Präsentation
Transcription
Präsentation
Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Cyber Security Workshop Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 1 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Cyber Security Workshop Encrypt Everything! Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 2 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Patrick Eisoldt Studium an der Hochschule Albstadt-Sigmaringen und der Glyndwr University in Wales Praktika/Thesen: Siemens, Marquardt November 2010 bis August 2011: Mitarbeiter Digitale Forensik Seit 2012: Mitarbeiter Open C³S Einführung in die Informatik Open C3S –Zertifikatsprogramm Prof. Dr. Martin Rieger Datenträgerforensik Open C3S –Zertifikatsprogramm Prof. Dr. Martin Rieger Programmieren im IT-Sec-Umf. Open C3S –Zertifikatsprogramm Prof. Dr. Martin Rieger Windows-Forensik Open C3S –Zertifikatsprogramm Prof. Dr. Martin Rieger Unix-Forensik Open C3S –Zertifikatsprogramm Prof. Dr. Martin Rieger Schwerpunkte: Windows-Forensik, Unix-Forensik, Python (Forensik und Pentesting) Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 3 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Tobias Scheible Studium Kommunikations- und Softwaretechnik, HS Albstadt-Sigmaringen Softwareingenieur im Bereich Web Development, Werbeagentur Gute Aussicht Seit 2012: Wissenschaftlicher Mitarbeiter, IWW HS Albstadt-Sigmaringen Digitale Rechnersysteme Open C3S – Studium Initiale Prof. Dr. Joachim Gerlach Einführung Algorithmen Open C3S – Studium Initiale Prof.'in Dr. Ute Matecki Wissenschaftliches Arbeiten Open C3S – Studium Initiale Prof. Dr. Otto Kurz Cloud Computing Open C3S – Master IT GRC Prof. Dr. Stefan Ruf Internettechnologien Open C3S –Zertifikatsprogramm Prof. Dr. Martin Rieger Praktikum IT Security 2 Bachelor IT Security Prof. Holger Morgenstern Praktikum Informationssicherheit Bachelor Wirtschaftsinformatik Prof. Holger Morgenstern CyberSecurity Lab Blog, Workshops & Vorträge http://cyber-security-lab.de Schwerpunkte: Internettechnologien, Web Applications Security und Penetration Testing Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 4 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 David Schlichtenberger Studium Medien- und Kommunikationsinformatik, Hochschule Reutlingen 2010 bis 2013: Softwareingenieur im Bereich Web Entwicklung, informedia GmbH, Stuttgart 2013 bis 2014: Systemingenieur / Kundenberater für Internetservices, KIRU, Reutlingen Seit 2014: Wissenschaftlicher Mitarbeiter im Masterstudiengang Digitale Forensik, Hochschule Albstadt-Sigmaringen – IWW Schwerpunkte: Digitale Forensik, Netzwerke, Python, Pentesting Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 5 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Agenda IT-Sicherheit Passwortschutz Sicherheit von Passwörtern Verschlüsselungstechniken Hashing und Verschlüsselung Drahtlose Kommunikation W-LAN Sicherheit Speichermedien Festplattenverschlüsselung Instant Messaging Verschlüsselte Chatprotokolle E-Mail-Kommunikation E-Mails signieren und verschlüsseln Sichere Webverbindungen HTTPS mit TLS Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 6 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 IT-Sicherheit Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 7 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 00000000 ? Quelle: heise.de Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 8 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 00000000 Launch-Code für die in den USA stationierten Atomraketen (1962 bis 1977) Quelle: heise.de Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 9 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Aktuelle IT-News Cyber-Erpresser verschlüsseln PCs und Smartphones Kasparsky.de 10. Juni 2014 Das Ende von Bitcryptor und Coinvault: Alle Schlüssel in Tool verfügbar Kaspersky hat seinem Ransomware Decryptor ein Update spendiert und alle Schlüssel von Bitcryptor und Coinvault hinzugefügt. Opfer der Ransomware können so wieder Zugriff auf verschlüsselte Daten erlangen. heise.de 02. November 2015 ADAC zeigte versehentlich Mitgliederdaten online Im Zuge der Antragsstellung einer ADAC-Kreditkarte waren seit Anfang Oktober vertrauliche Daten von Mitgliedern einsehbar. heise.de 02.11.2015 Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 10 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Angriff auf den Fernsehsender TV5 Umfangreicher Angriff auf den französischen Sender TV5Monde Alle Kanäle des Fernsehunternehmens TV5Monde gingen offline Die Website verbreitete kurzfristig islamistische Drohungen Auf der Facebook-Seite wurden ebenfalls Drohungen verbreitet Spekulationen über öffentlich einsehbare Passwörter Im Hintergrund waren im eigenen Studio Passwörter bzw. Zugangsdaten zu erkennen YouTube Passwort: "lemotdepassedeyoutube" (etwa "dasyoutubepasswort") Quelle: heise.de Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 11 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Gefängnisausbruch mittels E-Mail Moderner Ausbruch aus einem britischen Gefängnis (März 2015) SocialEngineering Angriff auf das Gefängnis Smartphone eingeschmuggelt Domain reserviert, die dem zuständigen Gericht ähnelt E-Mail Adresse mit dieser Domain eingerichtet Hat sich als leitender Beamter ausgegeben Anweisungen zu seiner