SlideShare ist ein Scribd-Unternehmen logo

Soziale Netzwerke - Vielschichtige Gefahren eines neuen Zeitalters

Als PPTX, PDF herunterladen
Marc Ruef
Marc Ruef

Soziale Netzwerke, wie zum Beispiel Facebook und Twitter, sind aus der heutigen Informationsgesellschaft nicht mehr wegzudenken. Durch den erweiterten Datenaustausch werden aber nicht nur Möglichkeiten geschaffen, sondern auch Risiken für Unternehmen, Mitarbeiter und Einzelpersonen mitgeführt. Dieser Vortrag bespricht die verschiedenen Aspekte der Informationssicherheit im Rahmen Sozialer Netzwerke. Dabei wird einerseits auf allgemeine datenschutztechnische Risiken eingegangen. Andererseits werden technische Gefahren an konkreten Beispielen aufgezeigt und so greifbar gemacht. Link: http://www.scip.ch/?labs.20110623

Technologie
1 von 22
Soziale Netzwerke Vielschichtige Gefahren eines neuen Zeitalters Marc Ruef www.scip.ch ISSS 08. Juni 2011 Zürich, Schweiz
Agenda | Soziale Netze – Vielschichte Gefahren Intro Wer? 1. Intro Was? Beispiele Einführung 2 min Facebook Was sind Soziale Netze? 3 min Twitter 2. Beispiele populärer Plattformen LinkedIn Facebook 2 min Angriffsfläche Data Mining Twitter 2 min Social Engineering LinkedIn 2 min Malware 3. Angriffsfläche Soziales Netzwerk Massnahmen Data Mining 5 min Abschluss Zusammenfassung Social Engineering 5 min Fragen Malware 2 min Massnahmen 4 min 4. Abschluss Zusammenfassung 3 min ISSS Zürcher Tagung 2011 2/22
Einführung | Wer bin ich Intro Wer? Was? Name Marc Ruef Beispiele Beruf Mitinhaber / CTO, scip AG, Zürich Facebook Twitter Private Webseite http://www.computec.ch LinkedIn Letztes Buch „Die Kunst des Penetration Testing“, Angriffsfläche Computer & Literatur Böblingen, Data Mining Social Engineering ISBN 3-936546-49-5 Malware Massnahmen Abschluss Zusammenfassung Fragen Übersetzung ISSS Zürcher Tagung 2011 3/22
Einführung | Gefahren Sozialer Netze Intro Wer? Was? Beispiele Facebook Twitter Phishing sites that target social networks routinely LinkedIn Angriffsfläche receive the highest number of impressions per active Data Mining phishing site […] but still only accounted for 4.2 Social Engineering percent of active sites in December, despite receiving Malware 84.5 percent of impressions that month. Massnahmen Abschluss Zusammenfassung Microsoft Security Intelligence Report, Vol. 10 (2011) Fragen ISSS Zürcher Tagung 2011 4/22
Einführung | Was sind Soziale Netze? Intro Wer? Was? ◦ Webseiten mit der Möglichkeit, sich mit anderen Beispiele Benutzern zu verbinden Facebook ◦ Aktivitäten dieser Freunde werden unmittelbar Twitter LinkedIn angezeigt Angriffsfläche ◦ Dadurch wird ein personalisierter Aktivitätsverlauf Data Mining möglich Social Engineering Malware Massnahmen Abschluss Zusammenfassung Fragen ISSS Zürcher Tagung 2011 5/22
Beispiele | Facebook – Persönlicher Kanal Intro Wer? Zielgruppe Was? Beispiele Privatpersonen, Firmen Facebook Verbindungen Twitter Freunde, Gruppen LinkedIn Zusätzliches Angriffsfläche Data Mining Applikationen Social Engineering Gründung Malware Februar 2004 Cambridge, UK Massnahmen Mitarbeiter Abschluss Zusammenfassung >2000 2011 Fragen User 600 Millionen Januar 2011 Ähnlich MySpace, Orkut, StudiVZ ISSS Zürcher Tagung 2011 6/22
Beispiele | Twitter – Kurznachrichten Intro Wer? Zielgruppe Was? Beispiele Personen, Firmen, Bots Facebook Verbindungen Twitter Follower, Lists LinkedIn Zusätzliches Angriffsfläche Data Mining Nachricht max. 140 Zeichen Social Engineering Gründung Malware Juli 2006 Frisco, USA Massnahmen Mitarbeiter Abschluss Zusammenfassung >450 2011 Fragen User 200 Millionen März 2011 Ähnlich Google Buzz, FriendFeed ISSS Zürcher Tagung 2011 7/22
Beispiele | LinkedIn – Berufliches Portfolio Intro Wer? Zielgruppe Was? Beispiele Geschäftspartner, Firmen Facebook Verbindungen Twitter Connections, Groups LinkedIn Zusätzliches Angriffsfläche Data Mining Applikationen, kommerziell Social Engineering Gründung Malware Mai 2003 Santa Monica Massnahmen Mitarbeiter Abschluss Zusammenfassung >1‘000 2010 Fragen User 100 Millionen März 2011 Ähnlich Xing, Plaxo, Hub Culture ISSS Zürcher Tagung 2011 8/22
Angriffsfläche | Data Mining – Möglichkeiten Intro Wer? Was? ◦ Veröffentlichte Informationen sammeln Beispiele ◦ Name, Anschrift Facebook Twitter ◦ Mailadresse, Benutzerkonten, Benutzernamen LinkedIn ◦ Fotos, Videos Angriffsfläche Data Mining ◦ Postings (Statusmeldungen, Kommentare) Social Engineering ◦ Verbindungen zu anderen Benutzern Malware Massnahmen ◦ Direkte Freunde Abschluss ◦ Indirekte Kontakte Zusammenfassung Fragen ISSS Zürcher Tagung 2011 9/22
Angriffsfläche | Datamining – Informationen Intro Wer? Was? Beispiele Facebook Twitter LinkedIn Angriffsfläche Data Mining Social Engineering Malware Massnahmen Abschluss Zusammenfassung Fragen ISSS Zürcher Tagung 2011 10/22
Angriffsfläche | Data Mining - Verbindungen zu @scipag
Angriffsfläche | Data Mining – Ergebnis Intro Wer? Was? Beispiele Facebook Twitter LinkedIn Angriffsfläche Data Mining Social Engineering Malware Massnahmen Abschluss Zusammenfassung Fragen ISSS Zürcher Tagung 2011 12/22
