Post on 04-Aug-2020
transcript
Daten-Security in der Lebensmittelbranche
FOTEC Forschungs- und Technologietransfer GmbHManuel Fasching, MSc
ecoplus. Lebensmittel Cluster NiederösterreichDI Katharina Wörndl, MSc
Wir starten pünktlich um 15:00 Uhr.
Agenda
• Einführung von ERP Systemen• Sicherheit im Web
Inhalt
• Die 10 kritischsten Sicherheitsrisiken• Zugriffskontrolle – Identifizierung, Authentifizierung, Autorisierung• Schutz von sensiblen Daten• Sichere Datenübertragung• Internet der Dinge (IoT)• Blockchain
Data Breaches (Datendiebstahle) und Hacks
https://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
Konsequenzen
• Sensible Daten werden gestohlen• E-Mail Adressen und Passwörter• Kreditkarteninformationen
• Bei Mehrfachverwendung der gleichen E-Mail/Passwort Kombinationkönnen weitere Accounts gehackt werden
• Schaden kostet Geld• Imageverlust für das Unternehmen
Sieben häufige Gründe, die in Unternehmen von heute zu großen Sicherheitslücken führen
• Das schwächste Glied der Kette sind Endanwender• Bei Schutz gibt es keine Mauern mehr• Mobilgeräte entwickeln sich schnell zur idealen Angriffsfläche• Verlust eines Mobilgeräts• Lücken im System• Cyberkriminelle werden erheblich unterschätzt• User können mit diesen neuen Taktiken nicht mithalten
Risiken für das eigene Unternehmen
• Jedes Unternehmen ist einzigartig, so sind es auch die Threat Aktoren, deren Ziele und Sicherheitsverletzungen
• Unterscheidung ob ich ein CMS (Content Management System) für einen Webauftritt der Firma verwende oder das gleiche CMS für sensible Daten verwende (Login, persönliche Daten)
• Risiken und dessen Auswirkungen müssen definiert und eingestuft werden
Je älter die Applikation, desto …
• mehr Wissen existiert • mehr Angriffs-Software existiert• mehr Schwachstellen sind offengelegt• weniger Verteidigung-Wissen standen den SW-Entwicklern zur Verfügung
Schutz vor wen: Thread Aktoren
• Cyber-TerroristenZiele: Schaden und Zerstörung anrichten
• Regierungsgesponserte AktorenZiele: Spionage, Diebstahl
• Organisierte Cyber-KriminelleZiele: Finanzieller Gewinn (Geld, Verkauf von sensitiven Daten)
• HacktivistenZiele: Geheimnisse aufdecken
• InsiderZiele: Zugriff innerhalb der Organisation bekommen
• Script KiddiesZiele: Angriff von Computersystemen und Netzwerken, Vandalismus
• Interne Benutzerfehler (Unbeabsichtigt)
Unterschiedliche Angriffswege
https://wiki.owasp.org/images/9/90/OWASP_Top_10-2017_de_V1.0.pdf
Die 10 kritischsten Sicherheitsrisiken – OWASP TOP 10
https://wiki.owasp.org/images/9/90/OWASP_Top_10-2017_de_V1.0.pdf
Injection
• Angreifer modifiziert Parameter und trickst somit das Programm aus um ungewollte Befehle auszuführen
Befehl Benutzereingabe Interpreter
Fehler in der Authentifizierung und Session Management
• IdentifizierungWer bin ich …
• AuthentifizierungIch bin …
• AutorisierungIch darf …
Fehler in der Authentifizierung und Session Management
• Multi-factor authentication• Passwort-Manager verwenden• Keine komplexen Passwörter selbst ausdenken, die schwer merkbar sind• Besser ist eine Kombination aus verschiedenen wenig gebräuchlichen Wörtern• Passwörter NIE mehrfach verwenden (Anderes Passwort für jeden Account)• Verwendung von JWT – Jason Web Tokens
Angriffspunkte
• Schwache Passwörter• Passwort-Zurücksetzen Prozess• Brute-force Attacken• Angriffe, die nicht bemerkt werden
Pwned
• https://haveibeenpwned.com/Passwords• https://haveibeenpwned.com
Absicherungen
• Brute Force Schutz• Einfügen Funktion erlauben, Passwort-Manager benötigen diese Funktionalität• Option zum Passwort anzeigen anbieten• Geschützte Passwörter sollten gegen Offline Attacken resistent sein• Bedrohungsbäume entwerfen
