SlideShare ist ein Scribd-Unternehmen logo

Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo Script

Digicomp Academy AG
Digicomp Academy AG

Referat am Hacking Day 2014 von Yves Kraft, Team Leader Consulting & Training OneConsult GmbH

Internet
1 von 26
Downloaden Sie, um offline zu lesen
© 2014 OneConsult GmbH www.oneconsult.com Defense in Depth und Security Prozesse Yves Kraft – Senior Security Consultant – OneConsult GmbH Hacking Day 2014 – Datenschutz am Beispiel von Heartbleed 11. Juni 2014
© 2014 OneConsult GmbH www.oneconsult.com Agenda → Vorstellung → Einleitung → Beispiele/Demo → Gegenmassnahmen → Fazit Hacking Day 2014 – Datenschutz 2
© 2014 OneConsult GmbH www.oneconsult.com Über mich → Yves Kraft → Senior Security Consultant → BSc FH CS, OPST, OPSA, OSSTMM Trainer → Kursleiter bei Digicomp [Kurscodes PSI, PSO, PST, SWO, TSA] → Technische Security Audits → Konzeptionelles Consulting → Schulung & Coaching → Security Officer 3 Vorstellung
© 2014 OneConsult GmbH www.oneconsult.com Unternehmen → Kunden ◦ Mehr als 200 Unternehmen in der Schweiz, Europa und Übersee (inklusive ein Dutzend der «Fortune Global 500 Corporations») ◦ Kunden gleichmässig auf alle Branchen verteilt (Finanz-, Pharma-, Industrie- Branche sowie öffentliche Verwaltungen (Bund, Kantone und Städte)) → Projekterfahrung, über ◦ 750 technische Security Audit Projekte / Penetration Test Projekte (650 davon nach OSSTMM) ◦ 350 Application Security Audits von Banking Lösungen und Online Shops ◦ 45 Mobile App Security Audits ◦ 50 Code Reviews ◦ 35 Digitale Forensik und Notfalleinsätze, rund ein Projekt pro Monat ◦ 120 konzeptionelle Security Audits ◦ Weitere anonymisierte Informationen: http://www.oneconsult.com/de/references 4
© 2014 OneConsult GmbH www.oneconsult.com Einleitung → Was ist Heartbleed? → Was ist schief gelaufen? → Der Angriff? Einleitung 5
© 2014 OneConsult GmbH www.oneconsult.com «Catastrophic is the right word. On the scale of 1 to 10, this is an 11.» Bruce Schneier, www.schneier.com Hacking Day 2014 – Datenschutz 6
© 2014 OneConsult GmbH www.oneconsult.com Was ist Heartbleed? → Schwachstelle der Heartbeat-Erweiterung des TLS-Protokolls in OpenSSL → OpenSSL-Versionen 1.0.1 bis 1.0.1f sind verwundbar → Wurde von Codenomicon Defensics am 3. April 2014 entdeckt → Bug mit Version 1.0.1g am 7. April 2014 behoben → CVE-2014-0160: https://www.openssl.org/news/secadv_20140407.txt Hacking Day 2014 – Datenschutz 7
© 2014 OneConsult GmbH www.oneconsult.com Was ist schief gelaufen? → Heartbeat-Funktion ◦ Kommunikationspartner A sendet zufälligen Inhalten ◦ Kommunikationspartner B sendet exakt die selben Daten zurück → Länge der Daten wird nicht geprüft → Feld payload_length kann mit beliebigen Werten überschrieben werden Hacking Day 2014 – Datenschutz 8
© 2014 OneConsult GmbH www.oneconsult.com Der Angriff → Angreifer sendet Heartbeat-Payload ◦ Grösse: 1 Byte ◦ Länge: 16KByte Hacking Day 2014 – Datenschutz 9 →RFC6520 «The total length of a HeartbeatMessage MUST NOT exceed 2^14» →Mit Payload 0xFFFF sind theoretisch 64 Kbyte möglich . u s e r = d i g i & p a s s w o r t = h a c k i n g ; a Z . . C 4 . Z 16 KB ServerClient 16 KB → Server sendet die angeforderten Daten zurück buffer = OPENSSL_malloc(1 + 2 + payload + padding); bp = buffer; memcpy(bp, pl, payload);
© 2014 OneConsult GmbH www.oneconsult.com Demo → Wie wird der Heartbleed-Bug ausgenutzt? → An welche Informationen kann man gelangen? → Bekanntgewordene Fälle Hacking Day 2014 – Datenschutz 10
© 2014 OneConsult GmbH www.oneconsult.com Heartbleed-Bug (CVE-2014-0160) → OpenSSL-Versionen 1.0.1 bis 1.0.1f sind verwundbar → Vorgehen: 1. Information Gathering 2. Footprinting 3. Exploiting Hacking Day 2014 – Datenschutz 11
© 2014 OneConsult GmbH www.oneconsult.com Szenario 1: Wordpress Blog Hacking Day 2014 – Datenschutz 12
© 2014 OneConsult GmbH www.oneconsult.com Das Internet blutet → Kanadisches Finanzamt - Sozialversicherungsnummern von 900 Personen entwendet → IP-Telefonie - einige VoIP-Modelle von Cisco betroffen → Mobile Geräte - Google Android in Version 4.1.1 betroffen → Netzwerkspeicher - Hersteller Synology muss Firmwareupdate liefern → Internetdienste – Google-Suche, GMail, YouTube, Play Store, Yahoo, Yahoo Mail, Instagram, Flickr, Tumblr, Amazon Web Services, Dropbox, Pinterest, Last Past, Soundcloud, GitHub, … Hacking Day 2014 – Datenschutz 13
© 2014 OneConsult GmbH www.oneconsult.com Szenario 2: Magento Webshop Hacking Day 2014 – Datenschutz 14