Angriffsfläche | Social Engineering – Übersicht Intro Wer? Was? ◦ Ablauf Beispiele ◦ Kontaktaufnahme Facebook ◦ Manipulation der Twitter Zielperson LinkedIn Angriffsfläche ◦ Provokation einer Data Mining kompromittierenden Social Engineering Handlung Malware Massnahmen Abschluss Zusammenfassung Fragen ISSS Zürcher Tagung 2011 13/22
Angriffsfläche | Social Engineering – Hintergrund Intro Wer? Was? ◦ Mögliche Szenarien Beispiele ◦ Stalking, Mobbing Facebook ◦ Informationsbeschaffung für Behörden/Versicherungen Twitter ◦ Industriespionage durch Mitbewerber LinkedIn ◦ Wirtschaftsspionage durch ausländische Dienste Angriffsfläche Data Mining ◦ Manipulation durch Kriminelle Social Engineering ◦ Beispiele Malware ◦ Preisgabe sensitiver Informationen Massnahmen ◦ Herausgabe von Passwörtern Abschluss Zusammenfassung ◦ Erfahrung Fragen ◦ 84.1% unserer Zielpersonen unter 35 Jahren benutzen soziale Netze (vorwiegend Facebook) ◦ 76.2% männlicher Benutzer antworten weiblichen Benutzer, trotz fehlendem Zusammenhang ISSS Zürcher Tagung 2011 14/22
Angriffsfläche | Social Engineering – Beispiel Versicherungsbetrug
Angriffsfläche | Malware – Übersicht Intro Wer? Was? ◦ Soziale Netze sind ein Beispiele alternativer Facebook Kommunikationskanal Twitter ◦ Verbreiten von Malware LinkedIn ist möglich wie über Angriffsfläche Webseiten, Email und Data Mining Social Engineering Instant Messenger Malware ◦ Diverse Social Media Massnahmen Wurm-Epidemien schon Abschluss passiert Zusammenfassung Fragen ISSS Zürcher Tagung 2011 16/22
Angriffsfläche | Massnahmen Richtlinien Auswahl Intro Wer? Social Media Anbieter Prio Was? Beispiele Nur vertrauenswürdige Anbieter 2 Facebook Nur inländische Anbieter/Lokationen 2 Twitter Keine Zugriffe externer Anbieter/Firmen 1 LinkedIn Datenklassifizierung Angriffsfläche Data Mining Nur öffentliche Daten freigeben 1 Social Engineering Keine Firmen-/Kundeninformationen freigeben 1 Malware Keine Verbindungen zu Kunden (nur auf expl. Anfrage) 2 Massnahmen Zugriffsschutz Abschluss Zusammenfassung Einsatz eines sicheren Passworts (mind. 6 Zeichen, ...) 1 Fragen Regelmässiges Ändern des Passworts (alle 90 Tage) 2 Zugriffe nur über gesicherte Endpunkte (Firmen-Laptops) 2 Verwaltung Nur unternehmensbezogene Aktivitäten 1 Nicht mehr benötigte Konten löschen 2 ISSS Zürcher Tagung 2011 17/22
Angriffsfläche | Massnahmen Technisch Auswahl Intro Wer? Endpoint-Security (Workstation, mobile Geräte, ...) Prio Was? Beispiele Trennung von sensitiven und öffentlichen Bereichen 1 Facebook Hardening/Patching des Betriebssystems 1 Twitter Hardening/Patching der Software (z.B. Webbrowser) 1 LinkedIn Installieren einer aktualisierten Antiviren-Lösung 2 Angriffsfläche Data Mining Installieren einer Personal Firewall und/oder HIPS 2 Social Engineering Zentraler Zugriffsschutz Malware Einschränken der Zugriffe auf legitime Dienste 1 Massnahmen Verhindern des Downloads ausführbarer Dateien 1 Abschluss Zusammenfassung Verhindern des Downloads aktiver Inhalte 2 Fragen Analysieren des Datenverkehrs mittels Antivirus 1 Verhindern des Uploads von sensitiven Daten (DLP) 1 Logging und Monitoring der Aktivitäten 2 ... ISSS Zürcher Tagung 2011 18/22
Zusammenfassung Intro Wer? Was? ◦ Einführung Beispiele ◦ Soziale Netze erlauben den effizienten Datenaustausch mit Facebook Gleichgesinnten Twitter ◦ Durch das Verbinden mit anderen Benutzern lässt sich ein LinkedIn personalisierter Aktivitätsverlauf etablieren Angriffsfläche ◦ Beispiele Data Mining Social Engineering ◦ Es gibt verschiedene Soziale Netze, die sich bezüglich Malware Zielgruppe und Struktur unterscheiden Massnahmen ◦ Zu den populärsten gehören Facebook, Twitter und LinkedIn Abschluss ◦ Angriffsfläche Zusammenfassung ◦ Die grundsätzlichen Gefahren des Internets sind auch in Fragen Sozialen Netzen zu berücksichtigen ◦ Sowohl Richtlinien als auch technische Massnahmen erlauben einen sicheren Umgang mit diesem Kommunikationskanal ISSS Zürcher Tagung 2011 19/22
Quellen Intro Wer? Was? ◦ Microsoft Security Intelligence Report, Vol. 10 Beispiele (2011), http://www.microsoft.com/security/sir/ Facebook ◦ Schutzmassnahmen in Sozialen Netzen (2010), Twitter LinkedIn http://www.scip.ch/?labs.20100423 Angriffsfläche Data Mining Social Engineering Malware Massnahmen Abschluss Zusammenfassung Fragen ISSS Zürcher Tagung 2011 20/22
Fragen Intro Wer? Was? Beispiele Facebook Twitter LinkedIn Angriffsfläche Data Mining Social Engineering Malware Massnahmen Abschluss Zusammenfassung Fragen ISSS Zürcher Tagung 2011 21/22
Security is our Business! Intro Wer? Was? scip AG Beispiele Badenerstrasse 551 Facebook CH-8048 Zürich Twitter LinkedIn Angriffsfläche Tel +41 44 404 13 13 Data Mining Fax +41 44 404 13 14 Social Engineering Malware Mail info@scip.ch Massnahmen Web http://www.scip.ch Abschluss Twitter http://twitter.com/scipag Zusammenfassung Fragen  Strategy | Consulting  Auditing | Testing  Forensics | Analysis ISSS Zürcher Tagung 2011 22/22

