Hacken Kinder(leichtgemacht)

Hacken (Kinder)leichtgemacht
Hans-Georg Eberhard
Dr.-Ing. Thomas Leonard
AuraSec GmbH
11.09.2014 Köln
AuraSec GmbH
Unter den Linden 16
10117 Berlin
T 030 408173352
F 05334 948624
www.AuraSec.de
Hacken Kinder(leichtgemacht)
Hacken (Kinder)leichtgemacht
12.09.2014
Seite 2
Rechtliches: § 202a StGB
Hacken (Kinder)leichtgemacht
12.09.2014
Seite 3
Rechtliches: § 202b StGB
Hacken (Kinder)leichtgemacht
12.09.2014
Seite 4
Rechtliches: § 202c StGB
Hacken (Kinder)leichtgemacht
12.09.2014
Seite 5
Über diesen Vortrag
Hacken (Kinder)leichtgemacht
12.09.2014
Seite 6
Ich will da hinein!
Anlage Satz 2 Nr. 1 zu § 9 Satz 1 BDSG (sinngemäß):
Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit denen
personenbezogene Daten verarbeitet oder genutzt werden, durch
geeignete Maßnahmen der Zutrittskontrolle zu verwehren.
Hacken (Kinder)leichtgemacht
12.09.2014
Seite 7
Der „klassische Weg“ durch das Schloss
Das Lockpicking Set kann im Internet aus einschlägigen
Quellen bezogen werden.
Hacken (Kinder)leichtgemacht
12.09.2014
Seite 8
Schlüssel ist nicht Schlüssel
schlecht
keinesfalls
gut
sehr gut
Geeignet für Sicherheitsbereiche sind ausschließlich
Sicherheitsschlösser mit Codekarte.
Hacken (Kinder)leichtgemacht
12.09.2014
Seite 9
Kontaktlose Zutrittskontrollsysteme
?
?
schlecht
OK
Einige Zutrittskontrollsysteme sind kompromittiert.
Es kommt auf den verwendeten Chip bzw. Standard an und ist
zumeist von außen nicht erkennbar.
Hacken (Kinder)leichtgemacht
12.09.2014
Seite 10
Reisekosten erhöhen – Exceltabelle mit Blattschutz
Hacken (Kinder)leichtgemacht
12.09.2014
Seite 11
PDF Dokument - leider mit Kopierschutz
Hacken (Kinder)leichtgemacht
12.09.2014
Seite 12
Die häufigsten Passwort sind…
Oktober 2013:
Hackern gelingt der Einbruch in einen Adobe-Server. Nutzerinformationen
einschließlich der Passworte von 130 Millionen Kunden werden gestohlen
und in Umlauf gebracht. Ein amerikanischer Sicherheitsexperte analysiert
daraufhin die Passworte.
Welche Passworte sind wohl am häufigsten?
Hacken (Kinder)leichtgemacht
12.09.2014
Seite 13
Die häufigsten Passworte
Passwort
Häufigkeit bei
130 Millionen
Passworten
123456
Ca. 2 Mio !
123456789
450.000
password
350.000
Adobe 123
210.000
12345678
200.000
qwerty
130.000
Hacken (Kinder)leichtgemacht
12.09.2014
Seite 14
„Prominente“ Passworte
Paris Hilton hatte als Frage zur Wiederherstellung
ihres Handy-Adressbuchs die Frage nach dem Namen
ihres Haustieres gewählt. Dank Tinkerbell wurden die
Adressen und Telefonnummern zahlreicher Stars im
Netz öffentlich.
Die (gehackten) E-Mail-Konten des syrischen
Präsidenten Assad waren mit dem Passwort "12345"
geschützt.
Bis 1977 wurde die Zahlenkombination 00000000 als StartCode für die amerikanischen Atomraketen genutzt. Im
Ernstfall sollte Zeit gespart werden. Der Code wurde auf
der Start-Checkliste abgedruckt und nicht separat
aufbewahrt.
