110
Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de Hochschule Albstadt-Sigmaringen | VDI Cyber Security Workshop Albstadt 04.06.2016 1 Cyber Security Workshop

Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Embed Size (px)

Citation preview

Page 1: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

1

CyberSecurityWorkshop

Page 2: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Cyber Security WorkshopDefense in depth!

2

Page 3: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Tobias Scheible

Studium Kommunikations- und Softwaretechnik, HS Albstadt-Sigmaringen

Softwareingenieur im Bereich Web Development, Werbeagentur Gute Aussicht

Seit 2012: Wissenschaftlicher Mitarbeiter, Hochschule Albstadt-Sigmaringen

Schwerpunkte: Internettechnologien, Web Applications Security und Penetration Testing

3

Digitale Rechnersysteme

Open C3S – Studium Initiale

Prof. Dr. Joachim Gerlach

Einführung Algorithmen

Open C3S – Studium Initiale

Prof.'in Dr. Ute Matecki

Wissenschaftliches Arbeiten

Open C3S – Studium Initiale

Prof. Dr. Otto Kurz

Internettechnologien

Open C3S –Zertifikatsprogramm

Prof. Dr. Martin Rieger

Cloud Computing

Open C3S – Master IT GRC

Prof. Dr. Stefan Ruf

Praktikum IT Security 2

Bachelor IT Security

Prof. Holger Morgenstern

Praktikum Informationssicherheit

Bachelor Wirtschaftsinformatik

Prof. Holger Morgenstern

CyberSecurity Lab

Blog, Workshops & Vorträge

http://cyber-security-lab.de

Page 4: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Ablauf

09:30

4

12:00 – 13:00 17:30

Zielsetzung

Wir demonstrieren Ihnen, wie Cyberkriminelle vorgehen und betrachten aus der Sichtweise eines Hackers seine Motivation. Anschließend zeigen wir Ihnen, wie Sie anonym im Internet surfen, im täglichen Gebrauch Ihre Spuren verwischen und wie Sie am effektivsten Ihren Rechner absichern können.

Page 5: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Agenda

1. Cyber Security

2. Web Security

3. System Security

4. Network Security

5. Hardware Security

6. Cyber Defense

5

Page 6: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Agenda

1. Cyber Security

Aktuelle Sicherheitsvorfälle

Sicherheit in der Praxis

Größtes Sicherheitsrisiko

2. Web Security

3. System Security

4. Network Security

5. Hardware Security

6. Cyber Defense

6

Page 7: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

7

1. Cyber Security

Page 8: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

00000000

?8

Quelle: heise.de

Page 9: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

00000000Launch-Code für die in den USA

stationierten Atomraketen (1962 bis 1977)

9

Quelle: heise.de

Page 10: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Atom-Raketen: Steuerungstechnik aus den 70ern

10

Quelle: chip.de

Quelle: zeit.de

Page 11: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Angriff auf den Fernsehsender TV5

Umfangreicher Angriff auf den französischen Sender TV5Monde

Alle Kanäle des Fernsehunternehmens TV5Monde gingen offline

Die Website verbreitete kurzfristig islamistische Drohungen

Auf der Facebook-Seite wurden ebenfalls Drohungen verbreitet

Spekulationen über öffentlich einsehbare Passwörter

11

Quelle: heise.de

Page 12: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Angriff auf den Fernsehsender TV5

12

Quelle: heise.de

Page 13: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Angriff auf den Fernsehsender TV5

13

Quelle: heise.de

Page 14: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Angriff auf den Fernsehsender TV5

Im Hintergrund waren im eigenen Studio Passwörter bzw. Zugangsdaten zu erkennen

YouTube Passwort: "lemotdepassedeyoutube" (etwa "dasyoutubepasswort")

14

Quelle: heise.de

Page 15: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Ashley Madison Hack

15

Quelle: ashleymadison.com

Page 16: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Ashley Madison Hack

300 Gigabyte wurden entwendet

Daten von 32 Millionen Nutzern

Sicherheitslücken waren bekannt

Cross-Site-Scripting- (XSS), Cross-Site-Request-Forgery-Schwachstellen (CSRF)