Entlassung gegeben Gefangener kam am 10. März frei Quelle: heise.de Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 12 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Live Demonstration Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 13 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Hacking mit Google Anweisungen zum Formulieren von Suchanfragen: Quelle: wikipedia.org Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 14 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Hacking mit Google Beispiel Suchanfragen nach Webcams: inurl:"viewerframe?mode=motion" intitle:"snc-rz30 home" intitle:"WJ-NT104 Main" inurl:LvAppl intitle:liveapplet intitle:"Live View / - AXIS" inurl:indexFrame.shtml Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 15 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Hacking mit Google Datenbank mit vorformulierten Suchanfragen Quelle: wexploit-db.com Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 16 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Phisher verwenden Geo-Blocking "Sorry. Diese Phishing Website ist in deinem Land nicht verfügbar." Malware-Filterlisten (Crawler) häufig USAzentriert Wenn eine deutsche Phishing-Website aus dem Ausland aufgerufen wird, werden harmlose Inhalte dargestellt Quelle: heise.de Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 17 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Zugriff auf Geldautomaten 11/2015: Kommandozeilen-Zugriff auf Geldautomat während eines Updates (http://www.heise.de/security/meldung/Kommando zeilen-Zugriff-Sicherheitsluecke-in-Geldautomatender-Sparkasse-2867559.html) 10/2015: Angriff auf Geldautomaten via USB-Stick (http://www.berlin.de/polizei/polizeimeldungen/ pressemitteilung.386807.php) 12/2014: Kriminelle verschafften sich über Spionage Software Zugriff auf Geldautomaten und manipulierten die Geldausgabe so, dass die Scheinausgabefächer falsche Werte erhielten (http://www.heise.de/security/meldung/AnunakSo-geht-Bankraub-im-21-Jahrhundert-2505940.html) Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Quelle: heise.de 18 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 HTML5 Hard Disk Filler Neue Webtechnologien führen zu weiteren Sicherheitsrisiken LocalStorage erlaubt bis zu 2.5, 5 oder 10 MB an Speicher pro Domain (von der Browserimplementierung abhängig) http://www.filldisk.com/ Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 19 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Bad USB Cyber Security Workshop 04/2015 Vorführung Demo-Programme "Peensy" Sicherheitsrisiko: Controller und Firmware in USB-Geräten Gegenmaßnahmen: Schwierig Schnittstellen absichern Signierte Firmware Quelle: pjrc.com Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 20 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Bad E-Cigarette Ende 2014 machte eine Geschichte (ungeprüft) über einen mit Malware infizierten PC die Runde Nach Überprüfung aller Angriffsvektoren fand man heraus, dass über ein EZigaretten USB-Ladegerät Malware eingeschleust wurde Quelle: reddit.com Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 21 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Passwortschutz Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Bad Passwords – Bad Lock Patterns Jeder kennt Toplisten mit schlechten Passwörtern: 12345 password qwerty … Studie von Marte Løge analysierte über 4000 Android Entsperrmuster im Rahmen ihrer Master Thesis Quelle: technic-al.com Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 23 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Bad Lock Patterns 10 % aller Versuchspersonen nutzen ein Muster, das einem Buchstaben ähnelt 44 % starten oben links 77 % fangen in einer der vier Ecken an Durchschnittliche Anzahl von fünf verwendeten Knoten (~9000 Kombinationsmöglichkeiten) Muster von links rechts; oben unten werden häufig verwendet Quelle: arstechnica.com Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 24 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Bad Lock Patterns - Gegenmaßnahmen Komplizierte Muster verwenden Allerdings sind weitere mögliche Angriffsvektoren vorhanden: Brute Force z. B. via Teensy + USB OTG Kabel Selbst bei Beachtung der Penalty (i. d. R. 30 Sekunden) meist in einem vertretbaren Zeitraum knackbar 😏 Angriffe über ADB (Android Debug Bridge) PINs verwenden Quelle: arstechnica.com Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 25 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Aktion der Groupe Mutuel Quelle: youtube.com Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 26 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Zwei-Faktor-Authentifizierung Klassische Authentifizierung Benutzernamen Passwort Benutzernamen Passwort Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 27 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Zwei-Faktor-Authentifizierung Klassische Authentifizierung Benutzernamen Passwort Benutzernamen Passwort Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 28 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Zwei-Faktor-Authentifizierung Benutzernamen Passwort Zweiter Faktor (ungültig) Einmal gültiger zweiter Faktor Benutzernamen Passwort Zweiter Faktor Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 29 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Zwei-Faktor-Authentifizierung