+ All Categories
Home > Career > Risikoanalyse von Twitter

Risikoanalyse von Twitter

Date post: 05-Aug-2015
Category:
Upload: christian-hops
View: 629 times
Download: 0 times
Share this document with a friend
20
Risikoanalyse von Risikoanalyse von Twitter Twitter Abschlussvortrag zur Diplomarbeit Christian Hops
Transcript

Risikoanalyse von TwitterRisikoanalyse von Twitter

Abschlussvortrag zur DiplomarbeitChristian Hops

2

Gliederung

Einführung Twitter Grundlagen der Risikoanalyse Risikoanalyse von Twitter Fragen

3

Twitter: Allgemeines & Zahlen

Mikroblogging 190 Mio Nutzer 140 Mio Nachrichten/Tag 300.000 registrierte Drittanwendungen

4

Twitter: Funktionen

5

Grundlagen: Risikoanalyse

Risikopotential als Eintrittswahrscheinlichkeit multipliziert mit Konsequenzen

Eintrittswahrscheinlichkeit• Angreifer• Schwachstelle

Konsequenzen• Verletzte Schutzziele• Verletzte Benutzer-Annahmen

Strategien zum Umgang mit Risiken

6

Prämissen der Risikoidentifizierung

Mittel: Literaturrecherche & Analyse des Front-Ends

Vor allem Risiken durch Sicherheitslücken in der Software

Beschränkung auf Webanwendung und API

7

Code-Injection

Shell Injection Programmcode Injection SQL Injection JSON Injection File Inclusion Cross-Site Scripting (XSS)

8

Angriffe auf Benutzer

Cross-Site Request Forgery (XSRF) Clickjacking JSON Hijacking

9

Angriffe auf Dienste

Distributed Denial of Service-Angriffe DNS Hijacking Kurz-URL Anbieter Google Apps

10

Unzureichende Sicherheitspolitik

Verschicken von geheimen Zugangsdaten per Mail

Administrationstools Versteckte Befehle Unsichere Serverkonfiguration

11

Unsicheres Sitzungsmanagement

Sitzungstoken bleibt gültig Mithören des Sitzungstokens

12

Angriffe auf Zugangsdaten

Zugangsdaten per Brute-Force erraten Phishing-Angriff per

• Mail• Tweet• Direktnachricht• „Sign in with Twitter“ auf Third-Party Webseite

13

Schwachstellen durch Drittanwendungen

Bösartige/Kompro-mittierte Anwendung

Zu grobe Rechtevergabe

Anwender kaum sensibilisiert

14

Risikobewertung: Nutzergruppen

Bewertung des Risikopotentials abhängig vom Nutzertyp

Fünf Nutzergruppen• passive Nutzer• aktive Nutzer• Organisationen• Journalisten• Entwickler von Third-Party Anwendungen

15

Bewertung eines einzelnen Risikos

16

Bewertungsmuster

17

Ergebnisse der Bewertung I

Passive Benutzer• 18 Risiken• Top: Code-Injection, unzureichende

Sicherheitspolitik

Aktive Benutzer• 42 Risiken• Top: Angriffe auf Zugangsdaten, unzureichende

Sicherheitspolitik

Organisationen• Zusätzliches Risiko: Austausch von Twitter-

Zugangsdaten innerhalb der Organisation

18

Ergebnisse der Bewertung II

Journalisten• 42 Risiken• Astroturfing: Von Platz 38 auf 33

Entwickler von Drittanwendungen• 7 Risiken• Top: Kompromittierung der Anwendung, zu

grobe Rechtevergabe

19

Gegenmaßnahmen

17 von 44 identifizierten Risiken können ausschließlich durch Twitter begegnet werden

Oftmals ungenügend umgesetzt Vorgeschlagene Gegenmaßnahmen

wurden im letzten halben Jahr implementiert

20

Fragen & Diskussion


Recommended