Compass Security AG - Hacking

Transcription

Compass Security AG
[The ICT-Security Experts]
Mobile Security - Angriffsszenarien auf mobile Dienste:
Wie (un-)sicher sind Laptop, iPhone, Blackberry & Co.?
Marco Di Filippo
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Wer bin ich?
Marco Di Filippo
“
“
“
“
“
Regional Manager Germany
verheiratet, eine Tochter
Kreativer Umgang mit TK(IT)- Sicherheitssystemen seit1996
Werdegang: Von der TK-Security zur IT-Security
Spezialgebiete sind
“ technische Sicherheitsprüfungen
“ ICT- Sicherheitskonzepte (VoIP, PSTN, GSM …)
© Compass Security AG
www.csnc.ch
Slide 2
Übrigens: Heute müssen Sie Ihr Telefon
nicht ausschalten. Ich empfehle jedoch
den Stumm-Modus ;-)
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Agenda
Wer ist Compass Security AG?
Einleitung
Betrachtungsweise Mobile Security im Bezug auf
“ die Plattform/das Netzwerk
“ die Hardware
“ die Applikationen
“ die Schnittstellen
Zusammenfassung/Resümee
Fragen
www.csnc.ch
Slide 4
Wer ist Compass Security AG?
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Zahlen/Fakten
Gründungsjahr
1999
Geschäftsführer u.
Gründer
Walter Sprenger & Ivan Bütler
Firmensitz
Rapperswil SG
Anzahl Mitarbeiter
21
Schwerpunkt
Ethical Hacking - Penetration Testing - IT-Forensics
Besonderheiten
Betreiber des Hacking-Labs, Veranstalter des SCS
(bzw. Attacke&Defense in DE)
Kunden
Finanzdienstleister, Telekommunikation, Industrie…
www.csnc.ch
Slide 6
Das Team
www.csnc.ch
Slide 7
Service Portfolio
.
.
.
.
www.csnc.ch
Slide 8
Das Mobile Netzwerk
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Die Geschichte
.
Cap‘n Crunch Hack
Dank einem mehr oder weniger
exakt 2600 Hertz hohen Ton (z.B.
mittels einer Pfeife aus einer
Cornflakes-Packung) konnte man
den Gebührenzähler beim
CCITT5-Standard manuell
deaktivieren, um Kosten zu
sparen.
John Draper
Er perfektionierte die
Entdeckung von Joseph
Engressia (16-jähriger blinder
Schüler) in Form von der 1970
entwickelten BlueBox, mit der
man die Gebührenzähler von
AT&T überlisten konnte.
www.csnc.ch
Slide 10
Die Geschichte
.
BlueBox
Die BlueBox produzierte einen
2.600 Hertz-Ton, welcher von
CCITT v5-kompatiblen
Vermittlungsstellen benutzt
wurde. Beim Phreaking wurden
damit illegal kostenlose
Telefonate erschlichen.
BeigeBoxing
Dienst zum illegalen Anzapfen
der Telefonleitung einer anderen
Person, um auf deren Kosten zu
telefonieren bzw. Gespräche
mitzuhören. Die BeigeBox hat
ihren Namen von der beigen
Farbe der durch sie angezapften
Verteilerkästen.
www.csnc.ch
Slide 11
Mobile Network Architecture
Ansatzpunkte möglicher Manipulationen
www.csnc.ch
Slide 12
Allgemein
Mobile Geräte: kritisch und oft vergessene Kinder ...
“
“
“
“
“
“
Mobile Geräte arbeiten oft ohne schützende Firmen-Firewall.
Sie werden viel transportiert und sind einfach zu bewegen.
Sie kommunizieren mit fremden Netzen über unsichere Verfahren.
Die Benutzer haben oft Administrator-Rechte.
Können einfach entwendet, geklaut oder zerstört werden...
Werden im Sicherheitskonzept oft vergessen oder bewusst nicht
berücksichtigt.
Übrigens: Haben Sie die Verschlüsselung Ihres BlackBerrys oder
den Zugangsschutz Ihres iPhones aktiviert?
www.csnc.ch
Slide 13
Allgemein
Mobile Endgeräte sind heute mobile Datenträger
“ Nur eine kleine Anzahl mobiler Devices besitzt heute einen
angemessenen Schutz der auf ihnen gespeicherten Daten.
“ Wenn ein Angreifer den physikalischen Zugang zu einem Datenträger
erlangt, kann er sämtliche Schutzmechanismen des Betriebssystems
umgehen – es sei denn, der Datenträger ist verschlüsselt.
www.csnc.ch
Slide 14
Glauben Sie dass die Ortung von mobilen
Geräten ausschließlich Sache von
Behörden und Geheimdiensten ist?
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Wo bin ich? Ortung mittels GSM
