Soziale NetzwerkeVielschichtige Gefahren eines neuen Zeitalters                  Marc Ruef                 www.scip.ch    ...
Agenda | Soziale Netze – Vielschichte Gefahren                           Intro                                            ...
Einführung | Wer bin ich                                                 Intro                                            ...
Einführung | Gefahren Sozialer Netze                      Intro                                                           ...
Einführung | Was sind Soziale Netze?                      Intro                                                           ...
Beispiele | Facebook – Persönlicher Kanal                     Intro                                                       ...
Beispiele | Twitter – Kurznachrichten                          Intro                                                      ...
Beispiele | LinkedIn – Berufliches Portfolio                   Intro                                                      ...
Angriffsfläche | Data Mining – Möglichkeiten           Intro                                                         Wer? ...
Angriffsfläche | Datamining – Informationen         Intro                                                      Wer?       ...
Angriffsfläche | Data Mining - Verbindungen zu @scipag
Angriffsfläche | Data Mining – Ergebnis              Intro                                                       Wer?     ...
Angriffsfläche | Social Engineering – Übersicht         Intro                                                          Wer...
Angriffsfläche | Social Engineering – Hintergrund                   Intro                                                 ...
Angriffsfläche | Social Engineering – Beispiel Versicherungsbetrug
Angriffsfläche | Malware – Übersicht                    Intro                                                          Wer...
Angriffsfläche | Massnahmen Richtlinien Auswahl                       Intro                                               ...
Angriffsfläche | Massnahmen Technisch Auswahl                          Intro                                              ...
Zusammenfassung                                                       Intro                                               ...
Quellen                                                  Intro                                                           W...
Fragen                              Intro                                      Wer?                                      W...
Security is our Business!                                    Intro                                                        ...
Nächste SlideShare
Wird geladen in …5
×

Soziale Netzwerke - Vielschichtige Gefahren eines neuen Zeitalters

2.533 Aufrufe

Veröffentlicht am

Soziale Netzwerke, wie zum Beispiel Facebook und Twitter, sind aus der heutigen Informationsgesellschaft nicht mehr wegzudenken. Durch den erweiterten Datenaustausch werden aber nicht nur Möglichkeiten geschaffen, sondern auch Risiken für Unternehmen, Mitarbeiter und Einzelpersonen mitgeführt.

Dieser Vortrag bespricht die verschiedenen Aspekte der Informationssicherheit im Rahmen Sozialer Netzwerke. Dabei wird einerseits auf allgemeine datenschutztechnische Risiken eingegangen. Andererseits werden technische Gefahren an konkreten Beispielen aufgezeigt und so greifbar gemacht.

Link: http://www.scip.ch/?labs.20110623

Veröffentlicht in: Technologie
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
2.533
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
6
Aktionen
Geteilt
0
Downloads
11
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Soziale Netzwerke - Vielschichtige Gefahren eines neuen Zeitalters

