View
221
Download
3
Category
Preview:
Citation preview
Social Engineering und Security Awarenessfür Systemadministratoren
Stefan Schumacher
Magdeburger Institut für Sicherheitsforschungstefan.schumacher@sicherheitsforschung-magdeburg.de
SLAC2016
Stefan Schumacher Social Engineering SLAC2016 1 / 111
Über Mich
Stefan Schumacher Social Engineering SLAC2016 2 / 111
Über Mich
Bildungswissenschaft/Psychologie20+ Jahre Hacker, einige Jahre NetBSD-EntwicklerBerater für Unternehmenssicherheit www.Kaishakunin.comBerater für Finanzinstitute, Regierungen, SicherheitsbehördenOrganisationssicherheit, Social Engineering, Security AwarenessDirektor des Magdeburger Instituts für SicherheitsforschungHerausgeber des Magdeburger Journals zur Sicherheitsforschungwww.Sicherheitsforschung-Magdeburg.de
Lehrbeauftragter
Stefan Schumacher Social Engineering SLAC2016 3 / 111
Forschungsprogramme des MIS
Psychologie der SicherheitI Social EngineeringI Security Awareness, Sicherheit in OrganisationenI Didaktik der SicherheitI Didaktik der Kryptographie
LehrerfortbildungI Lernfelder: Fachinformatiker IT-SicherheitI Lernfelder: IT-Sicherheit für KaufleuteI Lernfelder: IT-Sicherheit für Elektroberufe
IT-Sicherheit in KMUI empirische GrundlagenforschungI didaktische AufbereitungI Schulungen
Stefan Schumacher Social Engineering SLAC2016 4 / 111
Schulungs- und Beratungsangebote
Sicher unterwegs in InternetSecurity Awareness Kampagnen konzipierenDie psychologischen Grundlagen des Social EngineeringsAnonymität und Überwachung im InternetDer digitale Untergrund: zur aktuellen Bedrohungslage im InternetKryptographie - Konzepte, Methoden und AnwendungenStrategien im WirtschaftskriegSelbstschutz in KrisengebietenNetzwerke absichern
Stefan Schumacher Social Engineering SLAC2016 5 / 111
Stefan Schumacher Social Engineering SLAC2016 6 / 111
Stefan Schumacher and René Pfeiffer (editors)In Depth Security – Proceedings of the DeepSec Conference360 PagesMagdeburger Institut für Sicherheitsforschung978-3981770001http://www.amazon.de/Depth-Security-Stefan-Schumacher/dp/3981770005/ref=sr_1_1?ie=UTF8&qid=1448888706
Stefan Schumacher Social Engineering SLAC2016 7 / 111
Schumacher, Stefan (2011)Die psychologischen Grundlagen des Social Engineeringsin: Magdeburger Journal zur Sicherheitsforschung, 01/2011, S.1-26http://www.sicherheitsforschung-magdeburg.de/publikationen/journal.html#c291
Schumacher, Stefan (2012)Sicherheit messen. Eine Operationalisierung als latentessoziales Konstrukt. In: Die sicherheitspolitische Streitkultur inder Bundesrepublik Deutschland. Hrsg. von S. Adorf, J. Schaffeldund Dietmar Schössler. Magdeburg: Meine Verlag, S. 1–38.
Stefan Schumacher Social Engineering SLAC2016 8 / 111
Inhalt
Die Psychologischen Grundlagen des Social EngineeringsSecurity Awareness KampagnenBeispiel: sichere Passwörter2FA mit Yubikey
Stefan Schumacher Social Engineering SLAC2016 9 / 111
Teil I
Psychologischen Grundlagen des SocialEngineering
Stefan Schumacher Social Engineering SLAC2016 10 / 111
Social EngineeringJawoll, Herr Hauptmann ...
Ausnutzen menschlicherVerhaltensweisenWarum sollte ich/etc/master.passwd cracken,wenn ich doch einen Benutzer dazubringen kann, mir sein Passwort zugeben.»Hacking People«Ausnutzen psychologischerVerhaltensweisen
Stefan Schumacher Social Engineering SLAC2016 11 / 111
GrundlagenFixed Action Patterns
Verhaltensbiologen untersuchen Fixed Action PatternsKonrad Lorenzens GraugänseExperiment nach M. W. Fox (1974)I ausgestopftes Wiesel mit LautsprecherI Truthenne hat Wiesel attackiert (naturlicher Feind)I Lautsprecher spielte Trutküken-Tschiep-TschiepI Truthenne akzeptierte Wiesel als TrutkükenI in der Natur macht ein Wiesel nicht Tschiep-Tschiep ...
Kuckuckskinder ...
Stefan Schumacher Social Engineering SLAC2016 12 / 111
Grundlagenstereotypes Verhalten
Wir sind auch nur Tierefight-or-flight-Reaktion (Flucht oder Kampf)Teuer ist gut (Mercedes, Miele, Chivas Regal)Experten wissen wovon sie reden ...Frauen und Schuhläden ...Der erste Eindruck ...
Stefan Schumacher Social Engineering SLAC2016 13 / 111
Grundlagenstereotypes Verhalten
Umwelt ist zu schnell und zu komplex um jede Entscheidung zuanalysierenUrteilsheuristiken als kurze Entscheidungsmakros werden durchAuslösemerkmale ausgelöstautomatisiertes, stereotypes Verhalten ist die effizientesteVerhaltensformAuslösemerkmale sind tlw. kulturabhängig (ehre die Alten, Frauensind wertlos)kontrolliertes Verhalten aufgrund sorgfältiger Analyse nur, wenndie Entscheidung als wichtig empfunden wird (Motivation istentscheidend)wir erwarten von unseren Beratern kontrolliertes Verhalten
Stefan Schumacher Social Engineering SLAC2016 14 / 111
Stefan Schumacher Social Engineering SLAC2016 15 / 111
stereotypes VerhaltenWahrnehmungskontraste
Wir reagieren auf Unterschiede/KontrasteExperiment: 3 Wassereimer: kalt, warm, heißlinke Hand in kaltes, rechte Hand in heißes Wasserdann beide Hände in warmes Wasser
Stefan Schumacher Social Engineering SLAC2016 16 / 111
Table of Contents
1 Reziprozität
2 Commitment und Konsistenz
3 Soziale Bewährtheit
4 Obedience to Authority
5 Sympathie
6 Knappheit
Stefan Schumacher Social Engineering SLAC2016 17 / 111
ReziprozitätGrundlagen
einen Gefallen zurückzahlen/eine Hand wäscht die andereGesellschaften gewinnen durch ReziprozitätReziprozität existiert in allen Kulturenkönnte biologistische Ursachen haben
Stefan Schumacher Social Engineering SLAC2016 18 / 111
ReziprozitätBeispiel
1985 erschütterte ein Erdbeben Mexiko, Äthiopien hungerte (BandAid)Das Äthiopische Rote Kreuz hat Mexiko 5,000$ gespendet1935 hat Mexiko Äthiopien geholfen, als es von Italien angegriffenwurdeDas ÄRK spürte den Drang zu helfenEbenso: freie Kostproben im Supermarkt, 5$-Scheck im Vorausbei Fragebögen, Geschäftsessen
Stefan Schumacher Social Engineering SLAC2016 19 / 111
ReziprozitätBeispiel
1985 erschütterte ein Erdbeben Mexiko, Äthiopien hungerte (BandAid)Das Äthiopische Rote Kreuz hat Mexiko 5,000$ gespendet1935 hat Mexiko Äthiopien geholfen, als es von Italien angegriffenwurdeDas ÄRK spürte den Drang zu helfenEbenso: freie Kostproben im Supermarkt, 5$-Scheck im Vorausbei Fragebögen, Geschäftsessen
Stefan Schumacher Social Engineering SLAC2016 19 / 111
Reziprozitätetwas subtiler:
ein Eingeständniss machen, das wird als Geschenk betrachtet ReziprozitätKannst du mir 100e leihen? Nein? Vielleicht 10?Kontrast spielt auch mit
Stefan Schumacher Social Engineering SLAC2016 20 / 111
ReziprozitätAbwehr
Geschenke ablehnen ist schwer (Japan)Es gibt immer großzügige Menschen (Wir sind kein HomoÖkonomicus!)Gefallen akzeptieren, aber wenn er sich als Trick herausstellt,sollte man die Reziprozität ignorieren
Stefan Schumacher Social Engineering SLAC2016 21 / 111
