Fachtagung Datensicherheit im Internet 20.2.2019 - Folienversion v49 - Informatik

Die Seite wird erstellt Sibylle-Susanne Jordan
 
WEITER LESEN
Fachtagung Datensicherheit im Internet 20.2.2019 - Folienversion v49 - Informatik
Fachtagung
Datensicherheit im Internet
20.2.2019
Folienversion v49
Fachtagung Datensicherheit im Internet 20.2.2019 - Folienversion v49 - Informatik
Personen

Hochschule Trier
• Joscha Grüger
• Britta Herres
• Tobias Krumholz
• Konstantin Knorr
• Rainer Oechsle
• Jutta Straubinger
Vorstellungsrunde Teilnehmer
• Name
• Schule
• Fächer
• Informatik Grundkurs / Leistungskurs
• Selbsteinschätzung Vorkenntnisse IT-Sicherheit:
  Niedrig – Mittel - Hoch
20.2.2019                Fachtagung Datensicherheit   2
Fachtagung Datensicherheit im Internet 20.2.2019 - Folienversion v49 - Informatik
Zielsetzung

Der Workshop richtet sich an Lehrerinnen, Lehrer,
Lehramtskandidatinnen und Lehramtskandidaten, die sich im
Bereich IT-Sicherheit weiterbilden wollen.
Ausgewählte Themen werden anhand praktischer Szenarien unter
Anleitung erprobt und diskutiert.
Der Schwerpunkt liegt im Selber-Ausprobieren sowie auf dem
Verstehen der Verfahren und der dazugehörigen Techniken.
Zielsetzungen sind die Wissensvermittlung und die
Sensibilisierung für die Themen insbesondere unter dem Aspekt
der „Portabilität in den Informatik-Unterricht“.

20.2.2019               Fachtagung Datensicherheit          3
Fachtagung Datensicherheit im Internet 20.2.2019 - Folienversion v49 - Informatik
Zeitplan

Zeitraum
  9:30 – 9:45 Begrüßung inkl. Vorstellungsrunde, Infrastruktur, Einführung
  9:45 – 11:00 Netzwerkanalyse von Klartextkommunikation
 11:00 – 11:20 Kaffeepause
 11:20 – 12:30 Verschlüsselung von Web-Seiten, Zertifikate
 12:30 – 13:30 Mittagspause in Mensa
 13:30 – 15:00 Datenschutz und Webtracking
 15:00 – 15:20 Kaffeepause
 15:20 – 16:00 Anonymität im Internet mit TOR
                    Offene Fragerunde, Abschlussdiskussion und
            16:00
                    Rückmeldung zu Einsatzmöglichkeiten im Unterricht

20.2.2019                              Fachtagung Datensicherheit            4
Fachtagung Datensicherheit im Internet 20.2.2019 - Folienversion v49 - Informatik
Didaktik

• Etwas Theorie, viel Praxis
• Fragen jederzeit erwünscht
• Unterlagen
     • Folien mit Theorie und Hintergrundinformationen
     • Anleitung mit Lösungen zu den Themen, Basisanleitungen für alle,
       plus optionale Anleitungen für Fortgeschrittene
• 40-90 Minuten pro Thema. Überblick und Probleme statt zu
  viele Details. Vertiefung in Folien und über Referenzen.
• Voraussetzung: Grundkenntnisse
     • im Umgang mit den Betriebssystemen Ubuntu und Windows und
     • der Protokolle TCP und IP
• Bearbeitung einzeln oder in Teams
• Unterstützung bei der Durchführung durch Hochschul-Team

20.2.2019                    Fachtagung Datensicherheit               5
Fachtagung Datensicherheit im Internet 20.2.2019 - Folienversion v49 - Informatik
Infrastruktur

• Ubuntu 16.04 LTS Linux mit Wireshark auf VMWare Image am
  Vormittag
• Windows 7 mit Firefox und dem TOR-Browser am Nachmittag
• Ubuntu VMWare kann zuhause / in der Schule weiter genutzt
  werden
• Infos zu Programmen in Unterlagen
• Hochschul-Account für Netzzugang, Mail, Home-Laufwerke,
  Zugriff auf SSH-Sever, FTP-Server, Zugang zum Intranet, …
• Hochschul-Accounts nur temporär

20.2.2019               Fachtagung Datensicherheit            6
Fachtagung Datensicherheit im Internet 20.2.2019 - Folienversion v49 - Informatik
Grundlagen
Netzwerke und IT-Sicherheit
Fachtagung Datensicherheit im Internet 20.2.2019 - Folienversion v49 - Informatik
OSI Referenz-Modell

    Anwendung                                          Anwendung
                            Protokolle
    Darstellung                                        Darstellung

       Sitzung                                           Sitzung

     Transport                                          Transport

    Vermittlung       Vermittlung      Vermittlung     Vermittlung

     Sicherung        Sicherung          Sicherung      Sicherung
                      Bitübertra-       Bitübertra-
  Bitübertragung                                      Bitübertragung
                         gung              gung

