Präsentation zu praktischen Aspekten der IT Security und der Gründung eines Unternehmens.
Kurzer Vortrag (30 Minuten) im Verbundstudium Master Wirtschaftsinformatik an der Fachhochschule Köln
6. Grundpfeiler Verschlüsselung
Wie funktioniert SSL?
Verschlüsselung über Zertifikate
Jeder kann ein Zertifikat erstellen
Mehrere Trusted Certification Authorities
Web-of-Trust Ansatz
Man vertraut jedem Zertifikat, einer trusted CA
White-List and Revocation List
26/11/11 6
7. Grundpfeiler Verschlüsselung
Vorteile
Etabilierte & einfache Handhabe
Sichert Verbindungen ab
Nachteile
Sicherheit hängt an der Sicherheit der CA
“teurer” Verbindungsaufbau
Mitgeschnittener Traffic kann “einfach” geknackt werden
Verbesserung durch Google
Revocation Lists werden nicht (immer) geupdated
26/11/11 7
9. Angriffsszenarien & Gegenmaßnahmen
Man-In-The-Middle-Attack
SSL erschwert die Attacke
Schwer erkennbar
Oft durch Malware
iniziiert
Operation Ghostclick
14 Mio. US-$
Schaden
http://www.owasp.org/
26/11/11 9
10. Cloudcomputing
Island Hopping & Phishing
User erwartet Informationen
aus vertraulicher Quelle
Bezieht aus dieser Quelle
Schadsoftware
Dient als Einstiegspunkt http://www.wikimedia.org/
zum eigentlichen Ziel
Komplizierter Angriff
Beispiele: Lockheed Martin, RSA
26/11/11 10
11. Angriffsszenarien & Gegenmaßnahmen
Cross Site Scripting
Ausführung von Javascript in ungewünschten Kontext
Ungefiltertes speichern der Eingaben
Mangelhafte Validierung der Eingabedaten
Mangelhafte Parameterkontrolle
Häufigster Fehler in Webapps
Priviledge Escalation
Nutzt Vertrauenwürdigkeit der Website
aus
(non)persitent, dom-basiert http://catthetechie.blogspot.com
26/11/11 11
12. Angriffsszenarien & Gegenmaßnahmen
Cross Site Request Forgery
Statuslosigkeit von HTTP
Phishing & XSS
Nutzt Vertrauenswürdigkeit
des Browsers aus
Session-Riding
http://www.sciencesecurity.com
User kann sich nur schwer schützen
Schutz sollte serverseitig implementiert sein
26/11/11 12
13. Angriffsszenarien & Gegenmaßnahmen
SQL Injection
Unzureichende Eingabeprüfung
Mehrstufiger Angriff
Einstieg für XSS & XSRF Attacken
Beispiel:
Select count(*) from users where username = 'username'
and password = 'password';
Select count(*) from users where username = 'Max' and
password = 'Musterpassword';
Select count(*) from users where username = 'Max' and
password = '' or 1=1 limit 1;--';
26/11/11 13
14. Angriffsszenarien & Gegenmaßnahmen
DNS Tunneling
IP Traffic wird über DNS getunnelt
Umgehung der Zugriffskontrolle
Umgehung von Zensurmaßnahmen
Eher Angriff auf staatliche Kontroll- und Zensurvorhaben
Beispiel: Wifi Access Points
26/11/11 14
16. Cloudcomputing
Beispiel: Amazon Cloud Services
Ungeklärte rechtliche Situation
Im Zweifel amerikanisches Recht
Webservices
Services und Daten stehen im Internet
Lediglich SLAs als Versprechen www.cloudcomputingx.org
Supercomputer im Netz
EC2 Ausfall über mehrere Stunden
26/11/11 16
18. Webservices
OpenID
LDAP fürs Internet
Dezentrale OpenID Provider
Facebook, Google
Single Sign On Lösung
Potentielle Anfälligkeit für Phishing Attacken
Kompromittierung aller Seiten
26/11/11 18
19. Webservices
OAuth 2.0
Offenes Authentisierungsprotokoll
Keine Identitätsfeststellung
Freigabe von Ressourcen
Authentifizierung durch
Tokens
http://www.wikipedia.org
26/11/11 19
20. Webservices
Schwachstellen
www.ws-attacks.org
Security wird durch Webservice bereitgestellt
SQLInjection, alle klassischen Lücken
XML Injection
Amazon EC2 Admin Lücke
XML Signature Wrapping
Priviledge Escalation
26/11/11 20
22. Scada & Kritische Infrastrukturen
Scada (Supervisory Control and Data Acquisition)
Anlagensteuerung
Stuxnet (Juni 2010)
Iranische Atomanlagen
US Wasserkraftwerke
US Gefängnisse
Gaspipeline in Alaska
26/11/11 22
24. Gründung eines Startups
Formalitäten
Namenprüfung durch IHK
Notartermin
Eintragung beim Amtsgericht
Veröffentlichung der Firma
Konto mit Stammkapital eröffnen
Steuernummer beantragen
Die Arbeit kann beginnen!
26/11/11 24
25. Gründung eines Startups
UG Lüge
1€ Stammkapital
Notarkosten: 300€-600€
UG ist überschuldet
UG mit zu wenig Kapital wird als Betrugsversuch
gewertet
UG ist Kapitalgesellschaft ohne pers. Haftung
Bei Kreditanträgen: pers. Haftung gegenüber der Bank
26/11/11 25
26. Gründung eines Startups
Konkrete Gründung
Gewünschter Name: sniggle.me UG
Gründungsort Köln → Bottrop
Zwei Gründer: Satzung wie bei der GmbH
Notar 600€
IT Security Themen
Cloudcomputing
Datenschutz
26/11/11 26
30. Quellen
http://www.memagazine.org/backissues/membersonly/dec02/features/scadavs/scadavs.html
http://www.isa.org/FileStore/Intech/WhitePaper/Hacking-the-industrial-network-USversion.pdf
http://www.itwire.com/business-it-news/security/51262-two-us-water-authorities-control-systems-breached
Bücher
Web application vulnerabilities: detect, exploit, prevent, Michael Cross, Steven Palmer
Financial Cryptography and Data Security: 13th International Conference, FC 2009, Accra Beach, Barbados,Roger Dingledine,
Philippe Golle
Seven Deadliest Web Application Attacks By Mike Shema
SQL injection attacks and defense, Justin Clarke
SSL and TLS: theory and practice, Rolf Oppliger
Cloud Security and Privacy: An Enterprise Perspective on Risks and Compliance, Tim Mather, Subra Kumaraswamy, Shahed
Latif
RESTful Web Services Cookbook: Solutions for Improving Scalability and Simplicity, Subbu Allamaraju
26/11/11 30