Empfohlen

Lehrgang Computersicherheit
Lehrgang ComputersicherheitLehrgang Computersicherheit
Lehrgang ComputersicherheitMarc Ruef
 
Soziale Netzwerke - Probleme, Gefahren und Tipps zum sicheren Surfen in Studi...
Soziale Netzwerke - Probleme, Gefahren und Tipps zum sicheren Surfen in Studi...Soziale Netzwerke - Probleme, Gefahren und Tipps zum sicheren Surfen in Studi...
Soziale Netzwerke - Probleme, Gefahren und Tipps zum sicheren Surfen in Studi...DerChb
 
Social Media Marketing Präsentation von Roman Anlanger
Social Media Marketing Präsentation von Roman AnlangerSocial Media Marketing Präsentation von Roman Anlanger
Social Media Marketing Präsentation von Roman AnlangerTrojanisches Marketing
 
Präsentation über Datenschutz und Datensicherheit mit Office365 und Azure am ...
Präsentation über Datenschutz und Datensicherheit mit Office365 und Azure am ...Präsentation über Datenschutz und Datensicherheit mit Office365 und Azure am ...
Präsentation über Datenschutz und Datensicherheit mit Office365 und Azure am ...AskMeWhy .ch
 
Referat Social Media
Referat Social MediaReferat Social Media
Referat Social MediaJean-Marc Hensch
 
Datenschutz, datensicherheit und urheberrecht
Datenschutz, datensicherheit und urheberrechtDatenschutz, datensicherheit und urheberrecht
Datenschutz, datensicherheit und urheberrechtCBeuster
 
KiM - Kommunikation im Marketing - und wie die Agentur Leven das sieht
KiM - Kommunikation im Marketing - und wie die Agentur Leven das siehtKiM - Kommunikation im Marketing - und wie die Agentur Leven das sieht
KiM - Kommunikation im Marketing - und wie die Agentur Leven das siehtPlus PR - Agentur für Public Relations
 
Umfrage Automobilität 2013 CreditPlus
Umfrage Automobilität 2013 CreditPlusUmfrage Automobilität 2013 CreditPlus
Umfrage Automobilität 2013 CreditPlusCreditplus Bank AG
 

Empfohlen

Lehrgang Computersicherheit
Lehrgang ComputersicherheitLehrgang Computersicherheit
Lehrgang ComputersicherheitMarc Ruef
 
Soziale Netzwerke - Probleme, Gefahren und Tipps zum sicheren Surfen in Studi...
Soziale Netzwerke - Probleme, Gefahren und Tipps zum sicheren Surfen in Studi...Soziale Netzwerke - Probleme, Gefahren und Tipps zum sicheren Surfen in Studi...
Soziale Netzwerke - Probleme, Gefahren und Tipps zum sicheren Surfen in Studi...DerChb
 
Social Media Marketing Präsentation von Roman Anlanger
Social Media Marketing Präsentation von Roman AnlangerSocial Media Marketing Präsentation von Roman Anlanger
Social Media Marketing Präsentation von Roman AnlangerTrojanisches Marketing
 
Präsentation über Datenschutz und Datensicherheit mit Office365 und Azure am ...
Präsentation über Datenschutz und Datensicherheit mit Office365 und Azure am ...Präsentation über Datenschutz und Datensicherheit mit Office365 und Azure am ...
Präsentation über Datenschutz und Datensicherheit mit Office365 und Azure am ...AskMeWhy .ch
 