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Professionelle Ortung (Kreuzpeilung)
Erfasste Daten:
Sendmasten
Kreuzpeilung
Mikrophon
www.csnc.ch
Slide 17
Ortung durch LBS Location Based Services
Welche Informationen werden zur Ortung benötigt?
“ Daten der Mobilfunkzelle, in der sich das Endgerät aufhält/befindet
“ Datenbank mit den Senderkoordinaten (BTS/BSC)
www.csnc.ch
Slide 18
Relevante Daten der momentan aktiven/befindlichen Zelle
lokal auslesen (Beispiel iPhone)
“ Aktivieren des Feldtest-Modus
www.csnc.ch
Slide 19
“ Auslesen der GSM Cell Daten
www.csnc.ch
Slide 20
“ MCC (Mobile Country Code)
www.csnc.ch
Slide 21
MCC (Mobile Country Code)
“ Anhand der ersten Ziffer kann man eine kontinentale Einordnung
vornehmen:
0
1
2
3
4
5
6
7
8
9
nicht vergeben
nicht vergeben
Europa
Nordamerika und Karibik
Asien, Indien, naher Osten
Australien und Ozeanien
Afrika
Südamerika
nicht vergeben
Welt
Siehe auch www.nobbi.com/wiki/doku.php/mcc
www.csnc.ch
Slide 22
MCC (Mobile Country Code)
“ Die zweite und dritte Ziffer definiert das Land (Auswahl):
262
228
232
234
235
310
316
Germany
Switzerland
Austria
United Kingdom
United Kingdom
bis
United States of America
Siehe auch www.nobbi.com/wiki/doku.php/mcc
www.csnc.ch
Slide 23
“ MNC (Mobile Network Code)
www.csnc.ch
Slide 24
MNC (Mobile Network Code)
“ Der MNC steht für den Netzbetreiber
01
02
07
T-Mobile
Vodafone
O2
www.csnc.ch
Slide 25
“ LAC (Location Area Code)
organisatorische Zusammenfassung von Zellen
www.csnc.ch
Slide 26
“ LAC (Location Area Code)
organisatorische Zusammenfassung von Zellen
“ Cell ID, zwei Bytes die eine
Zelle innerhalb einer LAC
identifizieren
www.csnc.ch
Slide 27
In unserem Beispiel wäre die eindeutige Lacation Based ID
MCC – MNC – LAC – CID
262 – 01 – 38175 – 0028435
www.csnc.ch
Slide 28
LiveDemo [Aktuelle Cell-ID]
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Alternative Tools zum Ermitteln der Location Based ID
TAPIR: NetMonitor mit PC-Unterstützung
Siehe auch www.nobbi.com/monitor/index.html
www.csnc.ch
Slide 30
Alternative Tools zum Ermitteln der Location Based ID
GPS Tracker Peilsender TK102-2
Siehe auch www.itakka.at/shop/ und www.positionx.de
www.csnc.ch
Slide 31
Ermitteln der Location Based ID aus der Ferne
“
“
“
“
Mittels Trojaner
Ortung mittels Dienstleister (Ortungsfreigabe bei Provider Notwendig)
SAT (SIM Applikation Toolkit)
Carrier Services Home Location Register Lookup‘s (SS7)
www.csnc.ch
Slide 32
LiveDemo [Jedermann Lokalisierung]
+
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Proof-of-Concept
Please Call
+41 55 214 xxx
+
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
How To Use The Proof-of-Concept?
“ Rufnummer +41 55 214 xxx (keine Blockwahl) wählen
“ Nach dem Signalton die zu lokalisierende Nummer international
eingeben (z.B. 491511234567 oder 41791234567)
“ Mit # Eingabe bestätigen
“ Rufnummer wird wiederholt
“ Lookup wird durchgeführt (Dauer ca. 3 - 5 Sekunden)
“ Ländercode (Standort) angesagt (z.B. "d","e" oder "c","h")
www.csnc.ch
Slide 35
Was nun? Die Ermittlung des
Standortes ist auch eine Frage der
richtigen Datenbank
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Die Ermittlung des Standortes ist eine Frage der Datenbank.
Ziel: Cell-ID zu Koordinaten (z.B. UTM-System, Gauß-Krüger,
Google etc.)
“ Datenbank der Netzbetreiber
Nachteil: Non-Public, nur den Netzbetreibern und Behörden
zugänglich
“ Nutzung freier Datenbanken
“ www.nobbi.com/btsquerydb.html
“ http://sercpos.com
“ www.opencellid.org
“ http://developer.yahoo.com/yrb/zonetag/locatecell.html
Nachteil: Örtlich begrenzt, unvollständig
“ Googledaten???
Googledaten???
Nachteil: NonNon-Public
www.csnc.ch
Slide 37
LiveDemo [Lokalisierung via Dienstleister]
+
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