© 2014 OneConsult GmbH www.oneconsult.com Gegenmassnahmen → Was muss ich tun? → Wie kann ich mich schützen → Sofortmassnahmen → Defense in Depth Hacking Day 2014 – Datenschutz 15
© 2014 OneConsult GmbH www.oneconsult.com Gegenmassnahmen - Sofortmassnahmen → Betroffenes System vom Internet nehmen → Patch einspielen → Passwörter wechseln → Zertifikate erneuern → Altes Zertifikate revozieren Hacking Day 2014 – Datenschutz 16
© 2014 OneConsult GmbH www.oneconsult.com …und in der Realität? → Studie von Netcraft (vom 9. Mai 2014) zeigt ◦ Immer noch 300’000 Webseiten verwundbar Hacking Day 2014 – Datenschutz 17 Quelle: http://news.netcraft.com/archives/2014/05/09/keys-left-unchanged-in-many-heartbleed-replacement-certificates.html
© 2014 OneConsult GmbH www.oneconsult.com Gegenmassnahmen – «Defense in Depth» → Militärische Strategie: «Verzögerung statt dem Angreifer Raum freigeben» → Platzierung von Schutzmechanismen, -verfahren und -politik soll Zuverlässigkeit eines IT-Systems erhöhen → Mehrfache Schichten der Verteidigung sollen Spionage verhindern → Angriffe gegen kritische Systeme verhindern → Mehr Zeit zur Erkennung & Reaktion bei Angriffen → Auswirkungen eines Einbruchs abschwächen Hacking Day 2014 – Datenschutz 18
© 2014 OneConsult GmbH www.oneconsult.com «Defense in Depth» Strategie Hacking Day 2014 – Datenschutz 19 Personen Technologie Operations Defense in Depth Strategie Informationssicherheit Defense in Depth Bereiche Netzwerk & Infrastruktur verteidigen (Zonen-) Grenzen verteidigen Computer- umgebung verteidigen Hilfsinfrastruktur (KM/PKI, etc.)
© 2014 OneConsult GmbH www.oneconsult.com Beispiele für «Defense in Depth» → Netzwerk ◦ Demilitarisierten Zonen (DMZ) ◦ Paket-Filter / Firewalls ◦ Intrusion Detection Systeme (IDS) ◦ Intrusion Protection/Prevention Systeme (IPS) → Software / Malware ◦ Antivirus Software ◦ Sandboxing ◦ Endpoint Security → Vulnerability Scanner → Authentisierung und Passwortsicherheit ◦ Passwortrichtlinien ◦ Biometrische Sicherheitsmerkmale ◦ Hashing von Passwörtern ◦ Timed Access Control → Logging und Auditing → Physische Sicherheit → Awareness / Schulungen ◦ (Internet Security) Awareness Schulung Hacking Day 2014 – Datenschutz 20
© 2014 OneConsult GmbH www.oneconsult.com «Defense in Depth» gegen Heartbleed → Netzwerk ◦ Demilitarisierten Zonen (DMZ) ◦ Paket-Filter / Firewalls ◦ Intrusion Detection Systeme (IDS) ◦ Intrusion Protection/Prevention Systeme (IPS) → Software / Malware ◦ Antivirus Software ◦ Sandboxing ◦ Endpoint Security → Vulnerability Scanner → Authentisierung und Passwortsicherheit ◦ Passwortrichtlinien ◦ Biometrische Sicherheitsmerkmale ◦ Hasing von Passwörtern ◦ Timed Access Control → Logging und Auditing → Physische Sicherheit → Awareness / Schulungen ◦ (Internet Security) Awareness Schulung Hacking Day 2014 – Datenschutz 21
© 2014 OneConsult GmbH www.oneconsult.com Gegenmassnahmen – IT-Security Prozesse → Rollen und Verantwortlichkeiten → IT-Security als Teil des Projektmanagements → Risiko Analyse → Incident Response → Verträge Hacking Day 2014 – Datenschutz 22
© 2014 OneConsult GmbH www.oneconsult.com Fazit → Ein wenig Statistik zum Schluss → Erkenntnisse aus Heartbleed Hacking Day 2014 – Datenschutz 23
© 2014 OneConsult GmbH www.oneconsult.com Ein wenig Statistik zum Schluss Hacking Day 2014 – Datenschutz 24 → http://pacemaker.chokepointproject.net
© 2014 OneConsult GmbH www.oneconsult.com Erkenntnisse aus Fällen wie Heartbleed → 100% sichere Software gibt es nicht! → Grosse Verbreitung bedeutet auch grosse Verantwortung → Open Source Software braucht Unterstützung → Protokoll ist zu kompliziert → Incident Handling vs. Defense in Depth → Kennwörter sind von gestern Hacking Day 2014 – Datenschutz 25
© 2014 OneConsult GmbH www.oneconsult.com © 2013 OneConsult GmbH www.oneconsult.com Büro Deutschland Niederlassung der OneConsult GmbH Karlstraße 35 80333 München Deutschland Tel +49 89 452 35 25 25 Fax +49 89 452 35 21 10 info@oneconsult.de Büro Österreich Niederlassung der OneConsult GmbH Wienerbergstraße 11/12A 1100 Wien Österreich Tel +43 1 99460 64 69 Fax +43 1 99460 50 00 info@oneconsult.at Hauptsitz OneConsult GmbH Schützenstrasse 1 8800 Thalwil Schweiz Tel +41 43 377 22 22 Fax +41 43 377 22 77 info@oneconsult.com Danke für Ihre Aufmerksamkeit! Fragen? Yves Kraft BSc FH CS, OPST&OPSA Senior Security Consultant yves.kraft@oneconsult.com +41 79 308 15 15