    Host A                     Router                      Host B
20.2.2019                Fachtagung Datensicherheit                    8
Fachtagung Datensicherheit im Internet 20.2.2019 - Folienversion v49 - Informatik
Übersicht relevanter Protokolle

                                   HTTP / HTTPS

                                                                              TELNET
                    SNMP
       DHCP

                                                  SMTP

                                                         IMAP

                                                                POP3
                           DNS
              NTP

                                                                       FTP
                                                          SSL
               UDP                                        TCP

                            IP (v4 und v6)                             ICMP

              ARP          Ethernet & WLAN                             LLC

20.2.2019                        Fachtagung Datensicherheit                            9
Fachtagung Datensicherheit im Internet 20.2.2019 - Folienversion v49 - Informatik
FTP

• FTP = File Transfer Protocol
• Einsatzgebiet: Dateiübertragung (Download und Upload)
• Einfaches zeichenorientiertes TCP-basiertes Protokoll.
  Verwendet den TCP Standard Server-Port 21 für die
  „Kontrollverbindung“ und weitere TCP-Verbindungen mit
  anderen Ports für den Datei Up- und Download.
• Klartext-Protokoll ohne Sicherheitsfunktionen wie z.B.
  Verschlüsselung, d.h., Passwörter, Dateiinhalte und
  Kommandos werden im Klartext übertragen.
• Der FTP-Client ist auf vielen Betriebssystemen über die
  Kommandozeile aufrufbar, z.B.
     ftp knorr@ftp.hochschule-trier.de
• Abgesicherte Alternativen: SSH, SFTP, FTPS

20.2.2019                 Fachtagung Datensicherheit        10
Telnet

• Telnet = Teletype Network
• Einsatzgebieten:
     • Fernzugang zu Servern: Konfiguration, Fernwartung, Zugang zu
       Datenbanken. Authentisierung über Eingabe von Benutzernamen
       und Password.
     • Verbindungstests z.B. bei HTTP, SMTP oder IMAP
• Einfaches zeichenorientiertes TCP-basiertes Protokoll.
  Verwendet den TCP Standard Port 23 für den Server.
• Klartext-Protokoll ohne Sicherheitsfunktionen (wie FTP)
• Ein Telnet-Client ist machen Betriebssystemen über die
  Kommandozeile aufrufbar, z.B.
     telnet localhost
• Abgesicherte Alternative: SSH

20.2.2019                   Fachtagung Datensicherheit                11
DNS (Domain Name System)

• Wichtigste Aufgabe: Domain Name in IP-Adresse
  übersetzen
• Grund: Menschen können sich IP-Adressen schlecht
  merken
• Bis Mitte der 80er war Namensraum flach in einem
  File (hosts.txt) organisiert. Heute ist der Namens-
  raum hierarchisch strukturiert und wird von der
  ICANN verwaltet. Für die Top Level Domain de
  verwaltet DENIC die Domain Namen.
• DNS verwendet UDP-Port 53 für Client/Server und
  TCP-Port 53 für Server/Server Kommunikation.
• Bekannte Implementierung für DNS-Server: BIND
• DNS-Clients: nslookup ist in vielen Kommandozeilen
  von Betriebssystem integriert. Beispielaufruf:
       nslookup www.kicker.de
20.2.2019                Fachtagung Datensicherheit     12
HTTP = HyperText Transfer Protocol

• 1989 erschaffen (zusammen mit URL und HTML),
  Grundlage des WWW
• Prominentes Protokoll der Anwendungsschicht
• Zustandslos
• Verwendet TCP in der Transportschicht, Server-Port:80
• Klartext-Protokoll ohne Sicherheitsfunktionen. D.h. alles
  Informationen werden ungeschützt übertragen.
• Abgesicherte Alternative: HTTPS (HTTP über SSL)

20.2.2019                 Fachtagung Datensicherheit          13
Vertikale Integration von
Sicherheitsdiensten

Welcher Sicherheitsdienst soll in welcher Schicht realisiert
werden?

                            Anwendung                             SSH, SMIME, PGP
                            Darstellung
   OSI - Schichtenmodell

                              Sitzung                                SSL
                             Transport
                            Vermittlung                             IPSec
                             Sicherung                            WEP, WPA
                           Bitübertragung
20.2.2019                            Fachtagung Datensicherheit                     14
Grundwerte der IT-Sicherheit

• Vertraulichkeit (engl. Confidentiality)
• Integrität (engl. Integrity)
• Verfügbarkeit (engl. Availability)

Häufig werden zusätzlich auch
• Authentizität (engl. Authenticity)
• Verbindlichkeit (engl. Non-Repudiation)
• Anonymität und Pseudonymität
mit zu den Grundwerten gezählt.

