Internet – die Tücken der Technik oder eher der

cnlab
information technology research
cnlab
ag
information technology research
ag
Personendaten (konventionell)
GV Interessengemeinschaft EDV Zürcher Gemeinden (IG EDV)
Mittwoch, 29. März 2000, Aula Zürcher Hochschule Winterthur
Internet – die Tücken der Technik ...
oder eher der Organisation?
Gemeindehaus
A-F A-F A-F A-F
Dr. Bruno Baeriswyl, Datenschutzbeauftragter Kanton Zürich
Prof. Dr. Peter Heinzmann, ITA-HSR und cnlab AG
www.cnlab.ch
30.03.00
cnlab
1
information technology research
30.03.00
cnlab
ag
information technology research
3
ag
Voraussetzungen der Datenbekanntgabe
Einleitung / Rechtlicher Rahmen
Gesetzliche Grundlage
Dr. Bruno Baeriswyl,
Datenschutzbeauftragter Kanton Zürich
[email protected]
Amtshilfe
Einwilligung
30.03.00
2
30.03.00
4
cnlab
information technology research
cnlab
ag
information technology research
ag
Interessenabwägungen
Technische und organisatorische
Fallstricke
Wesentliche
öffentliche Interessen
Datenbekanntgabe
Schützenswerte Interessen
betroffener Personen
Prof. Dr. Peter Heinzmann,
ITA-HSR und cnlab AG
www.cnlab.ch
BesondereVorschriften
30.03.00
cnlab
5
information technology research
30.03.00
cnlab
ag
information technology research
7
ag
Personendaten (elektronisch)
Ziel
Bewusstsein für
Gemeindehaus
Internet
• ausgewogenes Verhältnis
• von technischen
• und organisatorischen
Hypertext
(HTML)Seiten
WWW
Browser
Massnahmen wecken
30.03.00
6
30.03.00
8
cnlab
information technology research
cnlab
ag
information technology research
ag
Zweiweg-Kommunikation
WWW-Client
Browser
Technik
Verbindung zum Internet heisst
auch Verbindung vom Internet
Modem
IP Adresse
152.96.120.35
WWW-Server
www .ita.hsr.ch
Internet
Service
Provider
Serverprogramm
Internet
HTMLSeiten
IP Adresse
152.96.120.80
30.03.00
cnlab
9
information technology research
cnlab
ag
Personendaten (elektronisch)
Gemeindehaus
information technology research
ag
Win NT
Internet
Einwohnerdaten
Win
95
Schalter
Modem
Win 98
Gemeinde schreiber
IP Adresse
152.96.120.35
Browser
Internet
Service
Provider
NetBIOS
30.03.00
11
beliebigerRechner
Umsteigebahnhof zum internen Netz
Hypertext
(HTML)Seiten
WWW
30.03.00
10
30.03.00
beliebiger
Rechner
Serverprogramm
Internet
HTMLSeiten
12
cnlab
information technology research
cnlab
ag
information technology research
ag
Mit wem hab ich‘s zu tun
Ziele der „Bad Guys“
• Just have Fun
• Daten lesen
(Sicherheit, Privacy, Confidentiality)
• Daten verändern
(Integrity)
• Systemverfügbarkeit beeinträchtigen
• Gefälschte
–
–
–
–
e-mail-Adressen
Newsgruppen Autoren
Web-Server-Adressen
Rechner-Adressen
• Internet bietet nur
„Virtuelle Identitäten“
„On the Internet, nobody knows
you‘re a dog“
30.03.00
cnlab
information technology research
13
30.03.00
cnlab
ag
15
information technology research
ag
diskreter Zugang für „Bad Guys“
Hacker‘s Lesson One
Gemeindehaus
WWW
30.03.00
14
30.03.00
Internet
SpezialProgramme
16
cnlab
information technology research
cnlab
ag
information technology research
Löcher-“Informationsstellen“
„Hacker Zyklus“
Wahrscheinlichkeit
für Attacken
Hacking Bank of America's
Home Banking System
WrittenBy:Dark Creaper
Einfache Werkzeuge zur
Ausnutzung der Sicherheitslöcher werden verbreitet
This file explains the basics of hacking the
Bank of America Home Banking
System.....
Sicherheitslöcher werden
in Newsgruppen, WWW,
Mailing-Listen, Chats
veröffentlicht
Insider finden
Sicherheitslöcher
• Exploit Bugs
• Hacking Archive
• Security Bugware
• Codetalker
• ...