Table of Contents
1 Reziprozität
2 Commitment und Konsistenz
3 Soziale Bewährtheit
4 Obedience to Authority
5 Sympathie
6 Knappheit
Stefan Schumacher Social Engineering SLAC2016 22 / 111
Commitment und KonsistenzTheorie des Commitment
Konsistenz: sich erwartungsgemäß/wie angekündigt verhaltenDer Wunsch nach Konsistenz wird als zentraleVerhaltensgrundlage betrachtetKonsistenz wird geschätzt und erwartet (vgl. Niklas Luhmann»Vertrauen als Mittel zur Reduktion sozialer Komplexität«)Inkonsistenz wird gewöhnlich als unerwünschte VerhaltensweisebetrachtetInkonsistenz wird häufig als geistige Störung betrachtet
Stefan Schumacher Social Engineering SLAC2016 23 / 111
Commitment und KonsistenzExample
Ein Assistent ging zum Strand um sich zu sonnen und nahm einKofferradio mitnach 10min holte er sich etwas zu trinkenein anderer Assistent griff sich das Radio und verschwand damit4/10 VPn hielten den Dieb aufim 2. Durchlauf bat der 1. Assistent seine Nachbarn auf das Radiozu achten19/20 VPn stoppten den Diebeinige sogar mit Gewalt
Stefan Schumacher Social Engineering SLAC2016 24 / 111
Commitment und KonsistenzExample
Ein Assistent ging zum Strand um sich zu sonnen und nahm einKofferradio mitnach 10min holte er sich etwas zu trinkenein anderer Assistent griff sich das Radio und verschwand damit4/10 VPn hielten den Dieb aufim 2. Durchlauf bat der 1. Assistent seine Nachbarn auf das Radiozu achten19/20 VPn stoppten den Diebeinige sogar mit Gewalt
Stefan Schumacher Social Engineering SLAC2016 24 / 111
Commitment und KonsistenzFurby
Stefan Schumacher Social Engineering SLAC2016 25 / 111
Commitment und KonsistenzWarum funktioniert Konsistenz?
Was löst konsistentes Verhalten aus?Ein Commitment löst konsistentes Verhalten aus (bspw.Versprechen, auf Treu und Glauben)Das Commitment muss freiwillig, ohne Druck oder Belohnunggemacht werden»aktives Opt-In« ist das beste Commitmentein Commitment kann das Selbstbild einer Person verändern
Stefan Schumacher Social Engineering SLAC2016 26 / 111
Commitment und KonsistenzBeispiele
Initiationsriten (Armee, Burschenschaften, Organisationen,Gruppen...)initiierte Personen unterstützen die Gruppe besser und finden dieGruppe auch besser
Stefan Schumacher Social Engineering SLAC2016 27 / 111
Commitment und KonsistenzAbwehr
Commitment und Konsistenz können nicht einfach ignoriertwerdenhöre auf deine Bauchsignale, wir haben immer noch unsereInstinktehöre auf dein Herz, das ist etwas sensibler als der BauchWürde ich mich wieder so verhalten, wie ich es gerade tue?
Stefan Schumacher Social Engineering SLAC2016 28 / 111
Commitment und KonsistenzZusammenfassung
persönliche Konsistenz wird von der Gesellschaft erwartet undwertgeschätztKonsistenz vereinfacht das komplexe tägliche LebenNach einem Commitment sind Menschen gewillter, Anfragen zuerfüllen, wenn diese in ihr Commitment passensogar falsche Commitments können selbst-erfüllend werden
Stefan Schumacher Social Engineering SLAC2016 29 / 111
Table of Contents
1 Reziprozität
2 Commitment und Konsistenz
3 Soziale Bewährtheit
4 Obedience to Authority
5 Sympathie
6 Knappheit
Stefan Schumacher Social Engineering SLAC2016 30 / 111
Soziale BewährtheitPrinzip
wir entscheiden was korrekt ist, indem wir herausfinden, wasandere Menschen für korrekt halteneine Handlung gilt als korrekt, wenn andere sie auch vollziehenwenn alle von der Brücke springen würden ...funktioniert sehr gut, wenn Menschen unsicher sindfunktioniert sehr gut, wenn die Referenzen uns ähnlich sind(Teenager)
Stefan Schumacher Social Engineering SLAC2016 31 / 111
Stefan Schumacher Social Engineering SLAC2016 32 / 111
Soziale BewährtheitBeispiele
Gelächter vom Band in TV-SendungenJemand der den Kirchturm anstarrtJeder kauft/nutzt/tut XBanken crashen (Malaysia 1999)Stampedesaffektive Desensibilisierung mittels Video möglich (Kinder/Hunde)Passive Bystander
Stefan Schumacher Social Engineering SLAC2016 33 / 111
Soziale BewährtheitAnwendung
Wenn die Mehrheit die Sicherheitsrichtlinie ignoriert, haben SieverlorenWenn die Mehrheit die Sicherheitsrichtlinie beachtet, haben Siegewonnenkritische Masse erreichen und ausnutzen
Stefan Schumacher Social Engineering SLAC2016 34 / 111
Soziale BewährtheitCountermeasures
ignoring Soziale Bewährtheit is impossiblecheck the data you are getting (the trigger feature)is really the majority doing X? (ads)train your workforce
Stefan Schumacher Social Engineering SLAC2016 35 / 111
Soziale BewährtheitCountermeasures
ignoring Soziale Bewährtheit is impossiblecheck the data you are getting (the trigger feature)is really the majority doing X? (ads)train your workforce
Stefan Schumacher Social Engineering SLAC2016 35 / 111
Table of Contents
1 Reziprozität
2 Commitment und Konsistenz
3 Soziale Bewährtheit
4 Obedience to Authority
5 Sympathie
6 Knappheit
Stefan Schumacher Social Engineering SLAC2016 36 / 111
Obedience to Authority
Stanley Milgram:40 VPn, Lernexperiment mit Wortpaarenbei falscher Antwort: Stromstoß15V, 30V, 45V ... 450V40VPn bis 300V, 26VPn bis 450V (65%)UV: Autorität des VL, Distanz zwischen VPnaber: Nervenzusammenbrüche der VPn
Stanford Prison, Affenherden und KaramellbonbonsWir glauben an Autoritäten, Rollenmodelle, Überraschung hilft
Stefan Schumacher Social Engineering SLAC2016 37 / 111
Obedience to Authority
Stanley Milgram:40 VPn, Lernexperiment mit Wortpaarenbei falscher Antwort: Stromstoß15V, 30V, 45V ... 450V40VPn bis 300V, 26VPn bis 450V (65%)UV: Autorität des VL, Distanz zwischen VPnaber: Nervenzusammenbrüche der VPnStanford Prison, Affenherden und KaramellbonbonsWir glauben an Autoritäten, Rollenmodelle, Überraschung hilft
Stefan Schumacher Social Engineering SLAC2016 37 / 111
Obedience to Authority
Stanley Milgram:40 VPn, Lernexperiment mit Wortpaarenbei falscher Antwort: Stromstoß15V, 30V, 45V ... 450V40VPn bis 300V, 26VPn bis 450V (65%)UV: Autorität des VL, Distanz zwischen VPnaber: Nervenzusammenbrüche der VPnStanford Prison, Affenherden und KaramellbonbonsWir glauben an Autoritäten, Rollenmodelle, Überraschung hilft
Stefan Schumacher Social Engineering SLAC2016 37 / 111
Obedience to Authority
Menschen reagieren auf Symbole der AutoritätForschung: Titel, Kleidung, AutomobileKrankenschwestern (r.ear)
Stefan Schumacher Social Engineering SLAC2016 38 / 111
Table of Contents
1 Reziprozität
2 Commitment und Konsistenz
3 Soziale Bewährtheit
4 Obedience to Authority
5 Sympathie
6 Knappheit
Stefan Schumacher Social Engineering SLAC2016 39 / 111
SympathiePrinzip
wir werden eher von Menschen beeinflusst, die wir mögenEin Rat unter Freunden ...Marketingmasche
Stefan Schumacher Social Engineering SLAC2016 40 / 111
SympathieWarum finden wir Menschen sympathisch?
