docInternet – die Tücken der Technik oder eher der
download 
Denúncia Transcrição
Internet – die Tücken der Technik oder eher der
cnlab information technology research cnlab ag information technology research ag Personendaten (konventionell) GV Interessengemeinschaft EDV Zürcher Gemeinden (IG EDV) Mittwoch, 29. März 2000, Aula Zürcher Hochschule Winterthur Internet – die Tücken der Technik ... oder eher der Organisation? Gemeindehaus A-F A-F A-F A-F Dr. Bruno Baeriswyl, Datenschutzbeauftragter Kanton Zürich Prof. Dr. Peter Heinzmann, ITA-HSR und cnlab AG www.cnlab.ch 30.03.00 cnlab 1 information technology research 30.03.00 cnlab ag information technology research 3 ag Voraussetzungen der Datenbekanntgabe Einleitung / Rechtlicher Rahmen Gesetzliche Grundlage Dr. Bruno Baeriswyl, Datenschutzbeauftragter Kanton Zürich [email protected] Amtshilfe Einwilligung 30.03.00 2 30.03.00 4 cnlab information technology research cnlab ag information technology research ag Interessenabwägungen Technische und organisatorische Fallstricke Wesentliche öffentliche Interessen Datenbekanntgabe Schützenswerte Interessen betroffener Personen Prof. Dr. Peter Heinzmann, ITA-HSR und cnlab AG www.cnlab.ch BesondereVorschriften 30.03.00 cnlab 5 information technology research 30.03.00 cnlab ag information technology research 7 ag Personendaten (elektronisch) Ziel Bewusstsein für Gemeindehaus Internet • ausgewogenes Verhältnis • von technischen • und organisatorischen Hypertext (HTML)Seiten WWW Browser Massnahmen wecken 30.03.00 6 30.03.00 8 cnlab information technology research cnlab ag information technology research ag Zweiweg-Kommunikation WWW-Client Browser Technik Verbindung zum Internet heisst auch Verbindung vom Internet Modem IP Adresse 152.96.120.35 WWW-Server www .ita.hsr.ch Internet Service Provider Serverprogramm Internet HTMLSeiten IP Adresse 152.96.120.80 30.03.00 cnlab 9 information technology research cnlab ag Personendaten (elektronisch) Gemeindehaus information technology research ag Win NT Internet Einwohnerdaten Win 95 Schalter Modem Win 98 Gemeinde schreiber IP Adresse 152.96.120.35 Browser Internet Service Provider NetBIOS 30.03.00 11 beliebigerRechner Umsteigebahnhof zum internen Netz Hypertext (HTML)Seiten WWW 30.03.00 10 30.03.00 beliebiger Rechner Serverprogramm Internet HTMLSeiten 12 cnlab information technology research cnlab ag information technology research ag Mit wem hab ich‘s zu tun Ziele der „Bad Guys“ • Just have Fun • Daten lesen (Sicherheit, Privacy, Confidentiality) • Daten verändern (Integrity) • Systemverfügbarkeit beeinträchtigen • Gefälschte – – – – e-mail-Adressen Newsgruppen Autoren Web-Server-Adressen Rechner-Adressen • Internet bietet nur „Virtuelle Identitäten“ „On the Internet, nobody knows you‘re a dog“ 30.03.00 cnlab information technology research 13 30.03.00 cnlab ag 15 information technology research ag diskreter Zugang für „Bad Guys“ Hacker‘s Lesson One Gemeindehaus WWW 30.03.00 14 30.03.00 Internet SpezialProgramme 16 cnlab information technology research cnlab ag information technology research Löcher-“Informationsstellen“ „Hacker Zyklus“ Wahrscheinlichkeit für Attacken Hacking Bank of America's Home Banking System WrittenBy:Dark Creaper Einfache Werkzeuge zur Ausnutzung der Sicherheitslöcher werden verbreitet This file explains the basics of hacking the Bank of America Home Banking System..... Sicherheitslöcher werden in Newsgruppen, WWW, Mailing-Listen, Chats veröffentlicht Insider finden Sicherheitslöcher • Exploit Bugs • Hacking Archive • Security Bugware • Codetalker • ... Monate Tage ... Jahre cnlab information technology research 17 30.03.00 cnlab ag 30.03.00 ag From: [email protected] (http://www.microsoft.com/technet/security/current.asp) – Microsoft