Aus dem CAS Digital Risk Management mit Ivan Bütler berichtet von Jacqueline Fischer.

Ivan Bütler ist Gründer und CEO von Compass Security. Compass Security ist ein führendes Schweizer Unternehmen, welches sich dem Ethical Hacking und der Incident Response verschrieben hat. Ivan Bütler ist ein bekannter Experte für Security Fragen.

Planet Espresso

Als Hausaufgabe haben wir uns in die Lage der Firma Planet Espresso versetzt. Die Webseite der Firma wurde gehackt und Kundendaten wurden gestohlen. Unsere Aufgabe war es, aufgrund dieses Vorfalls, Sofortmassnahmen und langfristige Massnahmen zu entwickeln und eine entsprechende Pressemitteilung zu erarbeiten und uns auf eine Pressekonferenz vorzubereiten.

Dario und Ruedi wurden als Pressesprecher der Firma Planet Espresso erkoren. Ruedi erhielt vorgängig keine weiteren Infos. Er hat die Pressekonferenz entsprechend seiner Vorbereitung gehalten.

Dario hingegen hat von Ivan noch zusätzliche Infos bezüglich “Negatives Mitteilen” erhalten. Die wichtigsten Punkte, auf was man achten soll, wenn man Negatives mitteilt, sind nachfolgend beschrieben:

  • Körpersprache
    Die Körpersprache und der Auftritt (auch Kleider) sollen die Ernsthaftigkeit der Angelegenheit symbolisieren.
  • Rahmen bekannt geben
    Der Rahmen und der Ablauf der Meldung soll am Anfang bekannt gegeben werden.
  • Wertschätzung
    Der Zuhörer soll sich wertgeschätzt fühlen.
  • Negativ Botschaft mitteilen
    Die Negativ-Botschaft wird einmal klar und ehrlich erklärt und es soll auf Wiederholungen verzichtet werden. Ebenfalls soll auf das Verschönern von Aussagen verzichtet werden.
  • Lösungen aufzeigen
    Es soll aufgezeigt werden, wie man mit der negativen Mitteilung umgeht und was man tut, um das Problem zu lösen.
  • Verständnis für die Reaktion aufbringen, aber nicht verhandeln
    Bei Reaktionen auf das Mitgeteilte, soll Verständnis gezeigt werden, jedoch sollen keine Rechtfertigungen gemacht werden und Verhandlungen sollen auf jeden Fall vermieden werden.
  • Anerkennung
    Zum Schluss einer Mitteilung soll dem Zuhörer gedankt werden und man soll ihn informieren, wie er auf dem Laufenden bleiben kann.
  • Richtig reagieren auf Störungen
    Stört jemand die Mitteilung, soll der Sprecher den Störenfried anschauen und warten, bis dieser mit der Störung aufhört. Nützt dies nichts, soll der Störenfried direkt angesprochen werden. Hilft dies auch nicht, soll der Störenfried gebeten werden den Raum zu verlassen.
  • Richtig reagieren auf Beleidigungen
    Bei Beleidigungen soll nicht auf den Inhalt der Beleidigung eingegangen werden. Dem Gegenüber soll aber mitgeteilt werden, dass es eine Beleidigung war und darauf nicht eingegangen wird.

Nachdem wir die Hausaufgabe besprochen hatten, hat uns Ivan Infos zu Man-in-the-Middle Attacken gegeben.

Man-in-the-Middle (MitM) Attacken

Bei Man-in-the-Middle (MitM) Attacken steht der Angreifer im Kommunikationskanal zwischen zwei Partnern. Der Angreifer kann dabei physisch oder auch logisch im Kommunikationskanal stehen. Der Angreifer kann dabei den Datenverkehr abhören und nach Belieben manipulieren. Die beiden Partner merken dabei nicht, dass ein Angriff stattfindet, da der Angreifer gegenüber jedem Partner vorgibt, das jeweilige Gegenüber zu sein.

Es gibt verschiedene Arten von MitM Attacken. Folgende wurden von Ivan genauer erklärt:

  • Internet Service Provider
    Viele Rechnungen werden per E-Mail ausgetauscht. Dies ermöglicht, dass ein Angreifer die E-Mail abfängt und die bestehende Rechnung mit einer “gefakten” Rechnung ersetzt und an den richtigen Empfänger weiterleitet. Die neue/”gefakte” Rechnung enthält als Zahlungsempfänger den Angreifer. Der Rechnungsempfänger zahlt also den Betrag anstatt an den richtigen Rechnungsempfänger an den Angreifer.
  • Airport WiFi – Free Access Point
    An Flughäfen sind viele Reisende froh über gratis WLAN. Ein Angriff ist deshalb dort sehr ergiebig.
    Dabei wird ein Free WiFi zur Verfügung gestellt, auf welches sich die Opfer freiwillig verbinden. Sobald sich das Opfer einwählt, wird die gesamte Kommunikation (inkl. Passwörter) abgehört.
    Da sich Handys automatisch mit bekannten WLANs verbinden, wird bei einem Angriff häufig eine SSID verwendet, die auch sonst häufig verwendet wird (z.B. SBB-Free). So kann die Opferquote erhöht werden, weil keine manuelle Verbindung durch das Opfer erstellt werden muss und somit die Daten automatisch mitgelesen werden können.
  • DNS System Attack
    Der DNS ist zuständig für die Übersetzung von Text (zum Beispiel URL www.hwzdigital.ch) in IP Adressen.
    Der DNS funktioniert dabei ähnlich wie eine Telefonauskunft, welche man mit dem Namen (hwzdigital.ch) anfragt, von welcher man dann die entsprechende IP Adresse (Telefonnummer) erhält, welche nachher zum richtigen Ziel (Telefon) führt.
    Wenn sich der Angreifer nun als DNS Server ausgibt, kann er dem Opfer eine falsche IP Adresse zu seiner aufgerufenen URL geben und ihn somit auf eine falsche/verseuchte Webseite lotsen.
  • Registrar Attack
    Jede Webseite braucht für eine https Verbindung ein Zertifikat. Ist dieses gültig wird im Browser ein Schloss Symbol angezeigt.
    Die Zertifikate auf Webseiten werden von Zertifizierungsstellen geprüft. Registrar Attacks befassen sich damit, falsche/gefährliche Zertifikate in die Datenbanken der Zertifizierungsstellen zu schmuggeln und somit dem Opfer vorzugaukeln, dass es auf einer sicheren Webseite ist.
  • Offline Phishing Attack
    Bei einer Phishing Attacke wird meist versucht mittels E-Mail an die Zugangsdaten (zum Beispiel von E-Banking) des Opfers zu gelangen. Die E-Mails sind dabei meist so aufgebaut, dass das Opfer gebeten wird seine Zugangsdaten auf einem Link zu bestätigen.
  • Bei einer Offline Phishing Attacke betreibt der Angreifer eine eigene Webseite, auf welche das Opfer in der E-Mail geleitet wird. Wenn das Opfer die Zugangsdaten auf der Webseite des Angreifers eingibt, wird angezeigt, dass der Loginversuch nicht erfolgreich war und das Opfer wird auf die richtige Seite weitergeleitet, wo sich das Opfer einloggen kann. Der Angreifer konnte die Zugangsdaten beim ersten vermeintlich fehlerhaften Loginversuch abgreifen und entsprechend Schaden anrichten.
  • Online Phishing Attack
    Im Unterschied zur Offline Phishing Attacke betreibt der Angreifer bei einer Online Phishing Attack keine eigene Webseite. Das Opfer wird zwar im ersten Schritt auf eine Fake-Webseite geleitet, damit dort die Kommunikation abgehört werden kann, wird dann aber automatisch auf die richtige Webseite weitergeleitet. Tippt das Opfer die Zugangsdaten ein, kann der Angreifer dies somit ebenfalls mitlesen und damit Schaden anrichten.
  • PE Injection
    Bei einer PE Injection wird beim Update einer harmlosen Software (zum Beispiel Adobe Flash Player) ein Trojaner mitinstalliert. Das Opfer merkt dabei nicht, dass eine zusätzliche Software installiert wird. Viele Staatstrojaner werden auf diese Art unbemerkt installiert.
Privilege Escalation

Bei einem Privilege Escalation Angriff geht es darum, dass der Angreifer eine möglichst hohe Berechtigungsstufe erreicht (im besten Fall für den Angreifer wird er Administrator). Umso höher die Berechtigungsstufe ist, desto einfacher kann der Angreifer die Kontrolle über ein System übernehmen und entsprechend grossen Schaden anrichten.

Social Engineering

Als Social Engineering versteht man einfach gesagt den Wolf im Schafspelz. Es geht dabei vor allem darum, herauszufinden was eine Person mag, um sie dann damit zu überlisten.

Dabei gibt es verschiedene Hilfsmittel. Folgende wurden im Unterricht behandelt:

  • PlugBot
    Ein PlugBot ist ein Gerät, welches direkt am Netzwerkkabel eingesteckt werden und von dort den gesamten Netzwerkverkehr mithören kann und diesen per GPRS oder UMTS an den Angreifer sendet.
  • SMS Spoofing
    Beim SMS Spoofing wird eine SMS von einer vorgegaukelten Nummer an das Opfer gesendet.
    Beispielsweise versendet der Täter eine SMS von Swisscom mit einem Link auf eine verseuchte Adresse und der Bitte sein Konto dort zu aktivieren.
  • E-Mail Spoofing
    Beim E-Mail Spoofing wird eine E-Mail von einer vorgegaukelten E-Mail-Adresse an das Opfer gesendet.
    Beispielsweise versendet der Täter eine E-Mail als UBS mit einem Link auf eine verseuchte E-Banking Plattform und bittet das Opfer sich im E-Banking einzuloggen.
  • Telefonnummer Spoofing
    Beim Spoofing der Telefonnummer wird das Opfer mit einer vorgegaukelten Telefonnummer kontaktiert.
    Beispielsweise wird das Opfer mit der Telefonnummer von Microsoft kontaktiert,dann wird das Opfer am Telefon gebeten einen Remotezugriff auf den heimischen Computer einzurichten und somit wird dem Angreifer die Türe zum eigenen Rechner geöffnet.

Internet of Things (IoT) & Hardware (HW) Attacks

Mit der Internet of Things Bewegung werden Alltagsgegenstände ans Internet angeschlossen. Zum Beispiel haben Kühlschränke oder Kaffeemaschinen eine Internetverbindung. Diese Geräte, die hier verwendet werden, sind meist einfach zu hacken und können so zum Beispiel als Bot-Netze verwendet werden. Mit diesen Bot-Netzen werden Distributed-Denial-of-Service (DDoS) Attacken gemacht. Bei DDoS werden Webseiten mit Anfragen überlastet, damit sie nicht mehr aufrufbar sind.
Ebenfalls kann die Kontrolle über diese IoT Gegenstände einfach übernommen werden. Was vielleicht bei einer Kaffeemaschine noch nicht gefährlich ist, kann aber bei einem Instrument in einem Krankenhaus schnell gefährlich werden.
Es ist deshalb wichtig, dass man auch IoT Hardware, wie alle anderen Geräte entsprechend vor Angriffen schützt.