physische Attraktivität (Halos)Ähnlichkeit (gespiegelte Fotos)Komplimente/Sympathie/Liebe (Romeo-Agenten)Konditionierung und Assoziation(Klingelt es beim Namen Pawlow?)
zusammenarbeiten und erfolgreich sein (Muzafer Sherif)
Stefan Schumacher Social Engineering SLAC2016 41 / 111
SympathieWarum finden wir Menschen sympathisch?
physische Attraktivität (Halos)Ähnlichkeit (gespiegelte Fotos)Komplimente/Sympathie/Liebe (Romeo-Agenten)Konditionierung und Assoziation(Klingelt es beim Namen Pawlow?)zusammenarbeiten und erfolgreich sein (Muzafer Sherif)
Stefan Schumacher Social Engineering SLAC2016 41 / 111
SympathieWarum finden wir Menschen sympathisch?
physische Attraktivität (Halos)Ähnlichkeit (gespiegelte Fotos)Komplimente/Sympathie/Liebe (Romeo-Agenten)Konditionierung und Assoziation(Klingelt es beim Namen Pawlow?)zusammenarbeiten und erfolgreich sein (Muzafer Sherif)
Stefan Schumacher Social Engineering SLAC2016 41 / 111
Table of Contents
1 Reziprozität
2 Commitment und Konsistenz
3 Soziale Bewährtheit
4 Obedience to Authority
5 Sympathie
6 Knappheit
Stefan Schumacher Social Engineering SLAC2016 42 / 111
Knappheit
limitierte Ausgabe (special limited edition)begrenzte Angebote (Time Life)ZensurEbay/Auktionen
Stefan Schumacher Social Engineering SLAC2016 43 / 111
Knappheit
Entscheidungsmöglichkeiten gelten als wertvoller, wenn sieweniger verfügbar sindDinge an die man schwerer rannkommt sind in der RegelwertvollerWenn Dinge weniger verfügbar werden, verlieren wirFreiheitsgradeWenn man Informationen einschränkt, wollen Menschen dieseumso mehr bekommen und schätzen sie auch wertvoller ein(Beraterparadoxon)niemals einer einzelnen Informationsquelle vertrauen
Stefan Schumacher Social Engineering SLAC2016 44 / 111
Biologische Psychologie
endogenes Neuropeptid Oxytozin, generiert im Nucleusparaventricularis und Nucleus supraopticusZwischenspeicherung in der Hypophysesenkt Blutdruck und Cortisol, wirkt sedierend, verringert StressBindungsverhalten, z.B. zwischen Mutter und SäuglingDitzena et. al. (2006) Effects of social support and oxytocin onpsychological and physiological stress responses during maritalconflictggw. Forschung: Sozialphobien, Schizophrenie,Autismus/Asperger
Stefan Schumacher Social Engineering SLAC2016 45 / 111
Stefan Schumacher Social Engineering SLAC2016 46 / 111
Fazit
Social Engineering nutzt grundlegendes menschliches VerhaltenausKognitive Prozesse werden durch emotionale ReaktionenunterdrücktSecurity-Awareness-Kampagnen können dasSicherheitsbewusstsein erhöhenmenschliches Verhalten ist weder deterministisch nochdeterminierend
Stefan Schumacher Social Engineering SLAC2016 47 / 111
Fazit
Es gibt keine 100%ige Sicherheit und damit auch keinen100%igen Schutz vor Social EngineeringResiliente Systeme entwerfen, die Social Engineering beachtenpsychische und soziale Systeme beachtenHäufiger Schwachpunkt: Authentifikationsmechanismen
Stefan Schumacher Social Engineering SLAC2016 48 / 111
Teil II
Security Awareness Kampagnen
Stefan Schumacher Social Engineering SLAC2016 49 / 111
Table of Contents
7 Einführung/Motivation
8 Psychologie
9 Veränderungen in Organisationen
10 Motivation
11 Sicherheitsrichtlinie
Stefan Schumacher Social Engineering SLAC2016 50 / 111
Was ist eine Security-Awareness-Kampagne?
Gesamtheit aller Maßnahmen und notwendigen Ressourcen, umdas Sicherheitsbewusstsein einer Organisation zu erhöhen.(technische) Sicherheitsmaßnahmen vermittelnProjektmanagement: Managementmethoden, Psychologie,Soziologie, PädagogikBewusstseinsveränderung: Psychologie, Bildungswissenschaft,Chemie . . .Awareness; Training; Lernen
Stefan Schumacher Social Engineering SLAC2016 51 / 111
Organisation
keine Einzelkämpfer-Lösung (Championmodell)Kooperation mit anderen AbteilungenSchulung muss auch bei Führungskräften ansetzen
Stefan Schumacher Social Engineering SLAC2016 52 / 111
Table of Contents
7 Einführung/Motivation
8 Psychologie
9 Veränderungen in Organisationen
10 Motivation
11 Sicherheitsrichtlinie
Stefan Schumacher Social Engineering SLAC2016 53 / 111
Wie wirklich ist die Wirklichkeit?Paul Watzlawick
Wirklichkeit wird im Subjekt konstruiert, ist damit abhängig vondessen Biografie (s. Radikaler Konstruktivismus)Watzlawick: Modell der zwei WirklichkeitenI Wirklichkeit 1. Ordnung
harte, also messbare, Realität (Temperatur, Alter, Gewicht)I Wirklichkeit 2. Ordnung
gefühlte, konstruierte Realität (Ist es warm/kalt? Bin ich jung/alt,dünn/dick?)
Jedes Subjekt konstruiert seine eigene, immanente RealitätDie Wirklichkeit gibt es nicht!s. a.: Jean Piaget, von Foerster, von Bertalanffy (Kybernetik 2.Ordnung)
Stefan Schumacher Social Engineering SLAC2016 54 / 111
Wie wirklich ist die Wirklichkeit?Paul Watzlawick
Wirklichkeit wird im Subjekt konstruiert, ist damit abhängig vondessen Biografie (s. Radikaler Konstruktivismus)Watzlawick: Modell der zwei WirklichkeitenI Wirklichkeit 1. Ordnung
harte, also messbare, Realität (Temperatur, Alter, Gewicht)I Wirklichkeit 2. Ordnung
gefühlte, konstruierte Realität (Ist es warm/kalt? Bin ich jung/alt,dünn/dick?)