Hacken (Kinder)leichtgemacht
12.09.2014
Seite 15
Tools zum Brechen von Passworten
Tools zum Brechen von Passworten…
• können im Internet frei
heruntergeladen werden
• unterscheiden sich in Preis und
Leistungsumfang
http://www.fakemysms.com/
• sind nach §§ 202a-c StGB verboten
zum Ausspähen von fremden Daten
• können ohne Verstoß gegen
§§ 202a-c StGB zum Öffnen eigener
Dateien, bei denen das Passwort
verloren ging, eingesetzt werden
(Dual-Use)
Hacken (Kinder)leichtgemacht
12.09.2014
Seite 16
Passworte hacken – wie lang dauert es?
• Wörterbuchmethode: sehr schnell
• Brute-Force: abhängig von Länge und Komplexität des
Passworts sowie Rechnerleistung
Passwortlänge
Zusammensetzung
(Alphabet)
Kombinationen
Dauer
6 Zeichen
Großbuchstaben (26)
Circa 309 Millionen 7 Sekunden
6 Zeichen
Groß, Klein (52)
Circa 57 Milliarden 21 Minuten
8 Zeichen
Groß, Klein, Zahlen (62) Circa 219 Billionen 1,2 Tage
15 Zeichen
Groß, Klein, Zahlen (62) …
831.399.807 Jahre
• Basis der Berechnung: gängige PCs – keine NSA Rechner
Hacken (Kinder)leichtgemacht
12.09.2014
Seite 17
Gute Passworte
Für ein gutes Passwort gilt:
•
Abhängig vom Anwendungsfall mindestens 8, besser 12
Zeichen lang
•
Worte als Bestandteil (z.B. “Blasmusikkapelle3.“) zählen
nur als 3 Zeichen
•
Darf in keinem Wörterbuch enthalten sein
•
Kombination aus Großbuchstaben, Kleinbuchstaben,
Zahlen und Sonderzeichen
•
Ein Passwort darf jeweils nur für einen Zugang
verwendet werden (keine Nutzung von privaten
Passworten in Arbeitsumfeld)
•
Es ist schwer zu merken!?
Hacken (Kinder)leichtgemacht
12.09.2014
Seite 18
Passwortbeispiele - und wie man sich diese merkt
• WSlbNiB?
 Welcher Seemann liegt bei Nacht im Bett?
(die ostfriesischen Inseln)
• IFtz/\wg
 Im Frühtau zu Berge wir gehen
• HeMue+FrSc
 Herr Müller und Frau Schneider
Hacken (Kinder)leichtgemacht
12.09.2014
Seite 19
Generalschlüssel – der Keylogger
• Keylogger zeichnen alle Tastatureingaben auf –
auch Passworte
• Software – Keylogger:
• ggf. schwierig zu installieren und zu betreiben
(Firewall, …)
• werden oft als Schadsoftware identifiziert
• Alternative:
Hardware Keylogger
Hacken (Kinder)leichtgemacht
12.09.2014
Seite 20
Hardware Keylogger – aus der Werbung des Herstellers
„Nutzen Sie die Möglichkeiten zahlreicher neuer
Funktionen:
• Riesiger Speicher (bis zu 2 Gigabyte),
• Mit beliebiger USB- bzw. PS2-Tastatur kompatibel
• Keine Software oder Treiber erforderlich
• Unsichtbar für den Computer, unauffindbar für
Scansoftware
Anwendungen:
• WWW-, E-Mail- und Chatnutzung durch Kinder überwachen
• Ihr Kind vor den Internetgefahren schützen
• Leistungsfähigkeit Ihrer Mitarbeiter überwachen
• ...und viele andere“
Hacken (Kinder)leichtgemacht
12.09.2014
Seite 21
Keylogger anbringen – Social Engineering
Beispiel: Der Helfertrick.
Ein Techniker wurde beauftragt, eine Störung zu
beheben.
Der Techniker bin ich.
„Hier bitte,
mein Ausweis…“
Dr.-Ing. Thomas Leonard
Hacken (Kinder)leichtgemacht
12.09.2014
Seite 22
Welche Karte darf es sein?