20.2.2019                Fachtagung Datensicherheit   15
Symmetrische und asymmetrische
Verschlüsselung

            Sender                                           Empfänger
   symmetrische Verschlüsselung                      symmetrische Entschlüsselung
                                    sicherer Kanal                                    Erklärungen:
    Schlüssel K                                              Schlüssel K
                                                                                      E = Verschlüsselungs-
                                                                                              funktion
     Quelltext,          E                              D          Quelltext,         D = Entschlüsselungs-
     Klartext                       Chiffretext                    Klartext                   funktion
                                                                                      DK(EK(M)=M
Beispiele: DES, 3DES, AES, A5/1, ChaCha20
             Sender                                          Empfänger A               Erklärungen:
    asymmetrische Verschlüsselung                    asymmetrische Entschlüsselung     E = Verschlüsselungs-
                                                             öffentlicher Schlüssel              funktion
                                                                des Empfängers
                                                                                       D = Entschlüsselungs-
                                                             geheimer Schlüssel                  funktion
                                                               des Empfängers
                                                                                       DSK-A(EPK-A(M))=M
       Quelltext          E                              D          Quelltext
                                     Chiffretext

Beispiele: RSA, Elgamal
20.2.2019                                      Fachtagung Datensicherheit                              16
Digitale Signatur mit asymmetrischen
Verfahren

                       A

Erklärungen:
M = Nachricht
H = Hash-Funktion
SK-A = geheimer Schlüssel von A
PK-A = öffentlicher Schlüssel von A
sig = Signatur-Funktion
ver = Verifikationsfunktion mit verPK-A(sigSK-A(X)) = X
Beispielverfahren: RSA, DSS, Elgamal
20.2.2019                     Fachtagung Datensicherheit   17
Geheimhaltung von Schlüsseln

                       Geheimhaltung von Daten

                     symmetrische Algorithmen

                       Geheimhaltung von Schlüsseln

                               asymmetrische Algorithmen

  Geheimhaltung der privaten Schlüssel          Authentizität der öffentlichen Schlüssel

                                                       Zertifikate, PKI, Web of Trust

                                                Authentizität eines öffentlichen Schlüssels

20.2.2019                          Fachtagung Datensicherheit                                 18
Vereinfachte X.509v03 Zertifikats-Struktur,
Details unter http://tools.ietf.org/html/rfc5280

•   Version
•   Seriennummer
•   Algorithmen-ID
•   Aussteller
•   Gültigkeitszeitraum
•   Zertifikatinhaber                                            Hash
•   Subject Public Key Info
     • Public-Key-Algorithmus
     • Subject Public Key
                                                            Signiert mit dem
     • E-Mail-Adresse, Domain Namen, …
                                                           geheimen Schlüssel
•   Eindeutige ID des Ausstellers (optional)                     der CA
•   Eindeutige ID des Inhabers (optional)
•   Erweiterungen
•   Zertifikat-Signaturalgorithmus
•   Zertifikat-Signatur

20.2.2019                     Fachtagung Datensicherheit                        19
Beispiel für die Auflösung eines
 Zertifizierungspfads

  Issuer: Root

  Subject: Root               Issuer: Root

Public Key: Root              Subject: ZDA               Issuer: ZDA
       …                     Public Key: ZDA             Subject: TN        Signer: TN

Signature of Root                  …                    Public Key: TN
                                                                           Kaufvertrag
                         Signature of Root                     …
                                                                                …
 Public Key wird benötigt,                            Signature of ZDA
 um Signatur zu prüfen
                                                                          Signature of TN

 Root-Zertifikat         ZDA-Zertifikat                  Teilnehmer-     Signiertes
                                                          zertifikat     Dokument
 20.2.2019                             Fachtagung Datensicherheit                    20
SSL
Was ist SSL?

• SSL = Secure Sockets Layer
• SSL ist eine Protokoll-Familie mit folgenden Eigenschaften:
     • Authentisierung der Kommunikations-Parteien: Einseitig oder
       beidseitig
     • Vertraulichkeit der Daten wird geschützt
     • Integrität der Daten wird geschützt
     • Replay-Schutz
• SSL ist ein hybrides Sicherheitsprotokoll.
• SSL liegt über TCP und unterhalb verschiedenster
  Anwendungsprotokolle wie z.B. HTTP.
• SSL ist heute das Standardprotokoll zur Absicherung von Web-
  Verbindungen. In den neueren Versionen heißt es TLS
  (=Transport Layer Security). Neuste Version (2018): TLS 1.3
• Das Protokoll-Design hat sich in der Praxis bewährt. In den
  Implementierungen treten jedoch immer wieder
  Schwachstellen auf.
20.2.2019                   Fachtagung Datensicherheit               22
Diffie-Hellman-Protokoll

• Alice und Bob wollen miteinander einen Schlüssel austauschen.
• Voraussetzung: Gegeben sei eine Primzahl p und eine
  Primitivwurzel g mod p.