Jedes Subjekt konstruiert seine eigene, immanente RealitätDie Wirklichkeit gibt es nicht!
s. a.: Jean Piaget, von Foerster, von Bertalanffy (Kybernetik 2.Ordnung)
Stefan Schumacher Social Engineering SLAC2016 54 / 111
Wie wirklich ist die Wirklichkeit?Paul Watzlawick
Wirklichkeit wird im Subjekt konstruiert, ist damit abhängig vondessen Biografie (s. Radikaler Konstruktivismus)Watzlawick: Modell der zwei WirklichkeitenI Wirklichkeit 1. Ordnung
harte, also messbare, Realität (Temperatur, Alter, Gewicht)I Wirklichkeit 2. Ordnung
gefühlte, konstruierte Realität (Ist es warm/kalt? Bin ich jung/alt,dünn/dick?)
Jedes Subjekt konstruiert seine eigene, immanente RealitätDie Wirklichkeit gibt es nicht!s. a.: Jean Piaget, von Foerster, von Bertalanffy (Kybernetik 2.Ordnung)
Stefan Schumacher Social Engineering SLAC2016 54 / 111
Wie wirklich ist die Wirklichkeit?Paul Watzlawick
Wirklichkeit wird im Subjekt konstruiert, ist damit abhängig vondessen Biografie (s. Radikaler Konstruktivismus)Watzlawick: Modell der zwei WirklichkeitenI Wirklichkeit 1. Ordnung
harte, also messbare, Realität (Temperatur, Alter, Gewicht)I Wirklichkeit 2. Ordnung
gefühlte, konstruierte Realität (Ist es warm/kalt? Bin ich jung/alt,dünn/dick?)
Jedes Subjekt konstruiert seine eigene, immanente RealitätDie Wirklichkeit gibt es nicht!s. a.: Jean Piaget, von Foerster, von Bertalanffy (Kybernetik 2.Ordnung)
Stefan Schumacher Social Engineering SLAC2016 54 / 111
Perspektivenübernahme
Admin lebt in seiner Realität ./. User lebt in seiner RealitätAdmin will Systeme am laufen halten, dazu gehört auchSicherheit, Benutzer umgehen SicherheitsmaßnahmenUser will seine Aufgaben erledigen, und dazu möglichst einfachdie Systeme nutzen, Sicherheit als Barriere wahrgenommen
Führt zu Interessenkonflikt!?nicht zwangsläufig, wenn die Realitäten berücksichtigt werdenPerspektivenübernahme, EmpathiePerspektivziel Admin und User: eigene Aufgaben erledigen,Unternehmen am laufen halten, angenehmen Arbeitsplatzbehalten
Stefan Schumacher Social Engineering SLAC2016 55 / 111
Perspektivenübernahme
Admin lebt in seiner Realität ./. User lebt in seiner RealitätAdmin will Systeme am laufen halten, dazu gehört auchSicherheit, Benutzer umgehen SicherheitsmaßnahmenUser will seine Aufgaben erledigen, und dazu möglichst einfachdie Systeme nutzen, Sicherheit als Barriere wahrgenommenFührt zu Interessenkonflikt!?
nicht zwangsläufig, wenn die Realitäten berücksichtigt werdenPerspektivenübernahme, EmpathiePerspektivziel Admin und User: eigene Aufgaben erledigen,Unternehmen am laufen halten, angenehmen Arbeitsplatzbehalten
Stefan Schumacher Social Engineering SLAC2016 55 / 111
Perspektivenübernahme
Admin lebt in seiner Realität ./. User lebt in seiner RealitätAdmin will Systeme am laufen halten, dazu gehört auchSicherheit, Benutzer umgehen SicherheitsmaßnahmenUser will seine Aufgaben erledigen, und dazu möglichst einfachdie Systeme nutzen, Sicherheit als Barriere wahrgenommenFührt zu Interessenkonflikt!?nicht zwangsläufig, wenn die Realitäten berücksichtigt werdenPerspektivenübernahme, EmpathiePerspektivziel Admin und User: eigene Aufgaben erledigen,Unternehmen am laufen halten, angenehmen Arbeitsplatzbehalten
Stefan Schumacher Social Engineering SLAC2016 55 / 111
Perspektivenübernahme
Admin lebt in seiner Realität ./. User lebt in seiner RealitätAdmin will Systeme am laufen halten, dazu gehört auchSicherheit, Benutzer umgehen SicherheitsmaßnahmenUser will seine Aufgaben erledigen, und dazu möglichst einfachdie Systeme nutzen, Sicherheit als Barriere wahrgenommenFührt zu Interessenkonflikt!?nicht zwangsläufig, wenn die Realitäten berücksichtigt werdenPerspektivenübernahme, EmpathiePerspektivziel Admin und User: eigene Aufgaben erledigen,Unternehmen am laufen halten, angenehmen Arbeitsplatzbehalten
Stefan Schumacher Social Engineering SLAC2016 55 / 111
Was heißt das?
Niemand tut etwas gegen den eigenen Willen!Allerdings ist der »eigene Wille« adjustierbarZiel der SAK: EinstellungsänderungVerhalten: extrinsisch (Anschnallen, sonst Strafe)Einstellung: intrinsisch (Anschnallen, weil sicherer)User soll sich als sicherheitsbewusst wahrnehmen und auch sohandelnKompetenzentwicklung
Stefan Schumacher Social Engineering SLAC2016 56 / 111
Was heißt das?
Niemand tut etwas gegen den eigenen Willen!Allerdings ist der »eigene Wille« adjustierbarZiel der SAK: EinstellungsänderungVerhalten: extrinsisch (Anschnallen, sonst Strafe)Einstellung: intrinsisch (Anschnallen, weil sicherer)User soll sich als sicherheitsbewusst wahrnehmen und auch sohandelnKompetenzentwicklung
Stefan Schumacher Social Engineering SLAC2016 56 / 111
MotivationspsychologieEntwicklung als probabilistische Epigenese
DefinitionDer Einfluss, den ein Kontext auf eine Person ausübt, wird durch dieBedeutung bestimmt, die sie ihm beimisst.
PETERMANN, F. (Hrsg.):Lehrbuch der klinischen Kinderpsychologie und -psychotherapie.Göttingen : Hogrefe, 2002
Stefan Schumacher Social Engineering SLAC2016 57 / 111
Was heißt das?
