Unbedarfte Anwender und unfähige Betreiber; aber schuld sind immer die anderen - Prof. Dr. Dominik Herrmann Privacy and Security in Information ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Unbedarfte Anwender und
unfähige Betreiber; aber schuld
sind immer die anderen
Prof. Dr. Dominik Herrmann
Privacy and Security in
Information Systems Group
University of Bamberg
Slides: https://dhgo.to/schuld19
FÜNF
BEISPIELE
2
#1
Einfacher Fall:
Mirai Botnet
3
4
Wer ist schuld?
Die drei Studenten
Die Besitzer der Kameras
Der Hersteller der Kameras
5
Ausbreitung durch Login
mittels Standard-Passwörtern
M. Antonakakis et al. (2017): Understanding the Mirai Botnet. USENIX Security 2017.
6
Kriterien für Schuldfähigkeit
Fehlverhalten Kausalzusammenhang
Ein Akteur hat einen Verstoß Handlung oder Unterlassung
gegen ein Gesetz oder eines Akteurs
sozial akzeptierte Regeln Notwendige Voraussetzung
begangen. für das Ergebnis
Vorhersehbarkeit Handlungsfreiheit
Konnte ein Akteur die Folgen Akteur konnte aus
einer Handlung absehen? Alternativen wählen
Akteure müssen sich Akteur wurde nicht
angemessen informieren gezwungen oder überlistet.
7
#2
Nicht ganz so einfach:
ALDI-Kameras
8
Die Kameras IPC-10 AC, IPC-100 AC Ist kein Passwort gesetzt, kann fort-
und IPC-20 C hat Aldi mit einer Firm- an jeder einen Blick durch die Ka-
ware angeboten, die eine Nutzung mera werfen. Da die Modelle IPC-10
des Fernzugriffs auch dann zulässt, AC und IPC-100 AC mit einem Mikro-
wenn der Nutzer bei der Inbetrieb- fon ausgestattet sind, können Unbe-
nahme kein Passwort gesetzt hat. fugte sogar Gespräche belauschen.
Das wird dem Nutzer schnell zum Ferner sind diese Geräte motorge-
Verhängnis, die Geräte ändern über steuert schwenkbar, ein ungebe-
UPnP nämlich selbstständig die tener Gast kann also den Bildaus-
Router-Konfiguration, wodurch sie schnitt beliebig verändern. Alle drei
über Port 80 aus dem Internet Modelle können durch Infrarot-LED
erreichbar sind. auch in der Dunkelheit sehen.
9
10
Wer ist schuld?
Die Besitzer der Kameras.
kein Passwort oder
Usability: Nutzer wünschen
Default-Passwort ab Werk
sich einfache Einrichtung!
kein Zwang zum Ändern
Die Nutzer hätten nur das
des Passworts
Handbuch lesen müssen!
Änderung der
Nutzer sind für Ihre Sicher-
Router-Konfiguration
heit selbst zuständig
ohne Rückfrage
Der Hersteller der Kameras
11Wer ist schuld?
Die Umstände
Hersteller
Nutzer bezahlen nicht
für mehr Sicherheit!
Nutzer
Weil wir die Sicherheit
nicht überprüfen können!
Hersteller haben keinen Anreiz, Sicherheit einzubauen.
Folge: Market for Lemons
R. Anderson & T. Moore (2006), The Economics of Information Security. Science 314 (5799), pp. 610–613. 12Wie können wir die Umstände verbessern?
Hersteller verpflichten
Produkt-Haftung auf
Sicherheitsupdates für übliche
Sicherheitslücken ausdehnen
Lebensdauer bereitzustellen
Pflicht zur Code-Hinterlegung;
bei Insolvenz kann Community
die Pflege übernehmen
13#3
Ein ungelöstes Problem:
Sicherherheitslücken durch
Programmierfehler
14Beispiel 1: Fehlerhaft implementierte Verschlüsselung
In über 90 Prozent der Fälle, in denen Von den 100 angegriffenen Apps,
eine App-spezifische SSL-Zertifikats- enthielten 41 ausnutzbare Schwach-
validierung implementiert wurde, war stellen. Die Tester konnten erfolgreich
das Resultat, dass die Zertifikats- Bankdaten, […], PayPal, […], Zugangs-
validierung komplett ausgeschaltet daten zu Facebook, Email und Cloud-
wurde, so dass alle betroffenen Apps für Speicherdiensten sowie Instant-
die eben beschriebenen Man-In-The- Messaging-Anbietern abfangen und
Middle-Angriffe anfällig waren. […] mitlesen. […] auch die Apps einiger
namhafter Hersteller waren betroffen.