Security Bulletin (MS99-048) Patch Available for "Active Setup Control" Vulnerability – Microsoft Security Bulletin (MS99-045) Patch Available "Virtual Machine Verifier„ Vulnerability – Microsoft Security Bulletin (MS99-043) Patch Available for "Javascript Redirect" Vulnerability • Easter Eggs 19 information technology research Insider-Info-Beispiele • SW-Patches To connect with the Bank's computer call yourlocal Tymnet service and type the following: PLEASE ENTER YOUR TERMINAL IDENTIFIER:APLEASE LOGIN: HOME .... www.astalavista.com Zeit 30.03.00 ag Gemeindehaus Internet (http://www .eeggs.com) 18 30.03.00 20 cnlab information technology research cnlab ag information technology research ag Welche Meldungen habe ich erhalten? Organisation 30.03.00 cnlab 21 information technology research 30.03.00 cnlab ag 23 information technology research Wer hat die Meldung geschickt? ag Ordnung: Übersicht behalten • Wo liegt was? – Ordnung im Netz – Ordnung bei den Daten • Wer darf was? – Saubere Benutzerverwaltung 30.03.00 22 30.03.00 24 cnlab information technology research cnlab ag information technology research ag Ordnung im Schliess-System: Konfiguration des Web-Zugangs Ordnung im Netz: Netzstrukturierung Internet öffentliche WWW-Server Firewall Name-Server Mail-Server Intranet Firewall interne (WWW)-Server Steueramt 30.03.00 cnlab 25 information technology research 30.03.00 cnlab ag information technology research ag Web Graffitti Ordnung bei den Daten: Ablegen von Daten im „richtigen Fach“ 30.03.00 27 26 30.03.00 http://www. hackernews.com/ 28 cnlab information technology research cnlab ag information technology research ag Ordnung bei der Zugangskontrolle: Passworte Passwort Cracker • Passworte für – – – – Rechner-Zugang File-Transfer (ftp) E-Mail-Fach Zugang (POP3, IMAP) Web-Editing (z.B. FrontPage) • Passwortverwaltung – Eintritte – Austritte 30.03.00 cnlab information technology research 29 Programm Preis/Lizenz WinNT4.0 L0pht 50$ UNIX Crack5.0 freeware AIX Crack5.0 Zusatz freeware Novell 3.x Crack freeware Novell 4.x/5.x BindView EMS nicht bereit AS/400 Sniffer 30.03.00 cnlab ag System information technology research Passwort-Prinzip username 31 ag L0phtCrack - Test Password Verwendeter Crackrechner: • Dell Inspiron 7000C, Intel Celeron™ • 366 MHz Taktfrequenz EPW Resultate beim Passwort-Test der IGEDV (innert 6 Stunden 22 von 35 Passwort-Beispielen gefunden): • Innert Minuten 17 gefunden: huehener, rolex, ankerstein , winterthur, hugo, merlin, Beatrice, romeo, meisterhans , namibia, jessica, chili, schummeli, esel, pepi, terri, aaa • nach zwei Stunden 2 weitere gefunden: zombie5), Mondeo20 • nach sechs Stunden 3 weitere gefunden : hollywood2, rsv6, haesu PW-Hash username 30.03.00 PW-Hash Password-File 30 30.03.00 32 cnlab information technology research cnlab ag information technology research ag Gute Passwortwahl • Mindestens 6 Zeichen • Mix von Gross- und Kleinbuchstaben mit Zahlen und Sonderzeichen • Passwort periodisch ändern 30.03.00 cnlab Zusammenfassung 33 information technology research 30.03.00 cnlab ag information technology research ag Zusammenfassung Passwort Design Tipps • Deutung von Zahlen und Zeichen nutzen: z.B. 4=for, U=you, 0=O, M=1000, V=5, ... ICQ = ....I Seek You • Mundart-Ausdrücke verwenden • Beispiele Internet Firewall 1. Ihre Verantwortung betreffend Sicherheit (Zweiweg, Umsteige Bhf) 2. Mit wem hab ich‘s zu tun (virtuelle Identität, Attachments) 3. Hacker‘s Lesson One (Trojaner, Cracker, ...) – Datenschutz betrifft Alle. > D10b7A3 – Niemand will einen negativen Kontostand. > 0will1-$ – 40‘000 Rinder > 4zigMR5 30.03.00 35 4. Ordnung und Übersicht (Netzstruktur, Web, Passworte, ...) 34 30.03.00 36
