eBusiness - IT Security & Unternehmensgründung
-
Upload
iulius-gutberlet -
Category
Documents
-
view
489 -
download
0
description
Transcript of eBusiness - IT Security & Unternehmensgründung
Iulius GutberletIulius Gutberlet
Studiengang Master Sc. WirtschaftsinformatikStudiengang Master Sc. WirtschaftsinformatikFachhochschule KölnFachhochschule Köln
IT-Security & UnternehmensgründungIT-Security & Unternehmensgründung
Praktische AspektePraktische Aspekte
26/11/11 2
Agenda
BegriffeGrundpfeiler VerschlüsselungAngriffsszenarien & GegenmaßnahmenCloudcomputingWebservicesScada & kritische Infrastrukturenen
Gründung eines Startups
26/11/11 3
Begriffe
26/11/11 4
Begriffe
Angriff(D)DoS AttackenExploitZero-Day ExploitPhishingMalware
26/11/11 5
Grundpfeiler Verschlüsselung
26/11/11 6
Grundpfeiler Verschlüsselung
Wie funktioniert SSL?
Verschlüsselung über Zertifikate
Jeder kann ein Zertifikat erstellen
Mehrere Trusted Certification Authorities
Web-of-Trust Ansatz
Man vertraut jedem Zertifikat, einer trusted CA
White-List and Revocation List
26/11/11 7
Grundpfeiler Verschlüsselung
VorteileEtabilierte & einfache HandhabeSichert Verbindungen ab
NachteileSicherheit hängt an der Sicherheit der CA“teurer” VerbindungsaufbauMitgeschnittener Traffic kann “einfach” geknackt werden
Verbesserung durch Google
Revocation Lists werden nicht (immer) geupdated
26/11/11 8
Angriffsszenarien&
Gegenmaßnahmen
26/11/11 9
Angriffsszenarien & Gegenmaßnahmen
http://www.owasp.org/
Man-In-The-Middle-AttackSSL erschwert die AttackeSchwer erkennbarOft durch Malware iniziiertOperation Ghostclick
14 Mio. US-$Schaden
26/11/11 10
Cloudcomputing
Island Hopping & PhishingUser erwartet Informationenaus vertraulicher QuelleBezieht aus dieser QuelleSchadsoftwareDient als Einstiegspunktzum eigentlichen ZielKomplizierter AngriffBeispiele: Lockheed Martin, RSA
http://www.wikimedia.org/
26/11/11 11
Angriffsszenarien & Gegenmaßnahmen
Cross Site ScriptingAusführung von Javascript in ungewünschten KontextUngefiltertes speichern der EingabenMangelhafte Validierung der EingabedatenMangelhafte ParameterkontrolleHäufigster Fehler in WebappsPriviledge EscalationNutzt Vertrauenwürdigkeit der Websiteaus
(non)persitent, dom-basierthttp://catthetechie.blogspot.com
26/11/11 12
Angriffsszenarien & Gegenmaßnahmen
Cross Site Request ForgeryStatuslosigkeit von HTTPPhishing & XSSNutzt Vertrauenswürdigkeit des Browsers ausSession-Riding
User kann sich nur schwer schützenSchutz sollte serverseitig implementiert sein
http://www.sciencesecurity.com
26/11/11 13
Angriffsszenarien & Gegenmaßnahmen
SQL InjectionUnzureichende EingabeprüfungMehrstufiger AngriffEinstieg für XSS & XSRF AttackenBeispiel:
Select count(*) from users where username = 'username' and password = 'password';Select count(*) from users where username = 'Max' and password = 'Musterpassword';Select count(*) from users where username = 'Max' and password = '' or 1=1 limit 1;--';
26/11/11 14
Angriffsszenarien & Gegenmaßnahmen
DNS TunnelingIP Traffic wird über DNS getunnelt
Umgehung der Zugriffskontrolle
Umgehung von Zensurmaßnahmen
Eher Angriff auf staatliche Kontroll- und Zensurvorhaben
Beispiel: Wifi Access Points
26/11/11 15
Cloudcomputing
26/11/11 16
Cloudcomputing
Beispiel: Amazon Cloud ServicesUngeklärte rechtliche Situation
Im Zweifel amerikanisches Recht
WebservicesServices und Daten stehen im InternetLediglich SLAs als Versprechen
Supercomputer im NetzEC2 Ausfall über mehrere Stunden
www.cloudcomputingx.org
26/11/11 17
Webservices
26/11/11 18
Webservices
OpenIDLDAP fürs InternetDezentrale OpenID Provider
Facebook, Google
Single Sign On Lösung
Potentielle Anfälligkeit für Phishing AttackenKompromittierung aller Seiten
26/11/11 19
Webservices
OAuth 2.0Offenes Authentisierungsprotokoll
Keine Identitätsfeststellung
Freigabe von Ressourcen
Authentifizierung durch
Tokens
http://www.wikipedia.org
26/11/11 20
Webservices
Schwachstellenwww.ws-attacks.orgSecurity wird durch Webservice bereitgestellt
SQLInjection, alle klassischen Lücken
XML Injection
Amazon EC2 Admin LückeXML Signature WrappingPriviledge Escalation
26/11/11 21
Scada &Kritische
Infrastrukturen
26/11/11 22
Scada & Kritische Infrastrukturen
Scada (Supervisory Control and Data Acquisition)
Anlagensteuerung
Stuxnet (Juni 2010)
Iranische Atomanlagen
US Wasserkraftwerke
US Gefängnisse
Gaspipeline in Alaska
26/11/11 23
Gründung eines Startups
26/11/11 24
Gründung eines Startups
FormalitätenNamenprüfung durch IHKNotarterminEintragung beim AmtsgerichtVeröffentlichung der FirmaKonto mit Stammkapital eröffnenSteuernummer beantragen
Die Arbeit kann beginnen!