Verlust der Vertraulichkeit sensibler Daten
• Schutz am Client (Browser)• Schutz während der Datenübertragung
• Verwendung von SSL/TLS
• Schutz am Server• Schutz der Prozesse• Schutz des Speichers (Datenbank)
Begriffsdefinitionen
• SSL steht für „Secure Sockets Layer“ und ist eine Standardtechnologie für die Absicherung von Internetverbindungen und den Schutz sensibler Daten
• TLS ist eine aktualisierte Version von SSL, die höhere Sicherheit bietet (SSL ist als Begriff am häufigsten und wird daher noch immer verwendet, auch wenn TLS gemeint ist)
• HTTPS wird in der URL angezeigt, wenn eine Webseite durch ein SSL-Zertifikat geschützt ist
Unsichere Übertragung
• Keine SSL/TLS Verschlüsselung bei der Übertragung bedeutet, dass ein Angreifer sensitive Daten auslesen/mitlesen kann
• Zum Beispiel Benutzername und Passwort beim Login
• Schutz während der Datenübertragung• Verwendung von SSL/TLS
• Angreifer kann eine Sitzung übernehmen
Zertifikate
Zertifikat Error
IoT - Internet of Things (Internet der Dinge)
• Waschmaschinen, die sich vom Büro aus einschalten lassen• Kühlschränke, die den Besitzer alarmieren, wenn die Milch aus ist• Drucker bestellt automatisch Druckerpatronen nach• Automatische Einstellung eines Bürostuhles• Paketverfolgung• ...
Diese Geräte können nicht nur das eigene Netzwerk schädigen, sondern auch zu einem Angriffspunkt für das Internet selbst werden
Der Begriff IoT
• EN: Internet of Things - IoT• DE: Internet der Dinge – IdD• “Sensors and actuators embedded in physical objects are linked through wired and
wireless networks”• Sammelbegriff für Technologien, die es ermöglichen „Dinge“ (physische und virtuelle
Gegenstände) global miteinander zu vernetzen und diese durch Informations- und Kommunikationstechniken miteinander zusammenarbeiten lassen
• Der Begriff wurde 1999 eingeführt (RFID Tags)
Ziele des Internets der Dinge
• Automatisierte Erfassung von relevanten Informationen aus der realen Welt• Verknüpfung von Daten• Verfügbar machen der Informationen über ein Netzwerk• Reale Dinge stellen ihre Zustandsinformationen für die Weiterverarbeitung im
Netzwerk zur Verfügung• Speicherung von aktuelle Nutzdaten• Speicherung von Umweltbedingungen• Datenaustausch untereinander• Früherkennung von Austausch und Wartung
Was macht ein IoT Gerät?
• Sammelt Daten• Versendet Daten über das INTERNET• Empfängt Daten über das INTERNET• Führt Kommandos aus• Ist mit beliebigen elektronischen Systeme vernetzt• Unterstützt Menschen bei seinen Tätigkeiten
Eine Webcam ist auch ein IoT Device
• Vielen Geräten sieht man auf den ersten Blick nicht an, dass sie alle Eigenschaften eines klassischen IoT-Devices haben
• Webcam, die als Security-Cam oder Ähnliches beworben wird und IP-fähig ist• Meist nicht nur lokal erreichbar, sondern auch über ein Webportal• Zugriff kann über ein Smartphone erfolgen (Meistens gibt es entsprechende Apps
dazu)• Da die Kamera auch aus dem Internet erreichbar ist und Steuerbefehle von außen
entgegen nimmt, ist sie per Definition auch ein IoT-Gerät
IoT Gerätetypen
• Steuerungseinheiten von Industriemaschinen• Simple Sensoren• Elektronik kann beispielsweise folgendes sein
• Linux-Board • Single-Chip-Controller mit Netzwerk-Interface
• Eine IP-fähige Webcam ist auch ein IoT Gerät• Meist auch über ein Webportal erreichbar• Zugriff per Smartphone-App
Industrie 4.0
• Vernetzung: Steuerungen, Sensoren mechanische Komponenten und Menschen werden vernetzt. Die Kommunikation wird über das Internet der Dinge aufgebaut.
