Qualifizierungsseminar I für IT-Sicherheitsbotschafter

Transkript

1 Qualifizierungsseminar I für IT-Sicherheitsbotschafter Lüneburg, Oktober 2013 Handout zum Seminartag 1 contrastwerkstatt - Fotolia.com Qualifizierung IT-Sicherheitsbotschafter Lüneburg Busch, Timmermann, Tomanek 1

2 Tag 1: Agenda Begrüßung/ Vorstellungsrunde Einführung und Motivation IT-Sicherheitsbotschafter Sicheres Verhalten im Betrieb und unterwegs Systemsicherheit Übertragungsverschlüsselung 2

3 Agenda für den 2. und 3. Seminartag , 8:30 17:00 Uhr 1. Tagesthema IT-Sicherheit in der Produktion 2. Tagesthema Cloud-Computing , 8:30 12:30 Uhr Tagesthema Mobiles Arbeiten/BYOD Abschlussrunde Gina Sanders - Fotolia.com 3

4 Vorstellungsrunde Institut für Internet-Sicherheit if(is) Gegründet im Mai 2005 mit Herrn Schily Leitender Direktor: Prof. Norbert Pohlmann Einige Forschungsschwerpunkte Internet-Frühwarnsysteme Botnetz-Erkennung Identity Management Vertrauenswürdige IT-Systeme Mobile Security Weitere Projekte Marktplatz IT-Sicherheit Live-Hacking 4

5 Vorstellungsrunde Vorstellung der Dozenten Dipl.-Inform. Stefan Tomanek Wissenschaftlicher Mitarbeiter Projektleiter Live-Hacking / Awareness-Show & Penetrationstest Frank Timmermann Wissenschaftlicher Mitarbeiter Live-Hacking / Awareness-Show B.Sc. Deborah Busch Wissenschaftliche Mitarbeiterin if(is)-projektleiterin IT-Sicherheit im Handwerk 5

6 Einführung Vorbereitung der Übungsumgebung Erstellen eines eigenen Ordners auf dem Desktop mit Ihrem Namen Hineinkopieren der Inhalte Ihres USB-Sticks Thomas Jansa - Fotolia.com Löschen aller Inhalte auf dem USB-Stick 6

7 Die heutige Informationsgesellschaft Chancen und Risiken (1/2) Internet ist aus unserem Leben nicht mehr wegzudenken Vielfältige Möglichkeiten Surfen, Kommunikation, Onlinebanking, Onlineshopping egovernment, Tele-Arbeit Wissensteilung: Wissen konsumieren, Wissen bereitstellen Immer mehr Menschen sind Teil einer vernetzten Informationsgesellschaft 7

8 Die heutige Informationsgesellschaft Chancen und Risiken (2/2) Das Internet ein riesiger Datenspeicher, der nichts vergisst! Vorkehrungen treffen, um sicherheitskritische Daten zu schützen Herausforderungen: Sicherheitslücken schließen und die eigene Internetkompetenz stärken Sicherheit im Internet betrifft jeden Nutzer! 8

9 Einführung IT-Sicherheit und Internetkompetenz Angriffsmöglichkeiten auf persönliche Daten werden immer professioneller Virenschutzprogramme und Personal Firewall helfen 100%ige Sicherheit kann es im Internet wie im realen Leben nicht geben Internet-Kompetenz: Bewusstsein für Gefahren entwickeln Verhalten anpassen und Daten schützen gesundes Missvertrauen gegenüber unbekannten Quellen 9

10 Einführung Warum Informationssicherheit und Datenschutz? Nahezu jede Information ist immer und überall verfügbar! Schützenswerte Informationen, z.b.: Konstruktionspläne Krankenakten Betriebsinterna JPC-PROD - Fotolia.com Es gilt: Wissen ist Geld. 10

11 Einführung Grundwerte der Informationssicherheit Creatix - Fotolia.com Vertraulichkeit Zugriff nur für Berechtigte Integrität Informationen sind korrekt und vollständig Verfügbarkeit Zugriff ist jederzeit möglich Authentizität Identität des Kommunikationspartner ist geprüft 11

12 Einführung Situation im Handwerk Dan Race - Fotolia.com Informationstechnologien unterstützen häufig zentrale Geschäftsprozesse Rechner mit sensiblen Informationen sind häufig nicht ausreichend vor dem Zugriff Dritter geschützt Steigende Risiken durch mehr Mobilität 12

