SlideShare una empresa de Scribd logo
1 de 31
Descargar para leer sin conexión
RISIKO
Datensicherheit
NSABNDKGB kennt alle ihre Geheimnisse!
Unterschleißheim – Jüngste
Studien haben ergeben, dass Ihre
Daten nur noch unter Ihrem
Kopfkissen sicher sind. Handeln
Sie schnell!
Lesen Sie hier nicht weiter,
sondern hören Sie dem
nicht weiter, sondern hören Sie
dem Referenten zu. Lesen Sie
hier nicht weiter, sondern hören
Sie dem Referenten zu. Lesen Sie
hier nicht weiter, sondern hören
Sie dem Referenten zu. Lesen Sie
hier nicht weiter, sondern hören
Sie dem Referenten zu. Lesen Sie
hier nicht weiter, sondern hören
Sie dem Referenten zu. Lesen Sie
hier nicht weiter, sondern hören
Sie dem Referenten zu. Lesen Sie
hier nicht weiter, sondern hören
Sie dem Referenten zu.
Risiko Datensicherheit - eine unterhaltsame Sightseeing Tour
Risiko Datensicherheit - eine unterhaltsame Sightseeing Tour
Risiko Datensicherheit - eine unterhaltsame Sightseeing Tour
Risiko Datensicherheit - eine unterhaltsame Sightseeing Tour
Risiko Datensicherheit - eine unterhaltsame Sightseeing Tour
Data at Rest Data in Motion/Transit Data in Use
Risiko Datensicherheit - eine unterhaltsame Sightseeing Tour
Risiko Datensicherheit - eine unterhaltsame Sightseeing Tour
Risiko Datensicherheit - eine unterhaltsame Sightseeing Tour
Risiko Datensicherheit - eine unterhaltsame Sightseeing Tour
Risiko Datensicherheit - eine unterhaltsame Sightseeing Tour
Risiko Datensicherheit - eine unterhaltsame Sightseeing Tour
Risiko Datensicherheit - eine unterhaltsame Sightseeing Tour
Risiko Datensicherheit - eine unterhaltsame Sightseeing Tour
Risiko Datensicherheit - eine unterhaltsame Sightseeing Tour
Risiko Datensicherheit - eine unterhaltsame Sightseeing Tour
Risiko Datensicherheit - eine unterhaltsame Sightseeing Tour
Member Value Description
Success | success 0 The certificate chain was verified.
Untrusted | untrusted 1 A certificate in the chain is not trusted.
Revoked | revoked 2 A certificate in the chain has been revoked.
Expired | expired 3 A certificate in the chain has expired.
IncompleteChain | incompleteChain 4 The certificate chain is missing one or more certificates.
InvalidSignature | invalidSignature 5
The signature of a certificate in the chain cannot be
verified.
WrongUsage | wrongUsage 6
A certificate in the chain is being used for a purpose
other than one specified by its CA.
InvalidName | invalidName 7
A certificate in the chain has a name that is not valid. The
name is either not included in the permitted list or is
explicitly excluded.
InvalidCertificateAuthorityPolicy |
invalidCertificateAuthorityPolicy
8 A certificate in the chain has a policy that is not valid.
Risiko Datensicherheit - eine unterhaltsame Sightseeing Tour
Risiko Datensicherheit - eine unterhaltsame Sightseeing Tour
Quelle: https://www.youtube.com/watch?v=a6iW-8xPw3k
http://blogs.adobe.com/conversations/2013/10/important-customer-security-announcement.html
Quelle:
http://xkcd.com
/1286/
Risiko Datensicherheit - eine unterhaltsame Sightseeing Tour
Quelle: http://splashdata.com/press/worstpasswords2013.htm
Quelle: Tim Messerschmidt / @SeraAndroiD Lead
Developer Evangelist, EMEA Developer Week ‘14
14% haben ein Passwort der Top 10
40% haben ein Passwort der Top 100
79% haben ein Passwort der Top 500
91% haben ein Passwort der Top 1000
Quelle: Tim Messerschmidt / @SeraAndroiD Lead Developer Evangelist, EMEA Developer Week ‘14
Telepathwords
Quelle: http://xkcd.com/936/
Risiko Datensicherheit - eine unterhaltsame Sightseeing Tour
Risiko Datensicherheit - eine unterhaltsame Sightseeing Tour
Risiko Datensicherheit - eine unterhaltsame Sightseeing Tour

