IT Security DE

In-band (Klassisch):

• Direkte Antwort im HTTP: Angreifer erhalten direkte Rückmeldungen vom Server.
  • Error-based: Löst Datenbankfehler aus, um die Struktur offenzulegen. zB 1=1 in Loginfeld
  • Union-based: Nutzt den UNION-Operator, um Daten aus verschiedenen Tabellen abzurufen.

Inferential (Blind):

• Keine direkte Antwort: Angreifer schließen aus dem Verhalten des Servers auf die Datenbankstruktur, indem sie wahre oder falsche Anfragen stellen.

Out-of-band:

• Weniger häufig: Nutzt spezielle Funktionen des Datenbankservers, um Daten an den Angreifer zu übertragen.

XSS-Basis:

• Bei XSS wird JavaScript in Formulare eingegeben, die der Browser dann ausführt.
• Beispiel: <p><script>alert(0)</script></p> zeigt eine direkte Skriptinjektion.
• HTML unterscheidet nicht zwischen Tags und Text, was zur Ausführung von Skripten führen kann.

XSS-Defense

Sanitize Input: Beseitigen Sie Tags in Benutzereingaben; die Filterung ist komplex.
Nur HTTP-Cookies: Schützt Cookies, verhindert aber nicht die Skriptinjektion.
Content-Security Policy (CSP): Legt sichere JavaScript-Ursprünge fest; nicht standardmäßig, eine Herausforderung für komplexe Sites.

Mechanismus des CSRF-Angriffs:

• Der Angreifer bettet eine Anfrage (z. B. eine Geldüberweisung auf bank.com) in ein Bild oder ein Formular auf attacker.com ein.
• Der Browser des Opfers, der sich bereits bei bank.com authentifiziert hat, sendet die Anfrage mit allen zugehörigen Cookies und lässt sie gegenüber bank.com als legitim erscheinen.

Cookie-Sicherheitsmodell:

• Folgt der Same Origin Policy und konzentriert sich auf die Domäne, nicht auf Port oder Protokoll.
• Alle relevanten Cookies werden mit jeder Anfrage gesendet, was potenzielle Risiken birgt.

Ausnahmen und Risiken:

• Die Navigation zu einem Link (z. B. von attacker.com zu gmail.com) sendet alle Gmail-Cookies, ändert aber den Ursprung in Gmail und blockiert den Zugriff auf attacker.com.

Domänenübergreifende Cookie-Übertragung:

• Erforderlich für Funktionen wie Lesezeichen, externe Links und Schaltflächen für soziale Medien (z. B. Facebook Like).
• Ohne die domänenübergreifende Cookie-Übertragung müssten sich Benutzer jedes Mal anmelden, wenn sie auf einen Link zu einer anderen Domäne klicken.

Web-Sicherheit:

• Unverzichtbar für sichere Webanwendungen
• Komplexe Websites (z. B. Facebook, Gmail) erfordern sorgfältige Technik
• Ziel: Isolierung von Websites innerhalb des Browsers, ähnlich wie bei der Trennung von Unix-Prozessen

Grundlagen der Same Origin Policy:

• Jedem Skript/jeder Ressource wird auf der Grundlage von Protokoll, URL und Port ein Ursprung zugewiesen
• Skripte können nur mit Ressourcen desselben Ursprungs interagieren

Überlegungen zum Netzwerk:

• Sowohl Client als auch Server müssen die Identität des jeweils anderen verifizieren
• Identifizierung zwischen Browser und Server über TLS und Zertifikate
• Server-Client-Identifizierung hauptsächlich über Cookies

Trends:

Datenlecks nach Branchen:

• Finanzsektor: 44% der Datenlecks entstehen durch Fehler.
• Öffentliche Verwaltung: 70% durch Social Engineering (Manipulation von Menschen), 15% durch Fehler wie Fehlkonfiguration und falsche Zustellung.
• Gesundheitswesen: Hauptursache sind Fehler.
• IT-Sektor: 83% der Datenlecks durch Web-Angriffe, Fehler und Systemeinbrüche. Die meisten Fehler sind Fehlkonfigurationen.

Allgemeines:

• 85% der Datenlecks beinhalten menschliches Versagen, entweder durch Manipulation oder Fehler.
• Fehler werden schnell erkannt, oft innerhalb von Stunden oder Tagen, weil die Leute ihre Fehler schnell bemerken.

