information technology research - www.cnlab.ch
Stadt Zürich, 4. 12. 2013
Chancen und Risiken in der Online-Gesellschaft Prof. Dr. P. Heinzmann, Olivier Lamotte cnlab, Obere Bahnhofstrasse 32b, 8640 Rapperswil HSR Hochschule für Technik Rapperswil, Oberseestrasse 10, 8640 Rapperswil
[email protected] www.cnlab.ch
04.12.2013
1
Entwicklung und Überprüfung von Internet Anwendungen mit Fokus Leistungsfähigkeit, Sicherheit & Bedienbarkeit
PGP ISP Performance
ADSL Cablenet
Broadband Security
• HSR Hochschule für Technik Rapperswil – seit 1991 Professor für Elektrotechnik/Informatik – Vorlesungsmodule Computernetze und Informationssicherheit – Weiterbildungskurse MAS Software Engineering (Informationssicherheit), Zertifikatskurs Betriebliche Datenschutzbeauftragte
Providertest Handy Viren
LiveCam
Alles unter Kontrolle
• TourLive Internet Porno
FussballSpieler Tracker
04.12.2013
Mobile Performance
cnlab Information Technology Research AG – – – –
seit 1997 Direktor / Inhaber cnlab itr ag Spin-Off des HSR Computer Network Labors 14 Mitarbeitende 100% unabhängig, eigenfinanziert 2
Meine/Ihre Online-Infrastruktur •
3+ Rechner – – – –
•
Anwendungen – – – –
•
Desktop im Geschäft Desktop Privat Notebook Einige Testrechner
MS Office Browser (Firefox, IE/Chrome) Netzwerk-Test/Progammierung Video-/Podcast (YouTube, TED)
Accounts / Mail-Adressen – Firma und Hochschule – Private (gmail, gmx) – 50+ öffentliche
04.12.2013
• Mobile – Samsung Galaxy (zig Apps)
•
Tablet – iPad – Samsung
• x Weitere – Storage (Synology Diskstation mit Musik, Photos, Videos), Cloud (Dropbox, Google, OwnCloud, …) – TV (Sony) – Internet Radio 3
Agenda, Ziel • Besseres Verständnis zur Online-Welt – Infrastrukturen – Anwendungen – Nutzungsbeispiele
• Denkanstösse zur Informationssicherheit – Datensicherheit (technische Sicherheit) – Schutz vor Missbrauch der Persönlichkeitsdaten (Datenschutz)
• WLAN Demo 04.12.2013
4
Was das Internet über uns weiss
http://www.youtube.com/watch?v=F7pYHN9iC9I 04.12.2013http://www.youtube.com/watch?annotation_id=annotation_202513&feature=iv&src_vid=F7pYHN9iC9I&v=Rn4Rupla11M
5
information technology research - www.cnlab.ch
Chancen technische, inhaltliche, soziale, Gesinnungs-/Verhaltungsvernetzung
04.12.2013
6
Chancen (ICT Nutzung und Werkzeuge) • Informationsbeschaffung
• Kauf, Handel
(Browser, Apps) – Problemlösung – Produkteinfos – Weiterbildung
• Kommunikation (Erreichbarkeit)
– Elektronik, Bücher, Musik, Videos, IT, Ferien, Hotel, Flüge, Reisen – Banking (Mobile Clients)
•
– Kalender, Adressen (Outlook, Browser/Gmail) – Dokumenterstellung (Word, Powerpoint) – Bild-/Video-/Tonverarbeitung (Picasa, MovieMaker, Audacity)
– Mail (Mail Client z.B. Outlook, Browser), VoIP (Skype), Chat – Informationsaustausch (Dropbox)
• Informationsverteilung – Werbung
• Automatisierung 04.12.2013
Datenverarbeitung
• • •
Remote Support (TeamViewer) Unterhaltung (TV, Gaming) Lokalisierung, Navigation (Map, Sporttracker, Latitude)
7
Technische Vernetzung (Verbindung von Rechnern über fixe und mobile Netze) Rechner (Server, Router)
Verbindungen (Wired, Wireless) 04.12.2013
8
Mobile Data Plattform und cnlab Speedtest (Crowdsourcing) RAN Verbindungstyp (2G/3G bzw. GSM, EDGE / UMTS, HSPA, HSPA+)
Connection Typ (Bearer)
Gateways Proxies
DL: 0.4, 3.6, 7.2, 14.4, 21, 42 Mb/s UL: 0.4, 1.8, 5.7 Mb/s
Smartphone Typ
