Cyber Underground

St.Galler Tagung

Information Security Society Switzerland 1

St.Galler Tagung29. April 2010, St.Gallen

Ivan BütlerE1Compass Security AGVorstand ISSS

Know your Enemy – behind you

Information Security Society Switzerland 2ISSS2010XZ643293

Know your Enemy – in front of you

Information Security Society Switzerland 3ISSS2010XZ643293

There are threats

ahead of us

Willkommen� Penetration Testing & Forensics� Hacking-Lab Security Portal� Security Research

Compass Security AGAbout E1

Information Security Society Switzerland 4ISSS2010XZ643293

LehrauftragHochschule für Technik (HSR)Hochschule Rapperswil (HSLU)

Speaker ReferencesBlackHat 2008ITU Warsaw 2009Swiss IT Leadership Forum 2009

BesonderesSwiss Cyber Storm III Mai 2011Vorstand ISSS (seit 2 Monate)

www.hacking-lab.com

Remote Sec LabForum / Chat / Knowledge SharingVulnerability Research

Information Security Society Switzerland 5ISSS2010XZ643293

Direkte Attacken� Web Server Hacking – VPN Zugänge – Internet Angriffe� Denial of Service – Distributed Denial of Service, Spam

BLOCKED

Information Security Society Switzerland 6ISSS2010XZ643293

PASSED

BLOCKED

Indirekte Attacken� Malware – Mobile Devices – W-LAN� Drive-by Infection – Client Attack

Information Security Society Switzerland 7ISSS2010XZ643293

PASSED

USB Stick Angriff – MELANI Report� Covert Channel & Inside-Out

Trojaner Lieferung auf USB Stick

Information Security Society Switzerland 8ISSS2010XZ643293

InternetCompany Network

Start via Auto-Start

Angreifer überwacht das Opfer

WAS gibt es zu kaufen?�Cyber Crime Produkte

Information Security Society Switzerland 9ISSS2010XZ643293

� Hacker-Werkzeuge Hacker-Services Illegale Güter „Rent a BotNet“„Spam the World“

WER sind die Angreifer?Privat: Profilierung;

Erfolge im Internet darstellen (www.zone-h.org)Webseiten verändern (Website Defacement)Politische Propaganda

Wirtschaft: Monetäre Interessen;

Bereicherung, Wettbewerbsvorteil

Information Security Society Switzerland 10ISSS2010XZ643293

Bereicherung, WettbewerbsvorteilHacking ist ein Business Case, Follows Money RulesHandel von Informationen und Gütern

Staat: Geheimdienste;Aufklärung, Bedrohung kritischer Infrastrukturen. Terrorbedrohungen. Nachrichtendienst im In- bzw. Ausland

Joy Rider – www.zone-h.org„Hacking for Fun und die Ehre“

Information Security Society Switzerland 11ISSS2010XZ643293

Cyber Market „Ghostmarket.net“Cyber Market PlaceSell & Buy

Information Security Society Switzerland 12ISSS2010XZ643293

5000 Unexpired/Valid CC / Dumps $2000

Money Rule: Wie kann man die Ware zahlen?

Payment mit Liberty Reserve

Information Security Society Switzerland 13ISSS2010XZ643293

Beispiel Credit Card BezahlungMoney Rule: Veräusserung Ware

� Dumps Gestohlene Kreditkarten� Carders Lieferanten von “Dumps”� Carding Benützung von Dumps� WU Western Union� WMZ Web Money

Information Security Society Switzerland 14ISSS2010XZ643293

� WU Western Union� WMZ Web Money� WU Western Union� LR Liberty Reserve� CVVs Card Verification Value� Drops Wiederversand Standort (remailing location)� Rippers Service, der die CVV verifiziert

Was ist Liberty Reserve?

� -> Internet Währung (anonym)

Information Security Society Switzerland 15ISSS2010XZ643293

Liberty Reserve als E-Währung

� Käufer/Verkäufer brauchen ein LR Konto!� Dann kann man Business betreiben� LR Konto ist anonym

Information Security Society Switzerland 16ISSS2010XZ643293

Anonym Anonym

Liberty Reserve setzt „Exchanger“ voraus

� Reales Geld wird über Exchanger auf LR Konto überwiesen

� Kein direktes „Einzahlen“ auf LR Konto möglich� Es gibt ca. 100 Exchanger Firmen

Information Security Society Switzerland 17ISSS2010XZ643293

Persönlich

Woher kommt die Anonymität?� Konto bei Liberty Reserve (LR) ist anonym�Eröffnung des Kontos durch Angabe einer E-

Mail möglich�Kaufen/Verkaufen ist anonym

Konto bei „Exchanger“ ist persönlich

Information Security Society Switzerland 18ISSS2010XZ643293

Konto bei „Exchanger“ ist persönlich�Bei der Eröffnung des Konto wird ein Ausweis

verlangt

Realisierung „Gewinn“

-> Überweisung LR Konto auf CHF Konto

Information Security Society Switzerland 19ISSS2010XZ643293

Überweisung des LR Konto auf ein anderes Real-Geld

Konto

US Report Nov. 2008

� China has an active cyber espionage program . Since China’s current cyber operations capability is so advanced, it can engage in forms of cyber

Information Security Society Switzerland 20ISSS2010XZ643293

is so advanced, it can engage in forms of cyber warfare so sophisticated that the United States may be unable to counteract or even detect the efforts. By some estimates, there are 250 hacker groups in China that are tolerated and may even be encouraged by the government to enter and disrupt computer networks

Business Case: Datenklau� http://www.swissinfo.ch/ger/politik_schweiz/Weg_frei_fuer_Kauf_der

_Steuer-CD.html?cid=8236784

Information Security Society Switzerland 21ISSS2010XZ643293

Schlussfolgerungen�Wir sind hochgradig verwundbar gegen Hacker

Angriffe�Wir können professionelle Angriffe nicht

genügend wirksam erkennen und bekämpfen�Der Cyber Underground Markt entwickelt sich

ständig

Information Security Society Switzerland 22ISSS2010XZ643293

ständig�Neues Buzzword: APT (Advanced Persistent

Threat)

Empfehlungen�Stellen Sie den Grundschutz vor Script Kiddies

sicher. � Identifizieren Sie die kritischen Faktoren für

das Überleben des Unternehmen und sichern Sie diese speziell ab, selbst gegen interne Mitarbeiter (weil deren Computer von Hackern

Information Security Society Switzerland 23ISSS2010XZ643293

Mitarbeiter (weil deren Computer von Hackern missbraucht werden könnten)

�Simulieren Sie Hacking Angriffe – Penetration Tests

� Investieren Sie in Security Monitoring – um Angriffe überhaupt erst detektieren zu können –Korrelation der Ereignisse

Vielen Dank für Ihre Aufmerksamkeit

Ivan Bütler

Information Security Society Switzerland 24ISSS2010XZ643293

Ivan Bütler

ivan.buetler@csnc.chwww.csnc.chwww.hacking-lab.com