Motivation zwingend erforderlichBegründung warum Sicherheitsmaßnahmen erforderlichSich der Lebenswelt des Users nähern (Internetbanking, ZweiSchlüssel für Banktresore)Dem User seine Wichtigkeit zeigen (dein schlechtes Passwortkann das ganze Netzwerk gefährden)Verunsicherung ist MEGA-BÖSE, erleichtert ManipulationAuf neue User aufpassen: erst einweisen, dann ans Gerät lassen
Stefan Schumacher Social Engineering SLAC2016 58 / 111
Table of Contents
7 Einführung/Motivation
8 Psychologie
9 Veränderungen in Organisationen
10 Motivation
11 Sicherheitsrichtlinie
Stefan Schumacher Social Engineering SLAC2016 59 / 111
Sozialpsychologie
SAK muss von allen getragen werdenvon oben nach untenEinstellungsänderungen bei allen, auch den Chefs und Schlipsenund den Nicht-UsernFühren durch VorbildPrinzip der sozialen Bewährtheit
Stefan Schumacher Social Engineering SLAC2016 60 / 111
Table of Contents
7 Einführung/Motivation
8 Psychologie
9 Veränderungen in Organisationen
10 Motivation
11 Sicherheitsrichtlinie
Stefan Schumacher Social Engineering SLAC2016 61 / 111
MotivationMotive
treibt einen Organismus an, einem Ziel näher zu kommenbewusst oder unbewusstentspringt einem Bedürfnis, jedes Bedürfnis hat dieBedürfnis-Befriedigung zum Zielohne Motiv kein Verhaltenohne unbefriedigte Bedürfnisse kein MotivMotive sind stabil, Motivation nicht
Stefan Schumacher Social Engineering SLAC2016 62 / 111
MotivationBedürfnishierarchie nach Maslow (2002)
Begründer der Humanistischen Psychologie (mit Rogers/Fromm)
Stufe Bedürfnis
V SelbstverwirklichungIV Soziale AnerkennungIII Soziale BeziehungenII Sicherheit
I Körperliche Bedürfnisse
Stefan Schumacher Social Engineering SLAC2016 63 / 111
MotivationBedürfnishierarchie nach Maslow (2002)
Begründer der Humanistischen Psychologie (mit Rogers/Fromm)
Stufe Bedürfnis
V SelbstverwirklichungIV Soziale AnerkennungIII Soziale Beziehungen
II SicherheitI Körperliche Bedürfnisse
Stefan Schumacher Social Engineering SLAC2016 63 / 111
MotivationBedürfnishierarchie nach Maslow (2002)
Begründer der Humanistischen Psychologie (mit Rogers/Fromm)
Stufe Bedürfnis
V SelbstverwirklichungIV Soziale Anerkennung
III Soziale BeziehungenII SicherheitI Körperliche Bedürfnisse
Stefan Schumacher Social Engineering SLAC2016 63 / 111
MotivationBedürfnishierarchie nach Maslow (2002)
Begründer der Humanistischen Psychologie (mit Rogers/Fromm)
Stufe Bedürfnis
V Selbstverwirklichung
IV Soziale AnerkennungIII Soziale BeziehungenII SicherheitI Körperliche Bedürfnisse
Stefan Schumacher Social Engineering SLAC2016 63 / 111
MotivationBedürfnishierarchie nach Maslow (2002)
Begründer der Humanistischen Psychologie (mit Rogers/Fromm)
Stufe BedürfnisV SelbstverwirklichungIV Soziale AnerkennungIII Soziale BeziehungenII SicherheitI Körperliche Bedürfnisse
Stefan Schumacher Social Engineering SLAC2016 63 / 111
MotivationBedürfnishierarchie nach Maslow (2002)
Begründer der Humanistischen Psychologie (mit Rogers/Fromm)
Stufe BedürfnisV SelbstverwirklichungIV Soziale AnerkennungIII Soziale BeziehungenII SicherheitI Körperliche Bedürfnisse
Stefan Schumacher Social Engineering SLAC2016 63 / 111
MotivationZwei-Faktoren-Theorie nach Herzberg
Zufriedenheit und Unzufriedenheit als unabhängige DimensionenUnzufriedenheit wird durch extrinsische Faktoren begünstigtStatus, Entlassungsdruck, Beziehung zu Vorgesetzten undKollegenZufriedenheit nur durch intrinsische Faktoren begünstigtErfolgserlebnisse, Anerkennung, Verantwortung
Stefan Schumacher Social Engineering SLAC2016 64 / 111
MotivationMotivation vs. Manipulation
Bei Manipulationen werden nur die Bedürfnisse desManipulierenden befriedigt, während die Bedürfnisse desManipulierten außer acht gelassen werden. Am Ende ist nur derManipulierende zufrieden.Das Kriterium optimaler Motivation ist, daß beide Parteienhinterher zufrieden sind (da die Bedürfnisse beider befriedigtwurden).
Stefan Schumacher Social Engineering SLAC2016 65 / 111
Motivationintrinsisch/extrinsisch
intrinsische Motivation aus der Tätigkeit selbstextrinsische Motivation von außen (Belohnung/Bestrafung)Überrechtfertigungseffekt externe Motivation untergräbt vorhandene
intrinsische Motivation
Stefan Schumacher Social Engineering SLAC2016 66 / 111
Motivationintrinsisch/extrinsisch
intrinsische Motivation aus der Tätigkeit selbstextrinsische Motivation von außen (Belohnung/Bestrafung)Überrechtfertigungseffekt externe Motivation untergräbt vorhandene
intrinsische Motivation
Stefan Schumacher Social Engineering SLAC2016 66 / 111
MotivationGrundlagen
Optimal kommunizieren heißt: den anderen richtig motivierenJemanden motivieren heißt, jemanden dazu zu bewegen, ein vonmir gewünschtes Verhalten an den Tag zu legen.Jemanden motivieren heißt: jemanden veranlassen, ein altesVerhaltensmuster zugunsten eines neuen aufzugeben.Ich motiviere jemanden, indem ich eines seiner unbefriedigtenBedürfnisse anspreche und ihm zeige, durch welches Verhalten erdieses befriedigen kann.Je besser der andere sich die Zielsituation vorstellen kann, destomotivierter wird er.
Stefan Schumacher Social Engineering SLAC2016 67 / 111
MotivationGrundlagen
Don’t sell the steak – sell the sizzle
Stefan Schumacher Social Engineering SLAC2016 68 / 111
MotivationVorgehensweise
Nur momentanes Verhalten kann sofort beeinflußt werden.Jedes regelmäßige Verhalten ist durch Lernprozesse entstanden.Jede Änderung von regelmäßigem Verhalten bedarf eines neuenLernprozesses.Jeder Lernprozess braucht Zeit.
Stefan Schumacher Social Engineering SLAC2016 69 / 111
Veränderungen in Organisationen durchsetzenPromotoren-Modell
DefinitionPromotoren ergreifen die Initiative und fördern Innovationen aktiv undintensiv. Die Aktivitäten von Promotoren sind von ihrer Persönlichkeit,vom Motivationspotenzial der Innovation und der Promotorenrollevorbestimmt.
WITTE, Eberhard:Organisation für Innovationsentscheidungen - DasPromotoren-Modell.Göttingen : Schwartz, 1973.
