SlideShare ist ein Scribd-Unternehmen logo

Vortrag social engineering

digital worx
digital worx

Vortrag an der Dualen Hochschule 25. - 16. November im alumni-clubs.net Seminar.

1 von 22
Downloaden Sie, um offline zu lesen
echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de Social Engineering, Sicherheitsschwachstelle Mensch Mirko Ross, echolot digital worx GmbH SOCIAL ENGINEERING
echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de Überblick Social Engineering ist eine ökonomische Methode für den unberechtigten Zugriff auf Daten oder Dinge.
echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de Methodik Social Engineering setzt auf menschliche Schwächen: - Gewohnheiten - Gruppendruck - Gutgläubigkeit - Triebe - Gehorsam gegenüber Autoritäten - Blindes vertrauen in Menschen oder Technik ...
echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de Beispiel 1 Beispiel 1: Der Umgang mit Passwörtern
echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de Beispiel Passwörter Passwörter Passwörter sind lästig, schwer zu merken oder leicht zu erraten... Typische statistische Eigenschaften von Passwörtern:* 30% wählen Passwörter mit 6 und weniger Zeichen 60% nutzen einen eingrenzbaren Bereich von A-Z und 1 – 0 50% verwenden Namen und einfache Wörter Quelle: Imperia Studie http://www.imperva.com/docs/WP_Consumer_Password_Worst_Practices.pdf
echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de Passwörter: Statistische Auswertung Auswertung der Passwörter aus dem Portal Rockyou. Basierend auf 32 Millionen gestohlenen Datensätzen in 2009* Passwort Anzahl Benutzer 1. 123456 290.731 2. 12345 79078 3. 123456789 76790 4. Password 61958 5. iloveyou 51622 6. princess 35231 7. rockyou 22588 8. 1234567 21726 9. 12345678 20553 10. abc123 17542 Quelle: Imperia Studie http://www.imperva.com/docs/WP_Consumer_Password_Worst_Practices.pdf
echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de Passwörter: Soziale Auswertung Auch sehr beliebt: Menschen wählen Passwörter die einen sozialen Ursprung haben Top 5 der sozialen Passwörter* 1. Name des Haustiers 2. Mädchenname der Mutter 3. Name des Partners 4. Urlaubsort 5. Hobby Quelle: Süddeutsche Zeitung http://www.sueddeutsche.de/digital/sicherheit-die-beliebtesten-passwoerter-top-five- 1.540428
echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de Passwörter: optimierter Brute-Force-Angriff Wahrscheinlichkeit ein Passwort zu erraten bei einem Brute- Force-Angriff mit optimierten Wörterbuch* Anzahl der Versuche Quelle: Imperia Studie http://www.imperva.com/docs/WP_Consumer_Password_Worst_Practices.pdf
echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de Passwörter: es gibt keine ideale Lösung Umgang mit Passwörter Eine technische Verschärfung von Passwortregeln ist möglich: z.B.: min. 8 Zeichen, Buchstaben, Zahlen und Sonderzeichen ABER Komplexe Passwörter führen auch zu menschliche Schwachstellen: - Leicht zu merkende Kombinationen: Hallo1234! - Benutzer notieren komplexe Passwörter: sdh&73&Fvs“u - Benutzer nutzen ein universelles Passwort für n Systeme
echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de Beispiel 2 Beispiel 2: Das Lockvogelprinzip in sozialen Netzwerken
echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de Virtueller Lockvogel Der Fall Robin Sage Eine Kunstfigur wird zur Falle für Geheimnisträger. Das Prinzip: - Sexuelle Anziehung - Gruppendynamik - Soziale Netzwerke: Facebook, LinkedIn, Twitter...
echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de Virtueller Lockvogel Robin Sage - ein Experiment von Thomas Ryan* Angriffsziel: Militärische Geheimnisträger Aufbau der Legende „Robin Sage“ - Weiblich, attraktiv - Gebildeter Lebenslauf (St. Paul's School, MIT) - Beruflich Erfolgreich mit Führungsposition militärische Sicherheitsberatung - Mitglied in sozialen Netzwerken: LinkedIn, Facebook, Twitter... Thomas Ryan, Get in Bed with Robin Sage http://media.blackhat.com/ bh-us-10/whitepapers/Ryan/BlackHat-USA-2010-Ryan-Getting-In-Bed-With-Robin-Sage-v1.0.pdf
echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de Virtueller Lockvogel Robin Sage in sozialen Netzwerken
echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de Virtueller Lockvogel Robin Sage – erfolgreich trotz Widersprüche Mit etwas Recherche war der virtuelle Charakter leicht zu entlarven - 25 Jahre, Karrierefrau aber z.B. keine Datenspuren bei Konferenzen - Berufsbezeichnung „Cyber Intelligence Operator" war frei erfunden - Der Name „Sage“ ist eine militärische Bezeichnung
echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de Virtueller Lockvogel Robin Sage – erfolgreich trotz Widersprüche Trotzdem war Robin Sage eine gefragte Person - Angebote von Headhuntern - Freundschaftsangebote von Absolventen des MIT und St. Pauls - Über 300 Kontakte zu hochrangige Mitarbeitern in Militär, Rüstung und Geheimdienste - Zahlreiche Einladungen zum Essen - Erhielt militärische Geheimdokumente zu Einsätzen in Afghanistan
echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de Beispiel 3 Beispiel 3: Öffentliche Informationen sammeln, um persönliche Daten zu erlangen.
echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de Sammeln und Auswerten öffenlticher Informationen Sarah Palin – delikate E-Mails werden öffentlich Angriffsziel: Sarah Palin, Präsidentschaftswahlkampf 2008 Hack des privaten Yahoo E-Mail Postfach - Ausnutzen einer technischen und methodischen Schwachstelle - Recherche von persönlichen Informationen zur Validierung - Kopie des Yahoo E-Mail Postfaches werden auf Wikileaks veröffentlicht
echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de Sammeln und Auswerten öffenlticher Informationen Schwachstelle Yahoo „Passwort-Benutzername-vergessen-Funktion“* http://www.wired.com/threatlevel/2008/09/palin-e-mail-ha/
echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de Sammeln und Auswerten öffenlticher Informationen Verblüffend einfache Methode Angreifer Student David Kernell, 22 Jahre: „...it took seriously 45 mins on wikipedia and google to find the info, Birthday? 15 seconds on wikipedia, zip code? well she had always been from wasilla, and it only has 2 zip codes (thanks online postal service!) the second was somewhat harder, the question was “where did you meet your spouse?” did some research, and apparently she had eloped with mister palin after college, if youll look on some of the screenshits that I took and other fellow anon have so graciously put on photobucket you will see the google search for “palin eloped” or some such in one of the tabs. I found out later though more research that they met at high school, so I did variations of that, high, high school, eventually hit on “Wasilla high” I promptly changed the password to popcorn and took a cold shower…“ Quelle Wired Magazin http://www.wired.com/threatlevel/2008/09/palin-e-mail-ha/
echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de Schutz Social Engineering Wenn es so einfach ist, wie kann ich mich dann effektiv schützen?
echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de Schutz vor Social Engineering Grundlegender Schutz - Schulungen im Umgang mit Daten - Autorisierte Zugriffe auf sensible Daten gering halten - Hygiene (konsequentes vernichten von ungebrauchten Daten) - Standardisierung vermeiden (Passwörter, Benutzernamen) - Eigene öffentliche Profildaten bewusst steuern Sicherheitsbewusstsein schaffen - Mitarbeiter muss verstehen, was verboten und erlaubt ist - Klare Handlungsanweisung im Umgang mit sensiblen Daten - Die Grenzen der technischen Datensicherheit müssen vermittelt werden
echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de Vielen Dank Mirko Ross echolot digital worx GmbH ross@digital-worx.de 0711 2204093 0