(Stille) Lokalisierung mittels Dienstleister
“ Step 1: Dienstleister autorisieren
www.csnc.ch
Slide 39
“ Step 2: Nachricht löschen
www.csnc.ch
Slide 40
“ Step2: Nachricht löschen
“ Step3: „Freund“ anlegen
www.csnc.ch
Slide 41
“
“
“
“
Step 1: Dienstleister autorisieren
Step2: Nachricht löschen
Step3: „Freund“ anlegen
Step4: Lokalisieren – fertig!
www.csnc.ch
Slide 42
Wie sammelt Google seine Daten?
Übermittlung der Daten
www.csnc.ch
Slide 43
LiveDemo [Use Google's Dataset]
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Ortung mittels SS7-Protokoll
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Ortung mittels SS7
Was macht eigentlich das SS7 (Signalling System 7)?
“ SS7 ist eine Reihe von Protokollen für die Signalisierung in öffentlichen
TK-Netzen, wie z.B. ISDN, Mobilfunknetz und VoIP-Netzen
“ Wird von den meisten TK-Betreibern weltweit genutzt, um miteinander
Information auszutauschen
“ Durch die ITU-T (früher CCITT) in den Serien Q.700 standardisiert
“ Zum Zeitpunkt des SS7- Entwurfs gab es wenige Telekom-Betreiber
die dieses nutzten (diese waren entweder staatlich oder Monopolisten)
“ Keine Authentifizierung implementiert
“ Heute kann „jeder“ Betreiber (z. B. VoIP) SS7-Zugang bekommen
“ Publizierung des Proof-of-Concepts auf dem CCC 2008 (durch Tobias
Engel)
www.csnc.ch
Slide 46
Ortung mittels SS7
Zur Erinnerung…
Die Base Transceiver Station (BSC)
BSC)
kontrolliert mehrere Basisstationen
(BTS), teilt diesen die zu nutzenden
Frequenzen zu und kann den
Handover veranlassen.
Das Mobile Switching Center (MSC
MSC),
MSC
dient als Vermittlungsknoten für die
Weiterleitung der Anrufe und SMSNachrichten innerhalb des Netzes
oder in das Festnetz. Das MSC
kommunizieren über das Signalling
System #7 (SS7
SS7).
SS7
Das Visitor Location Register (VLR
VLR),
VLR
speichert Daten der User, die das
MSC nutzten und keine Kunden des
jeweiligen Netzbetreibers sind.
www.csnc.ch
Das Home Location Register (HLR
HLR)
HLR
eines Netzbetreibers enthält die
persönlichen Daten aller Kunden.
Slide 47
Ortung mittels SS7
Welche Infos werden mittels SS7 an das MSC im Roaming
übertragen?
“
“
“
“
die IMSI (die „echte“ Rufnummer)
Adresse des Home Location Register des Nutzers
die Location Area Identification (LAC)
Sendegebiet, in dem sich das Telefon befindet
www.csnc.ch
Slide 48
Ortung mittels SS7
Call-Setup
www.csnc.ch
Slide 49
Ortung mittels SS7
Übermittlung von SMS-Nachrichten
www.csnc.ch
Slide 50
Ortung mittels SS7
Anbieter von/mit SS7-Zugängen
www.mobilant.com
www.csnc.ch
Slide 51
Ortung mittels SS7
www.tyntect.de
www.csnc.ch
Slide 52
Ortung mittels SS7
www.routomessaging.com
www.csnc.ch
Slide 53
Ortung mittels SS7
Provider Home Location Register Lookups und LBS
http://gateway.smsitaly.com/hlr/default_msc.asp
www.csnc.ch
Slide 54
Ortung mittels SS7
Provider Home Location Register Lookups und LBS
http://www.smssubmit.se/en/hlr-lookup.html
www.csnc.ch
Slide 55
Ortung mittels SS7
Welche Routing-Infos werden zurück gegeben?
“ die IMSI (die „echte“ Rufnummer)
“ Die Kennung der genutzten MSC
“ Benutzer-Fehler (z. B. "Absent Subscriber" == das Telefon ist
ausgeschaltet)
www.csnc.ch
Slide 56
LiveDemo [Ortung mittels SS7 abfrage]
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Ortung mittels SS7
Auch hier ist die Nutzung der richtigen Datenbank essentiell!
Berlin
Hamburg
Frankfurt
Stuttgart
München
T-Mobile Germany
Vodafone Germany
+491710360000
+491710400000
+491710650000
+491710700000
+491710870000
+491720012097
+491720022097
+491720061097
+491720076097
+491720082097
www.csnc.ch
Slide 58
Ach ja… eine kleine Randnotiz…
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Ortung durch GPS/Geotagging
Übrigens: Wussten Sie, dass Ihr Smartphone GeoTags in Ihren
Fotos speichert?
www.csnc.ch
Slide 60
