Thumbsucking: Potentielle Risiken und Möglichkeiten

Lehrstuhl für Praktische Informatik 1
Prof. Dr. Ing. Felix Freiling
Thumbsucking:
Potentielle Risiken und Möglichkeiten
Felix C. Freiling
Nico Shenawai
Lehrstuhl für Praktische Informatik 1
Universität Mannheim
Gesellschaft für Informatik
Tagung SICHERHEIT 2008
Saarbrücken
2. – 4. April 2008
Lehrstuhl für Praktische Informatik 1
Prof. Dr. Ing. Felix Freiling
1. Einführung
Thumbsucking beschreibt das unbemerkte, meist mit krimineller Absicht
verbundene Laden von sensiblen Daten auf einen Flash-Speicher.
• Begünstigung durch
– den Technologischer Fortschritt
– der wachsenden Vielfalt von portablen Flashspeichern
• Praktisch alle Unternehmen setzen Anti-Virus, Anti-Spam und Firewall-Systeme
ein, aber 78% darunter haben kein Kontrollsystem für portable Speichermedien
(InfoSecurity: UK Survey, 2007)
• Bei 73% der großen Unternehmen portable Datenspeicher zugelassen und
genutzten (Senforce Technologies Inc, 2007)
2008-04-03
Freiling / Shenawai
Folie 2
Lehrstuhl für Praktische Informatik 1
Prof. Dr. Ing. Felix Freiling
2. Bedrohungen
• Identitätsdiebstähle
– Schäden und Kosten US-$ 56,6 Mrd. (für USA)
– 90% Offline
– 47% der Identitätsdiebstähle werden von Menschen verübt, die man kennt.
(The 2006 Identity Fraud Survey Report)
• Wirtschaftsspionage
– Schaden € 2,8 Mrd (für Dtl.)
– Mitarbeiter bewusst oder unbewusst erfolgen

z.B. Großer finanzieller Schaden, Verletzung der Netzwerksicherheit,
Produktivitätseinbußen, Erpressungsversuche …
2008-04-03
Freiling / Shenawai
Folie 3
Lehrstuhl für Praktische Informatik 1
Prof. Dr. Ing. Felix Freiling
3. Experiment: Zielsetzung
 Erstellung eines USB-Thumbsucking-Sticks
möglichst viele sensitive Daten auslesen
• Nebenbedingungen
– Unauffälligkeit
– Schnelligkeit
– Robustheit
– Einfache Anpassbarkeit
• Fokus auf Microsoft Betriebssystemen Windows 2000, Windows XP und
Windows Vista
2008-04-03
Freiling / Shenawai
Folie 4
Lehrstuhl für Praktische Informatik 1
Prof. Dr. Ing. Felix Freiling
3. Experiment: Vorbereitungen
• Kenntnisse zu Autorun
• Kenntnisse zu Windows Stapelverarbeitung
• Tool zum versteckten Starten von Anwendungen
• Vorhandene Tools zum Auslesen von sensitiven Daten aus…
Browser
E-Mail
IM
Netzwerk
• Tools zum Beschreiben von U3-Datenträgern
2008-04-03
Freiling / Shenawai
Folie 5
Lehrstuhl für Praktische Informatik 1
Prof. Dr. Ing. Felix Freiling
3. Experiment: Ablauf mit einem herkömml. USB-Stick
Einstecken
des USB-Sticks
Doppelklick auf
USB-Stick
Thumbsucking
Inhaltsauflistung
Vorgang
des USB-Sticks
im Arbeitsplatz
Versteckter Start der Stapelverarbeitung
Autorunanweisung
2008-04-03
Sammeln von
Speichern der
sensitiven Daten
Ergebnisse
Freiling / Shenawai
Folie 6
Lehrstuhl für Praktische Informatik 1
Prof. Dr. Ing. Felix Freiling
3. Experiment: Ablauf mit Hilfe der U3-Technologie
Einstecken
des USB-Sticks
Doppelklick auf
USB-Stick
Thumbsucking
Inhaltsauflistung
Vorgang
des USB-Sticks
im Arbeitsplatz
Autonomer Autostart durch
U3-Technologie
„U3 ist ein […] entwickelter Software- und Hardwarestandard,
um unter Windows Programme ohne vorherige Installation
auszuführen.“ (Wikipedia, U3 Standard)
Read/Write
Read only
Datenpartition
2008-04-03
Softwarepartition
Freiling / Shenawai
Max. 6 MB
Folie 7
Lehrstuhl für Praktische Informatik 1
Prof. Dr. Ing. Felix Freiling
3. Experiment: Komponenten
Browser
E-Mail
IM
Netzwerk
Gespeicherte
Adressen mit
Kennwörter
Gespeicherte
Server,
Benutzernamen
und Kennwörter
Gespeicherte
Benutzernamen
und Kennwörter
Gespeicherte
Benutzernamen
und Kennwörter
Microsoft Outlook
2000-2007
MSN und
Windows
Messenger
Netzwerkressourcen
Outlook Express
Yahoo Messenger
IncrediMail
ICQ Lite 4.x/2003
Eudora
AOL Instant
Messenger
Firefox
Internetexplorer
Netscape Mail
2008-04-03
WLAN-Keys
Trillian
Mozilla
Thunderbird
Miranda
Group Mail Free
GAIM
Freiling / Shenawai
Windows Dialup
(VPN/RAS,
Interneteinwahl)
Folie 8
Lehrstuhl für Praktische Informatik 1
Prof. Dr. Ing. Felix Freiling
3. Experiment: Ablauf
2008-04-03
Freiling / Shenawai
Folie 9
Lehrstuhl für Praktische Informatik 1
Prof. Dr. Ing. Felix Freiling
3. Experiment: Aufspürbarkeit
• Aufspürbarkeit durch den Benutzer
– Alle Dateien haben die Attribute „System“ und „Versteckt“ erhalten, um einem
flüchtigen Blick, der meisten Normalbenutzer Stand zu halten.
