1

HACKINGDAS SPIEL MIT DEM FEUER

2

VORURTEIL: HACKER == BÖSE

• HACKER SCHREIBEN HOCHENTWICKELTE COMPUTERPROGRAMME UM IN SYSTEME EINZUDRINGEN

• HACKER MACHEN DIES UM AN PERSÖNLICHE INFORMATIONEN FÜR IDENTITÄTSDIEBSTAHL ZU KOMMEN

• „HACKING“ IST DAS DIGITALE ÄQUIVALENT ZUM BANKÜBERFALL: HACKER DRINGEN IN SYSTEME EIN, NEHMEN ALLES WAS SIE BEKOMMEN UND VERSCHWINDEN SCHNELLSTMÖGLICH

• HACKING HINTERLÄSST DIGITALE FINGERABDRÜCKE DIE MAN ZURÜCKVERFOLGEN KANN UM DEN DIEB ZU FASSEN

3

WER IST HACKER?

4

WER IST HACKER?

Adrian Lamo

Kevin Poulsen

Mercedes Haefer

John “Captain Crunch” Draper Robert Morris

Berkley Blue & Oaf Tobark

5

MACHEN SIE ES UM GEWINN ZU MACHEN?

MANCHMAL, ABER:• RACHE• INFORMATIONSBESCHAFFUNG• „EIN WICHTIGER GRUND“• GLAUBWÜRDIGKEIT• LANGEWEILE• „WENN ES SCHON MAL DA IST…“

6

SIE SIND HINTER UNSEREN PERSÖNLICHEN INFORMATIONEN HER

SAGT WER?

7

HACKER SIND DIE BESTEN AUF IHREM GEBIET - ‚HACKERS ARE COMPUTER „BLACK BELTS“‘

Über 100 Hacking Tools Vorinstalliert

8

BELIEBTE TOOLS:

• JOHN THE RIPPER (PASSWORD CRACKING)• ANGRY IP SCANNER (NETZWERK SCANNER)• THC HYDRA (PASSWORD CRACKING)• CAIN & ABEL (TOOLSET FÜR WINDOWSIANER)• BURP-SUITE (WEB APPS)• SOCIAL ENGINEERING TOOLKIT („SET“)• WIRE SHARK (PACKET SNIFFER)

=> EINS DER GRÖẞTEN PROBLEM IST BEI DER GROẞEN AUSWAHL DAS RICHTIGE ZU FINDEN

9

NESSUS

Schlecht für dich/Gut für mich Schwachstellenname erleichtert die

Suche

10

HAUSFRIEDENSBRUCH NACH BELIEBEN? UNBEZAHLBAR

KALILINUXKOSTENLOS

DIE INKLUDIERTEN TOOLSKOSTENLOS

NESSUS KOSTENLOS

11

ABER DIE ZWEI WICHTIGSTEN HACKING TOOLS?

12

GOOGLE

• INFORMATION AGGREGATION• SYSTEM KONFIGURATION• BENUTZERNAME• PASSWORT• E-MAIL ADRESSEN• BEZIEHUNGSMATRIZEN

• DIE ANTWORTEN AUF ALLE WIE -FRAGEN

13

YOUTUBE

RAT: Remote Administration TerminalFUD: Fully Undetectable

14

HACKING IST EINFACH ZU ERKENNEN

Informationsbeschaffung

Angriffsvektoren finden

Ausnutzen von Schwachstellen

Persistierung (Backdoor) / Dokumentation

Spuren vernichten / Lücken schließen

15

SCHNELLER ÜBERBLICK

• ANFÄNGE ERFORDERN ZUGRIFF AUF GOOGLE, YOUTUBE UND DEN WILLEN ZU LERNEN

• HACKER HABEN VERSCHIEDENE ZIELE• GUTE HACKER KÖNNEN FÜR MONATE UNENTDECKT IN EINEM SYSTEM

LAUERN• HACKING IST EXTREM SCHWER ZU ERKENNEN

16

ANGRIFF IST DIE BESTE VERTEIDIGUNG

• SCHWACHSTELLEN ALS ERSTES FINDEN UND SCHLIEẞEN• INSIDER WISSEN ERLEICHTERT DIE ANGRIFFE IMMENS => ZEITVORTEIL

17

PHISHING/SPEARPHISHING

• PHISHING: UNPERSÖNLICHE „MAẞEN“ EMAIL• SPEARPHISHING: PERSÖNLICHE INFORMATIONEN DES „SENDERS“ ODER

EMPFÄNGERS WERDEN BENUTZT• URLAUBSPLÄNE• FIRMENEVENTS• HOBBIES

• DIE INFORMATIONEN SIND LEICHT ZU BEKOMMEN DANK

18

THER‘S AN APP FOR THAT

19

PHYSICAL INTRUSIONFirst Rule of Hacking: If you can touch it, you will own it.

