Mitternachtshacking

Mobile Bank Dispenser … nur das Bild und das Original bei Flicker (leider keine CC-Lizenz, deshalb nur verlinkt)

Menschen tun Dinge die sie eigentlich nicht tun würden, z.B. Preisgabe von Informationen. Oder ein Blog schreiben. Stimmt. Ich frage mich gerade, wer mich da hinsocialengineert hat. Egal. Die bösen Griechen haben das schon bei den Trojanern erfolgreich angewandt und später wieder bei der Währungsunion (Euro!). Das moderne Social Engineering geht auf Kevin Mitnick zurück, der es in dieser Disziplin zur Meisterschaft gebracht hat.

Ich schreibe jetzt nur mal die Stichwörter aus dem Vortrag auf.

Algorithmen / Vorgehensweise

1. Zielortung

• Welche Information soll gewonnen werden?
• Wer hat diese Information oder wer kann sie besorgen?
• Wie erreicht man den Informationsträger?

2. Kommunikationskanäle

• E-Mail (Spam), Internet, IM, Social Network
• Fax, Post, Telefon (old school)
• von Angesicht zu Angesicht (face to face)

3. Wichtigstes Hilfsmittel

• Vertrauen
  • Erwecken
  • Abschätzen
    • Reaktion auf kritische/persönliche Fragen auswerten

4. Informationsacquise

• Informationen um den Zielinformationsträger
  • Webseite, Internet, Zeitung, Werbung, …
  • Anruf (unter einem Vorwand)
  • vor Ort … oder in der Bar

5. Pretexting

• Pretext = Vorwand/Scheingrund
• Wie Schauspieler in eine Rolle schlüpfen
• Mehr als Lüge
• Sollte gut vorbereitet werden
  • Plausibilität
  • Authentizität
• Ãœben/durchspielen
• Mögliche Reaktionen und Gegenreaktionen überlegen
• Hilfsmittel möglich
  • Zettel bei Telefonaten vorbereiten
  • Aufnahmen zur Analyse
• Inkrementell anwenden
  • mit neuer Story
  • an anderer Stelle
• Bis Zielinformation erreicht

Große Unternehmen lassen sich leichter angreifen als kleine, weil es einfach mehr Stellen gibt, von denen jeweils Teilinformationen gewonnen werden können.

6. Authentizität

• Referenzen
• Wissen sieht aus wie Authentizität
• Jargon/Sprache adaptieren
• Accessories
  • z.B. Visitenkarten, Prospekte, Rechnungen
  • Erscheinungsbild, Arbeitskleidung, Uniform
  • Klischees erfüllen

7. Elicitation

• Elicit = entlocken, ablisten
• Lernen, Gespräche zu steuern
  • Offene vs. geschlossene Fragen
  • Neutrale vs. leitende Fragen
  • Fragen mit Annahme
• Gesprächstechnik Spiegel

8. Vorteile ausnutzen

• Menschen sind
  • gierig
  • zutraulich/leichtgläubbig
  • faul
  • in Hierarchien organisiert
  • fast immer in Social Networks
  • hilfsbereit und hilfebedürftig
• Menschen machen unter zeitlichem Druck leichter Fehler
• Sympathie bringt Vertrauen
  • Lächeln, Augenkontakt
  • Lob/Wichtigkeit aussprechen bringt Sympathie
  • Ähnlichkeit
• Das Gegenüber ist meistens Nicht-Nerd
  • Keine Ahnung von und kein Vertrauen in Technik
  • Nicht so paranoid
• Auswirkungen auf das andere Geschlecht

9. Reverse Social Engineering

• Das Opfer kommt auf den SE zurück
  • erst Hilfemöglichkeit anbieten
  • dann etwas kaputt machen
  • dann warten, bis die Hilfe in Anspruch genommen wird

