36C3 Vorspannmusik Engel: Guten Morgen, Linus! Linus Neumann: Guten Morgen, Sebastian! Applaus Ja, es freut mich, dass ihr so zahlreich erschienen seid und auf diesen reißerischen Titel reingefallen seid! Ich möchte ein bisschen über menschliche Faktoren der IT-Sicherheit sprech und habe mich für den Titel „Hirne hacken“ entschieden. Der Hintergrund ist, dass wenn man irgendwie von Hackern spricht, sehr häufig so ein bisschen dieser Nimbus gilt, dass es irgendwie so Halbgötter in schwarz sind. Man weiß nicht so genau was die machen, aber die kommen irgendwie da rein und diese Hacker, die sind in meinem Gerät drin und ich weiß auch nicht genau, was die von mir wollen und wie die das gemacht haben. Und die Realität da draußen ist eigentlich sehr anders als die meisten Leute sich das vorstellen. Ich vertrete die These, dass eigentlich jedes praktisch relevante Problem der IT-Sicherheit theoretisch gelöst wurde. Also wir haben jetzt keine … uns fehlt nicht das Wissen, wie wir eine bestimmte Lösung in der IT- Sicherheit machen müssen, aber wir kriegen es irgendwie nicht hin. Denn obwohl wir alles theoretisch gelöst haben, ist die praktische IT-Sicherheit ein einziges Desaster. Und das liegt wahrscheinlich daran, dass wir uns irgendwie so spannende IT-Sicherheitsmechanismen aufbauen und die prüfen wir dann. Ne, da sieht man hier so einen schönen Pfahl und der hält jetzt irgendwie ein Tier gefangen und wenn man sich das in der Realität anschaut, sieht’s eher so aus. unverständliche Sprache des Herrn im Video *jemand im Video singt zum Lied „Einzug der Gladiatoren“ einen etwas anderen Text, der Circus beinhaltet* Linus: Das ist jetzt ’ne kleine Bedrohung und irgendwie stellen wir uns vor, dass das bei den großen Bedrohungen anders wäre. Schauen wir uns an: Wir lesen irgendwie überall von Emotet überall. Hacker komprimitieren Computer, verschlüsseln alle Dateien, fordern dann hohes Lösegeld und Heise haben sehr viel darüber berichtet, bis es sie dann selber erwischt hat. Das heißt, auch die, die es wirklich wissen und wissen müssen und können müssten, sind irgendwie nicht davor gefeit und das finde ich eigentlich ziemlich interessant. Und wenn wir uns mal anschauen, was in der IT- Sicherheitsforschung abgeht, auch hier auf dem Kongress, deswegen habe ich den Vortrag auch hier eingereicht, so die Forschung muss immer echt Avantgarde sein. Das ist irgendwie großen Applaus und Voodoo, und hier noch ein Exploit und haste alles nicht gesehen und Remote Code Execution, während die Realität demgegenüber, also so wie jetzt tatsächliches Cyber da draußen geht, ist ungefähr eher so. Bin ich schon drin oder was? Das heißt, wir leben eigentlich, weil wir das auch als Nerds und Hacker irgendwie interessant finden, in irgendwie dieser Welt, während das was da draußen wirklich an Kriminalität stattfindet, eher so Hütchenspiel ist. Und dieses Hütchenspielproblem lösen wir aber nicht. Und ich glaube, dass das sehr unsinnig ist, sehr schlecht ist, dass wir uns um die Problemfelder, die eigentlich ganz prävalent sind, die überall beobachtet werden – selbst im Heise-Verlag –, dass wir uns um die eigentlich nicht kümmern. Und da machen wir eigentlich seit Jahren keinen Fortschritt. Ich möchte ein bisschen über einfache Scams reden, ein bisschen über Passwortprobleme, ein bisschen über Schadsoftware. Ein Scam, der uns auch im CCC sehr amüsiert hat, ist der Scam, der Chaos-Hacking-Gruppe. Die Chaos- Hacking-Gruppe verschickt E-Mails und sagt den Leuten: Ja, also ich hab irgendwie dein System mit einem Trojaner infiziert und wir sind uns Ihrer intimen Abenteuer im Internet bewusst. Wir wissen, dass Sie Websites für Erwachsene lieben und wir wissen über Ihre Sexsucht Bescheid. Und versuchen dann von den Leuten irgendwie Geld zu erpressen. Geben Bitcoin-Wallet an und, ja, versuchen halt irgendwie, die Leute zu erpressen. Interessanterweise gibt es Leute, die sich dann darüber echt Gedanken machen. Die bestreiten aber immer, dass das … Also das kann eigentlich sein, was die da sagen, ne? Wer geübt ist im Erpressen weiß natürlich: Solang die kein Beweismittel liefern, zahlen wir erstmal nicht. Wenn die Leute dann aber so mit dieser Art und Weise versucht werden, betrogen zu werden und das googlen, dann kommen sie direkt an den Nächsten. Wenn man jetzt die Chaos-CC-Gruppe googelt, dann wird einem auf irgendwelchen Webseiten klargemacht, dass es sich um einen Trojaner handeln würde und man jetzt irgendsoeine nächste Schadsoftware runterladen soll. Also quasi wie man diesen Schaden wieder entfernt. Das heißt, die Leute kommen hier echt vom Regen in die Traufe: Haha, ich wusste, du willst gerne verarscht werden; hier habe ich noch ein bisschen Snake-Oil für dich. Das heißt, die Welt da draußen, für unsere ungeübten Nutzerinnen und Nutzer ist relativ gefährlich. Schauen wir uns mal an, wie das bei den Geübten aussieht: Die Linux-Kernelmailingliste ist vielleicht einigen von euch ein Begriff. Da ist auch vor kurzem mal so eine E-Mail eingegangen. Am 31. Oktober 2018, ist schon etwas her. Da wurde sogar das Passwort angegeben, ja, das ist also so das nächste Level von diesem Scam: Du schreibst einfach irgendsoeinen Passwort-Leak noch mit rein, die Leute kriegen dann Herzrasen, weil ihr Passwort in der E-Mail steht und auch hier wollte jemand eben