13 IT-Sicherheit im Handwerk Ausgangssituation ca Betriebe, ca. 5 Millionen Beschäftigte, rund Auszubildende [vgl. Studie Stand der IT-Sicherheit im Handwerk ] 50% der Betriebe < 5 Mitarbeiter 94% der Betriebe < 20 Mitarbeiter Teilnehmer an Studie ca. 400 Betriebe 9 Berater der Handwerkskammern jörn buchheim - Fotolia.com 13

14 IT-Sicherheit im Handwerk Studie Stand der IT-Sicherheit im Handwerk Top 4 Risiken für Betriebe < 50 Mitarbeiter Lesebeispiele 34,8% aller befragten Betriebe geben an, Risiken in Bezug auf Datenmanipulation oder Datenverlust zu sehen. 32,9% aller befragten Betriebe mit weniger als fünf Mitarbeitern sehen Datenmanipulation oder Datenverlust als potenzielles Risiko. Bezug der Studie z.b. über Karen Bartelt bartelt@hpi-hannover.de 14

15 IT-Sicherheit im Handwerk Fazit der Studie Stand der IT-Sicherheit im Handwerk Abhängigkeit von Betriebsgröße Je größer der Betrieb, desto regelmäßiger Sicherheitsmaßnahmen Betriebe unter 50 Mitarbeitern Weitreichender Sensibilisierungsbedarf Ausbau sicherer IT-Infrastruktur Kadmy - Fotolia.com Herausforderung: Kleine Betriebe erreichen. 15

16 IT-Sicherheitsbotschafter im Handwerk Motivation (1/2) Genießen Vertrauen bei Handwerkern Eignen sich mit der Qualifizierung wertvolle Fähigkeiten an Unterstützen Handwerker bei IT-Sicherheitsmaßnahmen Kennen die Branche und Anforderungen michaeljung - Fotolia.com Liefern pragmatische Lösungen für IT- Sicherheit 16

17 IT-Sicherheitsbotschafter im Handwerk Motivation (2/2) Qualifizierungsprogramm bestehend aus Seminarteilnahmen und Qualifizierungsunterlagen Wissensvertiefung Aktueller Wissensstand Verweis auf neuste Entwicklungen Abschluss mit Prüfung (z.b. durch CompTIA-Zertifizierung) stillkost - Fotolia.com 17

18 Herausforderung für Handwerksbetriebe Jeder muss mit anpacken! auremar - Fotolia.com Informationssicherheit Muss von allen Beschäftigten gewollt, umgesetzt und gelebt werden. Es gilt: Eine Kette ist nur so stark wie ihr schwächstes Glied. Am Wichtigsten? Eingeschalteter, gesunder Menschenverstand Bereitstellung und Beachtung von Sicherheitsmaßnahmen 18

19 Wo fängt Sicherheit an Die Welt wird nicht bedroht von den Menschen, die böse sind, sondern von denen, die das Böse zulassen. Albert Einstein 19

20 Live-Hacking-Szenarien Handout enthält Quintessenzen aus Demonstrationen Institut für Internet-Sicherheit if(is) 20

21 Datenwiederherstellung leicht gemacht Fazit Live-Hacking-Szenario Foremost (1/3) Digitale Daten fallen häufig an z.b. auf Festplatten, Speicher- und SIM-Karten, Smartphones, Kopierern, internen Speichern, zum Beispiel von Digitalkameras Datenspeicherung Daten werden wie Pakete in einer Lagerhalle abgelegt es gibt einen Lagerplatz für die eigentlichen Informationen die Position der Datei wird in einer Liste gespeichert 21

22 Datenwiederherstellung leicht gemacht Fazit Live-Hacking-Szenario Foremost (2/3) Datenlöschung Der Listeneintrag für die Datei wird gelöscht, die Datei an sich nicht Vorteil: Löschen ist eine schnelle Operation Versehentlich gelöschte Daten können wiederhergestellt werden 22

23 Datenwiederherstellung einfach verhindert Fazit Live-Hacking-Szenario Foremost (3/3) Datenwiederherstellung Speichermedium wird nach noch nicht überschriebenen Daten durchsucht foremost: Programm der USAAF, Wiederherstellung vieler Dateiformate Zahlreiche Programme zur Wiederherstellung von Bilddateien Sichere Datenlöschung Ziel: Daten müssen komplett überschrieben werden. Tools: z.b. Cleaner, shred Bei schon gelöschten Dateien muss der freie Speicherplatz überschrieben werden Verschlüsselte Dateisysteme umgehen die Problematik Ratgeber auf Sicheres Speichern und Löschen Ihrer Daten 23

