Embed Size (px)
Citation preview
FH-Prof. DI Robert Kolmhofer
Programm
1. Block: Gefahren bei Verwendung moderner
Kommunikationstechnologien – Kolmhofer
Kaffee-Pause
2. Block: Live-Demo: einfache Tools bzw. Techniken, um die
elektronische Kommunikation "etwas" sicherer zu machen - Fuß
3. Fragen
15.01.2015 Seite 2
Was gibt es in der IT Neues?
Was ist heuer (2015) passiert? Was ist 2014 passiert?
Nichts Neues! Oder doch?
Ein Techniker einer externen Firma hatte Zugriff auf Daten
eines Kunden und veröffentlicht und veröffentlicht und
veröffentlich…
Das gibt’s öfter… am Stammtisch, beim Kegeln, im Kino, …
auch durch eigene KollegenInnen/Chefs/…!
Was ist noch passiert?
Praktisch alle etablierten Verschlüsselungsdinge sind „kaputt“
Heartbleed, TrueCrypt, Poodle, …
Auch andere Dinge: Tor unterwandert, …
15.01.2015 Seite 3
Nachdenken
Wem ist das passiert?
Wen hat es noch erwischt? GCHQ, BND, …
Und wer ist der „Böse“?
Aber: wen hat Poodle/Heartbleed/… erwischt?
Uns alle!
Wir alle sind (nicht nur die NSA) im Jahr 2015 angekommen.
Samt InformationsUNsicherheit.
15.01.2015 Seite 4
Sicherheitsbegriff Hat sich im Laufe der Zeit weiterentwickelt
Ursprünglich nur die Geheimhaltung von Daten
Vertraulichkeit: Eigenschaft, dass Information nur befugten Entitäten in der zulässigen Weise zugänglich ist
Integrität: Unverfälschtheit und Korrektheit von Daten bzw. Systemen
Authentizität: Eigenschaft, die sicherstellt, dass die von einem Subjekt oder einer Ressource behauptete Identität zutrifft. Authentizität betrifft Entitäten wie Benutzer, Prozesse, Systeme und Informationen.
Zurechenbarkeit: Eigenschaft, die sicherstellt, dass die Aktivitäten einer Entität eindeutig auf diese Entität zurückgeführt werden können
Der “Sicherheitsbegriff “
15.01.2015 Seite 5
Sicherheit ist aber auch:
Verbindlichkeit: Eigenschaft, die sicherstellt, dass die Handlungen einer
Entität nicht von dieser später abgestritten werden können
Anonymität: Eigenschaft, die sicherstellt, dass die Handlungen einer
Entität nicht rückverfolgt werden können
Verfügbarkeit: Eigenschaft - auf Verlangen einer berechtigten Entität -
zugreifbar und benutzbar zu sein
Zuverlässigkeit: Eigenschaft eines gleich bleibenden, beabsichtigten
Verhaltens und Ergebnisses
Der “Sicherheitsbegriff “
15.01.2015 Seite 6
Was wollen wir schützen?
Informationen in elektronischer Form
E-Mails
„Internetdaten“ (zB in sozialen Netzen, eShops, Blogs, …)
Gespeicherte Daten auf PCs, Laptops, CD/DVD, USB-Sticks, …
Informationen in Papierform
Gesprochenes Wort
Informationssicherheit = Sicherheit für unsere Daten, egal ob
personenbezogene, private, geschäftliche, von vertraulichen Quellen, …
Informationssicherheit
15.01.2015 Seite 7
Gefahren moderner Kommunikation
Neuen Kommunikationstechnologien verändern Welt Breitband Internet (ADSL, xDSL, K-TV, FTTH)
Mobile Breitbandkommunikation (UMTS, HSDPA, HSUPA, LTE), WLAN
Voice over IP-Telefonie, Internettelefonie (Skype)
Push-Mail-Services, Synchronisation von PDAs, Mobiltelefone, …
Anwendungen im Internet, Social-Networks, Web2.0, …
Smartphones, Tablet & Co
Moderne Kommunikationswelt Verhaltensregeln lernen
Bewusster Umgang mit neuen Technologien
Sicherheitsmaßnahmen treffen
Für Private, Firmen, Jung & Alt, GROSS und klein
Denn: „Das Böse ist immer und überall“* - also braucht es
Lösungen! … (und Ideen) *) EAV: Banküberfall
15.01.2015 Seite 8
Wie wird man „angezapft“?