Bitcoins haben, unter anderem von den Linux-Kernel-Entwicklern. Bitcoin ist ja ganz schön: Man kann ja in die Blockchain schauen und sehen, wieviel die Linux-Kernel-Entwickler da so bezahlt haben. In dem Wallet befinden sich 2,98 Bitcoin. Das sind vor ein paar Tagen noch ungefähr 19000€ gewesen, also soll noch mal einer sagen, mit Linux könnte man keinen Profit machen. Gelächter Applaus Die E-Mail ging natürlich auch noch an sehr viele weitere außer der Linux- Kernelliste, aber ich denke, man sieht hier, man fragt sich eigentlich: Warum machen wir eigentlich den Quatsch, den wir machen, wenn wir so einfach uns Geld überweisen lassen können mit ein paar Spam-Mails?! Geht aber noch weiter: Geld überweisen, Klassiker. Der CEO-Fraud. Großes Team auch – ist eines der großen Szenarien, dem irgendwie mittelständische Unternehmen, größere Unternehmen ausgesetzt sind. Kriegst eine E-Mail, wo dann irgendwie geagt wird: Ey, wir müssen jetzt mal hier die Rechnung bezahlen. Wir müssen das heute erledigen. Meistens sind das dann, also in der einen Schiene sind das dann eher so geringe Beträge, die jetzt vielleicht auch einfach mal durchgehen. Geht aber natürlich auch in einer Nummer schärfer. Alles schon tatsächlich sehr häufig passiert, dass also so eine Geschichte gemacht wird: Ja, der große Deal mit den Chinesen steht irgendwie kurz bevor und du darfst jetzt mit niemandem darüber sprechen, aber du musst jetzt mal ganz kurz 2 Mio. auf die Seychellen überweisen. Und dann machen die Leute das und diese E-Mails arbeiten einfach so ein bisschen mit Autorität, Vertrauen, Eile und Druck und leiten Menschen an, dann das zu tun, was sie eigentlich nicht tun sollten. Das ist auf Anhieb erstmal vielleicht halbwegs witzig, wenn man aber mal mit so einem Menschen spricht, dem das passiert ist, die haben danach echt schwere Krisen, weil sie natürlich wissen, dass das nicht besonders klug war und auch recht schädlich für das Unternehmen und das ist eigentlich dann gar nicht mehr so unterhaltsam. Kommen wir zurück zu unterhaltsamen Sachen: Der Authentisierung. Eine Sache, die vielen Menschen Probleme bereitet, ist ihr Passwort und das Problem ist, dass sie eben auch nur eines haben und dieses sich dann in solchen Sammlungen wie Collection #1-#5 befindet, die ihr natürlich auch – wir alle haben die ja immer dabei und können dort die Passwört nachschlagen, zum Beispiel: 23bonobo42, Tim Pritlove; weiß jeder. Das schöne ist an diesen Listen: Auch wir, die Ahnung davon haben sollten, sind da drin. Wenn man meine E-Mail- Adresse bei haveibeenpwned eingibt – einer Webseite, wo man checken kann, ob eine E-Mail-Adresse in Leaks vorhanden ist, findet man das auch bei mir. So. Kommen später dazu, wie das vielleicht passiert sein könnte. Die Sache, die mich daran so ärgert, ist dass wir eigentlich seit es Computer gibt, dieses Passwortproblem nie so richtig angegangen sind. Wir sagen den Leuten eigentlich: OK, dein Passwort darf nicht zu erraten sein, am besten zufällig, ohne jegliches System. Es soll so lang wie möglich sein, am besten nicht nur ein Wort. Und es muss überall unterschiedlich sein. Und kein Mensch tut das. Ja, wenn man irgendwie … war letztens beim Zahnarzt. Wenn man mit dem redet, der sagt einem auch jedes mal: Ja, du musst aber morgens, mittags, abends Zahnseide, haste nicht gesehen. Jaja, genau, mach du erstmal überall andere Passwört und dann können wir weiterreden, ne? Gelächter Applaus Und ja, das habe ich gemacht so irgendwann habe ich das vor ein paar Jahren auch tatsächlich getan. Ich benutze jetzt einen Passwortmanager. Wissen wir alle, dass das klug und gut ist. Aber ich renne eigentlich seit vielen Jahren um die Welt, erkläre den Leuten von diesen Passwortmanagern. Und die Reaktion ist immer die gleiche: The fuck?! So … Das will ich nicht haben. Ja, und wir haben einfach in dieser Welt nie mehr hingekriegt als den Leuten zu sagen: Benutzt doch einen Passwortmanager. Und dann fragen sie immer: Welchen? Und dann sage ich immer: Ich empfehle keinen. Gelächter Frage ist: Wie kommen die Leute eigentlich an diese ganzen Passwörter? Klar: Die machen entweder irgendwelche Services auf und holen die Passwört dann aus den Datenbanken, wo sie nicht gehasht und gesalted gespeichert wurden, oder sie schicken einfach mal eine E-Mail und fragen nach dem Passwort. Hier ein schönes Beispiel, das ich deshalb ausgewählt habe, weil ich darauf reingefallen bin. Applaus Aaaaah. PayPal möchte mir in einer wichtigen Nachricht mitteilen, dass „unser System einen nicht authorisierten Zugriff auf Ihr PayPal-Konto festgestellt hat. Um Ihre Sicherheit weiterhin vollständig gewährleisten zu können, klicken Sie bitte auf diesen Knopf.