slide1
Download
Skip this Video
Download Presentation
thorsten jäger security consultant - international [email protected]

Loading in 2 Seconds...

play fullscreen
1 / 20

Thorsten j ger security consultant - international tjaegerfortinet - PowerPoint PPT Presentation


  • 99 Views
  • Uploaded on

In IPv6 steckt doch der Wurm!. thorsten jäger security consultant - international [email protected] In IPv6 steckt doch der Wurm!. Seit 2004 bei Fortinet Consulting & Engineering EMEA & SEA F.I.A.T. Member seit 2005 Social Network www.xing.de. thorsten jäger

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Thorsten j ger security consultant - international tjaegerfortinet' - nuri


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
slide1

In IPv6 steckt doch der Wurm!

thorsten jäger

security consultant - international

[email protected]

slide2

In IPv6 steckt doch der Wurm!

Seit 2004 bei Fortinet

Consulting & Engineering

EMEA & SEA

F.I.A.T. Member seit 2005

Social Network

www.xing.de

thorsten jäger

security consultant - international

[email protected]

agenda
Agenda

Malware / Schadsoftware.biz

Malware on Steroids

Umgang mit Malware

schadsoftware biz
schadsoftware.biz

Warum gibt es Schadsoftware

Wer verbreitet Schadsoftware

Wie verbreitet sich Schadsoftware

warum
Warum ?
  • Hochprofitabel
  • Geringes Risiko
    • Kein direkter „Objekt“ Kontakt
    • Mobil, sehr attraktiv für Schwellenländer
  • Milliarden Industrie
slide6
Wer ?
  • Geldgierige
  • Kriminelle
  • Geldgierige Kriminelle
    • Polizeiliche Kriminalstatisik 2009
      • Phising +64%
      • „Ausspähen, Abfangen von Daten“ +48%, bei 7% weniger Aufklärungsquote
  • Spionage
slide7
Wie ?
  • Infektion von Hosts über Vektoren
    • Email, http, Web 2.0 und Social Networks, Instant-Messaging, P2P, Adobe PDF, Google-Docs, Voice-over-IP
  • Ausnutzen von Schwachstellen (Exploit)
    • Schwachstellen in der Technik und „Social Exploits“
  • Installation Malware / Schadsoftware
    • Selbstständiges Weiterverbreiten der Schadsoftware
  • Kontrolle über den Hosts (Botnetz)
  • Kommerzialisierung des „Botnetzes“
      • SPAM-Hosts (100.000 Hosts mit je 1.000 emails/std) 100.000.000 SPAMs
      • Ausspähen von KK, Paypal, ebay
      • Weiterversenden von Malware, DDoS Attacken und Erpressung
slide8
Wie ?
  • Marktplätze
    • IRC (IRC v6), ICQ, Websites

Gute Forschungsarbeiten dazu verfügbar

    • „Dirty Money on the Wire“. Guillaume Lovet, FORTINET
    • „Underground Economy“. Thorsten Holz, TU Wien
catch of the day menu
„Catch of the Day“ Menu
  • Sehr guter 0-day Exploit ~500-1000$
    • Guter Exploit 20$
  • Gestohlene Kreditkartennummer mit Code 2$
  • Gestohlene Kreditkartennummer mit PIN 20$. Rabattstufen
  • Baukasten für Trojaner 500-1000$
  • Mietpreis für ein DDoS Botnet (100.000 Zombies) ab 500$/h
  • Mietpreis 1.Mio SPAM mit Malware ca 20$
  • Software as a Service, SaaS.
malware in ipv6 aus alt mach neu
Malware in IPv6 – aus Alt mach Neu

IPv6 Malware

Pimped Malware

Alte Malware

  • Verbreitet sich Protokoll- unabhängig (I LOVE YOU)
  • Virus, Exploit
  • Malware die spezifische IPv6 Eigenschaften nutzt
  • IPv6 Exploits (Stacks oder Parser)
  • IPv6 Erweiterungen in Würmern.
  • Beispiel: ZEUS (https://zeustracker.abuse.ch/)
malware in ipv6 the bad news
Malware in IPv6 – the bad news
  • Bad news
    • Viele Schadsoftware ist schon IPv6 fähig
    • Abhängig vom Vektor
    • Probleme durch „Dual Stack“
  • Bad news
    • Fast jeder Exploit ist IPv6 tauglich
malware in ipv6
Malware in IPv6
  • Bad news
    • Starker Anstieg von SPAM
    • Damit verbunden stärkere Verbreitung von Malware
  • Direkte Erreichbarkeit der Hosts
    • Mehr Gewicht auf Firewall Konfiguration als in der NAT Welt
malware in ipv6 not so bad news
Malware in IPv6 – not so bad news
  • Heute ist kein Wurm aktiv der sichüber IPv6 verbreitet
  • Noch nicht . . . . .
  • Bad news
    • Mit dem Businesscase kommt IPv6 spezifische Malware
for ipv6 only
For IPv6 only
  • Tunnelprotokolle
    • Teredo et al
  • Blacklisting
  • Personal Firewall
  • LAN versus WAN
    • IPv4 zu IPv6
  • Generisch IPsec
  • Stack hickups. OS-Stack, Application-Stack, Parser . . .
for your ipv6 only
For your IPv6 only
  • Von Fast-Flux zu Hyper-Fast-Flux Netzen
  • Home-Router Exploitation

Quelle: abuse.ch. Fastflux Netz

for your ipv6 only lan
For your IPv6 only- LAN
  • Lokaler Service Provider
    • Router Solicitation, Duplicate Address Detection
    • .....
  • Gute Tools zum kreativen Umgang mit IPv6 im LAN
    • THC IPV6 Attack Suite
      • fakerouter6 – sendet neue Router Advts.
      • dos-newipv6 – antwortet auf jede Neighbor Solicitation (DAD)
      • .....
danke 2 128
Danke 2128
  • Brute Detection / Scanning von Hosts
    • Mit heutigen Tools unmöglich
    • Money rulez. Und Kreativität auch.
malware mit migrationshintergrund
Malware mit Migrationshintergrund
  • Dual-stack Lösungen mit Dual-brain Admins
    • Admins müssen sich dem 2. Protokoll bewusst sein
    • Organisatorische Trennung, Netz vs Content
  • Anpassen der Content Security Systeme
    • Intrusion-Prevention, Application-Control, Proxy, Anti-Virus . . .
    • Einsatz von Multifunction-/UTM Firewalls
      • Andernfalls droht ein Produkteoverkill (Vekoren x2)
  • Intelligente Firewalls
    • Erkennen und Blocken von Tunneln
malware mit migrationshintergrund1
Malware mit Migrationshintergrund
  • Zentraler Punkt für IPv4 und IPv6 Security
    • Wenn auch Dual-stack
    • Administrativ integriert
      • Beispiel: Mailgateway oder Proxy
  • Besonderer Schutz der DNS Infrastruktur
    • Höhere Bedeutung bei IPv6

ad