Tages proph et RISIKO Datensicherhe it NSABNDKGB kennt alle ihre Geheimnisse! Unterschleißheim – Jüngste Studien haben ergeben, dass Ihre Daten nur noch unter Ihrem Kopfkissen sicher sind. Handeln Sie schnell! Lesen Sie hier nicht weiter, sondern hören Sie dem Referenten zu. Lesen Sie hier nicht weiter, sondern hören Sie dem Referenten zu. Lesen Sie hier nicht weiter, sondern hören Sie dem Referenten zu. weiter, sondern hören Sie dem Referenten zu. Lesen Sie hier nicht weiter, sondern hören Sie dem Referenten zu. Lesen Sie hier nicht weiter, sondern hören Sie dem Referenten zu.
31
Embed
Risiko Datensicherheit - eine unterhaltsame Sightseeing Tour
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Tagesproph
etRISIKODatensicherh
eitNSABNDKGB kennt alle ihre Geheimnisse!
Unterschleißheim – Jüngste Studien haben ergeben, dass Ihre Daten nur noch unter Ihrem Kopfkissen sicher sind. Handeln Sie schnell!Lesen Sie hier nicht weiter, sondern hören Sie dem Referenten zu. Lesen Sie hier nicht weiter, sondern
hören Sie dem Referenten zu. Lesen Sie hier nicht weiter, sondern hören Sie dem Referenten zu. Lesen Sie hier nicht weiter, sondern hören Sie dem Referenten zu. Lesen Sie hier nicht weiter, sondern hören Sie dem Referenten zu. Lesen Sie hier nicht
weiter, sondern hören Sie dem Referenten zu. Lesen Sie hier nicht weiter, sondern hören Sie dem Referenten zu. Lesen Sie hier nicht weiter, sondern hören Sie dem Referenten zu. Lesen Sie hier nicht weiter, sondern hören Sie dem Referenten zu.
Peter Kirchner
#cod15
Risiko DatensicherheitEine unterhaltsame Sightseeing Tour
Warum wir wirklich hier sindKlarheit über typische Begriffe schaffen
Wer betroffen und wer verantwortlich ist
Für jeden nachvollziehbare Beispiele sehen
Einfache Hilfsmittel mitnehmen, ohne Experte zu sein
Risiko? Datensicherheit?Die Definition von Risiko ist einfach.„möglicher negativer Ausgang bei einer Unternehmung, mit dem Nachteile, Verlust, Schäden verbunden sind“ (Quelle: Duden)
Die Definition von Datensicherheit dagegen ist mehrdeutig belastet.
InformationssicherheitSchutzziele zum Erhalt der InformationssicherheitVertraulichkeit (confidentiality)Integrität (integrity)Authentizität (authenticity)Verfügbarkeit (availability)Zurechenbarkeit (accountability)
Probleme und HerausforderungenSicherheit ist kompliziert und braucht ErfahrungSicherheit ist schwer zu testenSicherheit der Superlativengerade im Marketing
Sicherheit benötigt VertrauenSoftwarehersteller wählen und vertrauen auf TechnologienKunden beziehen und vertrauen auf Software
Etwas darf nicht nur sicher sein,
sondern muss auch sicher wirken.
(Bruce Schneier)
Auswahl der TechnologieZahlreiche Bibliotheken, Frameworks und APIsSystem.Security.Cryptography Windows.Security.CryptographyMicrosoft CryptoAPICryptography API: Next Generation (CNG)
Kriterien für die AuswahlVerfügbarkeit für Plattformen und EntwicklungsspracheFunktionsumfangVertrauen
TransportsicherungData in Motion/Transit
Vertraulichkeit während der Kommunikation
Einfachste Sicherungsmaßnahme: SSL / TLSAber: SSL & TLS ist in nicht-vertrauenswürdigen Netzwerken nicht sicherSiehe: DEFCON 17: More Tricks For Defeating SSL (https://www.youtube.com/watch?v=ibF36Yyeehw)
SSL-Zertifikate prüfen am Beispiel Windows RuntimeKlasse HttpTransportInformation Namensraum Windows.Web.Http
Enumeration ChainValidationResult14 mögliche Prüfungsresultate…Member Value DescriptionSuccess | success 0 The certificate chain was verified.Untrusted | untrusted 1 A certificate in the chain is not trusted.Revoked | revoked 2 A certificate in the chain has been revoked.Expired | expired 3 A certificate in the chain has expired.IncompleteChain | incompleteChain 4
The certificate chain is missing one or more certificates.
InvalidSignature | invalidSignature 5
The signature of a certificate in the chain cannot be verified.
WrongUsage | wrongUsage 6A certificate in the chain is being used for a purpose other than one specified by its CA.
InvalidName | invalidName 7A certificate in the chain has a name that is not valid. The name is either not included in the permitted list or is explicitly excluded.
No installed or registered DLL was found to verify revocation.
RevocationFailure | revocationFailure 12 Unable to connect to the revocation server.
OtherErrors | otherErrors 13An unexpected error occurred while validating the certificate chain.
Defence in DepthMisstrauen gegenüber scheinbar vertrauenswürdigen Schichten und KomponentenPrüfung von DatenPrüfung der KommunikationspartnerSicherung „interner“ KommunikationEinschränkung der Kommunikationsrichtung
Assume BreachGrundlegender Wandel von Design und Architekturen
Security Development Lifecycle (SDL)Definierte und relevante Sicherheitsmaßnahmen in jedem Entwicklungsschritt