Risikoanalyse von Twitter Abschlussvortrag zur Diplomarbeit Christian Hops
Gliederung <ul><li>Einführung </li></ul><ul><li>Twitter </li></ul><ul><li>Grundlagen der Risikoanalyse </li></ul><ul><li>R...
Twitter: Allgemeines & Zahlen <ul><li>Mikroblogging </li></ul><ul><li>190 Mio Nutzer </li></ul><ul><li>140 Mio Nachrichten...
Twitter: Funktionen
Grundlagen: Risikoanalyse <ul><li>Risikopotential als Eintrittswahrscheinlichkeit multipliziert mit Konsequenzen </li></ul...
Prämissen der Risikoidentifizierung <ul><li>Mittel: Literaturrecherche & Analyse des Front-Ends </li></ul><ul><li>Vor alle...
Code-Injection <ul><li>Shell Injection </li></ul><ul><li>Programmcode Injection </li></ul><ul><li>SQL Injection </li></ul>...
Angriffe auf Benutzer <ul><li>Cross-Site Request Forgery (XSRF) </li></ul><ul><li>Clickjacking </li></ul><ul><li>JSON Hija...
Angriffe auf Dienste <ul><li>Distributed Denial of Service-Angriffe </li></ul><ul><li>DNS Hijacking </li></ul><ul><li>Kurz...
Unzureichende Sicherheitspolitik <ul><li>Verschicken von geheimen Zugangsdaten per Mail </li></ul><ul><li>Administrationst...
Unsicheres Sitzungsmanagement <ul><li>Sitzungstoken bleibt gültig </li></ul><ul><li>Mithören des Sitzungstokens </li></ul>
Angriffe auf Zugangsdaten <ul><li>Zugangsdaten per Brute-Force erraten </li></ul><ul><li>Phishing-Angriff per </li></ul><u...
Schwachstellen durch Drittanwendungen <ul><li>Bösartige/Kompro-mittierte Anwendung </li></ul><ul><li>Zu grobe Rechtevergab...
Risikobewertung: Nutzergruppen <ul><li>Bewertung des Risikopotentials abhängig vom Nutzertyp </li></ul><ul><li>Fünf Nutzer...
Bewertung eines einzelnen Risikos
Bewertungsmuster
Ergebnisse der Bewertung I <ul><li>Passive Benutzer </li></ul><ul><ul><li>18 Risiken </li></ul></ul><ul><ul><li>Top: Code-...
Ergebnisse der Bewertung II <ul><li>Journalisten </li></ul><ul><ul><li>42 Risiken </li></ul></ul><ul><ul><li>Astroturfing:...
Gegenmaßnahmen <ul><li>17 von 44 identifizierten Risiken können ausschließlich durch Twitter begegnet werden </li></ul><ul...
Fragen & Diskussion
Nächste SlideShare
Wird geladen in …5
×

Risikoanalyse von Twitter

990 Aufrufe

Veröffentlicht am

Veröffentlicht in: Karriere
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Risikoanalyse von Twitter