PC/Laptop/Handy
Diebstahl und Auswertung des Speichers, Harddisk, USB-Sticks, Speicherkarten
Schadsoftware am Rechner (Trojaner, Botnetze) erlauben Zugriff auf System
Forensische Auswertung (Behörden, spezialisierte Firmen, Kiddies)
Telefonie/Smartphone
Mithören über „böse Apps“, Bluetooth
Lawful-Interception-Schnittstellen beim Provider (Festnetztelefonie, Mobiltelefonie)
Vorrats
datenspeicherung (keine Inhalte!)
Internet Offene WLANs
Vermittlungsknoten (Internet-Exchanges) wo Internet-Traffic ausgetauscht wird
In der Firma durch E-Mail-Server, Proxies, Firewalls, …
Beim Provider durch Vorratsdatenspeicherung, Logging, …
Seite 9 15.01.2015
Was sind die Fragen?
PC mit Schadsoftware infiziert – Wie geht das? Was tun?
Smartphone – Was wird attackiert? Wie schützt man sich?
Offene WLANs und Man in The Middle Attacken – was ist das?
Web surfen & anonyme Internet-Kommunikation – was geht wie leicht?
E-Mail – Security – wie schütze ich meine E-Mails?
Forensische Möglichkeiten zu Rekonstruktion von gelöschten Daten – wie
schütze/verschlüssle ich meine Harddisk, USB-Sticks, …?
Nicht nur Behörden (NSA) überwachen, auch Firmen, im Privatbereich, …
Und manche fragen: Gibt’s den „Cyberwar“ wirklich?
Gegenfrage: was ist Cyberwar? Nur wenn ein Staat einen anderen
attackiert? Oder kann jeder „seinen“ eigenen Cyberwar führen?
15.01.2015 Seite 10
Schutz des eigenen PCs
PCs haben aufgrund Betriebssystem (meist Windows oder OS X, selten Linux)
Programmen
Internetzugang
komplexe Struktur und sind für Anwender aber auch Spezialisten oft
schwer beherrschbar, was die Sicherheit angeht.
Beispiele Conficker in Kärnten im Jänner/Februar 2009 - Schlamperei
Angriffe auf ganze Regierungen (Estland) – warens die Russen?
Angriffe auf KRITIS (Stromversorger, …) – oder doch nur Virus?
Verschlüsselungs-Trojaner (Polizei Virus) – Abzocke im Internet…
Schauen wir uns Schadsoftware an…
15.01.2015 Seite 11
Arten von Schadsoftware
Grundtypen Virus
Wurm
Trojaner
Weitere Typen oder Funktionen Bot
Spyware
Backdoor
Rootkit
Dialer
15.01.2015 Seite 12
Virus
Vermehrt sich selbständig am lokalen System
Infiziert Anwendungsprogramme
Wird vom Benutzer durch Weitergabe von infizierten Dateien verbreitet
Führt vom Programmierer festgelegte Funktionen aus
Viele Arten von Schadsoftware werden fälschlicherweise als Virus bezeichnet
15.01.2015 Seite 13
Wurm
Verbreitet sich selbständig
Verbreitung über Computernetzwerke
Internet-Web-Seiten / Downloads
E-Mails
Instant Messenger (z.B. ICQ, MSN, …)
Sicherheitslücken in Netzwerkdiensten
Verbreitung findet oft ohne Mitwirkung des Benutzers statt
Führt vom Programmierer festgelegte Funktionen aus
15.01.2015 Seite 14
Trojaner
Oft gezielt auf fremden Systemen eingeschleust
Verbreitet sich nicht selbständig
Ursprünglich als nützliche Dateien getarnt
Enthält gewünschten Code und/oder Schadcode
Üblicherweise nicht destruktiv
Läuft eigenständig am infizierten System
Ermöglicht dem Angreifer z.B.:
Fernsteuern des infizierten Systems
Aufzeichnen von Tastaturanschlägen, Mausklicks, Screenshots, …
Auslesen von Informationen (E-Mails, Dokumente, …)
Nachinstallieren von Komponenten
15.01.2015 Seite 15
Bots
Mischform von Würmer und Trojanern
Werden verwendet, um große Botnetze aufzubauen
Verbreiten sich selbständig auf Anweisung des Botnetz-Betreibers
Bots warten auf Anweisungen des Botnetz-Betreibers
Bots werden verwendet, um
Systeme anzugreifen (z.B. DDoS, …)
Spam-Mails zu versenden
Online-Erpressungen durchzuführen
Spyware zu installieren (pay-per-click, …)
...
