24.06.2011                                                                   Agenda                              Aktuelle ...
24.06.2011Aktuelle Situation                        Aktuelle Situation                    Virenflut                       ...
24.06.2011Aktuelle Situation                                                   Aktuelle Situation                         ...
24.06.2011OWASP Top 10 / 2010                                   Zwei Beispiele   Phishing•   1: Injection Flaws•   2: Cros...
24.06.2011Einschub:                                                  Beispiele sozialer Netzwerke   Facebook-StatistikSozi...
24.06.2011Phishing                                                        Phishing - Funktionsweise   Informationssuche   ...
24.06.2011Gefälschte E-Mail   Gefälschte Webseite   Richtige Webseite                                                     ...
24.06.2011Phishing - Beispiel                          Phishing - Beispiel   Phishing - Beispiel                      • Ve...
24.06.2011Farbcodierung IE                                 Farbcodierung Firefox                            Internet - Sch...
24.06.2011ScareWare                                              ScareWare   ScareWare• Praktisch täglich tauchen neue Var...
24.06.2011ScareWare   ScareWare   Informationssuche im Internet                                                           ...
24.06.2011Angriffspunkte   Fehlerhafte Datenübergabe                          SQL Injection                               ...
24.06.2011SQL Injection                                         Cross-Site Scripting (XSS)                                ...
24.06.2011Beispiel: XSS                                                                                             Beispi...
24.06.2011Beispiel: XSS                               Man in the Middle Angriffe        Man in the Middle Angriffe• Achtun...
24.06.2011Kombination   Backtrack / Metasploit   Citrix Umgebung                                                          ...
24.06.2011Schutzmöglichkeiten        Schutzmöglichkeiten1. System aktuell halten   2. Virenscanner, aktuell halten        ...
24.06.2011Schutzmöglichkeiten           Schutzmöglichkeiten            Animationsfilm Infosurance3. Firewall, aktuell halt...
24.06.2011Informieren Sie sich!                                    GO OUT Production GmbH• http://www.infosurance.ch• http...
Nächste SlideShare
Wird geladen in …5
×

7 andreas wisler it sicherheit

847 Aufrufe

Veröffentlicht am

Veröffentlicht in: Technologie
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
847
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
15
Aktionen
Geteilt
0
Downloads
6
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

