Beyond Listening: VIP Security Profiles für … the OPSEC perspecve Thomas Ryan, through the Robin...
Transcript of Beyond Listening: VIP Security Profiles für … the OPSEC perspecve Thomas Ryan, through the Robin...
complexium|Copyright2016 29.09.2016|Chart6
BeyondListening:VIPSecurityProfilesfürSchutzpersonenProf.Dr.Mar=nGrothe
VorsprungdurchAnalyseimdigitalenRaum.Seit2004.
SC O M P L E X I U M
L A B NU w e a k S I G N A L ST K P II T A R G E T g r o u p sO H
I N T E R N E TS S
complexium|Copyright2016 29.09.2016|Chart7
DerdigitaleRaumgibtunsEinblickeaufunsereWeRbewerber.
Aberdasgiltauchandersherum:GegnerschaKen,WeNbewerberoderböswilligeDriNekönnenauseinzelnenPuzzleteilenwich=geInforma=onenetwazuExecu=vesoderzentralenExpertenrekonstruieren.
KonkreteBedrohungenoderAnsatzpunktefürSocialEngineeringoderDesinformaSonkönnendieFolgesein.
IchmöchtedenTeilnehmernentsprechendeAnalyse-undSchutzkonzepteausdemBereichCorporateSecurityvorstellenunddamitauchfürdasFeldCounterIntelligencesensibilisieren.
complexium|Copyright2016 29.09.2016|Chart8
ProtecSveIntelligence
CounterIntelligence
Agenda
complexium|Copyright2016 29.09.2016|Chart9
WelcheWellenschlägtderangekündigtePersonalabbau?KündigensichAk=onenoder
Blockadenan?
WaspassiertrundumunsereLoka=onfürdieExecuSve-KonferenzinBarcelona?Wasmüssen
wireinplanen?
WieentwickelnsichkriSscheVorwürfeundBedrohungengegenunserHaus?Gibtes
neueschwacheSignale?
WelcheRisikenbringtderneueCEOmit?WietransparentundwiesicherheitsaffinistdieSchutzfamilie?
KönnendieAngriffedermilitantenTierschützergegenunseregroßenWeRbewerberaufuns
übergehen?GibtesTendenzenimVorfeldunserer
Hauptversammlung?Waspassiertwährend
desVerlaufs?
GALAXYvoncomplexiumerleichtertdasFindenimDigitalraum:CrawlernehmenpotenziellrelevanteBeiträgeinnahezuEchtzeitauf.Computerlinguis=scheAlgorithmenerschließendieInhaltedieserTextmengenohneVorgabe.MachineLearningunterstütztdieIden=fika=onrelevanterBeiträgeundThemen.
complexium|Copyright2016 29.09.2016|Chart10
DerASWBundesverbandistdie„AllianzfürSicherheitinderWirtscha3“:hRp://asw-bundesverband.de/
CorporateSecurity
complexium|Copyright2016 29.09.2016|Chart11
SensibilisierungvonFührungskrägen.WasfindenDriRezuSchutzpersonen/-familienimNetz?
Sichtbarkeitsanalyse/VIPSecurity-ProfilemitRekonstruk=onvonWER: FamilieWAS: Ak=vitäten,Rou=nen,
Vermögen,VorwürfeWO: Arbeits-/Schulwege,Loka=onen,
Wohnen/AufenthaltsorteWANN: Termine
JeweilsEinschätzungderKri=kalität.StrukturierterSicherheitsbericht:üblicherweise30-40Seiten
SocialEngineering,PersonenschutzàSichtbarkeitsanalyse/VIP-SecurityProfile
Beisp
ielcom
plexium
complexium|Copyright2016 29.09.2016|Chart12
DUMMY
complexium|Copyright2016 29.09.2016|Chart13
ProtecSveIntelligence
CounterIntelligence
Agenda
complexium|Copyright2016 29.09.2016|Chart14
DesinformaSonimNetz
DigitaleAkteurekönnensichfik=veroderfalscherIden=tätenbedienen.§ IdenStätsdesign(Sockenpuppen,z.B.RobinSage)oder§ IdenStätsdiebstahl(temporäreÜbernahmevondigitalenProfilen).
IdenStät
Fik=on
Fake
complexium|Copyright2016 29.09.2016|Chart15
Trolle:DestrukSv.Isoliert.Meistärgerlich.