15.01.2015 Seite 16
[Trojaner] Warum?
•Früher um Benutzer zu ärgern
um fremde Systeme nutzen zu können (Bandbreite, Ressourcen, ...)
•Heute vorwiegend kommerzielle Interessen
Stehlen von Zugangsdaten (eBay, Amazon, Netbanking, ...)
Betriebsspionage
Überwachung („Bundestrojaner“ & Co)
Nicht nur auf PC, sondern auch auf Smartphones (böse Apps!)
SPAR: osTriage: KEIN Trojaner, sondern Forensik-Software um vom laufenden
System Daten zu extrahieren (Passwörter, Netzwerklaufwerke, Browser-Verlauf,
USB-Geräte-Historie, …) – Virenscanner erkennen das Programm!
15.01.2015 Seite 17
[Trojaner] Verbreitung
•Versand per E-Mail direkt als ausführbare Daten
Ausnutzen von Fehlern in Programmen (Exploits)
Bilder
Word- oder pdf-Dokumente
E-Mail selbst
•Tauschbörsen getarnt als Raubkopien
getarnt als Cracks/Keygens
getarnt als Videos
•Durch Internetseiten Fehler im Browser
Downloads
15.01.2015 Seite 18
[Trojaner] Infektion
15.01.2015 Seite 19
[Trojaner] Infektion
15.01.2015 Seite 20
[Trojaner] Infektion
15.01.2015 Seite 21
Schutz des eigenen PCs+Daten
Keine E-Mail von unbekannten Absendern öffnen (Spam-Mails)
Keine E-Mails befolgen, wo zB die Änderung von Passwörtern, die Eingabe von
Telebanking Daten usw. verlangt werden (Banken versenden dazu keine E-Mails)
Keinen Zugriff auf Telebanking, Shops, ebay, … von PCs, die man nicht kennt (zB
bei Bekannten, im Internetcafe, im Internetcorner des Urlaubshotels…)
Wichtige Daten/gesamte Harddisk verschlüsseln
Regelmäßige Backups (externe Disk, TimeMachine, …)
Updates und Patches installieren
Guten Virenscanner mit regelmäßigen Updates (EUR 30-40 die sich lohnen)
Verschiedene Passwörter für verschiedene Dienste verwenden (PC-Login, Skype,
facebook, eBay, Amazon, App-Store/Google-Play, …)
15.01.2015 Seite 22
Passwörter
Derzeitige Empfehlung für Kennwörter:
Länge: mind. 12 Zeichen, besser: 15 Zeichen
mindestens 3 der 4 Eigenschaften:
Großbuchstaben ABCDE….
Kleinbuchstaben abcde…
Zahlen 1234….
Sonderzeichen !Ҥ$/&*#....
Alle 6 Monate ändern!
