information technology research - www.cnlab.ch

Stadt Zürich, 4. 12. 2013

Chancen und Risiken in der Online-Gesellschaft Prof. Dr. P. Heinzmann, Olivier Lamotte cnlab, Obere Bahnhofstrasse 32b, 8640 Rapperswil HSR Hochschule für Technik Rapperswil, Oberseestrasse 10, 8640 Rapperswil [email protected] www.cnlab.ch

04.12.2013

1

Entwicklung und Überprüfung von Internet Anwendungen mit Fokus Leistungsfähigkeit, Sicherheit & Bedienbarkeit

PGP ISP Performance

ADSL Cablenet

Broadband Security

• HSR Hochschule für Technik Rapperswil – seit 1991 Professor für Elektrotechnik/Informatik – Vorlesungsmodule Computernetze und Informationssicherheit – Weiterbildungskurse MAS Software Engineering (Informationssicherheit), Zertifikatskurs Betriebliche Datenschutzbeauftragte

Providertest Handy Viren

LiveCam

Alles unter Kontrolle

• TourLive Internet Porno

FussballSpieler Tracker

04.12.2013

Mobile Performance

cnlab Information Technology Research AG – – – –

seit 1997 Direktor / Inhaber cnlab itr ag Spin-Off des HSR Computer Network Labors 14 Mitarbeitende 100% unabhängig, eigenfinanziert 2

Meine/Ihre Online-Infrastruktur •

3+ Rechner – – – –

•

Anwendungen – – – –

•

Desktop im Geschäft Desktop Privat Notebook Einige Testrechner

MS Office Browser (Firefox, IE/Chrome) Netzwerk-Test/Progammierung Video-/Podcast (YouTube, TED)

Accounts / Mail-Adressen – Firma und Hochschule – Private (gmail, gmx) – 50+ öffentliche

04.12.2013

• Mobile – Samsung Galaxy (zig Apps)

•

Tablet – iPad – Samsung

• x Weitere – Storage (Synology Diskstation mit Musik, Photos, Videos), Cloud (Dropbox, Google, OwnCloud, …) – TV (Sony) – Internet Radio 3

Agenda, Ziel • Besseres Verständnis zur Online-Welt – Infrastrukturen – Anwendungen – Nutzungsbeispiele

• Denkanstösse zur Informationssicherheit – Datensicherheit (technische Sicherheit) – Schutz vor Missbrauch der Persönlichkeitsdaten (Datenschutz)

• WLAN Demo 04.12.2013

4

Was das Internet über uns weiss

http://www.youtube.com/watch?v=F7pYHN9iC9I 04.12.2013http://www.youtube.com/watch?annotation_id=annotation_202513&feature=iv&src_vid=F7pYHN9iC9I&v=Rn4Rupla11M

5

information technology research - www.cnlab.ch

Chancen technische, inhaltliche, soziale, Gesinnungs-/Verhaltungsvernetzung

04.12.2013

6

Chancen (ICT Nutzung und Werkzeuge) • Informationsbeschaffung

• Kauf, Handel

(Browser, Apps) – Problemlösung – Produkteinfos – Weiterbildung

• Kommunikation (Erreichbarkeit)

– Elektronik, Bücher, Musik, Videos, IT, Ferien, Hotel, Flüge, Reisen – Banking (Mobile Clients)

•

– Kalender, Adressen (Outlook, Browser/Gmail) – Dokumenterstellung (Word, Powerpoint) – Bild-/Video-/Tonverarbeitung (Picasa, MovieMaker, Audacity)

– Mail (Mail Client z.B. Outlook, Browser), VoIP (Skype), Chat – Informationsaustausch (Dropbox)

• Informationsverteilung – Werbung

• Automatisierung 04.12.2013

Datenverarbeitung

• • •

Remote Support (TeamViewer) Unterhaltung (TV, Gaming) Lokalisierung, Navigation (Map, Sporttracker, Latitude)

7

Technische Vernetzung (Verbindung von Rechnern über fixe und mobile Netze) Rechner (Server, Router)

Verbindungen (Wired, Wireless) 04.12.2013

8

Mobile Data Plattform und cnlab Speedtest (Crowdsourcing) RAN Verbindungstyp (2G/3G bzw. GSM, EDGE / UMTS, HSPA, HSPA+)

Connection Typ (Bearer)

Gateways Proxies

DL: 0.4, 3.6, 7.2, 14.4, 21, 42 Mb/s UL: 0.4, 1.8, 5.7 Mb/s

Smartphone Typ

Internet

DL: 0.4/3.6/5.8/7.2/10.2/14.4/21 Mb/s UL: 0.4/1.8/2.0/5.7 Mb/s

Backhaul

RAN App

BackhaulVerbindungsKapazität (n*2.048Mb/s aufgeteilt auf 3 Zellen, GSM/EDGE/UMTS)

