Con.ect Event 10. Oktober 2014, Wien. Mobile Security und staatlich anerkannte Software-Beweissicherung

Transkript

1 Con.ect Event 10. Oktober 2014, Wien Mobile Security und staatlich anerkannte Software-Beweissicherung

2 Überblick Einleitung Mobile Devices - Sicherheitsprüfungen Auffinden von E-Spionageaktivitäten Fünf Kurzgeschichten Staatlich anerkannte Software-Beweissicherung Strafbestimmungen, Haftung und Sorgfaltspflicht Zusammenfassung Seite 2

3 EINLEITUNG Seite 3

4 ZT Wolfgang Prentner Promotion an der TU-Wien im Sicherheitsbereich IT-Ziviltechniker und gerichtlich zertifizierter Sachverständiger für IT-Sicherheit (seit 1998) Gesellschafter der ZTPRENTNERIT GmbH (1999) Vorsitzender der Bundesfachgruppe IT der Bundeskammer der Arch+Ing (seit 2012 Stv.) E-Government Beauftragter des Bundeskomitees der Freien Berufe Österreichs. Dazu zählen die Kammern der Ärzte, Apotheker, Notare, Patentanwälte, Rechtsanwälte, Wirtschaftstreuhänder und Ziviltechniker (seit 2003) Mitglied des Executive Board USP BM für Finanzen (2012) Mitglied der Plattform Digitales Österreich im Bundeskanzleramt (seit 2004) Seite 4

5 IT-Befugnis nach Ziviltechnikergesetz Beraten Planen Prüfen Überwachen und Koordinieren Software-Treuhandschaften Technischer Notar Urkundsfähigkeit - Zertifizierung nach ZTG 4 Abs. 3 Abgrenzung zum Gewerbe keine ausführenden Tätigkeiten keine Störungsbehebung aber z.b. Störungsanalyse kein Vertrieb von Software und Hardware, daher kein Interessenskonflikt mit gewerblichen Unternehmen Seite 5

6 Hackerangriffe Österreich Seite 6

7 Wachstumsbranche Datendiebstahl Datendiebstahl Apotheken (Medienberichte 2013) HVB Sozialversicherung (Medienberichte 2013) SPÖ und FPÖ gehackt Anonymous (Medienberichte 2011) Land Kärnten und LKH Kärnten lahm gelegt - Conficker Virus (2009) Datendiebstahl international NSA Aktivitäten Hacker beklauen Millionen Playstation-Kunden (2011) Chinesen sollen auch Morgan Stanley gehackt haben (2010) Sicherheitsexperten warnen vor kostenlosen WLAN (2010) Industriespionage: SAP muss 1,3 Milliarden Dollar an Oracle zahlen Seite 7

8 SPÖ Inhalt der Website geändert 600 User und Passwörter sichtbar Passwörter unverschlüsselt gleich Accounts auf Social Platforms (Facebook,..) Falschmeldung auf Facebook-SPÖ Gruppe Webseite der SPÖ, wie sie beim Hack aussah, inklusive Passwörter: Seite 8

9 Mobile Devices Sicherheitsprüfungen Seite 9

10 Seite 10

11 On-Board Funktionen Positionsoptionen in iphone und Android Freunde App Seite 11

12 Mobile Devices Smartphones Security iphone (iox) Android (Samsung) Windows Mobile Seite 12

13 OWASP Mobile Security Testing 1. Insecure Data Storage 2. Weak Server Side Controls 3. Insufficient Transport Layer Protection 4. Client Side Injection 5. Poor Authorization and Authentication 6. Improper Session Handling 7. Security Decisions via untrusted Inputs 8. Side Channel Data Leakage 9. Broken Cryptography 10.Sensitive Information Disclosure Seite 13

14 Handout Fachartikel zu iphone und Android Sicherheit ix 2013/02 Seite 14

15 Auffinden von E-Spionage Aktivitäten Seite 15

16 Auffinden von E-Spionage Aktivitäten Passiv Sniffer im Stealth Mode IDS/IPS Logfile Analysen,... Aktiv Virenschutzprogramme On-Board Mittel E-Spionage Verwundbarkeitsanalysen Service Identifikation Forensik Seite 16

17 Fünf Kurzgeschichten Seite 17

18 5 Kurzgeschichten 1.E-Spionage 2.Google Maps 3.Smartphone als Geschenke 4.Online Überwachung des Management 5.Offene FTP-Server Seite 18

19 Neue Bedrohung Professioneller Datenklauer Seite 19

20 Engagement Index Deutschland 2010 GALLUP (D) Seite 20

21 Datenklau: Mitarbeitermeinungen Unternehmensdaten: Meinungen von Mitarbeitern Die Firma verdient es nicht, sie zu behalten 47% Die Firma kann die Informationen nicht zu mir zurückverfolgen. 49% Ich habe diese Informationen mit erstellt. Die Informationen könnten sich zukünftig als nützlich erweisen. 52% 53% % Alle anderen machen das anscheindend auch. 54% Quelle: heise.de Seite 21

22 1. E-Spionage Internet Router Ergebnis Firewall Mailserver DNS-Server Webserver FTP-Server Outlook Web-Access Seite 22