            Alice                                           Bob
       wählt zufällig                                   wählt zufällig
                           ga mod p
       a ∈ {1,...,p-2}                                  b ∈ {1,...,p-2}
                           gb mod p                    berechnet
        berechnet
   (gb mod p)a mod p                              (ga mod p)b mod p
       = gab mod p                                    = gab mod p

• Der gemeinsame Schlüssel ist K = gab mod p
• DH ist auch über elliptische Kurven mit kürzerer Schlüssellänge
  möglich  ECDH
20.2.2019                  Fachtagung Datensicherheit                     23
Vereinfachtes SSL-Handshake-Protokoll
DHE_RSA mit Server-Authentisierung

                   Can we talk?, cipher list, RA

                RSA certificates, chosen cipher, RB,
                DH parameters p and g, gb mod p signed with RSA priv. key
     Alice /                                                                Bob /
     Client                  ga   mod p                                     Server
                             h(msgs,K)

                        Data protected with key K

Erklärungen:
• RA, RB sind Noncen inklusive Zeitstempel
• h = Hash-Funktion
• S = gab mod p kann von beiden Seiten mittels Diffie-Hellman berechnet
   werden. S heißt Pre-Master Secret
• K = h(S,RA,RB) ist das Master Secret. Es ist die Basis für die Generierung der
   symmetrischen Schlüssel für den Schutz der Anwendungsdaten.
• msgs = Alle vorherigen Nachrichten

20.2.2019                          Fachtagung Datensicherheit                        24
Beispiele für Chipher Suites in TLSv1.2

  Cipher-Suite = Key Exchange + Cipher + MAC      Key-Exchange Cipher         MAC
   TLS_NULL_WITH_NULL_NULL                        NULL         NULL           NULL
   TLS_RSA_WITH_NULL_MD5                          RSA          NULL           MD5
   TLS_RSA_WITH_NULL_SHA                          RSA          NULL           SHA
   TLS_RSA_WITH_NULL_SHA256                       RSA          NULL           SHA256
   TLS_RSA_WITH_RC4_128_MD5                       RSA          RC4_128        MD5
   TLS_RSA_WITH_RC4_128_SHA                       RSA          RC4_128        SHA
   TLS_RSA_WITH_3DES_EDE_CBC_SHA                  RSA          3DES_EDE_CBC   SHA
   TLS_RSA_WITH_AES_128_CBC_SHA                   RSA          AES_128_CBC    SHA
   TLS_RSA_WITH_AES_256_CBC_SHA                   RSA          AES_256_CBC    SHA
   TLS_RSA_WITH_AES_128_CBC_SHA256                RSA          AES_128_CBC    SHA256
   TLS_RSA_WITH_AES_256_CBC_SHA256                RSA          AES_256_CBC    SHA256
   TLS_DH_DSS_WITH_3DES_EDE_CBC_SHA               DH_DSS       3DES_EDE_CBC   SHA
   TLS_DH_RSA_WITH_3DES_EDE_CBC_SHA               DH_RSA       3DES_EDE_CBC   SHA
   TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA           TLSDHE_DSS
                                                    V1.3 Cipher3DES_EDE_CBC
                                                                Suites        SHA
   TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA              DHE_RSA      3DES_EDE_CBC   SHA
   TLS_DH_anon_WITH_RC4_128_MD5                   DH_anon      RC4_128        MD5
   TLS_DH_anon_WITH_3DES_EDE_CBC_SHA              DH_anon      3DES_EDE_CBC   SHA
   TLS_DH_DSS_WITH_AES_128_CBC_SHA                DH_DSS       AES_128_CBC    SHA
   TLS_DH_RSA_WITH_AES_128_CBC_SHA                DH_RSA       AES_128_CBC    SHA
   TLS_DHE_DSS_WITH_AES_128_CBC_SHA               DHE_DSS      AES_128_CBC    SHA
   TLS_DHE_RSA_WITH_AES_128_CBC_SHA               DHE_RSA      AES_128_CBC    SHA
   TLS_DH_anon_WITH_AES_128_CBC_SHA               DH_anon      AES_128_CBC    SHA
   TLS_DH_DSS_WITH_AES_256_CBC_SHA                DH_DSS       AES_256_CBC    SHA
   TLS_DH_RSA_WITH_AES_256_CBC_SHA                DH_RSA       AES_256_CBC    SHA
20.2.2019                                 Fachtagung Datensicherheit                   25
Grundlagen des technischen
Datenschutzes & Web-Tracking
Ziel des Datenschutz