Trolle§ behinderndieKommunika=onimInternet
aufdestruk=veWeise§ verfassenBeiträge,diesichaufProvoka-
=onandererTeilnehmerbeschränken
§ leistenkeinensachbezogenenoderkonstruk=venBeitragzurDiskussion
§ versuchen,Konfliktezuschüren§ sindinnerhalbderCommunityisoliert§ versuchen,ihrevirtuelleIden=tätzu
verbergen,etwadurchdieNutzungvonSockenpuppen.
§ Schutz:„Don‘tfeedthetrolls!“
SockenpuppenundTrolle
complexium|Copyright2016 29.09.2016|Chart16
Sockenpuppen:VielschichSg.Mitunterunauffälligundgefährlich.
SockenpuppenEinzusätzlichesBenutzerkonto,...§ umetwadieeigenePrivatsphärezu
schützen,§ umdieRegelneinerCommunityzu
unterlaufen,§ umandereBenutzeroderderen
Argumentezudiskredi=eren,§ umMeinungenoderVorschlägemit
mehreren„S=mmen“zuverstärken,§ umganzallgemeinillegi=meZweckezu
verfolgen.
z.B.RobinSage
SockenpuppenundTrolle
complexium|Copyright2016 29.09.2016|Chart17
Legende:Weiblich,aNrakSv,gebildet(MIT,St.PaulsSchool),beruflicherfolgreich,akSvinNetzwerken
Summary:Ihavebeeninthecomputerhackingsceneforovertenyears.Duringthis=meIhavepenetratedhundredsofnetworksasaprofessionallycontractedhackerandwasempoweredbytheadrenalinerushofbreakingintosecuredfacili=esofGlobal500companiesandvariousgovernments,...
complexium|Copyright2016 29.09.2016|Chart18
Angriffsziel:MilitärischeGeheimnisträger
complexium|Copyright2016 29.09.2016|Chart19
EineKunstigurwirdzurFallefürGeheimnisträger.
ErgebnisdesExperiments:ü AngebotevonHeadhunternü FreundschaKsanfragenvon
MIT-undSt.Pauls-Absolventenü Über300Kontaktezu
hochrangigenMitarbeiterninMilitär,Rüstung,Diensten
ü ErhieltmilitärischeGeheim-dokumentezuEinsätzeninAfghanistan
ü ...sowiezahlreicheEinladungenzumEssen.
ErfolgreichtrotzWidersprüche.
complexium|Copyright2016 29.09.2016|Chart20
àWennIhrGegnernureineeinzigePersonmitVerständnisfürsozialeNetzwerkeist,dannistIhreInformaSonssicherheitbereitsaufdasHöchstebedroht.
„Fromaprivacyandsecurityviewpoint,thisexperimentraisesseriousconcernsforoperaSonalsecurityandpersonalsecurity.FromtheOPSECperspec=veThomasRyan,throughtheRobinSageiden=ty,wasabletobuildanetworkofindividualsinvolvedincyber-focusedprogramsfortheU.S.Governmentandprivateindustry.Theseconnec=onsmostcertainlycouldhavebeenexploitedfurtherbymorenefariousactors.
AlargeconcernwithprofessionalswithintheDoD,...,§ wastheriskofspearphishingand§ theabilitytoeasilyprofile
individualsinvolvedincriScalprograms.
Thisexperimentisaconfirma=onofthosefears,....awake-up-call.TheRobinSageidenStyhadaccess,throughthosefriendconnecSons,tolotsofpersonaldata.Itisveryeasytoharvestthatinforma=onforfunorprofit.“
Gegner1.0
hRps://w
ww.priv
acyw
onk.ne
t/20
10/09/the-robin-sage-
expe
rimen
t-interview-w
ith-ogali-om
.php
complexium|Copyright2016 29.09.2016|Chart21
Erkennbar?Background-Check:Karrierefrau,aberkeineDatenspurenaufKonferenzen,....
complexium|Copyright2016 29.09.2016|Chart22
JedervorschnelleConnectstärktdieLegende,verschauderSockenpuppeposi=veNetzeffekte.SchoneinfacheChecksreduzierendasRisiko.
