Angriffe und nicht-technische Angriffe

Question 1

Wie werden Angriffe klassifiziert?

Answer 1

Attacken sind ein Subset der kunstlichen Ereignisse und sind deshalb ¨
entweder harmlos, b¨osartig gerichtet oder b¨osartig zuf¨allig.

• Amatuere
– Opportunisten, Es gab da gerade eine nette, kleine
M¨oglichkeit.
– Script-Kiddies, Ich habe da ein cooles Script gesehen, welches mir einen Angriff erm¨oglicht. Die Werkzeuge gehen
uber den Kenntnisstand hinaus. ¨
• Hacker (harmlos) / Cracker (b¨osartig) → Unterschied ist nicht
relevant
– Personen mit einem Sicherheitsauftrag
– Kriminelle
– Organisierte Kriminalit¨at: Controlserver fur Kryptoviren ¨
kann auf Stunden- / Tagesbasis gemietet werden: Alle
Einkunfte im gemietetem Zeitraum geh ¨ ¨oren dem Mieter.
Virennetzwerkbauer ist fein raus, da da er im Voraus das
Geld erhalten hat und die Viren nicht erstellt hat. Die Programmierer des Virus findet man noch weniger.
– Cyber-Terroristen oder Hacktivisten, ideeller Grund ist
st¨arker als die Gier nach Geld
– Staatlich finanzierte ¨Informationskriegerund Spione, haben ¨
grosse Rechenpower

Question 2

Wie kann man sich gegen Angriffe abwehren?

Answer 2

• Angriff verhindern → nur fur bekannte Angriffe m ¨ ¨oglich
• Angriff erschweren, z.B. durch information hiding (information hiding ist kein Sicherheitsmerkmal), oder 2-FaktorAuthentifizierung
• Angriffe auf Infrastrukturen ableiten, die damit umgehen
k¨onnen → Honeypots
– Intern, Vermeintlich schwache Server mit falschen Daten
– Extern, spezialisierte Provider wie Akamai oder Google
Shield leiten Angriffe ab bevor sie ihr Zielsystem erreichen
• Schaden kontrollieren → Versicherung abschliessen
– Nicht ben¨otigte Informationen l¨oschen
– Informationen auf Drittsystem auslagern und so unzug¨anglich machen
– Informationen geeignet ablegen (Passworte in Form von
salted hashes anstatt Klartext)
• Angriff entdecken → Je schneller, desto mehr Zeit hat man, um
Auswirkungen zu minimieren
• Vom Angriff erholen → Notinfrastruktur vorbereiten, Katastrophenszenario

Question 3

Welche Arten von nicht technische Angriffe gibt es?

Answer 3

Angriffe, die ein Schutzziel beeintr¨achtigen k¨onnen und als Ziel einen
nicht technische Anlage haben. Ziele sind typischerweise:
• Menschen → social engineering, spying
• Prozesse → dumpster diving
• Zust¨ande → offene Anlagen im Web
• Dumpster Diving: Vertrauliche Informationen werden aus Abfall, Altpapier, ausrangierter Hardware oder Ahnlichem gewon- ¨
nen. Spezialfall davon: vergangene, vertrauliche Informationen
durch fruheres Webarchiv wieder hergestellt. Gar nicht so ab- ¨
wegig, denn Praktiken k¨onnen sich von normal zu verwerflich
¨andern → Steueroptimierung
• Spying: Beobachtungen anstellen ohne Manipulation von Entit¨aten → Haus gegenuber mieten und aufschreiben, wer alles ¨
hineingeht.
• Eavesdropping / Spionage: Form von Spying, betrifft Datenflusse: ¨
– Aktive Spionage: Informationen in normalen Kan¨alen werden mitgeschnitten ohne den Inhalt zu ¨andern (der Datenfluss wird aber modifiziert → Man-in-the-Middle-Attacke).
– Passive Spionage: Mitteilungsflusse bleiben unangetastet. ¨
• Social Engineering: Mensch wird so manipuliert, dass ein Sicherheitsfeature umgangen werden kann. Beispiele dafur: ¨
– Impersonation, Vorspiegelung von Personen mit besonderem Vertrauensbezug (Supportmitarbeiter, Samichlaus am
6. Dezember)
– Tailgating: Ich warte bis die Tur aufgeht und gehe dann ¨
hinterher. Form: Dabei Ture manipulieren, sodass sie un- ¨
bemerkt ge¨offnet werden kann (mittels Klebeband)
– Phishing / Whaling: Email: Ich bin arm… Senden sie mir
Geld.
– Popup Fenster: Wir haben 15421 Probleme auf ihrem System gefunden. Klicken sie hier um diese zu beheben.
– Interessante Applikationen: Coole App zeigt den Standort
ihrer Freunde in Echtzeit. Erh¨alt gratis erh¨ohte Rechte.
Trojaner als Anwendungsbeispiel.
– Hoaxing: Das Opfer dazu bringen, ein angeblich infiziertes
wichtiges File zu l¨oschen. Resultat: Bluescreen.

