Soziale Netzwerke, wie zum Beispiel Facebook und Twitter, sind aus der heutigen Informationsgesellschaft nicht mehr wegzudenken. Durch den erweiterten Datenaustausch werden aber nicht nur Möglichkeiten geschaffen, sondern auch Risiken für Unternehmen, Mitarbeiter und Einzelpersonen mitgeführt.
Dieser Vortrag bespricht die verschiedenen Aspekte der Informationssicherheit im Rahmen Sozialer Netzwerke. Dabei wird einerseits auf allgemeine datenschutztechnische Risiken eingegangen. Andererseits werden technische Gefahren an konkreten Beispielen aufgezeigt und so greifbar gemacht.
Link: http://www.scip.ch/?labs.20110623
2. Agenda | Soziale Netze – Vielschichte Gefahren Intro
Wer?
1. Intro Was?
Beispiele
Einführung 2 min
Facebook
Was sind Soziale Netze? 3 min Twitter
2. Beispiele populärer Plattformen LinkedIn
Facebook 2 min Angriffsfläche
Data Mining
Twitter 2 min
Social Engineering
LinkedIn 2 min Malware
3. Angriffsfläche Soziales Netzwerk Massnahmen
Data Mining 5 min Abschluss
Zusammenfassung
Social Engineering 5 min
Fragen
Malware 2 min
Massnahmen 4 min
4. Abschluss
Zusammenfassung 3 min
ISSS Zürcher Tagung 2011 2/22
3. Einführung | Wer bin ich Intro
Wer?
Was?
Name Marc Ruef
Beispiele
Beruf Mitinhaber / CTO, scip AG, Zürich Facebook
Twitter
Private Webseite http://www.computec.ch LinkedIn
Letztes Buch „Die Kunst des Penetration Testing“, Angriffsfläche
Computer & Literatur Böblingen, Data Mining
Social Engineering
ISBN 3-936546-49-5
Malware
Massnahmen
Abschluss
Zusammenfassung
Fragen
Übersetzung
ISSS Zürcher Tagung 2011 3/22
4. Einführung | Gefahren Sozialer Netze Intro
Wer?
Was?
Beispiele
Facebook
Twitter
Phishing sites that target social networks routinely LinkedIn
Angriffsfläche
receive the highest number of impressions per active Data Mining
phishing site […] but still only accounted for 4.2 Social Engineering
percent of active sites in December, despite receiving Malware
84.5 percent of impressions that month. Massnahmen
Abschluss
Zusammenfassung
Microsoft Security Intelligence Report, Vol. 10 (2011) Fragen
ISSS Zürcher Tagung 2011 4/22
5. Einführung | Was sind Soziale Netze? Intro
Wer?
Was?
◦ Webseiten mit der Möglichkeit, sich mit anderen Beispiele
Benutzern zu verbinden Facebook
◦ Aktivitäten dieser Freunde werden unmittelbar Twitter
LinkedIn
angezeigt Angriffsfläche
◦ Dadurch wird ein personalisierter Aktivitätsverlauf Data Mining
möglich Social Engineering
Malware
Massnahmen
Abschluss
Zusammenfassung
Fragen
ISSS Zürcher Tagung 2011 5/22
6. Beispiele | Facebook – Persönlicher Kanal Intro
Wer?
Zielgruppe Was?
Beispiele
Privatpersonen, Firmen
Facebook
Verbindungen Twitter
Freunde, Gruppen LinkedIn
Zusätzliches Angriffsfläche
Data Mining
Applikationen
Social Engineering
Gründung Malware
Februar 2004 Cambridge, UK Massnahmen
Mitarbeiter Abschluss
Zusammenfassung
>2000 2011
Fragen
User
600 Millionen Januar 2011
Ähnlich
MySpace, Orkut, StudiVZ
ISSS Zürcher Tagung 2011 6/22
7. Beispiele | Twitter – Kurznachrichten Intro
Wer?
Zielgruppe Was?
Beispiele
Personen, Firmen, Bots
Facebook
Verbindungen Twitter
Follower, Lists LinkedIn
Zusätzliches Angriffsfläche
Data Mining
Nachricht max. 140 Zeichen
Social Engineering
Gründung Malware
Juli 2006 Frisco, USA Massnahmen
Mitarbeiter Abschluss
Zusammenfassung
>450 2011
Fragen
User
200 Millionen März 2011
Ähnlich
Google Buzz, FriendFeed
ISSS Zürcher Tagung 2011 7/22
8. Beispiele | LinkedIn – Berufliches Portfolio Intro
Wer?
Zielgruppe Was?
Beispiele
Geschäftspartner, Firmen
Facebook
Verbindungen Twitter
Connections, Groups LinkedIn
Zusätzliches Angriffsfläche
Data Mining
Applikationen, kommerziell
Social Engineering
Gründung Malware
Mai 2003 Santa Monica Massnahmen
Mitarbeiter Abschluss
Zusammenfassung
>1‘000 2010
Fragen
User
100 Millionen März 2011
Ähnlich
Xing, Plaxo, Hub Culture
ISSS Zürcher Tagung 2011 8/22
9. Angriffsfläche | Data Mining – Möglichkeiten Intro
Wer?