• Transparenz der Information: Aufnahme von Sensordaten, um Parameter für einen Produktionsregelkreis zu bekommen. Damit ist ein genaueres virtuelles Abbild der Produktionswirklichkeit zu erreichen
• Technische Assistenz: Menschliche Arbeiter werden durch technische Unterstützung entlastet. Diese technische Unterstützung umfasst eine intelligente Visualisierung ebenso wie die Abnahme von repetitiven oder gefährlichen Arbeiten.
• Dezentrale Entscheidungen: Kleine Steuerungseinheiten sollen Entscheidungen selbst fällen können, nur in Ausnahmefällen muss einen übergeordnete Stelle eine Entscheidung treffen.
Gefährdete Kandidaten
• Festplatten mit Cloudfunktion• Webcams• Netzwerkdrucker• NAS-Geräte• Digitale Videorecorder
Bedrohungen
Mirai• Befällt Webcams und Videorecorder• Nutzt diese Geräte, um Server im Internet durch millionenfache Anfragen lahmzulegen• Verhältnismäßig wenig eigener Rechnerleistung von Hackern• Aufbau von Bot-Netzwerken• 2016 rund 500.000 kompromittierte IoT-Geräte weltweit
Shodan
• Suchmaschine ähnlich wie Google• Gerätetypen oder spezifische Geräte können gesucht werden• Filter nach geografische Einschränkungen und Betriebssysteme, aber auch nach
offene Ports• Überblick über offene Ports, ungesicherte Zugänge (Datenbanken) und bekannte,
bereits ausgenutzte Schwachstellen• Keine Direktbetrachtung, sondern spiegelt das wieder, was Shodan beim letzten
Besuch (Crawling) vorgefunden hat• Crawler versucht über IoT- und Datenbank-Kommunikationsprotokollen und
Netzwerkprotokollen und Netzerk-Port möglichst viel über das Gerät herauszufinden
Insecam
https://www.insecam.org/
• Macht auf mangelndes Sicherheitsbewusstsein im Netz aufmerksam• Webseite sammelt offene IP-Kameras• Streamt den Inhalt der gesammelten IP-Kameras• Oft ungeschützte billige Überwachungskameras
IoT – beliebte Angriffsziele
• Billige IoT-Devices• Vernetzte Büro-Geräte• Produktionsanlagen und Systemen in der Lieferkette
IoT – Herausforderung
• Schnell wachsende Zahl von Gadgets zu intelligenten Geräten• Hersteller bringen neue Produkte schneller auf den Markt• Sicherheit wird wenig Priorität eingeräumt• Immer mehr Heimgeräte können mit dem Internet verbunden werden
• Oft nicht für den Nutzer relevant, sondern bewusst auf die Datenerfassung ausgerichtet
• Mangel an Bewusstsein bei Verbrauchern und Unternehmen• Vorteile von IoT-Technologien in Bezug auf Komfort und Kosteneinsparung
überwiegen die potenziellen Risiken• Unsichere Netzwerke, über die die Daten übertragen werden
IoT – Must Have
• Verschlüsselung in Geräte einbauen• Bestimmtes Sicherheitsniveau einhalten• Keine Standardpasswörter vergeben (0000, 1234)• Geräte mit individuellen Standardpasswörtern versehen• Benutzer dazu auffordern Passwörter zu ändern (Passwortrichtlinien vorgeben)• Sichere Datenübertragung• Sichere End-to-End-Infrastruktur
Beispiel Farbwechsellampe
• Einfache Farbwechsellampe• Zur App-Steuerung ist ein vollständiger TCP/IP-Stack eingebaut• Meist ohne jegliche Absicherung• Kann als Sprungbrett verwendet werden, wenn dieses vom Internet aus erreichbar ist• LÖSUNG: Nicht aus dem Internet erreichbar machen!