Vertrag (max, throtteling)

04.12.2013

Server, App / Content Anbieter

Anzahl/Aktivität gleichzeitige Nutzer 9

Mobile Messungen 3G ”Grids”

https://www.cnlab.ch/speedtest/stats_mobile/mobile_geo_stats.htm http://www.kassensturz.sf.tv/Nachrichten/Archiv/2011/09/13/Test/Welches-Handy-Netz-am-schnellsten-ist 04.12.2013

10

Logische Vernetzung (Verweise auf andere Informationen, Hyperlinks) Informationen (Webseiten, Blogs, Tweets)

Verweise (Hyperlinks) 04.12.2013

11

Webseitenaufruf: HTTP-Anfrage www.bluewin.ch GET whttp://www.bluewin.ch/index.html

Serverprogram

Browser Reply HTMLPage

84.112.91.22

HTMLPage

Link1, 2, …

195.186.145.33

04.12.2013

12

04.12.2013

13

Webseiten Links (Beispiel: Lightbeam Auswertung)

Mozilla Collusion Graph 04.12.2013

14

Web Nutzungsstatistik (Beispiel: Auswertung mit Google Analytics)

04.12.2013

http://www.google.com/analytics/

15

Web Suchmaschinen Spider, Crawler, Robot, Worm,...

Liste/Index mit allen Worten -> Seite

Search Engine Software (match and rank) www.hsr.ch/institute.html Suchbegriff

www.sgkb.ch/index.html

www.cnlab.ch/findus.html 04.12.2013

www.greenpeace.org/rob.html 16

Web Aktivitäten/Suchanfragen nachvollziehen (Beispiel: Google Webprotokoll)

04.12.2013

17

Soziale Vernetzung (Wer kennt wen? Wer kommuniziert mit wem?) Content Producer (Writer)

Personen (Facebook, XING, Linkedin, Twitter, … IDs)

Content Consumer (Reader)

Bekanntschaftsangabe (Friend, Kommunikationspartner,…) 04.12.2013

18

Vernetzung von Personen: Social Networks • •

•

XING: 1.5 Mio (Sept06), 13Mio (Juni13) members LinkedIn: 8 Mio (Nov06), 80 Mio (Oct 10), 120 Mio (Aug 11), 238 Mio (Oct13) members Example: Informationen about Urs Stauffer

63 verschiedene Verbindungen

– Status: Angestellter – Firma: UBS AG – Position: HR Client Relationship Manager – Ort geschäftlich: 8098 Zurich – Skype-Nutzer: ursstauffer, Wallisellen 04.12.2013

19

Beispiel: Wolframalpha Facebook Report • Zugang auf meinen Facebook Account und Analyse meiner Facebook Daten Suchbegriff «facebook connections / report»

http://www.wolframalpha.com/input/?i=facebook+report 04.12.2013

20

Gesinnungs-, Verhaltensvernetzung (Wem gefällt was? Wer denkt was?) Content Producer (Writer)

Curator (Collector, Active Reader, Commentor)

Content Consumer (Reader)

04.12.2013

21

Beispiel: Google+ • Google+ als «Information Curator» Plattform – Hinweise auf interessante Informationen – Bewertungen, Ergänzungen – Diskussionen

http://www.ted.com/ 04.12.2013

Beispiel: Hinweis vom 2.3.2011 auf eine überaus interessante TED-Präsentation über agile Roboter (man beachte auch das «interaktive Transcript» zu diesem Video) 22

Google+ Ripples

https://plus.google.com/ripples/details?activityid=a1wA52p8qDz 04.12.2013

23

Bewegungsverhalten: Auswertung von Verbindungsdaten eines Mobilnetzbetreibers http://www.zeit.de/datenschutz/malte-spitz-vorratsdaten

04.12.2013

24

Bewegungsverhalten: Erfassung von Verkehrsinformationen mit Mobile Crowdsourcing: «Waze»

04.12.2013

25

«Vergrösserung» meiner Datenspuren, Identifikation von Meinungsbildnern • True Reach – Person’s “engaged audience” of followers and friends – People who actively listen and react to the person’s messages

• Amplification Probability – Likelihood that a person’s messages generate actions (retweets, @messages, likes, comments)

http://klout.com http://www.peerindex.com http://www.peoplebrowsr.com • Network Score

– Computed influence value of a person’s engaged audience 04.12.2013

26

information technology research - www.cnlab.ch

Risiken (Informationssicherheit)

04.12.2013

27

Informationssicherheitsmanagement Management der Prozesse zur Aufrechterhaltung der Vertraulichkeit, Echtheit und Verfügbarkeit von Informationen

