Fachartikel

Führungskräfte für IT-Sicherheit sensibilisieren (3)

Zuletzt gaben 29 Prozent der Unternehmen an, in den letzten zwei Jahren Opfer von Angriffen auf ihre IT gewesen zu sein. Zwar reagieren Unternehmen zunehmend mit Firewalls und Co. auf die Bedrohungslage, insgesamt steht es mit der Abwehrbereitschaft aber noch immer nicht zum Besten. Einer der Gründe dafür ist die mangelnde Sensibilität auf C-Level-Ebene. Schließlich nützt es nur wenig, wenn die IT-Abteilung zwar eine realistische Einschätzung der tatsächlichen Bedrohungslage hat, die Führungsebene aber nicht die erforderlichen Ressourcen bereitstellt, um diesen Problemen zu begegnen. Der Artikel beschreibt daher Methoden zur Sensibilisierung von Führungskräften. Im dritten und letzten Teil beschäftigen wir uns damit, wie Sie die Gefahren offener Schnittstellen darstellen.
Um Führungskräfte von der Notwendigkeit von IT-Sicherheitstechnologien zu überzeugen, sind praxisnahe Demos ein äußerst probates Mittel.
Dabei sein, wenn der CEO eine Mail schreibt
Auch Werkzeuge zur heimlichen Aufzeichnung von Tastaturanschlägen eignen sich hervorragend für eine Präsentation zur Sensibilisierung von Führungskräften. Neben Software-Keyloggern gibt es hier vor allem USB-Devices, die einmal zwischen Tastatur und PC gesteckt, alle Tastatureingaben aufzeichnen. Ein wesentlicher Vorteil von Hardware-Keyloggern ist, dass sie betriebssystemübergreifend funktionieren und keine Treiber benötigen. Daher erfordert es auch keinen großen Aufwand, die Schadfunktion eines USB-Keyloggers zu demonstrieren.

Der gerade einmal 2,5 cm lange "KeyGrabber Nano WiFi" [10] verfügt zusätzlich über ein integriertes Funkmodul und 16 MByte Speicher. Er kann so konfiguriert werden, dass er direkt nach dem Anschließen mit der Tastaturaufzeichnung beginnt und sich mit einem vorkonfigurierten WiFi Access Point verbindet. Solange der Access Point nicht zur Verfügung steht, werden die mitgeschnittenen Daten auf dem internen Speicher abgelegt. Zum Auslesen der Daten muss der Angreifer dann nur so nahe an das Gebäude herankommen, dass der Keylogger einen mitgebrachten Hotspot (etwa auf einem Smartphone) per Funk erreichen kann. Ist die Verbindung zum Hotspot hergestellt, verschickt der Keylogger seine Aufzeichnungen dann über die Wireless-Verbindung stündlich per E-Mail. Alternativ kann sich der Angreifer aber auch über eine TCP-Verbindung direkt mit einem (oder mehreren) installierten Keyloggern verbinden.

Und selbstverständlich können Sie bei der Vorführung auch zeigen, wie sich der Keylogger an einem anderen PC auslesen lässt. Dazu stecken Sie den Keylogger wie eine USB-Verlängerung zwischen den USB-Port des Rechners und einer USB-Tastatur und drücken dann die Tasten "k,b,s" gleichzeitig. Der Keylogger wird dann als USB-Massenspeicher erkannt und die Tastaturmitschnitte können aus der Textdatei "LOG.TXT" ausgelesen werden.

Gefahren offener Schnittstellen darstellen
Noch besser demonstrierbar sind Angriffe mit "USB Rubber Ducky" [11]. Rubber Ducky sieht zwar aus wie ein normaler USB-Stick, das Gehäuse lässt sich aber öffnen und offenbart so eine Platine mit einem Speicherkartenslot für Micro-SD-Karten. Über die Speicherkarte lässt sich ein zunächst in der Skriptsprache "Ducky Skript" erstelltes Programm in Rubber Ducky integrieren. Am USB-Port des Opfers angeschlossen, gibt sich Rubber Ducky als USB-Tastatur zu erkennen und beginnt sofort damit, die im Skript hinterlegten Befehle auf dem Rechner auszuführen. Die meisten Virenscanner sind damit bereits außen vor, weil sie nur Geräte vom Typ "USB Mass Storage" überprüfen.