Empfohlen

Digital Forensics – die Jagd nach digitalen Spuren
Digital Forensics – die Jagd nach digitalen SpurenDigital Forensics – die Jagd nach digitalen Spuren
Digital Forensics – die Jagd nach digitalen SpurenDigicomp Academy AG
 
Heartbleed
Heartbleed Heartbleed
Heartbleed Shyam Bahadur Sunari Magar
 
Incident response
Incident responseIncident response
Incident responseDigicomp Academy AG
 
Android smartphones und sicherheit
Android smartphones und sicherheitAndroid smartphones und sicherheit
Android smartphones und sicherheitDigicomp Academy AG
 
Owasp mobile top 10
Owasp mobile top 10Owasp mobile top 10
Owasp mobile top 10Digicomp Academy AG
 
Griffige Informationen Security Policies – Balance zwischen Theorie und Praxis
Griffige Informationen Security Policies – Balance zwischen Theorie und PraxisGriffige Informationen Security Policies – Balance zwischen Theorie und Praxis
Griffige Informationen Security Policies – Balance zwischen Theorie und PraxisDigicomp Academy AG
 
8 robert schneider application security-audit_in_theorie_und_praxis
8 robert schneider application security-audit_in_theorie_und_praxis8 robert schneider application security-audit_in_theorie_und_praxis
8 robert schneider application security-audit_in_theorie_und_praxisDigicomp Academy AG
 
Mobile Datensicherheit IHK 2012
Mobile Datensicherheit IHK 2012Mobile Datensicherheit IHK 2012
Mobile Datensicherheit IHK 2012IKS Gesellschaft für Informations- und Kommunikationssysteme mbH
 

Empfohlen

Digital Forensics – die Jagd nach digitalen Spuren
Digital Forensics – die Jagd nach digitalen SpurenDigital Forensics – die Jagd nach digitalen Spuren
Digital Forensics – die Jagd nach digitalen SpurenDigicomp Academy AG
 
Heartbleed
Heartbleed Heartbleed
Heartbleed Shyam Bahadur Sunari Magar
 
Incident response
Incident responseIncident response
Incident responseDigicomp Academy AG
 
Android smartphones und sicherheit
Android smartphones und sicherheitAndroid smartphones und sicherheit
Android smartphones und sicherheitDigicomp Academy AG
 
Owasp mobile top 10
Owasp mobile top 10Owasp mobile top 10
Owasp mobile top 10Digicomp Academy AG
 
Griffige Informationen Security Policies – Balance zwischen Theorie und Praxis
Griffige Informationen Security Policies – Balance zwischen Theorie und PraxisGriffige Informationen Security Policies – Balance zwischen Theorie und Praxis
Griffige Informationen Security Policies – Balance zwischen Theorie und PraxisDigicomp Academy AG
 
8 robert schneider application security-audit_in_theorie_und_praxis
8 robert schneider application security-audit_in_theorie_und_praxis8 robert schneider application security-audit_in_theorie_und_praxis
8 robert schneider application security-audit_in_theorie_und_praxisDigicomp Academy AG
 
Mobile Datensicherheit IHK 2012
Mobile Datensicherheit IHK 2012Mobile Datensicherheit IHK 2012
Mobile Datensicherheit IHK 2012IKS Gesellschaft für Informations- und Kommunikationssysteme mbH
 
CIO-Briefing 09-2017
CIO-Briefing 09-2017CIO-Briefing 09-2017
CIO-Briefing 09-2017Vogel IT-Medien
 
Cloud meets On-prem - Guidelines & Best Practices
Cloud meets On-prem - Guidelines & Best PracticesCloud meets On-prem - Guidelines & Best Practices
Cloud meets On-prem - Guidelines & Best PracticesOPITZ CONSULTING Deutschland
 
Cloud meets On-premises - Guidelines and Best practices
Cloud meets On-premises - Guidelines and Best practicesCloud meets On-premises - Guidelines and Best practices
Cloud meets On-premises - Guidelines and Best practicesSven Bernhardt
 