Keine guten Passwörter (auch aus Listen wie zB von SONY)
Liste der Top 10 Kennwörter: 123456, f*cken, Passwort, Frankfurt,
Schatz, Baby, Sommer , Hallo, Qwerz, …
Name eines Haustiers, Ein Hobby, Mädchenname der Mutter,
Geburtsdatum eines Familienmitglieds, Eigenes Geburtsdatum, Name
des Partners, Eigener Name, Lieblingsfußballmannschaft, Lieblingsfarbe,
Erste Schule
15.01.2015 Seite 23
Smartphone Security
15.01.2015 Seite 24
Mobiltelefone und Smartphones Funktionen moderner Mobiltelefone
Terminkalender
Kontakte
Notizen
Push-Mail
Exchange-Synchronisation
MP3 Player
Fotoapparat
Word/Excel Betrachter/Editor, PDF Viewer
Web-Browser
RSS-News-Reader
Siri und Iris
Spiele
Infrarot, Bluetooth, WLAN
SMS/MMS und: WhatsApp
Telefonieren (auch mit VoIP)
Kann das Ihr PC auch alles? Dürfen Sie das als PC(Anwender) an Ihrem Arbeitsplatz auch alles?
15.01.2015 Seite 25
Alte und neue Gefahren!
Handydiebstahl und/oder -verlust…
praktisch ident zu Verlust der Handtasche mit Kreditkarten, …
Anfallende Kosten (Gebühren, Gerät, Kreditkarte)
Ansehen in der Öffentlichkeit (Fotos, SMS, E-Mail-Inhalte)
Passwortverlust (Domain-Passwort, andere Passwörter)
Attacken auf personenbezogene Daten (Web2.0, eBay, …)
Schadsoftware durch Apps
Ausspionieren der Geräteinhalte über Bluetooth, WLAN, …
Inhalte von Speicher und Speicherkarten (>32GB)!
15.01.2015 Seite 26
Nur ein Beispiel! Offene WLAN – WLAN-Hotspots
Überall zu finden (ÖBB, westbahn, Hauptplatz, McDonalds, …)
Problem: jeder kann WLAN-Hotspot mit diesem Namen betreiben
Laptop/Handy „sucht“ sich den WLAN-Access-Point mit bester
Signalqualität (also den vom Nachbarsitz)
„Man in the Middle Attacke“
15.01.2015 Seite 27
Offene WLANs
Unverschlüsselter WLAN-Traffic geht über Angreifer
Alles, was übers Netz übertragen wird, kann mitgelesen werden
Web-Inhalte
Passwörter von POP/IMAP (wenn nicht verschlüsselt)
E-Mails
Daten von Apps (zB WhatsApp-Probleme)
Smartphones: Android 2.x teilweise angreifbar bei aktivem WLAN,
diverse HTC Handys, …
Lösung: offene WLANs nicht verwenden (oder VPN: nicht trivial)
15.01.2015 Seite 28
Handy Abhören für alle? Bsp. 2
Aktiv: Der IMSI-Catcher
teures Gerät (ab ca. 50 tsd) – FH: Proof of Concept 2tsd
beschränkter Radius (in Nähe des zu Überwachenden)
„fällt auf“: kein UMTS, langsame Datenverbindung (GPRS/EDGE)
Passives Abhören
Technisch relativ einfach, billig (wenige tsd. EUR), „einfach zu bauen“
Unbemerkbar
Abhilfe
Nur UMTS verwenden
(GSM abdrehen, bei iPhone nicht möglich)
„Mitlauschen“ im Zugabteil, Nachbartisch, …
Gegen Dummheit ist kein Kraut gewachsen! 15.01.2015 Seite 29
Und noch eins : Apps
Was ist mit Apps(likationssicherheit)? Smartphones erlauben praktisch unbegrenztes Anwendungsportfolio
Installation von Software kaum einschränkbar (durch „Jailbraking“ oder „rooten“ sind
auch Sperren umgehbar, selbst bei neuem iOS)
Patches – oft automatisch installiert (für Apps) – Kostenfalle!
Updates – kompliziert zu Installieren (meist USB-Kabelverbindung) – oft
Verlust von Einstellungen
Virenscanner?
Offensichtlich Sicherheitsprobleme! Schätzungen gehen von bis zu 10% bösartigen Apps aus!
Android: Trojaner-App für E-Banking Token-Generierung (und zum mTAN abgreifen)
WhatsApp: lädt komplettes Adressbuch auf Server, unverschlüsselte Kommunikation
Oftmalige Lösung in Firmen: Verbot von Apps, Modifikation der Einstellungen,
Nutzung des Privatgebrauchs!