24 Datenwiederherstellung einfach verhindert Handlungsempfehlungen Daten mittels geeigneter Tools sicher löschen Datenträger-Management Unterschiedliche Datenträger je nach Verwendungszweck und Zielperson nutzen Datenträger kennzeichnen Routinen zum sicheren Löschen der Daten festlegen StromBer 24

25 Datenwiederherstellung Praxis Installation des Tools Recuva mittels des Assistenten Quelle: Auswahl: Wo waren die Dateien? An einem bestimmten Ort Laufwerk des Wechseldatenträgers angeben und die Suche starten Zu rettende Dateien auswählen und mit Wiederherstellen bestätigen (Abbildung) Speicherort für wiederhergestellte Daten festlegen 25

26 Ein Plädoyer für Hacker Live-Hacking-Szenario Maus Hacker oder Cracker - Eine Geschichte voller Missverständnissen Rasbak CC BY-SA

27 Microcontroller: USB-Geräte und Hacker Fazit: Live-Hacking-Szenario Maus Angriff per Maus Sicherheitsfirma schickte präparierte, harmlose Maus an Unternehmen, diese öffnete Tür nach außen USB-Microcontroller Kann jedes USB-Gerät emulieren, auch mehrere Regulär im Handel erhältliche, gut dokumentierte Hardware Schnittstellen-Management Keine fremden USB-Geräte benutzen Nur vertrauenswürdige (USB-)Geräte zulassen Darkone CC BY-SA

28 Sicheres Verhalten im Betrieb und unterwegs Passwortsicherheit Hacking-Szenario Passwortraten Fazit: Im Unternehmensgebäude gibt es viele Hinweise auf mögliche Benutzernamen Schwache Passwörter als Einfallstore Über 20% der Beschäftigten des Beispielunternehmens wählten den Unternehmensnamen als Passwort Pavel Krok CC BY-SA

29 Passwortsicherheit Risiko schwacher Passwörter (1/2) Kurze Passwörter können schnell durchprobiert werden Hacking-Szenario: Benutzernamen-Harvester Demo: Passwortknacken mit John the Ripper Passwortdatenbank erstellen Tool testen Demo: PasswordFox für Firefox Zeigt alle im Browser gespeicherte Zugangsdaten an 29

30 Passwortsicherheit Risiko schwacher Passwörter (2/2) Hacking-Szenario Benutzernamen-Harvester Fazit Der einzelne Fisch ist für sich nicht interessant Aber viele einzelne Fischen füllen ein Netz dennoch! Angreifer sieben große Mengen Benutzernamen durch Häufig genutzte Passwort-"Klassiker" Benutzernamen lassen sich oft en gros erlangen 30

31 Passwortsicherheit Passwörter durchprobieren Zahlen gültig für MD5- Hashwerte. Zahlen für andere Hashfunktionen können variieren Passwortlänge Alphabet: 84 Zeichen t(max)spiele-pc t(max) 1,6 Mrd. Hashes/s 4 62 ms 31 ms 5 5 Sek. 2 Sek. 6 7 Min 3 Min Std. 5 Std Tage 17 Tage 9 8 Jahre 4 Jahre Jahre 346 Jahre Jahre Jahre 12 4 Mio. Jahre 2 Mio. Jahre Mio. Jahre 205 Mio. Jahre 14 34,515 Mrd. Jahre 17,257 Mrd. Jahre 31

32 Gewusst wie Daten schützen! Starke Passwörter (1/2) Absicherung vor unerwünschter Nutzung von anderen Starke Passwörter enthalten mind. 10 Zeichen (besser mehr), Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen Sinnfreie Zusammensetzung Regelmäßig ändern! Keine Universalschlüssel verwenden 32

33 Gewusst wie Daten schützen! Starke Passwörter (2/2) Problem: Sie müssen sie sich gut merken können! Auch lange Passwörter können leicht erraten werden z.b. Florian Ein (nicht mehr) gutes Passwort Wea1Ggr,f5eh! Merkbar durch eine Eselsbrücke und Buchstaben durch Zahlen oder Sonderzeichen ersetzen: Wer anderen eine Grube gräbt, fällt selbst hinein! 33

34 Gewusst wie Daten schützen! Starke Passwörter richtig handhaben (1/3) Passwörter nicht weitergeben, nicht aufschreiben Regelmäßig neue und andere Passwörter vergeben Für jeden Dienst ein eigenes Passwort Wie handhaben? Besondere Regeln zur Eingabe Empfehlungen zum Merken 34

