Iulius Gutberlet Iulius Gutberlet Studiengang Master Sc. Wirtschaftsinformatik Studiengang Master Sc. Wirtschaftsinformatik Fachhochschule Köln Fachhochschule Köln IT-Security & Unternehmensgründung IT-Security & Unternehmensgründung Praktische Aspekte Praktische Aspekte
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Iulius GutberletIulius Gutberlet
Studiengang Master Sc. WirtschaftsinformatikStudiengang Master Sc. WirtschaftsinformatikFachhochschule KölnFachhochschule Köln
IT-Security & UnternehmensgründungIT-Security & Unternehmensgründung
Praktische AspektePraktische Aspekte
26/11/11 2
Agenda
BegriffeGrundpfeiler VerschlüsselungAngriffsszenarien & GegenmaßnahmenCloudcomputingWebservicesScada & kritische Infrastrukturenen
Gründung eines Startups
26/11/11 3
Begriffe
26/11/11 4
Begriffe
Angriff(D)DoS AttackenExploitZero-Day ExploitPhishingMalware
26/11/11 5
Grundpfeiler Verschlüsselung
26/11/11 6
Grundpfeiler Verschlüsselung
Wie funktioniert SSL?
Verschlüsselung über Zertifikate
Jeder kann ein Zertifikat erstellen
Mehrere Trusted Certification Authorities
Web-of-Trust Ansatz
Man vertraut jedem Zertifikat, einer trusted CA
White-List and Revocation List
26/11/11 7
Grundpfeiler Verschlüsselung
VorteileEtabilierte & einfache HandhabeSichert Verbindungen ab
NachteileSicherheit hängt an der Sicherheit der CA“teurer” VerbindungsaufbauMitgeschnittener Traffic kann “einfach” geknackt werden
Verbesserung durch Google
Revocation Lists werden nicht (immer) geupdated
26/11/11 8
Angriffsszenarien&
Gegenmaßnahmen
26/11/11 9
Angriffsszenarien & Gegenmaßnahmen
http://www.owasp.org/
Man-In-The-Middle-AttackSSL erschwert die AttackeSchwer erkennbarOft durch Malware iniziiertOperation Ghostclick
14 Mio. US-$Schaden
26/11/11 10
Cloudcomputing
Island Hopping & PhishingUser erwartet Informationenaus vertraulicher QuelleBezieht aus dieser QuelleSchadsoftwareDient als Einstiegspunktzum eigentlichen ZielKomplizierter AngriffBeispiele: Lockheed Martin, RSA
http://www.wikimedia.org/
26/11/11 11
Angriffsszenarien & Gegenmaßnahmen
Cross Site ScriptingAusführung von Javascript in ungewünschten KontextUngefiltertes speichern der EingabenMangelhafte Validierung der EingabedatenMangelhafte ParameterkontrolleHäufigster Fehler in WebappsPriviledge EscalationNutzt Vertrauenwürdigkeit der Websiteaus
(non)persitent, dom-basierthttp://catthetechie.blogspot.com
26/11/11 12
Angriffsszenarien & Gegenmaßnahmen
Cross Site Request ForgeryStatuslosigkeit von HTTPPhishing & XSSNutzt Vertrauenswürdigkeit des Browsers ausSession-Riding
User kann sich nur schwer schützenSchutz sollte serverseitig implementiert sein
http://www.sciencesecurity.com
26/11/11 13
Angriffsszenarien & Gegenmaßnahmen
SQL InjectionUnzureichende EingabeprüfungMehrstufiger AngriffEinstieg für XSS & XSRF AttackenBeispiel:
Select count(*) from users where username = 'username' and password = 'password';Select count(*) from users where username = 'Max' and password = 'Musterpassword';Select count(*) from users where username = 'Max' and password = '' or 1=1 limit 1;--';
26/11/11 14
Angriffsszenarien & Gegenmaßnahmen
DNS TunnelingIP Traffic wird über DNS getunnelt
Umgehung der Zugriffskontrolle
Umgehung von Zensurmaßnahmen
Eher Angriff auf staatliche Kontroll- und Zensurvorhaben
Beispiel: Wifi Access Points
26/11/11 15
Cloudcomputing
26/11/11 16
Cloudcomputing
Beispiel: Amazon Cloud ServicesUngeklärte rechtliche Situation
Im Zweifel amerikanisches Recht
WebservicesServices und Daten stehen im InternetLediglich SLAs als Versprechen
Supercomputer im NetzEC2 Ausfall über mehrere Stunden
www.cloudcomputingx.org
26/11/11 17
Webservices
26/11/11 18
Webservices
OpenIDLDAP fürs InternetDezentrale OpenID Provider
Facebook, Google
Single Sign On Lösung
Potentielle Anfälligkeit für Phishing AttackenKompromittierung aller Seiten
26/11/11 19
Webservices
OAuth 2.0Offenes Authentisierungsprotokoll
Keine Identitätsfeststellung
Freigabe von Ressourcen
Authentifizierung durch
Tokens
http://www.wikipedia.org
26/11/11 20
Webservices
Schwachstellenwww.ws-attacks.orgSecurity wird durch Webservice bereitgestellt
SQLInjection, alle klassischen Lücken
XML Injection
Amazon EC2 Admin LückeXML Signature WrappingPriviledge Escalation
26/11/11 21
Scada &Kritische
Infrastrukturen
26/11/11 22
Scada & Kritische Infrastrukturen
Scada (Supervisory Control and Data Acquisition)
Anlagensteuerung
Stuxnet (Juni 2010)
Iranische Atomanlagen
US Wasserkraftwerke
US Gefängnisse
Gaspipeline in Alaska
26/11/11 23
Gründung eines Startups
26/11/11 24
Gründung eines Startups
FormalitätenNamenprüfung durch IHKNotarterminEintragung beim AmtsgerichtVeröffentlichung der FirmaKonto mit Stammkapital eröffnenSteuernummer beantragen
Die Arbeit kann beginnen!