15S Fahl et al. (2012). Why Eve and Mallory Love Android: An Analysis of SSL (In)Security. CCS 2012. 16
Wer ist schuld?
Entwickler
PCI-DSS-Zertifikat-Auditor
Software-Framework-Anbieter
17Beispiel 2: SQL-Injections wegen falscher Ratschläge
Eine der Antworten:
https://stackoverflow.com/questions/19531044/creating-a-very-simple-1-username-password-login-in-php/19531260
18Wie können wir die Umstände verbessern?
Möglichkeit zur unsicheren
Dokumentation von Software-
Nutzung von Software-
Frameworks verbessern
Frameworks verhindern
40% fühlten sich in einer Studie mit
Entwicklern Freiheit geben; 124 Entwicklern nicht verantwortlich.
erinnern, dass Sicherheit in
47% sagten, sie bekämen nicht genug
ihre Verantwortung fällt
Freiheit und Autonomie für Sicherheit.
Y. Acar er al. (2017). Comparing the Usability of Cryptographic APIs. IEEE Security & Privacy 2017. 19
S. Spiekermann et al. (2018). Inside the Organization: Why Privacy and Security Engineering Is a Challenge for Engineers. Proc. IEEE (2018).#4
Ein aktuelles Problem:
Datenlecks wegen schlecht
gesicherter Nutzerkonten
2021
22
Wer ist schuld?
Johannes S.
Nutzer
Anbieter
23You are responsible for safeguarding your
account, so use a strong password and
limit its use to this account. We cannot
and will not be liable for any loss or
damage arising from your failure to
comply with the above.
(Twitter ToS)
24Wer ist schuld?
Die Umstände
Anbieter Nutzer
Nutzer haben in den Sind nicht bereit, sich
AGB zugestimmt, dass mit Sicherheitsdetails
sie sich selbst um ihre zu beschäftigen
Sicherheit kümmern Unterliegen kognitiven
Unser Dienst ist kostenlos; Restriktionen
wir haben keine Ressourcen; Systeme sind für normale
die Kunden honorieren es nicht Nutzer nicht zu durchschauen
(Market for Lemons)
25Umstände verbessern: nicht so einfach Passwort-Policy einführen: password => Password1! Klein-/Großbuchstaben, Ziffern, Sonderzeichen Igg1PaINNentlang
Zusätzliches Problem:
alte Accounts für Recovery
Überblick behalten fällt schwer
Die Umstände
CCC-Datenbrief als Lösung?
27#5
Ein Evergreen:
Software-Updates
28https://www.computerworld.com/article/3197048/cybercrime-hacking/wannacry-sometimes-you-can-blame-the-victims.html 29
Ransomware uses a particularly “WannaCrypt,”holds files hostage for nefarious technique that blocks the a $300 fee. […] The attack stemmed owner from accessing his or her files from a vulnerability found in by encrypting them and demanding Microsoft’s Windows platform, a ransom in order to have them which the tech giant addressed in an recovered. The specific breed of update from March. But that fix was ransomware that’s been disrupting only available for systems it businesses, hospitals, and currently supports, meaning older institutions around the world, versions like Windows XP were left referred to as “WannaCry” or susceptible. http://time.com/4779750/wannacry-ransomware-patch-windows-cybersecurity/ 30
Wer ist schuld?
Nachlässige Betreiber
Software-Hersteller
Nachrichtendienste „EternalBlue“
https://www.scientificamerican.com/article/why-installing-software-updates-makes-us-wannacry/
https://www.wired.com/story/eternalblue-leaked-nsa-spy-tool-hacked-world/ 3132
33
Wer ist schuld?
Die Umstände
Nutzer wissen nicht, ob eine
Webseite veraltete Software
einsetzt.
Wir arbeiten an einem Tool, mit dem
Nutzer herausfinden können, ob eine
Seite veraltete Software einsetzt.
34www.privacyscore.org
35#BONUS
Aus aktuellem Anlass:
Mitarbeiter im Support
36Empfänger-Adresse: domi@e .de
37Absender-Adresse: dh@e to
38Wer ist schuld?
Nachlässiger Anbieter
39Oder das
Ticket-System?
40Unbedarfte Anwender und unfähige Betreiber; aber schuld sind immer die anderen Prof. Dr. Dominik Herrmann Privacy and Security in Information Systems Group University of Bamberg @herdom auf Twitter Slides: https://dhgo.to/schuld19
Sie können auch lesen