35 Gewusst wie Daten schützen! Starke Passwörter richtig handhaben (2/3) Besondere Regeln zur Eingabe Nur an vertrauenswürdigen Rechnern nicht im Internet-Café Nur bei SSL/TLS-Verschlüsselung (https in Adresszeile, Schloss- Symbol) Empfehlungen zum Merken Die wichtigsten Passwörter gehören in den Kopf! Mit Passwort-Management-Programmen/ Passwortspeicher Tools z.b. keepass(x), passwordsafe 35

36 Gewusst wie Daten schützen! Starke Passwörter richtig handhaben (3/3) Passwortmanager Für den Web-Browser und das Betriebssystem erhältlich Zugriff mit besonders starkem Master-Passwort schützen Passwort-Vergessen-Formular Geheimes Schema für die Beantwortung der Frage überlegen Beispiel: M!e!y!e!r! In Passwortspeicherprogramm verschlüsselt ablegen 36

37 Demo und Praxis: Passwortspeicherprogramme Sind Sie mit Passwortmanagern vertraut? Abbildung zeigt das plattformunabhängige Tool keepass(x) Tipp keepass(x) in 8:30 Minuten eingerichtet. Video unter: 37

38 Sicheres Verhalten im Betrieb Zugangssicherheit am PC-Arbeitsplatz Absicherung des PCs vor unerwünschter Nutzung anderer Eigenes Windows-Benutzerkonto mit Passwort Sperren Sie Ihren Rechner bei jedem Verlassen: Windows-Taste + L Lässt niemand anderen an Ihren PC Automatischer, passwortgeschützter Bildschirmschoner Sicherheit über den PC hinaus Aufgeräumter Arbeitsplatz Sicherheitsbewusstes Verhalten in Besprechungsräumen 38

39 Sicheres Verhalten im Betrieb (Un-)aufgeräumter Arbeitsplatz Andrea Hernandez - edtechworkshop - flickr.com David the Web Geek - davidwang - flickr.com 39

40 Sicheres Verhalten im Betrieb Schaubild: Welche Gefahren erkennen Sie? 40

41 Sicheres Verhalten im Betrieb (Un-)aufgeräumter Arbeitsplatz - Auflösung Welche Gefahren erkennen Sie? Ungesperrter Bildschirm Vertrauliche Informationen liegen herum: Ausdrucke, Passwörter Austretende Flüssigkeit kann Hardware beschädigen Welche Gefahren erkennen Sie? Mögliche weitere Gefahren Private Datenträger gefährden das Unternehmensnetz Offene Türen und Fenster ermöglichen Diebstahl 41

42 Sicheres Verhalten im Betrieb! Zugangskontrolle zu Hardware Warum? Bei direktem Zugriff auf einen Computer Bei Zugriff auf das BIOS können andere Betriebssysteme geladen werden Zugriff auf alle Ressourcen des Computers (auch Festplatte) Wenn das Passwort lokal gespeichert ist Kann es unter Windows-Betriebssystemen zurückgesetzt werden: Booten von fremdem Betriebssystem Das verschleierte Passwort kann ausgelesen werden, somit auch angegriffen werden 42

43 Sicheres Verhalten im Betrieb! Zugangskontrolle zu Hardware Abhilfe Setzen eines Bios-Passwortes Verhindert eine Änderung der Boot-Reihenfolge Angriff immer noch möglich: Ausbau der Festplatte (zeitaufwendiger) Verschlüsselung der gesamten Festplatte Zugriff auf Festplatte reglementiert Während des Betriebs unverschlüsselt Ein Passwort pro Computer/Festplatte 43

44 Sicheres Verhalten unterwegs Fazit Hacking-Szenario Gefährliche App PIN für SIM-Karte vergeben und automatische, passwortgeschützte Sperrung einrichten (Kein Muster!) Sensible Daten verschlüsseln Gesunder Menschenverstand wie beim normalen PC Nicht jede App installieren, nicht jedem Link folgen (SMS, MMS, Mail ) Aktualisierungen installieren Smartphones sind leistungsfähige, kleine Computer und daher ähnlichen Risiken ausgesetzt wie Notebooks 44

45 Sicheres Verhalten unterwegs Tipps für Smartphones & Notebooks Vergessen, verloren, geklaut, manipuliert Smartphones nicht aus der Hand geben Gegen Zuhörer: Keine Interna im Beisein Dritter besprechen Gegen Ausspähen: Sichtschutzfilter Gegen Gelegenheitsdiebe: Kensington-Schloss bei Notebooks 45

