Sicher(er) im web #bch14

SICHER(ER) IM WEBWie man sich (etwas) sicherer im Web bewegen kann

und wie man das Web als Entwickler (etwas) sicherer machen kann

Stefan Bauckmeier @emrox

Barcamp Hannover 2014

WAS IST SICHERHEIT?

WAS IST SICHERHEIT?

• Sicherheit von Daten

• Privatsphäre schützen

WANN IST MAN SICHER?

FRÜHER

HEUTE

“RSA Key Extraction via Low-Bandwidth Acoustic Cryptanalysis”http://www.tau.ac.il/~tromer/papers/acoustic-20131218.pdf

Abhören von Schlüssel-Erzeugung mit dem Handy

ABSOLUTE SICHERHEIT GIBT ES NICHT!

Aber man kann es den Angreifern schwer machen!

WICHTIGSTE REGEL: AKTUELLE SOFTWARE

• Betriebssystem aktualisieren

• Alle installierte Browser aktualisieren

• Browser PlugIns & Extensions aktualisieren

• Sonstige Software aktualisieren

VIRENSCANNER?

• Kann man - muss man nicht

• Trojaner & Viren sind optimiert sich zu verstecken / Virenscanner abzuschalten

• Wichtiger : Mitdenken bevor man auf Link klickt / Datei öffnet

VIRENSCANNER?

golem.de, 05.05.2014

DATENSPUREN VERMEIDEN * METADATEN

GHOSTERY24

GHOSTERY

GHOSTERY15 (2)

GHOSTERYhttps://www.ghostery.com/

Empfehlung:- INFOnline - VG Wort- Piwik

Evtl.:- Google Analytics- Google Adwords

?

?

OpenStreetMap Nokia here

E-MAIL TRACKING

E-MAIL TRACKING

Tracking von E-Mails durch Laden von Bildern & CSS

📱💻 ⌨

👤👤

HTTP

User: Stefan Passwort: 123456

📱💻 ⌨

HTTPS

🔒✓🔒✓

🔒✓🔒✓

• Verschlüsselter Datenverkehr

• nur noch sichtbar wohin verbunden wird, nicht was abgerufen wird

• je mehr Verschlüsselt, desto mehr haben andere zu tun

HTTPS

HTTPS EVERYWHEREhttps://www.eff.org/Https-everywhere

WIFI SICHERHEIT

WPA(2) NUTZEN

• unverschlüsselter Traffic kann von jedem mitgeschnitten werden

• wenn kein HTTPS oder ähnliche Verschlüsselungen genutzt werden Passworte + Daten im Klartext übertragen

ALTERNATIVEN

VPN

Tor

VPN

📱🔒 📄 !

"

🎬

📱

🔒

🔒

💻 ⌨

TOR💻 ⌨

"

📄 📄 📄

📄 📄 📄

📄 📄 📄

🔒🔒🔒🔒

🔒🔒

🔓 🔓

🔓

🔓

🔓🔓 🔓

🔓 🔓📱🔒🔒🔒🔒

🔒🔒

🔓

🔓 !🔓

PASSWORT

PASSWORT GAU

🎬

#!

$% &

!

E-Mail: stefan@web.de Passwort: 123456

http://splashdata.blogspot.de/2014/01/worst-passwords-of-2013-our-annual-list.html

SICHERES PASSWORT (2014)

http://xkcd.com/936/

SICHERES PASSWORT (2014)

• je länger desto besser

• keine sinnvollen Sätze / Kombinationen

• jede Seite ein abweichendes Passwort

• Bonus: Zahlen & Sonderzeichen

DENKHILFEN

xkpasswd.net

MERKHILFEN• Eselsbrücken

• Programme:

• 1Password (proprietär, multi plattform)

• KeePass (open source, multi plattform)

• LastPass (online)

WAS MAN ALS ENTWICKLER TUN KANN

SENSITIVE DATEN SCHÜTZEN

PASSWORT VERSCHLÜSSELUNG

• Wahl einer sicheren Methode

http://www.unlimitednovelty.com/2012/03/dont-use-bcrypt.html

PASSWORT VERSCHLÜSSELUNG

• + Salt: • jedes Passwort ein eigenes Salt • benutze cryptographic secure number

generator • lang

ANDERE SENSITIVE DATEN SCHÜTZEN

• z.B. mit Twofish

Passwort Bad Practices

HTTPS EINSETZEN

SECUTIRY AUDTIS

• Selbst auf Schwachstellen checken

• Automatische Tools nutzen

• andere Entwickler draufschauen lassen

• durch externe