Zur Demonstration erklären Sie Ihren Zuhörern zunächst die grundsätzliche Funktionsweise von Rubber Ducky und erstellen dann beispielsweise mit der Webapplikation "DuckToolKit" [12] ein einfaches Skript. Zur Demonstration genügt es, auf dem Opfer-PC das Desktop-Wallpaper auszutauschen. Speichern Sie das fertige Skript als "inject.bin" auf der SD-Card und stecken Sie diese in Rubber Ducky. Sobald Sie Rubber Ducky dann an Ihren Demo-PC anschließen, wird ohne weiteres Zutun das Skript ausgeführt. Im Anschluss sollten Sie Ihren Teilnehmern noch zeigen, wie einfach auch sehr gefährliche Operationen mit Rubber Ducky sind. Dazu gehören beispielsweise folgende Aktionen:

  • Suche eine bestimmte Datei auf dem Opfer-PC und übertrage sie per FTP an den Angreifer.
  • Lade aus dem Internet eine EXE-Datei und führe diese aus.
  • Öffne eine Reverse-Shell auf Port 8080 auf dem Rechner des Opfers.
  • Gib das Verzeichnis "C:\" per SMB im gesamten Netzwerk frei.
Fazit
Um Führungskräfte von der Notwendigkeit zu überzeugen, in IT-Sicherheitstechnologien zu investieren, sind praxisnahe Demos aus der Sichtweise der Angreifer ein äußerst probates Mittel. Natürlich sollten Sie bei der Auswahl der Themen für Ihre Präsentation vor allem jene berücksichtigen, die in Ihrem eigenen Unternehmen eine hohe Relevanz haben.

Im ersten Teil des Workshops haben wir geschildert, wie Sie mit Alltagsbeispielen Verwundbarkeiten vorführen. In der zweiten Folge ging es darum, wie Sie WLAN-Schwachstellen aufspüren und demonstrieren.
17.08.2020/jp/ln/Thomas Zeller

Nachrichten

Hacker attackieren Asterisk-Umgebungen [1.12.2020]

Check Point warnte bereits zu Beginn des November, dass VoIP-Telefon-Hacks zunehmen und bereits deutsche Unternehmen attackiert wurden. Nun haben Cyberkriminelle offenbar einen neuen Angriffsvekor entdeckt: Asterisk, einen großen Anbieter für digitale Kommunikation und Telefonie. [mehr]

Im Bilde [25.11.2020]

mailbox.org bietet Videokonferenzen jetzt auch für Firmenkunden an. Diese sind für bis zu 25 Teilnehmer ausgelegt und in der Dauer nicht limitiert. Basis des Angebotes ist die bekannte Open-Source-Software "Jitsi". Die Daten sollen dabei Deutschland nicht verlassen. [mehr]

Tipps & Tools

Jetzt buchen: "Office 365 bereitstellen und absichern" [30.11.2020]

Die Clouddienste von Office 365 vereinfachen die Bereitstellung der Office-Applikationen für die Anwender und sparen Lizenzgebühren. Doch auf den Admin kommen ganz neue Aufgaben zu, die unser dreitägiges Intensiv-Seminar "Office 365 bereitstellen und absichern" praxisnah adressiert. So widmen wir uns neben der Auswahl der geeigneten Lizenzform der Vorbereitung der Infrastruktur und zeigen die Verwaltung und Absicherung von Exchange und SharePoint Online sowie MS Teams. Die Veranstaltung im März findet sowohl vor Ort als auch parallel online statt. [mehr]

Linux Foundation hält Mentoren-Webinare [20.11.2020]

Die Linux Foundation möchte die Weiterentwicklung der Linux-Skills Interessierter fördern und so die Community stärken. Dazu bietet sie einen Reihe von Webinaren an, in denen erprobte Maintainer und Community-Anführer vor allem technisches Expertenwissen vermitteln. [mehr]

Buchbesprechung

Windows 10 Pannenhilfe

von Wolfram Gieseke

Anzeigen