Ortung durch GPS/Geotagging
www.csnc.ch
Slide 61
Abhören von Daten und Sprache
[Luftschnittstelle]
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
ISMI Catcher
IMSI Catcher lokalisiert umliegende Handys und kann alles
aufzeichnen
“ Mobile GSM Empfangszelle
“ Reichweite 800 m bis 1,5 km
“ Alle Telefongespräche, SMS, Daten und Nummern können
mitgeschnitten werden
“ Kosten ca. 11.000.- Euro pro Set
www.csnc.ch
Slide 63
The OpenBTS Project
Das OpenBTS Projekt simuliert eine GSM-Funkzelle
“
“
“
“
Open-Source Unix Applikation
Nutzt das Universal Software Radio Peripheral (USRP) www.ettus.com
Stellt ein GSM-Fukzelle zur Verfügung
Nutzt die Open-Surce Asterisk Software PBX zum Connectieren der
Calls
Siehe auch http://openbts.sourceforge.net/
www.csnc.ch
Slide 64
The OpenBSC Project
Forciert die Entwicklung eines Open-Source Base-StationControllers (BSC) für GSM-Netze
“ Wurde auf dem Chaos Communication Congress 2008 vorgestellt
“ Simmuliert einen BSC
“ Die Software beherrscht SMS-Versand und das Durchstellen von
Gesprächen.
“ Momentan werden Softwareseitig folgende BTSen unterstützt:
“
BS11 mikro BTS von Siemens (E1 Primärmultiplex Schnittstelle)
“
ip.access nano BTS (PoE Schnittstelle)
Siehe auch http://openbsc.gnumonks.org/trac/wiki/OpenBSC
www.csnc.ch
Slide 65
Kommerzielle Lösung
Running your own GSM-Network for everybody. Buy it!
www.ipaccess.com
www.csnc.ch
Slide 66
Kommerzielle Lösung
Running your own GSM-Network for everybody. Buy it!
www.ipaccess.com
www.csnc.ch
Slide 67
SIM-Schnittstelle als Angriffsvektor auf
mobile Endgeräte
[SIM Application Toolkit]
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Übrigens: Haben Sie mittlerweile die
Verschlüsselung Ihres BlackBerrys oder
den Zugangsschutz Ihres iPhones
aktiviert? Ich hatte Sie eingangs daran
erinnert…
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
SIM Application Toolkit
Weshalb ein Angriff auf die SIM-Schnittstelle?
SIM Schnittstelle als universeller Angriffsvektor auf mobile Endgeräte
Standardisierte Schnittstelle
Realisierung: Hardware-basierter Man-in-the-middle-Angriff
Fernwirken von Endgeräten (wie teilweise schon von den
Netzbetreibern genutzt)
“ Publizierung des Proof-of-Concepts auf dem BSI-Kongress 2009 (durch
Benedikt Heinz)
“
“
“
“
www.csnc.ch
Slide 70
SIM-Karte
“ Ausgabe durch den Netzbetreiber
“ Aufgaben
“ Kryptografische Authentisierung des Mobilfunknutzers
“ Geschützter Datenspeicher (Telefonbuch, SMS)
“ Endgeräteunabhängig
“ Funktionsweise
“ Standartisierte Schnittstelle – Smartcard (T0 Protokoll)
“ Unverschlüsselte, serielle Datenübertragung zum mobilen
Endgerät (ISO/IEC 7816-3)
www.csnc.ch
Slide 71
Wozu dienen SIM Application Toolkit (SAT)?
“ Wunsch der Netzbetreiber nach Zusatzdiensten
“ (z.B. Homezone, betreiberspezifische
Menüs, etc.)
“ Endgeräte: viele verschiedene Hard-/Software
Plattformen
“ Anpassung stellt enormen Aufwand dar
“ SIM-Karte wird vom Provider ausgegeben
“ einheitliche Hard-/Software
“ SIM Application Toolkit
“ Zusatzdienste werden auf der SIM-Karte
realisiert
“ Kommunikation mit der Außenwelt über
das Endgerät
www.csnc.ch
Slide 72
Funktionen des SIM Application Toolkit
“ Versand und Empfang von Kurznachrichten
(SEND SHORT MESSAGE, SMS-PP Download)
“ Initiieren ausgehender Anrufe (SET UP CALL)
“ Umleiten ausgehender Anrufe (CALL CONTROL)
“ Positionsbestimmung
“ Datenübertragung via GPRS/UMTS
“ Senden von AT-Kommandos an das Endgerät
“ usw..
www.csnc.ch
Slide 73
Funktionsweise eines SAT-Angriffs
“
“
“
“
SIM-Karte kann die beschriebenen SAT-Funktionen nutzen
Keine Kryptografie zwischen SIM und Endgerät
Einschleusen eigener SAT-Kommandos möglich
SIM wird weiterhin zur Authentisierung benötigt
“ Man-in-the-middle-Angriff durch Einbau eines Mikrocontrollers
www.csnc.ch
Slide 74
