken authentifiziert sich via U2F ServerGoogle akzeptiert Login wenn der Token eingetragen istBrowser kann per Cookie aktiviert bleiben


U2F Schema

Token hat kpriv und sendet kpub an Relying Party (RP)Schlüsselpaar wird im Token generiert, kann nicht manipuliertwerdenBrowser kompiliert Informationen (URI, TLS Channel ID) überHTTP-VerbindungToken signiert diese Informationen und schickt sie an RP


U2F Schema

Token generiert neues Schlüsselpaar mit App ID und Key Handlefür jede Registrierung RP weiß nicht, dass Alice und Bob dasselbe Token nutzenAuthentifikationszähler inkrementiert bei jeder Authentifizierung,RP vergleicht Zähler mit gespeichertem Stand ZT > ZRPBeglaubigungs-Zertifikat kann vom Hersteller ausgefüllt und aufToken gespeichert werden RP kann nur bestimmte Tokenzulassen (z.B. Yubikey ja, RSA nein, oder spezielle Yubikeys)


U2F Unterstützung

Google, Dropbox, Github, PAM,Wordpress, Django, Ruby on RailsOpenSSH, Login, OpenVPN, FreeRADIUS via PAMLastPass, Dashlane, Password Safe, Passpack, Password Tote,pwSafe, KeePass


Google einrichten

1 Mein Konto,2 Anmeldung und Sicherheit3 Bestätigung in zwei Schritten4 Sicherheitsschlüssel5 Unter Bestätigungscodes: Handy registrieren und SMS einrichten

oder Google Authenticator App einrichten6 Zusätzlich: Ersatzcodes einrichten (TAN-Liste), ausdrucken und

wegschließen


Web.de unterstützt U2F nicht

OATH-HOTP im Yubikey Personalization Tool einrichten, SecretKey generierenKeePass installieren und einrichten, Plugin OtpKeyProvinstallieren, Secret Key hinterlegensicheres Passwort für Keepass vergebenZufallspasswort (256HEX Bit) generieren und bei Web.deeintragen09137f0ac6627f9e94e2af2342d2610bf20ff0ee929114d27b3629e3823e11ea

KeePass mit dem Webbrowser via Plugin verbindenKeePass-Datenbank mit Passwort und Token entschlüsseln,Browser holt User/Passwort für Web.de via Plugin aus DB.


Yubico für eigene Dienste

Plugins existieren u.a. für Wordpress, Django etc.PAM-Modul (yubico-pam kann eingebunden werdenYubikey-Server existiert als Paket, YubiHSM alsHardwareerweiterungOnline-Validierung via YubiCloud oder eigenemValidierungsserverseit 2.6 Offline-Validierung dank HMAC-SHA1Challenge-ResponsePAM-Modul installieren und konfigurieren,Conf-Datei landet in $HOME, Obacht bei ECryptFSSSH (Passwort + Token) per PAMOpenVPN und Radius via PAM


yubikey-luks

System verschlüsselt installieren, mit sehr langem ZufallspasswortDas Zufallspasswort bleibt immer aktiviert, LUKS kann auch ohneYubikey eingebunden werdencryptsetup luksDump /dev/sda2 Keyslots anzeigen lassenstandardmäßig gibt es 7 Keyslots 7 Passwörter für ein LUKSppa:yubico/stable undppa:privacyidea/privacyidea-dev installierenykpersonalize -2 -ochal-resp -ochal-hmac-ohmac-lt64 -oserial-api-visible

Challenge-Response Authentifikation mit HMAC-SHA1 aktivierencryptsetup luksAddKey -key-slot 7 /dev/sda2

yubikey-luks-enroll -d /dev/sda5 -s 7 -c - neuesPasswort für LUKS + Yubikey vergeben


sicherheitsforschung-magdeburg.de

[email protected] 1687 4218 026F 6ACF 89EE 8B63 6058 D015 B8EFsicherheitsforschung-magdeburg.de/publikationen/journal.html

youtube.de/Sicherheitsforschung

Twitter: 0xKaishakuninXing: Stefan SchumacherZRTP: [email protected]


sicherheitsforschung-magdeburg.de

sicherheitsforschung-magdeburg.de/publikationen/journal.html

sicherheitsforschung-magdeburg.de/publikationen/journal.html



Social Engineering und Security Awareness für ... · PDF fileSocial Engineering und...

Documents

Transcript of Social Engineering und Security Awareness für ... · PDF fileSocial Engineering und...