Empfohlen

Browser history
Browser historyBrowser history
Browser historyAndrey Apuhtin
 
Language and Language Learning by AYLİN AYDIN, Uludag University
Language and Language Learning by AYLİN AYDIN, Uludag UniversityLanguage and Language Learning by AYLİN AYDIN, Uludag University
Language and Language Learning by AYLİN AYDIN, Uludag UniversityUludag University
 
Competecewhitepaper
CompetecewhitepaperCompetecewhitepaper
CompetecewhitepaperMOtto Phongsuwan
 
nOOb-1.1-Dev-Env-pt-II.ppt
nOOb-1.1-Dev-Env-pt-II.pptnOOb-1.1-Dev-Env-pt-II.ppt
nOOb-1.1-Dev-Env-pt-II.pptwebhostingguy
 
Https interception
Https interceptionHttps interception
Https interceptionAndrey Apuhtin
 
Antivirus
AntivirusAntivirus
AntivirusAndrey Apuhtin
 
Software
SoftwareSoftware
SoftwareAndrey Apuhtin
 
Fatimawebsitedefinitionofhrd 012012
Fatimawebsitedefinitionofhrd 012012Fatimawebsitedefinitionofhrd 012012
Fatimawebsitedefinitionofhrd 012012weliver
 

Empfohlen

Browser history
Browser historyBrowser history
Browser historyAndrey Apuhtin
 
Language and Language Learning by AYLİN AYDIN, Uludag University
Language and Language Learning by AYLİN AYDIN, Uludag UniversityLanguage and Language Learning by AYLİN AYDIN, Uludag University
Language and Language Learning by AYLİN AYDIN, Uludag UniversityUludag University
 
Competecewhitepaper
CompetecewhitepaperCompetecewhitepaper
CompetecewhitepaperMOtto Phongsuwan
 
nOOb-1.1-Dev-Env-pt-II.ppt
nOOb-1.1-Dev-Env-pt-II.pptnOOb-1.1-Dev-Env-pt-II.ppt
nOOb-1.1-Dev-Env-pt-II.pptwebhostingguy
 
Https interception
Https interceptionHttps interception
Https interceptionAndrey Apuhtin
 
Antivirus
AntivirusAntivirus
AntivirusAndrey Apuhtin
 
Software
SoftwareSoftware
SoftwareAndrey Apuhtin
 
Fatimawebsitedefinitionofhrd 012012
Fatimawebsitedefinitionofhrd 012012Fatimawebsitedefinitionofhrd 012012
Fatimawebsitedefinitionofhrd 012012weliver
 
Datenschutz im Web
Datenschutz im WebDatenschutz im Web
Datenschutz im WebStefan Cordes
 
KEY Note JoinVenture Final.pptx
KEY Note JoinVenture Final.pptxKEY Note JoinVenture Final.pptx
KEY Note JoinVenture Final.pptxFLorian Laumer
 
Informationssicherheitsmanagment
InformationssicherheitsmanagmentInformationssicherheitsmanagment
InformationssicherheitsmanagmentClaus Brell
 
HUK Coburg Wissenshorizonte
HUK Coburg WissenshorizonteHUK Coburg Wissenshorizonte
HUK Coburg WissenshorizonteBernd Schmitz
 
Safer internet firmen kmu_sheets_2018
Safer internet firmen kmu_sheets_2018Safer internet firmen kmu_sheets_2018
Safer internet firmen kmu_sheets_2018Leo Hemetsberger
 
Fb kids
Fb kidsFb kids
Fb kidsDidi Klement
 
Facebbook für Einsteiger, Tipps und Infos
Facebbook für Einsteiger, Tipps und InfosFacebbook für Einsteiger, Tipps und Infos
Facebbook für Einsteiger, Tipps und InfosDidi Klement
 
YouTube killed the Volkshochschule – Welche Daseinsberechtigung hat die VHS z...
YouTube killed the Volkshochschule – Welche Daseinsberechtigung hat die VHS z...YouTube killed the Volkshochschule – Welche Daseinsberechtigung hat die VHS z...
YouTube killed the Volkshochschule – Welche Daseinsberechtigung hat die VHS z...Jöran Muuß-Merholz
 
Junge erwachsene im_netz_herausforderungen
Junge erwachsene im_netz_herausforderungenJunge erwachsene im_netz_herausforderungen
Junge erwachsene im_netz_herausforderungenSibylle Würz
 
Ontologien und Semantic Web - Impulsvortrag Terminologietag
Ontologien und Semantic Web - Impulsvortrag TerminologietagOntologien und Semantic Web - Impulsvortrag Terminologietag
Ontologien und Semantic Web - Impulsvortrag TerminologietagSteffen Staab
 
Big Data, Augmented Ubiquity, Quantified Self
Big Data, Augmented Ubiquity, Quantified SelfBig Data, Augmented Ubiquity, Quantified Self
Big Data, Augmented Ubiquity, Quantified SelfJoerg Blumtritt
 
Networking New York: Die Marke ich im Internet
Networking New York: Die Marke ich im InternetNetworking New York: Die Marke ich im Internet
Networking New York: Die Marke ich im InternetDaniel Ebneter
 
