Sicherheit von Social Media und Cloud Services

Sicherheit von Social Media und Cloud Services Walter Sprenger Compass Security AG Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel +41 55 214 41 60 Fax +41 55 214 41 61 team@csnc.ch www.csnc.ch AGENDA Bedrohungen bei Social Media Live Demo Bedrohungen bei Cloud Services Seite 2

Soziale Medien Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel +41 55 214 41 60 Fax +41 55 214 41 61 team@csnc.ch www.csnc.ch Soziale Medien Zu den einschlägigen Merkmalen sozialer Medien zählen: Offerieren Usern die Mitgliedschaft in Online-Communitys Zu den Hauptfunktionen zählen Profile und Freundeslisten Auch unter dem Begriff Social Networking bekannt Facebook ist das mit Abstand verbreiteteste soziale Medium 2009 konnte auch Twitter ein rasend schnelles Wachstum verzeichnen Social-Networking-Websites sind heute beliebter als webbasierte E-Mail-Services wie Gmail und Hotmail Seite 4

Nutzung sozialer Medien Privat Beruflich Mit Freunden kommunizieren Sich mit Gleichgesinnten austauschen Aktuelle Nachrichten empfangen Videos austauschen Neue Kontakte schließen PR Marketing Vertrieb Personalabteilung Seite 5 Nutzung soz. Medien in Unternehmen In Interessengruppen über Ihre Produkte, Dienstleistungen und Branchenthemen austauschen Kunden und Partner über branchenrelevante Themen informieren Videos zu brachenrelevanten Themen oder Ihren Produkt- und Serviceleistungen austauschen Neue Mitarbeiter anwerben Zufriedenheit Ihrer Mitarbeiter erhöhen, indem Sie die Nutzung sozialer Medien am Arbeitsplatz erlauben Neukunden anwerben Bestehende Kunden binden Neue Mitarbeiter anwerben und bestehende binden Seite 6

Risiken mit Sozialen Netzwerken 2009 fanden fast 2% aller Online-Klicks auf Social-Media-Websites statt Hiervon allein 1,35% auf Facebook 61% glauben, dass Facebook im Vergleich zu anderen sozialen Medien bei weitem das größte Unternehmensrisiko darstellt Von welchem sozialen Netzwerk geht Ihrer Meinung nach das größte Risiko aus? Quelle: Sophos Umfrage 2009 Seite 7 Ausweitung der Angriffe soz. Netzwerke Spam-, Phishing- und Malware-Angriffe über soziale Netzwerke nehmen zu: Unternehmen, die Opfer von Angriffen über Social-Networking-Websites wurden 2009 nahm die Anzahl derjenigen Unternehmen, die bereits von Spamund Malware-Angriffen über soziale Netzwerke heimgesucht werden, um 70% zu Über 50% aller Unternehmen erhielten über soziale Netzwerke Spam Über ein Drittel der Unternehmen erhielten über soziale Netzwerke Malware Quelle: Sophos Umfrage 2009 Seite 8

Die Angst vor Malware steigt Unternehmen werden zunehmend von der Angst vor Malware- Infektionen über soziale Medien geplagt % der Unternehmen, die Malware als Hauptgefahr bei der Verwendung sozialer Netwerke einstufen Quelle: Sophos Umfrage 2009 Seite 9 Gefahren sozialer Medien 72% aller Unternehmen glauben, dass das verhalten Ihrer Mitarbeiter auf sozialen Netzwerken ihre Sicherheit gefährdet Seite 10

Zwei Hauptarten von Bedrohungen Seite 11 User, die Informationen veröffentlichen Legen sensible Daten offen Diffamieren Dritte / die Konkurrenz Dies kann versehentlich oder mutwillig erfolgen. Zu den möglichen Folgen zählen: Reputationsverlust Unternehmensschädigung Geldstrafen Seite 12

A) Live Demo: Facebook/Webmail Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel +41 55 214 41 60 Fax +41 55 214 41 61 team@csnc.ch www.csnc.ch Social Community sucht Plagiate Seite 14

Unterschriften auf Facebook Seite 15 Angriffe auf soziale Netzwerke Hobby/ Aufmerksamkeitsdrang Finanziell motiviertes, organisiertes Verbrechen Seite 16

