1 Datensicherheit Frank Thies Volkshochschule Frankfurt am Main [email protected].
-
Upload
hartwin-radden -
Category
Documents
-
view
114 -
download
1
Transcript of 1 Datensicherheit Frank Thies Volkshochschule Frankfurt am Main [email protected].
2
Organisatorisches
• Samstag
• Von 18:00 Uhr bis 21:15 Uhr
• Ort : VHS Sonnemannstrasse
• Infrastruktur
• Teilnahmebescheinigung
• Anwesenheitslisten
• Evaluation
3
Ablauf der Veranstaltung
• Theoriebetont, mit Übungen wo möglich
• Fragen bitte jederzeit stellen
• Pausenregelung nach Vereinbarung
4
Kursunterlagen
5
Kursinhalt
• Internetsicherheit aus Anwendersicht
• Internetsicherheit aus Unternehmenssicht
• Maßnahmen gegen Geheimdienstspionage
6
Gliederung
• Das Internet
• Angriffsziele Überblick
• Angriffsmöglichkeiten und Schutzmaßnahmen
• Ausblick auf Unternehmenslösungen
7
Was ist das Internet?• Weltweit vermaschtes Netz von Computern
8
Wie nutze ich das Internet?
9
Internet
10
Ziele unerwünschter Aktivitäten
• Bösartiger Angriff– Schadenfreude oder Missbrauch
• Erlauschen vertraulicher Informationen– Missbrauch
• Ermittlung des Teilnehmerverhaltens– Verwendung für kommerzielle Zwecke– Verwendung zur
Terrorfahndung/Betriebsspionage
11
Systemangriffe
• Viren
• Trojaner
• Würmer
• Agressive WWW-Seiten
Umgang mit Daten im Internet
12
13
Lauschangriffe
• Übertragungsweg/Kabel
• Aktive Komponenten (Router)
• Server (Mailgateways)
Brute-Force Attacken
Brute-Force Attacken sind Versuche eines Programms, das Passwort eines anderen Programms zu knacken, indem alle
möglichen Kombinationen von Buchstaben und Zahlen ausprobiert werden.
Die Länge und Komplexität eines Passworts ist maßgeblich für die Sicherheit.
Man beachte bitte, dass die benutzten Schlüssel zufällig generiert werden und nicht doppelt vorkommen, d.h. möglich
wäre ein Treffer beim ersten Versuch!
Brute-Force, wie lange brauchst du?
Passwortlänge Mögliche Zeichen Maximale Zeit
6 26 8 Sekunden
6 62 25 Minuten
8 26 91 Minuten
8 62 66,5 Tage
10 26 43 Tage
10 62 718 Jahre
12 26 81 Jahre
12 62 2.8 Mio. Jahre
Ein 2007 gekaufter Privat-PC für ca. 700€ kann ungefähr 38.000.000 Kombinationen (Schlüssel) pro Sekunde ausprobieren.In der Tabelle sind jeweils die Maximalzeiten pro Passwort angezeigt!
Brute-Force, wie lange braucht die NSA?
17
Wie wird abgehört?
• Trojaner
• Adressbücher
• Suchmaschinen
• Soziale Netzwerke
• E-Mail-Anbieter
• Provider
• Smartphone-Apps
18
Wie erschwere ich das Datensammeln?
• DuckDuckGo, MetaGer, IXQuick (speichern keine Daten)
• Startpage.com
• Tor – „Sicherheitsnetz“
• JonDonym – Anonym-surfen.de
Datenschutz.ch
Passwort-Check
Lernprogramm Datenschutz
Lernprogramm Sicherheit
20
Fehlverhalten des Nutzers
• Emailanhänge öffnen
• Abwesenheitsnotiz (im Büro)
• Auf Phishing reagieren (gefakte Mails, Seiten)
• Ohne Virenscanner surfen
• Ohne Firewall surfen
21
Internet Explorer 10
• Browserverlauf löschen• InPrivate-Browsen• „Do not Track“ (Nicht folgen!)