7 andreas wisler it sicherheit

  1. 1. 24.06.2011 Agenda Aktuelle Situation • Aktuelle Situation • BSI Lagebericht – 4. Quartal 2010 • Phishing, Identitätsdiebstahl – Hacker nutzen RTF-Dateien für AngriffeIT-Sicherheit • Internet – Schwachstellen – ScareWare, SQL-Injection, XSS • DemoAndreas WislerDipl. Ing. FH, CISSP, ISO 27001 Lead Auditor, IT-SIBE BSI, MCITP 1
  2. 2. 24.06.2011Aktuelle Situation Aktuelle Situation Virenflut vor 2005 2005 3% 1% 2006 2%• BSI Lagebericht – 4. Quartal 2010 • BSI Lagebericht – 4. Quartal 2010 – Carberp: Online Banking Troj. Pferd – Zugangsdaten 2007 In einer Stichprobe des BSI 12% im Dezember 2010 wurden 2010 373.973 infizierte Systeme 40% entdeckt, die länderübergrei- 2008 fend verteilt waren. Davon 17% lieferten 86.507 Computer Zu- gangsdaten von Webseiten mit der Top Level-Domain DE. 2009 25% 2010: 55’000 neue Schädlinge pro Tag Quelle: avtest.org 2
  3. 3. 24.06.2011Aktuelle Situation Aktuelle Situation iPhone Passwörter• 15.06.11 • Pharma Hack, 10. Juni 2011 • Auswertung aus 200’000 Passwörtern (15.06.11) Paypal.com enthält XSS-Schwachstelle In der Schweiz sind anscheinend hunderte Seiten mit• 09.06.11 Citigroup verliert bei Angriff Daten von 210.000 Kunden (URL dem so genannten Pharma-Hack verseucht worden. Manipulation) Der Pharma-Hack scheint sich vor allem auf Wordpress• 03.06.11 und Typo3 spezialisiert zu haben. Vermutlich wird er Skype-Protokoll als Open Source veröffentlicht durch unsichere Plugins ins System eingeschleust. Es• 30.05.11 befinden sich grosse Anbieter wie die Livit oder das Hacker brechen in Server von US-Rüstungskonzernen ein Institut für Informatik der Universität Zürich darunter.• 26.05.11 Auch Seiten der Uni Basel wurden gehackt, ebenso wie Noch ein Einbruch bei einem Comodo-Partner (SSL-Problematik!!) die Seite des FC Thun oder dem Schweizer• 23.05.11 Volleyballverband. Daneben hunderte von weiteren Gefährliche Sicherheitslücke in Business-Netzwerk LinkedIn entdeckt Schweizer Domains, wie Gemeinden, Verbänden, Blogs und Kleinbetrieben.Weitere News: www.goSecurity.ch/news 3
  4. 4. 24.06.2011OWASP Top 10 / 2010 Zwei Beispiele Phishing• 1: Injection Flaws• 2: Cross Site Scripting (XSS) Grüss Gott. Ich komme von der Deutschen Bank. Immer wieder versuchen Gauner über fingierte• 3: Broken Authentication and Session-Management Emails an Kontoinformationen zu gelangen. Der neueste Trick ist, dass Leute, die offensichtlich keine• 4: Insecure Direct Object Reference Bankmitarbeiter sind, von Tür zu Tür gehen, um Kontodaten auszuspähen. Deshalb mussten wir ihre• 5: Cross Site Request Forgery (CSRF) Konten umstellen. Geben Sie mir bitte alle Ihre• 6: Security Misconfiguration Sparbücher, damit wir diese kostenlos für Sie aktualisieren können.• 7: Failure to Restrict URL Access• 8: Unvalidated Redirects and Forwards• 9: Insecure Cryptographic Storage• 10: Insufficient Transport Layer Protection Quelle: http://ritsch-renn.com/Quelle: http://www.owasp.org/ 4
  5. 5. 24.06.2011Einschub: Beispiele sozialer Netzwerke Facebook-StatistikSoziale Netzwerke ermöglichen …• sich zu präsentieren • Mehr als 500 Millionen aktive Benutzer weltweit• mit Freunden in Kontakt zu bleiben • 50 % der Benutzer melden sich mindestens• Daten auszutauschen (Bilder, Filme, …) einmal täglich an• schnell neue Kontakte zu knüpfen • Ein Benutzer hat durchschnittlich 130 Freunde• Ideen auszutauschen und zu diskutieren • Die Weltbevölkerung verbringt pro Monat über 700 Milliarden Minuten auf Facebook • Pro Monat werden über 30 Milliarden Inhalte Mehr als 2,2 Millionen Facebook-Benutzer in der Schweiz, was einem Anteil von knapp 30 % entspricht. (Links, News, Fotos, …) hochgeladen 5
  6. 6. 24.06.2011Phishing Phishing - Funktionsweise Informationssuche Yasni, Facebook, Xing und Co…• Phishing ist die Bezeichnung für einen interaktiven Informationsdiebstahl (password harvesting fishing, das Passwort fischen)• Nutzt meist eine geschickte Tarnung – E-Mail mit einem "plausiblen" Inhalt – Eingebettete Skripte auf Webseiten oder in E-Mails (html) – Komplett nachgemachte Seiten 6
  7. 7. 24.06.2011Gefälschte E-Mail Gefälschte Webseite Richtige Webseite 7
  8. 8. 24.06.2011Phishing - Beispiel Phishing - Beispiel Phishing - Beispiel • Versuch an persön- liche Angaben zu gelangen 8
  9. 9. 24.06.2011Farbcodierung IE Farbcodierung Firefox Internet - Schwachstellen• Extended Validation Zertifikat, korrekte • Extended Validation Zertifikat, korrekte • ScareWare SSL-Verbindung SSL-Verbindung • SQL-Injection • XSS• Normales Zertifikat, korrekte SSL-Verbindung • Normales Zertifikat, korrekte SSL-Verbindung• Fehlerhafte SSL-Verbindung • Fehlerhafte SSL-Verbindung 9