Angriffe auf soziale Netzwerke Accounts sozialer Netwerke sind ein gefundenes Fressen für Hacker Sie können dem Spam-Versand dienen, Malware verbreiten, Identitätsdiebstähle begehen... im Streben nach der Aneignung persönlicher Daten, um sich finanziell zu bereichern Seite 17 Mashups Inhalte von unterschiedlichen Quellen werden auf Ihrem Portal angezeigt Beispiel Reiseveranstalter Bezieht Daten von Fluggesellschaften Von Hotel-Ketten Von Auto-Vermietern Blendet Aktuelle News, Kurse, Wetter ein Ein Angriff (z.b. Cross Site Scripting) wird auf Ihrem Portal eingeblendet und kann so die Sicherheit Ihres Portals gefährden Seite 18

B) Live Demo: RSS im Portal Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel +41 55 214 41 60 Fax +41 55 214 41 61 team@csnc.ch www.csnc.ch C) Live Demo: Web-Service Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel +41 55 214 41 60 Fax +41 55 214 41 61 team@csnc.ch www.csnc.ch

Ehefrau des MI6-Chefs & Facebook Juli 2009: Die Frau des Leiters des britischen Geheimdienstes M16 postete äußerst enthüllende Details auf ihrer Facebook-Seite Aufgrund ihrer gewählten Sicherheitseinstellungen konnte das gesamte London -Netzwerk Shelley Sawers Updates einsehen insgesamt etwa 200 Mio. Facebook-User Zu den offengelegten Daten zählten: Familiäre Details Private Fotos Privatanschrift Ergebnis: Nationales Sicherheitsrisiko Seite 21 RickRolling 2009: Schädliche Links auf sozialen Medien verführten User dazu, ein Rick Astley- Video auf YouTube anzusehen Die Opfer wurden zum Video von Ricks Hit Never gonna give you up geleitet Ergebnis: Dieses Mal harmlos. Seite 22

Scareware-Tweets Unter Scareware versteht man das Geschäft mit gefälschter Antiviren-Software anstatt Ihren Computer zu schützen, infiziert ihn diese Software Scammer erstellen zahlreiche Tweets, die Links zu Scareware-Webseiten enthalten. Diese wiederum gaukeln Ihnen vor, dass Ihr Computer ein Sicherheitsproblem hat, welches Sie nur mit der angebotenen Software lösen können. Ergebnis: Malware-Infektion Andere Scareware-Angriffe zielen darauf: Ihnen gefälschte Antiviren-Software aufzuschwatzen Kontrolle über Ihren Computer zur Aussendung von Spam zu erlangen Daten auf Ihrem Computer zu verschlüsseln und nur gegen Lösegeld wieder entschlüsseln Seite 23 Leighton Meester-Sexvideo Guy Kawaski, Apple Mac-Botschafter mit 140.000 Followern postet Tweet Leighton Meester-Sexvideo zum kostenlosen Download! Beim Klicken des Links landen Twitter-User auf Websites mit angeblichen Videos von Gossip Girl-Star Leighton Meester Die Websites wissen, ob Sie einen Mac oder PC verwenden und bombardieren Sie mit der für Ihr Betriebssystem geeigneten Malware Ergebnis: Malware-Infektion Seite 24

Twitter missbraucht Twitter erwies sich für iranische Oppositionelle 2009 als Segen, um die iranischen Wahlergebnisse trotz Zensur an die Weltöffentlichkeit zu bringen Im Dezember 2009 wurde Twitter missbraucht anstatt zu Twitter wurden Besucher auf eine Website umgeleitet, die vorgab, von der Iranian Cyber Army gehackt worden zu sein Ergebnis: Politische Turbulenzen Hinweis zwar gaben die Hacker sich als Iranian Cyber Army aus. Dies bedeutet jedoch keinesfalls, dass sie wirklich aus dem Iran stammen Seite 25 FCC-Vorsitzender gehackt Dezember 2009: Die Facebook-Webseite von Julius Genachowski, dem Vorsitzenden der US-Telekomaufsichtsbehörde FCC, wird gehackt Seine Freunde erhielten Nachrichten mit dem Text: Adam got me started making money with this <Link> Die Links führten zu einer Website, die bei wenig Aufwand innerhalb kürzester Zeit das große Geld verspricht. Ergebnis: Berufliche Blamage Seite 26