46 Sicheres Verhalten unterwegs Exkurs: Abhärtung und Absicherung bei Android (1/2) Rechtemanagement Deaktivieren: Installation aus unbekannten Quellen Nutzung einer Speicherkarte in Frage stellen Jede App kann grundsätzlich darauf zugreifen, Daten ausspähen und versenden Schwarze Schafe entdecken: Eingehend prüfen, welche Rechte eine App fordert Im Zweifel auf Installation verzichten. Mehr Sicherheit bedeutet häufig einen Verzicht auf Komfort! 46

47 Sicheres Verhalten unterwegs Exkurs: Abhärtung und Absicherung bei Android (2/2) Deaktivieren: WLAN-Verbindungsinformationen auf den Google Server sichern Wird bei Einrichtung der Geräte abgefragt Falls aktiviert: nach Deaktivierung WLAN-Schlüssel ändern Deaktivieren: NFC u. ggf. Sbeam, sofern nicht benötigt Deaktivieren: GPS und Bluetooth, sofern nicht benötigt Deaktivieren: USB-Debugging 47

48 Sicheres Verhalten unterwegs Fazit Transportieren Sie häufig sensible Daten unverschlüsselt? Dann ist eine Daten- oder Festplattenverschlüsselung erforderlich! Tools wie TrueCrypt ermöglichen z.b. verschlüsselte USB- Container. Video: Immer verschlüsselt kommunizieren: via HTTPS Vorsicht vor Ausspähen 48

49 Systemsicherheit Übersicht Malware: Bedrohungen, Einfallstore und Schutzmaßnahmen Demo: Java- und Windows-Update Praxis: Antivirensoftware, Browser und Browser-Add-ons Benutzerrechte Checkliste Basisschutz 49

50 Systemsicherheit Malware (1/8) Fazit: Hacking-Szenario Trojaner Einfallstore für Schadsoftware kennen und Sicherheitsrisiken vermeiden Infizierte Webseiten Links in Spam-Mails Ausgenutzte Schwachstellen in Plug-ins, z.b. Java Ausgenutzte Schwachstellen auf Webservern -Anhänge Infizierte Datenträger 50

51 Systemsicherheit Malware (2/8) Trojanerbaukasten Originalwerbung! Schädlingsmarkt professionalisiert sich weiter. 51

52 Systemsicherheit Malware (3/8) in den Medien Schädlingsbaukästen befeuern Botnetz-Epidemie Innerhalb von einem Jahr hat sich die Zahl der mit Bots infizierten PCs weltweit versiebenfacht Trojaner-Baukasten für Mac OS X kostet 1000 US-Dollar Malware für alle: Aldi-Bot zum Discount-Preis BSI warnt vor neuem ZeuS-Trojaner Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat vor einer neuen Variante des Online-Banking-Trojaners "ZeuS" gewarnt 52

53 Systemsicherheit Malware (4/8) Gefälschte s Beispiel: Phishing-Mail Unverschlüsselte s sind wie Postkarten Absender können gefälscht sein: gekaperter Account oder verschleierter Adresseintrag Inhalte können manipuliert sein: Links verweisen auf infizierte Webseiten Angehängte Dateien können Schadprogramme enthalten 53

54 Systemsicherheit Malware (5/8) Schutzmaßnahmen Betriebssystem immer aktuell halten Automatische Updates nutzen! Alle Anwendungsprogramme aktuell halten Office, Java, Flash, Adobe Reader, App securitynews hilft dabei: Aktuelle Schutzprogramme Antivirensoftware Personal Firewall Anti-Spy-Software, Anti-Spam, Anti-Rootkit Security Suites (Kauf- Software) bieten alles aus einer Hand Lizenzbedingungen beachten 54

55 Systemsicherheit Malware (6/8) Schutzmaßnahmen Sicherheitsbewusstes Verhalten Vorsicht bei Dateianhängen Auch seriös wirkende Links können auf verseuchte Webseiten führen Im Zweifel: Auf alternativem Kommunikationsweg Rücksprache halten Download von Software Direkt von der Herstellerseite herunterladen Auf HTTPS achten sonst kann Schadcode eingeschleust werden Integrität der Datei nach Möglichkeit mit MD5-Hashsumme überprüfen 55

56 Systemsicherheit Betriebssysteme und Malware (7/8) Windows Höchste Verbreitung, daher Hauptangriffsziel der Angreifer Sicherheitspatches teilweise spät ausgeliefert Nutzer oft weniger sicherheits-affin Mac OS X Marktanteil im privaten Umfeld höher als in Unternehmen Bei Hackercontest in 30 Sek. geknackt Verbreitung steigt, daher potenzielles Ziel 56