Sicherheit im Internet - Vortrag Weserkurier Bremen
Sicherheit im Internet - Vortrag Weserkurier BremenSicherheit im Internet - Vortrag Weserkurier Bremen
Sicherheit im Internet - Vortrag Weserkurier BremenMarc Oliver Thoma
 
Vernetzung 4.0
Vernetzung 4.0Vernetzung 4.0
Vernetzung 4.0Bernd Fuhlert
 
Erfolgsfaktoren von Mobile Wallets (Cebit Präsentation 14)
Erfolgsfaktoren von Mobile Wallets (Cebit Präsentation 14)Erfolgsfaktoren von Mobile Wallets (Cebit Präsentation 14)
Erfolgsfaktoren von Mobile Wallets (Cebit Präsentation 14)Christopher Kampshoff
 
It strategie-security-first
It strategie-security-firstIt strategie-security-first
It strategie-security-firstRalph Belfiore
 
Impulsseminar cloud computing - ufz.ch 20120521
Impulsseminar cloud computing - ufz.ch 20120521Impulsseminar cloud computing - ufz.ch 20120521
Impulsseminar cloud computing - ufz.ch 20120521ihrepartner.ch gmbh
 
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?lernet
 
Datensicherheit fuer Dummies
Datensicherheit fuer DummiesDatensicherheit fuer Dummies
Datensicherheit fuer DummiesSven Pruser
 
Zero Trust - Never Trust, Always Verify
Zero Trust - Never Trust, Always VerifyZero Trust - Never Trust, Always Verify
Zero Trust - Never Trust, Always Verifygo4mobile ag
 
Public Cloud? Aber sicher! Orchestrierung komplexer Cloud-Lösungen - Partner...
Public Cloud? Aber sicher! Orchestrierung komplexer Cloud-Lösungen - Partner...Public Cloud? Aber sicher! Orchestrierung komplexer Cloud-Lösungen - Partner...
Public Cloud? Aber sicher! Orchestrierung komplexer Cloud-Lösungen - Partner...AWS Germany
 
Cloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziertCloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziertAlexander Junk
 
Security Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Security Smoke Test - Eine bewußte Entscheidung für die IT SicherheitSecurity Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Security Smoke Test - Eine bewußte Entscheidung für die IT SicherheitCarsten Muetzlitz
 
Wie aus einer alten analogen Vereinsidee im Mai nun ein Internetclub wird : D...
Wie aus einer alten analogen Vereinsidee im Mai nun ein Internetclub wird : D...Wie aus einer alten analogen Vereinsidee im Mai nun ein Internetclub wird : D...
Wie aus einer alten analogen Vereinsidee im Mai nun ein Internetclub wird : D...Alfred Fuhr
 
cloud oder nicht-cloud - strategien für sonnenschein am it-himmel
cloud oder nicht-cloud - strategien für sonnenschein am it-himmelcloud oder nicht-cloud - strategien für sonnenschein am it-himmel
cloud oder nicht-cloud - strategien für sonnenschein am it-himmelWe4IT Group
 
Dr. Manfred Wöhrl (Gerichtssachverständiger, Sicherheitsexperte)
Dr. Manfred Wöhrl (Gerichtssachverständiger, Sicherheitsexperte)Dr. Manfred Wöhrl (Gerichtssachverständiger, Sicherheitsexperte)
Dr. Manfred Wöhrl (Gerichtssachverständiger, Sicherheitsexperte)Praxistage
 
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vorabtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vorbhoeck
 
Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“
Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“
Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“Rene Buest
 
IT auf Grossbaustellen - Security und Compliance
IT auf Grossbaustellen - Security und ComplianceIT auf Grossbaustellen - Security und Compliance
IT auf Grossbaustellen - Security und Compliancemmi-consult
 
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Digicomp Academy AG
 
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...Digicomp Academy AG
 

Weitere ähnliche Inhalte

Ähnlich wie Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo Script

Cloud meets On-premises - Guidelines and Best practices
Cloud meets On-premises - Guidelines and Best practicesCloud meets On-premises - Guidelines and Best practices
Cloud meets On-premises - Guidelines and Best practicesSven Bernhardt
 
Sicherheit im Internet - Vortrag Weserkurier Bremen
Sicherheit im Internet - Vortrag Weserkurier BremenSicherheit im Internet - Vortrag Weserkurier Bremen
Sicherheit im Internet - Vortrag Weserkurier BremenMarc Oliver Thoma
 
Erfolgsfaktoren von Mobile Wallets (Cebit Präsentation 14)
Erfolgsfaktoren von Mobile Wallets (Cebit Präsentation 14)Erfolgsfaktoren von Mobile Wallets (Cebit Präsentation 14)
Erfolgsfaktoren von Mobile Wallets (Cebit Präsentation 14)Christopher Kampshoff
 
It strategie-security-first
It strategie-security-firstIt strategie-security-first
It strategie-security-firstRalph Belfiore
 