Más contenido relacionado

Destacado

Seminarios Dic 2007
Seminarios Dic 2007Seminarios Dic 2007
Seminarios Dic 2007guest736729
 
Luisacristina
LuisacristinaLuisacristina
Luisacristinacedurante
 
robbi
robbirobbi
robbiyop
 
Ideas Todos Por Las Heras
Ideas Todos Por Las HerasIdeas Todos Por Las Heras
Ideas Todos Por Las HerasLasHeras
 
Curación y escritura para la web
Curación y escritura para la webCuración y escritura para la web
Curación y escritura para la webgrmadryn
 
„Open Data – und was hat das mit mir zu tun?" - Re:publica 2013
„Open Data – und was hat das mit mir zu tun?" - Re:publica 2013„Open Data – und was hat das mit mir zu tun?" - Re:publica 2013
„Open Data – und was hat das mit mir zu tun?" - Re:publica 2013Julia Kloiber
 
Distribuidor De Vipconnectz P 1
Distribuidor De Vipconnectz P 1Distribuidor De Vipconnectz P 1
Distribuidor De Vipconnectz P 1vozeninternet
 
"Der Nussknacker steht Kopf"
"Der Nussknacker steht Kopf""Der Nussknacker steht Kopf"
"Der Nussknacker steht Kopf"olik88
 
Irregularidades en la construcción de viviendas iv
Irregularidades en la construcción de viviendas ivIrregularidades en la construcción de viviendas iv
Irregularidades en la construcción de viviendas ivNelson Hernandez
 
presentación tercero
presentación terceropresentación tercero
presentación terceropostconciliar
 
DIN EN ISO 50001
DIN EN ISO 50001 DIN EN ISO 50001
DIN EN ISO 50001 Ulla Herbst
 
Definiciones
DefinicionesDefiniciones
Definicionestortualan
 

Destacado (17)

Amber
AmberAmber
Amber
 
Seminarios Dic 2007
Seminarios Dic 2007Seminarios Dic 2007
Seminarios Dic 2007
 
Luisacristina
LuisacristinaLuisacristina
Luisacristina
 
robbi
robbirobbi
robbi
 
Ideas Todos Por Las Heras
Ideas Todos Por Las HerasIdeas Todos Por Las Heras
Ideas Todos Por Las Heras
 
PDVSA 1997-2008
PDVSA 1997-2008PDVSA 1997-2008
PDVSA 1997-2008
 
Curación y escritura para la web
Curación y escritura para la webCuración y escritura para la web
Curación y escritura para la web
 
„Open Data – und was hat das mit mir zu tun?" - Re:publica 2013
„Open Data – und was hat das mit mir zu tun?" - Re:publica 2013„Open Data – und was hat das mit mir zu tun?" - Re:publica 2013
„Open Data – und was hat das mit mir zu tun?" - Re:publica 2013
 
Distribuidor De Vipconnectz P 1
Distribuidor De Vipconnectz P 1Distribuidor De Vipconnectz P 1
Distribuidor De Vipconnectz P 1
 
"Der Nussknacker steht Kopf"
"Der Nussknacker steht Kopf""Der Nussknacker steht Kopf"
"Der Nussknacker steht Kopf"
 
Irregularidades en la construcción de viviendas iv
Irregularidades en la construcción de viviendas ivIrregularidades en la construcción de viviendas iv
Irregularidades en la construcción de viviendas iv
 
presentación tercero
presentación terceropresentación tercero
presentación tercero
 
Nuevos Escenarios De Aprendizaje Web 2.0
Nuevos Escenarios De Aprendizaje Web 2.0Nuevos Escenarios De Aprendizaje Web 2.0
Nuevos Escenarios De Aprendizaje Web 2.0
 
DIN EN ISO 50001
DIN EN ISO 50001 DIN EN ISO 50001
DIN EN ISO 50001
 
quesería llazana
quesería llazanaquesería llazana
quesería llazana
 
Definiciones
DefinicionesDefiniciones
Definiciones
 
Autriche 01
Autriche 01Autriche 01
Autriche 01
 

Más de Peter Kirchner

Blockchain in the Food Supply Chain (v2)
Blockchain in the Food Supply Chain (v2)Blockchain in the Food Supply Chain (v2)
Blockchain in the Food Supply Chain (v2)Peter Kirchner
 