  1. 1. Soziale NetzwerkeVielschichtige Gefahren eines neuen Zeitalters Marc Ruef www.scip.ch ISSS 08. Juni 2011 Zürich, Schweiz
  2. 2. Agenda | Soziale Netze – Vielschichte Gefahren Intro Wer?1. Intro Was? Beispiele Einführung 2 min Facebook Was sind Soziale Netze? 3 min Twitter2. Beispiele populärer Plattformen LinkedIn Facebook 2 min Angriffsfläche Data Mining Twitter 2 min Social Engineering LinkedIn 2 min Malware3. Angriffsfläche Soziales Netzwerk Massnahmen Data Mining 5 min Abschluss Zusammenfassung Social Engineering 5 min Fragen Malware 2 min Massnahmen 4 min4. Abschluss Zusammenfassung 3 min ISSS Zürcher Tagung 2011 2/22
  3. 3. Einführung | Wer bin ich Intro Wer? Was?Name Marc Ruef BeispieleBeruf Mitinhaber / CTO, scip AG, Zürich Facebook TwitterPrivate Webseite http://www.computec.ch LinkedInLetztes Buch „Die Kunst des Penetration Testing“, Angriffsfläche Computer & Literatur Böblingen, Data Mining Social Engineering ISBN 3-936546-49-5 Malware Massnahmen Abschluss Zusammenfassung Fragen Übersetzung ISSS Zürcher Tagung 2011 3/22
  4. 4. Einführung | Gefahren Sozialer Netze Intro Wer? Was? Beispiele Facebook TwitterPhishing sites that target social networks routinely LinkedIn Angriffsflächereceive the highest number of impressions per active Data Miningphishing site […] but still only accounted for 4.2 Social Engineeringpercent of active sites in December, despite receiving Malware84.5 percent of impressions that month. Massnahmen Abschluss Zusammenfassung Microsoft Security Intelligence Report, Vol. 10 (2011) Fragen ISSS Zürcher Tagung 2011 4/22
  5. 5. Einführung | Was sind Soziale Netze? Intro Wer? Was?◦ Webseiten mit der Möglichkeit, sich mit anderen Beispiele Benutzern zu verbinden Facebook◦ Aktivitäten dieser Freunde werden unmittelbar Twitter LinkedIn angezeigt Angriffsfläche◦ Dadurch wird ein personalisierter Aktivitätsverlauf Data Mining möglich Social Engineering Malware Massnahmen Abschluss Zusammenfassung Fragen ISSS Zürcher Tagung 2011 5/22
  6. 6. Beispiele | Facebook – Persönlicher Kanal Intro Wer?Zielgruppe Was? BeispielePrivatpersonen, Firmen FacebookVerbindungen TwitterFreunde, Gruppen LinkedInZusätzliches Angriffsfläche Data MiningApplikationen Social EngineeringGründung MalwareFebruar 2004 Cambridge, UK MassnahmenMitarbeiter Abschluss Zusammenfassung>2000 2011 FragenUser600 Millionen Januar 2011ÄhnlichMySpace, Orkut, StudiVZ ISSS Zürcher Tagung 2011 6/22
  7. 7. Beispiele | Twitter – Kurznachrichten Intro Wer?Zielgruppe Was? BeispielePersonen, Firmen, Bots FacebookVerbindungen TwitterFollower, Lists LinkedInZusätzliches Angriffsfläche Data MiningNachricht max. 140 Zeichen Social EngineeringGründung MalwareJuli 2006 Frisco, USA MassnahmenMitarbeiter Abschluss Zusammenfassung>450 2011 FragenUser200 Millionen März 2011ÄhnlichGoogle Buzz, FriendFeed ISSS Zürcher Tagung 2011 7/22
  8. 8. Beispiele | LinkedIn – Berufliches Portfolio Intro Wer?Zielgruppe Was? BeispieleGeschäftspartner, Firmen FacebookVerbindungen TwitterConnections, Groups LinkedInZusätzliches Angriffsfläche Data MiningApplikationen, kommerziell Social EngineeringGründung MalwareMai 2003 Santa Monica MassnahmenMitarbeiter Abschluss Zusammenfassung>1‘000 2010 FragenUser100 Millionen März 2011ÄhnlichXing, Plaxo, Hub Culture ISSS Zürcher Tagung 2011 8/22
  9. 9. Angriffsfläche | Data Mining – Möglichkeiten Intro Wer? Was?◦ Veröffentlichte Informationen sammeln Beispiele ◦ Name, Anschrift Facebook Twitter ◦ Mailadresse, Benutzerkonten, Benutzernamen LinkedIn ◦ Fotos, Videos Angriffsfläche Data Mining ◦ Postings (Statusmeldungen, Kommentare) Social Engineering◦ Verbindungen zu anderen Benutzern Malware Massnahmen ◦ Direkte Freunde Abschluss ◦ Indirekte Kontakte Zusammenfassung Fragen ISSS Zürcher Tagung 2011 9/22
  10. 10. Angriffsfläche | Datamining – Informationen Intro Wer? Was? Beispiele Facebook Twitter LinkedIn Angriffsfläche Data Mining Social Engineering Malware Massnahmen Abschluss Zusammenfassung Fragen ISSS Zürcher Tagung 2011 10/22
  11. 11. Angriffsfläche | Data Mining - Verbindungen zu @scipag
  12. 12. Angriffsfläche | Data Mining – Ergebnis Intro Wer? Was? Beispiele Facebook Twitter LinkedIn Angriffsfläche Data Mining Social Engineering Malware Massnahmen Abschluss Zusammenfassung Fragen ISSS Zürcher Tagung 2011 12/22
  13. 13. Angriffsfläche | Social Engineering – Übersicht Intro Wer? Was?◦ Ablauf Beispiele ◦ Kontaktaufnahme Facebook ◦ Manipulation der Twitter Zielperson LinkedIn Angriffsfläche ◦ Provokation einer Data Mining kompromittierenden Social Engineering Handlung Malware Massnahmen Abschluss Zusammenfassung Fragen ISSS Zürcher Tagung 2011 13/22