Gefahr Netzbetreiberschnittstelle
Beispiel Telekom 2016• Rund eine Millionen Router wurden durch einen Angriff auf einen Fernwartungs-Port gekapert• Der Angriff wollte eine Lücke im TR-069-Befehl für das Setzen eines NTP-Servers ausnutzen, um
eine Datei von einer fremdem Domain per wget herunterzuladen und auszuführen • Angriffsversuch im Minutentakt auf Port 7547• Router stürzten aber „nur“ ab (Durch die Häufigkeit der Angriffe und einer Verwundbarkeit in der
Interpretation von TR-069-Befehlen)• Router waren immun gegen den Code-Injection-Angriffsversuch• TR-069-Port hätte über das Internet nicht von arbiträren IP-Adressen erreichbar sein dürfen
Rubberducky
• Sieht aus wie ein USB-Stick• Gibt sich als Keyboard aus• Führt unbemerkt Befehle aus• Befehle können einfach mit einem
Texteditor wie z.B. Notepad vorgegeben werden
• Beispiele• Hintergrundbild ändern• WiFi Netzwerkpasswörter auslesen
und per E-Mail versenden
Sicherheitslücken (Vulnerability)
• Updaten, Updaten, Updaten• Regelmäßig auf Schwachstellen prüfen und diese auch Ernst nehmen• Veraltete Systeme, für die keine Updates mehr verfügbar sind austauschen• Sicherheit bereits in der Entwicklung (Software Lifecycle Management) und zu Begin
von neuen System-Architekturen und Planungen einbinden (Security First)
Blockchain
• Blockchain ist eine verkette Folge von Datenblöcken• Daten werden NICHT zentral sondern dezentral gespeichert• Alle Teilnehmer besitzen die gleichen Daten• Durch kryptische Verfahren wird sicher gestellt, dass die Blockchain nachträglich nicht
verändert werden kann• Daten sind von allen Beteiligten einsehbar (Können jedoch verschlüsselt
abgespeichert werden)• Durch digitale Signaturen sind Informationen nachvollziebar
Blockchain
• Nachverfolgbarkeit und Transparenz (Gefälschte Komponenten)• Digitaler Zwilling - Lückenlose Dokumentation• Datensicherheit durch krypto. Algorithmen• Einfache und eindeutige Geräteidentifikation• Einbindung Dritter nicht erforderlich• Erhöhter Automatisierungsgrad
• Automatisierte Transaktionen zwischen Geräten• Dienstleistungsaufträge durch Maschine selbst
• Vordefinierte Regeln durch Computercode (Smart Contract)© Elenabsl - stock.adobe.com
Blockchain Beispiele
• Transparente Lieferkette (Nachverfolgung welchen Web ein Lebensmittel zu welcher Zeit genommen hat und ob Bedingungen wie Temperaturvorgaben eingehalten wurden)
• Tachostand bei Autos• Baumaschine (wie oft und wie lange das Gerät benutzt wurde)• Gesundheitsbranche (Digitaler Patientenakt)• Öffentlicher Sektor – Automatisierte Steuererklärung• Elektromobilität – Unkomplizierte Abrechnungsmodelle für Ladestationen• Stromzähler – Automatisiertes Auslesen und Abrechnen von digitalen Stromzählern
Reale Blockchain Applikationen
• Mobilio – Punkte verdienen indem beim Autofahren das Smartphone nicht benutzt wird
• Everledger - Echtheit und Herkunft von Wertgegenständen nachweisen• Fizzy - Versicherung gegen Flugverspätungen• KodakOne - eine Plattform zum Schutz des Urheberrechtes• Modum - Supplychain Management Kühlung währen des Transportes
https://www.provenance.org/tracking_tuna_on_the_blockchain
Thunfisch Nachverfolgung auf der Blockchain
Blockchain Entscheidungsbaum
Abbildung 1 – vgl. Gervais, Wüst, 2017, Do you need a Blockchain?, S.3, https://eprint.iacr.org/2017/375.pdf
Nächster Termin
22. Juni 2020 15:00-17:30
• QM-Systeme
An Microsoft Teams-Besprechung teilnehmen
Unterlagen erhalten Sie per E-Mail.
Markus Hohlagschwandtnerhohlagschwandtner@fotec.at+43 2622 90333 130
Katharina Wörndl+43 2742 9000-19677k.woerndl@ecoplus.at