• Oberste Zielsetzung (und besserer Name): Schutz der
  informationellen Selbstbestimmung von Menschen
• Jeder Mensch soll grundsätzlich selbst entscheiden, wem wann
  welche seiner persönlichen Daten zugänglich sind.
• Datenschutz will den „gläsernen Menschen“ verhindern.
• Datenschutz schützt vor missbräuchlicher Verwendung
  personenbezogener Daten.
• Datensicherheit / IT-Sicherheit:
  Schutz von Daten (auch ohne Personenbezug) bzgl. der
  Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit bei
  der Verarbeitung

20.2.2019                Fachtagung Datensicherheit          27
Personenbezogene Daten und
Verarbeitung nach §46 BDSG

•   Personenbezogene Daten sind alle Informationen, die sich auf eine
    identifizierte oder identifizierbare natürliche Person … beziehen; als
    identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt,
    insbesondere mittels Zuordnung zu einer Kennung … oder mehreren
    besonderen Merkmalen … identifiziert werden kann.
•   Besonderer Kategorien personenbezogener Daten: rassische und
    ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche
    Überzeugung, Gewerkschaftszugehörigkeit, genetische Daten, biometrische
    Daten, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen
    Orientierung
•   Verarbeitung = das Erheben, das Erfassen, die Organisation, das Ordnen,
    die Speicherung, die Anpassung, die Veränderung, das Auslesen, das
    Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung
    oder eine andere Form der Bereitstellung, den Abgleich, die Verknüpfung, die
    Einschränkung, das Löschen oder die Vernichtung.
•   Auftragsdatenverarbeitung ist die Verarbeitung oder Nutzung von
    personenbezogenen Daten durch einen Dienstleister im Auftrag der
    verantwortlichen Stelle.

20.2.2019                         Fachtagung Datensicherheit                       28
Beispiele und Gegenbeispiele für
personenbezogene Daten

•   Haar
•   Bankleitzahl
•   Luftbild
•   Autokennzeichen
•   E-Mail-Adresse
•   IP-Adresse
•   MAC-Adresse
•   Dienstliche Beurteilung
•   Statistik
•   Ärztlicher Befund
•   Bild
•   Landkarte
•   Übersichtsaufnahme vom Marktplatz

20.2.2019                   Fachtagung Datensicherheit   29
Grundsätze des Datenschutz

• Datenverarbeitung muss explizit erlaubt sein z.B. durch Gesetz
  oder Einwilligung, sonst ist sie verboten (juristisch: Verbot mit
  Erlaubnisvorbehalt )
• Zweckbindungsgrundsatz
• Erforderlichkeitsgrundsatz (umgangssprachlich:
  Datensparsamkeit)
• Betroffene haben Rechte wie z.B. Auskunfts- und
  Löschungsrecht, Anrufung des Datenschutzbeauftragten
• Bei der automatisierten Verarbeitung personenbezogener
  Daten gelten besondere Pflichten (z.B. Meldung der Verfahren,
  Beschreibung der Sicherheitsmaßnahmen)
• Bei Auftragsdatenverarbeitung muss der Auftragnehmer die
  gleichen Vorgaben einhalten wie der Auftraggeber. Dazu ist ein
  Vertrag aufzusetzen.

20.2.2019                 Fachtagung Datensicherheit             30
WEB-TRACKING
Gefahren durch Tracking beim Surfen und geeignete Schutzmaßnahmen
                                                                    31
Ausgewählte
HTTP-Nachrichten-Header

   Weitere Infos im RfC2616:
   Hypertext Transfer Protocol --
   HTTP/1.1

20.2.2019                           Fachtagung Datensicherheit   32
Einstiegsfrage

Wie viele Drittparteien wurden beim Besuch dieser drei
Newswebseiten eingebunden?

20.2.2019                Fachtagung Datensicherheit      33
Definitionen

      „Beim Web-Tracking geht                         “Web analytics is the

      es darum, dass Verbraucher                      objective tracking, collection,

      von dritten Parteien –                          measurement,

      sogenannten Trackern –                          reporting, and analysis of

      verfolgt werden, wenn sie                       quantitative Internet data to

      im World Wide Web                               optimize websites and web

      unterwegs sind.“                                marketing initiatives.“

      (Schneider, 2014)                                (Kaushik, 2007)

20.2.2019                          Fachtagung Datensicherheit                           34
Gründe

Der Markt um Verbraucherdaten ist ein weltweiter Milliardenmarkt:

•   „Die Gesamtumsätze mit Onlinewerbung in Deutschland lagen im Jahr 2008
    bei mehr als 3,1 Milliarden Euro. Für das Jahr 2016 prognostiziert PwC, dass
    die Umsätze im Online-Werbemarkt in Deutschland bei rund 6,55 Milliarden
    Euro liegen werden.“ (PwC, 2016)

•   „Der Werbeumsatz von Google belief sich im Jahr 2013 auf rund 51,07
    Milliarden US-Dollar.“ (Alphabet, 2015)

