Wege sich etwas sicherer im Internet zu bewegen

1. SICHER(ER) IM WEB
Wie man sich (etwas) sicherer im Web bewegen kann
und wie man das Web als Entwickler (etwas) sicherer machen kann
Stefan Bauckmeier
@emrox
Barcamp Hannover 2014

2. WAS IST SICHERHEIT?

3. WAS IST SICHERHEIT?
• Sicherheit von Daten
• Privatsphäre schützen

4. WANN IST MAN SICHER?

5. FRÜHER

6. HEUTE

7. “RSA Key Extraction via Low-
Bandwidth Acoustic
Cryptanalysis”
http://www.tau.ac.il/~tromer/papers/acoustic-20131218.pdf
Abhören von Schlüssel-Erzeugung
mit dem Handy

8. ABSOLUTE SICHERHEIT
GIBT ES NICHT!
Aber man kann es den Angreifern schwer machen!

10. WICHTIGSTE REGEL:
AKTUELLE SOFTWARE
• Betriebssystem aktualisieren
• Alle installierte Browser aktualisieren
• Browser PlugIns & Extensions aktualisieren
• Sonstige Software aktualisieren

12. VIRENSCANNER?
• Kann man - muss man nicht
• Trojaner &Viren sind optimiert sich zu
verstecken /Virenscanner abzuschalten
• Wichtiger: Mitdenken bevor man auf Link klickt /
Datei öffnet

13. VIRENSCANNER?
golem.de, 05.05.2014

15. DATENSPURENVERMEIDEN
* METADATEN

16. GHOSTERY
24

17. GHOSTERY

18. GHOSTERY
15 (2)

20. GHOSTERY
https://www.ghostery.com/
Empfehlung:
- INFOnline
-VG Wort
- Piwik
Evtl.:
- Google Analytics
- Google Adwords

22. ?

23. ?
OpenStreetMap Nokia here

25. E-MAILTRACKING

26. E-MAILTRACKING
Tracking von E-Mails durch
Laden von Bildern & CSS

28. 📱💻
⌨
👤👤
HTTP
User: Stefan
Passwort: 123456

29. 📱💻
⌨
HTTPS
🔒✓🔒✓
🔒✓ 🔒✓

30. • Verschlüsselter Datenverkehr
• nur noch sichtbar wohin verbunden
wird, nicht was abgerufen wird
• je mehrVerschlüsselt, desto mehr
haben andere zu tun
HTTPS

31. HTTPS EVERYWHERE
https://www.eff.org/Https-everywhere

33. WIFI SICHERHEIT

34. WPA(2) NUTZEN
• unverschlüsselterTraffic kann von jedem
mitgeschnitten werden
• wenn kein HTTPS oder ähnlicheVerschlüsselungen
genutzt werden Passworte + Daten im Klartext
übertragen

35. ALTERNATIVEN
VPN
Tor

36. VPN
📱🔒
📄
🎬
📱
🔒
🔒
💻
⌨

37. TOR
💻
⌨ 📄 📄 📄
📄 📄 📄
📄 📄 📄
🔒🔒
🔒🔒
🔒
🔒 🔓 🔓
🔓
🔓
🔓🔓 🔓
🔓 🔓
📱
🔒🔒
🔒🔒
🔒
🔒
🔓
🔓 🔓

39. PASSWORT

40. PASSWORT GAU
🎬
!
E-Mail: stefan@web.de
Passwort: 123456

41. http://splashdata.blogspot.de/2014/01/worst-passwords-of-2013-our-annual-list.html

42. SICHERES PASSWORT (2014)
http://xkcd.com/936/

43. SICHERES PASSWORT (2014)
• je länger desto besser
• keine sinnvollen Sätze / Kombinationen
• jede Seite ein abweichendes Passwort
• Bonus: Zahlen & Sonderzeichen

44. DENKHILFEN
xkpasswd.net

45. MERKHILFEN
• Eselsbrücken
• Programme:
• 1Password (proprietär, multi plattform)
• KeePass (open source, multi plattform)
• LastPass (online)

47. WAS MAN ALS ENTWICKLER
TUN KANN

48. SENSITIVE DATEN SCHÜTZEN

49. PASSWORT
VERSCHLÜSSELUNG
• Wahl einer sicheren Methode
http://www.unlimitednovelty.com/2012/03/dont-use-bcrypt.html

50. PASSWORT
VERSCHLÜSSELUNG
• + Salt:
• jedes Passwort ein eigenes Salt
• benutze cryptographic secure number
generator
• lang

51. ANDERE SENSITIVE DATEN
SCHÜTZEN
• z.B. mitTwofish

53. Passwort Bad Practices

56. HTTPS EINSETZEN

58. SECUTIRY AUDTIS
• Selbst auf Schwachstellen checken
• AutomatischeTools nutzen
• andere Entwickler draufschauen lassen
• durch externe