1. echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de
Social Engineering,
Sicherheitsschwachstelle Mensch
Mirko Ross, echolot digital worx GmbH
SOCIAL ENGINEERING
2. echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de
Überblick
Social Engineering ist eine ökonomische
Methode für den unberechtigten Zugriff
auf Daten oder Dinge.
3. echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de
Methodik
Social Engineering setzt auf menschliche
Schwächen:
- Gewohnheiten
- Gruppendruck
- Gutgläubigkeit
- Triebe
- Gehorsam gegenüber Autoritäten
- Blindes vertrauen in Menschen oder Technik
...
4. echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de
Beispiel 1
Beispiel 1:
Der Umgang mit Passwörtern
5. echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de
Beispiel Passwörter
Passwörter
Passwörter sind lästig, schwer zu merken oder leicht zu
erraten...
Typische statistische Eigenschaften von Passwörtern:*
30% wählen Passwörter mit 6 und weniger Zeichen
60% nutzen einen eingrenzbaren Bereich von A-Z und 1 – 0
50% verwenden Namen und einfache Wörter
Quelle: Imperia Studie
http://www.imperva.com/docs/WP_Consumer_Password_Worst_Practices.pdf
6. echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de
Passwörter: Statistische Auswertung
Auswertung der Passwörter aus dem Portal Rockyou.
Basierend auf 32 Millionen gestohlenen Datensätzen in 2009*
Passwort Anzahl Benutzer
1. 123456 290.731
2. 12345 79078
3. 123456789 76790
4. Password 61958
5. iloveyou 51622
6. princess 35231
7. rockyou 22588
8. 1234567 21726
9. 12345678 20553
10. abc123 17542
Quelle: Imperia Studie
http://www.imperva.com/docs/WP_Consumer_Password_Worst_Practices.pdf
7. echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de
Passwörter: Soziale Auswertung
Auch sehr beliebt: Menschen wählen Passwörter die einen
sozialen Ursprung haben
Top 5 der sozialen Passwörter*
1. Name des Haustiers
2. Mädchenname der Mutter
3. Name des Partners
4. Urlaubsort
5. Hobby
Quelle: Süddeutsche Zeitung
http://www.sueddeutsche.de/digital/sicherheit-die-beliebtesten-passwoerter-top-five-
1.540428
8. echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de
Passwörter: optimierter Brute-Force-Angriff
Wahrscheinlichkeit ein Passwort zu erraten bei einem Brute-
Force-Angriff mit optimierten Wörterbuch*
Anzahl der Versuche
Quelle: Imperia Studie
http://www.imperva.com/docs/WP_Consumer_Password_Worst_Practices.pdf
9. echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de
Passwörter: es gibt keine ideale Lösung
Umgang mit Passwörter
Eine technische Verschärfung von Passwortregeln ist möglich:
z.B.: min. 8 Zeichen, Buchstaben, Zahlen und Sonderzeichen
ABER
Komplexe Passwörter führen auch zu menschliche
Schwachstellen:
- Leicht zu merkende Kombinationen: Hallo1234!
- Benutzer notieren komplexe Passwörter: sdh&73&Fvs“u
- Benutzer nutzen ein universelles Passwort für n Systeme
10. echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de
Beispiel 2
Beispiel 2:
Das Lockvogelprinzip in sozialen
Netzwerken
11. echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de
Virtueller Lockvogel
Der Fall Robin Sage
Eine Kunstfigur wird zur Falle für Geheimnisträger.
Das Prinzip:
- Sexuelle Anziehung
- Gruppendynamik
- Soziale Netzwerke: Facebook, LinkedIn, Twitter...
12. echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de
Virtueller Lockvogel
Robin Sage - ein Experiment von Thomas Ryan*
Angriffsziel: Militärische Geheimnisträger
Aufbau der Legende „Robin Sage“
- Weiblich, attraktiv
- Gebildeter Lebenslauf (St. Paul's School, MIT)
- Beruflich Erfolgreich mit Führungsposition militärische Sicherheitsberatung
- Mitglied in sozialen Netzwerken: LinkedIn, Facebook, Twitter...