“, ja? Und das schöne an solchen Dingern ist immer: Es gibt in der Regel nur einen Knopf. Und das sollte einen eigentlich stutzig machen. Genauso hätte mich stutzig machen sollen, dass da oben erstmal nicht PayPal in der Adresszeile steht, aber ich war irgendwie müde und habe irgendwie da drauf geklickt und jetzt kommt, was mir dann doch noch den Allerwertesten gerettet hat: Mein Passwortmanager konnte mir kein Passwort für diese Seite anbieten. Applaus So. Ich hab jetzt extra rausgenommen, welcher Passwortmanager das ist. Diejenigen, die ihn trotzdem erkennen: Nicht denken, dass ich ihn lobe, weil: Dieser Passwortmanager hat vor kurzem ein Update erfahren und wenn ich das gleiche Spielchen heute mache, dann sagt der: Ich kenne die Seite nicht, aber vielleicht willst du deine Kreditkarte oder deine Adresse eingeben? Herzlichen Dank … So, auf den Passwortmanager kann ich gerne verzichten. Wenn man sich so Phishingseiten anschaut; ich mein, ist jetzt gar kein Hexenwerk. Man nimmt einfach irgendeine Website, kopiert die auf einen anderen Server und programmiert sich dahinter ein kleines Backend, was alle Requests entgegennimmt, die man da so hinschickt. Hier habe ich letztens mal eine sehr schöne bekommen: Das war der Gmail Webmail Login. Aber die haben, ich fand das eigentlich ganz elegant, was sie gemacht haben: Die haben quasi die Domain der E-Mail-Adresse noch als GET-Request mitgesendet und dann in ihrem Quelltext einfach das Favicon zu der Domain auf Google gesucht und dort eingeblendet. Das heißt, wenn ihr da eine andere Domain angebt, dann steht da immer ein anderes Logo, um einfach so diese Seite ein bisschen naheliegender zu machen. Wenn wir uns das anschauen, die Erfolgswahrscheinlichkeit, die solche Massenmails haben, ist enorm gering. Ja? Die ist winzig klein. Diese Mails werden millionenfach versendet, an ganz viele Empfängerinnen und Empfänger und wenn man aber dann auch so viele Mails versendet und in so vielen Spamfiltern hängenbleibt, dann findet man immer noch mal einen, der dann doch noch ein Passwort da einträgt und schon haben wir eine schöne Geschichte. Das ist hier jetzt irgendwie so ein Massenmailding. Ich mein, ihr müsst nur mal in euren Spamfolder reinschauen, da werdet ihr diese E-Mails finden. Blöd ist halt, wenn da mal irgendwann nicht im Spam landen. Wir haben da jetzt so ein bisschen über massenhafte Angriffe gesprochen. Die zielen halt auf die besten von uns ab. Wenn wir das ganze aber mal gezielt machen, spricht man nicht mehr vom Phishing, sondern vom Spearphishing. Und beim Spearphishing sendet man nicht Millionen E-Mails, sondern man sendet eine. Und zwar genau an die Person, von der man das Passwort haben möchte. Und man macht eine Geschichte, die genau zu dieser Person auch passt. Also häufig mache ich das ganz gerne so mit Passwortreset-Mails, ja? Also gibt’s in vielen Unternehmen. Sehr kluge Idee: Alle Mitarbeiter müssen alle 3 Monate die Zahl am Ende ihres Passworts um 1 inkrementieren. Gelächter Applaus Und den E-Mail-Login von den meisten Unternehmen muss man auch nicht besonders fälschen, den habe ich schon einmal fertig. So, wenn man solche Sachen macht, also Spearphishing, haben wir eher so eine Wahrscheinlichkeit von 30%, dass die Zielperson auf die Seite geht, ihr Passwort eingibt. Wenn ich das mit 3 Personen mache, habe ich einen Business Case. Und vor allem habe ich in der Regel keinen Spamfilter, der mir im Weg ist. Ich kann wunderschön einen Mailserver aufsetzen mit minimal anderen Domains, die machen DKIM, die machen alles, was du haben willst. Die haben sogar ein schönes Let’s Encrypt Zertifikat auf ihrer Website. Funktioniert und kommt in der Regel durch. Auf das Problem komme ich nachher noch mal zurück, denn das würde ich sehr gerne lösen. Aber auch beim Verbreiten von Schadsoftware ist das ein beliebtes Pro… oder ein beliebtes Ziel, nicht irgendwie fette 0-Day-Exploits zu verballern, sondern einfach mal den Leuten die Software anzubieten und zu gucken, wie sie die installieren. TRS hat mich da auf einen Tweet aufmerksam gemacht, der ist schon ein paar Jahre alt, aber er ist sehr wahr: „Manchmal fühlt man sich als ITler wie ein Schafhirte. Allerdings sind die Schafe betrunken. Und brennen! Und klicken überall drauf!!“ Applaus Von @Celilander. Ja. Dann habe ich irgendwie letztens mal … wer den Vortrag von Thorsten gesehen hat, sieht dass wir da auch was mit einem Torrent gemacht haben. Da war ich hier bei den Drive-By Exploit Paralympics, wo ich also auf eine Webseite gekommen bin, die mich auch sehr gedrängt hat, irgendetwas zu installieren. Ich müsste ein Update machen, irgendwelche komischen Plug-Ins installieren oder so, ne? Und die Leute machen das! Also es ist regelmäßig, dass irgendwelche Leute bei mir sitzen und sagen: „Ja, hier, ich habe einen Virus.“ – „Ja, wieso? Woher wissen Sie das denn?“ – „Ja, eh … stand da!“ Gelächter Und dann haben die halt irgendwas installiert und dann merkt man so: Dann haben sie gecheckt, dass das wahrscheinlich nicht klug war und dann haben sie am Ende irgendwie 86 Schadsoftwares drauf, die behaupten Schadsoftwares zu entfernen. Übrigens: Genau so wurde auch der Staatstrojaner FinSpy gegen die türkische Opposition eingesetzt. Die haben eine schöne Website gemacht und haben gesagt: Ey guck mal hier, klick mal hier drauf, könnt ihr runterladen. Wie gesagt: Die Analyse hat Thorsten mit Ulf Buermeyer heute morgen schon präsentiert. Da sind wir dann auch schon bei den … Kurzer Applaus für Thorsten! Applaus Da sind wir dann auch schon jetzt bei dem Problem, was seit ungefähr 2016 der Welt Ärger bereitet, nämlich die sogenannte Ransomware. Funktioniert relativ einfach: Man kriegt eine E-Mail. In der E-Mail ist irgendein Anhang, in diesem Beispiel, das haben wir mal 2016 durchgespielt, das war Locky, war’s eine Rechnung. Und wenn ich jetzt diesen Anhang öffne, passiert folgendes. Es meldet sich das wunderschöne Programm Microsoft Word. Johlen