IT-Security & UnternehmensgründungPraktische Aspekte                                             Iulius Gutberlet         ...
Agenda     Begriffe     Grundpfeiler Verschlüsselung     Angriffsszenarien & Gegenmaßnahmen     Cloudcomputing     Webserv...
Begriffe26/11/11              3
Begriffe     Angriff     (D)DoS Attacken     Exploit     Zero-Day Exploit     Phishing     Malware26/11/11                ...
Grundpfeiler           Verschlüsselung26/11/11                     5
Grundpfeiler Verschlüsselung     Wie funktioniert SSL?           Verschlüsselung über Zertifikate           Jeder kann ein...
Grundpfeiler Verschlüsselung     Vorteile           Etabilierte & einfache Handhabe           Sichert Verbindungen ab     ...
Angriffsszenarien                   &           Gegenmaßnahmen26/11/11                       8
Angriffsszenarien & Gegenmaßnahmen     Man-In-The-Middle-Attack           SSL erschwert die Attacke           Schwer erken...
Cloudcomputing     Island Hopping & Phishing           User erwartet Informationen           aus vertraulicher Quelle     ...
Angriffsszenarien & Gegenmaßnahmen     Cross Site Scripting           Ausführung von Javascript in ungewünschten Kontext  ...
Angriffsszenarien & Gegenmaßnahmen     Cross Site Request Forgery           Statuslosigkeit von HTTP           Phishing & ...
Angriffsszenarien & Gegenmaßnahmen     SQL Injection           Unzureichende Eingabeprüfung           Mehrstufiger Angriff...
Angriffsszenarien & Gegenmaßnahmen     DNS Tunneling           IP Traffic wird über DNS getunnelt           Umgehung der Z...
Cloudcomputing26/11/11                    15
Cloudcomputing     Beispiel: Amazon Cloud Services     Ungeklärte rechtliche Situation           Im Zweifel amerikanisches...
Webservices26/11/11                 17
Webservices     OpenID           LDAP fürs Internet           Dezentrale OpenID Provider             Facebook, Google     ...
Webservices     OAuth 2.0           Offenes Authentisierungsprotokoll           Keine Identitätsfeststellung           Fre...
Webservices     Schwachstellen           www.ws-attacks.org           Security wird durch Webservice bereitgestellt       ...
Scada &               Kritische           Infrastrukturen26/11/11                     21
Scada & Kritische Infrastrukturen     Scada (Supervisory Control and Data Acquisition)           Anlagensteuerung     Stux...
Gründung eines              Startups26/11/11                    23
Gründung eines Startups     Formalitäten           Namenprüfung durch IHK           Notartermin           Eintragung beim ...
Gründung eines Startups     UG Lüge           1€ Stammkapital             Notarkosten: 300€-600€             UG ist übersc...
Gründung eines Startups     Konkrete Gründung           Gewünschter Name: sniggle.me UG           Gründungsort Köln → Bott...
Fragen & Antworten26/11/11                   27
Vielen Dank!26/11/11                  28
Quellen     Online     http://www.heise.de/newsticker/meldung/Google-mit-besserer-Langzeit-Verschluesselung-1384441.html  ...
Quellen     http://www.memagazine.org/backissues/membersonly/dec02/features/scadavs/scadavs.html     http://www.isa.org/Fi...
Nächste SlideShare
Wird geladen in …5
×

eBusiness - IT Security & Unternehmensgründung

709 Aufrufe

Veröffentlicht am

Präsentation zu praktischen Aspekten der IT Security und der Gründung eines Unternehmens.
Kurzer Vortrag (30 Minuten) im Verbundstudium Master Wirtschaftsinformatik an der Fachhochschule Köln

0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
709
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
3
Aktionen
Geteilt
0
Downloads
9
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