Interne E-Mails wurden veröffentlicht

Hacks von Konkurrenten

Folgen des Hacks

32 Mio. Nutzerdaten

15.000 Regierungsmitglieder

Darunter 300.000 deutsche E-Mail Adressen

Zahlreiche Erpressungen

Mind. 2 Suizide

16

Page 17: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Social Engineering - Gefälschte E-Mail

17

Quelle: spiegel.de

Page 18: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Gefängnisausbruch mittels E-Mail

Moderner Ausbruch aus einem britischen Gefängnis (März 2015)

SocialEngineering Angriff auf das Gefängnis

Smartphone eingeschmuggelt

Domain reserviert, die dem zuständigen Gericht ähnelt

E-Mail Adresse mit dieser Domain eingerichtet

Hat sich als leitender Beamter ausgegeben

Anweisungen zu seiner Entlassung gegeben

Gefangener kam frei

18

Quelle: heise.de

Page 19: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Cybercrime as a Service

19

Quelle: youtube.com

Page 20: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

PRAXIS Locky – Aktueller Kryptotrojaner

Auf deutsche Benutzer ausgerichtete Varianten

Verschlüsselt alle Benutzerdateien, auch Netzwerklaufwerke

Zeitlicher Ablauf:

15.02.2016 Locky wird als Schläfer aktiviert (Makros)

22.02.2016 Gefälschte Unternehmensrechnung (JScript)

24.02.2016 Gefälschtes Sipgate Fax (JScript)

26.02.2016 Neue Infektionstechnik mit Batch-Dateien

02.03.2016 Gefälschte BKA E-Mail (EXE-Datei)

20

Quelle: wikipedia.org

Page 21: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Cyber Security Statistiken

21

Quelle: hpi.de

Page 22: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Größtes Sicherheitsrisiko?

22

Quelle: wikipedia.org

Page 23: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Größtes Sicherheitsrisiko?

23

Quelle: cybersquirrel1.com

Page 24: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Größtes Sicherheitsrisiko?

24

Quelle: cybersquirrel1.com

Page 25: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Größtes Sicherheitsrisiko?

25

Quelle: heute.de

Page 26: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

26

Das eigene Lagebild ist der Grundpfeiler für die IT-Sicherheit

Objektivität und Informationen

Wichtig ist, möglichst viele Informationen zu sammeln und einen neutralen Standpunkt einzunehmen, um die Gefahren abwägen zu können

Analyse der potentiellen Angreifergruppen und Festlegung der essentiellen Informationsbestände

Gesunden Menschenverstand einsetzen und misstrauisch sein

Auf Sicherheit achten, aber nicht aus dem Fokus verlieren, dass immer etwas passieren kann: Schaden begrenzen

Page 27: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Agenda

1. Cyber Security

2. Web Security

Sicher im Internet

Anonym im Internet

Websites Manipulation

3. System Security

4. Network Security

5. Hardware Security

6. Cyber Defense

27

Page 28: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

28

2. Web Security

Page 29: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Online-Shop manipulieren

29

Page 30: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Online-Shop manipulierenhttp://example.com/pizza-shop/?essen=Pizza Salami&preis=6,00

http://example.com/pizza-shop/warenkorb.php?essen=Pizza Salami&preis=6,00

30

Page 31: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Online-Shop manipulierenhttp://example.com/pizza-shop/?essen=Pizza Salami&preis=6,00

http://example.com/pizza-shop/warenkorb.php?essen=Pizza Salami&preis=6,00

31

Page 32: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Online-Shop manipulierenhttp://example.com/pizza-shop/?essen=Pizza Salami&preis=6,00

http://example.com/pizza-shop/warenkorb.php?essen=Pizza Salami&preis=6,00

32

Page 33: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Online-Shop manipulierenhttp://example.com/pizza-shop/?essen=Pizza Salami&preis=6,00

http://example.com/pizza-shop/warenkorb.php?essen=Rabatt&preis=-10,00

33

Page 34: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Google als Hacking-Tool

warenkorb

34

Page 35: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Hacking mit Google

Anweisungen zum Formulieren von Suchanfragen:

Quelle: wikipedia.org

35

Page 36: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

PRAXIS Google als Hacking-Tool

warenkorb inurl:preis=

36

Page 37: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

PRAXIS Hacking mit Google

Beispiel Suchanfragen nach Webcams:

inurl:"viewerframe?mode=motion"

intitle:"snc-rz30 home"

intitle:"WJ-NT104 Main"

inurl:LvAppl intitle:liveapplet

intitle:"Live View / - AXIS"

inurl:indexFrame.shtml

37

Page 38: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

ÜBUNG Hacking mit Google

Datenbank mit vorformulierten Suchanfragen

Quelle: wexploit-db.com

38

Page 39: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Bug or Feature?

Quelle: http://www.heise.de/security/meldung/IP-Kameras-von-Aldi-als-Sicherheits-GAU-3069735.html

Quelle: heise.de

39

Page 40: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

PRAXIS Webcams finden

Quelle: shodan.io

40

Page 41: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

ÜBUNG Websites mit Kurzlinks manipulieren

Quelle: clonezone.link

41

Page 42: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Browser Fingerprinting

42

Quelle: panopticlick.eff.org

Page 43: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

ÜBUNG Sicher im Internet

Plugins nur mit Bestätigung ausführen

Datenschutz Einstellung

Verfügbare Plugins verstecken

Nützliche Erweiterungen – Firefox Add-Ons

AdBlock uBlock Origin

Random Agent Spoofer

NoScript

Firefox Security-Tuning in vier Schritten

43

Page 44: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Anonym im Internet

Proxy

Proxy bedeutet Stellvertreter und handelt im Auftrag eines anderen

Kann unterschiedliche Netze miteinander verbinden

Kann Netzwerk-Daten filtern, optimieren und zwischenspeichern

Die tatsächliche IP-Adresse des Nutzers bleibt verborgen

Virtual Private Network

Tor Browser

44

Page 45: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Anonym im Internet

Proxy

Virtual Private Network

Ein virtuelles Netzwerk, welches private Daten über ein öffentlichesNetzwerk (z.B. über das Internet) verschlüsselt transportiert

Über eine bestehende IP-Verbindung wird eine zweiteVerbindung (Tunnel) aufgebaut

Der gesamte Datenverkehr wird über den VPN-Server geleitet

Tor Browser

45

Page 46: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

ÜBUNG Anonym im Internet

Proxy

Virtual Private Network

Tor Browser

Spendenfinanziertes Opensource-Projekt mit über 5000 Tor-Nodes

Komplette Browser Bundles für Windows, Mac OS X, Linux, Android

Zufällige und verschlüsselte Route über drei Tor-Nodes

Jede Note kennt immer nur den Vorgänger und den Nachfolger

Wichtig: nur Anonymisierung, keine Verschlüsselung oder Integritätsschutz

Tor Browser in der Nutzung

46

Page 47: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

47

Sicherheitslücken sind Fehler in der Programmierung oder der Konfiguration

Vernetzte Systeme

Webserver sind oft der Knotenpunkt zwischen dem Intranet und dem Internet und somit eine kritische Komponente

Nicht nur eine äußere Verteidigung etablieren, sondern eine Defense in Deep Strategie konsequent anwenden

Professionelle Angreifer wenden eher langfristige Strategien an und sind nicht auf einen kurzfristigen Effekt aus

Menschen lassen sich manipulieren, um Sicherheitslücken zu schaffen

Page 48: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Agenda

1. Cyber Security

2. Web Security

3. System Security

Passwörter knacken

Sichere Passwörter

Windows Forensik

4. Network Security

5. Hardware Security

6. Cyber Defense

48

Page 49: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

49

3. System Security

Page 50: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Quelle: pics-for-fun.com