Impulsseminar cloud computing - ufz.ch 20120521
Impulsseminar cloud computing - ufz.ch 20120521Impulsseminar cloud computing - ufz.ch 20120521
Impulsseminar cloud computing - ufz.ch 20120521ihrepartner.ch gmbh
 
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?lernet
 
Datensicherheit fuer Dummies
Datensicherheit fuer DummiesDatensicherheit fuer Dummies
Datensicherheit fuer DummiesSven Pruser
 
Zero Trust - Never Trust, Always Verify
Zero Trust - Never Trust, Always VerifyZero Trust - Never Trust, Always Verify
Zero Trust - Never Trust, Always Verifygo4mobile ag
 
Public Cloud? Aber sicher! Orchestrierung komplexer Cloud-Lösungen - Partner...
Public Cloud? Aber sicher! Orchestrierung komplexer Cloud-Lösungen - Partner...Public Cloud? Aber sicher! Orchestrierung komplexer Cloud-Lösungen - Partner...
Public Cloud? Aber sicher! Orchestrierung komplexer Cloud-Lösungen - Partner...AWS Germany
 
Cloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziertCloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziertAlexander Junk
 
Security Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Security Smoke Test - Eine bewußte Entscheidung für die IT SicherheitSecurity Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Security Smoke Test - Eine bewußte Entscheidung für die IT SicherheitCarsten Muetzlitz
 
Wie aus einer alten analogen Vereinsidee im Mai nun ein Internetclub wird : D...
Wie aus einer alten analogen Vereinsidee im Mai nun ein Internetclub wird : D...Wie aus einer alten analogen Vereinsidee im Mai nun ein Internetclub wird : D...
Wie aus einer alten analogen Vereinsidee im Mai nun ein Internetclub wird : D...Alfred Fuhr
 
cloud oder nicht-cloud - strategien für sonnenschein am it-himmel
cloud oder nicht-cloud - strategien für sonnenschein am it-himmelcloud oder nicht-cloud - strategien für sonnenschein am it-himmel
cloud oder nicht-cloud - strategien für sonnenschein am it-himmelWe4IT Group
 
Dr. Manfred Wöhrl (Gerichtssachverständiger, Sicherheitsexperte)
Dr. Manfred Wöhrl (Gerichtssachverständiger, Sicherheitsexperte)Dr. Manfred Wöhrl (Gerichtssachverständiger, Sicherheitsexperte)
Dr. Manfred Wöhrl (Gerichtssachverständiger, Sicherheitsexperte)Praxistage
 
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vorabtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vorbhoeck
 
Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“
Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“
Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“Rene Buest
 
IT auf Grossbaustellen - Security und Compliance
IT auf Grossbaustellen - Security und ComplianceIT auf Grossbaustellen - Security und Compliance
IT auf Grossbaustellen - Security und Compliancemmi-consult
 

Ähnlich wie Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo Script (20)

CIO-Briefing 09-2017
CIO-Briefing 09-2017CIO-Briefing 09-2017
CIO-Briefing 09-2017
 
Cloud meets On-prem - Guidelines & Best Practices
Cloud meets On-prem - Guidelines & Best PracticesCloud meets On-prem - Guidelines & Best Practices
Cloud meets On-prem - Guidelines & Best Practices
 
Cloud meets On-premises - Guidelines and Best practices
Cloud meets On-premises - Guidelines and Best practicesCloud meets On-premises - Guidelines and Best practices
Cloud meets On-premises - Guidelines and Best practices
 
Sicherheit im Internet - Vortrag Weserkurier Bremen
Sicherheit im Internet - Vortrag Weserkurier BremenSicherheit im Internet - Vortrag Weserkurier Bremen
Sicherheit im Internet - Vortrag Weserkurier Bremen
 
Vernetzung 4.0
Vernetzung 4.0Vernetzung 4.0
Vernetzung 4.0
 
Erfolgsfaktoren von Mobile Wallets (Cebit Präsentation 14)
Erfolgsfaktoren von Mobile Wallets (Cebit Präsentation 14)Erfolgsfaktoren von Mobile Wallets (Cebit Präsentation 14)
Erfolgsfaktoren von Mobile Wallets (Cebit Präsentation 14)
 
It strategie-security-first
It strategie-security-firstIt strategie-security-first
It strategie-security-first
 
Impulsseminar cloud computing - ufz.ch 20120521
Impulsseminar cloud computing - ufz.ch 20120521Impulsseminar cloud computing - ufz.ch 20120521
Impulsseminar cloud computing - ufz.ch 20120521
 
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
 
Datensicherheit fuer Dummies
Datensicherheit fuer DummiesDatensicherheit fuer Dummies
Datensicherheit fuer Dummies
 
Zero Trust - Never Trust, Always Verify
Zero Trust - Never Trust, Always VerifyZero Trust - Never Trust, Always Verify
Zero Trust - Never Trust, Always Verify
 
Public Cloud? Aber sicher! Orchestrierung komplexer Cloud-Lösungen - Partner...
Public Cloud? Aber sicher! Orchestrierung komplexer Cloud-Lösungen - Partner...Public Cloud? Aber sicher! Orchestrierung komplexer Cloud-Lösungen - Partner...
Public Cloud? Aber sicher! Orchestrierung komplexer Cloud-Lösungen - Partner...
 
Cloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziertCloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziert
 
Security Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Security Smoke Test - Eine bewußte Entscheidung für die IT SicherheitSecurity Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Security Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
 
Wie aus einer alten analogen Vereinsidee im Mai nun ein Internetclub wird : D...
Wie aus einer alten analogen Vereinsidee im Mai nun ein Internetclub wird : D...Wie aus einer alten analogen Vereinsidee im Mai nun ein Internetclub wird : D...
Wie aus einer alten analogen Vereinsidee im Mai nun ein Internetclub wird : D...
 
cloud oder nicht-cloud - strategien für sonnenschein am it-himmel
cloud oder nicht-cloud - strategien für sonnenschein am it-himmelcloud oder nicht-cloud - strategien für sonnenschein am it-himmel
cloud oder nicht-cloud - strategien für sonnenschein am it-himmel
 
Dr. Manfred Wöhrl (Gerichtssachverständiger, Sicherheitsexperte)
Dr. Manfred Wöhrl (Gerichtssachverständiger, Sicherheitsexperte)Dr. Manfred Wöhrl (Gerichtssachverständiger, Sicherheitsexperte)
Dr. Manfred Wöhrl (Gerichtssachverständiger, Sicherheitsexperte)
 
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vorabtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
 
Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“
Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“
Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“
 
IT auf Grossbaustellen - Security und Compliance
IT auf Grossbaustellen - Security und ComplianceIT auf Grossbaustellen - Security und Compliance
IT auf Grossbaustellen - Security und Compliance
 

Mehr von Digicomp Academy AG

Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Digicomp Academy AG
 
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...Digicomp Academy AG
 
Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018Digicomp Academy AG
 
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handoutRoger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handoutDigicomp Academy AG
 
Roger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handoutRoger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handoutDigicomp Academy AG
 
Xing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit xXing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit xDigicomp Academy AG
 
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?Digicomp Academy AG
 
IPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe KleinIPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe KleinDigicomp Academy AG
 
Agiles Management - Wie geht das?
Agiles Management - Wie geht das?Agiles Management - Wie geht das?
Agiles Management - Wie geht das?Digicomp Academy AG
 
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi OdermattGewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi OdermattDigicomp Academy AG
 
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING ExpertendialogQuerdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING ExpertendialogDigicomp Academy AG
 
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickelnXing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickelnDigicomp Academy AG
 
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only BuildingSwiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only BuildingDigicomp Academy AG
 
UX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital BusinessUX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital BusinessDigicomp Academy AG
 
Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich Digicomp Academy AG
 
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)CommerceXing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)CommerceDigicomp Academy AG
 
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloudZahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloudDigicomp Academy AG
 
General data protection regulation-slides
General data protection regulation-slidesGeneral data protection regulation-slides
General data protection regulation-slidesDigicomp Academy AG
 

Mehr von Digicomp Academy AG (20)

Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
 
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
 
Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018
 
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handoutRoger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
 
Roger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handoutRoger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handout
 
Xing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit xXing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit x
 
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
 
IPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe KleinIPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe Klein
 
Agiles Management - Wie geht das?
Agiles Management - Wie geht das?Agiles Management - Wie geht das?
Agiles Management - Wie geht das?
 
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi OdermattGewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
 
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING ExpertendialogQuerdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING Expertendialog
 
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickelnXing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
 
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only BuildingSwiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
 
UX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital BusinessUX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital Business
 
Minenfeld IPv6
Minenfeld IPv6Minenfeld IPv6
Minenfeld IPv6
 
Was ist design thinking
Was ist design thinkingWas ist design thinking
Was ist design thinking
 
Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich
 
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)CommerceXing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
 
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloudZahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
 
General data protection regulation-slides
General data protection regulation-slidesGeneral data protection regulation-slides
General data protection regulation-slides
 

Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo Script

  • 1. © 2014 OneConsult GmbH www.oneconsult.com Defense in Depth und Security Prozesse Yves Kraft – Senior Security Consultant – OneConsult GmbH Hacking Day 2014 – Datenschutz am Beispiel von Heartbleed 11. Juni 2014
  • 2. © 2014 OneConsult GmbH www.oneconsult.com Agenda → Vorstellung → Einleitung → Beispiele/Demo → Gegenmassnahmen → Fazit Hacking Day 2014 – Datenschutz 2
  • 3. © 2014 OneConsult GmbH www.oneconsult.com Über mich → Yves Kraft → Senior Security Consultant → BSc FH CS, OPST, OPSA, OSSTMM Trainer → Kursleiter bei Digicomp [Kurscodes PSI, PSO, PST, SWO, TSA] → Technische Security Audits → Konzeptionelles Consulting → Schulung & Coaching → Security Officer 3 Vorstellung
  • 4. © 2014 OneConsult GmbH www.oneconsult.com Unternehmen → Kunden ◦ Mehr als 200 Unternehmen in der Schweiz, Europa und Übersee (inklusive ein Dutzend der «Fortune Global 500 Corporations») ◦ Kunden gleichmässig auf alle Branchen verteilt (Finanz-, Pharma-, Industrie- Branche sowie öffentliche Verwaltungen (Bund, Kantone und Städte)) → Projekterfahrung, über ◦ 750 technische Security Audit Projekte / Penetration Test Projekte (650 davon nach OSSTMM) ◦ 350 Application Security Audits von Banking Lösungen und Online Shops ◦ 45 Mobile App Security Audits ◦ 50 Code Reviews ◦ 35 Digitale Forensik und Notfalleinsätze, rund ein Projekt pro Monat ◦ 120 konzeptionelle Security Audits ◦ Weitere anonymisierte Informationen: http://www.oneconsult.com/de/references 4
  • 5. © 2014 OneConsult GmbH www.oneconsult.com Einleitung → Was ist Heartbleed? → Was ist schief gelaufen? → Der Angriff? Einleitung 5
  • 6. © 2014 OneConsult GmbH www.oneconsult.com «Catastrophic is the right word. On the scale of 1 to 10, this is an 11.» Bruce Schneier, www.schneier.com Hacking Day 2014 – Datenschutz 6
  • 7. © 2014 OneConsult GmbH www.oneconsult.com Was ist Heartbleed? → Schwachstelle der Heartbeat-Erweiterung des TLS-Protokolls in OpenSSL → OpenSSL-Versionen 1.0.1 bis 1.0.1f sind verwundbar → Wurde von Codenomicon Defensics am 3. April 2014 entdeckt → Bug mit Version 1.0.1g am 7. April 2014 behoben → CVE-2014-0160: https://www.openssl.org/news/secadv_20140407.txt Hacking Day 2014 – Datenschutz 7
  • 8. © 2014 OneConsult GmbH www.oneconsult.com Was ist schief gelaufen? → Heartbeat-Funktion ◦ Kommunikationspartner A sendet zufälligen Inhalten ◦ Kommunikationspartner B sendet exakt die selben Daten zurück → Länge der Daten wird nicht geprüft → Feld payload_length kann mit beliebigen Werten überschrieben werden Hacking Day 2014 – Datenschutz 8
  • 9. © 2014 OneConsult GmbH www.oneconsult.com Der Angriff → Angreifer sendet Heartbeat-Payload ◦ Grösse: 1 Byte ◦ Länge: 16KByte Hacking Day 2014 – Datenschutz 9 →RFC6520 «The total length of a HeartbeatMessage MUST NOT exceed 2^14» →Mit Payload 0xFFFF sind theoretisch 64 Kbyte möglich . u s e r = d i g i & p a s s w o r t = h a c k i n g ; a Z . . C 4 . Z 16 KB ServerClient 16 KB → Server sendet die angeforderten Daten zurück buffer = OPENSSL_malloc(1 + 2 + payload + padding); bp = buffer; memcpy(bp, pl, payload);
  • 10. © 2014 OneConsult GmbH www.oneconsult.com Demo → Wie wird der Heartbleed-Bug ausgenutzt? → An welche Informationen kann man gelangen? → Bekanntgewordene Fälle Hacking Day 2014 – Datenschutz 10
  • 11. © 2014 OneConsult GmbH www.oneconsult.com Heartbleed-Bug (CVE-2014-0160) → OpenSSL-Versionen 1.0.1 bis 1.0.1f sind verwundbar → Vorgehen: 1. Information Gathering 2. Footprinting 3. Exploiting Hacking Day 2014 – Datenschutz 11
  • 12. © 2014 OneConsult GmbH www.oneconsult.com Szenario 1: Wordpress Blog Hacking Day 2014 – Datenschutz 12
  • 13. © 2014 OneConsult GmbH www.oneconsult.com Das Internet blutet → Kanadisches Finanzamt - Sozialversicherungsnummern von 900 Personen entwendet → IP-Telefonie - einige VoIP-Modelle von Cisco betroffen → Mobile Geräte - Google Android in Version 4.1.1 betroffen → Netzwerkspeicher - Hersteller Synology muss Firmwareupdate liefern → Internetdienste – Google-Suche, GMail, YouTube, Play Store, Yahoo, Yahoo Mail, Instagram, Flickr, Tumblr, Amazon Web Services, Dropbox, Pinterest, Last Past, Soundcloud, GitHub, … Hacking Day 2014 – Datenschutz 13
  • 14. © 2014 OneConsult GmbH www.oneconsult.com Szenario 2: Magento Webshop Hacking Day 2014 – Datenschutz 14