10. Hausbesuch

• Der Bote, Installateur, … kommt
• Selbsteinladung unter Vorwand
• Tail Gating (einfach mitgehen) in großen, von Firmen geteilten Komplexen
• Wenn man im Gebäude ist:
  • Lockpicking
  • Hardwarekeylogger
  • Shoulder Surfing
  • Medien klauen
  • Kamera, Funkmikro

11. Spuren Verwischen

• VoIP-Rufnummern verwenden
• Caller-ID faken
• Informationen gezielt verwenden

Gegenmaßnahmen

• Klassifizierung welche Informationen sind kritisch
• Policy für den Umgang mit allen Informationen
• Verantwortliche Person für Informationsaustausch bestimmen
• Daten vermeiden
• Know your Enemy
  • Alle Personen mit einbeziehen
• Know your Friends
  • Rückfragen bei authentifizierten Personen
  • Authentifikationsmethoden einführen
• Inverse Social Engineering
  • Angreifen des Social Engineer

Link: http://www.social-engineer.org/

Mich hat folgende Anfrage erreicht:

Ich bin dabei eine Seminararbeit zum Thema Methoden und Konzepte zur Mitarbeitersensibilisierung schreiben. Nun meine Frage: Gibt es hierzu einschlägige und gute Literatur?

Ich tue mir da ein wenig schwer. Viel Material das ich verwende habe ich mir selbst ausgedacht oder ist im Rahmen von Projektarbeiten entstanden. Aktuell arbeite ich gerade wieder für und mit einem Kunden an mehreren Filmen, Fotostories und einer Plakatakation zur Mitarbeitersensibilisierung.

Mir fiel so spontan deshalb gar nicht viel ein (Reihenfolge ohne Wertung):

• Bücher
  • Der Klassiker: Das Buch “Die Kunst der Täuschung” von Kevin Mitnick
• Broschüren und Artikel
  • Die secure-it in NRW Broschüre: Mitarbeitersensibilisierung (PDF)
  • Die LanLine hat ein paar Artikel online
• Webseiten
  • MindfulSecurity.com - The Awareness Resource
  • Microsoft Security TechCenter - Security Awareness
  • Die Security Awareness Toolbox der Information Warfare Site (UK)
  • Das SANS Reading Room Security Awareness
• Öffentliche Dokumente
  • Der Baustein B 1.13 Sensibilisierung und Schulung im BSI Grundschutz
  • Die ENISA-Anleitung “A Users’ Guide: How to raise information security awareness” der EU
  • Der NIST-Standard SP800-50 “Building an Information Technology Security Awareness and Training Program” (PDF)

Das sind im großen und ganzen die Sachen die ich gelesen haben. Über Ergänzung in den Kommentaren würde ich mich freuen.

Voraussetzung zur Aufnahme in diese Liste ist natürlich, daß es sich um öffentliche, frei zugängliche und zitierfähige Dokumente sind. Irgendwelche Pressemitteilungen und Werbeflyer von Firmen helfen nicht weiter. Reine Firmenwerbung ohne Inhalte in den Kommentaren wird von mir deshalb auch nach Gutdünken gelöscht.

Manchmal will man ja gar nicht glauben, was man bei Fefe so lesen kann. Aber die ebenso unseriösen Nachrichtenportale bestätigen das.

In Grand Forks, North Dakota haben bisher unbekannte an falsch geparkten Autos Parktickets angebracht, die den Fahrer auf eine Webseite mit Malware gelockt hat.

PARKING VIOLATION This vehicle is in violation of standard parking regulations. To view pictures with information about your parking preferences, go to [website-redacted].

Ich finde das sehr lustig. Ich sollte das auch mal probieren. Beispielsweise in München am Rosenkavalierplatz. Da darf man höchstens eine Stunde mit Parkuhr stehen und die Zetteltanten gehen mindestens fünfmal am Tag da vorbei.

Weitere Details und Fotos hat das Sans Institute zusammengestellt.