• ActiveX-Filterung• SmartScreen-Filter (Phishing-Filter)• IE 11 kommt mit Windows 8.1
22
Tracking-Schutz
23
24
25
WSC
• Überprüft Firewall und Virenscanner
• Patches für Programme folgen
• Aktualisiert die entspr. Software
• Laufwerksverschlüsselung (Vista) (Bitlocker – Win 7)
• Jugendschutz (Vista)
26
Outlook Express
• Mails standardmäßig als Text
• Externe HTML-Inhalte nicht dargestellt
• Anhänge werden überprüft.
27
Systemangriffe
Bedrohungen im Internet
29
Viren und TrojanerGrundfunktion
• Anhängsel von – Programmen– Datenfiles mit Makrosprachen z. B. MS-Word
• automatische Weiterverbreitung bei Ausführung eines infizierten Programms
30
Viren und TrojanerWirkung
• Schadfunktion ( Virus ) – z. B. Michelangelo ( Festplatte formatieren )– z. B. I Love You ( Dateien zerstören, Mail-
Server lahm legen )
• verdeckter Eingang ( Trojaner ) – z. B. Back Orifice ( Zugriff vom Netz auf den
Rechner )
31
Viren und TrojanerSchutzmaßnahmen
• Niemals Mailanhänge oder fremde Disketteninhalte ungeprüft ausführen
• Nicht einfach im Mailprogramm anklicken
• auf dem Rechner in einem Quarantäneverzeichnis abspeichern
• mit einem aktuellen Virenscanner auf Viren untersuchen
• Gegebenenfalls Virenscanner auf automatische Suche stellen
32
Viren und TrojanerVirenscanner
• F-PROT ( für Privatanwender kostenlos )
– http://www.fprot.org
• Avira Free Antivirus
• McAfee VirusScan
• Norton Antivirus
33
Viren und TrojanerWeitergehende Schutzmaßnahmen 1
• Regelmäßige Datensicherung auf verschiedene Wechselmedien– Großvater, Vater, Sohn Prinzip
• wegen späterem Erkennen
– Datensicherung extern auslagern• wegen Feuer, Diebstahl
• Wechseldatenträger für relevante Daten– Beim Arbeiten mit kritischen Anwendungen
entfernen
34
Viren und TrojanerWeitergehende Schutzmaßnahmen 2
• Getrennte Systemumgebung für Internetzugang, Spiele, Kinder usw.– getrennte Partitionen– getrennte Wechselplatten– getrennte Rechner– Nicht als Administrator arbeiten
• Firewall• KNOPPIX• Datenablage in der Cloud (Google-Konto, Dropbox,
MobileMe)
35
Viren und TrojanerWeitergehende Schutzmaßnahmen 3
• Weitere Softarekomponenten:
• Spybot Search&Destroy
• Ad-Aware 10.5.3
• Sicherheitseinstellungen IE 10 und Firefox 23.0 bzw Opera - Chrome
36
Würmer
• E-Mails, die aufgrund von Fehlfunktionen in E-Mail-Programmen sich selbst über das Internet verbreiten
• Schutz bei neuen Würmern ohne Komforteinbuße kaum möglich– exotische Mailprogramme benutzen
– keine Adressbücher
• Vorsicht vor im Wurm enthaltenen Viren und Trojanern
37
Ende 1.Teil
• Nächste Woche viele Fragen stellen!
• Üben und Notizen machen
38
Aggressive WWW-Seiten
• WWW-Seiten, die nach dem Anklicken auf dem Rechner des Benutzers Schadfunktionen auslösen
• Aufgrund der Fähigkeiten der Scriptsprachen ( insbesondere ActiveX ) hohes Gefährdungspotenzial
• Aufrufen von Dialern
39
Aggressive WWW-Seiten Schutzmaßnahmen 1
• Alle Scriptsprachen ausschalten( Gefährdungspotenzial absteigend sortiert )– ActiveX ( MS Internetexplorer )– Javascript– Java
• Test und Erläuterung bei:http://www.datenschutz.ch/ (zwar Schweiz, aber die Tipps sind auch für Deutsche gut!)