23 Offene Dienste FTP-Server FTP-Port 1337 offen - steht in der Hackerszene für LEET, also Elite Seite 23

24 Kommunikationsanalyse - verschlüsselt Secure Socket Layer TLSv1 Record Layer: Application Data Protocol: http Content Type: Application Data (23) Version: TLS 1.0 (0x0301) Length: 622 Encrypted Application Data: CDC503543A6E10F79505C598D0802D44D0C332F0A74F3E04... Cipher Suite: TLS_RSA_WITH_RC4_128_MD5 (0x0004) e9 3f f 76 e h.?..?v...E b 32 ba a dd ac c1 6e..2.@...:...n c 41 3d bb f9 15 b7 d0 09 e A=u..1...P ff d1 8d e cd c a...S...n...T: e 10 f c5 98 d0 80 2d 44 d0 c3 32 f0 a7 n...-d f 3e c8 8a 65 ba a f 72 de d6 O>.A...e.../r c a6 4d b9 83 d3 37 a0 46 ae 16 4d ca de <.M...7.F..M.3e df 8f 08 6c c1 d2 56 0a c2 70 7f a7 8a 77...l.%..V..p...w d0 42 df ca a2 f8 22 a0 47 4f 3f 3f b4 f4 bd..b...".go?? d5 36 9a b1 30 2b b0 52 8a 07 2d 2f df 13 fb R..-/... 00a0 2d c b c 0f 21-1c2.@..`p...! 00b0 b3 7f b3 38 2d f8 b1 a6 30 d c 80 b4 6e $L..n 00c0 0e 1f f0 e8 72 6b 9d f8 d df 51 fa 5a 32...rk...%.Q.Z2 00d0 89 5a 6e 2c ef 54 4a d2 71 0f c.Zn,.%..TJ.q..@. 00e0 3d 55 3f 67 8c f3 2e eb 3e 72 df 69 8a a4 67 7e =U?g...>r.i..g~ 00f d 6a f8 df ca 5a a9 4e 1e 5c ba a2 f4 1$g.j...Z.N.\ c1 40 a5 44 e3 2a 0f c0 52 de 6f 2c 7f 19 1c...C..~Q.h.6}R.. Seite 24

25 2. Google Maps Auto des Mannes bei Freundin Seite 25

26 3. Smartphone als Geschenke Seite 26

27 Smartphone Überwachung Seite 27

28 4. Online Überwachung Familienmitglieder Seite 28

29 Computer Überwachung Seite 29

30 Online Überwachung des Management System Administratoren Werkzeuge Seite 30

31 STAATLICH ANERKANNTE SOFTWARE-BEWEISSICHERUNG Seite 31

32 Software-Prüfwerkzeuge On-Board Mittel Backtrack/Kali Write-Blocker Seite 32

33 Rechtsgrundlage: Ziviltechnikergesetz 4 Abs. 3 Ziviltechniker sind mit öffentlichem Glauben versehene Personen gemäß 292 der Zivilprozeßordnung, RGBl. Nr. 113/1895, in der jeweils geltenden Fassung. Die von ihnen im Rahmen ihrer Befugnis ausgestellten öffentlichen Urkunden werden von den Verwaltungsbehörden in derselben Weise angesehen, als wenn diese Urkunden von Behörden ausgefertigt wären... Seite 33

34 Zivilprozeßordnung 292 (1) Urkunden, welche... von einer öffentlichen Behörde innerhalb der Grenzen ihrer Amtsbefugnisse oder von einer mit öffentlichem Glauben versehenen Person..., begründen vollen Beweis dessen, was darin von der Behörde amtlich verfügt oder erklärt, oder von der Behörde oder der Urkundsperson bezeugt wird.... Seite 34

35 Seite 35

36 Seite 36

37 Seite 37

38 STRAFBESTIMMUNGEN, HAFTUNG UND SORGFALTSPFLICHT Seite 38

39 Verschuldensfrage Sorgfaltspflicht und Haftung Verschulden Auftraggeber (verflochtene Unternehmen) Entwickler (Anwendung und DB) Netzwerk/Infrastruktur (FW/Router/System) Betreiber/Outsourcer (lokal, international, Cloud) Haftung Gewährleistung Schadenersatz Seite 39

40 Strafbestimmungen I Strafgesetzbuch (StGB) 118a (1) - Widerrechtlicher Zugriff auf ein Computersystem - Geldstrafe oder bis zu 6M Haft 119 (1) - Verletzung des Telekommunikationsgeheimnisses: Geldstrafe oder bis zu 6M Haft 119a (1) - Missbräuchliches Abfangen von Daten: Geldstrafe oder bis zu 6M Haft 126b - Störung der Funktionsfähigkeit eines Computersystems: Geldstrafe oder bis zu 6M Haft 126c - Missbrauch von Computerprogrammen oder Zugangsdaten: Geldstrafe oder bis zu 6M Haft Seite 40

41 Strafbestimmungen II Strafgesetzbuch (StGB) 122ff StGB: Verletzung Betriebsgeheimnis; Strafrahmen: bis 3 Jahre 246 StGB: Staatsfeindliche Verbindungen; Strafrahmen: bis 5 Jahre 252 StGB: Verrat von Staatsgeheimnissen; Strafrahmen: bis 10 Jahre 242 StGB: Hochverrat; Strafrahmen: bis 20 Jahre Datenschutzgesetz 52 bis ,- Mediengesetz 7 bis ,- Telekommunikationsgesetz 109 bis ,- Seite 41

42 ZUSAMMENFASSUNG Seite 42

43 Aufbau von Abwehrsystemen Schutz gegen internen und externen Datenklau Seite 43

44 Zusammenfassung Mobile Security Naivität, Gutgläubigkeit und falsche Einschätzung der eigenen Sicherheitslage führen zu Sicherheitsproblemen. Schutz und Absicherung bieten aktuelle Sicherheitsmechanismen, regelmäßige Kontrollen und Zertifizierungen. Seite 44

45 Besten Dank für Ihre Aufmerksamkeit! Haben Sie noch Fragen? Seite 45

46 Informationsquellen Mobile Device Security (BKA) Bundesamt für Sicherheit in der IT (BSI) OWSAP ISO 27001, ÖNORM 7700 WebSecurity (BSI) Zeitschriften (ix,..) Seite 46