50

Page 51: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Quelle: de.pinterest.com

51

Page 52: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Fingerabdruckscanner

Quelle: imore.com

52

Page 53: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Fingerabdruckscanner

Quelle: rolf-fensterbau.de

53

Page 54: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Fingerabdruckscanner

Quelle: telegraph.co.uk

54

Page 55: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Probleme mit Fingerabdruckscannern

Einmal verlorener Abdruck kann nicht ersetzt werden

Nur „10“ Möglichkeiten stehen zur Verfügung

Größere Verbreitung sorgt für häufigere Diebstähle

Komplexe Lösung nicht immer die sicherste

Quelle: clker.com

55

Page 56: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Ursula von der Leyen

Quelle: n24.de

56

Page 57: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Fingerabdruck von Ursula von der Leyen

Quelle: heise.de

57

Page 58: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Venen-Scanner

Quelle: futerzone.at

58

Page 59: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Venen-Scanner

Quelle: http://futurezone.at/science/biometrie-venen-scanner-schlaegt-iris-messung/24.597.953

Quelle: futerzone.at

59

Page 60: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Aktion der Groupe Mutuel

60

Quelle: youtube.com

Page 61: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Social Engineering

Der Mensch als größtes Sicherheitsrisiko

Know-how der Mitarbeiter

Passwörter wurden nicht geändert, entsprechen nicht den Vorgaben oder sind offen zugänglich

Umgang mit vertraulichen Informationen in der Öffentlichkeit wie z.B. Flughafen Lounge, Flugzeug, Zug, Restaurant, …

Social Media – Privates und Geschäftliches werden immer mehr vermischt

Social Engineering, um Menschen gezielt zu manipulieren

61

Page 62: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Social Engineering

Hilfsbereitschaft

„Ich bin eine neue Studentin, ich muss nur schnell meine E-Mails abrufen.“

„Könnten sie mir bitte kurz helfen, ich suche Informationen über ….“

Autoritätsgläubigkeit

„Ich bin ein Professor aus Sigmaringen und muss schnell an den Rechner.“

„Ich bin die Sekretärin der Rektorin und brauche heute Abend noch …..“

Eitelkeit

„Ich bin ein Journalist und mache einen Artikel über innovative Studiengänge.“

„Ich habe ein großes Problem, nur Sie können mir helfen.“

62

Page 63: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Social Engineering

Neugierde

Öffnen von Attachments, Klicken auf Links, zufällig gefundene DVDs oder USB-Sticks, kostenlose Software, …

Einschüchterung

Phishing E-Mail: „Wenn Sie nicht Ihr Passwort erneuern, sperren wir Ihren Account.“

Erpressung

Phishing E-Mail: „Wenn Sie nicht Ihr Passwort erneuern, erheben wir eine Gebühr von 15 Euro …“

63

Page 64: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Social Engineering

Legitimation

„Ich habe gerade mit ihrer Kollegin Jessica gesprochen und sie hat gesagt, sie können mir weiterhelfen …“

„Ich habe ihren Vorgesetzten, Herrn Müller auf einem Workshop getroffen. Ich weiß, dass er jetzt im Urlaub in Neuseeland ist. Er hat mir versichert, sie können mir helfen …..“

„Ich hab vorhin beim Zusammenpacken nach der Präsentation aus Versehen diesen Adapter eingesteckt. Kann ich ihn kurz wieder zurückbringen, ich möchte keinen Ärger bekommen.“

„Ich habe gerade eigentlich noch Vorlesung bei Herrn Müller, da ist mein Notebook noch drin, kann ich mal kurz an den Rechner …“

64

Page 65: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Social Engineering

Maßnahmen

Sensibilisierung und Befähigung der Mitarbeiter

Stärken und Schwächen der Mitarbeiter als Tatsache akzeptieren (z.B. Hilfsbereitschaft = Kundenfreundlichkeit)

Verhaltensmaßnahmen anbieten und schulen: Ablehnen mit Gegenangebot, Firmenrichtlinie als Verteidigung, …

Aufzeigen und Demonstration von möglichen Angriffen

Zentrale Position im Unternehmen schaffen, an die „dubiose“ Anfragen weitergegeben werden können

65

Page 66: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

What is Your Password?