Digitale arbeitswelt die digitalen beduinen verlassen das home office
Digitale arbeitswelt die digitalen beduinen verlassen das home officeDigitale arbeitswelt die digitalen beduinen verlassen das home office
Digitale arbeitswelt die digitalen beduinen verlassen das home officevibrio. Kommunikationsmanagement Dr. Kausch GmbH
 
Vom Web 2.0 zum Enterprise 2.0
Vom Web 2.0 zum Enterprise 2.0Vom Web 2.0 zum Enterprise 2.0
Vom Web 2.0 zum Enterprise 2.0Alexander Kluge
 
Kuenstliche Intelligenz in unserem Alltag
Kuenstliche Intelligenz in unserem AlltagKuenstliche Intelligenz in unserem Alltag
Kuenstliche Intelligenz in unserem AlltagMatthias Stürmer
 
Soziale Netzwerke 2009
Soziale Netzwerke 2009Soziale Netzwerke 2009
Soziale Netzwerke 2009Andreas Neumann
 
Ibrahim Evsan HOTSPOT Vortrag
Ibrahim Evsan HOTSPOT VortragIbrahim Evsan HOTSPOT Vortrag
Ibrahim Evsan HOTSPOT Vortragkambeckfilm
 
Elternanlass OS 2012
Elternanlass OS 2012Elternanlass OS 2012
Elternanlass OS 2012c_kr
 
Big Data im Supply Chain Management
Big Data im Supply Chain ManagementBig Data im Supply Chain Management
Big Data im Supply Chain ManagementBoris Otto
 
Helas gerlach ge-neme20101
Helas gerlach ge-neme20101Helas gerlach ge-neme20101
Helas gerlach ge-neme20101Holger Helas
 
iBeacon – facts, architecture and applications
iBeacon – facts, architecture and applicationsiBeacon – facts, architecture and applications
iBeacon – facts, architecture and applicationsdigital worx
 
Mirko ross csp-2013
Mirko ross csp-2013Mirko ross csp-2013
Mirko ross csp-2013digital worx
 

Weitere ähnliche Inhalte

Ähnlich wie Vortrag social engineering

KEY Note JoinVenture Final.pptx
KEY Note JoinVenture Final.pptxKEY Note JoinVenture Final.pptx
KEY Note JoinVenture Final.pptxFLorian Laumer
 
Informationssicherheitsmanagment
InformationssicherheitsmanagmentInformationssicherheitsmanagment
InformationssicherheitsmanagmentClaus Brell
 
HUK Coburg Wissenshorizonte
HUK Coburg WissenshorizonteHUK Coburg Wissenshorizonte
HUK Coburg WissenshorizonteBernd Schmitz
 
Safer internet firmen kmu_sheets_2018
Safer internet firmen kmu_sheets_2018Safer internet firmen kmu_sheets_2018
Safer internet firmen kmu_sheets_2018Leo Hemetsberger
 
Facebbook für Einsteiger, Tipps und Infos
Facebbook für Einsteiger, Tipps und InfosFacebbook für Einsteiger, Tipps und Infos
Facebbook für Einsteiger, Tipps und InfosDidi Klement
 
YouTube killed the Volkshochschule – Welche Daseinsberechtigung hat die VHS z...
YouTube killed the Volkshochschule – Welche Daseinsberechtigung hat die VHS z...YouTube killed the Volkshochschule – Welche Daseinsberechtigung hat die VHS z...
YouTube killed the Volkshochschule – Welche Daseinsberechtigung hat die VHS z...Jöran Muuß-Merholz
 
Junge erwachsene im_netz_herausforderungen
Junge erwachsene im_netz_herausforderungenJunge erwachsene im_netz_herausforderungen
Junge erwachsene im_netz_herausforderungenSibylle Würz
 
Ontologien und Semantic Web - Impulsvortrag Terminologietag
Ontologien und Semantic Web - Impulsvortrag TerminologietagOntologien und Semantic Web - Impulsvortrag Terminologietag
Ontologien und Semantic Web - Impulsvortrag TerminologietagSteffen Staab
 
Big Data, Augmented Ubiquity, Quantified Self
Big Data, Augmented Ubiquity, Quantified SelfBig Data, Augmented Ubiquity, Quantified Self
Big Data, Augmented Ubiquity, Quantified SelfJoerg Blumtritt
 