Vulnerabilities Massnahmenkataloge – M 1 Infrastruktur – M 2 Organisation – M 3 Personal – M 4 Hardware/ Software – M 5 Kommunikation – M 6 Notfallvorsorge

04.12.2013

controls (measures, protection) Information (asset, value)

Gefährdungskataloge (Applied Threat) – – – – –

G 1 Höhere Gewalt G 2 Organisatorische Mängel G 3 Menschliche Fehlhandlungen G 4 Technisches Versagen G 5 Vorsätzliche Handlungen 28

Zeit,Finanzielle Mittel

Bedrohung in Funktion von Motivation und Mitteln (Angreiferkategorien) Nationales Interesse

Politisches Interesse Persönlicher Gewinn

Persönliche Profilierung

Langeweile Neugier

04.12.2013

Hacktivismus (Auftrags-) Hacker IT-Freak

Geheimdienst Wirtschaftsspion

Jedermann

Technische Fähigkeiten

29

Risiken (durchschnittlicher Schaden) Effektives vs. Gefühltes Risiko • Verlust von Daten und Infrastruktur – Agenda, Kontakte, Bilder – Nicht Verfügbarkeit – Verlangsamung

• Finanzieller Schaden (Gelddiebstahl) – Bankkonto, Kreditkarte von anderen genutzt – Falsche Rechnungen … Erpressung

• Verlorene Informationelle Selbstbestimmung – Persönliche Kommunikation (spezielle Briefe/Mail/Doc/SMS) – Bekanntwerden/Kopien vertraulicher/persönlicher Daten (Steuererklärung) – Bewegungsprofile (Aufenthaltsorte) – Persönlichkeitsprofil (Private Meinung, Gesinnung, …, Gesundheit) 04.12.2013

30

Beispiel: Clickjacking • Bewusstes Starten von Programmen – .exe, .msi, .zip, … – Flash, Shockwave

•

Unwissentliches Starten von Programmen („Clickjacking“) – Einstellungen des Flash-Players verändern und Angreifern so Zugriff auf Mikrofon und Webcam erlauben – http://www.youtube.com/watch?v =gxyLbpldmuU

04.12.2013

31

Beispiel: Versteckte Funktionen • Zelleninformationen lokal auslesen, Aktivieren des Feldtest-Modus – iPhone: *3001#12345#* – Android: *#*#4636#*#*

• Cell-ID zu GeoKoordinatenDatenbanken – www.nobbi.com/btsquerydb.html – sercpos.comopencellid.org – developer.yahoo.com/yrb/zonetag/l ocatecell.html 04.12.2013

32

Beispiel: Automatische Ausführung versteckter Funktionen (Geräte Factory Reset) 26.9.2012 Sicherheitslücke: Smartphone Factory Reset per Web-Link, SMS oder QR-Code URL tel:xyz führt Telefonfunktionen aus: • tel:*#06# > Anzeige der IMEI •

tel:*2767*3855# > Factory Reset

04.12.2013

Scannen Sie diesen QR-Code mit Ihrem Smartphone. Falls sofort die Seriennummer des Geräts (IMEI) anzeigt wird, sind sie verletzlich. 33

information technology research - www.cnlab.ch

WLAN Demo

04.12.2013

34

WLAN Access Point (Beacon Frames) Internet Server SSID: FreeInternet

Internet

WLAN Access Point DA

SA

FC Dur. Broadcast MAC AP

BSS ID MAC AP Seq. Data

AP

Beacon alle 102.4ms

04.12.2013

35

Smartphone Probe Requests offenbaren Namen benutzter WLANs

04.12.2013

36

WLAN Access Point Betreiber können auf unsere Daten zugreifen (Network Sniffer, Traffic Monitoring) Internet Server SSID: FreeInternet

Internet

WLAN Access Point Liste besuchter Webseiten

Network Sniffer (Wireshark)

www.20min.ch www.datenschutz.ch www.google.com …. www.parteien.ch

http://www.heise.de/security/meldung/Schnueffel-Tool-zeigt-fremde-WhatsApp-Nachrichten-an-1574066.html 04.12.2013

37

information technology research - www.cnlab.ch

Zusammenfassung

04.12.2013

38

information technology research - www.cnlab.ch

Aber ich nutze Smartphone und Tablet dauernd – was soll ich tun?

04.12.2013

39

WM im Handy-Weitwurf 1. Platz, Frauen 2011 Netta Karvinen, 48m 2012 Jonna Mattero. 42.5m 2013 Asa Lundgren, 40.4 m

• Zum Gerät mindestens so gut Sorge tragen wie zum Portemonnaie. • PIN-Code-Schutz mit mehr als 4 Zeichen verwenden. • Sich auf die «unwahrscheinliche» Situation vorbereiten, dass jemand meine «privaten» Daten lesen und veröffentlichen kann. 04.12.2013

40