Und Microsoft Word hat direkt 2 Warnmeldungen parat. Ihr seht sie dort oben in gelb und rot auf dem Bildschirm. Die rote Warnmeldung ist die, dass es sich um eine nichtlizensierte Version des Programmes handelt. Gelächter Die habt ihr also entweder nicht oder ihr habt sie auch und ihr habt euch schon dran gewöhnt. Gelächter Die gelbe Warnmeldung ist die, die euch davor warnt, dass ihr gerade auf dem Weg seid, euch sehr, sehr in den Fuß zu schießen. Und diese Warnmeldung ist sehr einfach verständlich. Seien sie vorsichtig: Dateien aus dem Internet können Viren beinhalten. Wenn Sie diese Datei nicht bearbeiten müssen, ist es sicherer, in der geschützten Ansicht zu verbleiben. Und in konsistenter Formulierung mit diesem Satz ist daneben ein Knopf, auf dem steht: Bearbeiten aktivieren. Versteht jeder sofort, was da gemeint ist! Gefahrenpotenzial ist sofort klar. Und wir haben wieder genau so wie in dieser PayPal-Phishing-E-Mail den wunderschönen riesigen großen Knopf. Und oben rechts in der Ecke, ganz klein, es versteckt sich ein bisschen. Es flieht vor eurer Aufmerksamkeit. Ist ein klitzekleines graues Kreuzchen. Das wäre der Weg in die Sicherheit. Aber natürlich seid ihr darauf trainiert, diesen Knopf zu drücken, weil diese Warnmeldung kommt schließlich jedes mal, wenn ihr Microsoft Word öffnet, weil irgendwelche Makros sind ja in fast jedem Word-Dokument drin, was in eurem Unternehmen so rumschwirrt. Ist aber nicht schlimm, es geht nämlich weiter. Microsoft Word hat direkt noch eine Warnung für euch: Sicherheitswarnung. Makros wurden deaktiviert. Inhalte aktivieren. Und wir sitzen jetzt also da, in diesem Beispiel Locky, vor einem leeren Blatt Papier. Ein leeres Blatt Papier ganz ohne Inhalt. Alles, wonach es uns durstet, sind Inhalte. Also drücken wir jetzt da auf Inhalte aktivieren. Und ich habe jetzt mal hier auf dem Desktop so ein paar Dateien drapiert, die dort so liegen. Und wenn ich jetzt auf den Knopf drücke, passiert folgendes: Sie sind weg. Das Makro, was in diesem Word-Dokument ist, lädt im … lädt über einen einfachen GET- Request eine EXE-Datei runter und führt in dem Fall Locky aus. Locky rasiert einmal durch die Festplatte, verschlüsselt alle Dateien und wenn er fertig ist, sagt er: Übrigens: Deine Dateien sind jetzt verschlüsselt und wenn Leute verschlüsselt hören, dann sagen die immer: Ja aber kann man das nicht irgendwie entschlüsseln? Deswegen steht hier auch direkt: Nein. Kann man nicht. Es wäre total unsinnig, wenn man Dinge verschlüsseln würde, die man einfach wieder entschlüsseln könnte. Deswegen haben wir das richtig macht. Und da haben die hier so eine schöne Website gehabt und da wurde dann eben erklärt, wohin man wieviel Bitcoin überweisen muss. Locky war da noch relativ großzügig. Die haben die Datenwiederherstellung für 500€ damals gemacht. Locky war so die erste große Ransomware-Welle. Es wurde überall davor gewarnt, Rechnungen zu öffnen, die Bilanzen der Unternehmen hatte das kurzfristig echt verbessert, aber die Bilanzen der Angreifer nicht. Und woraufhin dann weitere E-Mails kursierten, die sahen ungefähr so aus: Hallo, hier ist das Bundeskriminalamt. Passen Sie bitte auf mit Locky. Weil uns immer mehr Leute gefragt haben, wie man sich davor schützt, haben wir einen Ratgeber vorbereitet, wie man sich davor schützt. Den finden Sie im Anhang. Gelächter Applaus Und der ganze Spaß ging wieder von vorne los. Locky war 2016. Wir haben vor kurzem mal einen Blick darauf geworfen, wie das so bei GandCrab aussieht. Das war jetzt eine Ransomware von einer, ja … Ich komme gleich darauf, wo die Jungs herkamen. Von einer Gruppierung, die sich vor kurzem zur Ruhe gesetzt hat mit den Worten, sinngemäß: Wir haben gezeigt, dass man viele Millionen mit kriminiellen Dingen verdienen und sich dann einfach zur Ruhe setzen kann. Und wir ermutigen euch auch, so einen schönen Lebensstil zu pflegen wie wir. Wir sind jetzt erstmal im Ruhestand. Wenn man sich mit denen, wenn man sich quasi bei denen das gleiche durchgemacht hat, landete man auf so einer Seite. Die war sehr schön. Da haben sie erstmal auch einmal mit sehr vielen psychologischen Tricks gearbeitet. Hier oben steht zum Beispiel: Wenn du nicht bezahlst innerhalb von einer Woche, dann verdoppelt sich der Preis. Da haben die sich bei Booking.com abgeguckt. Gelächter Applaus Dann erklären sie wieder: OK, du kannst … es ist verschlüsselt, kriegst du nur von uns zurück. Und dann haben sie einen schönen Service, hier, free decrypt. Du kannst eine Datei dort hinschicken und die entschlüsseln sie dir und schicken sie dir zurück um zu beweisen, dass sie in der Lage sind, die zu entschlüsseln. Ja, die sind also in gewisser Form ehrbare Kaufmänner. Man fixt einen mal an, zeigt, dass man die Dienstleistung erbringen kann. Und die haben auch einen Chat. Die haben hier unten so einen Kundenberatungschat. Gelächter Und wir saßen irgendwie in geselliger Runde mit unserer Windows-VM, die wir jetzt gerade gegandcrabt hatten und haben dann so gedacht: Ach komm ey, jetzt chatten wir mal mit denen. Und haben uns so ein bisschen doof gestellt, so: Hellooo, where can I buy the Bitcoin? Irgendwie so. Und da haben die uns dann irgendwelche Links geschickt, wo wir Bitcoin holen wollen und da haben wir gesagt: Woah, das ist doch irgendwie voll anstrengend, können wir nicht