WIXLIB

Live Hacking: So brechenHacker in Ihre Netze einSebastian Schreiber Schreiber@SySS.de SySS GmbHFriedrich-Dannenmannstr. 272070 Tübingen

Agenda1.2.3.4.5.6.7.8.EinleitungAngriffe auf WebshopsNetbios-Angriffe mit LANGuardAngriffe auf Domino-ServerSimulation eines komplexen Angriffs auf HTTPSa)(Überlisten eines Switchs)b)Erlangen einer Man-in-the-Middle-Position durchDNS-Spoofingc)Einsatz eines Krypto-Relays zum Knackeneiner HTTPS-Sessiond)Ausspionieren und Abfangen einer PIN/TAN-KombinationWar-Driving – Hacking „en passant“Session-Hijacking bei TCP/IPDurchtunneln von Firewalls (falls noch Zeit)Kap. 02

Drei Thesen zurInternetsicherheit(1) Hackertools liegen zum Download bereit: Heutekann selbst ein Laie in IT-Netze eindringen.(2) Nur die Attacken von Kindern und Vandalenwerden überhaupt entdeckt.(3) Die Risiken des Internets werden völligunterschätzt; die Netze sind weitgehendungeschützt. Dies wird sich in Zukunft nichtändern!Kap. 03

Agenda Angriffe auf Lotus Notes Server Offene Netbios-Shares: Languard Allg.: Abhören Verbindungen Angriffe auf SSL-Verbindungen Angriffe auf Webshops (falls Zeit)Kap. 04

Kap. 05

Problem beim Angriff auf SSLgeschützte Webserver:Klassische Sicherheitsscanner wie Nessus, Whisker oder der StealthHTTP Security Scanner versagen bei HTTPS. Um über normalesHTTP auf die Applikation zugreifen zu können, wurde der Stunnel(http://www.stunnel.org) im Client-Mode eingesetzt (stunnel -c -d80 -r ziel.com:443). Dieser Trick ermöglicht den Einsatz deroben genannten Scanner. Um schnell an die verschickten URLs zukommen, wurde eine Kombination aus Dnsspoof und Webmitmeingesetzt. Als Resultat erhält man (erwartungsgemäß) ein falschesZertifikat, da der Name der Site nicht übereinstimmt./sslproxy -L localhost -l 80 -R https-server -r 443http://www.obdev.at/products/ssl-proxyKap. 06

Wird das Internet inZukunft sicherer?„Ja!“Sicherungssoftware wirdimmer besser;„Nein!“. aber die Hackertoolsauch.Budget für Security inFirmen steigt. langsamer als dieAnzahl und Komplexitätder Systeme.IT-Security findetBeachtung. insbesondere beijugendlichen Hackern.NeueSicherheitsstandards. setzen sich nichtdurch.Kap.07

. aus demPolizeibericht http://www.bka.de/pks/pks2001/index2.html Probleme: riesige Dunkelziffer, da Angst vor Publizität.FBI/CSI-Studie 2002: Bezifferbarer Schaden in den USA: 455Mio .Kap. 08

. Folgerung aus derPolizeistatistik .Frage: Wie hoch ist die Dunkelziffer? In der Regel zeigenUnternehmenStraftaten nicht an. In der RegelentdeckenUnternehmen garnicht, dass sie Opfervon pähungComputerbetrugProzentsatz derAusspähungen, die vomOpfer entdeckt werdenProzentsatz derentdeckten Fälle, die zurAnzeige %4,00%10,00%8,00%Hochrechung: RealeKap. 0179333Fälle pro Jahr457188Steigerungsrate 2000/2001343%272%345%9

Incident Statistik 988345678Kap. 09101112131415200210

Neue 999YearVulnerabilities1995 1996 1997 19981999171 345 311 262 417*1.2000-2002Year2000 2001Vulnerabilities 1,090 2,437Q1Q2,20022,148Total vulnerabilities reported (1995-Q2,2002):7,181Pro Tag sind das 11,8 neueSicherheitsschwächen!!Tendenz steigend! Kap. 011