20

GEGENMAẞNAHMEN

• AUFMERKSAMKEIT UND VERSTÄNDNIS SCHÄRFEN• JEDER MITTARBEITER GEHÖRT ZUM SICHERHEITSPLAN

• TRAINING• DIE ANGRIFFSVEKTOREN VERSTEHEN• DIE GEFAHR RICHTIG EINSCHÄTZEN

21

SICHERE SICHERHEIT• „IT“ VERSTEHEN

• HOCH SPEZIALISIERT• NETZWERK• DESKTOP• DATENBANKEN• PROGRAMMIERUNG• WEBSEITEN

• SICHERHEIT IST 10% IT UND 90% ALLE ANDEREN• PHYSIKALISCHER SCHUTZ• MOBILE DEVICE SECURITY• ANTI-PHISHING SCHULUNGEN

22

WAS IST DER NÄCHSTE SCHRITT?

IHR CHEF ERHÄLT EINE E-MAIL MIT DEN PRIVATEN INFORMATIONEN VON 10 ANGESTELLTEN. DER ABSENDER GIBT AN, DASS ER ÜBER 10.000 SOLCHER DATENSÄTZE HAT UND DIESE VERÖFFENTLICHT, FALLS DIE FIRMA KEINEN ANGEMESSENEN BETRAG INNERHALB VON 12 STUNDEN BEZAHLT.• WELCHE VORSCHRIFTEN HABEN IHRE FIRMEN HIERFÜR?• ZIEHEN SIE EINE ANZEIGE IN ERWÄGUNG?• WIE LAUTET IHRE MEDIENSTRATEGIE?• DECKT IHRE VERSICHERUNG SO ETWAS AB?• WIE ÜBERPRÜFEN SIE, OB DIE GEFAHR ECHT IST?

23

VERSCHLÜSSELUNG

• MINIMIERT DIE INFORMATIONEN AUF DIE EIN ANGREIFER ZUGRIFF HAT.• VERSCHLÜSSELUNG GIBT ES IN VERSCHIEDENEN FORMEN:

• ÜBERTRAGUNGSVERSCHLÜSSELUNG (TLS, S/MIME, PGP)• DATEIVERSCHLÜSSELUNG• FESTPLATTENVERSCHLÜSSELUNG (TRUECRYPT, BIT LOCKER)

24

ZUSAMMENFASSUNG

• UPDATE & PATCH• SEHR WENIG „ZERO DAY“ MALWARE• DIE MEISTE MALWARE IST VOM PATCH ABGELEITET

• PASSWORT SICHERHEIT• LÄNGER IST SICHERER ALS KOMPLEX• (TD$K! < 1 SECUNDE; „ICH KANN MIR MEIN PASSWORT NICHT MERKEN“ >

MEHRERE JAHRZEHNTE)• PHYSIKALISCHEN ZUGRIFF VERHINDERN• STANDARD PASSWÖRTER ÄNDERN

• COMPUTER/WIRELESS ACCESS POINTS/ROUTER/ALARM ANLAGEN/SOFTWARE/…

25

FRAGEN?PRESENTATION: KLAUS FRANK

THIS PRESENTATION BY KLAUS FRANK IS LICENSED UNDER A CREATIVE COMMONS ATTRIBUTION-SHAREALIKE 4.0 INTERNATIONAL LICENSE.PERMISSIONS BEYOND THE SCOPE OF THIS LICENSE MAY BE AVAILABLE AT PRESENTATION-HACKING@FRANK.FYI.

WIRESHARK IS A REGISTERED TRADEMARK OF WIRESHARK FOUNDATIONMETASPLOIT IS A REGISTERED TRADEMARK OF METASPLOIT, LLC.© 2015 GOOGLE INC. ALL RIGHTS RESERVED. GOOGLE AND THE GOOGLE LOGO ARE REGISTERED TRADEMARKS OF GOOGLE INC© 2015 GOOGLE INC. ALL RIGHTS RESERVED. YOUTUBE AND THE YOUTUBE LOGO ARE REGISTERED TRADEMARKS OF GOOGLE INCKALI LINUX ™ IS A TRADEMARK OF OFFENSIVE SECURITY.LINKEDIN, THE LINKEDIN LOGO, THE IN LOGO AND INMAIL ARE REGISTERED TRADEMARKS OR TRADEMARKS OF LINKEDIN CORPORATION AND ITS AFFILIATES IN THE UNITED STATES AND/OR OTHER COUNTRIES.THE FACEBOOK LOGO IS TRADEMARK OF FACEBOOK INC. ALL VECTOR IMAGES AND PHOTOS USED IN PRESENTATION ARE COPYRIGHTED BY THEIR RESPECTIVE OWNERS.