„ExamineprofilespriortoaccepSngconnecSonrequests:
• Carefulreviewsofsmalldetailssuchaspictures,workexperience,andcreden=alsmayprovidejustenoughinsighttorefrainfromlinkingtoharmfulindividuals.
• Taketheextra=metoconsultmutualfriendsorquicklyperformyourownresearch(...).
• Moreogenthannot,falseiden==es,justlikeRobinSage,inten=onallyanduninten=onally,leavesimplecluesforyoualongtheway.“
Sockenpuppen:Gefährlich.
hRps://www.privacywonk.net/download/BlackHat-USA-2010-Ryan-Geyng-In-Bed-
With-Robin-Sage-v1.0.pdf
Gefng-In-Bed-With-Robin-SageEinExperimentvonThomasRyan
complexium|Copyright2016 29.09.2016|Chart23
BSI:„SocialEngineeringisteineMethode,umunberechSgtenZugangzuInformaSonenoderIT-Systemendurch"Aushorchen"zuerlangen.BeimSEwerdenmenschlicheEigen-schagenwiez.B.Hilfsbereitschag,Vertrauen,AngstoderRespektvorAutoritätausge-nutzt.DadurchkönnenMitarbeitersomanipuliertwerden,dasssieunzulässighandeln.“
EintypischerFallvonAngriffenmitHilfevonSocialEngineeringistdasManipulierenvonMitarbeiternperTelefonanruf,beidemsichderAngreiferz.B.ausgibtals:
Mißbrauch:SocialEngineeringàAujlärung.
http
s://
ww
w.b
si.b
und.
de/D
E/Th
emen
/ITG
rund
schu
tz/
ITG
rund
schu
tzKa
talo
ge/I
nhal
t/_c
onte
nt/g
/g05
/g05
042.
htm
l
Administrator,derwegeneinesSystemfehlersanrug,daerzurFehlerbehebungnochdasPasswortdesBenutzers
benö=gt,
VorzimmerkraK,derenVorgesetzterschnellnoch
etwaserledigenwill,aberseinPasswortvergessenhatundes
jetztdringendbraucht,
Telefonentstörer,dereinigetechnischeDetailswissenwill,zB.unterwelcherRufnummereinModemange-
schlossenistundwelcheEinstellungen
eshat,...
complexium|Copyright2016 29.09.2016|Chart24
ZurSensibilisierungvonMitarbeitern...
WhoamI-KeinSystemistsicherElyasM'Barek(Darsteller),TomSchilling(Darsteller),BaranOdar(Regisseur)Alterseinstufung:Freigegebenab12Jahren
SocialEngineeringàAujlärung.
complexium|Copyright2016 29.09.2016|Chart25
DesinformaSonimNetz
Solitärezielenauf–ggf.mehrere–einzelneZielpersonen.SchwärmezielenüberMeinungs(trug)bilderaufdiejeweiligeÖffentlichkeit.Ausprägungen:SmaleScaleFanclubsà...àLargeScaleTroll-Army
IdenStät
Fik=on
Fake
Schwarm
Solitär
Umfang
complexium|Copyright2016 29.09.2016|Chart26
(Posi=ver)PR-AngriffoderwahreVerehrung?
InterviewaufTagesspiegelmitUnternehmerX.à auffallendvieleposi=veKommentare
§ NegaSveKommentarewerdenverdrängt.Genausoweit,bisallenega=venBemerkungenunsichtbarsind.
§ WerschnellüberdieKommentarefliegt,istbeeindrucktvonsovielZuspruchfürdenumstriRenenX.
Eswirdnachgeforscht...§ KeinerhatzuvoraufTagesspiegel.de
kommen=ert,§ allehabensichkurznachErscheinendes
Interviewsregistriert,§ nochdazumitvermeintlichenKlarnamen
undzugehörigerE-Mail-Adresse.§ ZweiAusnahmen:
§ Für das Profil von Kristina L. wurde ein Foto des polnisches Models verwendet.
§ Beim Abgleich des Fotos von Sinja M. findet sich das gleiche Bild auf Youtube, dieses Mal kommt die Nutzerin aus Bulgarien.