  1. 1. Risikoanalyse von Twitter Abschlussvortrag zur Diplomarbeit Christian Hops
  2. 2. Gliederung <ul><li>Einführung </li></ul><ul><li>Twitter </li></ul><ul><li>Grundlagen der Risikoanalyse </li></ul><ul><li>Risikoanalyse von Twitter </li></ul><ul><li>Fragen </li></ul>
  3. 3. Twitter: Allgemeines & Zahlen <ul><li>Mikroblogging </li></ul><ul><li>190 Mio Nutzer </li></ul><ul><li>140 Mio Nachrichten/Tag </li></ul><ul><li>300.000 registrierte Drittanwendungen </li></ul>
  4. 4. Twitter: Funktionen
  5. 5. Grundlagen: Risikoanalyse <ul><li>Risikopotential als Eintrittswahrscheinlichkeit multipliziert mit Konsequenzen </li></ul><ul><li>Eintrittswahrscheinlichkeit </li></ul><ul><ul><li>Angreifer </li></ul></ul><ul><ul><li>Schwachstelle </li></ul></ul><ul><li>Konsequenzen </li></ul><ul><ul><li>Verletzte Schutzziele </li></ul></ul><ul><ul><li>Verletzte Benutzer-Annahmen </li></ul></ul><ul><li>Strategien zum Umgang mit Risiken </li></ul>
  6. 6. Prämissen der Risikoidentifizierung <ul><li>Mittel: Literaturrecherche & Analyse des Front-Ends </li></ul><ul><li>Vor allem Risiken durch Sicherheitslücken in der Software </li></ul><ul><li>Beschränkung auf Webanwendung und API </li></ul>
  7. 7. Code-Injection <ul><li>Shell Injection </li></ul><ul><li>Programmcode Injection </li></ul><ul><li>SQL Injection </li></ul><ul><li>JSON Injection </li></ul><ul><li>File Inclusion </li></ul><ul><li>Cross-Site Scripting (XSS) </li></ul>
  8. 8. Angriffe auf Benutzer <ul><li>Cross-Site Request Forgery (XSRF) </li></ul><ul><li>Clickjacking </li></ul><ul><li>JSON Hijacking </li></ul>
  9. 9. Angriffe auf Dienste <ul><li>Distributed Denial of Service-Angriffe </li></ul><ul><li>DNS Hijacking </li></ul><ul><li>Kurz-URL Anbieter </li></ul><ul><li>Google Apps </li></ul>
  10. 10. Unzureichende Sicherheitspolitik <ul><li>Verschicken von geheimen Zugangsdaten per Mail </li></ul><ul><li>Administrationstools </li></ul><ul><li>Versteckte Befehle </li></ul><ul><li>Unsichere Serverkonfiguration </li></ul>
  11. 11. Unsicheres Sitzungsmanagement <ul><li>Sitzungstoken bleibt gültig </li></ul><ul><li>Mithören des Sitzungstokens </li></ul>
  12. 12. Angriffe auf Zugangsdaten <ul><li>Zugangsdaten per Brute-Force erraten </li></ul><ul><li>Phishing-Angriff per </li></ul><ul><ul><li>Mail </li></ul></ul><ul><ul><li>Tweet </li></ul></ul><ul><ul><li>Direktnachricht </li></ul></ul><ul><ul><li>„ Sign in with Twitter“ auf Third-Party Webseite </li></ul></ul>
  13. 13. Schwachstellen durch Drittanwendungen <ul><li>Bösartige/Kompro-mittierte Anwendung </li></ul><ul><li>Zu grobe Rechtevergabe </li></ul><ul><li>Anwender kaum sensibilisiert </li></ul>
  14. 14. Risikobewertung: Nutzergruppen <ul><li>Bewertung des Risikopotentials abhängig vom Nutzertyp </li></ul><ul><li>Fünf Nutzergruppen </li></ul><ul><ul><li>passive Nutzer </li></ul></ul><ul><ul><li>aktive Nutzer </li></ul></ul><ul><ul><li>Organisationen </li></ul></ul><ul><ul><li>Journalisten </li></ul></ul><ul><ul><li>Entwickler von Third-Party Anwendungen </li></ul></ul>
  15. 15. Bewertung eines einzelnen Risikos
  16. 16. Bewertungsmuster
  17. 17. Ergebnisse der Bewertung I <ul><li>Passive Benutzer </li></ul><ul><ul><li>18 Risiken </li></ul></ul><ul><ul><li>Top: Code-Injection, unzureichende Sicherheitspolitik </li></ul></ul><ul><li>Aktive Benutzer </li></ul><ul><ul><li>42 Risiken </li></ul></ul><ul><ul><li>Top: Angriffe auf Zugangsdaten, unzureichende Sicherheitspolitik </li></ul></ul><ul><li>Organisationen </li></ul><ul><ul><li>Zusätzliches Risiko: Austausch von Twitter-Zugangsdaten innerhalb der Organisation </li></ul></ul>
  18. 18. Ergebnisse der Bewertung II <ul><li>Journalisten </li></ul><ul><ul><li>42 Risiken </li></ul></ul><ul><ul><li>Astroturfing: Von Platz 38 auf 33 </li></ul></ul><ul><li>Entwickler von Drittanwendungen </li></ul><ul><ul><li>7 Risiken </li></ul></ul><ul><ul><li>Top: Kompromittierung der Anwendung, zu grobe Rechtevergabe </li></ul></ul>
  19. 19. Gegenmaßnahmen <ul><li>17 von 44 identifizierten Risiken können ausschließlich durch Twitter begegnet werden </li></ul><ul><li>Oftmals ungenügend umgesetzt </li></ul><ul><li>Vorgeschlagene Gegenmaßnahmen wurden im letzten halben Jahr implementiert </li></ul>
  20. 20. Fragen & Diskussion

×