Chancen und Risiken in der Online-Gesellschaft
Transcrição
Chancen und Risiken in der Online-Gesellschaft
information technology research - www.cnlab.ch Swisscom Veranstaltung, Hotel Einstein, St. Gallen, 14. 3. 2012 Chancen und Risiken in der Online-Gesellschaft Prof. Dr. P. Heinzmann cnlab, Obere Bahnhofstrasse 32b, 8640 Rapperswil HSR Hochschule für Technik Rapperswil, Oberseestrasse 10, 8640 Rapperswil [email protected] www.cnlab.ch H SR HO CHSCHULE FÜR TECHNI K 15.03.2012 RA PPERSW I L 1 FHO Fachhoch sch ul e Ost sch w ei z HSR Hochschule für Technik & cnlab Information Technology Research AG Computernetze • • • www.hsr.ch Vorlesungsmodule Computernetze Information Management Spezialanwendungen • – Steuerbare Kameras – Fluglärm-Messstationen – Sportler Tracking (Tour de Suisse, Fussballspieler) Informationssicherheit Vorlesungsmodule Informationssicherheit – 1 Grundlagen – 2 Netzwerksicherheit – 3 Anwendungssicherheit • • Security Checks & Tools (SA/BA) Ausbildung für betriebliche Datenschutzbeauftragte cnlab Security AG cnlab ITR AG • Performance Benchmarking (Performance Engineering www.cnlab.com • • Security Engineering Security Reviews cnlab Software AG 15.03.2012 • • Load Testing Anwendungsentwicklung 2 Meine Infrastruktur • 3+ Rechner – – – – Desktop im Geschäft Desktop daheim Notebook Einige Testrechner • 2 Mobiles – Samsung Galaxy – Nokia X3 (TourLive) • 2 iPad • Umgebungen – MS Office – Open Office / Latex – Firefox, IE/Chrome • Accounts / Mail-Adressen – Firma und Hochschule – private (gmail) – 50+ öffentliche 15.03.2012 • x Weitere – TV mit Windows Media und AppleTV – Synology Diskstation mit Musik, Photos, Videos 3 information technology research - www.cnlab.ch Chancen technische, logische und soziale Vernetzung 15.03.2012 4 Chancen (ICT Nutzung und Werkzeuge) • Informationsbeschaffung (Browser, Apps) – Weiterbildung (Cryptools) – Problemlösung – Produkteinfos • Kommunikation (Erreichbarkeit) – Mail (Mail Client z.B. Outlook, Browser), VoIP (Skype), Chat – Informationsaustausch (Dropbox) • Informationsverteilung – Werbung • Automatisierung 15.03.2012 • Kauf, Handel – Elektronik, Bücher, Musik, Videos, IT, Ferien, Hotel, Flüge, Reisen – Banking (Mobile Clients) • Datenverarbeitung – Kalender, Adressen (Outlook, Browser/Gmail) – Dokumenterstellung (Word, Powerpoint) – Bild-/Video-/Tonverarbeitung (Picasa, MovieMaker, Audacity) • Remote Support (TeamViewer) • Unterhaltung (TV, Gaming) • Lokalisierung, Navigation (Map, Sporttracker, Latitude) 5 Netzwerk Graph (technische Netzwerk Infrastruktur) Rechner (Server, Router) Verbindungen (Wired, Wireless) 15.03.2012 6 Swisscom Messungen 3G ”Grids” http://www.kassensturz.sf.tv/Nachrichten/Archiv/2011/09/13/Test/Welches-Handy-Netz-am-schnellsten-ist 15.03.2012 7 Informationsgraph (logische Vernetzung) Informationen (Webseiten, Blogs, Tweets) Verweise (Hyperlinks) 15.03.2012 8 Informationsproduzenten & Informationskonsumenten Content Producer (Writer) Content Consumer (Reader) 15.03.2012 9 Webseitenaufruf: HTTP-Anfrage Browser-, Client-Informationen www.bluewin.ch GET whttp://www.bluewin.ch/index.html Serverprogram Browser Reply HTMLPage HTMLPage 84.112.91.22 195.186.145.33 Aufgabe: Studieren/beobachten eines WebSeitenaufrufs (Seiten Quelltext, F12) 15.03.2012 10 15.03.2012 11 Beispiel: Web Nutzungsstatistik (Auswertung mit Google Analytics) 15.03.2012 http://www.google.com/analytics/ 12 Webseiten Tracker (Beispiel: PrivacyChoice TrackerScan) Webseiten Tracker: • Doubleclick • Google Analytics • Omniture • statcounter • Piwik • Opentracker • Webtrends •… Mozilla Collusion Graph 15.03.2012 Falls auf einer Webseite ein Webseiten Tracker Code (JavaScript) eingebaut ist, werden bei jedem Aufruf der Seite Daten über den Besucher der Seite an den Tracking-Server geschickt. 13 Suchmaschinen Spider, Crawler, Robot, Worm,... Liste/Index mit allen Worten -> Seite Search Engine Software (match and rank) www.hsr.ch/institute.html Suchbegriff www.sgkb.ch/index.html www.cnlab.ch/findus.html 15.03.2012 www.greenpeace.org/rob.html 14 Beispiel Google Insights: Trends anhand von Suchbegriffen erkennen http://www.google.com/insights/search/ 15.03.2012 15 Beispiel YouTube Insights: Trends anhand von Videonutzung erkennen 15.03.2012 16 Beispiel Google Webprotokoll: Eigene Aktivitäten nachvollziehen 15.03.2012 17 Ranked (organic search results) Suche präzisieren Kategorien AdWords Werbungen 15.03.2012 18 Beispiel: DoubleClick AdBanner Planner • Google Display-Netzwerk – umfasst alle Webseiten, auf denen AdWords-Anzeigen geschaltet werden können – erreicht über 70 Prozent aller Internetnutzer weltweit in mehr als 100 Ländern und in über 20 Sprachen • Statistiken basierend auf – Google Toolbar Nutzer «enhanced» opt-in Funtionen (anonymisiert) – Google Analytics Daten – Market Research 15.03.2012 19 Social Media Beispiele • – – – – Image/ Photo Social Media Bernet_PR AG, Olgastrasse 8 8001 Zürich • Swisscom Social Media Group – – – • https://www.xing.com/ http://ch.linkedin.com/pub/julia-friedl/13/ba0/645 http://www.twitter.com/julia_friedl Mettler-Toledo Intern. Inc. (NYSE: MTD), Im Langacher, 8606 Greifensee – – – – 15.03.2012 www.bernet.ch https://www.twitter.com/dominikallemann http://www.facebook.com/bernetpr http://www.delicious.com/d_allemann www.mt.com https://www.xing.com/profile/MilkoJC_vanRijn http://www.linkedin.com/pub/milko-j-c-vanrijn/18/469/ba8 http://www.twitter.com/milkovanrijn 20 Soziale Vernetzung (Wer kennt wen? Wer kommuniziert mit wem? …) Content Producer (Writer) Personen (Facebook, XING, Linkedin, Twitter, … IDs) Content Consumer (Reader) Bekanntschaftsangabe (Friend, Kommunikationspartner,…) 15.03.2012 21 Beispiel: Facebook Nutzung 15.03.2012 22 Beispiel: Twitter • «Tweet» Textnachricht mit maximal 140 Zeichen • «Twitterer» Autor von Beiträgen (@CastenSchloter) – Anzahl tweets – Anzahl Personen «following» (Leser) – Anzahl Personen «follower» (Abonnenten) – tweetvalue • «Timeline» (TL) Liste der Beiträge • «Follower» abonniert Beiträge eines Autors • Hashtag (#swisscom) – Worldwide trends • Bewertung des Einflusses der Twitterer (Social Media Influence) 15.03.2012 23 Informationsbeurteilung (Curator: Rating, Commenting, Discussing) Content Producer (Writer) Curator (Collector, Active Reader, Commentor) Content Consumer (Reader) 15.03.2012 24 Beispiel: Mitwirkung (und Zensur) www.rottenneighbor.com, www.nachbarzv.de , www.streetadvisor.com 15.03.2012 25 Beispiel: Google+ • Google+ als «Information