Mögliche Angriffsszenarien auf mittels SAT
“ Mobilfunkendgerät zur Überwachung (stiller Anruf)
“ Übertragung von Daten
“ Initiieren von Rufumleitungen
“ Man-in-the-middle-Angriff
www.csnc.ch
Slide 75
Mikrocontroller-basierter Man-in-the-middle-Angriff
www.csnc.ch
Slide 76
Entwicklungshistorie
www.csnc.ch
Slide 77
Bezugsquellen inkl. Development-Kit
“ www.bladox.com
“ www.yourbluetoothtech.com
www.csnc.ch
Slide 78
ManMan -inin -thethe -middlemiddle -Angriff
Beispiel Voice
Freiton
Call +49 151 xxxxxxxx
www.csnc.ch
Slide 79
LiveDemo [SAT-Angriff]
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Identifikationsfälschung
[Call-ID-Spoofing]
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Call-ID-Spoofing
Weshalb ein Angriff mittels gefälschter Rufnummer?
“ Oft dient die Rufnummer (CLIP) als Identifikationsmerkmal des Anrufers
(z.B. bei Telefongesprächen, Fernzugängen, Anwendungen etc.)
“ Das ISDN-Protokoll bietet technisch versierten Angreifern die
Möglichkeit, die CLIP-ID mittels des Leistungsmerkmals „CLIP – No
Screening“ zu manipulieren.
“ Auch mittels SS7 (Signalling System 7) bieten sich Möglichkeiten des
Spoofings.
“ Dem Gesprächspartner bzw. dem TK-System können beliebige
Rufnummern vorgetäuscht werden.
“ Zugriffsbeschränkungen mittels Rufnummernidentifizierung können
umgangen, bzw. beim Social-Engineering unterstützend eingesetzt
werden.
“ Matching der Rufnummern in EU-Endgeräten erfolgt nur bis zur max.
7. Stelle
www.csnc.ch
Slide 82
LiveDemo [Call-ID-Spoofing]
+
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Call-ID-Spoofing
CallCall -IDID-SpoofingSpoofing-Angriff
Eingehender Anruf:
+49666666666666
Paris Hilton
Freiton
www.csnc.ch
Slide 84
Identifikationsfälschung
[SMS-ID-Spoofing]
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
SMS-ID-Spoofing
Weshalb ein Angriff mittels gefälschter Rufnummer?
“ Ähnlich wie mittels Rufnummernidentifizierung kann SocialEngineering unterstützend eingesetzt werden.
“ Anstatt Nummern-Identifizierung kann der Absender direkt benannt
werden.
“ Phishing via SMS ist noch weitgehend unbekannt und daher
aussichtsreicher.
“ Keine Content-Filter vorhanden (wie z.B. bei E-Mails)
www.csnc.ch
Slide 86
SMS-ID-Spoofing
SMS-Phishing mittels SMS-Spoofing
“ Beispiel einer Phishing-SMS
“ Originalnachricht des Netzbetreibers
www.csnc.ch
Slide 87
SMS-ID-Spoofing
SMS-Phishing mittels SMS-Spoofing
“ Beispiel einer Phishing-SMS
“ Gefälschte Nachricht auf Grundlage
der Netzbetreiber-SMS
www.csnc.ch
Slide 88
LiveDemo [SMS-ID-Spoofing]
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Der umgekehrte Fall – ist anonym
gleich anonym
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
LiveDemo [Aufdecken von Rufnummern]
+
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Please Call
+49 172 xxxxxxx
Mit unterdrückter Nummer!
Tipp: #31#
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Angriffe auf mobile Endgeräte mittels
Malware
[Trojaner & Co.]
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Mobile Phone Malware
Handyviren/Mobile Phone Malware sind Schadprogramme,
die sich in mobile Geräte einschleusen
“ Lange Zeit waren Handys geschützt, da sie geschlossene Systeme
darstellten.
“ Die Vielzahl der Schnittstellen (E-Mail, Bluetooth, W-LAN, Messaging,
Spiele und Logos zum Download sowie Bluetooth, UMTS etc.) mit der
Außenwelt stellt ein potenzielles Einfallstor für die „Malware“ dar.
“ Software Development Kits (SDK) stehen frei zur Verfügung – jeder
kann diese für seine „Entwicklungen“ nutzen.
“ Systeme verfügen in aller Regel über keinerlei (mitgelieferten)
Sicherheitsfunktionen.
“ Endgeräte stehen oftmals ungeschützt im Internet (W-LAN, UMTS etc.).
“ Smartphone liegen oft unbeobachtet herum.
“ Endgeräte sind oftmals nicht Bestandteil des Security-Konzepts.