Blockchain in the Food Supply Chain
Blockchain in the Food Supply ChainBlockchain in the Food Supply Chain
Blockchain in the Food Supply ChainPeter Kirchner
 
Web APIs auf dem Prüfstand - Volle Kontrolle oder fertig mit den Azure Mobile...
Web APIs auf dem Prüfstand - Volle Kontrolle oder fertig mit den Azure Mobile...Web APIs auf dem Prüfstand - Volle Kontrolle oder fertig mit den Azure Mobile...
Web APIs auf dem Prüfstand - Volle Kontrolle oder fertig mit den Azure Mobile...Peter Kirchner
 
Spontan testen! Das eigene Test Lab, für jeden in der Cloud!
Spontan testen! Das eigene Test Lab, für jeden in der Cloud!Spontan testen! Das eigene Test Lab, für jeden in der Cloud!
Spontan testen! Das eigene Test Lab, für jeden in der Cloud!Peter Kirchner
 
Risiko Datensicherheit - End-to-End-Verschlüsselung von Anwendungsdaten
Risiko Datensicherheit - End-to-End-Verschlüsselung von AnwendungsdatenRisiko Datensicherheit - End-to-End-Verschlüsselung von Anwendungsdaten
Risiko Datensicherheit - End-to-End-Verschlüsselung von AnwendungsdatenPeter Kirchner
 
Das eigene Test Lab, für jeden! (CeBIT-Edition mit Demo-Videos)
Das eigene Test Lab, für jeden! (CeBIT-Edition mit Demo-Videos)Das eigene Test Lab, für jeden! (CeBIT-Edition mit Demo-Videos)
Das eigene Test Lab, für jeden! (CeBIT-Edition mit Demo-Videos)Peter Kirchner
 
Cloud OS - Die Vision und Strategie von Microsoft
Cloud OS - Die Vision und Strategie von MicrosoftCloud OS - Die Vision und Strategie von Microsoft
Cloud OS - Die Vision und Strategie von MicrosoftPeter Kirchner
 
Innovation durch Cloud Computing
Innovation durch Cloud ComputingInnovation durch Cloud Computing
Innovation durch Cloud ComputingPeter Kirchner
 
Windows Azure IaaS - Mit Cloud Computing Ideen schneller umsetzen
Windows Azure IaaS - Mit Cloud Computing Ideen schneller umsetzenWindows Azure IaaS - Mit Cloud Computing Ideen schneller umsetzen
Windows Azure IaaS - Mit Cloud Computing Ideen schneller umsetzenPeter Kirchner
 

Más de Peter Kirchner (9)

Blockchain in the Food Supply Chain (v2)
Blockchain in the Food Supply Chain (v2)Blockchain in the Food Supply Chain (v2)
Blockchain in the Food Supply Chain (v2)
 
Blockchain in the Food Supply Chain
Blockchain in the Food Supply ChainBlockchain in the Food Supply Chain
Blockchain in the Food Supply Chain
 
Web APIs auf dem Prüfstand - Volle Kontrolle oder fertig mit den Azure Mobile...
Web APIs auf dem Prüfstand - Volle Kontrolle oder fertig mit den Azure Mobile...Web APIs auf dem Prüfstand - Volle Kontrolle oder fertig mit den Azure Mobile...
Web APIs auf dem Prüfstand - Volle Kontrolle oder fertig mit den Azure Mobile...
 
Spontan testen! Das eigene Test Lab, für jeden in der Cloud!
Spontan testen! Das eigene Test Lab, für jeden in der Cloud!Spontan testen! Das eigene Test Lab, für jeden in der Cloud!
Spontan testen! Das eigene Test Lab, für jeden in der Cloud!
 
