GV Interessengemeinschaft EDV Zürcher Gemeinden (IG EDV) Mittwoch, 29. März 2000, Aula Zürcher Hochschule Winterthur Personendaten (konventionell) die Tücken der Technik... oder eher der Organisation? A-F A-F A-F A-F Dr. Bruno Baeriswyl, Datenschutzbeauftrter Kanton Zürich Prof. Dr. Peter Heinzmann, ITA-HSR und cnlab AG www.cnlab.ch 30.03.00 1 30.03.00 3 Voraussetzungen der Datenbekanntgabe Einleitung / Rechtlicher Rahmen Gesetzliche Grundle Dr. Bruno Baeriswyl, Datenschutzbeauftrter Kanton Zürich bruno.baeriswyl@dsb.zh.ch 30.03.00 2 Einwilligung Amtshilfe 30.03.00 4
Interessenabwägungen Datenbekanntgabe Wesentliche öffentliche Interessen Schützenswerte Interessen betroffener Personen BesondereVorschriften Technische und organisatorische Fallstricke Prof. Dr. Peter Heinzmann, ITA-HSR und cnlab AG www.cnlab.ch 30.03.00 5 30.03.00 7 Personendaten (elektronisch) Ziel Bewusstsein für WWW Hypertext (HTML)- Seiten Browser ausgewogenes Verhältnis von technischen und organisatorischen Massnahmen wecken 30.03.00 6 30.03.00 8
Zweiweg-Kommunikation Technik 30.03.00 9 WWW-Client Browser Modem IP Adresse 152.96.120.35 Service Provider Verbindung zum heisst auch Verbindung vom IP Adresse 152.96.120.80 WWW-Server www.ita.hsr.ch Serverprogramm HTML- Seiten 30.03.00 11 beliebiger Rechner Personendaten (elektronisch) Umsteigebahnhof zum internen Netz WWW Hypertext (HTML)- Seiten Browser Win NT Win 95 Win 98 Schalter Gemeinde - schreiber Service Provider NetBIOS Serverprogramm Einwohnerdaten Modem IP Adresse 152.96.120.35 HTML- Seiten 30.03.00 10 beliebiger 30.03.00 12 Rechner
Mit wem hab ich s zu tun On the, nobody knows you re a dog Gefälschte e-mail-adressen NewsgruppenAutoren Web-Server-Adressen Rechner-Adressen bietet nur Virtuelle Identitäten 30.03.00 13 Ziele der Bad Guys Just have Fun Daten lesen (Sicherheit, Privacy, Confidentiality) Daten verändern (Integrity) Systemverfügbarkeit beeinträchtigen 30.03.00 15 diskreter Zugang für Bad Guys Hacker s Lesson One WWW Spezial- Programme 30.03.00 14 30.03.00 16
Hacker Zyklus Löcher- Informationsstellen Wahrscheinlichkeit für Attacken Insider finden Sicherheitslöcher Sicherheitslöcher werden in Newsgruppen, WWW, Mailing-Listen, Chats veröffentlicht Einfache Werkzeuge zur Ausnutzung der Sicherheitslöcher werden verbreitet Monate Zeit Exploit Bugs Hacking Archive Security Bugware Codetalker... www.astalavista.com Hacking Bank of America's Home Banking System Written By: Dark Creaper This file explains the basics of hacking the Bank of America Home Banking System... To connect with the Bank's computer call your local Tymnet service and type the following: PLEASE ENTER YOUR TERMINAL IDENTIFIER:APLEASE LOGIN: HOME... 30.03.00 Te... Jahre 17 30.03.00 19 Insider-Info-Beispiele From: bruno.baeriswyl@dsb.zh.ch SW-Patches (http://www.microsoft.com/technet/security/current.asp) Microsoft Security Bulletin (MS99-048) Patch Available for "Active Setup Control" Vulnerability Microsoft Security Bulletin (MS99-045) Patch Available "Virtual Machine Verifier Vulnerability Microsoft Security Bulletin (MS99-043) Patch Available for "JavascriptRedirect" Vulnerability Easter Eggs (http://www.eeggs.com) 30.03.00 18 30.03.00 20
Welche Meldungen habe ich erhalten? Organisation 30.03.00 21 30.03.00 23 Wer hat die Meldung geschickt? Ordnung: Übersicht behalten Wo liegt was? Ordnung im Netz Ordnung bei den Daten Wer darf was? Saubere Benutzerverwaltung 30.03.00 22 30.03.00 24
Ordnung im Netz: Netzstrukturierung Ordnung im Schliess-System: Konfiguration des Web-Zugangs öffentliche WWW-Server Firewall Name-Server Mail-Server interne (WWW)-Server Intranet Firewall Steueramt 30.03.00 25 30.03.00 27 Ordnung bei den Daten: Ablegen von Daten im richtigen Fach Web Graffitti 30.03.00 26 http://www. hackernews.com/ 30.03.00 28
Ordnung bei der Zugangskontrolle: Passworte Passworte für Rechner-Zugang File-Transfer (ftp) E-Mail-Fach Zugang (POP3, IMAP) Web-Editing (z.b. FrontPe) Passwortverwaltung Eintritte Austritte Passwort Cracker System Programm Preis/Lizenz WinNT4.0 L0pht 50$ UNIX Crack5.0 freeware AIX Crack5.0 Zusatz freeware Novell 3.x Crack freeware Novell 4.x/5.x BindView EMS nicht bereit AS/400 Sniffer 30.03.00 29 30.03.00 31 Passwort-Prinzip L0phtCrack - Test username Password E PW Verwendeter Crackrechner: Dell Inspiron 7000C, Intel Celeron 366 MHz Taktfrequenz PW-Hash username PW-Hash Password-File 30.03.00 30 Resultate beim Passwort-Test der IGEDV (innert 6 Stunden 22 von 35 Passwort-Beispielen gefunden): Innert Minuten 17 gefunden: huehener, rolex, ankerstein, winterthur, hugo, merlin, Beatrice, romeo, meisterhans, namibia, jessica, chili, schummeli, esel, pepi, terri, aaa nach zwei Stunden 2 weitere gefunden: zombie5), Mondeo20 nach sechs Stunden 3 weitere gefunden : hollywood2, rsv6, haesu 30.03.00 32
Gute Passwortwahl Mindestens 6 Zeichen Mix von Gross- und Kleinbuchstaben mit Zahlen und Sonderzeichen Passwort periodisch ändern Zusammenfassung 30.03.00 33 30.03.00 35 Passwort Design Tipps Zusammenfassung Deutung von Zahlen und Zeichen nutzen: z.b. 4=for, U=you, 0=O, M=1000, V=5,... ICQ =... I Seek You Mundart-Ausdrücke verwenden Beispiele Datenschutz betrifft Alle. > D10b7A3 Niemand will einen negativen Kontostand. > 0will1-$ 40 000 Rinder > 4zigMR5 Firewall 1. Ihre Verantwortung betreffend Sicherheit (Zweiweg, Umsteige Bhf) 2. Mit wem hab ich s zu tun (virtuelle Identität, Attachments) 3. Hacker s LessonOne (Trojaner, Cracker,...) 4. Ordnung und Übersicht (Netzstruktur, Web, Passworte,...) 30.03.00 34 30.03.00 36