“ Viele User nutzen ihre Endgeräte ohne Passwort-Schutz.
www.csnc.ch
Slide 94
Wie kommen Trojaner und Spyware auf mobile Geräte?
Bluetooth
GSM
Anwendungen (Apps)
Updates
eMail
Internetseiten
LAN / WAN / WLAN/UMTS
www.csnc.ch
Slide 95
Einer der ersten war Cabir Ł nutzt zur Verbreitung
Bluetooth
“ Ein Handy-Wurm, der sich über Bluetooth auf Smartphones mit dem
Betriebssystem Symbian OS verbreitet – mit hohem VerbreitungsPotential. Betroffen sein könnten Nokia Smartphones der 60er-Serie,
N-Gage, Panasonic X700, Siemens SX-1, Sendo X und andere.
www.csnc.ch
Slide 96
Sexy Space: Handy-Trojaner mit Zertifizierung
“ Der Trojaner "Sexy Space" erhielt eine digitale Signatur für SymbianHandybetriebssysteme.
“ Der Schädling vernetzt sich mit anderen befallenen Geräten und klaut
Benutzerdaten, um Spam per E-Mail oder SMS an die auf dem Handy
gefundenen Kontakte zu senden.
“ Kann hohe SMS-Kosten verursachen
www.csnc.ch
Slide 97
Java/Swapi.B: Der Java-Dialer versendet Premium-SMS
“ Nach der Infektion schickt diese Malware regelmäßig SMS an teure
Premium-Dienste.
“ Da der Trojaner auf einer J2ME-Engine basiert, die auf nahezu 90
Prozent der im Markt erhältlichen Telefone installiert ist, lässt er sich
nicht auf ein spezifisches Handy festlegen.
www.csnc.ch
Slide 98
ikee: Bringt Popsängers Rick Astley zu erneuten Ruhm
“ Proof-of-Concept: Der Wurm ist nach Malware-Maßstäben relativ
harmlos.
“ Er ersetzt lediglich das aktuelle Hintergrundbild dauerhaft durch ein
Foto des Sängers Rick Astley.
“ Danach macht er sich auf die Suche nach
weiteren Geräten, die er infizieren kann.
www.csnc.ch
Slide 99
Kommerzielle Trojaner: MOBILE SPY überwacht iPhone und
viele anderen Handys ab $49.00 im Quartal
Inkl. 24/7 Support
www.mobile-spy.com
www.csnc.ch
Slide 100
Kommerzielle Trojaner: Der Klassiker „FlexiSpy“.
Für fast alle Plattformen
verfügbar…
www.flexispy.com
www.csnc.ch
Slide 101
“ Konfigmenü von FlexiSpy
www.flexispy.com
www.csnc.ch
Slide 102
“ Konfigmenü von FlexiSpy
www.flexispy.com
www.csnc.ch
Slide 103
www.flexispy.com
www.csnc.ch
Slide 104
Wie sammelt FlexiPsy die User-Daten?
Der Trojaner übermittelt alle
Daten wie SMS, Calls, eMail,
etc. in definierten Intervallen
direkt an den Server.
Der Angreifer kann die Daten
jederzeit übers Internet
abrufen.
WWW
Database
www.csnc.ch
Slide 105
Und? Haben Sie Ihre Sicherheitsfeatures
aktiviert? Nein? Zu spät!
All Your Data Belong To Us…..
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
LiveDemo [Handy-Trojaner]
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Angriffe über weitere Schnittstellen
[Bluetooth]
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Bluetooth
Eine Geschichte zum Einstieg….
Gestern im ICE Ł Freitickets per Bluetooth-Schnittstelle
versendet…
Ergebnis der gestrigen Fahrt von Bamberg nach Berlin (ICE 584):
“ Innerhalb von nur 8 Minuten fanden wir 28 mobile Endgeräte.
“ Davon waren 7 verwundbar !!!
www.csnc.ch
Slide 109
Bluetooth
Die Technik…
“ Ein Standard für die drahtlose Kommunikation im Nahbereich
“ Ursprünglich in den 90er Jahren von Ericsson entwickelter
Industriestandard gemäß IEEE 802.15.1 für die drahtlose (Funk-)
Vernetzung von Geräten über kurze Distanz.
“ PAN Technology – Personal Area Network
“ Konzipiert für short-range Verbindungen als Ersatz für Kabel und
Infrarot
“ 2.4 GHz (wie Wireless LAN als Short Range Devices im lizenzfreien
ISM-Band)
“ 3200 hops pro Sekunde auf 79 Kanälen, 1600 bei Verbindung
“ Master definiert die Hopping Sequenz
“ Rechweite von 10 m (Klasse 3 1mW) bis 100 m (Klasse 1 100mW)
“ Viel Bluetooth Security Forschung durch Trifinite Group
(www.trifinite.org)
www.csnc.ch
Slide 110
Bluetooth
Die Technik…
“ Modi für Erkennung (Inquiry):
“ Discoverable: Device antwortet auf Anfragen
