Archiv der Kategorie: Risiken

Diese Seite zeigt alle Beiträge an, die Risiken im Bezug auf IT-Security aufzeigen bzw. erläutern.

Social Engineering Angriffe

Social Engineering oder in diesem Kontext auch Social Hacking ist eine der größten Gefahren für die IT-Sicherheit von Unternehmen. Ich möchte mit diesem Beitrag eine Beitragsreihe in meinem IT Security Blog beginnen, die Sicherheitslücken in Unternehmens- und Privatnetzwerken aufzeigen soll, denen ich immer wieder begegne. Die meisten Unternehmen legen den Fokus zum Schutz ihrer IT Infrastruktur viel zu eng und verstehen darunter meist nur die Sicherheit ihrer Server und den Grundschutz der Clients. Thematiken wie Social Engineering werden meist vollkommen außer Acht gelassen.

Am Beispiel des Unternehmens "Weltweit Dienstleistungs GmbH" möchte ich die Knackpunkte der IT Sicherheit näher erläutern. Das Netzwerk des Unternehmens sieht wie folgt aus:

Darstellung eines Unternehmensnetzwerkes mit DMZ, internem Netz und BYOD Schnittstelle über W-Lan.
Die Graphik beinhaltet ein Netzwerk mit einem Web- und E-Mail-Server in einer DMZ. Im internen Netzwerk sind Mitarbeiter PCs, ein Netzwerkdrucker und ein interner Dateiserver. BYOD Geräte sind über W-Lan mit dem Netzwerk verbunden.

Das obere Netzwerk ist mit dem Internet verbunden und durch eine Firewall geschützt. Die Web- und E-Mailserver befinden sich in einer DMZ (demilitarisierten Zone). Das interne Netzwerk ist durch eine Firewall von der DMZ getrennt. Es existiert ein W-Lan um BYODs (="Bring your Own Device"), also von Mitarbeitern selbst mitgebrachte IT-Geräte, an das interne Netzwerk anzuschließen. Die PCs sind auf einem aktuellen Stand und mit einer marktüblichen Antivirenlösung ausgestattet.

Eine erste, kurze Analyse der Dinge, die gut am oberen Aufbau sind:

  • Es wird eine dedizierte Firewall verwendet, um das gesamte Unternehmensnetzwerk zu schützen.
  • Der Web- und E-Mail-Server liegen in einer 2-stufigen-DMZ. Der Webserver ist der häufigste initiale Angriffs- und Schwachpunkt in einem Unternehmensnetzwerk.
  • Web- und E-Mail-Server liegen auf verschiedenen Servern. Damit kann der Zugriff auf E-Mails vermieden werden, wenn der Webserver kompromittiert worden ist.
  • Das interne Netzwerk ist durch eine Firewall geschützt. Durch diese Maßnahme kann bei einer Kompromittierung innerhalb des DMZ ein Angriff auf das interne Netzwerk erschwert werden.

Social Engineering Angriffe weiterlesen

Spoofing und Man-in-the-Middle Angriffe

Viele kennen den Hinweis: Vorsichtig sein in öffentlichen W-LAN-Netzwerken und keine unverschlüsselten Daten durch die Gegend senden. Was es mit diesem Hinweis auf sich hat und einige Beispiele über die Möglichkeiten (z.B. Spoofing oder Man-in-the-Middle Angriffe), die ein Angreifer in Netzwerken hat, möchte ich heute in meinem IT Security Blog aufzeigen.

Viele sind erstaunt, wie einfach Angriffe möglich sind und wie schnell sich auch die Sicherheitsvorkehrungen vorsichtiger, fortschrittlicher Nutzer mit wenigen Handgriffen aus dem Weg räumen lassen. Ziel dieses Beitrags ist eine Sensibilisierung der Nutzer und eine Erläuterung, warum es sich lohnt, nicht alle Warnmeldungen im Browser einfach zu bestätigen.

Spoofing in einem Testnetzwerk

Ich möchte das Ganze an einem Beispielnetzwerk erläutern:

Testaufbau Spoofing Demonstration

Im Bild zu sehen ist ein typisches Netzwerk, ob jetzt ein LAN oder Wireless-LAN. In diesem Netzwerk ist ein Router an das Internet angeschlossen. Der Router hat nach außen die IP 85.191.xxx.yyy (die Buchstaben stehen stellvertretend für Zahlen, um nicht ausversehen jemanden echtes hier zu nennen). Nach Innen, also im W-Lan selber, hat er die IP 172.22.10.1.

Ein "normaler" Internetrouter hat mindestens zwei Adressen: Eine öffentliche, aus dem Internet erreichbar, und eine private. Router reichen Pakete vom internen Netzwerk, also etwa von John, an das Internet weiter und ordnen die Antworten der Server aus dem Internet wieder den Nutzern zu. Hierbei werden die Quell- und Ziel-IP-Adressen durch den Router dynamisch ausgetauscht ("NAT", Network Address Translation).