Networking New York: Die Marke ich im Internet
Networking New York: Die Marke ich im InternetNetworking New York: Die Marke ich im Internet
Networking New York: Die Marke ich im InternetDaniel Ebneter
 
Vom Web 2.0 zum Enterprise 2.0
Vom Web 2.0 zum Enterprise 2.0Vom Web 2.0 zum Enterprise 2.0
Vom Web 2.0 zum Enterprise 2.0Alexander Kluge
 
Kuenstliche Intelligenz in unserem Alltag
Kuenstliche Intelligenz in unserem AlltagKuenstliche Intelligenz in unserem Alltag
Kuenstliche Intelligenz in unserem AlltagMatthias Stürmer
 
Ibrahim Evsan HOTSPOT Vortrag
Ibrahim Evsan HOTSPOT VortragIbrahim Evsan HOTSPOT Vortrag
Ibrahim Evsan HOTSPOT Vortragkambeckfilm
 
Elternanlass OS 2012
Elternanlass OS 2012Elternanlass OS 2012
Elternanlass OS 2012c_kr
 
Big Data im Supply Chain Management
Big Data im Supply Chain ManagementBig Data im Supply Chain Management
Big Data im Supply Chain ManagementBoris Otto
 
Helas gerlach ge-neme20101
Helas gerlach ge-neme20101Helas gerlach ge-neme20101
Helas gerlach ge-neme20101Holger Helas
 

Ähnlich wie Vortrag social engineering (20)

Datenschutz im Web
Datenschutz im WebDatenschutz im Web
Datenschutz im Web
 
KEY Note JoinVenture Final.pptx
KEY Note JoinVenture Final.pptxKEY Note JoinVenture Final.pptx
KEY Note JoinVenture Final.pptx
 
Informationssicherheitsmanagment
InformationssicherheitsmanagmentInformationssicherheitsmanagment
Informationssicherheitsmanagment
 
HUK Coburg Wissenshorizonte
HUK Coburg WissenshorizonteHUK Coburg Wissenshorizonte
HUK Coburg Wissenshorizonte
 
Safer internet firmen kmu_sheets_2018
Safer internet firmen kmu_sheets_2018Safer internet firmen kmu_sheets_2018
Safer internet firmen kmu_sheets_2018
 
Fb kids
Fb kidsFb kids
Fb kids
 
Facebbook für Einsteiger, Tipps und Infos
Facebbook für Einsteiger, Tipps und InfosFacebbook für Einsteiger, Tipps und Infos
Facebbook für Einsteiger, Tipps und Infos
 
YouTube killed the Volkshochschule – Welche Daseinsberechtigung hat die VHS z...
YouTube killed the Volkshochschule – Welche Daseinsberechtigung hat die VHS z...YouTube killed the Volkshochschule – Welche Daseinsberechtigung hat die VHS z...
YouTube killed the Volkshochschule – Welche Daseinsberechtigung hat die VHS z...
 
Junge erwachsene im_netz_herausforderungen
Junge erwachsene im_netz_herausforderungenJunge erwachsene im_netz_herausforderungen
Junge erwachsene im_netz_herausforderungen
 
Ontologien und Semantic Web - Impulsvortrag Terminologietag
Ontologien und Semantic Web - Impulsvortrag TerminologietagOntologien und Semantic Web - Impulsvortrag Terminologietag
Ontologien und Semantic Web - Impulsvortrag Terminologietag
 
Big Data, Augmented Ubiquity, Quantified Self
Big Data, Augmented Ubiquity, Quantified SelfBig Data, Augmented Ubiquity, Quantified Self
Big Data, Augmented Ubiquity, Quantified Self
 
Networking New York: Die Marke ich im Internet
Networking New York: Die Marke ich im InternetNetworking New York: Die Marke ich im Internet
Networking New York: Die Marke ich im Internet
 
Digitale arbeitswelt die digitalen beduinen verlassen das home office
Digitale arbeitswelt die digitalen beduinen verlassen das home officeDigitale arbeitswelt die digitalen beduinen verlassen das home office
Digitale arbeitswelt die digitalen beduinen verlassen das home office
 
Vom Web 2.0 zum Enterprise 2.0
Vom Web 2.0 zum Enterprise 2.0Vom Web 2.0 zum Enterprise 2.0
Vom Web 2.0 zum Enterprise 2.0
 