“ Temporary Discoverable: Zeitlich begrenzter Discoverable Modus
“ Non-Discoverable: Device antwortet nicht auf Broadcast Anfragen
“ Modi für Pairing (Paging):
“ Pairable: Device antwortet auf pairing Anfrage
“ Non-pairable: Device blockt Anfrage in LMP (Link Manager
Protocol )
www.csnc.ch
Slide 111
Bluetooth
Paarungsverhalten
Master
Slave
Point to Point
Piconet
www.csnc.ch
Scatternet
Slide 112
Bluetooth
Bluetooth Stack
Anwendungs-Sicherheitsmechanismen
System-Sicherheitsmechanismen
Hardware-Sicherheitsmechanismen
Source: http://www.trifinite.org
www.csnc.ch
Slide 113
Bluetooth
Bluetooth Hacking Hardware
“ Notebook mit Bluetooth Adapter
“ Ideal:
“ Modifizierter Bluetooth Adapter mit 2.4 GHz Antenne
“ Frontline Bluetooth Sniffer (inklusive Dongle mit RAW Modus)
Grafiken: www.trifinite.org
www.csnc.ch
Slide 114
Bluetooth
Bluetooth Scanning (First Step)
“ Bekannteste Software zum Finden von Bluetooth Devices:
“ btscanner (www.pentest.co.uk)
“ Erkennt Device Typen, Hersteller und Vulnerabilities
“ Inquiry Scan:
“ Schickt Broadcast Anfragen
“ Findet alle Devices im discoverable Modus
“ Brute-Force Scan:
“ Schickt einzelne Anfragen an eine Liste vom MAC Adressen
“ Findet auch Devices im hidden Modus
www.csnc.ch
Slide 115
LiveDemo [BTScanner]
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Bluetooth
Bluetooth Angriffe mittels Bluejacking
“ Missbrauch der Funktion zum Senden von Visitenkarten im VCardFormat per Bluetooth zur Übermittlung von Nachrichten
“ Aktueller Modetrend bei Jugendlichen
“ Kein Gefahrenpotential vorhanden
www.csnc.ch
Slide 117
LiveDemo [Bluejacking]
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Bluetooth
Bluetooth Angriffe mittels Bluesnarf
“ Tool: bluesnarfer (http://www.alighieri.org/project.html)
“ Bluesnarf = OBEX push Angriff
“ Erlaubt den Zugang auf den Kalender, das Adressbuch, E-Mails und
Textmitteilungen
“ Daten werden herunter- statt hochgeladen
“ Keine Authentifizierung erforderlich
“ Beispiele für verwundbare Device:
“ Ericsson T68(i), R520m, T610, Z1010, Z600
“ Nokia 6310(i), 8910(i)
www.csnc.ch
Slide 119
Bluetooth
Bluetooth Angriffe mittels Bluebug
“ Tool: bluebugger (http://www.codito.de)
“ BlueBug = AT Befehle auf Device ausführen
“ Ermöglicht volle Kontrolle über ein Device. Z.B. das Ausführen
(interner) Befehle, ohne dass es die Zielperson mitbekommt.
“ Einige Möglichkeiten:
“ Anrufen / Nachrichten schreiben
“ Einstellungen umkonfigurieren
“ Adressbuch / Nachrichten auslesen
“ etc.pp.
www.csnc.ch
Slide 120
Bluetooth
Bluetooth Angriffe mittels Carwhisperer
“ Tool: carwhisperer (http://trifinite.org/trifinite_stuff_carwhisperer.html)
“ Ausnutzen der Default PIN’s von Bluetooth Hardware
“ Die meisten Headphones haben fixe Bluetooth PIN’s: 1111, 1234,
0000, ….
“ Durch die bekannte PIN kann das Headset gepaired werden.
“ Audio kann aufgenommen und abgespielt werden.
“ Carwhisperer: Bluetooth Freisprecheinrichtungen sind häufig in Autos
implementiert.
www.csnc.ch
Slide 121
LiveDemo [Carwhisperer]
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Bluetooth
Bluetooth Angriffe mittels Link-Keys
Authentication start
Bei Bluetooth gilt: Gültiger LinkLink-Key = Authentifizierte Verbindung!
link
authenticated
already
link
key
available?
Imp_authentication
Initiate
pairing?
Imp_authentication
Authentication failed
Authentication
valid/ok
www.csnc.ch
Source: http://www.remote-exploit.org
Slide 123
Bluetooth
Bluetooth Angriffe mittels Carwhisperer
“ Tool: BTCrack (http://www.nruns.com/security_tools.php)
“ Zuerst muss ein Pairing mitgeschnitten werden.
“ Hierzu wird meist die bestehende Verbindung unterbrochen,
damit die zwei Devices neu pairen.
“ Master oder Slave muss bekannt sein.
“ Es wird ein spezieller Dongle mit RAW Funktionalität benötigt.
