STP051: Ablauf eines IT-Angriffs

Im zweiten Teil der ursprünglichen Episode #49 spricht Xyrill nun über den tatsächlichen Ablauf einer Attacke. Außerdem geht es um Motivationen und Gegenmaßnahmen.Shownotes [Unser Arbeitsfeld] heißt "Computer-Sicherheit", nicht "Computer-Optimismus". Wir machen uns der schlimmstmöglichen Resultate bewusst, denn auch wenn wir es nicht tun, unsere Gegner werden es auf jeden Fall tun. – Matthew Green über IT-Sicherheit (übersetzt aus dem Englischen) Topologie eines IT-Angriffs auf ein verteiltes System (z.B. das interne Netz eines Unternehmens oder einer Organisation) Erstangriff entweder durch reinen Exploit eines von außen erreichbaren Systemes (z.B. der Firmenwebseite) oder durch Einschleusung eines Exploits mittels Social Engineering (Manipulation von Menschen mit Zugriff auf das System mit dem Ziel, einen Exploit einzuschleusen oder Informationen wie Passwörter auszuschleusen; z.B. Phishing) basierend auf erstem Zugriff in das System dann Privilege Escalation (Verwendung weiterer Exploits, um schrittweise immer weitergehenden Zugriff zu erlangen) und Lateral Movement (Ausnutzung des Zugriffs auf ein Teilsystem, um andere verwundbare Systeme im Netzwerk aufzuspüren und anzugreifen) Welche Ziele kann ein IT-Angriff letztendlich verfolgen? Datendiebstahl: z.B. Spionage, Wirtschaftsspionage, Erpressung mittels Kompromat, Doxing Propaganda: z.B. Verbreitung von Desinformation und Fake-News durch gekaperte Accounts von Personen des öffentlichen Lebens Datendiebstahl: z.B. Datenbanken von Nutzerdaten (Passwörter, Mail-Adressen, Kontodaten etc.) können für weitere Angriffe und Betrugsversuche vermarktet werden Finanzdiebstahl: z.B. Ausnutzung illegitimen Zugriffs auf Bankkonten, Kreditkarten oder auch Konten in virtuellen Währungen Sabotage: z.B. Ransomware (Infektion durch Virus oder Trojaner, dann evtl. Lateral Movement, dann Verschlüsselung aller erreichbaren Festplatten und Backups, dann Erpressung von Lösegeld) Sabotage: z.B. Stuxnet Was kann man auf der Verteidigerseite machen? keine Sicherheitslücken haben :) Verwendung von sichereren Programmiermethodiken (z.B. moderne Programmiersprachen, die Speicherverwaltungsfehler systematisch verhindern) Einsatz von Sandboxing (siehe STP023) und ander