Referat Social Media
Referat Social MediaReferat Social Media
Referat Social MediaJean-Marc Hensch
 
Datenschutz, datensicherheit und urheberrecht
Datenschutz, datensicherheit und urheberrechtDatenschutz, datensicherheit und urheberrecht
Datenschutz, datensicherheit und urheberrechtCBeuster
 
KiM - Kommunikation im Marketing - und wie die Agentur Leven das sieht
KiM - Kommunikation im Marketing - und wie die Agentur Leven das siehtKiM - Kommunikation im Marketing - und wie die Agentur Leven das sieht
KiM - Kommunikation im Marketing - und wie die Agentur Leven das siehtPlus PR - Agentur für Public Relations
 
Umfrage Automobilität 2013 CreditPlus
Umfrage Automobilität 2013 CreditPlusUmfrage Automobilität 2013 CreditPlus
Umfrage Automobilität 2013 CreditPlusCreditplus Bank AG
 
Ppt energiehoch3 wechselprozess_v1
Ppt energiehoch3 wechselprozess_v1Ppt energiehoch3 wechselprozess_v1
Ppt energiehoch3 wechselprozess_v1redtree01
 
Social media marketing im verlag seminar medieninstitut zürich
Social media marketing im verlag seminar medieninstitut zürichSocial media marketing im verlag seminar medieninstitut zürich
Social media marketing im verlag seminar medieninstitut zürichKaren Heidl
 
Historia de la informática
Historia de la informáticaHistoria de la informática
Historia de la informáticaantonioesbr
 
03 zahlen tragen vor allem botschaften
03 zahlen tragen vor allem botschaften03 zahlen tragen vor allem botschaften
03 zahlen tragen vor allem botschaftenICV_eV
 
Ergonomia en el uso de computadores
Ergonomia en el uso de computadoresErgonomia en el uso de computadores
Ergonomia en el uso de computadorestecmauro
 
Hays studie fachbereiche_im_wandel wissensarbeit
Hays studie fachbereiche_im_wandel wissensarbeitHays studie fachbereiche_im_wandel wissensarbeit
Hays studie fachbereiche_im_wandel wissensarbeitICV_eV
 
Next Web & Open Standards: LIIP Vortrag Internet-Briefing
Next Web & Open Standards: LIIP Vortrag Internet-BriefingNext Web & Open Standards: LIIP Vortrag Internet-Briefing
Next Web & Open Standards: LIIP Vortrag Internet-BriefingWalter Schärer
 
Plan de destrucción nacional.
Plan de destrucción nacional.Plan de destrucción nacional.
Plan de destrucción nacional.Mario Abate Liotti Falco
 
Welcher Microsoft Server deckt ihre Anforderungen ab?
Welcher Microsoft Server deckt ihre Anforderungen ab?Welcher Microsoft Server deckt ihre Anforderungen ab?
Welcher Microsoft Server deckt ihre Anforderungen ab?Custemotion Unternehmensberatung UG (haftungsbeschränkt)
 
Alejandro gini
Alejandro giniAlejandro gini
Alejandro giniginipy
 
Power point hermoso
Power point hermosoPower point hermoso
Power point hermososofiluci
 
Tarea seminario 3
Tarea seminario 3Tarea seminario 3
Tarea seminario 3juanrora
 
Trabajo gerencia
Trabajo gerenciaTrabajo gerencia
Trabajo gerenciaAdriana Castillo
 
Marco teorico
Marco teoricoMarco teorico
Marco teoricoFernando Sanchez
 
trabajo de moodle
trabajo de moodle trabajo de moodle
trabajo de moodlejosholopez
 
Anpassungen energieeffizienz
Anpassungen energieeffizienz Anpassungen energieeffizienz
Anpassungen energieeffizienz bh-ch-migration
 
Diario de un joven fascista alemán [María Martí]
Diario de un joven fascista alemán [María Martí]Diario de un joven fascista alemán [María Martí]
Diario de un joven fascista alemán [María Martí]ProyectoHistoriaDomus
 
Jugend-Seelsorge im Social Web
Jugend-Seelsorge im Social WebJugend-Seelsorge im Social Web
Jugend-Seelsorge im Social WebAlexander Ebel
 
Biotecnologia
BiotecnologiaBiotecnologia
BiotecnologiaDMITRIX
 
Kommunikationswissenschaftliche Aspekte sozialer Netzwerke
Kommunikationswissenschaftliche Aspekte sozialer NetzwerkeKommunikationswissenschaftliche Aspekte sozialer Netzwerke
Kommunikationswissenschaftliche Aspekte sozialer NetzwerkeAlexander Ebel
 
Source Code Analyse - Ein praktikabler Ansatz
Source Code Analyse - Ein praktikabler AnsatzSource Code Analyse - Ein praktikabler Ansatz
Source Code Analyse - Ein praktikabler AnsatzMarc Ruef
 
Adventures in a Decade of Tracking and Consolidating Security Vulnerabilities
Adventures in a Decade of Tracking and Consolidating Security VulnerabilitiesAdventures in a Decade of Tracking and Consolidating Security Vulnerabilities
Adventures in a Decade of Tracking and Consolidating Security VulnerabilitiesMarc Ruef
 