Auch gute Nachrichten. Januar 2009: Die erste Facebook-Festnahme wird vollzogen Die neuseeländische Polizei stellt eine Facebook-Seite zur Verbrechensbekämpfung online und veröffentlicht dort Bildmaterial, das einen Verbrecher beim Knacken eines Safes zeigt. Ergebnis: Haftstrafe! Seite 27 Die Risiken Zu den potenziellen Risiken sozialer Medien zählen: Produktivitätsverlust Malware-Infektion (z.b. Viren) Datenverlust Eingeschränkte Netzwerkleistung Erhöhte IT-Supportkosten Quelle: Frost & Sullivan - The CEO Is Your Friend: The C-Suite and Social Media in 2010 Seite 28

Persönlicher Schutz KENNEN SIE DIE REGELN überprüfen Sie Ihre Unternehmensrichtlinie zu sozialen Netzwerken VERWENDEN SIE SICHERE KENNWÖRTER mind. 8 Zeichen, die auch Sonderzeichen oder Ziffern umfassen sollten ÜBERPRÜFEN SIE DIE STANDARDEINSTELLUNGEN legen Sie keine persönlichen Daten standardmäßig offen VORSICHT BEI FOTOS denken Sie nach, bevor Sie Fotos online stellen, die Peinlichkeiten verursachen könnten BIG BROTHER IS WATCHING YOU gehen Sie immer davon aus, dass Ihre Kommentare/Einträge eingesehen werden können, auch von Hackern! SCHÜTZEN SIE IHRE COMPUTER verwenden Sie aktuelle Security-Software und Firewalls SCHALTEN SIE IHR GEHIRN EIN, BEVOR SIE KLICKEN wenn Ihnen eine E- Mail verdächtig erscheint, sollten bei Ihnen die Alarmglocken schrillen BEDROHLICHE UNBEKANNTE hüten Sie sich vor ungebetenen Spammer- Einladungen Seite 29 Schutz für Unternehmen Diese drei Elemente sorgen Sie für eine sichere und produktive Nutzung sozialer Medien: Aufklärung Richtlinien Sicherheits- Lösungen Seite 30 Aufklärung

Zusammenfassung Verbrecher mit finanzieller Motivation nutzen soziale Medien mit zunehmender Häufigkeit, um Identitäten zu stehlen, Malware zu verbreiten und Spam auszusenden Soziale Netzwerke verbessern ihre Strategien bei der Bereitstellung adäquater Schutzmaßnahmen sie haben allerdings noch einen weiten Weg vor sich Es liegt an IHNEN, soziale Medien sicher zu nutzen beherzigen Sie unsere Tipps, mit denen Sie optimal geschützt bleiben Seite 31 Zusammenfassung Die Risiken von sozialen Netzwerken sind real: Für Sie Für Ihr Unternehmen Experten prophezeien dass Hacker in der Zukunft für ihre Scam- Attacken immer mehr soziale Medien nutzen. Kehren Sie sozialen Netzwerken nicht den Rücken sorgen Sie stattdessen dafür, dass Sie die Portale sicher nutzen! Seite 32

D) Live Demo: Wurm Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel +41 55 214 41 60 Fax +41 55 214 41 61 team@csnc.ch www.csnc.ch Cloud Computing Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel +41 55 214 41 60 Fax +41 55 214 41 61 team@csnc.ch www.csnc.ch

Einleitung Cloud Computing Neuer Begriff für Outsourcing, Virtualisierung Offenheit: Public Cloud Private Cloud Hybrid Cloud Ansätze: App App App App App App Platform Platform Platform Platform Platform Infrastructure HW Infrastructure HW Infrastructure Infrastructure HW Software as a Service (SaaS) Platform as a Service (PaaS) Infrastructure as a Service (IaaS) Seite 35 Beispiel Salesforce.com Seite 36

Beispiel Google App Seite 37 E) Live Demo: icloud / Amazon EC2 Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel +41 55 214 41 60 Fax +41 55 214 41 61 team@csnc.ch www.csnc.ch

Beispiel icloud Seite 39 Beispiel Amazon EC2 Seite 40

Beispiel Wuala Seite 41 Top 7 Bedrohungen (CSA) Top 7 Bedrohungen gemäss Cloud Security Alliance: 1. Abuse and nefarious use of cloud computing 2. Insecure interfaces and APIs 3. Malicious insiders 4. Shared technology issues 5. Data loss or leakage 6. Account or service hijacking 7. Unknown risk profile Seite 42

