Chancen und Risiken in der Online-Gesellschaft

information technology research - www.cnlab.ch
Swisscom Veranstaltung, Hotel Einstein, St. Gallen, 14. 3. 2012
Chancen und Risiken in der
Online-Gesellschaft
Prof. Dr. P. Heinzmann
cnlab, Obere Bahnhofstrasse 32b, 8640 Rapperswil
HSR Hochschule für Technik Rapperswil, Oberseestrasse 10, 8640 Rapperswil
[email protected] www.cnlab.ch
H SR
HO CHSCHULE FÜR TECHNI K
15.03.2012
RA PPERSW I L
1
FHO Fachhoch sch ul e Ost sch w ei z
HSR Hochschule für Technik & cnlab
Information Technology Research AG
Computernetze
•
•
•
www.hsr.ch
Vorlesungsmodule
Computernetze
Information Management
Spezialanwendungen
•
– Steuerbare Kameras
– Fluglärm-Messstationen
– Sportler Tracking (Tour de Suisse,
Fussballspieler)
Informationssicherheit
Vorlesungsmodule
Informationssicherheit
– 1 Grundlagen
– 2 Netzwerksicherheit
– 3 Anwendungssicherheit
•
•
Security Checks & Tools (SA/BA)
Ausbildung für betriebliche
Datenschutzbeauftragte
cnlab Security AG
cnlab ITR AG
•
Performance Benchmarking
(Performance Engineering
www.cnlab.com
•
•
Security Engineering
Security Reviews
cnlab Software AG
15.03.2012
•
•
Load Testing
Anwendungsentwicklung
2
Meine Infrastruktur
• 3+ Rechner
–
–
–
–
Desktop im Geschäft
Desktop daheim
Notebook
Einige Testrechner
• 2 Mobiles
– Samsung Galaxy
– Nokia X3 (TourLive)
• 2 iPad
• Umgebungen
– MS Office
– Open Office / Latex
– Firefox, IE/Chrome
• Accounts / Mail-Adressen
– Firma und Hochschule
– private (gmail)
– 50+ öffentliche
15.03.2012
• x Weitere
– TV mit Windows Media
und AppleTV
– Synology Diskstation mit Musik,
Photos, Videos
3
information technology research - www.cnlab.ch
Chancen
technische, logische und soziale
Vernetzung
15.03.2012
4
Chancen
(ICT Nutzung und Werkzeuge)
• Informationsbeschaffung
(Browser, Apps)
– Weiterbildung (Cryptools)
– Problemlösung
– Produkteinfos
• Kommunikation
(Erreichbarkeit)
– Mail (Mail Client z.B. Outlook,
Browser), VoIP (Skype), Chat
– Informationsaustausch
(Dropbox)
• Informationsverteilung
– Werbung
• Automatisierung
15.03.2012
• Kauf, Handel
– Elektronik, Bücher, Musik,
Videos, IT, Ferien, Hotel, Flüge,
Reisen
– Banking (Mobile Clients)
• Datenverarbeitung
– Kalender, Adressen (Outlook,
Browser/Gmail)
– Dokumenterstellung (Word,
Powerpoint)
– Bild-/Video-/Tonverarbeitung
(Picasa, MovieMaker, Audacity)
• Remote Support (TeamViewer)
• Unterhaltung (TV, Gaming)
• Lokalisierung, Navigation
(Map, Sporttracker, Latitude)
5
Netzwerk Graph (technische
Netzwerk Infrastruktur)
Rechner (Server,
Router)
Verbindungen
(Wired, Wireless)
15.03.2012
6
Swisscom Messungen 3G ”Grids”
http://www.kassensturz.sf.tv/Nachrichten/Archiv/2011/09/13/Test/Welches-Handy-Netz-am-schnellsten-ist
15.03.2012
7
Informationsgraph
(logische Vernetzung)
Informationen
(Webseiten, Blogs,
Tweets)
Verweise
(Hyperlinks)
15.03.2012
8
Informationsproduzenten &
Informationskonsumenten
Content
Producer
(Writer)
Content
Consumer
(Reader)
15.03.2012
9
Webseitenaufruf: HTTP-Anfrage
Browser-, Client-Informationen
www.bluewin.ch
GET whttp://www.bluewin.ch/index.html
Serverprogram
Browser
Reply
HTMLPage
HTMLPage
84.112.91.22
195.186.145.33
Aufgabe: Studieren/beobachten eines WebSeitenaufrufs (Seiten Quelltext, F12)
15.03.2012
10
15.03.2012
11
Beispiel: Web Nutzungsstatistik
(Auswertung mit Google Analytics)
15.03.2012
http://www.google.com/analytics/
12
Webseiten Tracker
(Beispiel: PrivacyChoice TrackerScan)
Webseiten Tracker:
• Doubleclick
• Google Analytics
• Omniture
• statcounter
• Piwik
• Opentracker
• Webtrends
•…
Mozilla Collusion
Graph
15.03.2012
Falls auf einer Webseite ein
Webseiten Tracker Code
(JavaScript) eingebaut ist, werden
bei jedem Aufruf der Seite Daten
über den Besucher der Seite an
den Tracking-Server geschickt.