• Aufspürbarkeit durch Antivirenprogramme:
– VirusTotal (Unabhängiges IT Security Labor)
– Untersuchung jedes einzelnen Tools durch 24 gängige Anti-Virus Programme
 Keine Anti-Viren-Software fand alle Tools
 Jedoch fanden 9 Anti-Viren-Anwendungen auch kein einziges Tool
2008-04-03
Freiling / Shenawai
Folie 10
Lehrstuhl für Praktische Informatik 1
Prof. Dr. Ing. Felix Freiling
3. Experiment: Aufspürbarkeit (2)
• Einschränkung auf Firefox, E-Mail, IM und Netzwerk* (*nur Netzwerkressourcen):
Firefox
E-Mail
IM
Netzwerk*
AntiVir
AVG
Authentium
FileAdvisor
Avast
McAfee
ClamAV
Symantec
DrWeb
Sophus
eTrust
BitDefender
F-Prot
Kein Fund
F-Secure
E-Mail
IM
Netzwerk*
Firefox
E-Mail
IM
Netzwerk*
Ewido
eSafe
MS Def.
Normen
Panda
Ikarus
Sunbelt
Kaspersky
TheHacker
Webwasher
Fund
2008-04-03
Firefox
Best-Practice
(VirusTotal, Stand 07/2007)
Freiling / Shenawai
Folie 11
Lehrstuhl für Praktische Informatik 1
Prof. Dr. Ing. Felix Freiling
4. Ergebnisse
• Windows Vista SP2 konnte durch UAC den unbemerkten Zugriff auf
Netzwerkressourcen ohne Virenscannern verhindern
• Nur 3 der 24 gängigen Antiviren-Programme konnten Attacken gegen Browser,
E-Mail, IM und Netzwerkressourcen gänzlich abwehren
• 13 der Antiviren-Programme konnten der Bedrohung durch Thumbsucking
nichts entgegen bringen
– Darunter insb. Privatanwender: AntiVir Personal, Avast, Normen und Panda
• Für Firmenkunden
– McAfee bot keinen Schutz für Browser, IM und Netzwerkressourcen
– Symantec bot keinen Schutz für Browser, E-Mail und Netzwerkressourcen
– Sophus bot keinen Schutz für E-Mail, IM und Netzwerkressourcen
2008-04-03
Freiling / Shenawai
Folie 12
Lehrstuhl für Praktische Informatik 1
Prof. Dr. Ing. Felix Freiling
5. Gegenmaßnahmen
• Unternehmensrichtlinien: Verbot von Flashspeichern
• Deaktivierung von Flashspeicher-Unterstützung (z.B. Gruppenrichtlinien)
• Software-Lösungen (z.B. GFI, devicewall)
• Autorun komplett deaktivieren
2008-04-03
Freiling / Shenawai
Folie 13
Lehrstuhl für Praktische Informatik 1
Prof. Dr. Ing. Felix Freiling
6. Fazit
•
Geringer Aufwand zur Fertigstellung des Thumbsucking-Sticks (90h)
•
Potentiell gefährlicher Thumbsucking -Stick
•
Daten zur Aufspürbarkeit zeigen
– Alleiniger Verlass auf Sicherheitssoftwaresysteme ist nicht ausreichend
– Handlungsbedarf hinsichtlich Mitarbeiterschulung mit dem Umgang von
Speichermedien
2008-04-03
Freiling / Shenawai
Folie 14