Mittelbare Zwei-Faktor-Authentifizierung Manuelle Eingabe eines zweiten Faktors Halbautomatische Zwei-Faktor-Authentifizierung Keine Dateneingabe mehr notwendig – z.B. NFC-Karte Vollautomatische Zwei-Faktor-Authentifizierung Authentifizierung mit dem Smartphone per Bluetooth Universelle Zwei-Faktor-Authentifizierung Über Herstellergrenzen hinweg – z.B. FIDO-Allianz Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 30 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Zwei-Faktor-Authentifizierung Quelle: mockuphone.com Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Quelle: linuxveda.com 31 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 KeePass Password Safe Open Source und OSI-zertifiziert Passwortdatenbankformat .kdb, .kdbx Verschlüsselungsalgorithmen AES und Twofish Versionen für Windows, Linux, Android, iOS Browser-Erweiterungen Synchronisierungsoptionen Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 32 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 KeePass Autotype Globales Tastenkürzel ermöglicht die Eingabe von Logindaten in Eingabemasken / Formularfelder Quelle: https://de.wikipedia.org/wiki/Datei:Keepass-autotype.gif Zwischenablage mit Clearfunktion Seit Version 2: Autotype-Obfuscation (optional) http://keepass.info/ Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 33 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Supergenpass Hashalgorithmus, der anhand eines Masterpassworts eindeutige dienstbezogene Passwörter erstellt Keine Speicherung oder Synchronisierung von Passwörtern notwendig Bookmarklet, Mobile Website, Android App vorhanden http://www.supergenpass.com/ Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 34 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 LastPass: Pro Webbasierter Passwort-Manager Zentraler „Tresor“ für Anmelde-, Formulardaten und Notizen Unterstützt beim Erstellen neuer Passwörter Für viele Browser gibt es Erweiterungen Login-Formulare werden automatisch erkannt und mit den hinterlegten Zugangsdaten ausgefüllt. Gleiches gilt für Formulardaten Mobile Anwendung für Android, iOS, … Mehrstufige Authentifizierung Automatische Überprüfung aller Passwörter/Dienste Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 35 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 LastPass: Contra Voller Funktionsumfang nur mit PREMIUM-Account (12 $ im Jahr) Synchronisierung über fremde Server (Ver- und Entschlüsselung passiert lokal) Keine Open Source Software LogMeIn kauft Passwort-Manager LastPass – heise.de News vom 12.10.2015 Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 36 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 LastPass: Tresor, Eintrag und Autofill Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 37 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 LastPass: YubiKey Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 38 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 LastPass: Neue Anmeldedaten Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 39 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 LastPass: Sicherheitstest Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 40 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Passwortkarten Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 41 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Passwortkarten Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 42 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Passwortkarten Link: sparkasse.de Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Passwort: 43 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Passwortkarten Link: sparkasse.de Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Passwort: V= 44 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Passwortkarten Link: sparkasse.de Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Passwort: V=6< 45 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Passwortkarten Link: sparkasse.de Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Passwort: V=6<Bd 46 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Passwortkarten Link: sparkasse.de Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Passwort: V=6<BdG2 47 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Passwortkarten Link: sparkasse.de Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Passwort: V=6<BdG2W- 48 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Fingerabdruckscanner Quelle: rolf-fensterbau.de Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 49 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Fingerabdruckscanner Quelle: aivanet.com Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 50 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Fingerabdruckscanner Quelle: telegraph.co.uk Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 51 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Fingerabdruckscanner Einmal verlorener Abdruck kann nicht ersetzt werden Nur „10“ Möglichkeiten stehen zur Verfügung Größere Verbreitung sorgt für häufigere Diebstähle Komplexe Lösung nicht immer die sicherste Quelle: cclker.com Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 52 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Venen-Scanner Quelle: futurezone.at Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 