Question 4

Welche Methoden gibt es beim Social Engineering?

Answer 4

• Dringlichkeit (Zeit dr¨angt)
• Autorit¨at (Chef)
• Vertrauchlichkeit → Ich erz¨ahle Ihnen etwas, weil ich ihre Hilfe brauche und sonst meine Stelle verliere und sie durfen es ¨
niemandem sagen, weil ich sonst auch meine Stelle verliere.
• Vertrautheit (meist uber Impersonation) ¨
• Schuldgefuhl (Quid pro quo, Piggybacking”) ¨
• Gier oder Faulheit (Datengier bei der App, gleiches Passwort
uberall)

Question 5

Welche Kanäle gibt es beim Social Engineering?

Answer 5

E-Mail
• Telefon /VOIP → beliebt bei redegewanten Personen
• Soziale Medien → Ich kenne dich vom letzten Veganertreffen,
bitte akzeptiere meine Freundschaftsanfrage.
• SMS / Whatsapp / Chat → Auf ihrem Konto sind verd¨achtige
Aktivit¨aten festgestellt worden. Leiten sie als Beweis fur ihre ¨
Identit¨at den Pincode im n¨achsten SMS an diese Nummer weiter.
• Brief / Dokument → Sie haben den Hauptpreis gewonnen, bitte
schicken sie ihre Daten an…
• direkt → Hey leihst du mir mal 10000.-? Die letzten 10.- hast
du ja auch zuruck bekommen. ¨
4.2.3 Begriffsverwirrung beim Social Engineering
• Phishing → Password harvesting und fishing, Vishing → phishing over VOIP, Smishing Phishing over SMS
• Spear Phishing / Spearing → Nachrichten mit qualitativ hochstehendem Inhalt auf einzelne Personen oder kleine Zielgruppen
• Whaling → Phishing auf grosse Fische

Question 6

Wie kann man sich gegen Social engineering wehren?

Answer 6

• Ausbildung → Wenn du die Maschen kennst, weisst du wann du
angegriffen wirst
• Etablieren von Prozessen, die ein Informationsleck reduzieren (4
Augen-Prinzip bei einer Ausnahme, viel schwieriger zwei Personen auszutricksen). Prozesse mussen Ausnahmen miteinbezie- ¨
hen, ansonsten ist es ein gefundenes Fressen fur Social Enginee- ¨
ring. → Neuer PIN bekommst du nur per Post und nicht durch
Anrufen.
Der h¨aufigste Fehler ist, dass Massnahmen nur einmal getroffen werden und danach nicht mehr angepasst werden.

Question 7

Wie werden technische Angriffe klassifiziert?

Answer 7

• Nach Schutzziel
• Nach Strategie
• Nach Schweregrad des potentiellen Schadens
• Nach Wahrscheinlichkeit
• Nach Komplexit¨at

Question 8

Wie k ann man sich gegen technische Angriffe schützen?