Kuenstliche Intelligenz in unserem Alltag
Kuenstliche Intelligenz in unserem AlltagKuenstliche Intelligenz in unserem Alltag
Kuenstliche Intelligenz in unserem Alltag
 
Soziale Netzwerke 2009
Soziale Netzwerke 2009Soziale Netzwerke 2009
Soziale Netzwerke 2009
 
Ibrahim Evsan HOTSPOT Vortrag
Ibrahim Evsan HOTSPOT VortragIbrahim Evsan HOTSPOT Vortrag
Ibrahim Evsan HOTSPOT Vortrag
 
Elternanlass OS 2012
Elternanlass OS 2012Elternanlass OS 2012
Elternanlass OS 2012
 
Big Data im Supply Chain Management
Big Data im Supply Chain ManagementBig Data im Supply Chain Management
Big Data im Supply Chain Management
 
Helas gerlach ge-neme20101
Helas gerlach ge-neme20101Helas gerlach ge-neme20101
Helas gerlach ge-neme20101
 

Mehr von digital worx

iBeacon – facts, architecture and applications
iBeacon – facts, architecture and applicationsiBeacon – facts, architecture and applications
iBeacon – facts, architecture and applicationsdigital worx
 
Mirko ross csp-2013
Mirko ross csp-2013Mirko ross csp-2013
Mirko ross csp-2013digital worx
 
Io t linked-vendor-relation-ship-management
Io t linked-vendor-relation-ship-managementIo t linked-vendor-relation-ship-management
Io t linked-vendor-relation-ship-managementdigital worx
 
T3n11 alumni echolot_digital_worx
T3n11 alumni echolot_digital_worxT3n11 alumni echolot_digital_worx
T3n11 alumni echolot_digital_worxdigital worx
 
Von 0 auf 3.000 - online Alumni-Strategie der Leuphana Lüneburg
Von 0 auf 3.000 - online Alumni-Strategie der Leuphana LüneburgVon 0 auf 3.000 - online Alumni-Strategie der Leuphana Lüneburg
Von 0 auf 3.000 - online Alumni-Strategie der Leuphana Lüneburgdigital worx
 
Echolot digital worx_crm_vergleich
Echolot digital worx_crm_vergleichEcholot digital worx_crm_vergleich
Echolot digital worx_crm_vergleichdigital worx
 
Open Source CRM Systeme im Vergleich - echolot digital worx
Open Source CRM Systeme im Vergleich - echolot digital worxOpen Source CRM Systeme im Vergleich - echolot digital worx
Open Source CRM Systeme im Vergleich - echolot digital worxdigital worx
 
echolot digital worx GmbH - Internetagentur / TYPO3 Stuttgart
echolot digital worx GmbH - Internetagentur / TYPO3 Stuttgartecholot digital worx GmbH - Internetagentur / TYPO3 Stuttgart
echolot digital worx GmbH - Internetagentur / TYPO3 Stuttgartdigital worx
 
En alumni echolot_digital_worx_ppt
En alumni echolot_digital_worx_pptEn alumni echolot_digital_worx_ppt
En alumni echolot_digital_worx_pptdigital worx
 

Mehr von digital worx (9)

iBeacon – facts, architecture and applications
iBeacon – facts, architecture and applicationsiBeacon – facts, architecture and applications
iBeacon – facts, architecture and applications
 
Mirko ross csp-2013
Mirko ross csp-2013Mirko ross csp-2013
Mirko ross csp-2013
 
Io t linked-vendor-relation-ship-management
Io t linked-vendor-relation-ship-managementIo t linked-vendor-relation-ship-management
Io t linked-vendor-relation-ship-management
 
T3n11 alumni echolot_digital_worx
T3n11 alumni echolot_digital_worxT3n11 alumni echolot_digital_worx
T3n11 alumni echolot_digital_worx
 
Von 0 auf 3.000 - online Alumni-Strategie der Leuphana Lüneburg
Von 0 auf 3.000 - online Alumni-Strategie der Leuphana LüneburgVon 0 auf 3.000 - online Alumni-Strategie der Leuphana Lüneburg
Von 0 auf 3.000 - online Alumni-Strategie der Leuphana Lüneburg
 
Echolot digital worx_crm_vergleich
Echolot digital worx_crm_vergleichEcholot digital worx_crm_vergleich
Echolot digital worx_crm_vergleich
 
