Risikoanalyse von Twitter
-
Upload
christian-hops -
Category
Career
-
view
632 -
download
0
Transcript of Risikoanalyse von Twitter
3
Twitter: Allgemeines & Zahlen
Mikroblogging 190 Mio Nutzer 140 Mio Nachrichten/Tag 300.000 registrierte Drittanwendungen
5
Grundlagen: Risikoanalyse
Risikopotential als Eintrittswahrscheinlichkeit multipliziert mit Konsequenzen
Eintrittswahrscheinlichkeit• Angreifer• Schwachstelle
Konsequenzen• Verletzte Schutzziele• Verletzte Benutzer-Annahmen
Strategien zum Umgang mit Risiken
6
Prämissen der Risikoidentifizierung
Mittel: Literaturrecherche & Analyse des Front-Ends
Vor allem Risiken durch Sicherheitslücken in der Software
Beschränkung auf Webanwendung und API
7
Code-Injection
Shell Injection Programmcode Injection SQL Injection JSON Injection File Inclusion Cross-Site Scripting (XSS)
9
Angriffe auf Dienste
Distributed Denial of Service-Angriffe DNS Hijacking Kurz-URL Anbieter Google Apps
10
Unzureichende Sicherheitspolitik
Verschicken von geheimen Zugangsdaten per Mail
Administrationstools Versteckte Befehle Unsichere Serverkonfiguration
12
Angriffe auf Zugangsdaten
Zugangsdaten per Brute-Force erraten Phishing-Angriff per
• Mail• Tweet• Direktnachricht• „Sign in with Twitter“ auf Third-Party Webseite
13
Schwachstellen durch Drittanwendungen
Bösartige/Kompro-mittierte Anwendung
Zu grobe Rechtevergabe
Anwender kaum sensibilisiert
14
Risikobewertung: Nutzergruppen
Bewertung des Risikopotentials abhängig vom Nutzertyp
Fünf Nutzergruppen• passive Nutzer• aktive Nutzer• Organisationen• Journalisten• Entwickler von Third-Party Anwendungen
17
Ergebnisse der Bewertung I
Passive Benutzer• 18 Risiken• Top: Code-Injection, unzureichende
Sicherheitspolitik
Aktive Benutzer• 42 Risiken• Top: Angriffe auf Zugangsdaten, unzureichende
Sicherheitspolitik
Organisationen• Zusätzliches Risiko: Austausch von Twitter-
Zugangsdaten innerhalb der Organisation
18
Ergebnisse der Bewertung II
Journalisten• 42 Risiken• Astroturfing: Von Platz 38 auf 33
Entwickler von Drittanwendungen• 7 Risiken• Top: Kompromittierung der Anwendung, zu
grobe Rechtevergabe
19
Gegenmaßnahmen
17 von 44 identifizierten Risiken können ausschließlich durch Twitter begegnet werden
Oftmals ungenügend umgesetzt Vorgeschlagene Gegenmaßnahmen
wurden im letzten halben Jahr implementiert