Was?
◦ Veröffentlichte Informationen sammeln Beispiele
◦ Name, Anschrift Facebook
Twitter
◦ Mailadresse, Benutzerkonten, Benutzernamen LinkedIn
◦ Fotos, Videos Angriffsfläche
Data Mining
◦ Postings (Statusmeldungen, Kommentare) Social Engineering
◦ Verbindungen zu anderen Benutzern Malware
Massnahmen
◦ Direkte Freunde Abschluss
◦ Indirekte Kontakte Zusammenfassung
Fragen
ISSS Zürcher Tagung 2011 9/22
16. Angriffsfläche | Malware – Übersicht Intro
Wer?
Was?
◦ Soziale Netze sind ein
Beispiele
alternativer
Facebook
Kommunikationskanal Twitter
◦ Verbreiten von Malware LinkedIn
ist möglich wie über Angriffsfläche
Webseiten, Email und Data Mining
Social Engineering
Instant Messenger
Malware
◦ Diverse Social Media Massnahmen
Wurm-Epidemien schon Abschluss
passiert Zusammenfassung
Fragen
ISSS Zürcher Tagung 2011 16/22
17. Angriffsfläche | Massnahmen Richtlinien Auswahl Intro
Wer?
Social Media Anbieter Prio Was?
Beispiele
Nur vertrauenswürdige Anbieter 2
Facebook
Nur inländische Anbieter/Lokationen 2 Twitter
Keine Zugriffe externer Anbieter/Firmen 1 LinkedIn
Datenklassifizierung Angriffsfläche
Data Mining
Nur öffentliche Daten freigeben 1
Social Engineering
Keine Firmen-/Kundeninformationen freigeben 1 Malware
Keine Verbindungen zu Kunden (nur auf expl. Anfrage) 2 Massnahmen
Zugriffsschutz Abschluss
Zusammenfassung
Einsatz eines sicheren Passworts (mind. 6 Zeichen, ...) 1
Fragen
Regelmässiges Ändern des Passworts (alle 90 Tage) 2
Zugriffe nur über gesicherte Endpunkte (Firmen-Laptops) 2
Verwaltung
Nur unternehmensbezogene Aktivitäten 1
Nicht mehr benötigte Konten löschen 2
ISSS Zürcher Tagung 2011 17/22
18. Angriffsfläche | Massnahmen Technisch Auswahl Intro
Wer?
Endpoint-Security (Workstation, mobile Geräte, ...) Prio Was?
Beispiele
Trennung von sensitiven und öffentlichen Bereichen 1
Facebook
Hardening/Patching des Betriebssystems 1 Twitter
Hardening/Patching der Software (z.B. Webbrowser) 1 LinkedIn
Installieren einer aktualisierten Antiviren-Lösung 2 Angriffsfläche
Data Mining
Installieren einer Personal Firewall und/oder HIPS 2
Social Engineering
Zentraler Zugriffsschutz Malware
Einschränken der Zugriffe auf legitime Dienste 1 Massnahmen
Verhindern des Downloads ausführbarer Dateien 1 Abschluss
Zusammenfassung
Verhindern des Downloads aktiver Inhalte 2
Fragen
Analysieren des Datenverkehrs mittels Antivirus 1
Verhindern des Uploads von sensitiven Daten (DLP) 1
Logging und Monitoring der Aktivitäten 2
...
ISSS Zürcher Tagung 2011 18/22
19. Zusammenfassung Intro
Wer?
Was?
◦ Einführung
Beispiele
◦ Soziale Netze erlauben den effizienten Datenaustausch mit Facebook
Gleichgesinnten Twitter
◦ Durch das Verbinden mit anderen Benutzern lässt sich ein LinkedIn
personalisierter Aktivitätsverlauf etablieren Angriffsfläche
◦ Beispiele Data Mining
Social Engineering
◦ Es gibt verschiedene Soziale Netze, die sich bezüglich
Malware
Zielgruppe und Struktur unterscheiden
Massnahmen
◦ Zu den populärsten gehören Facebook, Twitter und LinkedIn
Abschluss
◦ Angriffsfläche Zusammenfassung
◦ Die grundsätzlichen Gefahren des Internets sind auch in Fragen
Sozialen Netzen zu berücksichtigen
◦ Sowohl Richtlinien als auch technische Massnahmen erlauben
einen sicheren Umgang mit diesem Kommunikationskanal
ISSS Zürcher Tagung 2011 19/22
20. Quellen Intro
Wer?
Was?
◦ Microsoft Security Intelligence Report, Vol. 10 Beispiele
(2011), http://www.microsoft.com/security/sir/ Facebook
◦ Schutzmassnahmen in Sozialen Netzen (2010), Twitter
LinkedIn
http://www.scip.ch/?labs.20100423 Angriffsfläche
Data Mining
Social Engineering
Malware
Massnahmen
Abschluss
Zusammenfassung
Fragen
ISSS Zürcher Tagung 2011 20/22