von Redaktion IT-A…
Lesezeit
2 Minuten
Führungskräfte für IT-Sicherheit sensibilisieren (3)
Zuletzt gaben 29 Prozent der Unternehmen an, in den letzten zwei Jahren Opfer von Angriffen auf ihre IT gewesen zu sein. Zwar reagieren Unternehmen zunehmend mit Firewalls und Co. auf die Bedrohungslage, insgesamt steht es mit der Abwehrbereitschaft aber noch immer nicht zum Besten. Einer der Gründe dafür ist die mangelnde Sensibilität auf C-Level-Ebene. Schließlich nützt es nur wenig, wenn die IT-Abteilung zwar eine realistische Einschätzung der tatsächlichen Bedrohungslage hat, die Führungsebene aber nicht die erforderlichen Ressourcen bereitstellt, um diesen Problemen zu begegnen. Der Artikel beschreibt daher Methoden zur Sensibilisierung von Führungskräften. Im dritten und letzten Teil beschäftigen wir uns damit, wie Sie die Gefahren offener Schnittstellen darstellen.
Dabei sein, wenn der CEO eine Mail schreibt
Auch Werkzeuge zur heimlichen Aufzeichnung von Tastaturanschlägen eignen sich hervorragend für eine Präsentation zur Sensibilisierung von Führungskräften. Neben Software-Keyloggern gibt es hier vor allem USB-Devices, die einmal zwischen Tastatur und PC gesteckt, alle Tastatureingaben aufzeichnen. Ein wesentlicher Vorteil von Hardware-Keyloggern ist, dass sie betriebssystemübergreifend funktionieren und keine Treiber benötigen. Daher erfordert es auch keinen großen Aufwand, die Schadfunktion eines USB-Keyloggers zu demonstrieren.
Der gerade einmal 2,5 cm lange "KeyGrabber Nano WiFi" [10] verfügt zusätzlich über ein integriertes Funkmodul und 16 MByte Speicher. Er kann so konfiguriert werden, dass er direkt nach dem Anschließen mit der Tastaturaufzeichnung beginnt und sich mit einem vorkonfigurierten WiFi Access Point verbindet. Solange der Access Point nicht zur Verfügung steht, werden die mitgeschnittenen Daten auf dem internen Speicher abgelegt. Zum Auslesen der Daten muss der Angreifer dann nur so nahe an das Gebäude herankommen, dass der Keylogger einen mitgebrachten Hotspot (etwa auf einem Smartphone) per Funk erreichen kann. Ist die Verbindung zum Hotspot hergestellt, verschickt der Keylogger seine Aufzeichnungen dann über die Wireless-Verbindung stündlich per E-Mail. Alternativ kann sich der Angreifer aber auch über eine TCP-Verbindung direkt mit einem (oder mehreren) installierten Keyloggern verbinden.
Und selbstverständlich können Sie bei der Vorführung auch zeigen, wie sich der Keylogger an einem anderen PC auslesen lässt. Dazu stecken Sie den Keylogger wie eine USB-Verlängerung zwischen den USB-Port des Rechners und einer USB-Tastatur und drücken dann die Tasten "k,b,s" gleichzeitig. Der Keylogger wird dann als USB-Massenspeicher erkannt und die Tastaturmitschnitte können aus der Textdatei "LOG.TXT" ausgelesen werden.
Gefahren offener Schnittstellen darstellen
Noch besser demonstrierbar sind Angriffe mit "USB Rubber Ducky" [11]. Rubber Ducky sieht zwar aus wie ein normaler USB-Stick, das Gehäuse lässt sich aber öffnen und offenbart so eine Platine mit einem Speicherkartenslot für Micro-SD-Karten. Über die Speicherkarte lässt sich ein zunächst in der Skriptsprache "Ducky Skript" erstelltes Programm in Rubber Ducky integrieren. Am USB-Port des Opfers angeschlossen, gibt sich Rubber Ducky als USB-Tastatur zu erkennen und beginnt sofort damit, die im Skript hinterlegten Befehle auf dem Rechner auszuführen. Die meisten Virenscanner sind damit bereits außen vor, weil sie nur Geräte vom Typ "USB Mass Storage" überprüfen.
Zur Demonstration erklären Sie Ihren Zuhörern zunächst die grundsätzliche Funktionsweise von Rubber Ducky und erstellen dann beispielsweise mit der Webapplikation "DuckToolKit" [12] ein einfaches Skript. Zur Demonstration genügt es, auf dem Opfer-PC das Desktop-Wallpaper auszutauschen. Speichern Sie das fertige Skript als "inject.bin" auf der SD-Card und stecken Sie diese in Rubber Ducky. Sobald Sie Rubber Ducky dann an Ihren Demo-PC anschließen, wird ohne weiteres Zutun das Skript ausgeführt. Im Anschluss sollten Sie Ihren Teilnehmern noch zeigen, wie einfach auch sehr gefährliche Operationen mit Rubber Ducky sind. Dazu gehören beispielsweise folgende Aktionen:
Um Führungskräfte von der Notwendigkeit zu überzeugen, in IT-Sicherheitstechnologien zu investieren, sind praxisnahe Demos aus der Sichtweise der Angreifer ein äußerst probates Mittel. Natürlich sollten Sie bei der Auswahl der Themen für Ihre Präsentation vor allem jene berücksichtigen, die in Ihrem eigenen Unternehmen eine hohe Relevanz haben.