57 Systemsicherheit Betriebssysteme und Malware (8/8) Linux Sehr abhängig von Gerät und Software Android, Router, Fernseher, Set-Top-Box, Navigationsgeräte, PC Auf Update-Politik des Herstellers achten Zentrale Veröffentlichung von Sicherheitspatches, auch für Anwendungen Beispiel: Debian GNU/Linux, Google-Nexus-Reihe 57

58 Systemsicherheit Updates: Welche Warnzeichen gibt es? 58

59 Systemsicherheit Beispiel: Java-Update durchführen (1/3) 59

60 Systemsicherheit Beispiel: Java-Update durchführen (2/3) 60

61 Systemsicherheit Beispiel: Java-Update durchführen (3/3) 61

62 Systemsicherheit Beispiel: Windows-Update Empfehlungen Automatische Updates aktivieren Unter Systemsteuerung -> Windows Update Status prüfen Wichtige Updates zeitnah einspielen 62

63 Systemsicherheit Praxis: Antivirensoftware (1/2) Antiviren-Suites bieten höheren Funktionsumfang Bei Entscheidungsfindung Umfassend informieren Testberichte zu Rate ziehen Lizenzen für Handwerksunternehmen ab ca. 50 /PC/Jahr 63

64 Systemsicherheit Praxis: Antivirensoftware (2/2) Installation und Update einer Antivirensoftware Test: Erkennen von Malware Verwendung der eicar-datei Umgang mit Meldungen Infizierte Systeme vollständig neu aufsetzen Mit Rescue-Disk Daten auf Virenbefall prüfen Datensicherung vorab, System neu installieren 64

65 Systemsicherheit Benutzerrechte (1/2) Benutzertrennung Verschiedene Mitarbeiter verschiedene Benutzerzugänge Windows-Benutzerkonto mit Passwort Sperren Sie Ihren Rechner bei jedem Verlassen: Windows-Taste + L Lässt niemand anderen an Ihren PC Automatischer, passwortgeschützter Bildschirmschoner 65

66 Systemsicherheit Benutzerrechte (2/2) Nicht als Admin arbeiten schränkt Angreifer nach der Kaperung ein ABER: ein erfolgreicher Angreifer darf alles, was Sie können: Dateien lesen, verändern, löschen s lesen und versenden Online-Banking kein Allheilmittel! 66

67 Systemsicherheit Alternative Browser installieren Beispiel Firefox Open Source Große Entwicklercommunity Keine Black Box Eigene Anpassungen möglich Prinzip der vielen Augen Add-ons bieten Sicherheitsfeatures und Komfort (Abbildung) 67

68 Systemsicherheit Browser besser schützen mit Browser-Add-ons Beispiel: NoScript für Firefox Gibt dem Nutzer Kontrolle über die Ausführung von aktiven Inhalten wie JavaScript und Java Positiv-Liste: Die Plug-ins dürfen nur auf vertrauenswürdigen Webseiten (z.b. Webseite der Bank) ausgeführt werden Anleitung zur Installation von Add-ons im Video: 68

69 Systemsicherheit Checkliste Basissicherheit Gemeinsame Bearbeitung Klärung von Fragen Checklisten zum Download unter 69

70 Übertragungsverschlüsselung Überblick Fazit der Hacking-Szenarien Man-in-the-Middle/Proxy und WLAN-Hotspots Identitätsfeststellung im Netzwerk Sicher kommunizieren über HTTPS Praxis: Netzwerkanalyse Checkliste Online-Banking 70

71 Übertragungsverschlüsselung Fazit: Live-Hacking-Szenarien (1/2) Funkverbindungen Verbindungen die NICHT gebraucht werden -> ausschalten Headsets bei Nicht-Gebrauch -> ausschalten In sicherheitskritischen Umgebungen -> ausschalten / Akku entfernen Bluetooth im Handy auf unsichtbar schalten Ultimativer Schutz: Alles ausschalten. Neue Technologien sollten genutzt werden aber stets mit gebotener Vorsicht 71

72 Übertragungsverschlüsselung Fazit: Live-Hacking-Szenarien (2/2) Immer verschlüsseln Alle nicht verschlüsselten Informationen können einfach mitgelesen werden (sniffen) Sichere Verschlüsselung wählen Empfehlenswert: WPA2 mit AES-Verschlüsselung WLAN/Bluetooth ist nicht nur Kurzstrecke Einfache Richtfunkantennen erzielen Reichweiten bis 2 km 72

73 Übertragungsverschlüsselung Identitätsfeststellung im Netzwerk (1/4) Identitäten können verschleiert werden Gefälschte Mails Auf anderem Kommunikationsweg Rücksprache halten. Gefälschte Webseiten Link in Adressleiste selbst eintragen, SSL-Zertifikat prüfen. Gefälschte WLAN-Netze Ende-zu-Ende-Verschlüsselung (nicht: WLAN-Verschlüsselung). 73