Meine Freundin kam neulich wieder an: “Ein Arbeitskollege hat mir auf einen USB-Stick das Spiel Blocks 5 kopiert, das habe ich mir gerade installiert”. Mein spontane Antwort: “Guter Trick! Wenn ich Dir Schadprogramme unterjubeln wollte würde ich das genauso machen!”. Da hat sie erstmal gestutzt.

Wenn schon Symantec behauptet, die Old School VXer-Szene wäre am Sterben (und die verdienen mit den Virenscannern ja ihr Geld), dann muß es schließlich ernst sein. Ok, für die Virenscannerhersteller nicht wirklich, die Viren werden hat jetzt von kommerziellen Unternehmen wie dem Russian Business Network entwickelt. Virtuelle Schutzgelderpressung ist schließlich viel bequemer als reale. Man muß nicht raus in den harten kalten russischen Winter.

Aber was das RBN kann, können wir im Kleinen doch auch. Schadprogramme auf USB-Sticks sind nichts neues und dieses Spiel vom Arbeitskollegen bietet sich doch geradezu an.

1. Man nehme ein Open Source Spiel, das so interessant und gut programmiert ist, daß sich ein paar Leute wirklich dafür interessieren. Das Blocks 5 von David Scherfgen ist beispielsweise so ein Spiel und hat mich auch erst auf die Idee gebracht. Das fertige Programm findet man hier, den Source Code hier.
2. Man suche sich ein paar passende Schadroutinen, z.B. aus dem Source Code von Phatbot und binde sie in den Source Code des Spiels ein. Phatbot hat wirklich eine eindrucksvolle Liste von Kommandos und Funktionen und der Source Code ist so 2004 oder 2005 im Internet aufgetaucht (ja, ich habe eine Kopie, nein, ich gebe sie nicht raus).
3. Man erzähle den Kollegen, Freunden, etc. welches coole neue Spiel man im Internet gefunden hat und das ja ganz kostenlos ist (für Lamer).
4. Man setze eine Webseite auf, die diverse Spiele deren Source Code frei verfügbar ist, zum kostenlosen Download anbietet. Natürlich ist prinzipiell jedes der Spiele mit Schadroutinen infiziert aber der kluge Hacker erlaubt den Download mit Schadroutine nur einmal pro Tag von einer IP-Adresse und liefert sonst das harmlose Programm aus und an IP-Adressen von Virenscanner-Herstellern wird natürlich grundsätzlich nur das harmlose Programm ausgeliefert (für Profis).

Hmm, Google liefert 37 Millionen Suchergebnisse für “free game download“. Wahrscheinlich bin ich nicht der erste, der auf diese Idee gekommen ist.

Neulich mal wieder in meiner Inbox:

Interessantes Social Engineering, insbesondere die deutsche Adressen. Wie üblich, das Exe einmal kurz Virustotal übergeben:

Interessanterweise wurde der Downloadlink nicht irgendwie maskiert, die Datei liegt wirklich auf diesem Server. Ist das ein Trend?

Ach ja:

DNS: www.cristhmasx.com –> 58.65.239.99

APNIC: 58.65.239.99 –> HostFresh Internet Service Provider, Hong Kong

und besonders witzig: Auf der Webseite steht “this account temporally suspensed for security reason” aber der Trojaner-Download funktioniert trotzdem

… zumindest wenn man sich an Salesforce wendet. Da hat ein Mitarbeiter doch tatsächlich eine Kundendatenbank rausgegeben.

“Salesforce management said it has been re-educating its staff to the dangers of phishing.”

Das kursive finde ich jetzt nett. Awareness ist halt alles.

Aber meine Rede ist ja schon die ganze Zeit, man gibt keine solchen Daten extern. Egal ob es sich um ein Blog oder sonstige Daten handelt. Ich könnte wetten, auch in den Salesforce-AGB steht drin, daß die Daten eh Salesforce gehört haben und Kunden halt Pech hatten.

