Home >Career >Risikoanalyse von Twitter

Risikoanalyse von Twitter

Date post:05-Aug-2015
Category:
View:615 times
Download:0 times
Share this document with a friend
Transcript:

1. Risikoanalyse von Twitter Abschlussvortrag zur Diplomarbeit Christian Hops 2. Gliederung

  • Einfhrung
  • Twitter
  • Grundlagen der Risikoanalyse
  • Risikoanalyse von Twitter
  • Fragen

3. Twitter: Allgemeines & Zahlen

  • Mikroblogging
  • 190 Mio Nutzer
  • 140 Mio Nachrichten/Tag
  • 300.000 registrierte Drittanwendungen

4. Twitter: Funktionen 5. Grundlagen: Risikoanalyse

  • Risikopotential als Eintrittswahrscheinlichkeit multipliziert mit Konsequenzen
  • Eintrittswahrscheinlichkeit
    • Angreifer
    • Schwachstelle
  • Konsequenzen
    • Verletzte Schutzziele
    • Verletzte Benutzer-Annahmen
  • Strategien zum Umgang mit Risiken

6. Prmissen der Risikoidentifizierung

  • Mittel: Literaturrecherche & Analyse des Front-Ends
  • Vor allem Risiken durch Sicherheitslcken in der Software
  • Beschrnkung auf Webanwendung und API

7. Code-Injection

  • Shell Injection
  • Programmcode Injection
  • SQL Injection
  • JSON Injection
  • File Inclusion
  • Cross-Site Scripting (XSS)

8. Angriffe auf Benutzer

  • Cross-Site Request Forgery (XSRF)
  • Clickjacking
  • JSON Hijacking

9. Angriffe auf Dienste

  • Distributed Denial of Service-Angriffe
  • DNS Hijacking
  • Kurz-URL Anbieter
  • Google Apps

10. Unzureichende Sicherheitspolitik

  • Verschicken von geheimen Zugangsdaten per Mail
  • Administrationstools
  • Versteckte Befehle
  • Unsichere Serverkonfiguration

11. Unsicheres Sitzungsmanagement

  • Sitzungstoken bleibt gltig
  • Mithren des Sitzungstokens

12. Angriffe auf Zugangsdaten

  • Zugangsdaten per Brute-Force erraten
  • Phishing-Angriff per
    • Mail
    • Tweet
    • Direktnachricht
    • Sign in with Twitter auf Third-Party Webseite

13. Schwachstellen durch Drittanwendungen

  • Bsartige/Kompro-mittierte Anwendung
  • Zu grobe Rechtevergabe
  • Anwender kaum sensibilisiert

14. Risikobewertung: Nutzergruppen

  • Bewertung des Risikopotentials abhngig vom Nutzertyp
  • Fnf Nutzergruppen
    • passive Nutzer
    • aktive Nutzer
    • Organisationen
    • Journalisten
    • Entwickler von Third-Party Anwendungen

15. Bewertung eines einzelnen Risikos 16. Bewertungsmuster 17. Ergebnisse der Bewertung I

  • Passive Benutzer
    • 18 Risiken
    • Top: Code-Injection, unzureichende Sicherheitspolitik
  • Aktive Benutzer
    • 42 Risiken
    • Top: Angriffe auf Zugangsdaten, unzureichende Sicherheitspolitik
  • Organisationen
    • Zustzliches Risiko: Austausch von Twitter-Zugangsdaten innerhalb der Organisation

18. Ergebnisse der Bewertung II

  • Journalisten
    • 42 Risiken
    • Astroturfing: Von Platz 38 auf 33
  • Entwickler von Drittanwendungen
    • 7 Risiken
    • Top: Kompromittierung der Anwendung, zu grobe Rechtevergabe

19. Gegenmanahmen

  • 17 von 44 identifizierten Risiken knnen ausschlielich durch Twitter begegnet werden
  • Oftmals ungengend umgesetzt
  • Vorgeschlagene Gegenmanahmen wurden im letzten halben Jahr implementiert

20. Fragen & Diskussion

Embed Size (px)
Recommended