Trends

• Ransom Denial of Service (RDoS) ist der neue Trend bei DDoS-Angriffen.
• Die COVID-19-Pandemie wurde als Verstärker eingesetzt.
• Cybercrime-as-a-Service wirkt als Verstärker für webbasierte und DoS-Angriffe.
• Traditionelle DDoS-Angriffe verlagern sich in Richtung mobiler Netzwerke und IoT.
• Neue Verstärker und fortgeschrittene Raffinesse für DDoS-Angriffe entstehen.
• DDoS-Kampagnen im Jahr 2021 sind gezielter, vektorübergreifend und hartnäckiger geworden.
• Kleinere Organisationen werden zur Zielscheibe.
• Zunehmende Kombination von webbasierten und DDoS-Angriffen
• Die am häufigsten angegriffenen Sektoren sind Technologie, Telekommunikation und Finanzen. Das Gesundheitswesen ist der kritischste Bereich

Zusammenfassung:

• Volumen-Attacken: Überlasten die Bandbreite.
• Protokoll-Attacken: Überlasten Netzwerkgeräte.
• Applikations-Attacken: Überlasten spezifische Anwendungen.

Stored XSS: tritt auf, wenn ein Angreifer bösartigen Code auf einer Webseite speichert, zum Beispiel durch einen Kommentar oder ein Benutzerprofil. Dieser Code wird dann bei jedem Aufruf der Seite im Browser des Benutzers ausgeführt.S: Der Scrip des Angreifers, wird in einer Anfrage an den Server gesendet

Reflected XSS: wird der bösartige Code in einer URL oder einem Formular übermittelt und direkt zurück an den Benutzer gesendet. Der bösartige Code wird also nur ausgeführt, wenn der Benutzer auf einen speziellen Link klickt oder ein manipuliertes Formular abschickt --> http://example.com/search?q=<script>alert('Hacked!')</script> 

DOM-based XSS: Angreifer platzieren Skripte innerhalb von HTML-Tags, z. B. in einer Forumsnachricht oder in anderen sozialen Medienkanälen

Wie funktioniert Cryptojacking?

Malware-basiertes Cryptojacking: Angreifer nutzen typische Malware-Verbreitungskanäle wie E-Mail-Anhänge, Trojaner oder Drive-by-Downloads, um Geräte zu infizieren.

Webbasiertes Cryptojacking: Ursprünglich baten einige Websites ihre Besucher um die Erlaubnis, ihr Gerät für das Mining zu verwenden, während sie auf der Website waren. Daraus entwickelte sich jedoch das Drive-by-Cryptomining, bei dem Websites oder Anzeigen die Geräte der Besucher ohne deren Zustimmung heimlich zum Mining verwenden.

Website-Hijacking: Angreifer kompromittieren auch legitime Websites, um Kryptomining-Skripte einzubetten und die Geräte der Besucher ohne deren Wissen für das Mining zu verwenden.

Trends

Rekordverdächtige Anzahl von Kryptojacking-Vorfällen im Jahr 2021.

Hauptangriffsvektoren: Malware und webbasiertes Drive-by-Mining.

Desktop-Kryptojacking überwiegt gegenüber browserbasierten Methoden.

Kryptojacking führt den DNS-Verkehr für bösartige Aktivitäten an.

Verlagerung von Bitcoin auf privatere Kryptowährungen wie Monero.

Cloud- und Container-Infrastrukturen werden wegen ihrer Verarbeitungsleistung ins Visier genommen.

Verhaftungen wegen Stromdiebstahls im Zusammenhang mit Krypto-Mining in mehreren Ländern.

Browser- und Anti-Malware-Schutzmaßnahmen gegen Cryptojacking könnten zu einer Verlagerung hin zu mehr Malware-basierten Methoden führen.
 

Viren- und Bedrohungsschutz: Überwachung von Bedrohungen, Durchführung von Scans und Updates

Kontoschutz: bietet Zugriff auf Anmeldeoptionen und Kontoeinstellungen.

App und Brwoser Controll: Aktualisiert die Einstellungen für micrsosft defender smartscreen zum Schutz vor gefährlichen Apps, Dateien, Websites und Downloads.

Empfehlungen:

Aktivieren Sie den integrierten Malware-Schutz; regelmäßige Scans sind bei modernen Betriebssystemen möglicherweise nicht erforderlich.

Halten Sie Malware-Definitionen automatisch auf dem neuesten Stand.

Verwenden Sie offizielle App-Stores für den Download mobiler Anwendungen, um Spyware-Risiken zu vermeiden.

Überprüfen Sie regelmäßig die App-Berechtigungen und entfernen Sie unnötige Berechtigungen für Apps.

Definition

Ransomware ist eine Art von bösartigem Angriff, bei dem Angreifer die Daten eines Unternehmens verschlüsseln und eine Zahlung für die Wiederherstellung des Zugriffs verlangen. In manchen Fällen stehlen die Angreifer auch die Informationen eines Unternehmens und verlangen eine zusätzliche Zahlung als Gegenleistung dafür, dass die Informationen nicht an Behörden, Konkurrenten oder die Öffentlichkeit weitergegeben werden.