53 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Venen-Scanner Quelle: futurezone.at Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 54 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Verschlüsselungstechniken Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Symmetrisch vs. Asymmetrisch vs. Hybrid Klassische Verschlüsselungsverfahren: Symmetrisch Ab 1977: Asymmetrische Verschlüsselungsverfahren (Rivest, Shamir, Adleman) Hybride Verfahren nutzen den Vorteil von symmetrischer und asymmetrischer Kryptographie Rivest, Shamir, Adleman Quelle: viterbi.usc.edu Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 56 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Symmetrische Verschlüsselung Alice und Bob müssen den gleichen Schlüssel besitzen, um eine Nachricht zu verschlüsseln / entschlüsseln Einfaches Beispiel: Caesar-Verschlüsselung (ROT13) Quelle: wikipedia.org Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Quelle: wikipedia.org 57 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Symmetrische Verschlüsselung Bekannte Verfahren AES (Advanced Encryption Standard) DES (mitentwickelt von der NSA, geringe Schlüssellänge) Blowfish One-Time-Pad (beweisbar unknackbar) Problem: Wie kann der Schlüssel sicher übertragen werden? Früher: Schlüssel wurde per Bote auf anderem Weg übertragen (und der Bote ist öfters "verschwunden" 😏). Quelle: wikipedia.org Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 58 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Asymmetrische Verschlüsselung Alice und Bob haben jeweils einen eigenen öffentlichen und privaten Schlüssel Der öffentliche Schlüssel kann (weltweit) bekannt gegeben werden, der private Schlüssel muss geheim gehalten werden Alice verschlüsselt eine Nachricht mit dem öffentlichen Schlüssel von Bob. Dieser kann die Nachricht mit seinem privaten Schlüssel entschlüsseln. Quelle: wikipedia.org Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 59 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Asymmetrische Verschlüsselung Anwendung: E-Mail Verschlüsselung (OpenPGP; S/MIME) SSL/TLS (https) Bekannte Vertreter: RSA Elgamal Quelle: lengerke.de Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 60 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Asymmetrische Verschlüsselung Beispiel zum Nachrechnen: Für die Schlüsselerzeugung und das Ver- und Entschlüsseln wird etwas Mathematik benötigt 😊 Analogie zu den folgenden Begrifflichkeiten: n : Straße und Hausnummer e : Postleitzahl (der öffentliche Schlüssel) d : Briefkastenschlüssel (der private Schlüssel des Empfängers) Alice möchte Bob einen Brief schreiben. Dazu braucht Alice allerdings die Adressen von Bob, also die Straße (n) und Postleitzahl (e). Die Adresse (n, e) darf jeder wissen (z. B. Telefonbuch). Aber nur Bob darf den Briefkasten auch öffnen (mit n, d). Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 61 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Asymmetrische Verschlüsselung RSA (Sicherheit durch Primfaktorzerlegung) – Welche zwei Primzahlen ergeben das Produkt 91? Zufällig zwei Primzahlen wählen: p = 7 und q = 13 (Produkt n = p * q = 91) Euler'sche Phi-Funktion berechnen: phi(n) = (7-1) * (13-1) = 6 * 12 = 72 Berechnung öffentlicher Schlüssel: Zufälliger Wert e (teilerfremd ggT(e, phi(n)) und kleiner als phi(n)): 5 / Öffentlicher Schlüssel (n, e) = (91, 5) Berechnung privater Schlüssel (modulares Inverses): d 1 = (e * d) mod phi(n) (e * d) = s(phi(n)) + 1 5d = 72s+1 d = 72/5s + 1/5 = 29 (d=29 für s=2) / Privater Schlüssel (n, d) = (91, 29) Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 62 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Asymmetrische Verschlüsselung Verschlüsselung von ASCII-Buchstaben (CYBER = 67 89 66 69 82) / Formel: verschlüsselung = nachrichte mod n enc(CYBER) = (675 mod 91) (895 mod 91) … = 58 59 40 62 10 Entschlüsselung der geheimen Nachricht / Formel: entschlüsselung = geheimnachrichtd mod n dec(58 59 40 62 10) = (5829 mod 91) (5929 mod 91) … = 67 89 66 69 82 (CYBER) Try it yourself: https://www.mathematik.de/ger/information/wasistmathematik/rsa/rsa_self.html Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 63 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Hybride Verschlüsselung Symmetrische Verschlüsselung: Schnell, sicher ABER: Schlüsselverteilungsproblem Asymmetrische Verschlüsslung: Lösen Schlüsselverteilungsproblem ABER: Sehr langsam Hybride Verschlüsselung: Das Beste aus beiden Mit einem Session Key werden die Daten symmetrisch verschlüsselt (z. B. AES256) Der Session Key wird mit dem öffentlichen Schlüssel des Empfängers verschlüsselt (z. b. RSA) Verwendung: IPSec, TLS/SSL, PGP, GPG … Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 64 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Hashfunktionen Abbildung einer großen Eingabemenge auf eine kleinere Zielmenge Einwegfunktion auf Basis mathematischer Algorithmen Verwendung: Speicherung von Passwörtern Validierung von größeren Datenmengen Beispiele (MD5): test 098f6bcd4621d373cade4e832627b4f6 Es gibt keine Sicherheit, nur verschiedene Grade der Unsicherheit. 