einfach eine SEPA-Überweisung machen? Wir zahlen auch die Gebühren, ist okay. Und dann haben wir so, als uns nichts mehr einfiel, sagte ich zu meinem Kumpel, der daneben saß: Vladimir. Ey, ich sag: Vladimir. Frag die doch mal, ob die russisch können. Konnten sie. Gelächter Und … ja, und … war auf jeden Fall: Na klar! Und interessanterweise haben die auch sofort in kyriliisch geantwortet. Man kann ja russisch auf 2 Arten schreiben. Man sieht uns hier an der deutschen Tastatur und die Jungs mit den kyrillischen Schriftzeichen. Und die waren auf einmal sehr interessiert: Eyyy, du bist Russe?! Wie bist du denn infiziert … wie kann das denn, dass du infiziert wurdest? Gelächter Hier steht doch, du bist in Deutschland! Und dann fragten die irgendwie so: Du bist doch in Deutschland und so. Und dann sagten wir so: Jaja, ich arbeite für Gazprom. Gelächter Die wurden immer freundlicher. Gelächter Und schrieben uns dann diesen folgenden Satz. Den habe ich mal für euch in Google Translate gekippt. Der lautet ungefähr so: Mach bitte ein Photo von deinem Pass. Du kannst gerne die sensiblen Daten mit deinem Finger abdecken. Ich brauche nur einen Beweis, dass du Bürger Russlands bist. Dann stellen wir dir die Daten kostenlos wieder her. Gelächter Applaus Also manchmal ist IT-Sicherheit halt auch einfach nur der richtige Pass, ne? Gelächter Tatsächlich hatte GandCrab Routinen drin, die gecheckt haben, ob die Systeme z. B. russische Zeitzone oder russische Schriftzeichen standardmäßig eingestellt haben, um zu verhindern, dass sie russische Systeme befallen, weil die russische IT-Sicherheitsaußenpolitik ungefähr so lautet: Liebe Hacker. Das Internet. Unendliche Weiten. Ihr könnt darin hacken, wie ihr wollt und wir liefern euch eh nicht aus. Aber wenn ihr in Russland hackt, dann kommt ihr in einen russischen Knast. Und selbst russische Hacker wollen nicht in einen russischen Knast. Deswegen sorgen die dafür, dass sie ihre Landsmänner nicht infizieren. Wahre Patrioten. Der Brian Krebs hat nachher diese Gruppe auch noch enttarnt. Hat einen superinteressanten Artikel darüber geschrieben. War so ein paar Wochen eigentlich, nachdem wir diese kleine, lustige Entdeckung gemacht hatten. Ihr wisst natürlich, grundsätzliches Motto jedes Congress’: Kein Backup, kein Mitleid! Das heißt, ihr müsst natürlich euch gegen solche Angriffe dadurch schützen, dass ihr Backups habt und dann nicht bezahlen müsst. Aber was ich spannend finde ist, dieser Angriff mit den Word-Makros, die funktionieren seit 1999. Da war das Melissa-Virus irgendwie die große Nummer. Makros gab es schon früher in Word, aber ’99 mit Internetverbreitung und so ging das irgendwie ordentlich rund. Und wir sind da keinen einzigen Schritt weitergekommen. Jeden anderen Bug, jedes andere Problem, was wir haben, lösen wir sofort. Dieses halten wir einfach nur aus und tun überhaupt nichts daran. Also habe ich mir überlegt: Gut, dann schauen wir uns mal an: Warum funktionieren diese Angriffe eigentlich? Und dafür gibt’s im Prinzip 2 Erkläransätze, die ich euch vorstellen möchte. Der eine ist eben individualpsychologisch, der andere ist organisationspsychologisch. Daniel Kahnemann hat einen Nobelpreis in Wirtschaftswissenschaften, glaube ich, bekommen, dass er sich darüber Gedanken gemacht hat, wie Menschen denken. „Thinking, Fast and Slow“, großer Bestseller, und so weiter. Der postuliert im Prinzip: Wir haben 2 Systeme in unserem Gehirn. Das erste System arbeitet schnell und intuitiv und automatisch. Also Standardhandlungsabläufe. Ihr müsst nicht nachdenken, wenn ihr zuhause aus der Tür geht und die Wohnung abschließt. Das passiert einfach. Da werden keine Ressourcen des Gehirns drauf verwendet, jetzt nachzudenken: Dreht man den Schlüssel rechts-, linksrum – ist das überhaupt der richtige oder so, ne? Eigentlich sehr faszinierend. Ich habe einen relativ großen Schlüsselbund und ich bin echt fasziniert, wie es meinem Gehirn gelingt, ohne dass ich darüber nachdenke, den richtigen Schlüssel einfach aus der Tasche zu ziehen. Das ist System 1. Und das ist aktiv, primär bei Angst. Wenn wir also schnell handeln müssen – Fluchtreflex und solche Dinge. Oder bei Langeweile, wenn wir wie immer handeln müssen. Und genau diese ganzen Phishingszenarien zielen auf eine dieser beiden Sachen ab: Entweder uns ganz viel Angst zu machen oder einen Ablauf, den wir antrainiert haben und aus Langeweile automatisiert durchführen, auszulösen. Demgegenüber steht das System 2: Das ist langsam, analytisch und dominiert von Vernunft. Und ja. Die Angreifer nutzen natürlich Situationen, in denen sie auf System 1 setzen können. Warum ist das ein Problem? Wenn wir Leuten versuchen, zu erklären, wie sie sich gegen solche Angriffe schützen sollen – guckt darauf, achtet darauf und so weiter –, dann erklären wir das System 2. Und System 2 versteht das auch, genau wie ich verstanden habe, dass ich eigentlich nicht auf irgendwelche PayPal-Scams klicken soll. Aber wenn ich gelangweilt vorm Computer sitze und überlege, wo ich als nächstes hinklicken soll, dann suche ich mir halt den nächsten großen Button und klicke da drauf. Organisationspsychologie finde ich das eigentlich sehr viel interessanter. Warum kümmert sich eigentlich niemand um dieses Problem, ja? Wir begnügen uns damit, unseren IT-Perimeter zu haben, wir bauen