13
Suchmaschinen
Spider, Crawler,
Robot, Worm,...
Liste/Index mit allen
Worten -> Seite
Search Engine
Software
(match and rank)
www.hsr.ch/institute.html
Suchbegriff
www.sgkb.ch/index.html
www.cnlab.ch/findus.html
15.03.2012
www.greenpeace.org/rob.html
14
Beispiel Google Insights:
Trends anhand von Suchbegriffen erkennen
http://www.google.com/insights/search/
15.03.2012
15
Beispiel YouTube Insights:
Trends anhand von Videonutzung erkennen
15.03.2012
16
Beispiel Google Webprotokoll:
Eigene Aktivitäten nachvollziehen
15.03.2012
17
Ranked (organic
search results)
Suche präzisieren
Kategorien
AdWords Werbungen
15.03.2012
18
Beispiel: DoubleClick AdBanner
Planner
• Google Display-Netzwerk
– umfasst alle Webseiten, auf
denen AdWords-Anzeigen
geschaltet werden können
– erreicht über 70 Prozent aller
Internetnutzer weltweit in
mehr als 100 Ländern und in
über 20 Sprachen
• Statistiken basierend auf
– Google Toolbar Nutzer
«enhanced» opt-in Funtionen
(anonymisiert)
– Google Analytics Daten
– Market Research
15.03.2012
19
Social Media Beispiele
•
–
–
–
–
Image/
Photo
Social
Media
Bernet_PR AG, Olgastrasse 8
8001 Zürich
•
Swisscom Social Media Group
–
–
–
•
https://www.xing.com/
http://ch.linkedin.com/pub/julia-friedl/13/ba0/645
http://www.twitter.com/julia_friedl
Mettler-Toledo Intern. Inc. (NYSE: MTD),
Im Langacher, 8606 Greifensee
–
–
–
–
15.03.2012
www.bernet.ch
https://www.twitter.com/dominikallemann
http://www.facebook.com/bernetpr
http://www.delicious.com/d_allemann
www.mt.com
https://www.xing.com/profile/MilkoJC_vanRijn
http://www.linkedin.com/pub/milko-j-c-vanrijn/18/469/ba8
http://www.twitter.com/milkovanrijn
20
Soziale Vernetzung
(Wer kennt wen? Wer kommuniziert mit wem? …)
Content
Producer
(Writer)
Personen (Facebook,
XING, Linkedin,
Twitter, … IDs)
Content
Consumer
(Reader)
Bekanntschaftsangabe (Friend,
Kommunikationspartner,…)
15.03.2012
21
Beispiel: Facebook Nutzung
15.03.2012
22
Beispiel: Twitter
• «Tweet» Textnachricht mit maximal
140 Zeichen
• «Twitterer» Autor von Beiträgen
(@CastenSchloter)
– Anzahl tweets
– Anzahl Personen «following» (Leser)
– Anzahl Personen «follower»
(Abonnenten)
– tweetvalue
• «Timeline» (TL) Liste der Beiträge
• «Follower» abonniert Beiträge eines
Autors
• Hashtag (#swisscom)
– Worldwide trends
• Bewertung des Einflusses der
Twitterer (Social Media Influence)
15.03.2012
23
Informationsbeurteilung
(Curator: Rating, Commenting, Discussing)
Content
Producer
(Writer)
Curator
(Collector, Active
Reader, Commentor)
Content
Consumer
(Reader)
15.03.2012
24
Beispiel: Mitwirkung (und Zensur)
www.rottenneighbor.com, www.nachbarzv.de , www.streetadvisor.com
15.03.2012
25
Beispiel: Google+
• Google+ als «Information
Curator» Plattform
– Hinweise auf interessante
Informationen
– Bewertungen, Ergänzungen
– Diskussionen
Beispiel: Hinweis vom 2.3.2011 auf eine
überaus interessante TED-Präsentation
über agile Roboter (man beachte auch
das «interaktive Transcript» zu diesem
Video)
15.03.2012
26
15.03.2012
27
Google+ Ripples
https://plus.google.com/ripples/details?activityid=a1wA52p8qDz
15.03.2012
28
Social Media Influence Analytics
15.03.2012
29
information technology research - www.cnlab.ch