eBusiness - IT Security & Unternehmensgründung

  1. 1. IT-Security & UnternehmensgründungPraktische Aspekte Iulius Gutberlet Studiengang Master Sc. Wirtschaftsinformatik Fachhochschule Köln
  2. 2. Agenda Begriffe Grundpfeiler Verschlüsselung Angriffsszenarien & Gegenmaßnahmen Cloudcomputing Webservices Scada & kritische Infrastrukturenen Gründung eines Startups26/11/11 2
  3. 3. Begriffe26/11/11 3
  4. 4. Begriffe Angriff (D)DoS Attacken Exploit Zero-Day Exploit Phishing Malware26/11/11 4
  5. 5. Grundpfeiler Verschlüsselung26/11/11 5
  6. 6. Grundpfeiler Verschlüsselung Wie funktioniert SSL? Verschlüsselung über Zertifikate Jeder kann ein Zertifikat erstellen Mehrere Trusted Certification Authorities Web-of-Trust Ansatz Man vertraut jedem Zertifikat, einer trusted CA White-List and Revocation List26/11/11 6
  7. 7. Grundpfeiler Verschlüsselung Vorteile Etabilierte & einfache Handhabe Sichert Verbindungen ab Nachteile Sicherheit hängt an der Sicherheit der CA “teurer” Verbindungsaufbau Mitgeschnittener Traffic kann “einfach” geknackt werden Verbesserung durch Google Revocation Lists werden nicht (immer) geupdated26/11/11 7
  8. 8. Angriffsszenarien & Gegenmaßnahmen26/11/11 8
  9. 9. Angriffsszenarien & Gegenmaßnahmen Man-In-The-Middle-Attack SSL erschwert die Attacke Schwer erkennbar Oft durch Malware iniziiert Operation Ghostclick 14 Mio. US-$ Schaden http://www.owasp.org/26/11/11 9
  10. 10. Cloudcomputing Island Hopping & Phishing User erwartet Informationen aus vertraulicher Quelle Bezieht aus dieser Quelle Schadsoftware Dient als Einstiegspunkt http://www.wikimedia.org/ zum eigentlichen Ziel Komplizierter Angriff Beispiele: Lockheed Martin, RSA26/11/11 10
  11. 11. Angriffsszenarien & Gegenmaßnahmen Cross Site Scripting Ausführung von Javascript in ungewünschten Kontext Ungefiltertes speichern der Eingaben Mangelhafte Validierung der Eingabedaten Mangelhafte Parameterkontrolle Häufigster Fehler in Webapps Priviledge Escalation Nutzt Vertrauenwürdigkeit der Website aus (non)persitent, dom-basiert http://catthetechie.blogspot.com26/11/11 11
  12. 12. Angriffsszenarien & Gegenmaßnahmen Cross Site Request Forgery Statuslosigkeit von HTTP Phishing & XSS Nutzt Vertrauenswürdigkeit des Browsers aus Session-Riding http://www.sciencesecurity.com User kann sich nur schwer schützen Schutz sollte serverseitig implementiert sein26/11/11 12
  13. 13. Angriffsszenarien & Gegenmaßnahmen SQL Injection Unzureichende Eingabeprüfung Mehrstufiger Angriff Einstieg für XSS & XSRF Attacken Beispiel: Select count(*) from users where username = username and password = password; Select count(*) from users where username = Max and password = Musterpassword; Select count(*) from users where username = Max and password = or 1=1 limit 1;--;26/11/11 13
  14. 14. Angriffsszenarien & Gegenmaßnahmen DNS Tunneling IP Traffic wird über DNS getunnelt Umgehung der Zugriffskontrolle Umgehung von Zensurmaßnahmen Eher Angriff auf staatliche Kontroll- und Zensurvorhaben Beispiel: Wifi Access Points26/11/11 14
  15. 15. Cloudcomputing26/11/11 15
  16. 16. Cloudcomputing Beispiel: Amazon Cloud Services Ungeklärte rechtliche Situation Im Zweifel amerikanisches Recht Webservices Services und Daten stehen im Internet Lediglich SLAs als Versprechen www.cloudcomputingx.org Supercomputer im Netz EC2 Ausfall über mehrere Stunden26/11/11 16
  17. 17. Webservices26/11/11 17
  18. 18. Webservices OpenID LDAP fürs Internet Dezentrale OpenID Provider Facebook, Google Single Sign On Lösung Potentielle Anfälligkeit für Phishing Attacken Kompromittierung aller Seiten26/11/11 18
  19. 19. Webservices OAuth 2.0 Offenes Authentisierungsprotokoll Keine Identitätsfeststellung Freigabe von Ressourcen Authentifizierung durch Tokens http://www.wikipedia.org26/11/11 19
