Warum werden täglich tausende von Webseiten gehackt? 16.10.2012
Vorstellung 8com GmbH & Co. KG Tobias Rühle Information Security Consultant Aufgaben Penetrationstests Sicherheit in Funktechnologien Information Security Awareness 2
Wer greift an?
Angreifergruppen Skript Kiddies Just4fun, ohne Bewusstsein für Konsequenzen 4
Angreifergruppen Skript Kiddies Just4fun, ohne Bewusstsein für Konsequenzen Aktivisten Handeln aus Geltungsdrang, Überzeugung 4
Angreifergruppen Skript Kiddies Just4fun, ohne Bewusstsein für Konsequenzen Aktivisten Handeln aus Geltungsdrang, Überzeugung Kriminelle Wollen Geld verdienen 4
Script-Kiddies Kein Hintergrundwissen 5
Script-Kiddies Kein Hintergrundwissen Übernehmen vorgefertigte Tools ohne komplizierte Konfiguration -> eher alte Lücken 5
Script-Kiddies Kein Hintergrundwissen Übernehmen vorgefertigte Tools ohne komplizierte Konfiguration -> eher alte Lücken Einfache Defacements 5
Script-Kiddies Kein Hintergrundwissen Übernehmen vorgefertigte Tools ohne komplizierte Konfiguration -> eher alte Lücken Einfache Defacements Neue Lücken nur, wenn diese einfach auszunutzen sind 5
Script-Kiddies Kein Hintergrundwissen Übernehmen vorgefertigte Tools ohne komplizierte Konfiguration -> eher alte Lücken Einfache Defacements Neue Lücken nur, wenn diese einfach auszunutzen sind 5
Script-Kiddies Kein Hintergrundwissen Übernehmen vorgefertigte Tools ohne komplizierte Konfiguration -> eher alte Lücken Einfache Defacements Neue Lücken nur, wenn diese einfach auszunutzen sind 5
Aktivisten Handeln aus Geltungsdrang, Überzeugung 6
Aktivisten Handeln aus Geltungsdrang, Überzeugung Wollen möglichst hohe Wirkung = Schaden Veröffentlichung geheimer Daten Störung des Betriebs 6
Aktivisten Handeln aus Geltungsdrang, Überzeugung Wollen möglichst hohe Wirkung = Schaden Veröffentlichung geheimer Daten Störung des Betriebs Auswahl der Ziele: Unternehmenstätigkeit Unterstützung der Gegner 6
Aktivisten Handeln aus Geltungsdrang, Überzeugung Wollen möglichst hohe Wirkung = Schaden Veröffentlichung geheimer Daten Störung des Betriebs Auswahl der Ziele: Unternehmenstätigkeit Unterstützung der Gegner 6
Kriminelle Einzeltäter oder organisiert, arbeitsteilig 7
Kriminelle Einzeltäter oder organisiert, arbeitsteilig Ziel: Geld verdienen 7
Kriminelle Einzeltäter oder organisiert, arbeitsteilig Ziel: Geld verdienen Wege: 7
Kriminelle Einzeltäter oder organisiert, arbeitsteilig Ziel: Geld verdienen Wege: Zugriff aufs Unternehmensnetz über Webserver 7
Kriminelle Einzeltäter oder organisiert, arbeitsteilig Ziel: Geld verdienen Wege: Zugriff aufs Unternehmensnetz über Webserver Installation von Malware auf Webseite 7
Kriminelle Einzeltäter oder organisiert, arbeitsteilig Ziel: Geld verdienen Wege: Zugriff aufs Unternehmensnetz über Webserver Installation von Malware auf Webseite Verkauf der Zugangsdaten zu Webservern 7
Welche Lücken?
Sicherheitslücken OWASP Top 10 1. Injection 2. Cross-Site Scripting (XSS) 3. Broken Authentication and Session Management 4. Insecure Direct Object References 5. Cross-Site Request Forgery (CSRF) 6. Security Misconfiguration 7. Insecure Cryptographic Storage 8. Failure to Restrict URL Access 9. Insufficient Transport Layer Protection 10.Unvalidated Redirects and Forwards 9
Ursachen der Lücken
Ursachen Kunden kaufen, was sie verstehen: Aussehen, Funktionalität. Sicherheit eher nicht 11
Ursachen Kunden kaufen, was sie verstehen: Aussehen, Funktionalität. Sicherheit eher nicht Sie wird deshalb bei Ausschreibungen selten nachgefragt und auch bezahlt 11
Ursachen Kunden kaufen, was sie verstehen: Aussehen, Funktionalität. Sicherheit eher nicht Sie wird deshalb bei Ausschreibungen selten nachgefragt und auch bezahlt Qualitativ schlechte Add-Ons zu Frameworks 11
Ursachen Kunden kaufen, was sie verstehen: Aussehen, Funktionalität. Sicherheit eher nicht Sie wird deshalb bei Ausschreibungen selten nachgefragt und auch bezahlt Qualitativ schlechte Add-Ons zu Frameworks Zuständigkeitslücken und Fehler im Übergang von der Entwicklungs- in die Produktivphase 11
Ursachen Kunden kaufen, was sie verstehen: Aussehen, Funktionalität. Sicherheit eher nicht Sie wird deshalb bei Ausschreibungen selten nachgefragt und auch bezahlt Qualitativ schlechte Add-Ons zu Frameworks Zuständigkeitslücken und Fehler im Übergang von der Entwicklungs- in die Produktivphase Schreibkontrolle im Browser statt im Server 11
Zusammenfassung Welche Gefahren drohen? 12
Zusammenfassung Welche Gefahren drohen? Ausspähen und Manipulation von Daten Einbruch in internes Netz bei eigenen Webservern Verteilung von Schadprogrammen Haftungsansprüche 12
Zusammenfassung Welche Gefahren drohen? Ausspähen und Manipulation von Daten Einbruch in internes Netz bei eigenen Webservern Verteilung von Schadprogrammen Haftungsansprüche Wie kann davor geschützt werden? 12
Zusammenfassung Welche Gefahren drohen? Ausspähen und Manipulation von Daten Einbruch in internes Netz bei eigenen Webservern Verteilung von Schadprogrammen Haftungsansprüche Risikomanagement Überwachung Penetrationstests Wie kann davor geschützt werden? 12
Vielen Dank für Ihre Aufmerksamkeit! Für Fragen stehe ich Ihnen gerne nach dem Vortrag an unserem Stand 12-514, Halle 12, zur Verfügung Tobias Rühle E-Mail: tobias.ruehle@8com.de Tel.: +49 (0)6321 / 48 446-0 Internet: http://www.8com.de