Risiken
(Informationssicherheit)
Swisscom – der vertrauenswürdige Begleiter in der digitalen Welt
„Wir sind der Schutzengel für unsere Kunden in der digitalen Welt“
(Urs Schaeppi)
15.03.2012
30
Risiko = Schaden . Wahrscheinlichkeit eines Zwischenfalls
= Schaden . Bedrohung . Verletzlichkeit
vulnerabilities
Massnahmenbereiche
(Massnahmenkataloge)
– M 1 Infrastruktur
– M 2 Organisation
– M 3 Personal
– M 4 Hardware/ Software
– M 5 Kommunikation
– M 6 Notfallvorsorge
15.03.2012
protection
(measures,
controls)
Information
(asset, value)
–
–
–
–
–
Gefährdungskataloge
G 1 Höhere Gewalt
G 2 Organisatorische Mängel
G 3 Menschliche
Fehlhandlungen
G 4 Technisches Versagen
G 5 Vorsätzliche Handlungen
31
Risiken (durchschnittlicher Schaden)
Effektives vs. Gefühltes Risiko
• Verlust von Daten (Agenda, Kontakte, Bilder)
• Gelddiebstahl
– Bankkonto, Kreditkarte von anderen genutzt
– Rechnungen über Dinge, welche ich nicht gekauft habe oder nicht
kaufen wollte
• Bekanntwerden/Kopien vertraulicher/persönlicher Daten
–
–
–
–
Finanzielle Situation (Steuererklärung)
Persönliche Kommunikation (spezielle Briefe/Mail/Doc/SMS)
Bewegungsprofile (Aufenthaltsorte)
Informationelle Selbstbestimmung (Persönlichkeitsprofil)
• Nicht Verfügbarkeit, Trägheit meiner Infrastruktur
15.03.2012
32
Bedrohung in Funktion von Motivation
und Mitteln
Largest segment
by $ spent on
defense
Motivation
Nationales
Interesse
Persönlicher
Gewinn
Dieb
fastest growing segment
largest area by $ lost
Persönliche
Profilierung
Langeweile
Neugier
Vandal
Script-Kiddy
15.03.2012
Spion
Author
Hacker / Experte
Expertise and Resources
Profi / Beauftragter
33
BBC «Click» Show on «Botnet»
• BBC Show “Click”
– purchased a “low value botnet”
after months of investigation
– from hackers in Russia and the
Ukraine
– for a few thousand dollars
– software controlling the botnet
• incredibly sophisticated user
interface
• speaks 13 languages
• performing malicious tasks by
clicking a couple of icons
• hijacked 22,000 computers
machines
• sent SPAM
– to a Gmail and Hotmail account
– Specify message, E-Mail
accounts (from a list)
– Automatically compiles subjects
• carried out DDOS attack
– 60 machines (bots) to bring
down a high-traffic websites
– Cyber criminals are getting into
contact with websites with big
revenues and threatening them
with DDoS attacks
http://news.bbc.co.uk/2/hi/technology/7938949.stm [01:46]
15.03.2012
34
Program Install: P2P Computer Risk
• Passively connected to the
network after installing
three P2P Filesharing
programs (LimeWire,
Kazaa, BitTorrent) in Sept
2007
http://www.youtube.com/watch?v=XGw9MEURYiY
00:40 – 04:25
15.03.2012
– Up-to-date Anti-Virus and
Firewall: 583 suspect files
including password cracker
after 6 days
– Weakened Firewall and AntiVirus: lost control after 13
hours
35
Drive-by-Download
• Unbewusstes Herunterladen und ausführen
von Programmen (Malware)
– beim blossen Aufruf von Webseiten
– bei blosser Betrachtung einer E-Mail
– bei blosser Betrachtung von Dokumenten
• Nutzt Verletzlichkeiten von Browsern und
Browser Zusatzprogrammen
15.03.2012
36
Beispiel: Wie findet man Verletzlichkeiten?