648374430dca4feb98efbba184bb8c97 Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 65 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Hashfunktionen Quelle: stricture-group.com Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 66 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Passwörter knacken Am Beispiel von ZIP-Dateien Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 67 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Drahtlose Kommunikation Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Keysweeper Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 69 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Keysweeper Das proprietäre und unverschlüsselte Protokoll eines Keyboards wurde Reverse Engineering analysiert und „geknackt“ Das Ergebnis basiert auf der Arbeit von Travis Goodspeed (goodfet.nrf), welche wiederum auf der Arbeit von Thorsten Schröder und Max Moser (KeyKeriki v2.0) basiert. Die Hardware besteht im wesentlichen aus einem programmierbaren Mikrocontroller und dem 2,4 GHz Transceiver nRF24L01+ maniacbug‘s RF24-Bibliothek Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 70 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Hardware Quelle: miniinthebox.com Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Quelle: sparkfun.com 71 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Keysweeper Reverse Engineering für Anfänger Allgemeines Vorgehen: 1. Gehäuse entfernen 2. Funktion der Bauteile identifizieren 3. Bauteil identifizieren 4. Informationen zum Bauteil sammeln 5. Blogs finden, die sich mit dem Bauteil/Protokoll/… beschäftigen Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 72 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Keysweeper: Schwierigkeiten des Sniffings Wir reden von 2,4 GHz, ABER es gibt mehrere Kanäle innerhalb der Frequenz Die Pakete werden gezielt versendet (MAC-Adressen) MAC-Adressen sind nicht bekannt Das Modul nRF24L01+ liefert nur Pakete, die gezielt an seine MAC-Adresse gesendet wurden Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 73 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Keysweeper: Transceiver umfunktionieren Die MAC-Adresse wird entgegen dem Standard auf 2 Bytes verkürzt und auf die bekannte Preambel 0x00AA oder 0x0055 gesetzt, somit erhalte ich Pakete, die nicht für mich bestimmt sind. Die gesammelten Daten werden interpretiert und so die MAC-Adresse identifiziert Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 74 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Keysweeper: Transceiver umfunktionieren Die MAC-Adresse wird entgegen dem Standard auf 2 Bytes verkürzt und auf die bekannte Preambel 0x00AA oder 0x0055 gesetzt, somit erhalte ich Pakete, die nicht für mich bestimmt sind. Seestr. 1 Sichtfeld des Postboten An Seestr. 2 Seestr. 2 Seestr. 3 Bergstr. 1 Bergstr. 2 Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 75 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Keysweeper: Transceiver umfunktionieren Die MAC-Adresse wird entgegen dem Standard auf 2 Bytes verkürzt und auf die bekannte Preambel 0x00AA oder 0x0055 gesetzt, somit erhalte ich Pakete, die nicht für mich bestimmt sind. Sichtfeld des Postboten An Seestr. 2 Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Seestr. 76 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Keysweeper: Ablauf Von Frequenzbereich 2403 bis 2480 die MAC-Adresse 0x00AA und 0x0055 durchwechseln und schauen, ob man was „hört“ Interpretation (Entschlüsselung) der Daten, wenn was Sinnvolles „reinkommt“ Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 77 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Angriffe auf WLANs Verschiedene Verschlüsselungsverfahren für WLAN WEP (mehrere Angriffe bekannt, Vorführung folgt) WPA / WPA2 (bisher ohne Passwort nur Bruteforceangriffe möglich) WPA2 Shared Key (wird im privaten Bereich eingesetzt) WPA2 Enterprise (jeder Benutzer authentifiziert sich mit individuellen Zugangsdaten) Andere Angriffsvektoren MAC Zugangsfilter WPS (implementierungsabhängig) Über Webinterface (Fernwartung) Rogue access point Passive Sniffing (Vorführung folgt) Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 78 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 MAC Zugangsfilter MAC-Adressen (weltweit eindeutige Hardware IDs für Netzwerkadapter) können einfach gefälscht werden. Auslesen über: Windows: In der cmd > ipconfig /all Linux: Im Terminal > ifconfig –a Mac ändern: Windows: In der Registry [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Class\{4D36E972-E325-11CE-BFC108002BE10318}0] / oder mit 3rd Party Tools Linux: macchanger –m 00:11:22:33:44:55 eth0 Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 79 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Rogue / Evil twin Access Point Rogue Access point (= WLAN Router eines Angreifers wird ins Netzwerk eingeschleust) Evil twin access point: Ein gleichnamiger Fake Access Point wird vom Angreifer erstellt, mit dem Ziel, dass sich Clients mit diesem verbinden. Aufgabe: Schauen Sie auf Ihrem Handy / Laptop nach, welche bekannten WLAN Access Points Sie abgespeichert haben. Telekom FreeWifi / PublicWifi Freifunk Hotelnamen: IBIS Horizon Wifi Problem: Erstellt der Angreifer einen unverschlüsselten Hotspot mit einem dieser Namen, werden sich Geräte automatisch verbinden s. a. http://www.heise.de/security/artikel/WLAN-Angriffstool-wifiphisher2513841.html Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Quelle: aariko.com 80 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 WPS Verschiedene Verfahren: PIN-Eingabe (oftmals unsicher) Push Button Configuration (PBC) (i. d. R. sicher) PINs sind je nach Implementierung drei- bis vierstellig (= max. 10000 Möglichkeiten) Bruteforce möglich, unabhängig der Länge des WPA2-Keys Kali (Linux) Tools: Reaver, Wifite e. g. Quelle: pwnieexpress.com Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 81 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 WPA2 Keine bekannten Angriffe auf die Verschlüsselung, ABER: Hotspots in Hotels, Flughäfen, auf öffentlichen Plätzen etc. verwenden oftmals alle WPA2 Shared Key. Jeder Benutzer verwendet den gleichen geheimen (!) Schlüssel. Dieses Verfahren ist NICHT geeignet, wenn sich die Teilnehmer nicht gegenseitig vertrauen! Jeder, der den Schlüssel kennt und den initialen Verbindungsaufbau eines Clients mithört, kann den Datenverkehr mitschneiden (!). Vorführung mit Wireshark (Emissionsloses passives WPA2-Sniffing) Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 82 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Empfehlungen gegen WLAN-basierte Angriffe Offene WLANs meiden! Praxistipp: Falls offenes WLAN verwendet wird, im Anschluss die Konfiguration vom Gerät löschen (!) WEP vergessen! WPA2 Shared Key nur im Heimbereich (unter vertrauenswürdigen Kommunikationspartnern verwenden) Praxistipp: Falls es im Hotel etc. nur dieses Verfahren gibt, dann wenigstens VPN einsetzen (!) WPA2 Enterprise in Firmen oder öffentlichen Bereich verwenden WPS abschalten oder recherchieren, ob WPS sicher implementiert ist (z. B. PBC) Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 83 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Speichermedien Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Festplattenverschlüsselung Sicherste Möglichkeit: Festplattenvollverschlüsselung (System + Daten) Softwareseitig: Pre-Boot Authentication (Authentifizierung vor dem Startvorgang, nach dem Biosladeprozess, aber vor dem Betriebssystemstart) / Code oder Verweis im Master Boot Record (MBR) Produkte: VeraCrypt / TrueCrypt; BitLocker; Full Disk Encryption Checkpoint; … After Systemstart dm-crypt (Kryptographie-Modul Linux) Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 85 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Festplattenverschlüsselung Hardwareseitig: SSDs mit hardwareseitiger AES-Verschlüsselung (HDD Passwort im Bios muss gesetzt werden!) Teilweise unzureichend implementiert, Hersteller kann teilweise ein Masterpasswort generieren, AES Keys liegen unverschlüsselt in der Firmware Max. HDD Passwortlänge im BIOS ebenfalls entscheidend. s.a. http://vxlabs.com/2012/12/22/ssds-with-usable-built-in-hardware-based-full-disk-encryption/ https://media.ccc.de/v/29c3-5091-de-enunsicherheit_hardwarebasierter_festplattenverschluesselung_h264 Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 86 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Festplattenverschlüsselung: Hands on FullDisk Encryption mit VeraCrypt (Backup 1st!) Im Menü: System > Encrypt System Partition/Drive … Verschlüsselungsalgorithmus auswählen Masterpasswort festlegen und merken! Random noise hinzufügen Rescue Disk erstellen (!) Benutzerhandbuch: https://veracrypt.codeplex.com/downloads/get/1473 633# https://veracrypt.codeplex.com/ Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 87 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Festplattenverschlüsselung Angriffsvektoren: Passwort muss im RAM geladen bleiben. (Tools wie Volatility können dieses ggf. auslesen: http://volatility-labs.blogspot.de/2014/01/truecryptmaster-key-extraction-and.html) Keylogger Gegenmaßnahmen: Keine 😏 Ggf. Keyfiles / Tokens und Smartcards als Zwei-FaktorAuthentifizierung (Besitz & Wissen) nicht für System Encryption Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 88 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 USB-Sticks schützen VeraCrypt – Abspaltung von TrueCrypt Kompatibilität zu TrueCrypt-Containern Bekannte Sicherheitslücken wurden geschlossen Mehr Iterationen als TrueCrypt Künstliche Verzögerungen Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 89 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Instant Messaging Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 OTR (Off-the-Record Messaging) OTR = inoffizielle, vertrauliche, nicht für die Öffentlichkeit bestimmte Nachrichtenübermittlung Die NSA mag OTR nicht (Snowden Dokumente) 😉 Vier Ziele: Verschlüsselung (Encryption): Keiner soll Nachrichten mitlesen können. Beglaubigung (Authentification): Während der Kommunikation kann man sich sicher sein, dass der Empfänger derjenige ist, für den man ihn hält. Abstreitbarkeit (Deniability): Nach einer Konversation können Nachrichten gefälscht werden. Folgenlosigkeit (Perfect Forward Secrecy): Gespräche können nicht nachträglich entschlüsselt werden. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 91 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 OTR (Off-the-Record Messaging) Leider ein Nischenprotokoll und in relativ wenigen bekannten Anwendungen implementiert, u. a.: Adium (Max OS X) IM+ ChatSecure Plugins für: Pidgin Jabber Gajim Usability fehlt oftmals Quelle: play.google.com Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 92 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 One-Time-Pad Einmalverschlüsselung oder Einmalschlüssel-Verfahren Schlüssel, der (mindestens) so lang ist wie die Nachricht selbst Perfekte Sicherheit (Bedingung: jedes Passwort nur einmal) Mit beliebig hohem Rechenaufwand kann die Verschlüsselung nicht gebrochen werden Beispiel (XOR-Verknüpfungen): hallo hallo hallo hallo + bziqx abmmo cpzbk mhvvg = jaucm icyyd kqlnz uihhv Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 93 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 PRAXIS One-Time-Pad Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 94 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Whatsapp: Entwicklungen bei der Sicherheit 2009: Mai 2011: Erscheinung Erste Sicherheitslücke wird bekannt (Kontoübernahme möglich), weitere kritische Sicherheitsmängel werden nach und nach aufgedeckt. 50-100 Mio. Nutzer Sep. 2012: März 2014: Nov. 2014: April 2015: Fremde Konten lassen sich mit leicht zugänglichen Infos kapern. WhatsApp Verschlüsselungs-Key (lokale Datenbank) taucht im Internet auf. WhatsApp bessert nach. Ende-zu-Ende-Verschlüsselung wird eingeführt (powered by TextSecure). Untersuchungen von Heise online weisen auf eine inkonsistente Verschlüsselung hin (Android only?). 800 Mio. Nutzer Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 95 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Sichere Alternativen zu Whatsapp Sichere Alternativen werden immer wieder diskutiert… …und kämpfen oft mit den gleichen Problemen: Komfort Unbekannte Sicherheitslücken, die erst mit zunehmender Bekanntheit aufgedeckt werden Verbreitung Wann ist die Alternative sicher? Reicht eine Ende-zu-Ende-Verschlüsselung aus? Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 96 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Signal/TextSecure/Redphone Signal – Private Messenger (iOS und Android) Vereint/aka TextSecure und Redphone in einer App kostenlos Ende-zu-Ende-Verschlüsselung Verschlüsselte Textnachrichten, Dokumenten, Fotos, Videos, Kontaktinformation und Gruppennachrichten sowie Telefonie Initialisierung/Synchronisation der Kontakte vergleichbar mit Whatsapp Der Signal-fork SMSSecure verschüsselt SMS 93 Whatsapp-Kontakte vs. 6 Signal-Kontakte Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 97 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 E-Mail-Kommunikation Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Initiative "E-Mail Made in Germany" "Werbewirksames Marketing" E-Mails liegen weiterhin unverschlüsselt beim jeweiligen E-Mail-Anbieter, lediglich die Kommunikation vom Benutzer zum Dienstanbieter und alle Dienstanbieter der Initiative untereinander ist verschlüsselt (nur Transportverschlüsselung!). Teilnehmer der Initiative: GMX, T-Online, Web.de, freenet, 1&1, Strato Quelle: md-linksdrehend.org Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 99 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Initiative "E-Mail Made in Germany" Aktuelle Berichte: "Warum die großen deutschen Mailanbieter ihre Logins nicht komplett samt Formular verschlüsseln, wollte keiner von ihnen erklären. In Sachen Sicherheit und Verschlüsselung ist E-Mail made in Germany offenbar kein Qualitätssiegel." (Zeit Online, 11/2015) Login im Webmail auch ohne SSL möglich (Angriff z. B. via stripssl) "Über eine Sicherheitslücke in drei großen Webmail-Portalen hätten Angreifer die Postfächer von Nutzern übernehmen können. Hinweise auf Datendiebstahl gibt es nicht." (Wired; Zeit Online, 08/2015) Kontoinhaber musste auf einen Link klicken / SessionID Exposure über Referrer Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 100 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 De-Mail De-Mail-Gesetz (2011): Versuch eine rechtsverbindliche elektronische Kommunikationsplattform zu erschaffen. Derzeit vier akkreditierte Anbieter (1&1, Mentana, TSystems, Telekom) Suggeriert ähnlich wie E-Mail zu sein (allerdings: eigenständiges System) Transportverschlüsselung, optional: End-to-End Verschlüsselung (Plugins seit 03/15) Viele ungelöste Probleme: Nutzen / Anreiz für Privatkunden? Verpflichtung, Postfach regelmäßig zu prüfen Gateways Usability Quelle: cio.bund.de Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 101 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Schutzmechanismen und Alternativen Wo möglich, End-to-end-Verschlüsselung verwenden (PGP / S/MIME). Problematisch: Geringe Verbreitung. FreeMail-Anbieter meiden und Anbieter verwenden, die sichere Technologien einsetzen, z. B. mailbox.org posteo.de … Ggf. auf Serverstandorte und Datenverarbeitungsrichtlinien achten. Weiterhin Briefe / Faxe verschicken 😉 Seit der ersten E-Mail, die in Deutschland verschickt wurde (1984), hat sich wenig bis nichts geändert. Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 102 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 S/MIME Verfahren Standard für die Verschlüsselung und Signatur von E-Mails Hybride Verschlüsselung - privater und öffentlicher Schlüssel Offizieller Standard RFC 1847 (Outlook, Thunderbird und R2mail2) Kostenlose S/MIME-Zertifikate: https://www.comodo.com/home/email-security/free-email-certificate.php Anleitungen von Prof. Bernhard Esslinger (Outlook, Thunderbird, Android und iOS): https://www.anti-prism-party.de/downloads/sichere-email-am-pc-und-mit-demsmartphone-anleitung.zip Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 103 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 PGP „PGP ist technisch veraltet, schon auf PCs schwer zu bedienen und auf Smartphones ein nahezu hoffnungsloser Fall. Allein die Existenz dieses Dinosauriers blockiert die Entwicklung neuer, innovativer E-Mail-Verschlüsselungstechniken.