26/11/11 25
Gründung eines Startups
UG Lüge1€ Stammkapital
Notarkosten: 300€-600€UG ist überschuldetUG mit zu wenig Kapital wird als Betrugsversuch gewertet
UG ist Kapitalgesellschaft ohne pers. HaftungBei Kreditanträgen: pers. Haftung gegenüber der Bank
26/11/11 26
Gründung eines Startups
Konkrete GründungGewünschter Name: sniggle.me UGGründungsort Köln → Bottrop
Zwei Gründer: Satzung wie bei der GmbHNotar 600€
IT Security ThemenCloudcomputingDatenschutz
26/11/11 27
Fragen & Antworten
26/11/11 28
Vielen Dank!
26/11/11 29
Quellen
Onlinehttp://www.heise.de/newsticker/meldung/Google-mit-besserer-Langzeit-Verschluesselung-1384441.html
http://www.heise.de/newsticker/meldung/EU-Cloud-Service-will-vor-US-Patriot-Act-schuetzen-1383794.html
http://www.heise.de/newsticker/meldung/Deutsche-Telekom-stellt-Datenschutztechnik-fuer-IPv6-vor-1383772.html
http://www.heise.de/newsticker/meldung/Chef-von-EU-Netzsicherheitsagentur-warnt-vor-Cloud-Computing-1383039.html
http://www.heise.de/security/meldung/RSA-tauscht-nach-Hack-bis-zu-40-Millionen-SecurID-Tokens-aus-1256298.html
http://www.spiegel.de/netzwelt/web/0,1518,784002,00.html
http://computer.yourdictionary.com/island-hopping
http://www.computerweekly.com/news/2240089111/Top-five-cloud-computing-security-issues
http://www.crn.com/news/cloud/231901911/researchers-uncover-massive-security-flaws-in-amazon-cloud.htm;jsessionid=4oGgRFyqJiSkXd0xONb5vQ**.ecappj02
http://arstechnica.com/business/news/2011/11/vulnerabilities-give-hackers-ability-to-open-prison-cells-from-afar.ars
http://www.washingtontimes.com/news/2011/nov/6/prisons-bureau-alerted-to-hacking-into-lockups/
http://www.spiegel.de/netzwelt/web/0,1518,799555,00.html
Http://www.ws-attacks.org
http://www.golem.de/1104/83140.html
http://www.heise.de/newsticker/meldung/Deutschen-Unternehmen-droht-Aerger-bei-der-Nutzung-von-US-Clouds-1353083.html
http://www.heise.de/newsticker/meldung/EU-Cloud-Service-will-vor-US-Patriot-Act-schuetzen-1383794.html
http://www.spiegel.de/netzwelt/netzpolitik/0,1518,773495,00.html
http://events.ccc.de/congress/2007/Fahrplan/events/2227.en.html
26/11/11 30
Quellen
http://www.memagazine.org/backissues/membersonly/dec02/features/scadavs/scadavs.html
http://www.isa.org/FileStore/Intech/WhitePaper/Hacking-the-industrial-network-USversion.pdf
http://www.itwire.com/business-it-news/security/51262-two-us-water-authorities-control-systems-breached
BücherWeb application vulnerabilities: detect, exploit, prevent, Michael Cross, Steven Palmer
Financial Cryptography and Data Security: 13th International Conference, FC 2009, Accra Beach, Barbados,Roger Dingledine, Philippe Golle
Seven Deadliest Web Application Attacks By Mike Shema
SQL injection attacks and defense, Justin Clarke
SSL and TLS: theory and practice, Rolf Oppliger
Cloud Security and Privacy: An Enterprise Perspective on Risks and Compliance, Tim Mather, Subra Kumaraswamy, Shahed Latif
RESTful Web Services Cookbook: Solutions for Improving Scalability and Simplicity, Subbu Allamaraju
Related Documents