15.01.2015 Seite 30
Und noch eins hab ich: Die Cloud
Apple und Google bieten Cloud-Services an Smartphone-Inhalte können in Cloud gesichert werden
Kontakte, SMS, E-Mails, SMS, Fotos, Dokumente, …
Problematisch Datenschutzrechtliche Belange (was muss in EU bleiben, was muss nicht, wo gibt’s
Datenschutzgesetze?)
Wem gebe ich was?
Wer darf zugreifen?
Status quo DSG Auflagen bei iCloud
und Google NICHT erfüllt
15.01.2015
http://behuninassociates.com/privacy.html
Was soll man tun?
Privat und auf Unternehmensebene sollten 4 Bereiche
beachtet werden
Auswahl von Smartphones (und Planung des Einsatzes)
Konfiguration
Betrieb
Außerbetriebnahme
Wenn was passiert: Ein Notfallplan ist wichtig!
15.01.2015 Seite 32
Konfiguration
Bei Inbetriebnahme
„Härtung“ des Smartphones nicht nur für Spezialisten
– Entfernung unnötiger Software
– Deaktivierung nicht benötigter Schnittstellen
– Schutzsoftware (Virenscanner) installieren
– Passwort/PIN-Code Einsatz aktivieren
– Rechteverwaltung (so vorhanden) aktivieren
– Speicher verschlüsseln (Android!)
– Datenroaming deaktivieren
Für Firmen ein paar Zusatztipps
Zentrales Management konfigurieren (MDM)
App-Verwaltung, Auffinden, Löschen von Inhalten, Sperre
15.01.2015 Seite 33
Leben mit meinem Smartphone
Überlegungen, die nie falsch sind!
App(likations)sicherheit klären
– Keine dubiosen Apps von WebSeiten installieren
– Apps aus Stores mit vielen Downloads/
positiven Bewertungen gelten als eher sicher
– Prüfen, was ein App alles kann/will/darf
– iOS: Berechtigungssteuerung von Apps nutzen
– Im Zweifelsfall lieber die Finger davon lassen!
Schnittstellen abdrehen – schont den Akku und gibt
zusätzliche Sicherheit!
– WLAN: keine unverschlüsselten WLANs verwenden, Vorsicht bei
„public“ WLAN-Hotspots
GPS-Einsatz
– Praktisch zum Navigieren, f. Google-Maps, Gerätesuche
– Kritisch hinsichtlich Datenschutz, Personenüberwachung
15.01.2015 Seite 34
Außerbetriebnahme
Sichern der Benutzerdaten
Fotos, Filme, bezahlte Apps, Kontakte
Auf diverse Accounts nicht vergessen (zB Google-Konto bei
Android, Exchange-Domain-Account bei iPhone/Android)
Löschen des Smartphones
„Factory Reset“ alleine genügt meist nicht
Spezielle „Tastenkombinationen“ für Hard-Reset
Vorsicht vor Entsorgung in „Wundertüte“ wegen „Recycling“
Vorsicht bei Verkauf über „ebay“
Speicherkarten in den Smartphones
Reines Formatieren bringt rein gar nix
Austauschen und Vernichten der alten Karte
15.01.2015 Seite 35
Einfache Präventionsmaßnahmen
Schutzmechanismen am Handy aktivieren
PIN-Abfrage der SIM Karte aktiviert lassen
Zugriffscode (meist 4-stelliger Code oder Wischmuster) aktivieren
Automatische Bildschirmsperre aktivieren (30 s Wartezeit)
Schutzsoftware (Virenscanner, Location-Sevice, …)
Andere Präventionsmaßnahmen
Keine Passwörter fix am Gerät hinterlegen
Nicht möglich bei Mail-Clients, Google-Services, iCloud
Zusätzliche Schutzmaßnahmen (zB Passwort/PIN für App-Store)
Keine unnötigen Apps am Gerät installieren
Gerät nicht verborgen (auch nicht an die eigenen Kinder zum Spielen)
15.01.2015 Seite 36
Anonymität & Mobilität
Mobilfunk
Gesprächs-/SMS-Daten, Position, Datenverbindungen (aber keine Inhalte)
werden aufgezeichnet (VDS gibt’s ja derzeit nicht)
Abhilfe: PrePaid SIM-Karten ohne Anmeldung
– Erste Aktivierung und IMEI des Geräts wird protokolliert
– Keine Zuordnung zu Person möglich
– Vorsicht beim Bezahlen der SIM/Handy!