Risiko Datensicherheit - End-to-End-Verschlüsselung von Anwendungsdaten
Risiko Datensicherheit - End-to-End-Verschlüsselung von AnwendungsdatenRisiko Datensicherheit - End-to-End-Verschlüsselung von Anwendungsdaten
Risiko Datensicherheit - End-to-End-Verschlüsselung von Anwendungsdaten
 
Das eigene Test Lab, für jeden! (CeBIT-Edition mit Demo-Videos)
Das eigene Test Lab, für jeden! (CeBIT-Edition mit Demo-Videos)Das eigene Test Lab, für jeden! (CeBIT-Edition mit Demo-Videos)
Das eigene Test Lab, für jeden! (CeBIT-Edition mit Demo-Videos)
 
Cloud OS - Die Vision und Strategie von Microsoft
Cloud OS - Die Vision und Strategie von MicrosoftCloud OS - Die Vision und Strategie von Microsoft
Cloud OS - Die Vision und Strategie von Microsoft
 
Innovation durch Cloud Computing
Innovation durch Cloud ComputingInnovation durch Cloud Computing
Innovation durch Cloud Computing
 
Windows Azure IaaS - Mit Cloud Computing Ideen schneller umsetzen
Windows Azure IaaS - Mit Cloud Computing Ideen schneller umsetzenWindows Azure IaaS - Mit Cloud Computing Ideen schneller umsetzen
Windows Azure IaaS - Mit Cloud Computing Ideen schneller umsetzen
 

Risiko Datensicherheit - eine unterhaltsame Sightseeing Tour

  • 1. RISIKO Datensicherheit NSABNDKGB kennt alle ihre Geheimnisse! Unterschleißheim – Jüngste Studien haben ergeben, dass Ihre Daten nur noch unter Ihrem Kopfkissen sicher sind. Handeln Sie schnell! Lesen Sie hier nicht weiter, sondern hören Sie dem nicht weiter, sondern hören Sie dem Referenten zu. Lesen Sie hier nicht weiter, sondern hören Sie dem Referenten zu. Lesen Sie hier nicht weiter, sondern hören Sie dem Referenten zu. Lesen Sie hier nicht weiter, sondern hören Sie dem Referenten zu. Lesen Sie hier nicht weiter, sondern hören Sie dem Referenten zu. Lesen Sie hier nicht weiter, sondern hören Sie dem Referenten zu. Lesen Sie hier nicht weiter, sondern hören Sie dem Referenten zu.
  • 7. Data at Rest Data in Motion/Transit Data in Use
  • 19. Member Value Description Success | success 0 The certificate chain was verified. Untrusted | untrusted 1 A certificate in the chain is not trusted. Revoked | revoked 2 A certificate in the chain has been revoked. Expired | expired 3 A certificate in the chain has expired. IncompleteChain | incompleteChain 4 The certificate chain is missing one or more certificates. InvalidSignature | invalidSignature 5 The signature of a certificate in the chain cannot be verified. WrongUsage | wrongUsage 6 A certificate in the chain is being used for a purpose other than one specified by its CA. InvalidName | invalidName 7 A certificate in the chain has a name that is not valid. The name is either not included in the permitted list or is explicitly excluded. InvalidCertificateAuthorityPolicy | invalidCertificateAuthorityPolicy 8 A certificate in the chain has a policy that is not valid.
  • 26. Quelle: http://splashdata.com/press/worstpasswords2013.htm Quelle: Tim Messerschmidt / @SeraAndroiD Lead Developer Evangelist, EMEA Developer Week ‘14
  • 27. 14% haben ein Passwort der Top 10 40% haben ein Passwort der Top 100 79% haben ein Passwort der Top 500 91% haben ein Passwort der Top 1000 Quelle: Tim Messerschmidt / @SeraAndroiD Lead Developer Evangelist, EMEA Developer Week ‘14