In unserem Szenario würde Mallory gerne die Zugangspasswörter für den Zugang zum sozialen Netzwerk Facebook von Alice erfahren. Oder er könnte wissen wollen, was sie bei Google alles sucht. Oder Ihre Zugangspasswörter für ihr Online-Banking herausbekommen. Er hat sogar die Möglichkeit, Daten auf dem Weg von Alice zum Server zu ändern, zu "manipulieren".

Spoofing und Man-in-the-Middle Angriffe weiterlesen

DNS Amplification Attack

Vor einiger Zeit wurde ich gefragt, ob die Pressemeldungen rund um die DNS Amplification Attack auf Spamhaus übertrieben waren und ob wirklich das Internet am Rande der Leistungfäigkeit stand. Das Besondere an der damals verwendeten, relativ einfachen DNS Reflection/ Amplification Attacke ist der Effekt, dass sich mit wenig Traffic seitens des Angreifers relativ große Mengen Traffic auf Seite des Opfers generieren lassen. Ziel dieser Attacke ist die Überlastung eines bestimmten Services oder der Netzwerkanbindung des Servers.

Größere Bekanntheit hat die DNS Amplification Attack beim Angriff auf den Dienstleister Spamhaus Anfang 2013 erlangt. Die großen Nachrichtenportale haben sich damals mit Übertreibungen gegenseitig übertrumpft, manche Portale sprachen gar von einem Stau im gesamten Internet.

DNS Amplification Attack als Uebersicht

Die DNS Amplification Attack im Detail

Bei einem Angriff dieser Art wird ausgenutzt, dass DNS Server bei relativ kleinen Anfragen teilweise große Datenmengen zurücksenden.

DNS Amplification Attack weiterlesen

Portscans: Risiken und Hintergründe

Eigentlich ist die Überschrift "Risiko" nicht ganz korrekt, denn eine konkrete Gefahr geht von einem Portscan alleine nicht aus. Ich lese häufiger die Threads besorgter User in Foren, in dem sie erzählen, das ihr PC / Server gerade "Opfer" eines Portscans geworden ist. Nachdem ich heute von einem Freund ähnliches gefragt worden bin, möchte ich im Folgenden die Frage beantworten, was ein Portscan ist und ob ein Portscan etwas gefährliches ist.

Eine kurze Erinnerung an meinen Post Grundlagen: Netzwerke: Hinter einem Port steckt ein Service der von dem IT-Gerät angeboten wird.

Was ist ein Portscan?

Ein Portscan ist eine (meist automatisierte) Prüfung, ob ein Service hinter einem Port angeboten wird. Theoretisch wären einige Funktionen eines Portscanners auch manuell möglich: Um zu prüfen, ob an der Adresse 192.168.0.16 beispielsweise ein MySQL Server auf Befehle wartet, könnte man einfach einen SQL Client starten und eine Verbindung zum Server aufbauen. Bei einem MySQL Server würde auch die Browserabfrage http://192.168.0.16:3306/ ausreichen, um folgende Antwort zu erhalten:

5.5.31-0ubuntu0.12.04.2 (...) mysql_native_password (...) 

Der Port 3306 ist der Standardport eines MySQL Servers, in den Konfigurationsdateien des Servers lässt sich dieser jedoch auch verändern.

Die Arbeit all dieser manuellen Schritte lässt sich mit Hilfe eines Portscanners automatisieren, so wäre es etwa möglich, sich alle Services anzeigen zu lassen, die auf den Ports 5-1000 lauschen.

Einige rechtliche Anmerkungen zu Portscans

Bevor wir zu den technischen Details kommen, ein Hinweis: Ein Portscan lässt sich in den Protokollen eines Servers sehr leicht identifizieren. Ein Portscan gegen ein fremdes System stellt aus Sicht einiger Juristen die erste Instanz eines Einbruchsversuchs dar und ist daher rechtlich umstritten. Portscans sollten also ausschließlich auf eigenen Systemen oder auf Systemen durchgeführt werden, von denen ihr vom Besitzer zuvor eine Erlaubnis eingeholt habt.

In der Praxis sind Portscans etwas alltägliches, wer einen Rootserver im Internet betreibt, wird dies wissen. Würde ich wegen jedem Portscan eine Abuse-Meldung an den Provider des Urhebers senden, würde ich wahrscheinlich nichts anderes mehr tun. Aus meiner Erfahrung werden Abuse-Meldungen die mit Portscans zu tun haben, von den meisten Providern bzw. Hostern nicht weiter verfolgt. Technisch gesehen ist ein Portscan nichts weiter als ein Mechanismus, der an eine Tür klopft und auf eine Reaktion wartet. Er tritt nicht hinein, überwindet keine Schutzmaßnahmen und verändert keine Daten.

Portscans: Risiken und Hintergründe weiterlesen