Weitere ähnliche Inhalte

Andere mochten auch

Ppt energiehoch3 wechselprozess_v1
Ppt energiehoch3 wechselprozess_v1Ppt energiehoch3 wechselprozess_v1
Ppt energiehoch3 wechselprozess_v1redtree01
 
Social media marketing im verlag seminar medieninstitut zürich
Social media marketing im verlag seminar medieninstitut zürichSocial media marketing im verlag seminar medieninstitut zürich
Social media marketing im verlag seminar medieninstitut zürichKaren Heidl
 
Historia de la informática
Historia de la informáticaHistoria de la informática
Historia de la informáticaantonioesbr
 
03 zahlen tragen vor allem botschaften
03 zahlen tragen vor allem botschaften03 zahlen tragen vor allem botschaften
03 zahlen tragen vor allem botschaftenICV_eV
 
Ergonomia en el uso de computadores
Ergonomia en el uso de computadoresErgonomia en el uso de computadores
Ergonomia en el uso de computadorestecmauro
 
Hays studie fachbereiche_im_wandel wissensarbeit
Hays studie fachbereiche_im_wandel wissensarbeitHays studie fachbereiche_im_wandel wissensarbeit
Hays studie fachbereiche_im_wandel wissensarbeitICV_eV
 
Next Web & Open Standards: LIIP Vortrag Internet-Briefing
Next Web & Open Standards: LIIP Vortrag Internet-BriefingNext Web & Open Standards: LIIP Vortrag Internet-Briefing
Next Web & Open Standards: LIIP Vortrag Internet-BriefingWalter Schärer
 
Alejandro gini
Alejandro giniAlejandro gini
Alejandro giniginipy
 
Power point hermoso
Power point hermosoPower point hermoso
Power point hermososofiluci
 
Tarea seminario 3
Tarea seminario 3Tarea seminario 3
Tarea seminario 3juanrora
 
trabajo de moodle
trabajo de moodle trabajo de moodle
trabajo de moodlejosholopez
 
Anpassungen energieeffizienz
Anpassungen energieeffizienz Anpassungen energieeffizienz
Anpassungen energieeffizienz bh-ch-migration
 
Diario de un joven fascista alemán [María Martí]
Diario de un joven fascista alemán [María Martí]Diario de un joven fascista alemán [María Martí]
Diario de un joven fascista alemán [María Martí]ProyectoHistoriaDomus
 
Jugend-Seelsorge im Social Web
Jugend-Seelsorge im Social WebJugend-Seelsorge im Social Web
Jugend-Seelsorge im Social WebAlexander Ebel
 
Biotecnologia
BiotecnologiaBiotecnologia
BiotecnologiaDMITRIX
 
Kommunikationswissenschaftliche Aspekte sozialer Netzwerke
Kommunikationswissenschaftliche Aspekte sozialer NetzwerkeKommunikationswissenschaftliche Aspekte sozialer Netzwerke
Kommunikationswissenschaftliche Aspekte sozialer NetzwerkeAlexander Ebel
 

Andere mochten auch (20)

Ppt energiehoch3 wechselprozess_v1
Ppt energiehoch3 wechselprozess_v1Ppt energiehoch3 wechselprozess_v1
Ppt energiehoch3 wechselprozess_v1
 
Social media marketing im verlag seminar medieninstitut zürich
Social media marketing im verlag seminar medieninstitut zürichSocial media marketing im verlag seminar medieninstitut zürich
Social media marketing im verlag seminar medieninstitut zürich
 
Historia de la informática
Historia de la informáticaHistoria de la informática
Historia de la informática
 
03 zahlen tragen vor allem botschaften
03 zahlen tragen vor allem botschaften03 zahlen tragen vor allem botschaften
03 zahlen tragen vor allem botschaften
 
Ergonomia en el uso de computadores
Ergonomia en el uso de computadoresErgonomia en el uso de computadores
Ergonomia en el uso de computadores
 
Hays studie fachbereiche_im_wandel wissensarbeit
Hays studie fachbereiche_im_wandel wissensarbeitHays studie fachbereiche_im_wandel wissensarbeit
Hays studie fachbereiche_im_wandel wissensarbeit
 
Next Web & Open Standards: LIIP Vortrag Internet-Briefing
Next Web & Open Standards: LIIP Vortrag Internet-BriefingNext Web & Open Standards: LIIP Vortrag Internet-Briefing
Next Web & Open Standards: LIIP Vortrag Internet-Briefing
 
Plan de destrucción nacional.
Plan de destrucción nacional.Plan de destrucción nacional.
Plan de destrucción nacional.
 
Welcher Microsoft Server deckt ihre Anforderungen ab?
Welcher Microsoft Server deckt ihre Anforderungen ab?Welcher Microsoft Server deckt ihre Anforderungen ab?
Welcher Microsoft Server deckt ihre Anforderungen ab?
 