Notas del editor

  1. Beispiele für riskante Daten: Bekanntwerden von vertraulichen Unternehmensdaten. Kostet dem Unternehmen Geld und Reputation. Erhalt eines gefälschten Liebensbriefs. Eine Antwort darauf wäre peinlich! Offenlegung einer privaten Unterhaltung und es wurde über den Chef gelästert. Konsequenzen…! Besser: Sprechen wir über Informationssicherheit. Quellen: http://www.duden.de/rechtschreibung/Risiko
  2. Quelle: Claudia Eckert, IT-Sicherheit, 2. Auflage
  3. Data at Rest: die Daten liegen passiv in einem Speicherbereich. Mitnahme des physikalischen Speicherbereichs ist möglich; im Gegensatz dazu wäre die Mitnahme von Daten im RAM nicht möglich. Data in Motion/Transit: die Daten befinden sich auf dem Weg von Quelle zu Ziel. Data in Use: die Daten werden genutzt. Praktisch bedeutet dies meist, dass die Daten im RAM liegen und bereit für die Verarbeitung sind. Quellen: Pizza Box: Creative Commons Attribution Share-Alike 3.0 License, http://whsgraphics2.wikispaces.com/Pizza-Box-Design?responseToken=04df15cf6674b1e93f7d5f51748cf41e5 Pizza Delivery: Creative Commons Attribution-NoDerivs 3.0 Unported License, http://shockandawe-devildog.blogspot.de/2010/09/every-pizzas-home-pizza-hut.html Pizza Eating: Creative Commons Attribution Share-Alike 3.0 License, http://michaelagenergy.wikispaces.com/file/detail/man-eating-pizza.jpg/301643754
  4. Beispiel für die Kommunikation von vertraulichen Daten über eine ungesicherte Verbindung.
  5. Keine Geheimnisse in Konfigurationsdateien oder kompilierten Dateien.
  6. Anwendungsdaten können in der Regel mit geringem Aufwand eingesehen werden. Hier wurde als Beispiel eine settings.dat-Datei von einer Windows App in Visual Studio mit dem Binary Editor geöffnet. App Data: C:\Users\[User Directory]\AppData\Local\Packages\[App Directory] Program Data: C:\Program Files\WindowsApps\[App Directory]
  7. Der Quellcode ist für die meisten Anwendungen leicht einzusehen. Aus dem Grund hilft es nicht viel, den Versuch zu unternehmen, vertrauliche Informationen durch nicht-kryptographische Verfahren zu sichern. Hier ist zu sehen, wie eine .NET-Anwendung mit Hilfe des Tools JetBrains dotPeek dekompiliert wurde. Bei der Suche nach Schwachstellen ging der Pfad von allgemeinen Klassen über relevante Klassen wie Login bis schließlich eine Klasse mit dem Präfix Password gefunden wurde. Der Zeitaufwand hierfür lag unter 10 Minuten.
  8. Probleme und Herausforderungen Kompliziertes Thema Schwer zu testen "Marketing" (große Schlüssel, Superlativen etc.) Auswahl von und Vertrauen in Technologie (z.B. Heartbleed) Was muss abgedeckt werden? „End-2-End-Risiko“ Definition von Bruce Schneier, was Attacken sind. Nicht trivialer Angriff und so weiter.
  9. Es existieren zahlreiche Bibliotheken und Frameworks für unterschiedliche Plattformen. Eine qualifizierte Auswahl ist nicht trivial. Allein von Microsoft gibt es zahlreiche APIs, die auf unterschiedlichen Plattformen zur Verfügung stehen. System.Security.Cryptography: ab .NET 1.0 bis heute (.NET 4.5), kein Zugriff aus Windows Apps Windows.Security.Cryptography: ab WinRT für Windows Apps Microsoft CryptoAPI: ab Windows NT 4.0 bis Windows XP Cryptography API: Next Generation (CNG): ab Windows Vista bis heute (Windows 8.1)
  10. Quelle des Beispiels: http://msdn.microsoft.com/en-us/library/windows/apps/windows.security.cryptography.core.cryptographicengine.encrypt(v=win.10).aspx http://msdn.microsoft.com/en-us/library/windows/apps/windows.security.cryptography.core.cryptographicengine.decrypt.aspx
  11. Quelle: http://msdn.microsoft.com/en-us/library/windows/apps/windows.security.cryptography.core.cryptographicengine.aspx
  12. Quelle: http://msdn.microsoft.com/en-us/library/windows/apps/windows.security.cryptography.cryptographicbuffer(v=win.10).aspx
  13. Ablauf ist gekürzt. DEFCON 17: More Tricks For Defeating SSL https://www.youtube.com/watch?v=ibF36Yyeehw
  14. Quelle: http://www.microsoft.com/security/sdl
  15. https://www.youtube.com/watch?v=a6iW-8xPw3k Spaceballs 12345
  16. http://blogs.adobe.com/conversations/2013/10/important-customer-security-announcement.html http://stricture-group.com/files/adobe-top100.txt http://xkcd.com/1286/
  17. Quellen: http://splashdata.com/press/worstpasswords2013.htm Tim Messerschmidt / @SeraAndroiD Lead Developer Evangelist, EMEA Developer Week ‘14 slideshare.com/paypal
  18. Quelle Bild: http://xkcd.com/936/ https://telepathwords.research.microsoft.com/
  19. https://www.usenix.org/conference/usenixsecurity12/technical-sessions/presentation/bojinov