Open Source CRM Systeme im Vergleich - echolot digital worx
Open Source CRM Systeme im Vergleich - echolot digital worxOpen Source CRM Systeme im Vergleich - echolot digital worx
Open Source CRM Systeme im Vergleich - echolot digital worx
 
echolot digital worx GmbH - Internetagentur / TYPO3 Stuttgart
echolot digital worx GmbH - Internetagentur / TYPO3 Stuttgartecholot digital worx GmbH - Internetagentur / TYPO3 Stuttgart
echolot digital worx GmbH - Internetagentur / TYPO3 Stuttgart
 
En alumni echolot_digital_worx_ppt
En alumni echolot_digital_worx_pptEn alumni echolot_digital_worx_ppt
En alumni echolot_digital_worx_ppt
 

Vortrag social engineering

  • 1. echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de Social Engineering, Sicherheitsschwachstelle Mensch Mirko Ross, echolot digital worx GmbH SOCIAL ENGINEERING
  • 2. echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de Überblick Social Engineering ist eine ökonomische Methode für den unberechtigten Zugriff auf Daten oder Dinge.
  • 3. echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de Methodik Social Engineering setzt auf menschliche Schwächen: - Gewohnheiten - Gruppendruck - Gutgläubigkeit - Triebe - Gehorsam gegenüber Autoritäten - Blindes vertrauen in Menschen oder Technik ...
  • 4. echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de Beispiel 1 Beispiel 1: Der Umgang mit Passwörtern
  • 5. echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de Beispiel Passwörter Passwörter Passwörter sind lästig, schwer zu merken oder leicht zu erraten... Typische statistische Eigenschaften von Passwörtern:* 30% wählen Passwörter mit 6 und weniger Zeichen 60% nutzen einen eingrenzbaren Bereich von A-Z und 1 – 0 50% verwenden Namen und einfache Wörter Quelle: Imperia Studie http://www.imperva.com/docs/WP_Consumer_Password_Worst_Practices.pdf
  • 6. echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de Passwörter: Statistische Auswertung Auswertung der Passwörter aus dem Portal Rockyou. Basierend auf 32 Millionen gestohlenen Datensätzen in 2009* Passwort Anzahl Benutzer 1. 123456 290.731 2. 12345 79078 3. 123456789 76790 4. Password 61958 5. iloveyou 51622 6. princess 35231 7. rockyou 22588 8. 1234567 21726 9. 12345678 20553 10. abc123 17542 Quelle: Imperia Studie http://www.imperva.com/docs/WP_Consumer_Password_Worst_Practices.pdf
  • 7. echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de Passwörter: Soziale Auswertung Auch sehr beliebt: Menschen wählen Passwörter die einen sozialen Ursprung haben Top 5 der sozialen Passwörter* 1. Name des Haustiers 2. Mädchenname der Mutter 3. Name des Partners 4. Urlaubsort 5. Hobby Quelle: Süddeutsche Zeitung http://www.sueddeutsche.de/digital/sicherheit-die-beliebtesten-passwoerter-top-five- 1.540428
  • 8. echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de Passwörter: optimierter Brute-Force-Angriff Wahrscheinlichkeit ein Passwort zu erraten bei einem Brute- Force-Angriff mit optimierten Wörterbuch* Anzahl der Versuche Quelle: Imperia Studie http://www.imperva.com/docs/WP_Consumer_Password_Worst_Practices.pdf
  • 9. echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de Passwörter: es gibt keine ideale Lösung Umgang mit Passwörter Eine technische Verschärfung von Passwortregeln ist möglich: z.B.: min. 8 Zeichen, Buchstaben, Zahlen und Sonderzeichen ABER Komplexe Passwörter führen auch zu menschliche Schwachstellen: - Leicht zu merkende Kombinationen: Hallo1234! - Benutzer notieren komplexe Passwörter: sdh&73&Fvs“u - Benutzer nutzen ein universelles Passwort für n Systeme
  • 10. echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de Beispiel 2 Beispiel 2: Das Lockvogelprinzip in sozialen Netzwerken
  • 11. echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de Virtueller Lockvogel Der Fall Robin Sage Eine Kunstfigur wird zur Falle für Geheimnisträger. Das Prinzip: - Sexuelle Anziehung - Gruppendynamik - Soziale Netzwerke: Facebook, LinkedIn, Twitter...