Empfehlungen

• Erstellen Sie 3-2-1 Backups von all Ihren Daten.:
• 3 Kopien Ihrer Daten
• 2 Arten von Medien müssen verwendet werden (z. B. Festplatte und USB-Laufwerk oder Cloud-Speicher)
• 1 Kopie muss "offsite" aufbewahrt werden, also nicht zu Hause oder im Büro.
• Installieren Sie Malware-Erkennung (Antivirus, Firewall) für alle Kanäle, einschließlich E-Mail, Web und Anwendungen auf allen anwendbaren Plattformen (Arbeits- und Privatcomputer und mobile Geräte)
• Verwenden Sie E-Mail-Filter (oder Spam-Filter) für bösartige E-Mails und entfernen Sie ausführbare Anhänge.
• Überprüfen Sie regelmäßig die Ergebnisse von Antiviren-Tests.
• Stellen Sie sicher, dass automatische Updates aktiviert sind.
• Laden Sie keine Dateien aus nicht vertrauenswürdigen Quellen herunter.
• Öffnen Sie keine E-Mail-Anhänge aus unbekannten Quellen.
• Überprüfen Sie die Berechtigungen von mobilen Anwendungen.

Trends

Dominanz der Conti- und REvil-Gruppen, wobei Phishing die Hauptverbreitungsmethode ist.

Zunahme von Zero-Day-Exploits und Ransomware-as-a-Service-Modellen.

Verlagerung auf mehrere Erpressungstechniken und Verwendung von Monero für Zahlungen.

Herausforderungen bei der Geldwäsche aufgrund strengerer Krypto-Börsenvorschriften.

Zunehmende Lösegeldforderungen und die indirekte Rolle von Cyberversicherungen bei der Ankurbelung der Ransomware-Wirtschaft.

Password guessing: (versuchen Sie die gängigsten Muster): z. B. 1234, Passwort, Vorname + Geburtstag usw.

Brute-Force-Angriffe (alles erraten)

Passwort-Spraying (Wiederverwendung von durchgesickerten Passwörtern von anderen Konten)

Einige Passwörter können einfach im Internet gefunden werden, z. B. bei GitHub

Das aktuellste MFA-Tool: Das FIDO2-Token (WebAuth-Standard). Ein Gerät, das ein Geheimnis enthält, das es bei der Anmeldung freigibt und das in einigen Fällen Passwörter vollständig ersetzen soll. Neue

Versionen von Android lassen Telefone als FIDO2-Token fungieren.

BEC ist eine raffinierte Unterart von Phishing, die auf Unternehmen abzielt, bei der Angreifer "Social-Engineering-Techniken einsetzen, um sich Zugang zum E-Mail-Konto eines Mitarbeiters oder einer Führungskraft zu verschaffen, um unter betrügerischen Bedingungen Banküberweisungen zu veranlassen".

Beschaffung und Analyse von Informationen aus öffentlich zugänglichen Quellen (Medien, Internet, staatliche Aufzeichnungen, professionelle und akademische Arbeiten, kommerzielle Datenbanken), um nützliche Erkenntnisse zu gewinnen.

Social Engeneering: Menschen manipulieren um an Infrmationen zu kommen oder Aktionen gegen die Sicherheit durchzuführen

Motivation:

• Unbefugter Zugriff
• Diebstahl/ STörung
• Vorbereitungs Schadenssoftware
• Finanzieller Gewinn

Auswirkungen

Digitale Auswirkungen: Bezieht sich auf die technische Ebene, wie beschädigte oder gestohlene Daten und Systeme.

Wirtschaftliche Auswirkungen: Betrifft finanzielle Verluste und nationale Sicherheitsrisiken durch Cyber-Angriffe.

Soziale Auswirkungen: Beschreibt die Effekte auf die Gesellschaft, z.B. durch Störungen wichtiger Systeme wie dem Gesundheitssystem.

Reputationelle Auswirkungen: Betrifft den Ruf und das öffentliche Bild eines Unternehmens oder einer Institution nach einem Vorfall.

Physische Auswirkungen: Umfasst körperliche Verletzungen oder Schäden, die durch Cyber-Angriffe verursacht werden können.

Psychologische Auswirkungen: Bezieht sich auf die emotionalen und mentalen Belastungen, die durch Cyber-Vorfälle verursacht werden.

CYBERSICHERHEIT: Unter Cybersicherheit versteht man Aktivitäten, die notwendig sind, um Netz- und Informationssysteme und andere von Cyberbedrohungen betroffene Personen zu schützen.

Cybersecurity --> Alles was am Internet angeschlossen ist.

IT-Sicherheit --> Interne Server, Drucker, Netzwerkgeräte, Festplatten und weitere Geräte .

Jährlicher Bericht über den Status der CS-Bedrohung und die wichtigsten Trends, die die Bedrohungsakteure nutzen