SmallScaleFanclub.PublizierterVorwurfzurIllustraSondesGrundmusters
Sieh
eauch:h
Rp://www.ta
gesspiegel.de/wirtschag/pr-angriff
-ode
r-wahre-
verehrun
g-maschmeyer-und
-freu
nde-verdaech=g
-posi=ve-kom
men
tare/
13492040.htm
l
complexium|Copyright2016 29.09.2016|Chart27
UnternehmerX:Verdäch=geClaqueureimKommentarbereich
Über30MitgliederzähltderFanclub,dernebendemUnternehmerauchseineprominenteEhefrauundeinenbefreundetenSportlerbegleitet.NachzulesensindihreBeiträgeindenKommentarspaltenzahlreicherMedienwieBild.de,Welt.de,Focus.de,Sport1.de,Blick.ch,Gründerszene.de,Finanzen.net,DasInvestment.comundMyHeimat.de.
NachVeröffentlichungdeskri=schenTagesspiegel-Ar=kelssindfastalleFacebook-Profilenichtmehrerreichbar.
SockenpuppenausdemFanclub• Facebook-Profileinak=v• ProfilbildervonbulgarischenModels• NamenssucheGoogle:keinepassenden
Treffer
• NützlichesTool:z.B.Namecheckr.com
SmallScaleFanclub.
hRps://netzpoli=k.org/2016/unterne
hmer-m
aschmeyer-verdaech=
ge-claqu
eure-
im-kom
men
tarbereich/
Sieh
eauch:h
Rp://www.ta
gesspiegel.de/wirtschag/pr-angriff
-ode
r-wahre-
verehrun
g-maschmeyer-und
-freu
nde-verdaech=g
-posi=ve-kom
men
tare/
13492040.htm
l
complexium|Copyright2016 29.09.2016|Chart28
InvielenQuellenwirdeinestaatlichgeführte„digitaleInfanterie“beschrieben.IndenVorwürfenwerdenMeinungszielewieFinnlandunddieUkrainegenannt.
„HowPuHnSecretlyConqueredRussia'sSocialMediaOverthePast3Years“ Posted30January2015„Itseemslikeajoke,butthousandsofhiredbloggers“gotowork”everyday,wri=ngonlineaboutVladimirPu=n’sgreatnessandthedecayoftheWest.They’reonFacebook,TwiRer,newssites,andanywhereelsetheKremlinfeelsthreatenedandoutnumbered.“
„...Combined,theseeffortsfieldatrollarmyofthousands.Insomeareas,likeontheoutskirtsofSt.Petersburg,theenterpriseissobigthattherearewholeofficebuildingsforthesepeople.“
LargeScaleTroll-Army:InfoWarfare.PublizierterVorwurfzurIllustraSondesGrundmusters
Vladimir Putin at a press conference on December 18, 2014. Kremlin press service, public domain.
http
s://
glob
alvo
ices
.org
/201
5/01
/30/
how
-put
in-s
ecre
tly-
conq
uere
d-ru
ssia
s-so
cial
-med
ia-o
ver-
the-
past
-3-y
ears
/
complexium|Copyright2016 29.09.2016|Chart29
DieDigitalisierungderDesinformaSon(...thenextLevel):NurfürAggressoreneinsetzbar,wennsichsehrvieleSockenpuppendigitalsteuernlassenundsichrealeDialogpartnernichtdaranstören.Denkbar?
VonderHandarbeitzurDigitalisierung
IdenStät
Fik=on
Fake Umfang
Steuerung
ProgrammHuman
Schwarm
Solitär
complexium|Copyright2016 29.09.2016|Chart30
ELIZA,vonJosephWeizenbaumentwickeltesComputerprogramm,zeigtdieMöglichkeitenderKommunika=onzwischenMenschundComputerübernatürlicheSpracheauf.
1966:ELIZA:...derersteChatbotderGeschichte...Turing-Test
EinBenutzerkonntejedocheinfachherausfinden,dassermiteinerMaschinekommuniziert.à Turing-Testnicht
bestanden.
complexium|Copyright2016 29.09.2016|Chart31
DigitalisaSonofDisinformaSon_Bots(àmanyminds)
Botsareusedtomul=plytheleverage-effect:ElaboratedbotscombinearSficialintelligenceAIandinformaSonretrieval/internetsearch.
Source:hRp://www.internetworld.de/technik/bots/twiRer-bots-brexit-waehler-betrogen-1111324.html
complexium|Copyright2016 29.09.2016|Chart32
Botsareusedtomul=plytheleverage-effect:ElaboratedbotscombinearSficialintelligenceAIandinformaSonretrieval/internetsearch.