  10. 10. 24.06.2011ScareWare ScareWare ScareWare• Praktisch täglich tauchen neue Variationen desselben Schemas auf: – Internet-Nutzer werden mit vorgetäuschten Schädlingsbefunden zur Installation vorgeblicher Schutzprogramme genötigt.• Die Google-Forscher haben etwa 240 Millionen Web-Seiten untersucht und dabei mehr als 11.000 Domains entdeckt, die Scareware verbreiten 10
  11. 11. 24.06.2011ScareWare ScareWare Informationssuche im Internet 11
  12. 12. 24.06.2011Angriffspunkte Fehlerhafte Datenübergabe SQL Injection user Pwd email • Formulare zur Datenübergabe • Benutzerverwaltung: Pete perObINa peter@pan.org Tabelle Users John hogeldogel john@wayne.us • Informationen werden in Hidden-Felder übermittelt SELECT * FROM Users • Gefahr: Tools zum Manipulieren der Daten WHERE user= AND pwd= Web Developer – Skript login.php erhält die eingegebenen Zugangsdaten und verwendet diese in einer SQL Query – Benutzername/Passwort existiert: Query gibt eine Zeile zurück  der Benutzer ist identifiziert und erhält Zugang https://addons.mozilla.org/de/firefox/addon/60 12
  13. 13. 24.06.2011SQL Injection Cross-Site Scripting (XSS) Testen auf XSS• Ziel des Angreifers: Zugang zum System ohne • Javascript: In Webseiten eingefügter Code, der im • Eingabe eines einfachen Javascripts in verschiedenen Kenntnis von Benutzername/Passwort Browser ausgeführt werden Feldern von Web-Formularen: <script>alert("Testing XSS vulnerability");</script>• Bei Logins funktioniert dies häufig mit or = • Oft enthalten dynamisch generierte Webseiten die von einem Benutzer eingegebenen Daten • Bei Erfolg öffnet sich SELECT * FROM Users – Produktresultatseiten, Google etc. zeigen den eingegebenen ein Popup-Fenster WHERE user= or = AND pwd= or = Suchstring an immer TRUE • Bei XSS nutzt ein Angreifer dieses Feature aus: 13
  14. 14. 24.06.2011Beispiel: XSS Beispiel: XSS Beispiele: XSS • Opfer hat Account für einen Web-Shop, Angreifer möchte Account-Daten erhalten. • Xssed.com (Zur Zeit nicht gepflegt!) • Angreifer hat ein entsprechendes JavaScript in einem Link in einer Nachricht in einem Web-Forum platziert, Opfer hat die Nachricht geöffnet. Quelle: Marc Rennhard, ZHAW Click Me! (1) Verwundbare Webseite des Shops wird geladen, dargestellt und Javascript wird ausgeführt (2) Javascript lädt Code von einem Server des Angreifers nach (5) Account-Daten werden zum Angreifer gesendet Mai 2011: 39‘321 bekannte XSS Seiten / 2551 geschlossen (3) Code integriert einen Login-Screen in die Webseite des Web-Shops (6) Script auf dem Server April 2010: 36‘091 bekannte XSS Seiten / 1889 geschlossen (4) „Gutgläubiger“ Benutzer gibt seine des Angreifers nimmt die November 2009: 35‘984 bekannte XSS Seiten / 1889 geschlossen Account-Daten an und klickt auf Login Account-Daten entgegen August 2008: 31‘029 bekannte XSS Seiten / 1551 geschlossen 14
  15. 15. 24.06.2011Beispiel: XSS Man in the Middle Angriffe Man in the Middle Angriffe• Achtung: Der Link kann in verschiedenen • Cain & Abel Dokumenten hinterlegt sein: – Email – Diskussions-Forum / Chat – Instant Messaging – PDF, Excel, Powerpoint, Word, etc. – Hochgeladene Datei Dienst / Webseite• Welchen Quellen trauen Sie? 15
  16. 16. 24.06.2011Kombination Backtrack / Metasploit Citrix Umgebung 16
  17. 17. 24.06.2011Schutzmöglichkeiten Schutzmöglichkeiten1. System aktuell halten 2. Virenscanner, aktuell halten 17
  18. 18. 24.06.2011Schutzmöglichkeiten Schutzmöglichkeiten Animationsfilm Infosurance3. Firewall, aktuell halten 4. Gesunder Menschenverstand • Illustriert die „5 Schritte für Ihre Computer-Sicherheit“ • Wurde für den SwissSecurityDay 2009 von der Hochschule Luzern – Design & Kunst erstellt – http://www.youtube.com/watch?v=K_bs-BX2l_E • Im gleichen Kontext wurden die 5 Schritte auch von Peach Weber in Form eines Filmes interpretiert und dargestellt – http://www.youtube.com/watch?v=9gEfj-cvxrk 18
  19. 19. 24.06.2011Informieren Sie sich! GO OUT Production GmbH• http://www.infosurance.ch• http://www.melani.admin.ch Wissen Sie, wie es um Ihre IT-Sicherheit steht? – Infoseite zu den Gefahren im Internet GO OUT Production GmbH• http://www.ebankingabersicher.ch Security Audits, -analysen und –beratungen – Infoseite für sicheres e-Banking Schulstrasse 11 8542 Wiesendangen• http://www.geschichtenausdeminternet.ch 052 320 91 20 – Infoseite zu den Gefahren im Internet http://www.goSecurity.ch• http://www.security4kids.ch – Infoseite für Jugend- und Kinderschutz im Internet 19

×