Bsp. Feb 2001:Anna-Kournikova-VirusZitat aus dem Heise-Ticker:"OnTheFly" erklärt auch, er habe das Virus nicht einfachaus Spaß an der Freude in Umlauf gebracht. Vielmehrwollte er beweisen, dass Anwender nicht viel aus früherenE-Mail-Würmern wie ILOVEYOU gelernt hätten. Nachseinen Aussagen hat "OnTheFly" ein VirusConstruction Set benutzt, um seinen Wurm zuprogrammieren, da er sich nicht mitProgrammiersprachen auskenne. Weil er ein großerFan des Tennis-Stars sei, habe er den Wurm"AnnaKournikova" getauft: "Sie verdient ein wenigBeachtung, nicht wahr?"Kap. 012

Motivation: Scanning einerIP-Range mit LanguardViele PCs haben unerwünschteFreigaben – im Unternehmenund zuhause.Kap. 013

Rechtliche Hintergründe §202A StGB (Ausspähung von Daten)“ die gegen unberechtigten Zugangbesonders gesichert sind, ”Schlussfolgerung: Lediglich Datendiebstahl/Sabotage ist verboten reine Einbrüche nicht.Ausspähung von ungesicherten Daten ist nichtstrafbar.Konkrete Gesetzeslücken: riffe („War-Driving“)Kap. 014

Hacker in den Medien T-Online-Hack Melissa-Virus D.o.S. gegen Lycos, CNN, durchgeführt von „Mafiaboy“ILOVEYOU: bisher 10 Milliarden DM SchadenKeine raffinierten Techniken;Die Angreifer sind meist Kinder!Kap. 015

EntwicklungstendenzenQualitätHackingToolsKnow-How desDurchschnittsEindringlings1980198519901995Kap. 0199916

Simulation einerkomplexen Attacke – live!1.2.3.4.Überlisten eines SwitchsErlangen einer Man-in-the-Middle-Positiondurch DNS-SpoofingEinsatz eines Krypto-Relays zum Knackeneiner HTTPS-SessionAusspionieren und Abfangen einer PIN/TANKombinationKap. 017

Eavesdropping Ethernet basiert auf CSMA/CDIt s “2Bornot2B”.What s your password, Bob?AliceRobertBobChrisHackerKap. 018

Sniffen am Switch mittelsARP-SpoofingMAC PortMACSMACSClient CIP MACServer S23 ?Hacker HPakete weiterleitenIP MACArp Relaying!IPS MACSMACHIPC MACCMACHKap. 019

Schutz vor ARP-Spoofing1. Feste ARP-Tabellen in Endgeräten (arp –s)2. Feste ARP-Tabellen in Switches (?).3. Arpwrap (Unix) – detektiert Attacken4. Einsatz von IEEE 802.1x (Authentifikation am Switch,basiert auf EAP)- Besonders interessant bei Wireless LANsKap. 020

DNS-Spoofing mitdnsspoofAnwenderWin2K1: DNS-AnfrageDNS-Server2a: DNS-Antwort (OK)2b: ICMP-DST unreach2: DNS-Antwort (falsch)3: Anwender geht zumfalschen WebserverHackerWWWServerAngreiferKap. 021

Public-Key VerfahrenVorteile: Effizient (dankHybridverfahren) Komfortabel Kein „Shared Secret“ undkein geheimerSchlüsseltausch nötig.Niedrige SchlüsselzahlZertifikateOffene Fragen: Wie werden die PublicKeys ausgetauscht? Über einen sicherenKanal?Mit ZertifikatenSehr sicherKap. 022

Man-in-the-Middle ntM.i.M.communicationServerClientKeyHackerEncr. with KeyHackerEncr. with KeyClientKeyHackerHackerHackerKap. 0KeyServerEncr. with KeyServerEncr. with KeyHackerServerServer23

WLAN WLAN basiert auf IEEE 802.11 (wie Ethernet) Ethernetattacken auf WLAN übertragbar (Sniffing, Spoofing, Hijacking, MiM .)Wachsendes GefahrenpotentialUnterliegen kaum physikalischen GrenzenReichweitenvergrößerung durchZusatzantennenKap. 024

WLAN - Probleme WLAN - Sniffer nichtdetektierbar hoheAnonymität SSID f. Auth. unbrauchbar statische WEPVerschlüsselung zu schwachLösung:Mutual Authentication zwischen Client,AP ( Radius) u. dynamische WEP KeysKap. 025

