Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.
Risikoanalyse von Twitter Abschlussvortrag zur Diplomarbeit Christian Hops
Gliederung <ul><li>Einführung </li></ul><ul><li>Twitter </li></ul><ul><li>Grundlagen der Risikoanalyse </li></ul><ul><li>R...
Twitter: Allgemeines & Zahlen <ul><li>Mikroblogging </li></ul><ul><li>190 Mio Nutzer </li></ul><ul><li>140 Mio Nachrichten...
Twitter: Funktionen
Grundlagen: Risikoanalyse <ul><li>Risikopotential als Eintrittswahrscheinlichkeit multipliziert mit Konsequenzen </li></ul...
Prämissen der Risikoidentifizierung <ul><li>Mittel: Literaturrecherche & Analyse des Front-Ends </li></ul><ul><li>Vor alle...
Code-Injection <ul><li>Shell Injection </li></ul><ul><li>Programmcode Injection </li></ul><ul><li>SQL Injection </li></ul>...
Angriffe auf Benutzer <ul><li>Cross-Site Request Forgery (XSRF) </li></ul><ul><li>Clickjacking </li></ul><ul><li>JSON Hija...
Angriffe auf Dienste <ul><li>Distributed Denial of Service-Angriffe </li></ul><ul><li>DNS Hijacking </li></ul><ul><li>Kurz...
Unzureichende Sicherheitspolitik <ul><li>Verschicken von geheimen Zugangsdaten per Mail </li></ul><ul><li>Administrationst...
Unsicheres Sitzungsmanagement <ul><li>Sitzungstoken bleibt gültig </li></ul><ul><li>Mithören des Sitzungstokens </li></ul>
Angriffe auf Zugangsdaten <ul><li>Zugangsdaten per Brute-Force erraten </li></ul><ul><li>Phishing-Angriff per </li></ul><u...
Schwachstellen durch Drittanwendungen <ul><li>Bösartige/Kompro-mittierte Anwendung </li></ul><ul><li>Zu grobe Rechtevergab...
Risikobewertung: Nutzergruppen <ul><li>Bewertung des Risikopotentials abhängig vom Nutzertyp </li></ul><ul><li>Fünf Nutzer...
Bewertung eines einzelnen Risikos
Bewertungsmuster
Ergebnisse der Bewertung I <ul><li>Passive Benutzer </li></ul><ul><ul><li>18 Risiken </li></ul></ul><ul><ul><li>Top: Code-...
Ergebnisse der Bewertung II <ul><li>Journalisten </li></ul><ul><ul><li>42 Risiken </li></ul></ul><ul><ul><li>Astroturfing:...
Gegenmaßnahmen <ul><li>17 von 44 identifizierten Risiken können ausschließlich durch Twitter begegnet werden </li></ul><ul...
Fragen & Diskussion
Nächste SlideShare
Wird geladen in …5
×

Risikoanalyse von Twitter

1.000 Aufrufe

Veröffentlicht am

Veröffentlicht in: Karriere
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Risikoanalyse von Twitter