da eine Schranke drum. Bauen eine Firewall hier und haste noch gesehen, hier noch irgendein Snake-Oil und so. Und der technische Angriff ist eigentlich ziemlich schwierig, ja? Wenige Menschen können technische Angriffe durchführen. Und unser Schutz dagegen ist enorm gut. Wir haben granular definierte Reife. Wir können messen: wenn du irgendwie dieses oder jenes Checkmark nicht hast, bist du schlecht oder so, ne? Und dann sitzen an dem Computer Administratoren und Angestellte und arbeiten mit diesen Daten. Und die schützen wir irgendwie nicht. Wir machen uns auch gar keine Gedanken darüber, die mal zu härten oder zu pen- testen. Dabei ist der Angriff über Social Engineering viel einfacher und einen Schutz haben wir dem aber nicht gegenüber. Und jetzt tritt der ganz normale Prozess des Risikomanagements ein. Und der sieht ungefähr so aus: Das Risiko wird wahrgenommen, das Risiko wird analysiert und in diesem Fall wird das Risiko dann eben ignoriert. Und so sitzen wir jetzt seit 20 Jahren da, uns fliegt ein Makro nach dem anderen um die Ohren. Die – wie heißt diese Uni da? War das jetzt Göttingen oder Gießen? Rufe aus dem Publikum Göttingen kommt auch noch dran, keine Sorge. Und wenn diese Risiken gemanaget werden, dann muss man sehen: „Management bedeutet, die Verantwortung zu tragen und deshalb alles dafür tun zu müssen, nicht zur Verantwortung gezogen zu werden.“ Und eben auch nicht mehr als das zu tun. Applaus Das heißt, wir versuchen also die Probleme zu lösen, die wir können und die anderen – was kann ich dafür, wenn der Nutzer falsch klickt? Wohin uns das gebracht hat, können wir jetzt eben bei den verschiedenen Unternehmen beobachten. Deswegem habe ich mir gedacht: OK. Wie kann man dieses Problem denn mal lösen? Welche Gegenmaßnahmen sind wie wirksam? Also was funktioniert, um Menschen das abzugewöhnen oder die Wahrscheinlichkeit zu verringern, dass sie auf solche Sachen draufklicken? Und welche UI-/UX-Faktoren machen weniger verwundbar? Weil es gibt ja quasi immer die gleichen Prozesse, die ausgenutzt werden. Und auf der anderen Seite die Optimierungsdimensionen. Einmal die Resistenz: Nicht zu klicken. Und dann in so einem Unternehmenskontext halt: Du musst es melden. Du musst der IT Bescheid sagen, damit die irgendwelche Gegenmaßnahmen ergreifen kann. Ich zeige euch jetzt mal die Ergebnisse von 2 Beispielstudien, die wir in dem Bereich durchgeführt haben. Ich bin sehr bemüht, die so anonymisiert zu haben, also sollte hoffentlich nirgendwo mehr erkennbar sein, mit welchem Unternehmen das war. Das erste war in Asien. Da haben wir das mit 30.000 Personen gemacht. 4 Phishingdurchläufe und es gab so ein Lernvideo, in dem das auch noch mal erklärt wurde. Und wir haben erfasst, wie oft das dann zum Beispiel der IT gemeldet wurde, dass dieser Angriff stattgefunden hat. Und wir haben erfasst, wie oft die Leute auf diese Phsihingnummer reingefallen sind. Und was wir dort eigentlich herausfinden wollten war: Es ging eigentlich darum, wie wir in diesem Unternehmen regelmäßig die Menschen trainieren, dass sie nicht auf solche Sachen draufklicken. Also haben wir uns so einen Versuchsplan gebaut und haben gesagt: OK, welche Kommunikationsmöglichkeiten haben wir? Ja gut, wir können denen E-Mailer schicken. Also Spam vom eigenen Unternehmen. Wir können Poster in den Flur hängen. Wir können beides machen, wir können nichts machen. Wir können außerdem den Leuten so ein Online-Quiz anbieten und die danach ein Quiz machen lassen. Auch da konnten wir den Online-Quiz einmal mit einem Text und einmal mit einem Video – meine Hypothese war: das Video bringt es den Leuten wahrscheinlich besser bei. Und dann haben wir quasi, weil wir genug Leute hatten, eben das alles quasi vollständig permutiert, sodass wir alle Effekte einzeln messen konnten und nachher die Gruppen vergleichen konnten. Dann haben wir sie einmal gephisht und in dem Phishing gab es dann nachher eine Aufklärung. Also wenn die ihr Passwort eingegeben hatten, kam entweder ein Text, der ihnen gesagt hat: Ey, das war jetzt gerade schlecht. Oder ein Video, was ihnen erklärt hat: Das war gerade schlecht. Oder beides: Text und darunter ein Video oder umgekehrt. Und dann haben wir noch mal ein Phishing gemacht. Und jetzt werde ich grün markieren die Dinge, die tatsächlich einen Effekt hatten. Alles was vorne stand, E-Mailer, alles was man den Leuten erklärt. Alles was System 2 anspricht, hat überhaupt keinen Effekt gehabt. Ihr könntet die Leute irgendwelche Quize ausführen lassen und Onlinekurse wie sie wollen. Verdienen einige Unternehmen auch gutes Geld mit. Hat aber keinen Effekt. Was einen Effekt hatte war: Ob die gephisht wurden oder nicht und es war etwas besser, wenn sie ein Video dazu gesehen haben. Und das ist genau deshalb, weil: Wenn sie tatsächlich gephisht werden, dann haben sie eine Lernerfahrung, wenn System 2 aktiv ist. Ja? Das Video war so ein rotes Blinken: Achtung, Gefahr, du hast etwas falsch gemacht. Ich will noch kurz zu dem Ergebnis kommen bei der ersten Erfassung: Wir haben zunächst eine Erfolgsrate von 35% gehabt. 