74 Übertragungsverschlüsselung Identitätsfeststellung im Netzwerk (2/4) WLAN-Hotspots WLAN-Namen sagen nichts über Betreiber des Netzes aus Können durch Jedermann frei gewählt werden Geräte buchen sich automatisch in zuvor besuchte Netze ein Internet-Kommunikation kann mitgelesen werden Bei WLAN, aber auch bei Kabelverbindungen Verschlüsselung (z.b. HTTPS) hilft 74

75 Übertragungsverschlüsselung Identitätsfeststellung im Netzwerk (3/4) Besuchte Netzwerknamen können aus Endgeräten ausgelesen werden Vermeintlich "lustige" Namen vermeiden Profilbildung ermöglicht! WLAN-Liste gelegentlich aufräumen WLAN ausschalten, wenn nicht benötigt Verhindert Datenabfluss und spart Akku Durch Apps automatisierbar (z.b. Llama für Android) 75

76 Übertragungsverschlüsselung Identitätsfeststellung im Netzwerk (4/4) Fazit Hotspots sind kein Sonderfall aber ein sehr einfacher Weg, den Datenfluss anderer Leute zu infiltrieren Internetleitung ist ein offenes Buch für jeden, der daneben sitzt Sobald man im Internet ist, können andere mitlesen und Daten manipulieren Übertragungsverschlüsselung schützt: HTTPS/SSL Nicht benötigte Dienste ausschalten 76

77 Übertragungsverschlüsselung Sicher kommunizieren über HTTPS (1/5) Hypertext Transfer Protocol Secure (HTTPS) Verschlüsselung und Authentifizierung der Kommunikation zwischen Webserver und Browser Protokoll SSL/TLS überträgt Daten abhörsicher Transport Layer Security (TLS): Weiterentwicklung von Secure Sockets Layer (SSL) Zertifikatsbasierte Authentifizierung: Vertrauenswürdigkeit der zertifizierenden Stelle maßgeblich 77

78 Übertragungsverschlüsselung Sicher kommunizieren über HTTPS (2/5) Verschlüsselung der Daten mittels SSL/TLS Ablauf SSL-Handshake-Protokoll: Geschütze Identifikation und Authentifizierung der Kommunikationspartner Austausch eines gemeinsamen symmetrischen Sitzungsschlüssels Verschlüsselung der Nutzdaten Im Video erklärt: Standard-Port:

79 Übertragungsverschlüsselung Sicher kommunizieren über HTTPS (3/5) Erhebung des if(is) [1]: 2% der Internetkommunikation über SSL/TLS-Verschlüsselung 0,5% über IPSec 42% der verwendeten SSL/TLS-Verschlüsselungsalgorithmen sind unsicher: z.b. RC4 oder DES AES 256 Bit als sichere Alternative (Stand Sept. 2013) Diskussion [1] 79

80 Übertragungsverschlüsselung Sicher kommunizieren über HTTPS (4/5) Merkmale 80

81 Übertragungsverschlüsselung Sicher kommunizieren über HTTPS (5/5) Tipps Nutzung geeigneter Browser-Add-ons Praxis Installation von Browser-Add-ons für mehr Sicherheit: HTTPS everywhere HTTPS Finder Certificate Patrol Download auf Herstellerseiten, z.b. Website der Electronic Frontier Foundation Anforderung an Webseitenbetreiber: Serverseitig ausschließlich HTTPS zulassen 81

82 Übertragungsverschlüsselung Praxis: Empfehlenswertes Browser-Plug-in Beispiel: HTTPS everywhere für Firefox/Chrome Ersetzt HTTP automatisch durch HTTPS sofern der Server dies unterstützt Weitere Funktion SSL Observatory überprüft SSL- Zertifikat 82

83 Übertragungsverschlüsselung Praxis: Netzwerkanalyse Untersuchen und analysieren des Netzwerkverkehrs (sog. Sniffing ) mittels Tools zu reinen Lehrzwecken Rechtlich auf der sicheren Seite: Generell nur eigene Systeme unter Standardeinstellungen scannen Sicherheitslücken mit Tool Nmap aufspüren Welche Dienste werden angeboten? Offene Ports finden 83

84 Übertragungsverschlüsselung Praxis: Nmap Zenmap GUI (1/3) Installation des Tools mit Benutzeroberfläche (GUI) ( Standardeinstellungen Ziel: Adresse des eigenen Systems, in Abbildung: Scan starten 84