Disclaimer: Achtung, enthält möglicherweise jugendgefährdende Fotos und Dateien

Ich finde das ja durchaus interessant. Da bekomme ich also (mühsam aus dem Spamordner gefischt) folgende E-Mail:

Die liebe (mir unbekannte) Maria Webber hat also eine Webseite aufgesetzt, und lädt mich ein ihre Bilder zu betrachten. Die Webseite selbst sieht so aus (Unkenntlichmachung von mir, ich weiß nämlich nicht, ob die Dame mit der Veröffentlichung des Bildes einverstanden ist oder ob das Bild irgendwo einfach geklaut wurde):

Beim Anlicken von “Andere Fotos finden Sie im Archiv” bekommt man eine Datei “photos.exe” (ZIP-File, Achtung Download auf eigene Gefahr) angeboten. Ich habe die Datei an Virus Total geschickt, um sie testen zu lassen, nachdem mein lokaler Virenscanner nichts gefunden hat. Das Ergebnis ist relativ eindeutig:

Zumindest 10 der vorgeschalteten Virenscanner kommt die Datei suspekt vor, im Allgemeinen wird ein Trojan Dropper (d.h. ein Programm, das weiteren Schadcode nachlädt) mit dem Namen PolyCrypt erkannt.

Mich beeindruckt ja der Aufwand, mit dem das Verbreiten von Schadcode inzwischen erfolgt. Früher wäre die Datei einfach als Attachment in der Mail enthalten gewesen. Heute setzen die Angreifer eigene Webseiten auf (ok, enthält nur ein Photo, aber die URL muß zumindest registriert werden), verbreiten passenden Spam und warten darauf, daß die nichtsahnenden Nutzer sich den Schadcode selbst auf den Rechner laden.

Ich bin mir sicher, das Verfahren läßt sich auch hervorragend für gezielte Social Engineering Angriffe gegen Unternehmen mißbrauchen. Einfach eine ähnlich klingende Domain registrieren, eine passende Mail gezielt an einzelne Mitarbeiter verschicken und abwarten, was passiert …

Anmerkung: AntiVir  7.06.00.05 vom 06.09.2007 erkennt den Schadcode noch nicht,  AntiVir 7.06.00.10 vom 15.09.2007 erkennt den Schadcode. Da sieht man mal wieder, wie wichtig aktuelle Virenscanner-Updates sind. Auch interessant, AntiVir sucht inzwischen nach 1071077 Virenstämmen, über 1 Million, schon krass. Vielleicht doch langsam Whitelists einführen?

Ein spannendes neues Social Engineering Tool hat Petko D. Petkov (auf Security-Mailinglisten als pdp (architect) bekannt) veröffentlicht, das PKI Book.

Nach Eingabe einer Domain kann man alle in der PGP Datenbank des MIT (pgp.mit.edu) registrierte Benutzer mit einer E-Mail Adresse aus dieser Domain finden. Diese Daten werden anschließend mittels Yahoo! Pipes gegen das MySpace Social Network abgeglichen. Interessant dabei ist, wenn ein PGP-Key mit einer Firmen E-Mail Adresse und einer privaten Mailadresse verbunden ist. PKI Book findet dann nämlich auch das MySpace-Profil das mit der privaten Adresse erstellt wurde.

Der nächste Schritt ist dann, den Nutzer zu unserer Freundesliste hinzuzufügen und schon kann das Social Engineering beginnen …

(via The Register)

Die Federation of American Scientists hat hier (PDF; 2,4 MB) unter dem Titel “Technology Collection Trends in the U.S. Defense Industry” einen sehr interessanten Bericht über die Social Engineering Angriffe gegen amerikanische Wissenschaftler und Militärangehörige zusammengestellt.