Answer 8

Viele Gegenmassnahmen sind nicht perfekt und es wird akzeptiert,
dass diese das Risiko nur auf ein ertr¨agliches Mass reduzieren k¨onnen.
• Zugriff auf die Systeme limitieren
– Physisch → Bauliche Massnahmen (Turen, Schl ¨ ¨osser),
Festplatten verschLusseln, Sensibilisierung der Mitarbeiter ¨
– Via Netzwerk → Netzwerke mit Firewalls absichern, Sensible Daten verschlusseln ¨
– Lokal auf dem System → Sandboxes, Sichere Entwicklungssysteme, Benutzer mit limitierten Rechten
• Angriffsfl¨ache gering halten
– Software patchen
– Veraltete, unsichere Software entfernen
– Aktive Inhalte deaktivieren
• Schadaktivit¨aten erkennen
– Anti-Malware verwenden
– Logs
• Potentiellen Schaden gering halten
– Versicherung
– Backups
– Mehrere Sicherheitsmerkmale
– Sensible Daten signieren

Question 9

Welche 4 Phasen gibt es bei Attacken?

Answer 9

• Reconnaissance → Informationen sammeln, kategorisieren, Ziele isolieren und Strategie festlegen. Passives Vorgehen und Entdeckungsrisiko gering halten
• Exploitation (die heisse Phase) → Zugriff auf das System erlangen, Entdeckungsrisiko am h¨ochsten.
• Reinforcement
– Vertikales Reinforcement: Weitere Zug¨ange zum System
schaffen
– Horizontales Reinforcement: Weitere Systeme ubernehmen ¨
• Covering tracks → Spuren entfernen, tarnen
In der Theorie sch¨on sequentiell, in der Praxis iterativ

Question 10

Was ist ein DDOS

Answer 10

Ziel vorubergehend oder bleibend funktionsunf ¨ ¨ahig machen.
• Einfacher Angriff: Uberlastungen in einem Teilsystem (Netz- ¨
werkzuleitungen oder DB-Server)
• Fortgeschrittene Attacke: Daten/Programme oder gar Hardware
zerst¨oren.
Typische Attacken sind:
• Lander Attacke: Netzwerk-Sockets aushungern
• Smurf Attacke: effizient das Netzwerk uberlasten ¨ → ReflekorAttacke
• SQL-Injection: Datenbankinhalte l¨oschen
• Quine Files: Speicher / Disks fullen

Question 11

Was ist eine man in the middle attacke?

Answer 11

Angreifer M als Zwischenstation zu Parteien A und B. Gegenuber ¨
A gibts sich M als B aus und gegenuber B als A. In dieser Position ¨
kann M die ubermittelten Daten mitschneiden und ver ¨ ¨andern. Klappt
auch bei verschlusselten Verbindungen, falls die Schl ¨ ussel w ¨ ¨ahrend des
Verbindungsaufbaus ausgehandelt werden.
Durch Mutual Authentification verhinderbar. Grossteil des PrismProgramms der NSA basiert auf MitM-Attacken

Question 12

Was ist Cache Poisoning?

Answer 12

Datenflusse umleiten durch gezielte Manipulation von Requests und ¨
Schw¨achen im Timing von Protokollen. Die h¨aufigsten sind:
• DNS-Poisoning
• ARP-Spoofing / Poisoning
• DHCP-Poisoning
• HPKP-Extortion
Wird oft in Verbindung mit der MitM-Attacke angewendet.

Question 13

Welche attacken gibt es um jemanden zu erpressen?

Answer 13

• Ransomware → Festplatte verschlusseln und dann L ¨ ¨osegeld fordern in Form von Bitcoin um wieder zu entschlusseln ¨
• Alte Festplatten kaufen und Daten wiederherstellen → Wenn
sensibel erpressen

Question 14

Was ist privilege Escalation?

Answer 14

Sicherheitsbarrieren umgehen durch Ubernahme von Rechten hochpri- ¨
vilegierter Prozesse (root). Buffer Overflow ist das klassische Beispie

Question 15

Welche Arten gibt es um jemanden über web anzugreifen?

Answer 15

• Drive by Infektionen
• Injection-Attacken (XSS oder SQL-Injection): Code via HTTPRequest senden und ausfuhren, erlaubt es Daten zu manipulie- ¨
ren und herunterladen.
Werden h¨aufig in der Reconaissance-Phase im Zusammenhang mit
Phishing-Mails eingesetzt, um glaubwurdig an Informationen und ¨
Passworte zu gelangen.