•   „Für das Jahr 2015 ist ein weltweiter Umsatz von 132 Milliarden US-Dollar
    prognostiziert, was einem Wachstum von knapp zwei Dritteln gegenüber dem
    Jahr 2011 entspricht.“ (Schneider, 2014)

20.2.2019                       Fachtagung Datensicherheit                    35
Funktionsweise > HTTP-Request

                                                                                                         93.184.219.20

                                                                    141.26.71.192
                   Gib mir:
                                      93.184.219.20
           http://huffingtonpost.de

                                            1.                       2.                 3.              4.
                                        93.184.219.20

                                                                                     93.184.219.20
141.26.71.192
                                       141.26.71.192                                                 141.26.71.192

                                             8.                        7.                6.              5.
     20.2.2019                                          Fachtagung Datensicherheit                                   36
20.2.2019   Fachtagung Datensicherheit   37
Funktionsweise > Plugin

20.2.2019                 Fachtagung Datensicherheit   38
Funktionsweise > Plugin

                                                                         FB
               Gib mir:                           ICH
            [LikeButton]   Facebook

                              9.                10.                11.   12.
                              FB
                                                                   FB
    ICH                      ICH                                         ICH

                             16.                15.            14.       13.
20.2.2019                             Fachtagung Datensicherheit               39
20.2.2019   Fachtagung Datensicherheit   40
Funktionsweise > Plugin

                                                           2

                 1
                                               HH
                          WWW
                                         3

                 4

                                         5

                                                       H

20.2.2019                 Fachtagung Datensicherheit   …       41
Beispiel: Lightbeam

                                                                 huffingtonpost.de
                                                                 twitter.com
                                                                 parsely.com
                                                                 adsafeprotected.com
                                                                 googlesyndication.com
                                                                 qservz.com
                                                                 tfag.de
                                                                 quantserve.com
                                                                 facebook.com
                                                                 ioam.de
                                                                 smartredirect.de
                                                                 googletagservices.com
                                                                 google-analytics.com
                                                                 research.de.com
                                                                 amazon-adsystem.com
                                                                 huffpost.com
                                                                 …

             Abruf von http://huffingtonpost.de am 11.09.2017.

20.2.2019                            Fachtagung Datensicherheit                          42
Fallbeispiel

   Analyse von 839 Webseiten Kliniken/Krankenhäusern
        Webseiten aus Klinikdatenbanken: Kliniken.de / weisse-liste.de
        (Statista 2015) schätzt Anzahl der Krankenhäuser in D für 2014
        auf 1980
   Messung
        Beim Öffnen der Hauptseite (Landingpage)
        Erfassung der Kommunikation, Cookies, etc.
        Durchgeführt am 12.08.2016 (*)
   Analyse der eingebetteten Drittanbieter
        Insgesamt 1277 verschiedene Drittanbieter
        ca. 42.000 Verbindungen, 27.000 zu Erst- und 15.000 zu
        Drittanbietern
        Betrachtung der am häufigsten eingebundenen Drittanbieter
   Visualisierung

20.2.2019                     Fachtagung Datensicherheit                 43
20.2.2019   Fachtagung Datensicherheit   44
Fallbeispiel > Top 20 der externen
Tracker

 #    Hosts                      Count           #     Hosts                         Count

 1    www.google-analytics.com   287 (34.2%)     11    maps.googleapis.com           40 (4.8%)

 2    fonts.gstatic.com          210 (25.0%)     12    googleads.g.doubleclick.net   39 (4.6%)

 3    fonts.googleapis.com       204 (24.3%)     13    i.ytimg.com                   38 (4.5%)

 4    ajax.googleapis.com        134 (16.0%)     14    static.doubleclick.net        38 (4.5%)

 5    www.google.com             78 (9.3%)       15    csi.gstatic.com               36 (4.3%)

 6    ssl.google-analytics.com   49 (5.8%)       16    maps.gstatic.com              32 (3.8%)

 7    s.ytimg.com                48 (5.7%)       17    code.jquery.com               30 (3.6%)

 8    www.youtube.com            45 (5.4%)       18    piwik.sana.aspr.de            29 (3.5%)

 9    maps.google.com            43 (5.1%)       19    www.facebook.com              28 (3.3%)

 10   stats.g.doubleclick.net    43 (5.1%)       20    www.etracker.de               26 (3.1%)

20.2.2019                           Fachtagung Datensicherheit                                   45
Fallbeispiel > Ergebnis

Analyse von 839 Webseiten Kliniken/Krankenhäusern in
Deutschland
                            523 von 839 Klinikseiten binden einen Service von
                     !                             Google ein!
                                               (287 x Google-Analytics)

                         weitere Services
                         von Google
                                                     62 %

                    Google-Analytics
                                                    34 %

Quelle: Tim Wambach, Laura Schulte, Konstantin Knorr: Einbettung von Drittinhalten im
Web. Datenschutz und Datensicherheit 40(8): 523-527 (2016)

20.2.2019                              Fachtagung Datensicherheit                       46
Schutz > Rechtlich

• Unter Telemediengesetz (TMG) fallen nahezu alle Angebote des
  (deutschsprachigen) Internets
     •   das TMG begründet auch die „Impressumspflicht“

• Datenschutzerklärung (DSE) nach §13 Abs. 1 TMG fordert eine
  Unterrichtung
     •   über Art der (erhobenen) personenbezogenen Daten,
     •   Begründung und Zweckbestimmung,
     •   Hinweise bzgl. Weitergabe,
     •   etc.

