Surfen im Internet – aber sicher
Welche Gefahren im Web lauern
und wie man ihnen entgeht
Gefährliches Internet
Alle nutzen das Internet – auch Kriminelle
Verbindung genügt
Bedrohungen
• Phishing, ID-Theft
• Malvertising, User-Targeting und –Tracking
• CryptoMining
• Gewinnspiele)
• Software-Downloads & Updates
• Online-Banking und –Shopping
Man-In-The-Browser
• Beim Suchen (Typosquatting, Werbebanner)
• Online-Spiele
• Clickjacking, UI Redressing
• Drive-By-Infection
Exploit Kits & Waterhole Attacks
5
WEB EXPLOIT KITSAdPack
Alpha Pack
Angler
Archie
Astrum
Best Pack
BlackHole
BleadingLife
Bomba
CK-VIP
Clean Pack
Cool
Crime Boss
CrimePack
CritX Pack
DotkaChef
Dragon
El Fiiesta
Eleonore
Firepack
FlashPack
FlimKit
Fragus
FSPack
Glazunov
GongDa
GPack
Grandsoft
Hanjuan
Hierarchy
HiMan
IcePack
IFramer
Impact
Incognito
Infinity
iPack
IcePack
JustExploit
KaiXin
Liberty
Lights Out
LinuQ
LuckySploit
Lupit
Magnitude
Max Toolkit
MerryChristmas
Mpack
Mushroom
MyLoader
MyPolySploit
Neo Sploit
Net Boom NB
Neutrino
Nice
Niteris
NucSoft
Nuclear
Null Hole
Papka
Phoenix
Private
Rawin
Red Dot
Redkit
Rig
Robopak
Topic
Tornado
TrafficPro
UniquePack
WebAttacker
White Lotus
WhiteHole
Xcore
Yang Pack
Yes Toolkit
Zero Pack
Zhi Zhu
Zombie Infection Kit
Zopack
Zuponcic
Safe Pack
Sakura
Salo Pack
Sava Pack
Sednit
SEO Toolkit
Serenity
ShamansDream
Siberia
SibHost
Silent
SmartPack
Spack
SPL Pack
Styx
Sweet Orange
Techno Xpack
Rechner und Betriebssystem auswählen
Hardware
Mobile Rechner vom Notebook bis zum SmartTV
Secure Boot nutzen
Betriebssystem wählen und härten
Tools: Software
Virtuelle Maschinen
• VirtualBox
• VMWare
• SandboxIE
• BitBox
• KVM, Xen
• Qubes
• DIY: Anwendungen mit niedrigen Rechten starten.
EMET (Enhanced Mitigation Experience Toolkit) von Microsoft
• Verlängerter Support endet am 31.7.2018
• https://support.microsoft.com/de-de/help/2458544/the-enhanced-mitigation-experience-toolkit
Software bewusst auswählen und aktuell halten
Tools: Software
Linux Live USB Creator
Portable Apps
mit Portable VirtualBox
BitBox
Verbindungsaufbau
WLAN
• Verschlüsselt mit WPA2
• KRACK
Bluetooth
VPN
Welcher Browser?
Chrome
Firefox
Edge
Opera
Safari
Vivaldi
Lynx
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/
Mindeststandards/Browser-Abgleich_Mindeststandard_Sichere_Web-Browser.pdf
Browser-Einstellungen
Java, Flash und Silverlight deaktivieren
Prüfung auf schädliche Webseiten aktivieren
Automatische Updates
Passwörter nicht im Browser speichern
Plugins sorgfältig auswählen
• Adobe Reader
• Media Player, VLC
Cookies regelmäßig löschen
Do-Not-Track aktivieren
https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/EinrichtungSoftware/
EinrichtungBrowser/Sicherheitsmassnahmen/SicherheitsCheck/sicherheitscheck_node.html
BSI für Bürger
Tools: Browser Plugins
Privacy Badger
HTTPS Everywhere
NoScript (FF). ScriptBlock (Chrome)
Deaktiviert JavaScript (Java, Flash, Silverlight) und verwaltet Ausnahmen.
Anti-Clickjacking, Anti-Cross-Site-Scripting, Anti-Cross-Site-Request-Forgery
uBlock (origin), Adblock Plus Werbeblocker schützen auch vor Malvertising
Best Practice – Dos and Don‘ts
Browser, Software und Betriebssystem aktuell halten
Keine Links in unbekannten E-Mails anklicken. Stattdessen eintippen oder Favoriten nutzen
Vor dem Aufruf einer Webseite auf Tippfehler prüfen
Vor der Eingabe von Passwörter prüfen, ob die Seite verschlüsselt ist
Besser: Einen Passwort-Manager benutzen
Ausloggen
Verdächtige Dokumente in Google Drive öffnen
Virenschutz einsetzen
Fazit
Updates
Backups
Virenschutz
Vorsicht, Umsicht
Be prepared
Weitere Infos
Sehr einfache Darstellung für Einsteigerhttps://www.sicher-im-netz.de/sites/default/files/download/handreichung_2_web.pdf
SecurityHeaders zeigt Infos über die verwendeten Standards und Software auf Webseiten(https://securityheaders.io)
Panopticlick prüft wie gut der Browser die Privatsphäre schützt (https://panopticlick.eff.org/)
Electronic Frontier Foundation (EFF) Surveillance Self-Defense (https://ssd.eff.org/)
Verbraucher sicher online viele Tipps zum Thema Online-Sicherheit (https://www.verbraucher-sicher-online.de/thema/sicher-surfen)
OWASP Open Web Application Security Project. * Cheat Sheets (https://www.owasp.org/index.php/OWASP_Cheat_Sheet_Series)* Top 10 Bedrohungen (https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project)
Carsten Eilers zu Clickjacking(https://www.ceilers-news.de/serendipity/660-5-Jahre-Blog-Als-Special-Clickjacking-eBook.html)
Top Related