BotsvoteforBREXIT
Source:hRp://www.internetworld.de/technik/bots/twiRer-bots-brexit-waehler-betrogen-1111324.html
complexium|Copyright2016 29.09.2016|Chart33
2016
hRps://w
ww.fa
cebo
ok.com
/jobm
ehappy)Benutzerhabenbisherkein
Problemdamit,auchpersönlicheThemenmitBotszu„besprechen“.àTuring-Test?Egal!
complexium|Copyright2016 29.09.2016|Chart34
InBotskönnenArSficialIntelligenceAIundInformaSonRetrieval/InternetSearchverbundenwerden.Dadurch„kennen“sieihremenschlichenDialogpartnerundkönntenprofilkonformreagieren.
Beispiel:IndividuellpassendeSpiegelprofileinEchtzeit,umZahlungsbereitschagaufeinemDa=ng-Portalzusteigern:2015:ErsterBot-Skandal,alsdieDa=ng-Pla�ormLovooindenVerdachtgeriet,überFake-Profilekünstlichsogenannte„Matches“(Partner-Treffer)zuerzeugenundüberautoma=sierteChatskostenpflich=geAk=onenaufderPla�ormauszulösen.{|mirist}{|so|soo|sooo}langweil{i|ii|iii|iiii}g{|BiRe}nurmit{Bild|Bilder}{|anschreiben}nicht{bloß|nur}{schauen|gucken|besuchen|glotzen}{|sondern|sondernauch}anschreiben
IndividuelleSpiegelprofile
hRp://www.heise.de/forum/c-t/Kom
men
tare-zu-c-t-Ar=keln/Da
=ng-Pla�
orm-
Lovoo-im
-Fake-Ve
rdacht/N
EU-DE-Nix-Neu
es/pos=n
g-23751958/sho
w/
à FürjedeFührungskraKdesZielunternehmenseineexaktpassendeRobinSage!oderfürsein/ihrfamiliäresUmfeldpassendeBotschagenundSockenpuppen.
complexium|Copyright2016 29.09.2016|Chart35
VonderHandarbeitzurDigitalisierung:Trolle,Sockenpuppen...PropagandaviaSocialBots
SocialBotswerdeneinProblem.ViaFake-Accountswerdennicht-menschlicheProfileangelegt,dieprogrammiertsind,sichselbstständiganDiskussionenzubeteiligenodereigenständigInformaSonenzuversenden(z.B.viaTwiRer),umeinenbes=mmtenZweckzuerfüllen:z.B.Meinungsbeeinflussung,Diskredi=on.Aber:DetekSerbar.
IdenStät
Fik=on
Fake Umfang
Steuerung
Schwarm
Solitär
ProgrammHuman
hRp://www.m
obilegeeks.de
/ar=kel/m
anipula=
on-social-b
ots/
complexium|Copyright2016 29.09.2016|Chart36
WennIhrGegnerSocialBotsgegenSieeinsetzt,dannsolltenSiedieFähigkeitenzurPrävenSonundDetekSonbereitsbreitinderOrganisaSonverinnerlichthaben:SiekönnenmassivunterStressgesetztwerden.
Empfehlungen:• Präven=ondurchAu�lärung,
VerhaltensregelnundregelmäßigeSichtbarkeitsanalysen.
• Detek=onvonMeinungsmanipula=ondurchqualita=vesSocialListeninginEchtzeit.
ImRepertoirevonWeNbewerbernundGegnern:Trolle,SockenpuppenundBots.
complexium|Copyright2016 29.09.2016|Chart37
ProtecSveIntelligence
CounterIntelligence
?
Agenda
complexium|Copyright2016 29.09.2016|Chart38
Example:22.07.2016–Munich–Shoo=ngrampageTheconnec=ionsinthetwiRer-retweet-networkarenotrandom(buttypical).Userstendtoselectlike-mindedclusters/contentasinforma=onsources.