85 Übertragungsverschlüsselung Praxis: Nmap Zenmap GUI (2/3) Nmap done signalisiert Abschluss des Scans Reiter Ports/Rechner listet Informationen zu offenen Ports Fazit: Notwendigkeit offener Ports hinterfragen; Ports stets bewusst öffnen 85

86 Übertragungsverschlüsselung Praxis: Nmap Zenmap GUI (3/3) Reiter Netzstruktur zeigt grafische Aufbereitung der Verbindungen zwischen den Rechnern. Jeder Ring steht für den Weg zwischen Netzknoten (Hops). Reiter Rechner-Details listet u.a. Rechnerstatus, Adressen und Rechnernamen auf 86

87 Ergänzung: Ports mit Beschreibung Nr. Beschreibung 21 FTP (Datenübertragung und Dateiverwaltung ) 22 SSH ( Netzwerkverbindung) 25 SMTP ( -Versand via Mail Transfer Agent) 80 HTTP (Datenübertragung ) 110 POP3 ( -Übertragung) 143 IMAP (Mail-Management) Legende: nur unverschlüsselt generell verschlüsselt Eine Liste aller standardisierten Ports finden Sie z.b. unter: 87 Nr. Beschreibung 443 HTTPS ( Datenübertragung) 587 SMTP ( -Versand via Mail Submission Agent) 993 IMAPS ( Mail-Management) 995 POP3S ( -Übertragung) 3306 MYSQL (Datenbanksystem) 8080 HTTP alternativ (Datenübertragung )

88 Übertragungsverschlüsselung Praxis: Wireshark (1/7) Netzwerkanalyse mit Tool Wireshark 1. Übung: Mitschneiden von unverschlüsseltem Login (via HTTP) 2. Übung: Mitschneiden von verschlüsseltem Login (via HTTPS) Vorbereitung Installation von Wireshark ( Installation des Netzwerk-Treibers WinPcap ( Tipp: Leeres Browserfenster zum Aufzeichnungsbeginn 88

89 Übertragungsverschlüsselung Praxis: Wireshark (2/7) Start-Reihenfolge 1. WinPcap 2. Wireshark Netzwerkschnittstelle (Interface) auswählen: in Abb. Drahtlosverbindung Schaltfläche Start klicken 89

90 Übertragungsverschlüsselung Praxis: Wireshark (3/7) 1. Übung: Unverschlüsseltes Login-Formular im Browser Testdaten eintragen und absenden in Abb.: In Wireshark Schaltfläche Stop klicken Filtern z.b. http (in Abbildung) und IP des Zieleintrags (Destination) siehe folgende Folien 90

91 Übertragungsverschlüsselung Praxis: Wireshark (4/7) Tipp: IP-Adresse anfragen Ziel (Destination) über die Konsole herausfinden Start-Button Ausführen der cmd.exe Befehl nslookup Rechnername zeigt erreichbare IP-Adresse an In Abbildung beispielhaft für

92 Übertragungsverschlüsselung Praxis: Wireshark (5/7) Datenstrom analysieren Filter nach http and ip.dst == Zeile mit POST -Befehl wählen Im Inhalt Klartext-Daten auslesen Abbildung zeigt: uid=meinbenutzername pwd=geheimespasswort 92

93 Übertragungsverschlüsselung Praxis: Wireshark (6/7) 2. Übung: Verschlüsseltes Login-Formular im Browser Testdaten eintragen und absenden in Abbildung auf In Wireshark Aufzeichnung stoppen 93

94 Übertragungsverschlüsselung Praxis: Wireshark (7/7) Destination in Wireshark wählen bzw. filtern Listeneintrag mit Protokoll TLSv1 Untersuchung zeigt, dass Datenstrom durch Verschlüsselung unlesbar übertragen wird 94

95 Übertragungsverschlüsselung Checkliste Online-Banking Gemeinsame Bearbeitung Klärung von Fragen Checklisten zum Download unter 95

96 Wo fängt Sicherheit an Wer die Freiheit aufgibt, um Sicherheit zu gewinnen, wird am Ende beides verlieren. Benjamin Franklin 96

97 Qualifizierungsseminar I für IT-Sicherheitsbotschafter Tag 1 Vielen Dank für Ihre Aufmerksamkeit. Fragen? Deborah Busch busch@internet-sicherheit.de Stefan Tomanek tomanek@internet-sicherheit.de Frank Timmermann timmermann@internet-sicherheit.de Institut für Internet-Sicherheit if(is) Westfälische Hochschule 97