1. Abuse of cloud computing Malware Speicherung und Verteilung Illegale Inhalte Kontrollserver für Botnets Anonymität des Dienstes nutzen für Angriffe Schwache Benutzerauthentisierung Seite 43 F) Live Demo: User Identifizieren Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel +41 55 214 41 60 Fax +41 55 214 41 61 team@csnc.ch www.csnc.ch

2. Insecure interfaces and APIs Anonymer Zugriff/Wiederverwendung von Zugriffstokens Authentisierung/Kommunikation nicht verschlüsselt Ungenügende Authorisation Fehlendes Monitoring/Keine Log-Files unknown service or API dependencies In Kürze: Alle Web-Applikations Schwachstellen möglich Seite 45 3. Malicious insiders Wer betreibt die Cloud und wie wurden die Mitarbeiter ausgewählt Wer hat Zugang zur Cloud (z.b. ausländische Behörden) Wie sieht die physische Sicherheit beim Provider aus Wie wird Data Leakage Preventation auf eine Cloud ausgeweitet Wie Transparent ist der Cloud Anbieter Seite 46

4. Shared technology issues Auf welchem Level ist die Mandanten-Trennung implementiert Wie wirkt sich ein Angriff auf einen Mandanten auf die anderen aus? Unterschiedliche Datentypen (öffentlich, intern, vertraulich) Unterschiedliche Branchen (Finanz, Behörden, Industrie, Kriminelle) Seite 47 G) Live Demo: Web-Hosting Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel +41 55 214 41 60 Fax +41 55 214 41 61 team@csnc.ch www.csnc.ch

5. Data loss or leakage Schwache Authentisierung, Authorisation und Audit Controls Ungenügende Verschlüsselung Operationelle Schwächen Verfügbarkeit des Daten-Centers Disaster Recovery Unklarheit wo Daten und Backups sind Seite 49 6. Account or service hijacking Phishing Angriffe und Ausnützen von Software Schwachstellen führen zu grösserem Schaden Oft werden dieselben Passworte für unterschiedliche Dienste benutzt Für den Zugriff auf Unternehmensdaten reicht dem Angreifer oft das Belauschen oder Herausfinden eines Passwortes Monitoring und Einbruchserkennung schwieriger Informationen fehlen um den Angriffsort/Angreifer zu ermitteln Seite 50

7. Unknown risk profile Software Versionen, Updates, Einbruchsversuche, Security Design sind oft unbekannt. Unklar, wer sonst noch die Wolke nutzt Unbekannte Prozesse, Umsetzungen, Veränderungen Kann die Sicherheit geprüft werden, Security Reports vorhanden, werden Angriffe gemeldet? Seite 51 Weitere Bedenken Wie werden die Daten in die Cloud respektive aus der Cloud gebracht Wie ist die Kompatibilität/Schnittstelle zu bestehenden Systemen/Applikationen Können Daten unwiderruflich gelöscht werden Wie steht es um die Aufbewahrungspflicht Wie Abhängig wird ihr Unternehmen vom Cloud Betreiber Kann der Anbieter gewechselt werden Wie kann den unterschiedlichen gesetzlichen Anforderungen Rechnung getragen werden Wissen ist nicht mehr im Unternehmen vorhanden Probleme können nicht mehr im eigenen Unternehmen gelöst werden Seite 52

Zusammenfassung Cloud Computing ist auf dem Vormarsch und wird uns alle betreffen. Cloud Computing erbt die Gefahren von Web-Applikationen, Virtualisierung und Outsourcing. Die Sicherheitsanforderungen können an die Cloud Anbieter gestellt werden, verantwortlich für die Sicherheit ist trotzdem die Firma. Bei vertraulichen Daten muss der Einsatz und Kostenaufwand von Cloud Computing sehr gut abgewägt werden. Seite 53 Diskussion Fragen? Seite 54

www.swisscyberstorm.com Seite 55 Contact Compass Security Network Computing Werkstrasse 20 Postfach 2038 CH - 8645 Jona team@csnc.ch www.csnc.ch +41 55 214 41 60 Secure File Exchange: www.csnc.ch/filebox PGP-Fingerprint: Seite 56

Referenzen Soziale Medien Sophos - Security Toolkit Social Media http://www.sophos.de/lp/threatbeaters/ Cloud Computing BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter https://www.bsi.bund.de/cln_156/de/publikationen/publikationen_node.html CSA Top 7 Threats to Cloud Computing und Security Guidance http://cloudsecurityalliance.org/ ENISA Studie Risikoanalyse http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-riskassessment/at_download/fullreport Seite 57