TwiNer-network:#München
Echochamber=(closed)networkoflike-mindedsources.Sourtce:hRp://www.zeit.de/kultur/2016-09/amoklauf-muenchen-tweets-reak=onen-oeffentlichkeit
Twoseparateclusters:ClusterA:Rightwingpoli=ciansClusterB:MunichPolice,tradi=onalmedia(Spiegel,SZ,Tagesschau,Zeit)
UnderstandingConnecSvity_SmallWorldNetworks
complexium|Copyright2016 29.09.2016|Chart39
LivingNetworkshave„SmallWorld“-characterisScs(selectedrela=ons).SocialNetworkAnalysisSNAallowstoiden=fytheseself-referencingechochambers,whicharevulnerabletomindbombsandpronetoDisinformaSon.
UnderstandingConnecSvity_SmallWorldNetworks
SmallWorldGraphRegularGraph Mind bomb
Mindshareisnotdistributedequallyorrandomly.Theinherentnetworkstructureispronetomindbombs.
complexium|Copyright2016 29.09.2016|Chart40
Example
Abb:GALAXY-Map(complexium)
NewChallengeforCounterIntelligence_
IdenSfytheclustersandechochambersinyourdigitalcompeSSvespace.
complexium|Copyright2016 29.09.2016|Chart41
Abb:GALAXY-Ranking(complexium)
IdenSfygrowingissues:Emergenttopics,disinformaSoncampaignsmindbombs.
NewChallengeforCounterIntelligence_
Example
complexium|Copyright2016 29.09.2016|Chart42
Disinforma=onviabotsisacompe==veleveragetoinfluencemindshare.Newplayers,e.g.companies,ac=ongroups,willenrichtheirarsenal.Companieshavetobeawareofthisthreat,butareabletogatherweaksignals.
Disinforma=onmay• affectthecompanyreputa=on• influencedecisionsofbusiness
partners,poten=alcustomers,recrui=ngtalents.
Sociallisteningcanhelpasanearlywarningsystem
todetectthesethreats(„mindbombseismograph“)
NewChallengeforCounterIntelligence_
complexium|Copyright2016 29.09.2016|Chart43
Kontakt
complexiumGmbHNeueSchönhauserStr.2010178Berlin-MiReTel.+49(0)30-27874174Fax+49(0)30-40054349www.complexium.de
Prof.Dr.MarSnGrothe
[email protected]+49(0)30–20059261
complexium|Copyright2016 29.09.2016|Chart44
“Discoveryconsistsinseeingwhateveryoneelsehasseenandthinkingwhatnooneelsehasthought.”AlbertSzent-Gyorgyi(ungarischerBiochemiker,1937NobelpreisMedizin,1893-1986)
Lehr-undVerbandsfunkSonen
• Vorstandsvorsitz@BundesverbandWeRbewerbs-&Marktanalysedcife.V.
• Faculty@Ins=tuteforCompe==veIntelligenceICI
• Beirat@BundesverbandEmployerBranding,Personalmarke=ng&RecruitngQUEBe.V.
• Jury@trendenceAwardsundPersonalmarke=ngInnovatorPMI
• Honorarprofessor@UniversitätderKünsteBerlin:LeadershipindigitalerKommunika=on
ArbeitsfelderCorporateSecurity• PartnerdesASWBundesverbandes
AllianzfürSicherheitinderWirtschage.V.
• Klientenbranchen:Bank,Energie,FMCG,Pharma,Versicherung
EmployerIntelligence,z.B.• E.ON:ZielgruppenHotspotsundThemen• BIG4:Reports/AlertsàTalenteerreichen• UniCredit:MitarbeiterfürCallCenterfinden
MarketIntelligence,z.B.• Greenpeace:GALAXYnachSinus-Milieus• Lughansa/Eurowings:Repor=ng,Krise• Oracle:LeadGenera=on• vfa,Pharma-Konzerne:Indika=onen,
Transparenz,Kovigilanz
Prof.Dr.MarSnGrothe.complexium:VorsprungdurchAnalyseimdigitalenRaum.Seit2004.
complexiumGmbH,Berlin,gegründet2004
Gründer&CEO:Prof.Dr.Mar=nGrothe
EinEntwicklerteam(Computerlinguisten),einAnalyseteam.
ZahlreichePublika=onenundVorträge:
Digitalisierung,DigitaleTransforma=on,Disrup=on,Controlling,BusinessIntelligence,SocialMediaAnalyse,FrüherkennungvonRisiken/Bedrohungen...