Alejandro gini
Alejandro giniAlejandro gini
Alejandro gini
 
Power point hermoso
Power point hermosoPower point hermoso
Power point hermoso
 
Tarea seminario 3
Tarea seminario 3Tarea seminario 3
Tarea seminario 3
 
Trabajo gerencia
Trabajo gerenciaTrabajo gerencia
Trabajo gerencia
 
Marco teorico
Marco teoricoMarco teorico
Marco teorico
 
trabajo de moodle
trabajo de moodle trabajo de moodle
trabajo de moodle
 
Anpassungen energieeffizienz
Anpassungen energieeffizienz Anpassungen energieeffizienz
Anpassungen energieeffizienz
 
Diario de un joven fascista alemán [María Martí]
Diario de un joven fascista alemán [María Martí]Diario de un joven fascista alemán [María Martí]
Diario de un joven fascista alemán [María Martí]
 
Jugend-Seelsorge im Social Web
Jugend-Seelsorge im Social WebJugend-Seelsorge im Social Web
Jugend-Seelsorge im Social Web
 
Biotecnologia
BiotecnologiaBiotecnologia
Biotecnologia
 
Kommunikationswissenschaftliche Aspekte sozialer Netzwerke
Kommunikationswissenschaftliche Aspekte sozialer NetzwerkeKommunikationswissenschaftliche Aspekte sozialer Netzwerke
Kommunikationswissenschaftliche Aspekte sozialer Netzwerke
 

Mehr von Marc Ruef

Source Code Analyse - Ein praktikabler Ansatz
Source Code Analyse - Ein praktikabler AnsatzSource Code Analyse - Ein praktikabler Ansatz
Source Code Analyse - Ein praktikabler AnsatzMarc Ruef
 
Adventures in a Decade of Tracking and Consolidating Security Vulnerabilities
Adventures in a Decade of Tracking and Consolidating Security VulnerabilitiesAdventures in a Decade of Tracking and Consolidating Security Vulnerabilities
Adventures in a Decade of Tracking and Consolidating Security VulnerabilitiesMarc Ruef
 
Firewall Rule Review and Modelling
Firewall Rule Review and ModellingFirewall Rule Review and Modelling
Firewall Rule Review and ModellingMarc Ruef
 
Cloud Computing - Risiken und Massnahmen
Cloud Computing - Risiken und MassnahmenCloud Computing - Risiken und Massnahmen
Cloud Computing - Risiken und MassnahmenMarc Ruef
 
Code Plagiarism - Technical Detection and Legal Prosecution
Code Plagiarism - Technical Detection and Legal ProsecutionCode Plagiarism - Technical Detection and Legal Prosecution
Code Plagiarism - Technical Detection and Legal ProsecutionMarc Ruef
 
Einführung POLYCOM
Einführung POLYCOMEinführung POLYCOM
Einführung POLYCOMMarc Ruef
 
Security Scanner Design am Beispiel von httprecon
Security Scanner Design am Beispiel von httpreconSecurity Scanner Design am Beispiel von httprecon
Security Scanner Design am Beispiel von httpreconMarc Ruef
 

Mehr von Marc Ruef (7)

Source Code Analyse - Ein praktikabler Ansatz
Source Code Analyse - Ein praktikabler AnsatzSource Code Analyse - Ein praktikabler Ansatz
Source Code Analyse - Ein praktikabler Ansatz
 
Adventures in a Decade of Tracking and Consolidating Security Vulnerabilities
Adventures in a Decade of Tracking and Consolidating Security VulnerabilitiesAdventures in a Decade of Tracking and Consolidating Security Vulnerabilities
Adventures in a Decade of Tracking and Consolidating Security Vulnerabilities
 
Firewall Rule Review and Modelling
Firewall Rule Review and ModellingFirewall Rule Review and Modelling
Firewall Rule Review and Modelling
 
Cloud Computing - Risiken und Massnahmen
Cloud Computing - Risiken und MassnahmenCloud Computing - Risiken und Massnahmen
Cloud Computing - Risiken und Massnahmen
 
Code Plagiarism - Technical Detection and Legal Prosecution
Code Plagiarism - Technical Detection and Legal ProsecutionCode Plagiarism - Technical Detection and Legal Prosecution
Code Plagiarism - Technical Detection and Legal Prosecution
 
Einführung POLYCOM
Einführung POLYCOMEinführung POLYCOM
Einführung POLYCOM
 
Security Scanner Design am Beispiel von httprecon
Security Scanner Design am Beispiel von httpreconSecurity Scanner Design am Beispiel von httprecon
Security Scanner Design am Beispiel von httprecon
 