TippingPoint’s “Zero Day Initiative” (ZDI)
•
TippingPoint ist ein Anbieter von Intrusion
Prevention Systemen (IPS)
Zeroday Initiative
http://pwn2own.zerodayinitiative.com
•
–
verantwortungsvolle Veröffentlichung von
Schwachstellen sicher stellen
teilnehmenden Sicherheitsforschern erhalten die
verdiente Anerkennung
betroffene Firmen erhalten die Möglichkeit,
Lösungen/Patches zu produzieren
TippingPoint kann seine Kunden mit einem „ZeroDay-Schutz“ versorgen
–
http://www.zerodayinitiative.com
–
–
•
scenarios for the PWN2OWN competitions
–
–
–
15.03.2012
Browsers and Associated Test Platform
Phones (and associated test platform)
URL to be accessed
37
Clickjacking
• Bewusstes Starten von
Programmen
– .exe, .msi, .zip, …
– Flash, Shockwave
• Unwissentliches Starten von
Programmen („Clickjacking“)
– Einstellungen des Flash-Players
verändern und Angreifern so
Zugriff auf Mikrofon und
Webcam erlauben
– http://www.youtube.com/watch?v
=gxyLbpldmuU
15.03.2012
38
information technology research - www.cnlab.ch
Zusammenfassung,
Ausblick, Hinweise
15.03.2012
39
„Google Puzzle“ und Inhalte von Jedermann
(mehr Informationsproduzenten)
• Foto Sharing Plattfrom
– Flickr
– Picasa: http://picasa.google.com
• Social Network
– Facebook
– Orkut: http://www.google.com/support/orkut/
– Google+
• Video Sharing
– YouTube: www.google.com/youtube/
• Messaging
– Twitter
– Buzz: www.google.com/buzz
• Geotagging
– http://maps.google.com
– http://www.openstreetmap.org
15.03.2012
40
Selbstverständlichkeit von Sicherheits
Grundschutzmassnahmen
Massnahmen IT-Services
• Software-Updates
• Aktualisierter Virenschutz
• Firewall (Personal,
Perimeter)
• Zugangsschutz
(Geheimcode bzw.
Passwort)
• Backup
Massnahmen AnwenderInnen
•
Schadensbewusstsein
– Image, Kosten … Jobverlust
•
Bewusstere Nutzung
– Öffnen/installieren/ausführen von Programmen
(CDROM, Mail, USB-Stick, Web-Seiten)
– Direkte/indirekte Weitergabe von Informationen
(Telefon, Gespräche, Post, Mail … Transport,
Versand, Druck, Entsorgen von Papier,
Speichermedien, Mobile, Smartphone, …)
– Man-in-the-Middle: Server, WLAN, Mail-Adressat
•
Bewusstere Zugangskontrolle
– Umgang mit Geheimcode bzw. Passwort (keine
Weitergabe, Backup gesichert)
– Räume und Dokumente (Ordnung, Clean Desk
Policy)
– Rechner (Diebstahl, Betriebsdauer / abschalten,
Screen-Locker)
15.03.2012
41
«Verschmelzung» meiner
Infrastruktur
• Gleiche Datenbasis
– Synchronisation (Agenda, Mails,
Files, Bookmarks)
• Gleiche Sicherheitslevel
– Authentisierung
– Malware Protection
• Arbeit und Privatbereich
– BYOD (bring your own device)
15.03.2012
42
«Lokationsangaben» zu meinen
Aktivitäten
• Ortung von
–
–
–
–
Mobile
Notebook
Kamera
PC
Beispiel: Lokalisierung Google Latitude
• über
–
–
–
–
–
IP
GSM/3G
WLAN
RFID
GPS
15.03.2012
43
«Vergrösserung» meiner Datenspuren,
Identifikation von Meinungsbildnern
• True Reach
– Person’s “engaged audience” of
followers and friends
– People who actively listen and react
to the person’s messages
• Amplification Probability
– Likelihood that a person’s
messages generate actions
(retweets, @messages, likes,
comments)
http://klout.com
http://www.peerindex.com
http://www.peoplebrowsr.com • Network Score
– Computed influence value of a
person’s engaged audience
15.03.2012
44
Hinweise zur
(Personen)Datenschutzproblematik (1)
Welche Art von Personendaten (alle Angaben, die sich auf eine bestimmte oder
bestimmbare Person beziehen) bearbeiten wir?