Monate
Tage ... Jahre
cnlab
information technology research
17
30.03.00
cnlab
ag
30.03.00
ag
From: [email protected]
(http://www.microsoft.com/technet/security/current.asp)
– Microsoft Security Bulletin (MS99-048)
Patch Available for "Active Setup Control"
Vulnerability
– Microsoft Security Bulletin (MS99-045)
Patch Available "Virtual Machine Verifier„
Vulnerability
– Microsoft Security Bulletin (MS99-043)
Patch Available for "Javascript Redirect" Vulnerability
• Easter Eggs
19
information technology research
Insider-Info-Beispiele
• SW-Patches
To connect with the Bank's computer call
yourlocal Tymnet service and type the
following:
PLEASE ENTER YOUR TERMINAL
IDENTIFIER:APLEASE
LOGIN: HOME ....
www.astalavista.com
Zeit
30.03.00
ag
Gemeindehaus
Internet
(http://www .eeggs.com)
18
30.03.00
20
cnlab
information technology research
cnlab
ag
information technology research
ag
Welche Meldungen habe ich
erhalten?
Organisation
30.03.00
cnlab
21
information technology research
30.03.00
cnlab
ag
23
information technology research
Wer hat die Meldung geschickt?
ag
Ordnung: Übersicht behalten
• Wo liegt was?
– Ordnung im Netz
– Ordnung bei den Daten
• Wer darf was?
– Saubere
Benutzerverwaltung
30.03.00
22
30.03.00
24
cnlab
information technology research
cnlab
ag
information technology research
ag
Ordnung im Schliess-System:
Konfiguration des Web-Zugangs
Ordnung im Netz: Netzstrukturierung
Internet
öffentliche
WWW-Server
Firewall
Name-Server
Mail-Server
Intranet
Firewall
interne
(WWW)-Server
Steueramt
30.03.00
cnlab
25
information technology research
30.03.00
cnlab
ag
information technology research
ag
Web Graffitti
Ordnung bei den Daten:
Ablegen von Daten im „richtigen Fach“
30.03.00
27
26
30.03.00
http://www. hackernews.com/
28
cnlab
information technology research
cnlab
ag
information technology research
ag
Ordnung bei der Zugangskontrolle:
Passworte
Passwort Cracker
• Passworte für
–
–
–
–
Rechner-Zugang
File-Transfer (ftp)
E-Mail-Fach Zugang (POP3, IMAP)
Web-Editing (z.B. FrontPage)
• Passwortverwaltung
– Eintritte
– Austritte
30.03.00
cnlab
information technology research
29
Programm
Preis/Lizenz
WinNT4.0
L0pht
50$
UNIX
Crack5.0
freeware
AIX
Crack5.0 Zusatz
freeware
Novell 3.x
Crack
freeware
Novell 4.x/5.x
BindView EMS
nicht bereit
AS/400
Sniffer
30.03.00
cnlab
ag
System
information technology research
Passwort-Prinzip
username
31
ag
L0phtCrack - Test
Password
Verwendeter Crackrechner:
• Dell Inspiron 7000C, Intel Celeron™
• 366 MHz Taktfrequenz
EPW
Resultate beim Passwort-Test der IGEDV (innert 6 Stunden 22 von 35
Passwort-Beispielen gefunden):
• Innert Minuten 17 gefunden: huehener, rolex, ankerstein , winterthur,
hugo, merlin, Beatrice, romeo, meisterhans , namibia, jessica, chili,
schummeli, esel, pepi, terri, aaa
• nach zwei Stunden 2 weitere gefunden: zombie5), Mondeo20
• nach sechs Stunden 3 weitere gefunden : hollywood2, rsv6, haesu
PW-Hash
username
30.03.00
PW-Hash
Password-File
30
30.03.00
32
cnlab
information technology research
cnlab
ag
information technology research
ag
Gute Passwortwahl
• Mindestens 6 Zeichen
• Mix von Gross- und Kleinbuchstaben mit
Zahlen und Sonderzeichen
• Passwort periodisch ändern
30.03.00
cnlab
Zusammenfassung
33
information technology research
30.03.00
cnlab
ag
information technology research
ag
Zusammenfassung
Passwort Design Tipps
• Deutung von Zahlen und Zeichen nutzen:
z.B. 4=for, U=you, 0=O, M=1000, V=5, ...
ICQ = ....I Seek You
• Mundart-Ausdrücke verwenden
• Beispiele
Internet
Firewall
1. Ihre Verantwortung betreffend
Sicherheit
(Zweiweg, Umsteige Bhf)
2. Mit wem hab ich‘s zu tun
(virtuelle Identität, Attachments)
3. Hacker‘s Lesson One (Trojaner,
Cracker, ...)
– Datenschutz betrifft Alle.
> D10b7A3
– Niemand will einen negativen Kontostand. > 0will1-$
– 40‘000 Rinder > 4zigMR5
30.03.00
35
4. Ordnung und Übersicht
(Netzstruktur, Web, Passworte, ...)
34
30.03.00
36