66

Quelle: youtube.com

Page 67: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

„Sozial-Ingenieure hacken Menschen.“

Quelle: wiwo.de

67

Page 68: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Beispiel: Social Engineering in UnternehmenVon: Gustav.Geschäftsfü[email protected] <Gustav.Geschäftsfü[email protected]>

An: Otto Opfer

Sehr geehrter Herr Opfer!

Sind Sie im Moment verfügbar?

Hochachtungsvoll

Gustav Geschäftsführer

Quelle: LKA Präsentation, Bedrohungslage Cybercrime, Albstadt 21.1.2016, S. 19

68

Page 69: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Beispiel: Social Engineering in Unternehmen..wir führen momentan eine finanzielle Transaktion durch, bei der es um eine Unternehmensübernahme in Asien geht.

Diese Übernahme muss streng vertraulich behandelt werden. Sie sind als einziger Ansprechpartner damit betraut worden, diesen Vorgang auszuführen und Zahlungen vorzunehmen (Alle Informationslecks oder die Nichteinhaltung des unten genannten Verfahrens können zu Vertragsstrafen und Sanktionen gegen unsere Firmen führen).

Die öffentliche Bekanntgabe der Übernahme wird am 15.09.2015 in unseren Räumlichkeiten in Anwesenheit des gesamten Managements stattfinden.

Sie finden diesbezüglich einen von der BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) erteilten Zahlungsauftrag.

Bitte nehmen Sie zur Einreichung der Bankdaten zur sofortigen Ausführung der Zahlung umgehend Kontakt mit unserem französischen Berater B. Berater auf (Dieser interveniert zwischen BaFin und AMF, um unsere Interessen zu verteidigen).

Quelle: LKA Präsentation, Bedrohungslage Cybercrime, Albstadt 21.1.2016, S. 20

69

Page 70: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Beispiel: Social Engineering in UnternehmenBitte vermeiden Sie in persönlichen wie in telefonischen Gesprächen jegliche Anspielung auf diesen Vorgang. Nutzen Sie ausschließlich den E-Mail-Verkehr mit Herrn B. (Berater), der Ihr einziger Ansprechpartner für diesen Vorgang sein wird.

Kontaktdaten von Herrn B. Berater.: [email protected]

Sobald Sie die Bankdaten erhalten, führen Sie bitte die Zahlung gemäß der beigefügten Zahlungsanweisung auf eine Weise aus, die Sie alleine vornehmen können.

Ich bitte Sie auch, Herrn B. einen Zahlungsbeleg zuzusenden, sobald er zur Verfügung steht.

Ich möchte, dass Sie bei diesem Vorgang der einzige Gesprächspartner und Ausführende innerhalb unseres Unternehmens sind.

Vielen Dank für Ihr zügiges Vorgehen. Die Finanztransaktion läuft.

70

Page 71: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Beispiel: Social Engineering in Unternehmen

Von: Gustav.Geschäftsfü[email protected] <Gustav.Geschäftsfü[email protected]>

An: Otto Opfer

Konnten Sie das Nötige erledigen?

Hochachtungsvoll

Gustav Geschäftsführer

Quelle: LKA Präsentation, Bedrohungslage Cybercrime, Albstadt 21.1.2016, S. 21

71

Page 72: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Beispiel: Social Engineering in UnternehmenDear Mr Opfer,

Mr G. (Geschäftsführer) just sent me the document signed by him and Mr Z. (2. Genehmiger).

Unfortunately I need to provide to BaFin a Specimen of signature (for security reason) from them, can you please send to me an example of signature of Mr G. and Mr Z. on a document older than today ?

Thank you.