55% haben die E-Mails ignoriert und 10% haben auf der Phishingseite abgebrochen. Also sie haben vielleicht noch mal irgendwie; sind noch mal zur Besinnung gekommen oder so. Und mein damaliger Kollege meinte: Ey, das kann irgendwie gar nicht sein. So, da muss viel mehr gehen. So schlau sind die doch nicht, ne? Gucken wir mal, ob die die E-Mails überhaupt geöffnet haben. Also gelsen haben. Wir hatten nämlich ein kleines Zählpixelchen in der E-Mail und ich konnte quasi feststellen, ob die die E-Mail überhaupt geöffnet haben. Wenn wir die Zahl korrigiert haben und diejenigen rausgenommen haben, die die E-Mail nie zu Gesicht bekommen haben, war die Erfolgswahrscheinlichkeit 55%. Raunen und kurzer Applaus Wir hatten dann noch ein weiteres Problem an der Backe. Weil, wir hatten jetzt an 30.000 Leute eine E-Mail geschrieben und als Absender angegeben, wir wären der IT- Support. Gelächter Es gibt darauf verschiedene Reaktionen. Erstmal haben wir relativ viele E-Mails bekommen, wo die Leute sagten: Ich will ja mein Passwort ändern, aber da kommt immer dieses Video! Gelächter Applaus Und dann hatten wir Leute, die noch Monate später der unsäglichen Praxis nachhingen, wenn sie jemandem eine E-Mail schreiben wollen, dass sie einfach suchen, wann sie das letzte mal von dem eine E-Mail bekommen haben und auf den Thread antworten. Das heißt, wir waren das nächste halbe Jahr damit beschäftigt, IT- Support zu machen. Gelächter Applaus OK, Ergebnis zusammengefasst: Diese ganzen Awarenessmaßnahmen hatten keinen praktisch relevanten Effekt. Die Selbsterfahrung hatte einen starken Lerneffekt. Und der ging teilweise sogar über das Erwartbare hinaus. Leider aber sind die Lerneffekte sehr spezifisch. Das heißt, die Leute lernen, wenn eine Passwort-Reset-E-Mail kommt, darf ich da nicht draufklicken. Wenn du denen aber danach schickst: Gib mal deine Kreditkartennummer an, sagen die: Na klar. Gar kein Problem! Gelächter Und auch das Szenario, ja? Wir haben da nachher noch andere Social-Engineering- Maßnahmen gemacht und es gab jetzt keine abfärbenden Effekt von – Du hast mit denen Phishing bis zum Erbrechen geübt –, dass die jetzt irgendwie bei USB-Sticks irgendwie vorsichtiger wären oder so. Das heißt, das ist relativ unschön. Außerdem sind die Effekte nicht stabil. Das heißt, du hast einen Lerneffekt so in den ersten 3 Monaten und dann nimmt der wieder ab. Das heißt: Nach einiger Zeit, wenn du das nach einem Jahr wieder machst, hast du genau wieder deine 33-55%, die du vorher hattest. Also wir können dieses Problem irgendwie versuchen, niedrig zu halten, aber auf diesem Weg nicht aus der Welt schaffen. So dachte ich. Bis ich dann meine 2. Beispielstudie gemacht habe, die ich euch hier vorstellen möchte. Die war international in mehreren Sprachen – Englisch, Deutsch, Spanisch und 2 weiteren Sprachen –, 2000 Zielpersonen, 4 Durchläufe, Video war ein bisschen länger. Und das erste Ergebnis war; Ich habe erfasst, quasi, wenn die Leute gemeldet haben und die IT dann reagiert hätte, wie viele erfolgreiche Angriffe danach hätten verhindert werden können. Und das interessante ist, dass bei den meisten Standorten fast über 3/4 der weiteren Angriffe, die danach noch passiert sind, hätten verhindert werden können durch eine schnelle Meldung. Das heißt, es ist gut für eine IT, ihre Leute zu ermutigen, sich bei ihr zu melden und irgendwie Bescheid zu geben. Das andere Ergebnis bei diesen Leuten war: Beim ersten Durchlauf hatten die eine Phishingerfolgsrate von 10%. Und ich war etwas ungläubig und habe mich gefragt: Wie kann das denn sein? Ich hatte auch vorher eine bisschen große Fresse gehabt. Und jetzt habe ich gesagt: 30% mache ich euch locker, gar kein Thema! Und dann sind’s jetzt irgendwie 10% da. Und die sagten dann halt auch irgendwie: „Ja, wolltest du nicht mehr?“ Tja, was haben die gemacht? Die hatten 2 Dinge anders als viele andere Unternehmen. Erstens: Die hatten ihre E-Mails mit so einem kleinen Hinweis versehen, der in den Subject reingeschrieben wurde bei eingehenden E-Mails, dass die E-Mails von extern kommt. Und das andere, was in diesem Unternehmen anders war, ist: Die haben ihren Passwortwechsel nicht über das Web abgeildet. Das heißt: Die Situation, in die ich die Menschen da gebracht habe – Ey, hier ist eine Webseite, gib mal dein Passwort ein –, die waren die nicht gewöhnt. Und deswegen sind die aus dem Tritt gekommen, haben auf einmal mit ihrem System 2 arbeiten müssen und haben den Fehler nicht gemacht. Wenn wir uns die Ergebnisse weiter anschauen; ich hatte ja gesagt, es waren 4 Durchläufe. Der 2. und der 4. Durchlauf waren jeweils nur mit denen, die in dem davorgegangenen Durchlauf quasi gephisht wurden. Das heißt, wir haben denen noch mal so eine Härteauffrischung gegeben. Man sieht auch, da gibt’s einige sehr renitente Phish- Klicker. Wir haben dann mal unter kompletter Missachtung sämtlicher datenschutzrechtlichen Vereinbarungen geguckt, wer das war. Und das waren die Funktionsaccounts. Also einfach die, wo das Passwort eh, wo es quasi zum Job gehört, mit einem Post-It das neue Passwort an den Bildschirm zu kleben. Das interessante ist: Wenn wir uns dieses Ergebnis anschauen, also vom 1. zum 2. Durchlauf und so weiter, haben wir insgesamt einen Rückgang um 33% erzielt. Ähh, Tschuldigung, ist falsch! Um 66%, ich Idiot! 66%. 