Soziale Netzwerke - Vielschichtige Gefahren eines neuen Zeitalters

  • 1. Soziale Netzwerke Vielschichtige Gefahren eines neuen Zeitalters Marc Ruef www.scip.ch ISSS 08. Juni 2011 Zürich, Schweiz
  • 2. Agenda | Soziale Netze – Vielschichte Gefahren Intro Wer? 1. Intro Was? Beispiele Einführung 2 min Facebook Was sind Soziale Netze? 3 min Twitter 2. Beispiele populärer Plattformen LinkedIn Facebook 2 min Angriffsfläche Data Mining Twitter 2 min Social Engineering LinkedIn 2 min Malware 3. Angriffsfläche Soziales Netzwerk Massnahmen Data Mining 5 min Abschluss Zusammenfassung Social Engineering 5 min Fragen Malware 2 min Massnahmen 4 min 4. Abschluss Zusammenfassung 3 min ISSS Zürcher Tagung 2011 2/22
  • 3. Einführung | Wer bin ich Intro Wer? Was? Name Marc Ruef Beispiele Beruf Mitinhaber / CTO, scip AG, Zürich Facebook Twitter Private Webseite http://www.computec.ch LinkedIn Letztes Buch „Die Kunst des Penetration Testing“, Angriffsfläche Computer & Literatur Böblingen, Data Mining Social Engineering ISBN 3-936546-49-5 Malware Massnahmen Abschluss Zusammenfassung Fragen Übersetzung ISSS Zürcher Tagung 2011 3/22
  • 4. Einführung | Gefahren Sozialer Netze Intro Wer? Was? Beispiele Facebook Twitter Phishing sites that target social networks routinely LinkedIn Angriffsfläche receive the highest number of impressions per active Data Mining phishing site […] but still only accounted for 4.2 Social Engineering percent of active sites in December, despite receiving Malware 84.5 percent of impressions that month. Massnahmen Abschluss Zusammenfassung Microsoft Security Intelligence Report, Vol. 10 (2011) Fragen ISSS Zürcher Tagung 2011 4/22
  • 5. Einführung | Was sind Soziale Netze? Intro Wer? Was? ◦ Webseiten mit der Möglichkeit, sich mit anderen Beispiele Benutzern zu verbinden Facebook ◦ Aktivitäten dieser Freunde werden unmittelbar Twitter LinkedIn angezeigt Angriffsfläche ◦ Dadurch wird ein personalisierter Aktivitätsverlauf Data Mining möglich Social Engineering Malware Massnahmen Abschluss Zusammenfassung Fragen ISSS Zürcher Tagung 2011 5/22
  • 6. Beispiele | Facebook – Persönlicher Kanal Intro Wer? Zielgruppe Was? Beispiele Privatpersonen, Firmen Facebook Verbindungen Twitter Freunde, Gruppen LinkedIn Zusätzliches Angriffsfläche Data Mining Applikationen Social Engineering Gründung Malware Februar 2004 Cambridge, UK Massnahmen Mitarbeiter Abschluss Zusammenfassung >2000 2011 Fragen User 600 Millionen Januar 2011 Ähnlich MySpace, Orkut, StudiVZ ISSS Zürcher Tagung 2011 6/22
  • 7. Beispiele | Twitter – Kurznachrichten Intro Wer? Zielgruppe Was? Beispiele Personen, Firmen, Bots Facebook Verbindungen Twitter Follower, Lists LinkedIn Zusätzliches Angriffsfläche Data Mining Nachricht max. 140 Zeichen Social Engineering Gründung Malware Juli 2006 Frisco, USA Massnahmen Mitarbeiter Abschluss Zusammenfassung >450 2011 Fragen User 200 Millionen März 2011 Ähnlich Google Buzz, FriendFeed ISSS Zürcher Tagung 2011 7/22
  • 8. Beispiele | LinkedIn – Berufliches Portfolio Intro Wer? Zielgruppe Was? Beispiele Geschäftspartner, Firmen Facebook Verbindungen Twitter Connections, Groups LinkedIn Zusätzliches Angriffsfläche Data Mining Applikationen, kommerziell Social Engineering Gründung Malware Mai 2003 Santa Monica Massnahmen Mitarbeiter Abschluss Zusammenfassung >1‘000 2010 Fragen User 100 Millionen März 2011 Ähnlich Xing, Plaxo, Hub Culture ISSS Zürcher Tagung 2011 8/22
  • 9. Angriffsfläche | Data Mining – Möglichkeiten Intro Wer? Was? ◦ Veröffentlichte Informationen sammeln Beispiele ◦ Name, Anschrift Facebook Twitter ◦ Mailadresse, Benutzerkonten, Benutzernamen LinkedIn ◦ Fotos, Videos Angriffsfläche Data Mining ◦ Postings (Statusmeldungen, Kommentare) Social Engineering ◦ Verbindungen zu anderen Benutzern Malware Massnahmen ◦ Direkte Freunde Abschluss ◦ Indirekte Kontakte Zusammenfassung Fragen ISSS Zürcher Tagung 2011 9/22
  • 10. Angriffsfläche | Datamining – Informationen Intro Wer? Was? Beispiele Facebook Twitter LinkedIn Angriffsfläche Data Mining Social Engineering Malware Massnahmen Abschluss Zusammenfassung Fragen ISSS Zürcher Tagung 2011 10/22
  • 11. Angriffsfläche | Data Mining - Verbindungen zu @scipag
  • 12. Angriffsfläche | Data Mining – Ergebnis Intro Wer? Was? Beispiele Facebook Twitter LinkedIn Angriffsfläche Data Mining Social Engineering Malware Massnahmen Abschluss Zusammenfassung Fragen ISSS Zürcher Tagung 2011 12/22
  • 13. Angriffsfläche | Social Engineering – Übersicht Intro Wer? Was? ◦ Ablauf Beispiele ◦ Kontaktaufnahme Facebook ◦ Manipulation der Twitter Zielperson LinkedIn Angriffsfläche ◦ Provokation einer Data Mining kompromittierenden Social Engineering Handlung Malware Massnahmen Abschluss Zusammenfassung Fragen ISSS Zürcher Tagung 2011 13/22