Thomas Ryan, Get in Bed with Robin Sage
http://media.blackhat.com/
bh-us-10/whitepapers/Ryan/BlackHat-USA-2010-Ryan-Getting-In-Bed-With-Robin-Sage-v1.0.pdf
13. echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de
Virtueller Lockvogel
Robin Sage in sozialen Netzwerken
14. echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de
Virtueller Lockvogel
Robin Sage – erfolgreich trotz Widersprüche
Mit etwas Recherche war der virtuelle Charakter leicht zu entlarven
- 25 Jahre, Karrierefrau aber z.B. keine Datenspuren bei Konferenzen
- Berufsbezeichnung „Cyber Intelligence Operator" war frei erfunden
- Der Name „Sage“ ist eine militärische Bezeichnung
15. echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de
Virtueller Lockvogel
Robin Sage – erfolgreich trotz Widersprüche
Trotzdem war Robin Sage eine gefragte Person
- Angebote von Headhuntern
- Freundschaftsangebote von Absolventen des MIT und St. Pauls
- Über 300 Kontakte zu hochrangige Mitarbeitern in Militär, Rüstung und
Geheimdienste
- Zahlreiche Einladungen zum Essen
- Erhielt militärische Geheimdokumente zu Einsätzen in Afghanistan
16. echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de
Beispiel 3
Beispiel 3:
Öffentliche Informationen sammeln, um
persönliche Daten zu erlangen.
17. echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de
Sammeln und Auswerten öffenlticher Informationen
Sarah Palin – delikate E-Mails werden öffentlich
Angriffsziel: Sarah Palin, Präsidentschaftswahlkampf 2008
Hack des privaten Yahoo E-Mail Postfach
- Ausnutzen einer technischen und methodischen Schwachstelle
- Recherche von persönlichen Informationen zur Validierung
- Kopie des Yahoo E-Mail Postfaches werden auf Wikileaks veröffentlicht
18. echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de
Sammeln und Auswerten öffenlticher Informationen
Schwachstelle Yahoo
„Passwort-Benutzername-vergessen-Funktion“*
http://www.wired.com/threatlevel/2008/09/palin-e-mail-ha/
19. echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de
Sammeln und Auswerten öffenlticher Informationen
Verblüffend einfache Methode
Angreifer Student David Kernell, 22 Jahre:
„...it took seriously 45 mins on wikipedia and google to find the info,
Birthday? 15 seconds on wikipedia, zip code? well she had always been
from wasilla, and it only has 2 zip codes (thanks online postal service!)
the second was somewhat harder, the question was “where did you meet
your spouse?” did some research, and apparently she had eloped with
mister palin after college, if youll look on some of the screenshits that I
took and other fellow anon have so graciously put on photobucket you will
see the google search for “palin eloped” or some such in one of the tabs.
I found out later though more research that they met at high school, so I
did variations of that, high, high school, eventually hit on “Wasilla high” I
promptly changed the password to popcorn and took a cold shower…“
Quelle Wired Magazin
http://www.wired.com/threatlevel/2008/09/palin-e-mail-ha/
20. echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de
Schutz
Social Engineering
Wenn es so einfach ist, wie kann ich
mich dann effektiv schützen?
21. echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de
Schutz vor Social Engineering
Grundlegender Schutz
- Schulungen im Umgang mit Daten
- Autorisierte Zugriffe auf sensible Daten gering halten
- Hygiene (konsequentes vernichten von ungebrauchten Daten)
- Standardisierung vermeiden (Passwörter, Benutzernamen)
- Eigene öffentliche Profildaten bewusst steuern
Sicherheitsbewusstsein schaffen
- Mitarbeiter muss verstehen, was verboten und erlaubt ist
- Klare Handlungsanweisung im Umgang mit sensiblen Daten
- Die Grenzen der technischen Datensicherheit müssen vermittelt werden
22. echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de
Vielen Dank
Mirko Ross
echolot digital worx GmbH
ross@digital-worx.de
0711 2204093 0