Curator» Plattform – Hinweise auf interessante Informationen – Bewertungen, Ergänzungen – Diskussionen Beispiel: Hinweis vom 2.3.2011 auf eine überaus interessante TED-Präsentation über agile Roboter (man beachte auch das «interaktive Transcript» zu diesem Video) 15.03.2012 26 15.03.2012 27 Google+ Ripples https://plus.google.com/ripples/details?activityid=a1wA52p8qDz 15.03.2012 28 Social Media Influence Analytics 15.03.2012 29 information technology research - www.cnlab.ch Risiken (Informationssicherheit) Swisscom – der vertrauenswürdige Begleiter in der digitalen Welt „Wir sind der Schutzengel für unsere Kunden in der digitalen Welt“ (Urs Schaeppi) 15.03.2012 30 Risiko = Schaden . Wahrscheinlichkeit eines Zwischenfalls = Schaden . Bedrohung . Verletzlichkeit vulnerabilities Massnahmenbereiche (Massnahmenkataloge) – M 1 Infrastruktur – M 2 Organisation – M 3 Personal – M 4 Hardware/ Software – M 5 Kommunikation – M 6 Notfallvorsorge 15.03.2012 protection (measures, controls) Information (asset, value) – – – – – Gefährdungskataloge G 1 Höhere Gewalt G 2 Organisatorische Mängel G 3 Menschliche Fehlhandlungen G 4 Technisches Versagen G 5 Vorsätzliche Handlungen 31 Risiken (durchschnittlicher Schaden) Effektives vs. Gefühltes Risiko • Verlust von Daten (Agenda, Kontakte, Bilder) • Gelddiebstahl – Bankkonto, Kreditkarte von anderen genutzt – Rechnungen über Dinge, welche ich nicht gekauft habe oder nicht kaufen wollte • Bekanntwerden/Kopien vertraulicher/persönlicher Daten – – – – Finanzielle Situation (Steuererklärung) Persönliche Kommunikation (spezielle Briefe/Mail/Doc/SMS) Bewegungsprofile (Aufenthaltsorte) Informationelle Selbstbestimmung (Persönlichkeitsprofil) • Nicht Verfügbarkeit, Trägheit meiner Infrastruktur 15.03.2012 32 Bedrohung in Funktion von Motivation und Mitteln Largest segment by $ spent on defense Motivation Nationales Interesse Persönlicher Gewinn Dieb fastest growing segment largest area by $ lost Persönliche Profilierung Langeweile Neugier Vandal Script-Kiddy 15.03.2012 Spion Author Hacker / Experte Expertise and Resources Profi / Beauftragter 33 BBC «Click» Show on «Botnet» • BBC Show “Click” – purchased a “low value botnet” after months of investigation – from hackers in Russia and the Ukraine – for a few thousand dollars – software controlling the botnet • incredibly sophisticated user interface • speaks 13 languages • performing malicious tasks by clicking a couple of icons • hijacked 22,000 computers machines • sent SPAM – to a Gmail and Hotmail account – Specify message, E-Mail accounts (from a list) – Automatically compiles subjects • carried out DDOS attack – 60 machines (bots) to bring down a high-traffic websites – Cyber criminals are getting into contact with websites with big revenues and threatening them with DDoS attacks http://news.bbc.co.uk/2/hi/technology/7938949.stm [01:46] 15.03.2012 34 Program Install: P2P Computer Risk • Passively connected to the network after installing three P2P Filesharing programs (LimeWire, Kazaa, BitTorrent) in Sept 2007 http://www.youtube.com/watch?v=XGw9MEURYiY 00:40 – 04:25 15.03.2012 – Up-to-date Anti-Virus and Firewall: 583 suspect files including password cracker after 6 days – Weakened Firewall and AntiVirus: lost control after 13 hours 35 Drive-by-Download • Unbewusstes Herunterladen und ausführen von Programmen (Malware) – beim blossen Aufruf von Webseiten – bei blosser Betrachtung einer E-Mail – bei blosser Betrachtung von Dokumenten • Nutzt Verletzlichkeiten von Browsern und Browser Zusatzprogrammen 15.03.2012 36 Beispiel: Wie findet man Verletzlichkeiten? TippingPoint’s “Zero Day Initiative” (ZDI) • TippingPoint ist ein Anbieter von Intrusion Prevention Systemen (IPS) Zeroday Initiative http://pwn2own.zerodayinitiative.com • – verantwortungsvolle Veröffentlichung von Schwachstellen sicher stellen teilnehmenden Sicherheitsforschern erhalten die verdiente Anerkennung betroffene Firmen erhalten die Möglichkeit, Lösungen/Patches zu produzieren TippingPoint kann seine Kunden mit einem „ZeroDay-Schutz“ versorgen – http://www.zerodayinitiative.com – – • scenarios for the PWN2OWN competitions – – – 15.03.2012 Browsers and Associated Test Platform Phones (and associated test platform) URL to be accessed 37 Clickjacking • Bewusstes Starten von Programmen – .exe, .msi, .zip, … – Flash, Shockwave • Unwissentliches Starten von Programmen („Clickjacking“) – Einstellungen des Flash-Players verändern und Angreifern so Zugriff auf Mikrofon und Webcam erlauben – http://www.youtube.com/watch?v =gxyLbpldmuU 15.03.2012 38 information technology research - www.cnlab.ch Zusammenfassung, Ausblick, Hinweise 15.03.2012 39 „Google Puzzle“ und Inhalte von Jedermann (mehr Informationsproduzenten) • Foto Sharing Plattfrom – Flickr – Picasa: http://picasa.google.com • Social Network – Facebook – Orkut: http://www.google.com/support/orkut/ – Google+ • Video Sharing – YouTube: www.google.com/youtube/ • Messaging – Twitter – Buzz: www.google.com/buzz • Geotagging – http://maps.google.com – http://www.openstreetmap.org 15.03.2012 40 Selbstverständlichkeit von Sicherheits Grundschutzmassnahmen Massnahmen IT-Services • Software-Updates • Aktualisierter Virenschutz • Firewall (Personal, Perimeter) • Zugangsschutz (Geheimcode bzw. Passwort) • Backup Massnahmen AnwenderInnen • Schadensbewusstsein – Image, Kosten … Jobverlust • Bewusstere Nutzung – Öffnen/installieren/ausführen von Programmen (CDROM, Mail, USB-Stick, Web-Seiten) – Direkte/indirekte Weitergabe von Informationen (Telefon, Gespräche, Post, Mail … Transport, Versand, Druck, Entsorgen von Papier, Speichermedien, Mobile, Smartphone, …) – Man-in-the-Middle: Server, WLAN, Mail-Adressat • Bewusstere Zugangskontrolle – Umgang mit Geheimcode bzw. Passwort (keine Weitergabe, Backup gesichert) – Räume und Dokumente (Ordnung, Clean Desk Policy) – Rechner (Diebstahl, Betriebsdauer / abschalten, Screen-Locker) 15.03.2012 41 «Verschmelzung» meiner Infrastruktur • Gleiche Datenbasis – Synchronisation (Agenda, Mails, Files, Bookmarks) • Gleiche Sicherheitslevel – Authentisierung – Malware Protection • Arbeit und Privatbereich – BYOD (bring your own device) 15.03.2012 42 «Lokationsangaben» zu meinen Aktivitäten • Ortung von – – – – Mobile Notebook Kamera PC Beispiel: Lokalisierung Google Latitude • über – – – – – IP GSM/3G WLAN RFID GPS 15.03.2012 43 «Vergrösserung» meiner Datenspuren, Identifikation von Meinungsbildnern • True Reach – Person’s “engaged audience” of