Stefan Schumacher Social Engineering SLAC2016 70 / 111
Veränderungen in Organisationen durchsetzenPromotoren-Modell
Fachpromotor überwindet Fähigkeitsbarrieren (Nicht-Wissen) durchobjektspezifisches Fachwissen
IdeengenerierungAlternativentwicklungKonzeptevaluierungInformationsbereitstellung
Machtpromotor überwindet Willens- und Hierarchiebarrieren(Nicht-Wollen) durch hierarchisches Potenzial
ZieldefinitionRessourcenbereitstellungSchutz vor OpponentenProzesssteuerung
Stefan Schumacher Social Engineering SLAC2016 71 / 111
Veränderungen in Organisationen durchsetzenPromotoren-Modell
Fachpromotor überwindet Fähigkeitsbarrieren (Nicht-Wissen) durchobjektspezifisches Fachwissen
IdeengenerierungAlternativentwicklungKonzeptevaluierungInformationsbereitstellung
Machtpromotor überwindet Willens- und Hierarchiebarrieren(Nicht-Wollen) durch hierarchisches Potenzial
ZieldefinitionRessourcenbereitstellungSchutz vor OpponentenProzesssteuerung
Stefan Schumacher Social Engineering SLAC2016 71 / 111
Veränderungen in Organisationen durchsetzenPromotoren-Modell
Prozesspromotor überwindet Fähigkeits- und Abhängigkeitsbarrieren(Nicht-Dürfen) durch Organisationskenntnis undKommunikationsfähigkeit
ZusammenführungVermittlung/KonfliktmanagementProzesssteuerung/-koordination
Beziehungspromotor überwindet fachübergreifende Fähigkeits- undAbhängigkeitsbarrieren (Nicht-Miteinander-Wollen/-Können/-Dürfen) durch soziale Kompetenzen,Netzwerkwissen und Beziehungen (Vitamin B)
InformationsaustauschKonfliktmanagementSteuerung von AustauschprozessenInteraktionspartner zusammenbringen
Stefan Schumacher Social Engineering SLAC2016 72 / 111
Veränderungen in Organisationen durchsetzenPromotoren-Modell
Prozesspromotor überwindet Fähigkeits- und Abhängigkeitsbarrieren(Nicht-Dürfen) durch Organisationskenntnis undKommunikationsfähigkeit
ZusammenführungVermittlung/KonfliktmanagementProzesssteuerung/-koordination
Beziehungspromotor überwindet fachübergreifende Fähigkeits- undAbhängigkeitsbarrieren (Nicht-Miteinander-Wollen/-Können/-Dürfen) durch soziale Kompetenzen,Netzwerkwissen und Beziehungen (Vitamin B)
InformationsaustauschKonfliktmanagementSteuerung von AustauschprozessenInteraktionspartner zusammenbringen
Stefan Schumacher Social Engineering SLAC2016 72 / 111
Veränderungen in Organisationen durchsetzenPromotoren-Modell
Technologischer Gatekeeper überwindet Wissensbarrieren durchZugang zu fachspezifischen Informationen und dieKontrolle der Informationsflüsse
ExpertenwissenMeinungsführerschaftKontaktvermittlunginterpretiert fachspezifische Informationen
Stefan Schumacher Social Engineering SLAC2016 73 / 111
Table of Contents
7 Einführung/Motivation
8 Psychologie
9 Veränderungen in Organisationen
10 Motivation
11 Sicherheitsrichtlinie
Stefan Schumacher Social Engineering SLAC2016 74 / 111
SicherheitsrichtlinieWozu?
Organisatorische Richtschnur (Zielvorgaben)soll kopfloses Vorgehen verhindernZiele festlegen und klar kommunizierenVerantwortliche festlegenAnsprechpartner und Meldewege festlegenBenutzer müssen sicherheitskonformes Vorgehen erlernenSie wissen nicht was ein sicherers Passwort ist und es interessiertsie auch nicht so ohne weiteres!
Stefan Schumacher Social Engineering SLAC2016 75 / 111
Teil III
Beispiel: Sichere Passwörter
Stefan Schumacher Social Engineering SLAC2016 76 / 111
Table of Contents
12 Live-Hacking
13 Passwörter
Stefan Schumacher Social Engineering SLAC2016 77 / 111
Live-Hacking
Wie lange brauche ich um einen Rechner zu hacken?Was muss ich dazu wissen und können?Welche Software benötige ich?
Metasploit-DemoIch stehle die Passwort-Datei ...
Stefan Schumacher Social Engineering SLAC2016 78 / 111
Table of Contents
12 Live-Hacking
13 Passwörter
Stefan Schumacher Social Engineering SLAC2016 79 / 111
Passwörter
werden gehasht gespeichertHash := mathematische EinwegfunktionPasswort Hash: einfachHash Passwort: schwer
Magdeburg 59aceadf846f772736c4b40eee7b155dmagdeburg 7712722364ae231b5f777bac5dd2eb80MagdeBurg eadfc761160224295a58847eee4cbdfcMagdeburger 0c52463fc68f157a5756cdde4adf762dMagdeburgerin 68a783bebaf27a448481d5341b77b4f9
Stefan Schumacher Social Engineering SLAC2016 80 / 111
Wörterbuchangriffefröhliches Passwortraten: alle Kombinationen probieren
Kombinationen = Alphabet ˆ Länge
Stefan Schumacher Social Engineering SLAC2016 81 / 111
26 Buchstaben (a-z), 5 Stellen: 265 = 11.881.376aaaaa aaaba aaaca ... zzzya zzzzaaaaab aaabb aaacb ... zzzyb zzzzbaaaac aaabc aaacc ... zzzyc zzzzcaaaad aaabd aaacd ... zzzyd zzzzdaaaae aaabe aaace ... zzzye zzzze
...aaaav aaabv aaacv ... zzzyv zzzzvaaaaw aaabw aaacw ... zzzyw zzzzwaaaax aaabx aaacx ... zzzyx zzzzxaaaay aaaby aaacy ... zzzyy zzzzyaaaaz aaabz aaacz ... zzzyz zzzzz
Stefan Schumacher Social Engineering SLAC2016 82 / 111
WörterbuchangriffeKombinatorik
9910 = 90.438.207.500.880.449.0019915 = 860.058.354.641.288.524.893.953.951.4999920 = 8.179.069.375.972.308.708.891.986.605.443.361.898.001Annahme: 5 Passwörter pro Sekunde 432000 pro Tag
265
432.000 = 27,5 Tage
(9910/432.000)/365000 ≈ 570 Millionen Jahrtausende
Annahme: 5.000 Passwörter pro Sekunde 432.000.000 pro Tag265
432.000.000 ≈ 40 Minuten
(9910/432.000.55)/365000 ≈ 570 Tausend Jahrtausende
Stefan Schumacher Social Engineering SLAC2016 83 / 111
WörterbuchangriffeKombinatorik
9910 = 90.438.207.500.880.449.0019915 = 860.058.354.641.288.524.893.953.951.4999920 = 8.179.069.375.972.308.708.891.986.605.443.361.898.001Annahme: 5 Passwörter pro Sekunde 432000 pro Tag
265
432.000 = 27,5 Tage
(9910/432.000)/365000 ≈ 570 Millionen JahrtausendeAnnahme: 5.000 Passwörter pro Sekunde 432.000.000 pro Tag
265
432.000.000 ≈ 40 Minuten
(9910/432.000.55)/365000 ≈ 570 Tausend Jahrtausende
Stefan Schumacher Social Engineering SLAC2016 83 / 111
WörterbuchangriffeKombinatorik
9910 = 90.438.207.500.880.449.0019915 = 860.058.354.641.288.524.893.953.951.4999920 = 8.179.069.375.972.308.708.891.986.605.443.361.898.001Annahme: 5 Passwörter pro Sekunde 432000 pro Tag
265
432.000 = 27,5 Tage
(9910/432.000)/365000 ≈ 570 Millionen JahrtausendeAnnahme: 5.000 Passwörter pro Sekunde 432.000.000 pro Tag
265
432.000.000 ≈ 40 Minuten
(9910/432.000.55)/365000 ≈ 570 Tausend Jahrtausende
Stefan Schumacher Social Engineering SLAC2016 83 / 111
Stratfor-Demo
Stratfor-Demo
Stefan Schumacher Social Engineering SLAC2016 84 / 111
Wörterbuchangriffe
Thomas Roth, 2010lässte alle 1-6 stelligen Passwörter generierenSHA-1 Hashes berechnennutzt Amazon Cloud GPU ProgrammDauer: 49 Minuten, Kosten 2,1$/h
Stefan Schumacher Social Engineering SLAC2016 85 / 111
Passwörter raten
beliebte Social-Engineering-MethodePasswortwahl sagt einiges über den Benutzer ausmuss einfach merkbar sein naheliegendes DatumName des Sohnes/Tochter/Ehemann/Hund/Katze/Maus ...Postleitzahl, KFZ-Kennzeichen, Hochzeitstag, Geburtstagleicht herausfindbar (Pers-Akte, Lohnsteuerkarte, Blog,Homepage)Daher absolut verboten!