Best regards

B. Berater

BaFin /AMF Consultant

Quelle: LKA Präsentation, Bedrohungslage Cybercrime, Albstadt 21.1.2016, S. 22

72

Page 73: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Passwortsicherheit

Quelle: stricture-group.com

73

Page 74: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

ÜBUNG Sicherheit von PDF-Passwörtern

74

Page 75: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

75

Mehr als 60% aller Hacks werden über Social Engineering eingeleitet!

Human Firewall

Sensibilisieren der Mitarbeiter und Schulung der Mitarbeiter über Social Engineering-Strategien und -Methoden

Regelmäßiger Hinweis auf Bedeutung von Datenweitergabe

Schriftliche Festlegungen, welche Informationen vertraulich behandelt werden müssen

Festlegungen zur Anfragenform und Datenweitergabe

Vier-Augen-Prinzip

Page 76: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Agenda

1. Cyber Security

2. Web Security

3. System Security

4. Network Security

Angriffe über das Netzwerk

W-LAN Sicherheit

Absender manipulieren

5. Hardware Security

6. Cyber Defense

76

Page 77: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

77

4. Network Security

Page 78: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

PRAXIS Probe-Request

78

Page 79: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

PRAXIS SMS Absender fälschen

79

Quelle: smskaufen.de

Page 80: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

ÜBUNG E-Mail Absender fälschen

80

Quelle: emkei.cz

Page 81: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Agenda

1. Cyber Security

2. Web Security

3. System Security

4. Network Security

5. Hardware Security

Spionagegeräte

Bad-USB Angriffsszenario

Passwortschutz von Mobilgeräten

6. Cyber Defense

81

Page 82: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

82

5. Hardware Security

Page 83: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Keylogger

Quelle: amazon.com

83

Page 84: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

GSM Wanzen

Quelle: amazon.de

84

Page 85: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Bad USB

Sicherheitsrisiko:

Controller und Firmware in USB-Geräten

Angriff:

HID (Maus, Tastatur, …) kann simuliert werden

Durch Eingaben können Aktionen durchgeführt werden

Quelle: wikipedia.org

85

Page 86: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Bad USB - Teensy

Teensy Board (USB-basierter Mikrocontroller)

Programmierbar mittels eigenen Skripten

Nach Anschluss über ein USB-Kabel an einen PC wird ein zuvor festgelegter Programmablauf gestartet

86

Page 87: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Störsender

Quelle: pki-electronic.com

87

Page 88: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Keysweeper

88

Page 89: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Keysweeper

Das proprietäre und unverschlüsselte Protokoll eines Keyboards wurde Reverse Engineering analysiert und „geknackt“

Das Ergebnis basiert auf der Arbeit von Travis Goodspeed (goodfet.nrf), welche wiederum auf der Arbeit von Thorsten Schröder und Max Moser (KeyKeriki v2.0) basiert.

Die Hardware besteht im Wesentlichen aus einem programmierbaren Mikrocontroller und dem 2,4 GHz Transceiver nRF24L01+

maniacbug‘s RF24-Bibliothek

89

Page 90: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Hardware

90

Page 91: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Offizielle Warnung des FBI im April 2016

91

Page 92: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

92

Hardware-Tools sind sehr leistungsfähig und können frei gekauft werden.

Bewusstsein

Rechner, die sich in einem frei zugänglichen Bereich befinden, sollten durch bauliche Maßnahmen vor Manipulationen geschützt werden

Jede Hardware sollte kontinuierlich auf Veränderungen automatisch überprüft und Vorkommnisse gemeldet werden

Mitarbeiter müssen sensibilisiert werden, damit unbekannte Geräte oder abweichende Verhaltensweisen sofort gemeldet werden

Page 93: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Agenda

1. Cyber Security

2. Web Security

3. System Security

4. Network Security

5. Hardware Security

6. Cyber Defense

Verteidigungsmaßnahmen

Studien & Statistiken

Best Practice

93

Page 94: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

94

6. Cyber Defense

Page 95: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

1. Sicheres Passwort wählen

Einfache Passwörter können schnell geknackt werden

Bekannte Passwörter werden als Erstes durchprobiert

Komplizierte Passwörter verfehlen ihren Zweck

z.B. Passwortkarte verwenden (Quelle: c‘t)