  1. 1. Risikoanalyse von Twitter Abschlussvortrag zur Diplomarbeit Christian Hops
  2. 2. Gliederung <ul><li>Einführung </li></ul><ul><li>Twitter </li></ul><ul><li>Grundlagen der Risikoanalyse </li></ul><ul><li>Risikoanalyse von Twitter </li></ul><ul><li>Fragen </li></ul>
  3. 3. Twitter: Allgemeines & Zahlen <ul><li>Mikroblogging </li></ul><ul><li>190 Mio Nutzer </li></ul><ul><li>140 Mio Nachrichten/Tag </li></ul><ul><li>300.000 registrierte Drittanwendungen </li></ul>
  4. 4. Twitter: Funktionen
  5. 5. Grundlagen: Risikoanalyse <ul><li>Risikopotential als Eintrittswahrscheinlichkeit multipliziert mit Konsequenzen </li></ul><ul><li>Eintrittswahrscheinlichkeit </li></ul><ul><ul><li>Angreifer </li></ul></ul><ul><ul><li>Schwachstelle </li></ul></ul><ul><li>Konsequenzen </li></ul><ul><ul><li>Verletzte Schutzziele </li></ul></ul><ul><ul><li>Verletzte Benutzer-Annahmen </li></ul></ul><ul><li>Strategien zum Umgang mit Risiken </li></ul>
  6. 6. Prämissen der Risikoidentifizierung <ul><li>Mittel: Literaturrecherche & Analyse des Front-Ends </li></ul><ul><li>Vor allem Risiken durch Sicherheitslücken in der Software </li></ul><ul><li>Beschränkung auf Webanwendung und API </li></ul>
  7. 7. Code-Injection <ul><li>Shell Injection </li></ul><ul><li>Programmcode Injection </li></ul><ul><li>SQL Injection </li></ul><ul><li>JSON Injection </li></ul><ul><li>File Inclusion </li></ul><ul><li>Cross-Site Scripting (XSS) </li></ul>
  8. 8. Angriffe auf Benutzer <ul><li>Cross-Site Request Forgery (XSRF) </li></ul><ul><li>Clickjacking </li></ul><ul><li>JSON Hijacking </li></ul>
  9. 9. Angriffe auf Dienste <ul><li>Distributed Denial of Service-Angriffe </li></ul><ul><li>DNS Hijacking </li></ul><ul><li>Kurz-URL Anbieter </li></ul><ul><li>Google Apps </li></ul>
  10. 10. Unzureichende Sicherheitspolitik <ul><li>Verschicken von geheimen Zugangsdaten per Mail </li></ul><ul><li>Administrationstools </li></ul><ul><li>Versteckte Befehle </li></ul><ul><li>Unsichere Serverkonfiguration </li></ul>
  11. 11. Unsicheres Sitzungsmanagement <ul><li>Sitzungstoken bleibt gültig </li></ul><ul><li>Mithören des Sitzungstokens </li></ul>
  12. 12. Angriffe auf Zugangsdaten <ul><li>Zugangsdaten per Brute-Force erraten </li></ul><ul><li>Phishing-Angriff per </li></ul><ul><ul><li>Mail </li></ul></ul><ul><ul><li>Tweet </li></ul></ul><ul><ul><li>Direktnachricht </li></ul></ul><ul><ul><li>„ Sign in with Twitter“ auf Third-Party Webseite </li></ul></ul>
  13. 13. Schwachstellen durch Drittanwendungen <ul><li>Bösartige/Kompro-mittierte Anwendung </li></ul><ul><li>Zu grobe Rechtevergabe </li></ul><ul><li>Anwender kaum sensibilisiert </li></ul>
  14. 14. Risikobewertung: Nutzergruppen <ul><li>Bewertung des Risikopotentials abhängig vom Nutzertyp </li></ul><ul><li>Fünf Nutzergruppen </li></ul><ul><ul><li>passive Nutzer </li></ul></ul><ul><ul><li>aktive Nutzer </li></ul></ul><ul><ul><li>Organisationen </li></ul></ul><ul><ul><li>Journalisten </li></ul></ul><ul><ul><li>Entwickler von Third-Party Anwendungen </li></ul></ul>
  15. 15. Bewertung eines einzelnen Risikos
  16. 16. Bewertungsmuster
  17. 17. Ergebnisse der Bewertung I <ul><li>Passive Benutzer </li></ul><ul><ul><li>18 Risiken </li></ul></ul><ul><ul><li>Top: Code-Injection, unzureichende Sicherheitspolitik </li></ul></ul><ul><li>Aktive Benutzer </li></ul><ul><ul><li>42 Risiken </li></ul></ul><ul><ul><li>Top: Angriffe auf Zugangsdaten, unzureichende Sicherheitspolitik </li></ul></ul><ul><li>Organisationen </li></ul><ul><ul><li>Zusätzliches Risiko: Austausch von Twitter-Zugangsdaten innerhalb der Organisation </li></ul></ul>
  18. 18. Ergebnisse der Bewertung II <ul><li>Journalisten </li></ul><ul><ul><li>42 Risiken </li></ul></ul><ul><ul><li>Astroturfing: Von Platz 38 auf 33 </li></ul></ul><ul><li>Entwickler von Drittanwendungen </li></ul><ul><ul><li>7 Risiken </li></ul></ul><ul><ul><li>Top: Kompromittierung der Anwendung, zu grobe Rechtevergabe </li></ul></ul>
  19. 19. Gegenmaßnahmen <ul><li>17 von 44 identifizierten Risiken können ausschließlich durch Twitter begegnet werden </li></ul><ul><li>Oftmals ungenügend umgesetzt </li></ul><ul><li>Vorgeschlagene Gegenmaßnahmen wurden im letzten halben Jahr implementiert </li></ul>
  20. 20. Fragen & Diskussion

×