Stefan Schumacher Social Engineering SLAC2016 86 / 111
Passwörter raten
beliebte Social-Engineering-MethodePasswortwahl sagt einiges über den Benutzer ausmuss einfach merkbar sein naheliegendes DatumName des Sohnes/Tochter/Ehemann/Hund/Katze/Maus ...Postleitzahl, KFZ-Kennzeichen, Hochzeitstag, Geburtstagleicht herausfindbar (Pers-Akte, Lohnsteuerkarte, Blog,Homepage)Daher absolut verboten!
Stefan Schumacher Social Engineering SLAC2016 86 / 111
Passwörter recyclen?
mehrere Passwörter nötig RecyclingWebforen etc. werden oft angegriffenIst das Webforum vertrauenswürdig?Technisch einwandfrei? Oder gar Honeypot?
Auf keinen Fall überall das selbe Passwort verwenden!
Stefan Schumacher Social Engineering SLAC2016 87 / 111
Passwörter recyclen?
mehrere Passwörter nötig RecyclingWebforen etc. werden oft angegriffenIst das Webforum vertrauenswürdig?Technisch einwandfrei? Oder gar Honeypot?
Auf keinen Fall überall das selbe Passwort verwenden!
Stefan Schumacher Social Engineering SLAC2016 87 / 111
Passwortregeln
Verwenden Sie kein Passwort das erraten werden kann!Verwenden Sie kein Passwort das in einem Wörterbuch steht!Verwenden Sie ein langes Passwort mit Groß- undKleinschreibung, Zahlen und Sonderzeichen!Das Passwort muss geheim bleiben!Verwenden Sie nicht überall das selbe Passwort!Wechseln Sie Ihre Passwörter!
Stefan Schumacher Social Engineering SLAC2016 88 / 111
Passwörter von Hand generieren
Einen Satz ausdenken und die Initialen zusammenziehenWem der große Wurf gelungen ,Eines Freundes Freund zu sein.- Friedrich Schiller, 1805
W d g W g , E F F z s . - F S , 1 8 0 5
Leetspeak: D03s Any1 in |-|3r3 5pE4|< 31337?
Dialekte: Vocheljesank in Machteburch;Motschekiebschen
Stefan Schumacher Social Engineering SLAC2016 89 / 111
Passwörter von Hand generieren
Einen Satz ausdenken und die Initialen zusammenziehenWem der große Wurf gelungen ,Eines Freundes Freund zu sein.- Friedrich Schiller, 1805 W d g W g , E F F z s . - F S , 1 8 0 5
Leetspeak: D03s Any1 in |-|3r3 5pE4|< 31337?
Dialekte: Vocheljesank in Machteburch;Motschekiebschen
Stefan Schumacher Social Engineering SLAC2016 89 / 111
Passwörter von Hand generieren
Einen Satz ausdenken und die Initialen zusammenziehenWem der große Wurf gelungen ,Eines Freundes Freund zu sein.- Friedrich Schiller, 1805 W d g W g , E F F z s . - F S , 1 8 0 5
Leetspeak: D03s Any1 in |-|3r3 5pE4|< 31337?
Dialekte: Vocheljesank in Machteburch;Motschekiebschen
Stefan Schumacher Social Engineering SLAC2016 89 / 111
Passwörter von Hand generieren
Einen Satz ausdenken und die Initialen zusammenziehenWem der große Wurf gelungen ,Eines Freundes Freund zu sein.- Friedrich Schiller, 1805 W d g W g , E F F z s . - F S , 1 8 0 5Leetspeak: D03s Any1 in |-|3r3 5pE4|< 31337?
Dialekte: Vocheljesank in Machteburch;Motschekiebschen
Stefan Schumacher Social Engineering SLAC2016 89 / 111
Passwörter von Hand generieren
Einen Satz ausdenken und die Initialen zusammenziehenWem der große Wurf gelungen ,Eines Freundes Freund zu sein.- Friedrich Schiller, 1805 W d g W g , E F F z s . - F S , 1 8 0 5Leetspeak: D03s Any1 in |-|3r3 5pE4|< 31337?
Dialekte: Vocheljesank in Machteburch;Motschekiebschen
Stefan Schumacher Social Engineering SLAC2016 89 / 111
Passwörter von Hand generieren
Einen Satz ausdenken und die Initialen zusammenziehenWem der große Wurf gelungen ,Eines Freundes Freund zu sein.- Friedrich Schiller, 1805 W d g W g , E F F z s . - F S , 1 8 0 5Leetspeak: D03s Any1 in |-|3r3 5pE4|< 31337?
Dialekte: Vocheljesank in Machteburch;Motschekiebschen
Stefan Schumacher Social Engineering SLAC2016 89 / 111
Teil IV
2FA mit Yubikey
Stefan Schumacher Social Engineering SLAC2016 90 / 111
Authentifizierung
Authentifizierung: Nachweis einer bestimmten EigenschaftBsp: Benutzername/Passwort; Anruf/Parole;Person/Personalausweis;Problem: Jeder der Benutzername und Passwort kennt, kann sichals der Benutzer ausgebenschwache Passwörter, schlechte PasswortsicherheitStratfor-Hack: Kundendatenbank gestohlen, Passwörter als MD5gehashtThomas Roth: 1-6 stellige SHA1-Hashes in 50 Minuten/2$ aufAmazon EC2
Stefan Schumacher Social Engineering SLAC2016 91 / 111
Zwei-Faktor-Authentifizierung
Zwei-Faktor-Authentifizierung: Einführung eines 2. Faktors zurAuthentifizierungEinbrechern kann Passwort kennen, benötigt aber 2. Faktor(Token)Schutz vor Shouldersurfing, schwachen Passwörtern, schlechtenDatenbankenSchutz vor Man-in-the-Middle möglich
Stefan Schumacher Social Engineering SLAC2016 92 / 111
Wissen: Passwort, Pin, TANBesitz: Schlüssel, EC-Karte, Token, DateiSein: Fingerabdruck, Iris, Stimme, GesichtKombinationen: Benutzername+Passwort+Token;Benutzername+TAN+Token; Smartcard+TokenNachteile: Token muss mitgeführt werden und kostet Geld
Stefan Schumacher Social Engineering SLAC2016 93 / 111
Wissen: Passwort, Pin, TANBesitz: Schlüssel, EC-Karte, Token, DateiSein: Fingerabdruck, Iris, Stimme, GesichtKombinationen: Benutzername+Passwort+Token;Benutzername+TAN+Token; Smartcard+TokenNachteile: Token muss mitgeführt werden und kostet Geld
Stefan Schumacher Social Engineering SLAC2016 93 / 111
Table of Contents
14 Standards
15 Token
Stefan Schumacher Social Engineering SLAC2016 94 / 111
OATH
Initiative for Open Authentication (OATH)IndustriezusammenschlussMitgliedschaft kostet GeldHOTP: RFC4226TOTP: RFC6238
Stefan Schumacher Social Engineering SLAC2016 95 / 111
FIDO
Industrie-Konsortium mit 200 Mitgliedern, u.a. Google, Paypal,Lenovo, Alibaba, NTT DoCoMo, Samsung, Visa, RSA, Intel, ING,YubicoSpezifikationsrahmen u.a. für Biometrie, Trusted PlatformModules, Smart Cards, NFCAuthentifikation mittels asymmetrischer KryptographieU2F: Universal 2nd Factor, offener Standard für 2FA via USB oderNFCIntegriert in Chrome seit 38, Firefox, Windows 10 und Edge folgen