20.2.2019                    Fachtagung Datensicherheit      47
Weitere Tests

Stiftung Warentest „Tracking: Wie unser Surfverhalten überwacht wird – und
was dagegen hilft“ vom 30.08.17,
getestet:
•    Adblock Plus
•    Better Privacy
•    Cliqz Add-on
•    Disconnect
•    Ghostery
•    NoScript
•    Privacy Badger
•    Scriptsafe
•    uBlock Origin

https://www.test.de/Tracking-Wie-unser-Surfverhalten-ueberwacht-wird-und-was-dagegen-hilft-5221609-5221870
20.2.2019                                         Fachtagung Datensicherheit                                 48
Übungen

 Übung 1: Lightbeam
 • Installation von Lightbeam und Abfrage
   von drei News-Webseiten.

 Übung 2: Disconnect
 • Installation von Disconnect (und uBlock
   Origin) und erneute Durchführung des
   Tests.

 Übung 3: Developer Tools
 • Arbeiten mit den Firefox Developer Tools.
   Betrachtung der Requests bei Abruf einer
   Krankenhauswebseite (bkt-trier.de).

20.2.2019                      Fachtagung Datensicherheit   49
Lösung > Übung 1

                                          Besuch von drei Webseiten
                                          - spiegel.de
                                          - focus.de
                                          - welt.de

                                          ca. 70 direkt verbundene
                                          Drittparteien

                                          ca. 140 indirekt
                                          verbundene Drittparteien

                                          (Messung vom 12.09.2017)

20.2.2019          Fachtagung Datensicherheit                         50
Lösung > Übung 2

                       Besuch von drei Webseiten
                       - spiegel.de
                       - focus.de
                       - welt.de

                       ca. 28 direkt verbundene Drittparteien

                       ca. 29 direkt und indirekt verbundene
                       Drittparteien

                       Werbeblocker Information bei spiegel.de

                       (Messung vom 12.09.2017)

20.2.2019          Fachtagung Datensicherheit                    51
Lösung > Übung 2

                       Besuch von drei Webseiten
                       - spiegel.de
                       - focus.de
                       - welt.de

                       ca. 12 direkt verbundene Drittparteien

                       ca. 15 direkt und indirekt verbundene
                       Drittparteien

                       Keine Werbeblocker Information bei
                       spiegel.de

                       (Messung vom 12.09.2017)

20.2.2019          Fachtagung Datensicherheit                   52
Lösung > Übung 3

20.2.2019          Fachtagung Datensicherheit   53
Lösung > Übung 3

20.2.2019          Fachtagung Datensicherheit   54
Lösung > Übung 3

I.    Welche Drittparteien werden eingebunden und zu welchem
      Zweck?
      •   google.analytics.com
      •   fast.fonts.net
II.   Welche Informationen werden im Header bei der Verbindung
      zu „fast.fonts.net“ übertragen? Welche Rückschlüsse kann der
      Drittanbieter daraus ziehen?

III. Öffnen Sie eine beliebige Unterseite – welche Verbindungen
     wurden diesmal erstellt und welche Informationen
     übertragen? Betrachten Sie insbesondere erneut
     „fast.fonts.net“.
      •     Im (HTTP-)Referer findet sich die geöffnete Webseite – auch bei
            Unterseiten. Dem Fontanbieter ist daher stets bekannt, welche
            Webseiten zu welcher Zeit von welcher IP auf bkt-trier.de abgefragt
            werden. Die Daten werden auch übertragen, wenn sich die
            Ressource bereits im Browsercache befindet.

20.2.2019                                   Fachtagung Datensicherheit            55
Lösung > Übung 3

  IV. Betrachten Sie die übertragenen Cookies (Reiter „Cookies“).
          •        Von bkt-trier.de wird eine Session-ID gesetzt.
          •        Bei mehrmaligem Herunterladen werden noch weitere Cookies sichtbar.

  V. Zu welchen Drittanbietern werden Cookies übertragen? Wieso werden
     keine Cookies zu Google Analytics übertragen?
          •        Google-Analytics setzt die Cookies im Namen der Webseite. Übertragen wird
                   das Cookie anschließend als GET-Parameter im Aufruf von GA.