33% blieben über. Also ein Rückgang auf 33%. Das ist eigentlich enorm gut! In der Psychologie glaubt mir das eigentlich kaum jemand, wenn man sagt, ich habe eine Intervention; nach einmaliger Intervention Verhaltensänderung bei 2/3 der Leute. Wenn wir uns das für die Sicherheit unseres Unternehmens anschauen oder unserer Organisation, ist das ein riesiges Desaster, weil die 33% sind ja immer noch ein riesiges Problem für uns. Aber, Zusammenfassung: Durch diesen lokalen Passwortwechsel und den Hinweis „External“ sind die Leute in ungewohnte Situationen gekommen und die Wahrscheinlichkeit, dass sie darauf reinfallen, geht runter. Applaus So, also was haben wir bis jetzt gelernt? Das theoretische Lernen ist ohne Effekt. Es zählt die Erfahrung aus erster Hand. Es gibt abstrakte Verteidigungskonzepte, die verstehen die Leute nun mal einfach nicht. Bisher ist alles, was wir dafür haben, eine anschauliche Didaktik. Die Lerneffekte nehmen mit der Zeit ab, deswegen muss man das regelmäßig wiederholen. Die Lerneffekte werden nicht generalisiert, also müssen wir die Angriffsszenarien variieren. Und wenn die Leute das nicht melden, haben wir ein Problem, deswegen müssen wir sie außerdem ermutigen und belohnen, wenn sie bei der IT anrufen. Für die meisten Organisationen auch eine völlig absurde Idee, wenn jemand bei ihnen anruft, auch noch nett zu denen zu sein. Kurzes Lachen Hat aber durchaus Effekt. So. Wenn wir uns jetzt aber mal diese Situation anschauen, dann ist doch eigentlich unser Ziel zu sagen: OK, dann müssen wir Situationen unserer IT-Systeme so bauen, dass sie dafür nicht anfällig sind, dass wir irgendwelche automatisierten Prozesse lernen, die Sicherheitsprozesse sind. Also vielleicht sollte das User Interface nicht so sein wie diese frische Installationen von macOS Catalina. Sondern anders. Denn: Wir können uns nicht auf System 2 verlassen, aber die meisten Schutzmaßnahmen tun genau das. Also Microsoft Word erklärt einem irgendwas und sagt dann: „Ja, ist doch dein Problem, wenn du nicht verstehst, wovon wir hier reden. Den Rest, der hier passiert, um dich herum an diesem Computer, verstehst du auch nicht. Hier hast du einen Knopf, drück drauf!“ Kurzes Gelächter Ne? So können wir nicht 20 Jahre agieren und sagen, wir kriegen das Problem nicht in den Griff. Es gibt eine Möglichkeit übrigens, dieses Problem mit Microsoft Word in den Griff zu kriegen und das ist: Makros zu deaktivieren. Dann kommt der Geschäftsbetrieb zum Erliegen. Oder Makros zu signieren. Ganz einfaches Code-Signing auf Makros geht, kann man per AD- Gruppenrichtlinie ausrollen. Ich habe mal mit einem IT-Sicherheitsbeauftragten eines etwas größeren Unternehmen gesprochen. Das war eines der wenigen Unternehmen, die das jemals gemacht haben. Also die ich kenne, die das jemals gemacht haben. Der meinte so: „Ja, okay, hat ein Jahr gedauert. Ich habe jetzt weiße Haare und eine Halbglatze. Aber ich bin froh, dass ich das Problem jetzt endlich aus der Welt habe!“ Und das ist der einzige Mensch, der das geschafft hat. In seinem Unternehmen verhasst, ja? Aber er ist eigentlich ein Held! Dem Mann muss man echt danken! Johlen; Applaus Und was wir also machen müssen ist: Wir müssen unser System 1 sichern. Intuitive Handlungen müssen als Teil der Sicherheitsmechanismen antizipiert werden. Also wir dürfen den Nutzern nicht angewöhnen, Passwörter in irgendwelche Browserfenster zu tippen. Wir dürfen Sicherheitsprozesse nicht per Mail oder per Browser abbilden. Und wir können uns auch mal überlegen, ob wir die freie Wahl von Passwörtern vielleicht einfach unterbinden, damit nicht überall passwort123 gesetzt wird. Es wird langsam besser. So, man kann Makros signieren und deaktivieren. Man kann Software langsam einschränken auf aus vertrauenswürdigen Quellen, also aus den App Stores. Ich weiß, da gibt es dann wieder andere politische Probleme. Aber aus einer reinen Sicherheitsperspektive ist das gut, wenn Leute nicht irgendwelche runtergeladenen EXEn aus dem Internet irgendwie anklicken und irgendwelche Makros ausführen. Und mit Fido2 und hardwarebasierten Authentisierungsmechanismen wird es langsam besser. 2-Faktor-Authentisierung hat einen großen Vormarsch. Also, die Welt ist nicht ganz so schlecht wie wir es glauben, aber ich würde mir sehr wünschen, dass wir mit unseren Sicherheitsmechanismen einfach viel mehr auf die Intuititivät setzen, denn wenn wir uns mal irgendwie anschauen, wie diese Browserwarnungen, irgendwie „Achtung, mit dem Zertifikat stimmt was nicht“, ungefähr so, die hat glaube ich, bis sie dann irgendwann weg waren, weil Let’s Encrypt gekommen ist und es einfach mal vernünftige Zertifikate gab, die hat auch niemand verstanden. Und entsprechend haben wir hier auch quasi ein wunderschönes SSL gehabt, was am Ende daran gescheitert ist, dass wir scheiß User Interfaces dafür hatten. Inzwischen ist es so, dass Browser die Verbindung einfach nicht herstellen. Auch das ist ein Zugewinn! Joa. Ich habe schon überzogen, das war’s. Macht bitte eure Backups, wechselt überall eure Passwörter. Ich schicke euch dazu nachher noch mal eine E-Mail und vielen Dank. Gelächter Applaus Engel: So. Das war doch in gewohnter Manier unterhaltsam. Und ich frage mich, wenn Linus’ Zahnarzt jetzt einen Passwortmanager benutzt: Benutzt Linus jetzt zweimal täglich Zahnseide? Linus: Ich habe mir gerade noch die Zähne geseilt! Habe ich tatsächlich! Engel: Also, macht immer schön eure Backups und benutzt Zahnseide! Abspannmusik Untertitel erstellt von c3subtitles.de im Jahr 20??. Mach mit und hilf uns!