Backups auf PC (iTunes, Kies) nicht vergessen!
WLAN
Betreiber öffentlicher HotSpots loggen uU auch „alles“ mit
Aber: mobile Geräte&Laptops „verraten“ vieles (MAC-Adresse von WLAN,
Rechnername, verwendeter Browser, …) und das kann mitgeloggt werden
Abhilfe: Mobiles Breitband, anonymes Surfen, Verschlüsselung
15.01.2015 Seite 37
Was tun? Wenn was passiert…
1. Gerät suchen, sperren bzw. Löschen
• Suche des Geräts (iCloud, …)
• Löschen des Geräts (iCloud, MDM, OWA, Web-Service)
• Sperren des Geräts
15.01.2015 Seite 38
Suchen/Sperren/LöschenGeräts Apple iPhone/iPad/Mac - iCloud (www.icloud.com)
Seite 39 15.01.2015
Suchen/Sperren/Löschen Android: zB AVG Antivirus (www.avgmobilation.com)
Seite 40 15.01.2015
Löschen/Sperren des Geräts Beispiel: Exchange OWA (Optionen)
Seite 41 21.10.2014
Was tun? Wenn was passiert…
1. Gerät suchen, sperren bzw. Löschen
• Suche des Geräts (iCloud, …)
• Löschen des Geräts (iCloud, MDM, OWA, Web-Service)
• Sperren des Geräts
2. Kreditkartendaten löschen und Passwörter ändern
• In store/market/play hinterlegte Kreditkartendaten entfernen
• Passwörter ändern: E-Mail, Domain-Passwort, eBay, Google, …
3. SIM-Karte Deaktivieren
• Sperre der SIM (Mobilfunkprovider, IT-Hotline der Firma)
15.01.2015
4. Beten…
Seite 42
Weiterführende Informationen
Seite 43 15.01.2015
Workshop mit Beispielen für anonymes Surfen, E-Mail-Security,
Verschlüsselung
Weiters:
„Sind Sie IT-sicher?“ Sicherheitscheck
Exponat in „AUSSER KONTROLLE“ Ausstellung im AEC
Für die „Profis“: Bundesamt für Sicherheit in der Informationstechnik
– BSI, www.bsi.de
FH OÖ – Department Sichere Informationssysteme
Weiterführende Informationen
Seite 44 15.01.2015
https://www.onlinesicherheit.gv.at/
http://securitycheck.fh-hagenberg.at
„Sind Sie IT-sicher?“ Sicherheitscheck
Weiterführende Informationen
Seite 45 15.01.2015
„Apps: Fallen und Tipps für Konsumentinnen“
AK-Wien, März 2012 (http://www.arbeiterkammer.at/bilder/d169/Apps_Marz12.pdf)
„Sind Sie IT-sicher?“ Sicherheitscheck
Exponat in „AUSSER KONTROLLE“ Ausstellung im AEC
Für die „Profis“: Bundesamt für Sicherheit in der
Informationstechnik – BSI, www.bsi.de
Seite 46 15.01.2015
Danke für Ihre Aufmerksamkeit!
FH-Prof. DI Robert Kolmhofer
Leiter des Departments Sichere Informationssysteme
FH OÖ Fakultät für Informatik/Kommunikation/Medien
Campus Hagenberg
Seite 47 15.01.2015
Danke für Ihre Aufmerksamkeit!
FH-Prof. DI Robert Kolmhofer
Leiter des Departments Sichere Informationssysteme
FH OÖ Fakultät für Informatik/Kommunikation/Medien
Campus Hagenberg