40
Aggressive WWW-Seiten Schutzmaßnahmen 2
• Scriptsprachen nur bei Bedarf bei vertrauenswürdigen Anbietern einschalten
• Computerbetrug.de• Schutzsoftware unter
http://www.freeware.de und www.heise.de
41
Lauschangriffe
42
Wo kann man lauschen?
43
Wo kann man lauschen?
• Physikalisch am Kabel– Hoher technischer Aufwand
• Für jeden mit Zugriff zum Kabel möglich
• An den transportierenden Rechnern– Mittlerer technischer Aufwand
• Mit logischem Zugriff möglich
• An den vermittelnden Servern– Niedriger technischer Aufwand
• Mit logischem Zugriff möglich
44
Grundsätzliche Bemerkungen
• Datenübertragung ist generell unverschlüsselt!
• Sicherheit der Übertragung wie die Sicherheit einer Postkarte!
• Eine E-Mail lässt sich fast beliebig fälschen!
45
Wie kann ich mich schützen?
• Niemals sicherheits- oder vermögens-relevante Daten über eine unverschlüsselte Verbindung schicken
• Bei WWW Übertragung auf https achten– Sicherheitseinstellungen des Browsers beachten
• Bei E-Mail PGP oder DE-Mail– verschlüsseln – signieren
46
Private/Public Key Verschlüsselung
• 2 teiliger Schlüssel ( Private / Public )
• Sender verschlüsselt mit dem Public-Key des Empfängers
• Empfänger entschlüsselt mit eigenem Private-Key
• Sender signiert mit eigenem Private-Key
• Empfänger überprüft die Signatur mit Public-Key des Senders
47
PGP
• http://www.pgpi.org/
• Verschlüsselungsprogramm
• Für Privatkunden kostenfrei
• Leicht zu bedienen
• Cut and Paste
• Für einige Mailer Plugin vorhanden
• Für „alle“ Betriebssysteme
• derzeit weiteste Verbreitung
DE-Mail
• Beteiligte Unternehmen: GMX, Mentana, Deutsche Telekom, T-Systems und Web.de
• Fast nur Kostenpflichtig• Gefahr: Gilt als zugestellt – Fristen laufen
auch wenn ich nicht reinschaue! (aber das ist beim Briefkasten auch so!)
48
49
Weitere „Fallen“
• Ebay-Daten werden ausgelesen (Mitgliedername/Passwort)
• Schutz nur über neue Ebay-Toolbar (dürftig, aber besser als nichts!) Passwort in der Tollbar hinterlegen, dann warnt diese mit einem Hinweis!
• Phishing – Nachgestellt Internetseiten von Banken usw. Es wird behauptet Passwort hätte sich geändert. NICHT neu anmelden! Schutz über https, grüne Farbe und Zertifikate (werden im IE angezeigt!)
50
PersonenprofilerstellungSchnüffelei
51
CookiesWas ist das?
• Vom WWW-Server versandte und abgeholte Informationspäckchen.
• Gehen zurück an Absender oder andere.
• Werden lokal auf Festplatte gespeichert.
52
CookiesSinn und Risiken
• Userauthentifizierung– Uploads– Datenbanken
• Bereitstellung personalisierter Information– Warenkörbe– Werbung
• Abrechnung
• Möglichkeit des ( firmenübergreifenden ) Personenprofils
53
CookiesAbwehrmöglichkeiten
• Abstellen der Cookies
• Cookies nur an gleichen Server
• Cookies nur mit Rückfrage
• Löschen der Cookieordnerinhalte– Manuell– automatisch beim Hochfahren– automatisch beim Aufruf von netscape
54
SmartbrowsingWas ist das?