Besonders schützenswerte Personendaten sind Daten über
1. religiöse, weltanschauliche, politische, gewerkschaftliche Ansichten
oder Tätigkeiten
2. Gesundheit, Intimsphäre, Rassenzugehörigkeit
3. Massnahmen der sozialen Hilfe
4. Administrative oder strafrechtliche Verfolgung
Persönlichkeitsprofile:
Zusammenstellung von Daten, welche die
Beurteilung wesentlicher Aspekte der
Persönlichkeit einer natürlichen Person erlaubt
Welches Datenschutzgesetz kommt zur Anwendung?
Bearbeitung durch Private oder Bundesstellen: Bundes-Datenschutzgesetz (BDSG)
Bearbeitung durch Kantonale Stellen: Kantonales Datenschutzgesetz
Weitere Gesetze, Verträge etc: Bankgeheimnis, Fernmeldegeheimnis, …
15.03.2012
45
Hinweise zur
(Personen)Datenschutzproblematik (1)
• Die Bearbeitung von Personendaten hat nach folgenden
Grundsätzen zu erfolgen
–
–
–
–
–
Rechtmässigkeit
Treu und Glauben
Zweckbindung (Zweck bei Beschaffung bekannt gegeben)
Transparenz (muss für betroffen erkennbar sein)
…
• Bei Bearbeitung von besonders schützenswerten
Personendaten oder Persönlichkeitsprofilen
– ist die ausdrückliche Einwilligung der Betroffenen erforderlich
– müssen die Daten verschlüsselt werden
– …
> HSR «Zertifikatskurs für Datenschutzverantwortliche»
http://www.hsr.ch/Zertifikatskurs-fuer-Datenschu.6804.0.html
15.03.2012
46
Das Verständnis der Privatheit ist je
nach Epoche, Generation, Kultur, …,
Firmenphilosophie verschieden.
Führungspersönlichkeiten scheinen
recht unterschiedlich zu denken, was
die Privatheit anbelangt.
15.03.2012
47
Beispiel: CEO‘s Privacy Statements
Mark Zuckerberg,
Facebook,
Jan 9, 2010
and in 2004
“When people have control over what they share, they’re
comfortable sharing more. When people share more, the
world becomes more open and connected. And in a more
open world, many of the biggest problems we face
together will be easier to solve."
Eric Schmidt, Google,
December 10th, 2009
"If you have something that you don't want anyone
to know, maybe you shouldn't be doing it in the first
place."
Steve Jobs, Apple
June 1, 2010
15.03.2012
“There is no excuse for them not asking the
customer weather it’s appropriate to send that
personal private data to an analytics firm ..."
48
Anbieter wollen Kunden wesentlich besser
kennen
(Personalisierung der Angebote und der Betreuung)
Why customers stop buying:
Better
Product
15%
Other
5%
Cheaper
Product
15%
1Q2000, techquide.com
15.03.2012
Poor
Service
45%
Lack of
Attention
20%
Zukunft
“Avatar”
49
Weitere Infos / cnlab Spezialanwendungen
http://www.cnlab.ch/en/specialities.html
– Codechecker/Passwort Checker
https://www.cnlab.ch/codecheck/check.php?lang
=de
– EcoHelper
http://www.tourlive.ch/mobile/archiv.php?id=108
76&zeit=03092008143130
– Fussballspieler Tracker
http://www.cnlab.ch/fussball/
15.03.2012
50