WLAN – Hacking AP leicht installierbar (Problem Putzfrau) Wardriving mit „Netstumbler“ WEP Keys entschlüsseln mit „Airsnort“ DoS – Attacken gegen Client AP Systeme im LAN !!!ARP-Spoofing – Attacken z.Bsp. mit „Hunt“Sniffing z.Bsp. mit DsniffMiM – Attacken auf SSH, SSL.Kap. 026

War-Driving 1/2Kap. 027

War-Driving 2/2Kap. 028

Ich freue michauf Ihre Fragen!(weitere abgedruckte Folien sind nicht Bestandteil des Vortrags und werden nur diskutiert, wenn noch Zeit ist – oderwenn spezielle Nachfragen kommen.)Kap. 029

Probleme beim Geschäftsprozess:Kap. 030

Kap. 031

WLAN – Hacking Anonyme Internetnutzung (Haftung?,Kosten?) Sniffing (Industriespionage) Datendiebstahl Datenmanipulation Rogue AP (der Stärkere gewinnt!) Erhöhtes Gefahrenpotential für Nutzer Daten Momentan zu schwacher IndustriestandardKap. 032

Ausbruch aus Firewall (Theorie) Worauf basiert TCP/IP? -- Auf derSicherungsschicht, die den Austauschvon Bit-Streams ermöglicht.Idee: Einsatz von Layer-7-Protokollenzur „Simulation“ von Layer-2.7 Application LayerHTTP, HTTPS,SMTP, FTP, DNS,ICMPPPP7 Application Layer6 Presentation Layer5 Session Layer4 Transport Layer3 Network Layer2 Data Link Layer1 Physical Layer6 Presentation Layer5 Session Layer4 Transport Layer3 Network Layer2 Data Link Layer1 Physical LayerKap. 033

Ausbruch aus Firewall(Praxis 1/3) Bsp: Nur HTTP-Zugriff wird auf externe Rechner gestattet.--- Mitarbeiter installiert auf externemRechner ein telnetd, der auf Port 80 lauscht.Kap. 034

Ausbruch aus Firewall(Praxis 2/3) Als Reaktion führt das Unternehmen Proxy-Zwang ein.--- Mitarbeiter benutzt das Telnet443ExternerRechnerCONNECT host.de:443 HTTP/1.0Kap. 035

Ausbruch aus Firewall(Praxis 3/3) Resultat: IP-over-Everything möglich. Man kann IP auf jeder möglichenKommunikation aufsetzen lassen; TCPPakete lassen sich auch über E-Mailtransportieren.Resultat: sofern irgendeine Kommunikation mit demInternet möglich ist, lassen sich sämtlicheZugangsrestriktionen einer FW außer Kraft setzen.Kap. 036

Fallbeispiel: Computerspionage1993:Fa. SiemensFranzösischerGeheimdienst(DGSE)Fax mit Angebotfür ICEKoreanische RegierungtoebgnAs GVeer r TgsasürBe f uftATGVFa. GEC AlstomKap. 037

Abhörsystem ECHELONGeheimdienste online?Menwith HillMorwenstowLeitrimBad AiblingMisawaYakima FiringCenterSugar CroveShoal BayGeraldtonStationWaihopaiKap. 038

mdiensteklassischeInnentäterScript KiddiesklassischeHackerNeugierigeStudentenNur diese Fällewerden öffentlich bekannt.Know HowKap. 039

Wie erobert man einenZugang eines E-CommerceServers?Kap. 040

z.B. so: Angriffe auf die Verbindungen (Sniffing, Spoofing,Hijacking).D.o.S.-Angriffe (Z.B. von Mafiaboy)Angriffe über HTTP litiesMeta-Character-AttacksDirekter Zugriff möglich (z.B. bei Lotus Domino)Andere Dienste: FTP, TELNET, MS-SQL,.Schlecht konfigurierte RechnerKap. 041

Netbios-Angriffemit LANGuard 4. Angriffe auf Domino-Server 5. Simulation eines komplexen Angriffs auf HTTPS a) (Überlisten eines Switchs) b) Erlangen einer Man-in-the-Middle-Positiondurch DNS-Spoofing c) Einsatz eines Krypto-Relayszum Knacken einer HTTPS-Session d) Ausspionieren und Abfangen einer PIN/TAN-Kombination 6. War-Driving-Hacking .