  • 14. Angriffsfläche | Social Engineering – Hintergrund Intro Wer? Was? ◦ Mögliche Szenarien Beispiele ◦ Stalking, Mobbing Facebook ◦ Informationsbeschaffung für Behörden/Versicherungen Twitter ◦ Industriespionage durch Mitbewerber LinkedIn ◦ Wirtschaftsspionage durch ausländische Dienste Angriffsfläche Data Mining ◦ Manipulation durch Kriminelle Social Engineering ◦ Beispiele Malware ◦ Preisgabe sensitiver Informationen Massnahmen ◦ Herausgabe von Passwörtern Abschluss Zusammenfassung ◦ Erfahrung Fragen ◦ 84.1% unserer Zielpersonen unter 35 Jahren benutzen soziale Netze (vorwiegend Facebook) ◦ 76.2% männlicher Benutzer antworten weiblichen Benutzer, trotz fehlendem Zusammenhang ISSS Zürcher Tagung 2011 14/22
  • 15. Angriffsfläche | Social Engineering – Beispiel Versicherungsbetrug
  • 16. Angriffsfläche | Malware – Übersicht Intro Wer? Was? ◦ Soziale Netze sind ein Beispiele alternativer Facebook Kommunikationskanal Twitter ◦ Verbreiten von Malware LinkedIn ist möglich wie über Angriffsfläche Webseiten, Email und Data Mining Social Engineering Instant Messenger Malware ◦ Diverse Social Media Massnahmen Wurm-Epidemien schon Abschluss passiert Zusammenfassung Fragen ISSS Zürcher Tagung 2011 16/22
  • 17. Angriffsfläche | Massnahmen Richtlinien Auswahl Intro Wer? Social Media Anbieter Prio Was? Beispiele Nur vertrauenswürdige Anbieter 2 Facebook Nur inländische Anbieter/Lokationen 2 Twitter Keine Zugriffe externer Anbieter/Firmen 1 LinkedIn Datenklassifizierung Angriffsfläche Data Mining Nur öffentliche Daten freigeben 1 Social Engineering Keine Firmen-/Kundeninformationen freigeben 1 Malware Keine Verbindungen zu Kunden (nur auf expl. Anfrage) 2 Massnahmen Zugriffsschutz Abschluss Zusammenfassung Einsatz eines sicheren Passworts (mind. 6 Zeichen, ...) 1 Fragen Regelmässiges Ändern des Passworts (alle 90 Tage) 2 Zugriffe nur über gesicherte Endpunkte (Firmen-Laptops) 2 Verwaltung Nur unternehmensbezogene Aktivitäten 1 Nicht mehr benötigte Konten löschen 2 ISSS Zürcher Tagung 2011 17/22
  • 18. Angriffsfläche | Massnahmen Technisch Auswahl Intro Wer? Endpoint-Security (Workstation, mobile Geräte, ...) Prio Was? Beispiele Trennung von sensitiven und öffentlichen Bereichen 1 Facebook Hardening/Patching des Betriebssystems 1 Twitter Hardening/Patching der Software (z.B. Webbrowser) 1 LinkedIn Installieren einer aktualisierten Antiviren-Lösung 2 Angriffsfläche Data Mining Installieren einer Personal Firewall und/oder HIPS 2 Social Engineering Zentraler Zugriffsschutz Malware Einschränken der Zugriffe auf legitime Dienste 1 Massnahmen Verhindern des Downloads ausführbarer Dateien 1 Abschluss Zusammenfassung Verhindern des Downloads aktiver Inhalte 2 Fragen Analysieren des Datenverkehrs mittels Antivirus 1 Verhindern des Uploads von sensitiven Daten (DLP) 1 Logging und Monitoring der Aktivitäten 2 ... ISSS Zürcher Tagung 2011 18/22
  • 19. Zusammenfassung Intro Wer? Was? ◦ Einführung Beispiele ◦ Soziale Netze erlauben den effizienten Datenaustausch mit Facebook Gleichgesinnten Twitter ◦ Durch das Verbinden mit anderen Benutzern lässt sich ein LinkedIn personalisierter Aktivitätsverlauf etablieren Angriffsfläche ◦ Beispiele Data Mining Social Engineering ◦ Es gibt verschiedene Soziale Netze, die sich bezüglich Malware Zielgruppe und Struktur unterscheiden Massnahmen ◦ Zu den populärsten gehören Facebook, Twitter und LinkedIn Abschluss ◦ Angriffsfläche Zusammenfassung ◦ Die grundsätzlichen Gefahren des Internets sind auch in Fragen Sozialen Netzen zu berücksichtigen ◦ Sowohl Richtlinien als auch technische Massnahmen erlauben einen sicheren Umgang mit diesem Kommunikationskanal ISSS Zürcher Tagung 2011 19/22
  • 20. Quellen Intro Wer? Was? ◦ Microsoft Security Intelligence Report, Vol. 10 Beispiele (2011), http://www.microsoft.com/security/sir/ Facebook ◦ Schutzmassnahmen in Sozialen Netzen (2010), Twitter LinkedIn http://www.scip.ch/?labs.20100423 Angriffsfläche Data Mining Social Engineering Malware Massnahmen Abschluss Zusammenfassung Fragen ISSS Zürcher Tagung 2011 20/22
  • 21. Fragen Intro Wer? Was? Beispiele Facebook Twitter LinkedIn Angriffsfläche Data Mining Social Engineering Malware Massnahmen Abschluss Zusammenfassung Fragen ISSS Zürcher Tagung 2011 21/22
  • 22. Security is our Business! Intro Wer? Was? scip AG Beispiele Badenerstrasse 551 Facebook CH-8048 Zürich Twitter LinkedIn Angriffsfläche Tel +41 44 404 13 13 Data Mining Fax +41 44 404 13 14 Social Engineering Malware Mail info@scip.ch Massnahmen Web http://www.scip.ch Abschluss Twitter http://twitter.com/scipag Zusammenfassung Fragen  Strategy | Consulting  Auditing | Testing  Forensics | Analysis ISSS Zürcher Tagung 2011 22/22