  • 15. © 2014 OneConsult GmbH www.oneconsult.com Gegenmassnahmen → Was muss ich tun? → Wie kann ich mich schützen → Sofortmassnahmen → Defense in Depth Hacking Day 2014 – Datenschutz 15
  • 16. © 2014 OneConsult GmbH www.oneconsult.com Gegenmassnahmen - Sofortmassnahmen → Betroffenes System vom Internet nehmen → Patch einspielen → Passwörter wechseln → Zertifikate erneuern → Altes Zertifikate revozieren Hacking Day 2014 – Datenschutz 16
  • 17. © 2014 OneConsult GmbH www.oneconsult.com …und in der Realität? → Studie von Netcraft (vom 9. Mai 2014) zeigt ◦ Immer noch 300’000 Webseiten verwundbar Hacking Day 2014 – Datenschutz 17 Quelle: http://news.netcraft.com/archives/2014/05/09/keys-left-unchanged-in-many-heartbleed-replacement-certificates.html
  • 18. © 2014 OneConsult GmbH www.oneconsult.com Gegenmassnahmen – «Defense in Depth» → Militärische Strategie: «Verzögerung statt dem Angreifer Raum freigeben» → Platzierung von Schutzmechanismen, -verfahren und -politik soll Zuverlässigkeit eines IT-Systems erhöhen → Mehrfache Schichten der Verteidigung sollen Spionage verhindern → Angriffe gegen kritische Systeme verhindern → Mehr Zeit zur Erkennung & Reaktion bei Angriffen → Auswirkungen eines Einbruchs abschwächen Hacking Day 2014 – Datenschutz 18
  • 19. © 2014 OneConsult GmbH www.oneconsult.com «Defense in Depth» Strategie Hacking Day 2014 – Datenschutz 19 Personen Technologie Operations Defense in Depth Strategie Informationssicherheit Defense in Depth Bereiche Netzwerk & Infrastruktur verteidigen (Zonen-) Grenzen verteidigen Computer- umgebung verteidigen Hilfsinfrastruktur (KM/PKI, etc.)
  • 20. © 2014 OneConsult GmbH www.oneconsult.com Beispiele für «Defense in Depth» → Netzwerk ◦ Demilitarisierten Zonen (DMZ) ◦ Paket-Filter / Firewalls ◦ Intrusion Detection Systeme (IDS) ◦ Intrusion Protection/Prevention Systeme (IPS) → Software / Malware ◦ Antivirus Software ◦ Sandboxing ◦ Endpoint Security → Vulnerability Scanner → Authentisierung und Passwortsicherheit ◦ Passwortrichtlinien ◦ Biometrische Sicherheitsmerkmale ◦ Hashing von Passwörtern ◦ Timed Access Control → Logging und Auditing → Physische Sicherheit → Awareness / Schulungen ◦ (Internet Security) Awareness Schulung Hacking Day 2014 – Datenschutz 20
  • 21. © 2014 OneConsult GmbH www.oneconsult.com «Defense in Depth» gegen Heartbleed → Netzwerk ◦ Demilitarisierten Zonen (DMZ) ◦ Paket-Filter / Firewalls ◦ Intrusion Detection Systeme (IDS) ◦ Intrusion Protection/Prevention Systeme (IPS) → Software / Malware ◦ Antivirus Software ◦ Sandboxing ◦ Endpoint Security → Vulnerability Scanner → Authentisierung und Passwortsicherheit ◦ Passwortrichtlinien ◦ Biometrische Sicherheitsmerkmale ◦ Hasing von Passwörtern ◦ Timed Access Control → Logging und Auditing → Physische Sicherheit → Awareness / Schulungen ◦ (Internet Security) Awareness Schulung Hacking Day 2014 – Datenschutz 21
  • 22. © 2014 OneConsult GmbH www.oneconsult.com Gegenmassnahmen – IT-Security Prozesse → Rollen und Verantwortlichkeiten → IT-Security als Teil des Projektmanagements → Risiko Analyse → Incident Response → Verträge Hacking Day 2014 – Datenschutz 22
  • 23. © 2014 OneConsult GmbH www.oneconsult.com Fazit → Ein wenig Statistik zum Schluss → Erkenntnisse aus Heartbleed Hacking Day 2014 – Datenschutz 23
  • 24. © 2014 OneConsult GmbH www.oneconsult.com Ein wenig Statistik zum Schluss Hacking Day 2014 – Datenschutz 24 → http://pacemaker.chokepointproject.net
  • 25. © 2014 OneConsult GmbH www.oneconsult.com Erkenntnisse aus Fällen wie Heartbleed → 100% sichere Software gibt es nicht! → Grosse Verbreitung bedeutet auch grosse Verantwortung → Open Source Software braucht Unterstützung → Protokoll ist zu kompliziert → Incident Handling vs. Defense in Depth → Kennwörter sind von gestern Hacking Day 2014 – Datenschutz 25
  • 26. © 2014 OneConsult GmbH www.oneconsult.com © 2013 OneConsult GmbH www.oneconsult.com Büro Deutschland Niederlassung der OneConsult GmbH Karlstraße 35 80333 München Deutschland Tel +49 89 452 35 25 25 Fax +49 89 452 35 21 10 info@oneconsult.de Büro Österreich Niederlassung der OneConsult GmbH Wienerbergstraße 11/12A 1100 Wien Österreich Tel +43 1 99460 64 69 Fax +43 1 99460 50 00 info@oneconsult.at Hauptsitz OneConsult GmbH Schützenstrasse 1 8800 Thalwil Schweiz Tel +41 43 377 22 22 Fax +41 43 377 22 77 info@oneconsult.com Danke für Ihre Aufmerksamkeit! Fragen? Yves Kraft BSc FH CS, OPST&OPSA Senior Security Consultant yves.kraft@oneconsult.com +41 79 308 15 15