  20. 20. Webservices Schwachstellen www.ws-attacks.org Security wird durch Webservice bereitgestellt SQLInjection, alle klassischen Lücken XML Injection Amazon EC2 Admin Lücke XML Signature Wrapping Priviledge Escalation26/11/11 20
  21. 21. Scada & Kritische Infrastrukturen26/11/11 21
  22. 22. Scada & Kritische Infrastrukturen Scada (Supervisory Control and Data Acquisition) Anlagensteuerung Stuxnet (Juni 2010) Iranische Atomanlagen US Wasserkraftwerke US Gefängnisse Gaspipeline in Alaska26/11/11 22
  23. 23. Gründung eines Startups26/11/11 23
  24. 24. Gründung eines Startups Formalitäten Namenprüfung durch IHK Notartermin Eintragung beim Amtsgericht Veröffentlichung der Firma Konto mit Stammkapital eröffnen Steuernummer beantragen Die Arbeit kann beginnen!26/11/11 24
  25. 25. Gründung eines Startups UG Lüge 1€ Stammkapital Notarkosten: 300€-600€ UG ist überschuldet UG mit zu wenig Kapital wird als Betrugsversuch gewertet UG ist Kapitalgesellschaft ohne pers. Haftung Bei Kreditanträgen: pers. Haftung gegenüber der Bank26/11/11 25
  26. 26. Gründung eines Startups Konkrete Gründung Gewünschter Name: sniggle.me UG Gründungsort Köln → Bottrop Zwei Gründer: Satzung wie bei der GmbH Notar 600€ IT Security Themen Cloudcomputing Datenschutz26/11/11 26
  27. 27. Fragen & Antworten26/11/11 27
  28. 28. Vielen Dank!26/11/11 28
  29. 29. Quellen Online http://www.heise.de/newsticker/meldung/Google-mit-besserer-Langzeit-Verschluesselung-1384441.html http://www.heise.de/newsticker/meldung/EU-Cloud-Service-will-vor-US-Patriot-Act-schuetzen-1383794.html http://www.heise.de/newsticker/meldung/Deutsche-Telekom-stellt-Datenschutztechnik-fuer-IPv6-vor-1383772.html http://www.heise.de/newsticker/meldung/Chef-von-EU-Netzsicherheitsagentur-warnt-vor-Cloud-Computing-1383039.html http://www.heise.de/security/meldung/RSA-tauscht-nach-Hack-bis-zu-40-Millionen-SecurID-Tokens-aus-1256298.html http://www.spiegel.de/netzwelt/web/0,1518,784002,00.html http://computer.yourdictionary.com/island-hopping http://www.computerweekly.com/news/2240089111/Top-five-cloud-computing-security-issues http://www.crn.com/news/cloud/231901911/researchers-uncover-massive-security-flaws-in-amazon-cloud.htm;jsessionid=4oGgRFy http://arstechnica.com/business/news/2011/11/vulnerabilities-give-hackers-ability-to-open-prison-cells-from-afar.ars http://www.washingtontimes.com/news/2011/nov/6/prisons-bureau-alerted-to-hacking-into-lockups/ http://www.spiegel.de/netzwelt/web/0,1518,799555,00.html Http://www.ws-attacks.org http://www.golem.de/1104/83140.html http://www.heise.de/newsticker/meldung/Deutschen-Unternehmen-droht-Aerger-bei-der-Nutzung-von-US-Clouds-1353083.html http://www.heise.de/newsticker/meldung/EU-Cloud-Service-will-vor-US-Patriot-Act-schuetzen-1383794.html http://www.spiegel.de/netzwelt/netzpolitik/0,1518,773495,00.html http://events.ccc.de/congress/2007/Fahrplan/events/2227.en.html26/11/11 29
  30. 30. Quellen http://www.memagazine.org/backissues/membersonly/dec02/features/scadavs/scadavs.html http://www.isa.org/FileStore/Intech/WhitePaper/Hacking-the-industrial-network-USversion.pdf http://www.itwire.com/business-it-news/security/51262-two-us-water-authorities-control-systems-breached Bücher Web application vulnerabilities: detect, exploit, prevent, Michael Cross, Steven Palmer Financial Cryptography and Data Security: 13th International Conference, FC 2009, Accra Beach, Barbados,Roger Dingledine, Philippe Golle Seven Deadliest Web Application Attacks By Mike Shema SQL injection attacks and defense, Justin Clarke SSL and TLS: theory and practice, Rolf Oppliger Cloud Security and Privacy: An Enterprise Perspective on Risks and Compliance, Tim Mather, Subra Kumaraswamy, Shahed Latif RESTful Web Services Cookbook: Solutions for Improving Scalability and Simplicity, Subbu Allamaraju26/11/11 30

×