followers and friends – People who actively listen and react to the person’s messages • Amplification Probability – Likelihood that a person’s messages generate actions (retweets, @messages, likes, comments) http://klout.com http://www.peerindex.com http://www.peoplebrowsr.com • Network Score – Computed influence value of a person’s engaged audience 15.03.2012 44 Hinweise zur (Personen)Datenschutzproblematik (1) Welche Art von Personendaten (alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen) bearbeiten wir? Besonders schützenswerte Personendaten sind Daten über 1. religiöse, weltanschauliche, politische, gewerkschaftliche Ansichten oder Tätigkeiten 2. Gesundheit, Intimsphäre, Rassenzugehörigkeit 3. Massnahmen der sozialen Hilfe 4. Administrative oder strafrechtliche Verfolgung Persönlichkeitsprofile: Zusammenstellung von Daten, welche die Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt Welches Datenschutzgesetz kommt zur Anwendung? Bearbeitung durch Private oder Bundesstellen: Bundes-Datenschutzgesetz (BDSG) Bearbeitung durch Kantonale Stellen: Kantonales Datenschutzgesetz Weitere Gesetze, Verträge etc: Bankgeheimnis, Fernmeldegeheimnis, … 15.03.2012 45 Hinweise zur (Personen)Datenschutzproblematik (1) • Die Bearbeitung von Personendaten hat nach folgenden Grundsätzen zu erfolgen – – – – – Rechtmässigkeit Treu und Glauben Zweckbindung (Zweck bei Beschaffung bekannt gegeben) Transparenz (muss für betroffen erkennbar sein) … • Bei Bearbeitung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen – ist die ausdrückliche Einwilligung der Betroffenen erforderlich – müssen die Daten verschlüsselt werden – … > HSR «Zertifikatskurs für Datenschutzverantwortliche» http://www.hsr.ch/Zertifikatskurs-fuer-Datenschu.6804.0.html 15.03.2012 46 Das Verständnis der Privatheit ist je nach Epoche, Generation, Kultur, …, Firmenphilosophie verschieden. Führungspersönlichkeiten scheinen recht unterschiedlich zu denken, was die Privatheit anbelangt. 15.03.2012 47 Beispiel: CEO‘s Privacy Statements Mark Zuckerberg, Facebook, Jan 9, 2010 and in 2004 “When people have control over what they share, they’re comfortable sharing more. When people share more, the world becomes more open and connected. And in a more open world, many of the biggest problems we face together will be easier to solve." Eric Schmidt, Google, December 10th, 2009 "If you have something that you don't want anyone to know, maybe you shouldn't be doing it in the first place." Steve Jobs, Apple June 1, 2010 15.03.2012 “There is no excuse for them not asking the customer weather it’s appropriate to send that personal private data to an analytics firm ..." 48 Anbieter wollen Kunden wesentlich besser kennen (Personalisierung der Angebote und der Betreuung) Why customers stop buying: Better Product 15% Other 5% Cheaper Product 15% 1Q2000, techquide.com 15.03.2012 Poor Service 45% Lack of Attention 20% Zukunft “Avatar” 49 Weitere Infos / cnlab Spezialanwendungen http://www.cnlab.ch/en/specialities.html – Codechecker/Passwort Checker https://www.cnlab.ch/codecheck/check.php?lang =de – EcoHelper http://www.tourlive.ch/mobile/archiv.php?id=108 76&zeit=03092008143130 – Fussballspieler Tracker http://www.cnlab.ch/fussball/ 15.03.2012 50