Der generelle Trend ist steigend, von 37 identifizierten spionierenden Ländern im Jahr 1997 über 63 Länder im Jahr 2000 auf 106 Länder im Jahr 2005. Für das Jahr 2005 werden 971 Einzelvorfälle erfaßt. Die spionierenden Länder sind nicht einzeln aufgeführt, es gibt lediglich eine geographische Zusammenstellung der Vorfälle in der Ostasien mit 31% vor dem Nahen Osten mit 23%, Eurasien mit 19% und Südasien mit 13% führt. Afrika kann mit weniger als 3 % vernachlässigt werden. Dabei wird jedoch nicht zwischen Westeuropa und Russland (Eurasien) unterschieden und in Ostasien wird China zusammen mit Japan und Australien in einen Topf geworfen.

Die Hauptziele der Spionage waren (in dieser Reihenfolge):

1. Informations- und Datenverarbeitungssysteme
2. Laser und Optik
3. Flug- und Luftfahrttechnologie
4. Sensortechnik
5. Rüstungs- und Wehrtechnik
6. Elektronik
7. Raumfahrttechnologie
8. Marine und Schiffahrt
9. Materialforschung und Herstellungstechnik
10. Radartechnik

Die Teilbereiche sind dann noch aufgeschlüsselt in wichtige Themengebiete. Soweit so uninteressant. Spannend wird es wieder im Anhang, wenn die gängigsten Social Engineering Verfahren und typische Gegenmaßnahmen analysiert werden. Dabei werden folgende Bereiche unterschieden:

• Request for Information (RFI)
• Acquisition of Technology
• Solicitation and Marketing of Services
• Exploitation of Foreign Visit
• Targeting at Exhibits, Conventions, and Seminars
• Exploitation: Relationships
• Suspicious Internet Activity
• Targeting of U.S. Personnel Abroad

Zur allgemeinen Erheiterung sind auch ein paar konkrete Beispiele angegeben, z.B. dieses hier:

“A female foreign national seduced an American male translator to give her his password in order to log on to his unclassified network. Upon discovery of this security breach, a computer audit revealed foreign intelligence service viruses throughout the system.”

Hach ja, Mata Hari.

Auf jeden Fall gibt es für alle Bereiche eine Liste von mögliche Erkennungsmaßnahmen, beispielsweise für den Bereich Informationssammlung:

• Technologie unterliegt ITAR Exportbeschränkungen
• Der Vertragspartner des Verteidigungsministeriums hat keine normale Geschäftsbeziehung mit einem ausländischen Anfrager
• Die Anfrage kommt von einer Embargonation oder einer nicht-identifizierbarten Firma
• Die Anfrage erfolgt unaufgefordert und ist unerwünscht
• Der Anfragende behauptet von einer Regierungsstelle zu kommen, vermeidet jedoch offizielle Kommunikationskanäle
• Die Anfrage richtet sich an einen Mitarbeiter der den Absender nicht kennt und nicht in Vertrieb oder Marketing beschäftigt ist
• […]

Und natürlich eine Reihe von Gegenmaßnahmen, darunter an erster Stelle:

• Information und Schulung der Mitarbeiter bezüglich der Gefährdungen

Oder auf neudeutsch: Awareness!

Womit wir beim eigentlich Thema wären. Spionage kann jeden treffen. Angefangen von Informationen zu neuen Produkten und Dienstleistungen über Beziehungen zu Geschäftspartnern bis hin zu trivialen Sachen wie Gehälter oder private Daten. Es ist deshalb unerläßlich, alle Mitarbeiter auf mögliche Gefahren und Risiken hinzuweisen und bezüglicher der Social Engineering Thematik zu sensibilisieren. Und nur durch ein Awarenessprogramm, das die Gefahren regelmäßig immer wieder aufgreift ist ein dauerhaft hohes Sicherheitsniveau gewährleistet.

Ich bin neulich mit dem Auto durch Hessen gefahren und habe in den US Militärsender American Forces Network reingehört. Dort im Radio wurde das Thema alle 30 Minuten aufgegriffen!