“ Mittels Link-Key hat der Angreifer nun folgende Möglichkeiten:
“ Kommunikation zwischen den 2 Devices mitlesen.
“ Zugriff auf die beiden Devices mittels des geknackten Link-Keys
“ Der Angreifer muss lediglich seine MAC Adresse anpassen
und Link-Key angeben
“ Tools: Frontline Bluetooth Sniffer / BTCrack
www.csnc.ch
Slide 124
Bluetooth
Bluetooth Angriffe (Toolsammlung)
“ Tool: Blooover (http://trifinite.org/trifinite_stuff_bloooverii.html)
“ Blooover – Bluetooth Hacking Software fürs Handy
“ Verschiedene Attacken implementiert:
“ Bluesnarf
“ BlueBug
“ Etc.
“ Tool: Blooover
www.csnc.ch
Slide 125
Missbrauch des Soundlogos
[Early Media]
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Early Media
Der Early Media Stream
“ Übermittelt bereits während des Rufaufbaus Audioinformationen
“ Eigentlich für individuelle Freizeichen und Ansagen wie „Kein
Anschluss unter dieser Nummer“, „Teilnehmer ist vorübergehend nicht
erreichbar“ und Preisansagen gedacht
“ Erfolgt vor dem Verbindungsaufbau und ist daher kostenfrei
www.csnc.ch
Slide 127
EarlyMediaStream
Funktionsweise Early Media
Rufaufbau
Herkömmliches
Telefonnetz
(PTSN)
Rufaufbau
Teilnehmer
PSTNPSTNVOIPVOIPGateway
www.csnc.ch
Slide 128
Early Media
Nutzung von „Chanspy“ und „Whisper“ unter Asterisk
“
“
“
“
Ursprünglich zu Schulungszwecken in Callcenter entwickelt
Umgehung von Vorratsdatenspeicherung
Mikrofone von Teilnehmern sind schon während der Rufphase geöffnet
Erfolgt vor dem Verbindungsaufbau und ist daher kostenfrei
INVITE
183 Session Progress
Chanspy
Early Media
Whisper
Early Media
Timeout/ Cancel
www.csnc.ch
Slide 129
EarlyMediaStream
Gespräche belauschen während des Freitons
Infos
Ring
Freiton
Rufaufbau
www.csnc.ch
Slide 130
LiveDemo Lauschangriff
[Early Media]
+
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Please Call
+49 152 xxxxxxx
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Selbsttest: Please Call
+49 151 xxxxxxx
1. Call (Record)
2. Call (Play Back)
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Resümee
Compass Security AG
Glärnischstrasse 7
Postfach 1628
CH-8640 Rapperswil
Tel.+41 55-214 41 60
Fax+41 55-214 41 61
team@csnc.ch
www.csnc.ch
Resümee
Beziehen Sie mobile Endgeräte unbedingt in Ihren Security
überlegen mit ein!
Ansatzpunkte:
“ Sensibilisierung der Anwender
“ Implementierung eines Mobile Device Managements (siehe auch
Open Mobile Alliance Standard – OMA Device Management)
“ Backup
“ Update
“ Sicherheitseinstellungen
“ Fernlöschung und Ortung bei Diebstahl
“ Verwendung von Firewall und Virenscanner (ggf. von Drittanbietern)
“ Sie werden viel transportiert und sind einfach zu bewegen.
“ Reglementierung von Anwenderzugriffen
“ Passwort-Richtlienen
www.csnc.ch
Slide 135
Offene Diskussion
Fragen?!
www.csnc.ch
Slide 136
Vielen Dank!
Vielen Dank für Ihre
Aufmerksamkeit!
www.csnc.ch
Slide 137
Kontakt
Compass Security Network Computing
Glärnischstrasse 7
Postfach 1628
CH - 8640 Rapperswil
team@csnc.ch | www.csnc.ch | +41 55 214 41 60
Secure File Exchange: www.csnc.ch/filebox
PGP-Fingerprint:
www.csnc.ch
Slide 138

Compass Security AG - Hacking

Transcription

Similar documents

Info-Cubes Abstracts

Profil Patrick Sauer IT

Cmps03 - Robotikhardware.de

media kit - GIT

Security Sicherheit

Einladung Tag des Polyurethans

MAHLE Filtersysteme GmbH · Bereich Industriefilter · Postfach 13 09

minilock6910 - Crypto Museum

Layout 2

herunterladen - IRAP - Hochschule fÃ¼r Technik Rapperswil

instructions for use betriebsanleitung steyr pistol

Bluetooth Handsfree Kit BTCC-001 Benutzerhandbuch

HM1000

Bluetooth in a Nutshell - Institut für Pervasive Computing

Heimkino - MAJA Möbel

CLICKplus

Security Policies am Beispiel des Endlagers

Quantum Leap RA Virtuelles Instrument - Soundsonline

IT-Sicherheit für die Industrie 4.0