jp/ln/Thomas Zeller
[10] www.keelog.com/de/hardware-keylogger-nano/
[11] https://shop.hak5.org/products/usb-rubber-ducky-deluxe
[12] https://ducktoolkit.com
Auch Werkzeuge zur heimlichen Aufzeichnung von Tastaturanschlägen eignen sich hervorragend für eine Präsentation zur Sensibilisierung von Führungskräften. Neben Software-Keyloggern gibt es hier vor allem USB-Devices, die einmal zwischen Tastatur und PC gesteckt, alle Tastatureingaben aufzeichnen. Ein wesentlicher Vorteil von Hardware-Keyloggern ist, dass sie betriebssystemübergreifend funktionieren und keine Treiber benötigen. Daher erfordert es auch keinen großen Aufwand, die Schadfunktion eines USB-Keyloggers zu demonstrieren.
Der gerade einmal 2,5 cm lange "KeyGrabber Nano WiFi" [10] verfügt zusätzlich über ein integriertes Funkmodul und 16 MByte Speicher. Er kann so konfiguriert werden, dass er direkt nach dem Anschließen mit der Tastaturaufzeichnung beginnt und sich mit einem vorkonfigurierten WiFi Access Point verbindet. Solange der Access Point nicht zur Verfügung steht, werden die mitgeschnittenen Daten auf dem internen Speicher abgelegt. Zum Auslesen der Daten muss der Angreifer dann nur so nahe an das Gebäude herankommen, dass der Keylogger einen mitgebrachten Hotspot (etwa auf einem Smartphone) per Funk erreichen kann. Ist die Verbindung zum Hotspot hergestellt, verschickt der Keylogger seine Aufzeichnungen dann über die Wireless-Verbindung stündlich per E-Mail. Alternativ kann sich der Angreifer aber auch über eine TCP-Verbindung direkt mit einem (oder mehreren) installierten Keyloggern verbinden.
Und selbstverständlich können Sie bei der Vorführung auch zeigen, wie sich der Keylogger an einem anderen PC auslesen lässt. Dazu stecken Sie den Keylogger wie eine USB-Verlängerung zwischen den USB-Port des Rechners und einer USB-Tastatur und drücken dann die Tasten "k,b,s" gleichzeitig. Der Keylogger wird dann als USB-Massenspeicher erkannt und die Tastaturmitschnitte können aus der Textdatei "LOG.TXT" ausgelesen werden.
Gefahren offener Schnittstellen darstellen
Noch besser demonstrierbar sind Angriffe mit "USB Rubber Ducky" [11]. Rubber Ducky sieht zwar aus wie ein normaler USB-Stick, das Gehäuse lässt sich aber öffnen und offenbart so eine Platine mit einem Speicherkartenslot für Micro-SD-Karten. Über die Speicherkarte lässt sich ein zunächst in der Skriptsprache "Ducky Skript" erstelltes Programm in Rubber Ducky integrieren. Am USB-Port des Opfers angeschlossen, gibt sich Rubber Ducky als USB-Tastatur zu erkennen und beginnt sofort damit, die im Skript hinterlegten Befehle auf dem Rechner auszuführen. Die meisten Virenscanner sind damit bereits außen vor, weil sie nur Geräte vom Typ "USB Mass Storage" überprüfen.
Zur Demonstration erklären Sie Ihren Zuhörern zunächst die grundsätzliche Funktionsweise von Rubber Ducky und erstellen dann beispielsweise mit der Webapplikation "DuckToolKit" [12] ein einfaches Skript. Zur Demonstration genügt es, auf dem Opfer-PC das Desktop-Wallpaper auszutauschen. Speichern Sie das fertige Skript als "inject.bin" auf der SD-Card und stecken Sie diese in Rubber Ducky. Sobald Sie Rubber Ducky dann an Ihren Demo-PC anschließen, wird ohne weiteres Zutun das Skript ausgeführt. Im Anschluss sollten Sie Ihren Teilnehmern noch zeigen, wie einfach auch sehr gefährliche Operationen mit Rubber Ducky sind. Dazu gehören beispielsweise folgende Aktionen:
- Suche eine bestimmte Datei auf dem Opfer-PC und übertrage sie per FTP an den Angreifer.
- Lade aus dem Internet eine EXE-Datei und führe diese aus.
- Öffne eine Reverse-Shell auf Port 8080 auf dem Rechner des Opfers.
- Gib das Verzeichnis "C:\" per SMB im gesamten Netzwerk frei.
Um Führungskräfte von der Notwendigkeit zu überzeugen, in IT-Sicherheitstechnologien zu investieren, sind praxisnahe Demos aus der Sichtweise der Angreifer ein äußerst probates Mittel. Natürlich sollten Sie bei der Auswahl der Themen für Ihre Präsentation vor allem jene berücksichtigen, die in Ihrem eigenen Unternehmen eine hohe Relevanz haben.
Im ersten Teil des Workshops haben wir geschildert, wie Sie mit Alltagsbeispielen Verwundbarkeiten vorführen. In der zweiten Folge ging es darum, wie Sie WLAN-Schwachstellen aufspüren und demonstrieren.
jp/ln/Thomas Zeller
[10] www.keelog.com/de/hardware-keylogger-nano/
[11] https://shop.hak5.org/products/usb-rubber-ducky-deluxe
[12] https://ducktoolkit.com
