Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Private Daten und das Internet Raphael Wigoutschnigg Universität Klagenfurt Angewandte Informatik Systemsicherheit syssec.

Ähnliche Präsentationen


Präsentation zum Thema: "Private Daten und das Internet Raphael Wigoutschnigg Universität Klagenfurt Angewandte Informatik Systemsicherheit syssec."—  Präsentation transkript:

1 Private Daten und das Internet Raphael Wigoutschnigg Universität Klagenfurt Angewandte Informatik Systemsicherheit syssec

2 2 Gliederung Das Internet vergisst nichts Informationen in den falschen Händen Übertragung sensibler Daten – WLAN HTTP-Sitzungen & Session hijacking Ich weiß was du letzten Sommer getan hast Private Daten und das Internet

3 syssec3 Das Internet vergisst nichts 1 Warum vergisst der Mensch? Archive.org archiviert das Internet -Größe: 4.5 Petabyte (Stand 2009) -151 Milliarden Homepages gespeichert -Was gespeichert wurde, geht nicht mehr verloren. -Wachstum: 100 Terabyte/Monat (Stand 2010) Quelle: Private Daten und das Internet

4 syssec4 Das Internet vergisst nichts 2 Suchmaschinen indizieren Daten. Daten bleiben nach dem Löschen im Cache. Beispiele -http://www.google.at -http://123people.at -www.yasni.de -Facebook Jeder, der irgendwo im Internet aufscheint, wird auch gefunden. Private Daten und das Internet

5 syssec5 Informationen in den falschen Händen 1 Im Internet gibt es keine Privatsphäre -In Social Networks werden leichtfertig Informationen gepostet. -Das Löschen der Daten kann nicht kontrolliert werden. -Daten können weitergegeben/verkauft werden. Data-Mining & Profiling -Persönliches Profil (z.B. Interessen) werden erstellt. -Freigegeben Daten können eventuell nie mehr gelöscht werden. -Daten können in falsche Hände geraten. Cyber Stalking & Rufmord -Digitales Nachstellen -Verbreiten von Gerüchten Private Daten und das Internet

6 syssec6 Informationen in den falschen Händen 2 Behörden -Können auf Daten zugreifen -Betreiber übergeben auf Anfrage Daten. -Britischem Paar wurde Einreise in die USA wegen einer Twitter-Nachricht verwehrt.… free this week for a quick gossip/prep before I go and destroy America? Arbeitgeber -Analyse von Bewerbern -Zusatzinfos einholen -Vorbereitung auf Gespräche Private Daten und das Internet

7 syssec7 Informationen in den falschen Händen 3 Interesse der Arbeitgeber -Kommunikationsfähigkeiten -Veröffentlichung von unangemessenen Fotos -Alkohol- oder Drogenkonsum -Bemerkungen über ehemalige Arbeitgeber -Qualifikationen (korrekte Angabe bei Bewerbung) -Diskriminierung anderer -Benutzernamen (nomen est omen) -Kriminelle Vergangenheit (Zukunft?) Foreneinträge haben schon zu Entlassungen geführt. Quelle: CareerBuilder.de Private Daten und das Internet

8 syssec8 Informationen in den falschen Händen 4 Wie kann man sich schützen? -Keine sensiblen Daten publizieren. -Restriktive Einstellungen in Sozialen Netzwerken. -Nicht jeden als Freund akzeptieren (z.B. Facebook). -Sich selbst Googlen und eventuell Löschung von Daten beantragen. -Kinder frühzeitig sensibilisieren und informieren. Private Daten und das Internet

9 syssec9 Übertragung sensibler Daten – WLAN 1 Keine WLAN-Verschlüsselung -Lokaler Angreifer ( ) kann problemlos alle Daten mitlesen. -Auch ein Angreifer im Internet ( ) ist erfolgreich. -Vorsicht bei: Flughafen-WLAN, Hot-Spots in Städten, … Private Daten und das Internet

10 syssec10 Übertragung sensibler Daten – WLAN 2 WEP-Verschlüsselung hat keinen Schlüssel und kann nicht mehr mithören. -WEP ist veraltet und sollte nicht mehr verwendet werden. Private Daten und das Internet

11 syssec11 Übertragung sensibler Daten – WLAN 3 WEP-Verschlüsselung ruft hinzu hat den WEP-Schlüssel und kann also wieder mitlesen. Private Daten und das Internet

12 syssec12 Übertragung sensibler Daten – WLAN 4 WPA-Verschlüsselung -Jeder Client erhält einen eigenen Sitzungsschlüssel. -Auch kann jetzt nichts mehr ausrichten kann aber weiter ungestört mitlesen. Private Daten und das Internet

13 syssec13 Übertragung sensibler Daten – WLAN 5 Ende-zu-Ende Verschlüsselung (HTTPS) -Jetzt ist auch traurig. -Durch die Verwendung von HTTPS ist die Kommunikation bis zum Server gesichert. -HTTPS lässt sich bei vielen Webseiten einstellen. -Keine WLAN-Verschlüsselung nötig. Private Daten und das Internet

14 syssec14 HTTP-Sitzungen & Session hijacking 1 HTTP-Sitzungen werden verwendet, damit Webserver-Anfragen einem Benutzer zugeordnet werden können (Session-ID). - Warenkorb auf Amazon, Internetbanking, Foren - Facebook/Twitter/Google/Flickr/… Session hijacking = Übernehmen von Browser-Sitzungen FireSheep/DroidSheep -Angreifer kann Nachrichten lesen und schreiben. -Für gut gesicherte Web- Seiten kein Problem. -NICHT AUSPROBIEREN! Private Daten und das Internet