„‘123456‘ ist eines der häufigsten Passwörter,

aber noch lange kein schlechtes!“

Heise News

95

Page 96: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

2. Neueste Updates installieren

Mit Veröffentlichung der Updates werden auch die Sicherheitslücken publik

Durch veraltete Software wird man zur Zielscheibe von Angreifern

z.B. automatische Updates verwenden

„60 Prozent aller Angriffe erfolgen über

bereits geschlossene Sicherheitslücken.“

Microsoft, CeBit 2013

96

Page 97: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

3. Spezielle Software nutzen

Bei weit verbreiteter Software sind auch mehr Schwachstellen im Umlauf

Angriffe auf seltene Software sind schwieriger

z.B. Browser online-Banking

„Wer sich weiter absichern möchte, vermeidet

Bankgeschäfte mittels Browser und nutzt statt

dessen dedizierte Banking-Software.“

Heise News

97

Page 98: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

4. Sicherheits-Software verwenden

Zusätzliche Hürde für Angreifer

Inhalte werden untersucht, bevor sie geöffnet werden

z.B. Avira Viren-Scanner installieren

„Überprüfen Sie Ihren Computer auf

Befall. Nutzen Sie einen Virenscanner.“

Polizeidirektion Hannover

98

Page 99: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

5. Restriktive Konfigurationen

Nur die notwendigsten Berechtigungen zulassen

Angriffsfläche verringern bzw. möglichst klein halten

z.B. Flash-Plugin in Firefox nur mit Zustimmung ausführen

„Die wichtigste Sicherheitsfunktion ist, dass die

im Rechner verbauten Festplatten (SATA, PATA)

von c't Bankix aus unerreichbar sind.“

Heise News

99

Page 100: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

6. Gesunde Skepsis

E-Mails und Daten von Fremden gegenüber skeptisch sein

Nicht unter Druck setzen lassen und lieber noch einmal nachfragen

z.B. Bankdatenaktualisierung telefonisch hinterfragen

„Die Methode des ‚Social Engineerings‘ verspricht in

Firmen mit starken IT-Sicherheitsvorkehrungen große

Erfolge für den Angreifer.“

BMWi Infobroschüre

100

Page 101: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Best Practice

System und Programme schlank und aktuell halten

Möglichst konservative Rechtevergabe und Konfigurationen

Lieber noch einmal auf alternativem Weg nachfragen

Mit Fehlinformationen gezielt Fallen stellen

Beispiel: Versteckte Felder auf Web-Logins

Notebook mit Gastbenutzer und Überwachungssoftware

Smartphone reagiert auf falsche Pin Eingabe

Austausch von Black Lists und Angreifer Daten

101

Page 102: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Passwortkarten

102

Page 103: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Passwortkarten

103

Page 104: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

PasswortkartenLink: sparkasse.de Passwort:

104

Page 105: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

PasswortkartenLink: sparkasse.de Passwort: V=

105

Page 106: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

PasswortkartenLink: sparkasse.de Passwort: V=6<

106

Page 107: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

PasswortkartenLink: sparkasse.de Passwort: V=6<Bd

107

Page 108: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

PasswortkartenLink: sparkasse.de Passwort: V=6<BdG2

108

Page 109: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

PasswortkartenLink: sparkasse.de Passwort: V=6<BdG2W-

109

Page 110: Defense in depth – Cyber Security Workshop - VDI | Hochschule Albstadt-Sigmaringen

Dipl.-Ing. (FH) Tobias Scheible http://cyber-security-lab.de

Hochschule Albstadt-Sigmaringen | VDI

Cyber Security Workshop

Albstadt

04.06.2016

Vielen DankPräsentation demnächst online unter http://cyber-security-lab.de

110