• Übermitteln der aufgerufenen Webseiten an einen zentralen Server
• Dieser Server stellt aus einer Datenbank themenähnliche Links zur Verfügung Vorsicht! Chrome von Goggle ist hier extrem aktiv!
55
SmartbrowsingSinn und Risiken
• Vereinfachter Zugang ins Web
• Leichteres Finden von Zusammenhängen
• Bei unsauberer Konfiguration Bekanntwerden von Intranetadressen
• Persönlichkeitsprofil zusammen mit Cookies
56
Smartbrowsing Abwehrmöglichkeiten
• Saubere Konfiguration des Browsers– Smartbrowsing ausgeschaltet– Aus Firmennetzen: Vom Smartbrowsing
zumindest die Intranetadressen ausnehmen
• Browser ohne Smartbrowsing verwenden
57
Adressschnüffelei
• Ziel: Ermitteln von Werbe-„Opfern“
• Von wo?– Webseiten– Newspostings
• Was tun?– Auf den entsprechenden Diensten „Tarnadressen“
verwenden– Werbefilter– Auf unerwünschte Werbung nie antworten
58
Weitere Gefahren
• Hoax ( gefälschte Virenwarnung, meist als Kettenbrief, die Mail ist der Virus )
• Datenspur– proxy/router log– browsercache– browserhistory
59
Angriffe auf Firmennetze und Computer
60
Angriffsziele
• Jeder Computer
• WWW-Server
• FTP-Server
• Server allgemein– Eindringen– Außerbetriebnahme
61
Firewall
62
Firewall
• Fängt unerwünschte Angriffe aus dem Internet ab
• Läßt ausgewählten Verkehr passieren– Nach Protokoll ( http, nntp, smtp ... )– Nach Hostnamen
• Protokolliert Zugänge und Angriffe
Welche Programme?• Firefox mit Addons (NoScript, AdblockPlus,FireFTP,DownloadHelper,
Locationbar) oder Opera nutzen.
• ThreatFire – Prüft Verhaltensänderungen an Programmen
• Secunia PSI – prüft Updates von Programmen.
• Dateierweiterungen immer einblenden! (Ordner- und Suchoptionen,Ansicht,Erweitert)
• Autoruns runterladen und nutzen. (bei Google suchen – Technet Microsoft)
• TrueCrypt – Verschlüsselung von Festplatten (Net- Notebooks).
• IronKey (www.ironkey.com) – Sehr sichere USB-Sticks (ab 66€ 1 GB)
• Safey (www.safey.de) . Kostenlose USB-Verschlüsselungssoftware
• About:plugins (Extras, Addons, Plugins).
• Windows-Defender nutzen
• Windows-Updates (Systemsteuerung) aktuell halten
63
64
Weitergehende Programme
• Blacklight von F-Secure (erkennt Rootkits)
• GPG4Win (E-Mail-Verschlüsselung)• KeePass Password Safe
(Passwortverwaltung) de.brothersoft.com/keypass-140638.html
• IEController (Überwacht ActiveX)• http://www.heise.de/software/download/ct_iecontroller/15332
Was noch?
• Datensicherung: Windows macht das gut!
• Alternativ: Pure Sync
• Spuren im Internet: Myspace u.a.
• Online-Banking (SMS-iTAN – chipTAN-Gerät, Sm@rtTAN-plus-Gerät, HBCI-Kartenleser)
65
Internetseiten• http://www.heise.de/security/
• http://www.heise.de/security/tools/
• http://www.heise.de/software/
• https://www.bsi.bund.de/DE/Home/home_node.html
• https://www.bsi-fuer-buerger.de/BSIFB/DE/Home/home_node.html
66
67
Dank und Evaluation
• Herzlichen Dank für Ihr Interesse und die rege Teilnahme an dieser Veranstaltung.
• Bitte unterstützen Sie auch unsere Bemühungen zur Verbesserung künftiger Veranstaltungen durch die Abgabe der Evaluationsbögen.
Kritik ausdrücklich erwünscht