Internet - breite Basis für das Ausgangsmaterial
Hacken (Kinder)leichtgemacht
12.09.2014
Seite 23
Meine Hilfsmittel
Dr.-Ing. Thomas Leonard
Hacken (Kinder)leichtgemacht
12.09.2014
Seite 24
Der Techniker wird angekündigt – eine E-Mail fälschen
Absender:
Hans.Vorstand@BKKDatenschutz.de
Der Empfang
bekommt eine
E-Mail vom
Vorstand oder
der IT ….
Guten Tag,
Mein Rechner ist gestern kaputt gegangen.
Ein Servicetechniker der Firma Siemens
wurde bestellt. Er wird heute gegen 8 Uhr
eintreffen. Bitte geleiten Sie den Herrn in
mein Büro.
Vielen Dank!
Mit freundlichem Gruß
Hans Vorstand
BKK Der Datenschutz
Hacken (Kinder)leichtgemacht
12.09.2014
Seite 25
Social Engineering: SMS fälschen
• Einfach: WEB-basierte Lösung
• Kosten vergleichbar mit einer normalen SMS
Hacken (Kinder)leichtgemacht
12.09.2014
Seite 26
Screen Grabber
•
•
•
•
Angeboten wird bereits ein Screen Grabber
Der Screen Grabber wird zwischen PC und Monitor gesteckt
Funktionsweise vergleichbar mit dem Keylogger
Speichert alle 2 Sekunden (einstellbar) ein Bildschirmfoto
Aus der Werbung des Herstellers
„Er fängt unbemerkt Screenshots ein und
speichert sie als JPEG-Dateien im
eingebauten Flashspeicher mit 2 Gigabyte
Speicherplatz. Schließen Sie einfach den
Video-Logger an DVI, VGA oder HDMI
Schnittstelle der Grafikkarte an, und sofort
beginnt er, die Screenshots alle paar
Sekunden aufzunehmen. „
Hacken (Kinder)leichtgemacht
12.09.2014
Seite 27
Wünsche eines Hackers
1. Keylogger und Screen Grabber kombinieren
2. WLAN-fähig
3. RDP-Session implementieren
Jeder PC kann unbemerkt belauscht und
fernbedient werden!
Hacken (Kinder)leichtgemacht
12.09.2014
Seite 28
Target: Smartphone!
Hacken (Kinder)leichtgemacht
12.09.2014
Seite 29
Vorgehensweise: Smartphone Überwachung
• Installation einer Spy-Software auf
dem Ziel-Smartphone
• Dauer: circa drei Minuten
• Verfügbar für alle Smartphone-Arten
(iPhone, Android, Blackberry,
Windows)
Software
Hacken (Kinder)leichtgemacht
12.09.2014
Seite 30
Funktionsweise: Smartphone Überwachung
• Spy-Software sendet Daten des Smartphones an einen
Server
• Daten können per Browser gelesen werden
• Direkte Befehle per SMS an das Ziel-Smartphone
Hacken (Kinder)leichtgemacht
12.09.2014
Seite 31
Demonstration: Smartphone Überwachung
0152 52631005
Hacken (Kinder)leichtgemacht
12.09.2014
Seite 32
Thesen
1. Das Ausspionieren von Daten verlangt in
der Tendenz weniger Spezialwissen.
Damit wird die Anzahl von Angriffen
steigen.
2. Technische Hilfsmittel zum
Datenausspionieren gewinnen an
Bedeutung. Abwehrstrategien müssen
angepasst werden.
3. Die Kombination aus vereinfachter
Technik und Social Engineering führt zu
einer neuen Bedrohungslage.
Schulungen und Awareness-Maßnahmen
müssen erweitert werden!
Hacken (Kinder)leichtgemacht
12.09.2014
Seite 33
Zum Schluss
„Sicher ist, dass nichts sicher ist.
Selbst das nicht.“
Joachim Ringelnatz
Hacken (Kinder)leichtgemacht
12.09.2014
Seite 34
Vielen Dank
für Ihre
Aufmerksamkeit!
Dr. Thomas Leonard
thomas.leonard@aurasec.de
T 0151 41856547
AuraSec GmbH
Unter den Linden 16
10117 Berlin
T 030 408173352
F 05334 948624
www.AuraSec.de