Awareness. Sicherheitslücken live aufgedeckt. Institut für Internet-Sicherheit Fachhochschule Gelsenkirchen

Transkript

1 Awareness Sicherheitslücken live aufgedeckt Marian Jungbauer jungbauer (at) internet-sicherheit. de Markus Linnemann linnemann (at) internet-sicherheit. de Institut für Internet-Sicherheit Fachhochschule Gelsenkirchen

2 Institut für f r Internet-Sicherheit (ifis) Internes Hochschulinstitut Gegründet Mai 2005 mit Herrn Schily Leitender Direktor: Prof. Dr. Norbert Pohlmann Fachbereichsübergreifendes Institut (als Voraussetzung) Schwerpunkt IT-Sicherheit und verteilte Systeme Sichere Betriebssysteme (Turaya) Internet-Frühwarnsysteme -Sicherheit Mitarbeiter (ca. 35) Festangestellte Dipl.-Informatiker Hiwi s im Studium Diplomanden (Bachelor, Master) 2

3 Wo fängt f Sicherheit an Die Welt wird nicht bedroht von den Menschen, die böse sind, sondern von denen, die das Böse B zulassen. Albert Einstein deutscher Physiker und Nobelpreisträger 3

4 Trojaner kann man kaufen! Werbung in Zeitungen Eigene Internet-Szene mit Angeboten und Anleitungen 4

5 Bot-Netze Auszug aus suanzeigen.de / BBC: Biete Botnet inkl. einschlägiger Software stundenweise, Rechner angeschlossen, IRC-Zugangsdaten nach Zahlung von 500 Euro auf E-Gold Als Memo bitte angeben. - Kosten hänge dabei von Größe und Nutzungsdauer ab Nach Auffassung von Vinton Cerf Vice President von Google seien von den 600 Millionen Internet-PCs 100 bis 150 Millionen mit Bots infiziert. 5

6 Schutz vor Trojaner-Angriffen Basissicherheit: Betriebssystem immer absolut aktuell halten Aktuelle Anti-Virensoftware Aktuelle Firewall Aktuelle Anti-Spy Software Fortgeschritte Sicherheit: Virtualisierung beim surfen einsetzen Keinen Internet Explorer verwenden, sondern Firefox, Opera,.. mit zusätzlichen Sicherheits-Modulen (NoScript, ) 6

7 Warum IT-Sicherheits Sicherheits-SchulungenSchulungen Tausche Passwort gegen Zartbitter Für Schokolade tun Frauen fast alles. Zumindest ihre Passwörter verraten sie gerne für eine Tafel Ritter-Sport an einen Fremden. Männer sind natürlich nicht viel besser Leichtfertiger Umgang mit Passwörtern 45 Prozent der weiblichen Büroangestellten 10 Prozent der männlichen Büroangestellten Versuch von Infosecurity Europe in London Natürlich kann es auch sein, dass Frauen ein falsches Passwort angegeben haben & sind so sicher an die Schokolade gekommen Aber Warum??? 7

8 Passwortraten (1/2) Passwortlänge benötigte Zeit (gilt für ein einfaches Notebook mit Core2Duo Prozessor, Angreifer haben ganz andere Möglichkeiten!!!) 68 unterschiedliche Zeichen 94 unterschiedliche Zeichen Mikrosekunden Mikrosekunden Millisekunden 1.10 Millisekunden Sekunden 0.10 Sekunden Sekunden 9.76 Sekunden Minuten 3.43 Stunden 9.73 Tage 1.81 Jahre Jahre 8370 Jahre Jahre Millionen Jahre Minuten Stunden Tage Jahre 2260 Jahre Jahre Millionen Jahre 1.89 Milliarden Jahre Mit freundlicher Genehmigung von Tobias Schrödel 8

9 Passwortraten (2/2) Wie baue ich ein gutes Passwort: Lang (mehr als 10 Zeichen) Groß und Kleinschreibung Ziffern verwenden Sonderzeichen verwenden Regelmäßig ändern Sinnfreie Zusammensetzung Schlechtes Passwort: Geheim Ein gutes Passwort: 3kDmAr8kLkL! 9

10 Phishing & Pharming (1/2) Wie sieht die Bedrohung aus? Phishing Angriff durch Täuschung, Umleitung auf gefälschte Inhalte/Webseiten Pharming Über Links in s Über Java-Skripte, die in Auktionen eingebaut sind Über gefälschte Links in Artikelbeschreibungen XSS (Cross Site Scripting) als Phishing-Technik DNS (Domain Name Server) Attacken über Hosts Datei des Clients Kapern von DNS-Servern DNS Flodding gegen den Client 10

11 Phishing & Pharming (2/2) Welche Vorkehrungen gibt es dagegen URL per Hand eingeben (bei Pharming nutzlos) SSL Zertifikate überprüfen Links überprüfen (bei Pharming nutzlos), Hosts Datei Schreibschutz aktivieren Anbieter überprüfen Mit Bedacht am Rechner arbeiten 11

12 Mobile Security Aktuelle Handys Virenscanner verwenden Verbindungen, die NICHT gebraucht werden Ausschalten Headsets bei nicht-gebrauch Ausschalten In sicherheitskritischen Umgebungen Handy auschalten/akku entfernen Bluetooth im Handy unsichtbar schalten Ultimativer Schutz: Alles Ausschalten (scherzhaft gemeint, neue Technologien sollten genutzt werden, aber mit gebotener Vorsicht) 12

13 WLAN Immer verschlüsseln Sämtliche nicht verschlüsselte Informationen können einfach mitgelesen werden (sniffen) Sichere Verschlüsselung sselung wählenw Kein WEP, da es sehr schnell zu knacken ist Bedingt WPA (aktuell noch nicht geknackt) Am besten WPA2 mit AES Verschlüsselung WLAN / Bluetooth ist nicht nur Kurzstrecke Einfache Richtfunkantennen erzielen Reichweiten bis 2 km 13

14 Ausführlich Informationen Basissicherheit und Datenschutz Grundschutz für f r die Firma (Angebot der secure IT NRW) Basisprüfung IT-Sicherheit ( 14

15 Wo fängt f Sicherheit an Wer die Freiheit aufgibt, um Sicherheit zu gewinnen, wird am Ende beides verlieren. Benjamin Franklin US-Staatsmann, Ökonom und Naturforscher 15

16 Wir möchten m sie sensibilisieren!!! Wir zeigen Ihnen alle Vorführungen ausschließlich um sie zu sensibilisieren! Definitiv wollen wir niemanden anstiften eine Straftat zu begehen! Alle Informationen und Aktionen dienen dazu, Ihnen die Möglichkeit zu eröffnen, sich zu schützen! Wenn sie eine/n Schulung/Vortrag zum Thema Sensibilisierung/Awareness im Bereich IT-Sicherheit suchen, sprechen sie uns an. 16

17 Awareness Vielen Dank für Ihre Aufmerksamkeit Fragen? Marian Jungbauer jungbauer (at) internet-sicherheit. de Markus Linnemann linnemann (at) internet-sicherheit. de Institut für Internet-Sicherheit Fachhochschule Gelsenkirchen