   Cookies von bkt-trier.de                              GET Parameter zu google-analytics.com

20.2.2019                                  Fachtagung Datensicherheit                            56
Referenzen und Literatur

(Schneider, 2014) M. Schneider, M. Enzmann, M. Stopczynski: Web-Tracking-
Report 2014, Fraunhofer SIT

(Kaushik, 2007) Avinash Kaushik: Web Analytics: An Hour a Day, John Wiley &
Sons, 2007

(PwC 2016) PwC. Umsätze mit Onlinewerbung in Deutschland in den Jahren 2005
bis 2019* (in Millionen Euro).

(Alphabet 2015) Alphabet. (n.d.). Werbeumsätze von Google in den Jahren 2001
bis 2015 (in Milliarden US-Dollar).

(Statista 2015) Anzahl der Krankenhäuser in Deutschland in den Jahren 2000 bis
2014 http://de.statista.com/statistik/daten/studie/2617/umfrage/anzahl-der-
krankenhaeuser-in-deutschland-seit-2000/

20.2.2019                      Fachtagung Datensicherheit                     57
TOR – The Onion Router
TOR - Überblick

 • TOR = The Onion Router
 • Basiert auf einem vom Office of Naval Research finanzierten
    Projekt, 1995
 • Bietet Sender- und Empfängeranonymität (mit gewissen
    Einschränkungen)
 • Basiert auf dem „schichtweisen“ Verpacken der Nachricht
    (Analogie: „Zwiebel“ oder „Teleskop“)
   ◦ Nachricht wird über eine Kette von
     Onion Routern geleitet.
   ◦ „Schicht“ entspricht einer
     Verschlüsselung.
   ◦ Jeder Onion Router entpackt eine
     Schicht der Nachricht.

20.2.2019                Fachtagung Datensicherheit              59
TOR-Erklärungen

TOR-Erklärung
https://www.torproject.org/about/overview.html

Hidden Service Erklärung:
https://www.torproject.org/docs/hidden-services.html

20.2.2019                Fachtagung Datensicherheit    60
Aufbau einer TOR-Verbindung mit 2 Hops
   zu einem Web-Server
 TOR Client / Onion Proxy                       Onion Router 1                         Onion Router 2      Web Server
 (OP)                                           (OR1)                                  (OR2)
  Circuit      Create c1, {gx1}PKOR1                        (gx1)y1=k1
  Aufbau
               Created c1, gy1, H(k1)
 (gy1)x1=k1

Circuit        Relay, c1, (Extend, OR2, {gx2}PKOR2)k1         Create c2, {gx2}PKOR2
                                                                                              (gx2)y2=k2
Erweiterung    Relay, c1, (Extended,   gy2,   H(k2))k1        Created c2, gy2, H(k2)
  (gy2)x2=k2

Verbindung Relay, c1, (()k2)k1 Relay, c2, ()k2               
zum Ziel   Relay, c1, (()k2)k1 Relay, c2, ()k2               

                                                                  Anmerkungen:
     Erklärungen:
                                                                  •  Der gesamte TOR-Traffic wird über TLS
     c1, c2 = CirIDs
                                                                     geschützt.
     {} = asymmetrischer Verschlüsselung
                                                                  •  Die letzte Verbindung zum Web-Server ist
     () = symmetrische Verschlüsselung                               über TOR nicht geschützt.
     H = Hashfunktion                                             •  DH wird über elliptischen Kurven
     PK = Public Key                                                 ausgeführt.
     g = erzeugendes Element einer EC                             •  Per Default werden 3 statt 2 Hops
     x1,x2,y1,y2 zufällige DH-Werte                                  verwendet.
   20.2.2019                                             Fachtagung Datensicherheit                                     61
Bösartiger Exit Node

Eve kontrolliert den Exit Node und kann im Klartext übertragene
Daten wie z.B. Passwärter und Benutzernamen mitlesen.

20.2.2019                Fachtagung Datensicherheit               62
Traffic Analysis

Eve kontrolliert Entry und Exit Node und kann ein- und
ausgehenden Traffic vergleichen. Sie kennt somit Alices IP-
Adresse und ggf. den Inhalt der Kommunikation.

20.2.2019                 Fachtagung Datensicherheit          63
Angriff über Muster

Eve ist ein bösartiger Server, der Pakete in gewissen
Zeitabständen (Muster) an Alice sendet.
Wenn Eve auch Entry Node von Alice ist, kann sie das Muster
wiedererkennen und kennt die IP Adresse von Alice.

20.2.2019                Fachtagung Datensicherheit           64
Feedback
Feedback

• Welche Themen haben Ihnen gut, welche nicht gefallen?

• Verbesserungsvorschläge?

• Vorschläge für weitere Themen?

• Tempo?

• Feedback
        •   Persönlich
        •   per E-Mail an knorr@hochschule-trier.de

20.2.2019                     Fachtagung Datensicherheit   66
Vielen Dank für Ihre Teilnahme.
Gute Heimreise.
Sie können auch lesen