  • 12. echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de Virtueller Lockvogel Robin Sage - ein Experiment von Thomas Ryan* Angriffsziel: Militärische Geheimnisträger Aufbau der Legende „Robin Sage“ - Weiblich, attraktiv - Gebildeter Lebenslauf (St. Paul's School, MIT) - Beruflich Erfolgreich mit Führungsposition militärische Sicherheitsberatung - Mitglied in sozialen Netzwerken: LinkedIn, Facebook, Twitter... Thomas Ryan, Get in Bed with Robin Sage http://media.blackhat.com/ bh-us-10/whitepapers/Ryan/BlackHat-USA-2010-Ryan-Getting-In-Bed-With-Robin-Sage-v1.0.pdf
  • 13. echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de Virtueller Lockvogel Robin Sage in sozialen Netzwerken
  • 14. echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de Virtueller Lockvogel Robin Sage – erfolgreich trotz Widersprüche Mit etwas Recherche war der virtuelle Charakter leicht zu entlarven - 25 Jahre, Karrierefrau aber z.B. keine Datenspuren bei Konferenzen - Berufsbezeichnung „Cyber Intelligence Operator" war frei erfunden - Der Name „Sage“ ist eine militärische Bezeichnung
  • 15. echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de Virtueller Lockvogel Robin Sage – erfolgreich trotz Widersprüche Trotzdem war Robin Sage eine gefragte Person - Angebote von Headhuntern - Freundschaftsangebote von Absolventen des MIT und St. Pauls - Über 300 Kontakte zu hochrangige Mitarbeitern in Militär, Rüstung und Geheimdienste - Zahlreiche Einladungen zum Essen - Erhielt militärische Geheimdokumente zu Einsätzen in Afghanistan
  • 16. echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de Beispiel 3 Beispiel 3: Öffentliche Informationen sammeln, um persönliche Daten zu erlangen.
  • 17. echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de Sammeln und Auswerten öffenlticher Informationen Sarah Palin – delikate E-Mails werden öffentlich Angriffsziel: Sarah Palin, Präsidentschaftswahlkampf 2008 Hack des privaten Yahoo E-Mail Postfach - Ausnutzen einer technischen und methodischen Schwachstelle - Recherche von persönlichen Informationen zur Validierung - Kopie des Yahoo E-Mail Postfaches werden auf Wikileaks veröffentlicht
  • 18. echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de Sammeln und Auswerten öffenlticher Informationen Schwachstelle Yahoo „Passwort-Benutzername-vergessen-Funktion“* http://www.wired.com/threatlevel/2008/09/palin-e-mail-ha/
  • 19. echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de Sammeln und Auswerten öffenlticher Informationen Verblüffend einfache Methode Angreifer Student David Kernell, 22 Jahre: „...it took seriously 45 mins on wikipedia and google to find the info, Birthday? 15 seconds on wikipedia, zip code? well she had always been from wasilla, and it only has 2 zip codes (thanks online postal service!) the second was somewhat harder, the question was “where did you meet your spouse?” did some research, and apparently she had eloped with mister palin after college, if youll look on some of the screenshits that I took and other fellow anon have so graciously put on photobucket you will see the google search for “palin eloped” or some such in one of the tabs. I found out later though more research that they met at high school, so I did variations of that, high, high school, eventually hit on “Wasilla high” I promptly changed the password to popcorn and took a cold shower…“ Quelle Wired Magazin http://www.wired.com/threatlevel/2008/09/palin-e-mail-ha/
  • 20. echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de Schutz Social Engineering Wenn es so einfach ist, wie kann ich mich dann effektiv schützen?
  • 21. echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de Schutz vor Social Engineering Grundlegender Schutz - Schulungen im Umgang mit Daten - Autorisierte Zugriffe auf sensible Daten gering halten - Hygiene (konsequentes vernichten von ungebrauchten Daten) - Standardisierung vermeiden (Passwörter, Benutzernamen) - Eigene öffentliche Profildaten bewusst steuern Sicherheitsbewusstsein schaffen - Mitarbeiter muss verstehen, was verboten und erlaubt ist - Klare Handlungsanweisung im Umgang mit sensiblen Daten - Die Grenzen der technischen Datensicherheit müssen vermittelt werden
  • 22. echolot digital worx GmbH 70565 Stuttgart www.digital-worx.de Vielen Dank Mirko Ross echolot digital worx GmbH ross@digital-worx.de 0711 2204093 0