Stefan Schumacher Social Engineering SLAC2016 96 / 111
Table of Contents
14 Standards
15 Token
Stefan Schumacher Social Engineering SLAC2016 97 / 111
Stefan Schumacher Social Engineering SLAC2016 98 / 111
Yubikey Token
Yubikey Neo: 55e, USB+NFC, OTP, PIV, OpenPGP (2048bit), U2FYubikey 4: 48e, USB, OTP, PIV, OpenPGP (4096bit), U2F,PKCS#11Yubikey 4 Nano: 60eFIDO U2F Security Key: 17e, nur U2FPlug-up U2F: 5eYubikey Neo/4: 2 Slots, müssen programmiert werden
Stefan Schumacher Social Engineering SLAC2016 99 / 111
Fähigkeiten
Public-Key-basiertes Challenge-Response ProtokollPhishing und MitM-Schutzapplikationsspezifische Schlüssel,Erkennung geklonter TokenBeglaubigung von Token
Stefan Schumacher Social Engineering SLAC2016 100 / 111
One Time Passwort (OTP)
Passwort, welches nur einmal gültig istverfällt nach (missglücktem) Login-Vorgangpassives Mithören, Replay-Attacken nicht möglichMitMA können funktionierenAlice und Bob müssen das gültige OTP kennenKennwortliste oder Kennwortgenerator
Stefan Schumacher Social Engineering SLAC2016 101 / 111
One Time Passwort (OTP)Kennwortgeneratoren
übertragen das Ergebnis eines AlgorithmusZeitgesteuerte Generatorenwohldefiniertes Zeitintervall, Uhren müssen synchron seinEreignisgesteuerte GeneratorenEreignis löst Kennwortgenerator aus, keine Uhr/Strom nötig, OTPkann theoretisch ∞ gültig bleibenChallenge-Response-gesteuerte GeneratorenClient berechnet OTP basierend auf Challenge, Challenge sollteZufallsgeneriert seinHOTP: HMAC-SHA1 via Zähler und Seed, SHA1 + Key +Message +XOR (definierte Werte)
Stefan Schumacher Social Engineering SLAC2016 102 / 111
U2F Login
Login auf Google.comBenutzername und Passwort eingebenwenn Passwort korrekt, Token einstecken (oder SMS)Kontaktschalter drückenToken authentifiziert sich via U2F ServerGoogle akzeptiert Login wenn der Token eingetragen istBrowser kann per Cookie aktiviert bleiben
Stefan Schumacher Social Engineering SLAC2016 103 / 111
U2F Schema
Token hat kpriv und sendet kpub an Relying Party (RP)Schlüsselpaar wird im Token generiert, kann nicht manipuliertwerdenBrowser kompiliert Informationen (URI, TLS Channel ID) überHTTP-VerbindungToken signiert diese Informationen und schickt sie an RP
Stefan Schumacher Social Engineering SLAC2016 104 / 111
U2F Schema
Token generiert neues Schlüsselpaar mit App ID und Key Handlefür jede Registrierung RP weiß nicht, dass Alice und Bob dasselbe Token nutzenAuthentifikationszähler inkrementiert bei jeder Authentifizierung,RP vergleicht Zähler mit gespeichertem Stand ZT > ZRPBeglaubigungs-Zertifikat kann vom Hersteller ausgefüllt und aufToken gespeichert werden RP kann nur bestimmte Tokenzulassen (z.B. Yubikey ja, RSA nein, oder spezielle Yubikeys)
Stefan Schumacher Social Engineering SLAC2016 105 / 111
U2F Unterstützung
Google, Dropbox, Github, PAM,Wordpress, Django, Ruby on RailsOpenSSH, Login, OpenVPN, FreeRADIUS via PAMLastPass, Dashlane, Password Safe, Passpack, Password Tote,pwSafe, KeePass
Stefan Schumacher Social Engineering SLAC2016 106 / 111
U2F Unterstützung
Google, Dropbox, Github, PAM,Wordpress, Django, Ruby on RailsOpenSSH, Login, OpenVPN, FreeRADIUS via PAMLastPass, Dashlane, Password Safe, Passpack, Password Tote,pwSafe, KeePass
Stefan Schumacher Social Engineering SLAC2016 106 / 111
Google einrichten
1 Mein Konto,2 Anmeldung und Sicherheit3 Bestätigung in zwei Schritten4 Sicherheitsschlüssel5 Unter Bestätigungscodes: Handy registrieren und SMS einrichten
oder Google Authenticator App einrichten6 Zusätzlich: Ersatzcodes einrichten (TAN-Liste), ausdrucken und
wegschließen
Stefan Schumacher Social Engineering SLAC2016 107 / 111
Web.de unterstützt U2F nicht
OATH-HOTP im Yubikey Personalization Tool einrichten, SecretKey generierenKeePass installieren und einrichten, Plugin OtpKeyProvinstallieren, Secret Key hinterlegensicheres Passwort für Keepass vergebenZufallspasswort (256HEX Bit) generieren und bei Web.deeintragen09137f0ac6627f9e94e2af2342d2610bf20ff0ee929114d27b3629e3823e11ea
KeePass mit dem Webbrowser via Plugin verbindenKeePass-Datenbank mit Passwort und Token entschlüsseln,Browser holt User/Passwort für Web.de via Plugin aus DB.
Stefan Schumacher Social Engineering SLAC2016 108 / 111
Yubico für eigene Dienste
Plugins existieren u.a. für Wordpress, Django etc.PAM-Modul (yubico-pam kann eingebunden werdenYubikey-Server existiert als Paket, YubiHSM alsHardwareerweiterungOnline-Validierung via YubiCloud oder eigenemValidierungsserverseit 2.6 Offline-Validierung dank HMAC-SHA1Challenge-ResponsePAM-Modul installieren und konfigurieren,Conf-Datei landet in $HOME, Obacht bei ECryptFSSSH (Passwort + Token) per PAMOpenVPN und Radius via PAM
Stefan Schumacher Social Engineering SLAC2016 109 / 111
yubikey-luks
System verschlüsselt installieren, mit sehr langem ZufallspasswortDas Zufallspasswort bleibt immer aktiviert, LUKS kann auch ohneYubikey eingebunden werdencryptsetup luksDump /dev/sda2 Keyslots anzeigen lassenstandardmäßig gibt es 7 Keyslots 7 Passwörter für ein LUKSppa:yubico/stable undppa:privacyidea/privacyidea-dev installierenykpersonalize -2 -ochal-resp -ochal-hmac-ohmac-lt64 -oserial-api-visible
Challenge-Response Authentifikation mit HMAC-SHA1 aktivierencryptsetup luksAddKey -key-slot 7 /dev/sda2
yubikey-luks-enroll -d /dev/sda5 -s 7 -c - neuesPasswort für LUKS + Yubikey vergeben
Stefan Schumacher Social Engineering SLAC2016 110 / 111
sicherheitsforschung-magdeburg.de
stefan.schumacher@sicherheitsforschung-magdeburg.de9475 1687 4218 026F 6ACF 89EE 8B63 6058 D015 B8EFsicherheitsforschung-magdeburg.de/publikationen/journal.html
youtube.de/Sicherheitsforschung
Twitter: 0xKaishakuninXing: Stefan SchumacherZRTP: 0xKaishakunin@ostel.co
Stefan Schumacher Social Engineering SLAC2016 111 / 111
Recommended