  14. 14. Angriffsfläche | Social Engineering – Hintergrund Intro Wer? Was?◦ Mögliche Szenarien Beispiele ◦ Stalking, Mobbing Facebook ◦ Informationsbeschaffung für Behörden/Versicherungen Twitter ◦ Industriespionage durch Mitbewerber LinkedIn ◦ Wirtschaftsspionage durch ausländische Dienste Angriffsfläche Data Mining ◦ Manipulation durch Kriminelle Social Engineering◦ Beispiele Malware ◦ Preisgabe sensitiver Informationen Massnahmen ◦ Herausgabe von Passwörtern Abschluss Zusammenfassung◦ Erfahrung Fragen ◦ 84.1% unserer Zielpersonen unter 35 Jahren benutzen soziale Netze (vorwiegend Facebook) ◦ 76.2% männlicher Benutzer antworten weiblichen Benutzer, trotz fehlendem Zusammenhang ISSS Zürcher Tagung 2011 14/22
  15. 15. Angriffsfläche | Social Engineering – Beispiel Versicherungsbetrug
  16. 16. Angriffsfläche | Malware – Übersicht Intro Wer? Was?◦ Soziale Netze sind ein Beispiele alternativer Facebook Kommunikationskanal Twitter◦ Verbreiten von Malware LinkedIn ist möglich wie über Angriffsfläche Webseiten, Email und Data Mining Social Engineering Instant Messenger Malware◦ Diverse Social Media Massnahmen Wurm-Epidemien schon Abschluss passiert Zusammenfassung Fragen ISSS Zürcher Tagung 2011 16/22
  17. 17. Angriffsfläche | Massnahmen Richtlinien Auswahl Intro Wer?Social Media Anbieter Prio Was? Beispiele Nur vertrauenswürdige Anbieter 2 Facebook Nur inländische Anbieter/Lokationen 2 Twitter Keine Zugriffe externer Anbieter/Firmen 1 LinkedInDatenklassifizierung Angriffsfläche Data Mining Nur öffentliche Daten freigeben 1 Social Engineering Keine Firmen-/Kundeninformationen freigeben 1 Malware Keine Verbindungen zu Kunden (nur auf expl. Anfrage) 2 MassnahmenZugriffsschutz Abschluss Zusammenfassung Einsatz eines sicheren Passworts (mind. 6 Zeichen, ...) 1 Fragen Regelmässiges Ändern des Passworts (alle 90 Tage) 2 Zugriffe nur über gesicherte Endpunkte (Firmen-Laptops) 2Verwaltung Nur unternehmensbezogene Aktivitäten 1 Nicht mehr benötigte Konten löschen 2 ISSS Zürcher Tagung 2011 17/22
  18. 18. Angriffsfläche | Massnahmen Technisch Auswahl Intro Wer?Endpoint-Security (Workstation, mobile Geräte, ...) Prio Was? Beispiele Trennung von sensitiven und öffentlichen Bereichen 1 Facebook Hardening/Patching des Betriebssystems 1 Twitter Hardening/Patching der Software (z.B. Webbrowser) 1 LinkedIn Installieren einer aktualisierten Antiviren-Lösung 2 Angriffsfläche Data Mining Installieren einer Personal Firewall und/oder HIPS 2 Social EngineeringZentraler Zugriffsschutz Malware Einschränken der Zugriffe auf legitime Dienste 1 Massnahmen Verhindern des Downloads ausführbarer Dateien 1 Abschluss Zusammenfassung Verhindern des Downloads aktiver Inhalte 2 Fragen Analysieren des Datenverkehrs mittels Antivirus 1 Verhindern des Uploads von sensitiven Daten (DLP) 1 Logging und Monitoring der Aktivitäten 2 ... ISSS Zürcher Tagung 2011 18/22
  19. 19. Zusammenfassung Intro Wer? Was?◦ Einführung Beispiele ◦ Soziale Netze erlauben den effizienten Datenaustausch mit Facebook Gleichgesinnten Twitter ◦ Durch das Verbinden mit anderen Benutzern lässt sich ein LinkedIn personalisierter Aktivitätsverlauf etablieren Angriffsfläche◦ Beispiele Data Mining Social Engineering ◦ Es gibt verschiedene Soziale Netze, die sich bezüglich Malware Zielgruppe und Struktur unterscheiden Massnahmen ◦ Zu den populärsten gehören Facebook, Twitter und LinkedIn Abschluss◦ Angriffsfläche Zusammenfassung ◦ Die grundsätzlichen Gefahren des Internets sind auch in Fragen Sozialen Netzen zu berücksichtigen ◦ Sowohl Richtlinien als auch technische Massnahmen erlauben einen sicheren Umgang mit diesem Kommunikationskanal ISSS Zürcher Tagung 2011 19/22
  20. 20. Quellen Intro Wer? Was?◦ Microsoft Security Intelligence Report, Vol. 10 Beispiele (2011), http://www.microsoft.com/security/sir/ Facebook◦ Schutzmassnahmen in Sozialen Netzen (2010), Twitter LinkedIn http://www.scip.ch/?labs.20100423 Angriffsfläche Data Mining Social Engineering Malware Massnahmen Abschluss Zusammenfassung Fragen ISSS Zürcher Tagung 2011 20/22
  21. 21. Fragen Intro Wer? Was? Beispiele Facebook Twitter LinkedIn Angriffsfläche Data Mining Social Engineering Malware Massnahmen Abschluss Zusammenfassung Fragen ISSS Zürcher Tagung 2011 21/22
  22. 22. Security is our Business! Intro Wer? Was?scip AG BeispieleBadenerstrasse 551 FacebookCH-8048 Zürich Twitter LinkedIn AngriffsflächeTel +41 44 404 13 13 Data MiningFax +41 44 404 13 14 Social Engineering MalwareMail info@scip.ch MassnahmenWeb http://www.scip.ch AbschlussTwitter http://twitter.com/scipag Zusammenfassung Fragen Strategy | Consulting Auditing | Testing Forensics | Analysis ISSS Zürcher Tagung 2011 22/22

×