“ Jürgen Schmidt, heise.de – Februar 2015 Mail-Verschlüsselung mit PGP ist zwar sicher, aber auch umständlich. Leider werden deshalb zu wenige Mails verschlüsselt. Um dies zu ändern, will 1&1 PGP in die WebOberfläche der Maildienste GMX und Web.de sowie in deren Smartphone-Apps integrieren. Doch passen sicher und bequem zusammen? heise.de – August 2015 Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 104 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 PGP 1991 veröffentlichtes Verfahren zum Verschlüsseln von Daten Benutzt Public-Key-Verfahren Wer hat PGP bereits in Verwendung? Wer findet zuerst einen einfachen Weg für die Einrichtung von PGP eisoldt@hs-albsig.de Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Quelle: wikipedia.org 105 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 PGP – Web.de Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 106 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Sichere Webverbindungen Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Websites manipulieren Manipulation über Short-Link Beispiel Short-Link: http://bit.ly/1E0kPOv Anfällig bei der Verbreitung über soziale Netzwerke Auf Smartphones spielt die URL eine untergeordnete Rolle Quelle: tinyur1.co Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 108 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 TLS/SSL-Infrastruktur Verschlüsselte Verbindungen (z.B. HTTPS) Public-Key-Verschlüsselungsverfahren Technik basiert auf einem Zertifikatssystem Zertifikat cyber-security-lab.de Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Zertifikat Alpha SSL CA Zertifikat Global Sign Root CA 109 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 TLS/SSL-Funktionsweise Pr Pr Pu Pu „hello“ Krypto Informationen „hello“ Krypto Informationen Server-Zertifikat(e) inkl. Public-Key Pu Überprüfung Pu Pu Pu Client-Zertifikat(e) inkl. Public-Key Generiert neues Geheimnis Überprüfung Bestätigt TLS-Verbindung Bestätigt TLS-Verbindung Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de Pu 110 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 TLS/SSL Server Test Quelle: ssllabs.com Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 111 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Let‘s Encrypt Zertifizierungsstelle, die Ende 2015 startet Ziel des Projekts ist es, verschlüsselte Verbindungen zum Normalfall zu machen Sehr einfach in der Anwendung: sudo apt-get install letsencrypt letsencrypt run Automatisiertes Verfahren: Automated Certificate Management Environment (ACME) Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 112 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 SSL Man-in-the-middle Bei einem Man-in-the-middle-Angriff steht ein Angreifer physikalisch oder logisch zwischen den beiden Kommunikationspartnern Der Angreifer hat dabei vollständige Kontrolle über den Datenverkehr der Netzwerkteilnehmer Kann eine SSL-Verbindung Manipulationen oder das Mitlesen von Netzwerkverkehr unterbinden? – Vielleicht. Quelle: wifi4free.info Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 113 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 SSL Angriffe auf die Verschlüsselung Tool sslstrip – Versuch der Verhinderung, eine verschlüsselte Verbindung aufzubauen Tool sslsniff – Erzeugt ein (vertrauenswürdiges) Zertifikat für eine beliebige Website Tool BurpSuite Quelle: trendmicro.com Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 114 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 SSL Sniffing Übung Übung: Download Burp Suite: https://portswigger.net/burp/download.html In den Internetproxyeinstellungen den simulierten MITM-Angreifer eintragen (127.0.0.1:8080) Burp Stammzertifikat installieren Verschlüsselte Website aufrufen und Zertifikat untersuchen Quelle: trendmicro.com Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 115 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 SSL Angriffe Gegenmaßnahmen Entwickler: Anwendungsseitig SSL-Zertifikat prüfen (!) Benutzer: In vielen E-Mail Clients o. ä. können die E-Mailserverzertifikate fest hinterlegt werden! Keine unbekannten (Stamm-)Zertifikate installieren! Überprüfung der installierten Stammzertifikate für Benutzer so gut wie unmöglich 😒 Aktuelle Fälle: Lenovo Superfish 02/2015; http://www.heise.de/security/meldung/Gefahr-fuer-Lenovo-Laptopsdurch-vorinstallierte-Adware-2554455.html / Test: https://filippo.io/Badfish/ Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 116 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Perfect Forward Secrecy Sitzungsschlüssel anstatt Langzeitschlüssel Diffie-Hellman gemeinsame Farbe + + geheime Farbe = = + + geheime Farbe = = gemeinsames Geheimnis Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de 117 Hochschule Albstadt-Sigmaringen | VDI Albstadt Cyber Security Workshop 07.11.2015 Vielen Dank Patrick Eisoldt, Tobias Scheible, David Schlichtenberger http://cyber-security-lab.de