15 syssec15 HTTP-Sitzungen & Session hijacking 2 Benutzer sendet Anfrage an den Server. Angreifer hört die Anfrage mit (WLAN-Sniffer). Angreifer stellt eigene Anfrage an den Server und verwendet dabei die Session-ID. Der Server denkt, dass es sich um den Benutzer handelt und antwortet dem Angreifer. Private Daten und das Internet

16 syssec16 HTTP-Sitzungen & Session hijacking 3 Wann funktioniert Session hijacking? - Kommunikation nicht verschlüsselt. - Nur Login-Prozess verschlüsselt. - Angreifer kann den Benutzer abhören (z.B. ungesichertes WLAN). Wie kann man Session hijacking verhindern/erkennen? - Nur Seiten verwenden, die nach dem Login auch HTTPS- Verbindungen anbieten. - WLAN-Verschlüsselung aktivieren. - Firefox-Add-On: BlackSheep (hört die lokalen Angreifer ab ). Private Daten und das Internet

17 syssec17 Ich weiß was du letzten Sommer getan hast – Teil 1 Alles was wir tun, hinterlässt Spuren … auch im Internet … vor allem im Internet. Durch Scripte oder IFrames können Inhalte auf beliebigen Seiten angezeigt werden. Facebook kann somit relativ leicht verfolgen, welcher seiner User auf welchen Seiten surft. Aber auch Nicht-Facebook-User hinterlassen Spuren. Mehr als 1 Million Seiten verwenden diese Facebook Plugins. Private Daten und das Internet

18 syssec18 Ich weiß was du letzten Sommer getan hast – Teil 2 Aber auch Google kann das. Google Analytics bietet Webseiten-Besitzern die Möglichkeit Besucheranalysen durchzuführen. Dabei wird ähnlich wie bei Facebook eine JavaScript-Datei unbemerkt vom Benutzer von dessen Browser geladen. Google erhält somit durch das Script viele Informationen über die Nutzer und deren Verhalten im Internet (Logfiles) [10/Jul/2011:08:13: ] "GET /rssexport HTTP/1.1" "-" "Mozilla/5.0 (X11; [10/Jul/2011:08:13: ] "GET /rss HTTP/1.1" "-" "Mozilla/5.0 (X11; [10/Jul/2011:08:26: ] "GET /rss HTTP/1.1" "-" "Dlvr.it/ [10/Jul/2011:08:42: ] "GET /rss HTTP/1.1" "-" "Dlvr.it/ [10/Jul/2011:08:58: ] "GET /rss HTTP/1.1" "-" "Dlvr.it/ [10/Jul/2011:09:06: ] "GET HTTP/1.1" "-" [10/Jul/2011:10:53: ] "GET /rssexport HTTP/1.1" "-" "Mozilla/5.0 (X11; [10/Jul/2011:10:53: ] "GET /rss HTTP/1.1" "-" "Mozilla/5.0 (X11;... Private Daten und das Internet

19 syssec19 Ich weiß was du letzten Sommer getan hast – Teil 3 HTTP-Kommunikation ohne fremden Server Benutzer öffnet eine Webseite. Browser sendet eine HTTP- Anfrage. Server antwortet mit HTML-Code inkl. Links auf Bilder. Der Browser lädt automatisch das Bild 87px-Funso_24_Jan _2012_cropped.jpg nach. Private Daten und das Internet

20 syssec20 Ich weiß was du letzten Sommer getan hast – Teil 4 HTTP-Kommunikation mit fremdem Server Benutzer öffnet eine Webseite. Browser sendet eine HTTP- Anfrage. Server antwortet mit HTML-Code inkl. Links auf Bilder und einem Script von Google. Der Browser lädt automatisch die Bilder und startet das Script. Das Script lädt weitere Daten von Google nach und sendet dabei Google, auf welcher Webseite man sich gerade befindet (referer). Google weiß nun, welche IP-Adresse gerade auf welcher Seite surft. Zuordnung zu Namen durch Benutzerkonten ist möglich. Private Daten und das Internet

21 syssec21 Ich weiß was du letzten Sommer getan hast – Teil 5 Schätzungen nach verwenden 50% der größeren Webseiten Google Analytics. -kleine.at, orf.at, krone.at, kurier.at, geizhals.at, willhaben.at -ktn.gv.at, landesschulrat-kaernten.at, klagenfurt.at -… Gut 70% aller Webseiten verwenden Tracking-Dienste. Google AdWords wird auf bis zu 57% aller nennenswerten Webseiten verwendet. Für die Webmaster unter euch -Die Verwendung von vielen Tracking-Diensten ist datenschutzrechtlich zumindest problematisch. -Insgesamt ist das Einbinden von externen Inhalten bedenklich. Private Daten und das Internet

22 syssec22 Ich weiß was du letzten Sommer getan hast – Was tun? Aber was kann man dagegen tun? Add-Ons verwenden, um Überwachung zu erschweren. -Adblock -Ghostery -BetterPrivacy Anonymisierungssoftware -Tor -JonDo (früher JAP) -I2P (Invisible Internet Project) Die gleichzeitige Verwendung von Facebook & Co ist kontra- produktiv. Private Daten und das Internet

23 syssec23 Ich weiß was du letzten Sommer getan hast – Finale Und so sieht es dann aus -Egal wie gut wir verschlüsseln, -egal wie sehr wir darauf achten, nicht getrackt zu werden, -vielleicht geben wir dem Angreifer ja freiwillig die Daten? Private Daten und das Internet

24 Raphael Wigoutschnigg Universität Klagenfurt Angewandte Informatik Systemsicherheit syssec


Herunterladen ppt "Private Daten und das Internet Raphael Wigoutschnigg Universität Klagenfurt Angewandte Informatik Systemsicherheit syssec."

Ähnliche Präsentationen


Google-Anzeigen