26/11/11 25
Gründung eines Startups
UG Lüge1€ Stammkapital
Notarkosten: 300€-600€UG ist überschuldetUG mit zu wenig Kapital wird als Betrugsversuch gewertet
UG ist Kapitalgesellschaft ohne pers. HaftungBei Kreditanträgen: pers. Haftung gegenüber der Bank
26/11/11 26
Gründung eines Startups
Konkrete GründungGewünschter Name: sniggle.me UGGründungsort Köln → Bottrop
Zwei Gründer: Satzung wie bei der GmbHNotar 600€
IT Security ThemenCloudcomputingDatenschutz
26/11/11 27
Fragen & Antworten
26/11/11 28
Vielen Dank!
26/11/11 29
Quellen
Onlinehttp://www.heise.de/newsticker/meldung/Google-mit-besserer-Langzeit-Verschluesselung-1384441.html
http://www.heise.de/newsticker/meldung/EU-Cloud-Service-will-vor-US-Patriot-Act-schuetzen-1383794.html
http://www.heise.de/newsticker/meldung/Deutsche-Telekom-stellt-Datenschutztechnik-fuer-IPv6-vor-1383772.html
http://www.heise.de/newsticker/meldung/Chef-von-EU-Netzsicherheitsagentur-warnt-vor-Cloud-Computing-1383039.html
http://www.heise.de/security/meldung/RSA-tauscht-nach-Hack-bis-zu-40-Millionen-SecurID-Tokens-aus-1256298.html
http://www.spiegel.de/netzwelt/web/0,1518,784002,00.html
http://computer.yourdictionary.com/island-hopping
http://www.computerweekly.com/news/2240089111/Top-five-cloud-computing-security-issues
http://www.crn.com/news/cloud/231901911/researchers-uncover-massive-security-flaws-in-amazon-cloud.htm;jsessionid=4oGgRFyqJiSkXd0xONb5vQ**.ecappj02
http://arstechnica.com/business/news/2011/11/vulnerabilities-give-hackers-ability-to-open-prison-cells-from-afar.ars
http://www.washingtontimes.com/news/2011/nov/6/prisons-bureau-alerted-to-hacking-into-lockups/
http://www.spiegel.de/netzwelt/web/0,1518,799555,00.html
Http://www.ws-attacks.org
http://www.golem.de/1104/83140.html
http://www.heise.de/newsticker/meldung/Deutschen-Unternehmen-droht-Aerger-bei-der-Nutzung-von-US-Clouds-1353083.html
http://www.heise.de/newsticker/meldung/EU-Cloud-Service-will-vor-US-Patriot-Act-schuetzen-1383794.html
http://www.spiegel.de/netzwelt/netzpolitik/0,1518,773495,00.html
http://events.ccc.de/congress/2007/Fahrplan/events/2227.en.html
26/11/11 30
Quellen
http://www.memagazine.org/backissues/membersonly/dec02/features/scadavs/scadavs.html
http://www.isa.org/FileStore/Intech/WhitePaper/Hacking-the-industrial-network-USversion.pdf
http://www.itwire.com/business-it-news/security/51262-two-us-water-authorities-control-systems-breached
BücherWeb application vulnerabilities: detect, exploit, prevent, Michael Cross, Steven Palmer
Financial Cryptography and Data Security: 13th International Conference, FC 2009, Accra Beach, Barbados,Roger Dingledine, Philippe Golle
Seven Deadliest Web Application Attacks By Mike Shema
SQL injection attacks and defense, Justin Clarke
SSL and TLS: theory and practice, Rolf Oppliger
Cloud Security and Privacy: An Enterprise Perspective on Risks and Compliance, Tim Mather, Subra Kumaraswamy, Shahed Latif
RESTful Web Services Cookbook: Solutions for Improving Scalability and Simplicity, Subbu Allamaraju