Internet
DL: 0.4/3.6/5.8/7.2/10.2/14.4/21 Mb/s UL: 0.4/1.8/2.0/5.7 Mb/s
Backhaul
RAN App
BackhaulVerbindungsKapazität (n*2.048Mb/s aufgeteilt auf 3 Zellen, GSM/EDGE/UMTS)
Vertrag (max, throtteling)
04.12.2013
Server, App / Content Anbieter
Anzahl/Aktivität gleichzeitige Nutzer 9
Mobile Messungen 3G ”Grids”
https://www.cnlab.ch/speedtest/stats_mobile/mobile_geo_stats.htm http://www.kassensturz.sf.tv/Nachrichten/Archiv/2011/09/13/Test/Welches-Handy-Netz-am-schnellsten-ist 04.12.2013
10
Logische Vernetzung (Verweise auf andere Informationen, Hyperlinks) Informationen (Webseiten, Blogs, Tweets)
Verweise (Hyperlinks) 04.12.2013
11
Webseitenaufruf: HTTP-Anfrage www.bluewin.ch GET whttp://www.bluewin.ch/index.html
Serverprogram
Browser Reply HTMLPage
84.112.91.22
HTMLPage
Link1, 2, …
195.186.145.33
04.12.2013
12
04.12.2013
13
Webseiten Links (Beispiel: Lightbeam Auswertung)
Mozilla Collusion Graph 04.12.2013
14
Web Nutzungsstatistik (Beispiel: Auswertung mit Google Analytics)
04.12.2013
http://www.google.com/analytics/
15
Web Suchmaschinen Spider, Crawler, Robot, Worm,...
Liste/Index mit allen Worten -> Seite
Search Engine Software (match and rank) www.hsr.ch/institute.html Suchbegriff
www.sgkb.ch/index.html
www.cnlab.ch/findus.html 04.12.2013
www.greenpeace.org/rob.html 16
Web Aktivitäten/Suchanfragen nachvollziehen (Beispiel: Google Webprotokoll)
04.12.2013
17
Soziale Vernetzung (Wer kennt wen? Wer kommuniziert mit wem?) Content Producer (Writer)
Personen (Facebook, XING, Linkedin, Twitter, … IDs)
Content Consumer (Reader)
Bekanntschaftsangabe (Friend, Kommunikationspartner,…) 04.12.2013
18
Vernetzung von Personen: Social Networks • •
•
XING: 1.5 Mio (Sept06), 13Mio (Juni13) members LinkedIn: 8 Mio (Nov06), 80 Mio (Oct 10), 120 Mio (Aug 11), 238 Mio (Oct13) members Example: Informationen about Urs Stauffer
63 verschiedene Verbindungen
– Status: Angestellter – Firma: UBS AG – Position: HR Client Relationship Manager – Ort geschäftlich: 8098 Zurich – Skype-Nutzer: ursstauffer, Wallisellen 04.12.2013
19
Beispiel: Wolframalpha Facebook Report • Zugang auf meinen Facebook Account und Analyse meiner Facebook Daten Suchbegriff «facebook connections / report»
http://www.wolframalpha.com/input/?i=facebook+report 04.12.2013
20
Gesinnungs-, Verhaltensvernetzung (Wem gefällt was? Wer denkt was?) Content Producer (Writer)
Curator (Collector, Active Reader, Commentor)
Content Consumer (Reader)
04.12.2013
21
Beispiel: Google+ • Google+ als «Information Curator» Plattform – Hinweise auf interessante Informationen – Bewertungen, Ergänzungen – Diskussionen
http://www.ted.com/ 04.12.2013
Beispiel: Hinweis vom 2.3.2011 auf eine überaus interessante TED-Präsentation über agile Roboter (man beachte auch das «interaktive Transcript» zu diesem Video) 22
Google+ Ripples
https://plus.google.com/ripples/details?activityid=a1wA52p8qDz 04.12.2013
23
Bewegungsverhalten: Auswertung von Verbindungsdaten eines Mobilnetzbetreibers http://www.zeit.de/datenschutz/malte-spitz-vorratsdaten
04.12.2013
24
Bewegungsverhalten: Erfassung von Verkehrsinformationen mit Mobile Crowdsourcing: «Waze»
04.12.2013
25
«Vergrösserung» meiner Datenspuren, Identifikation von Meinungsbildnern • True Reach – Person’s “engaged audience” of followers and friends – People who actively listen and react to the person’s messages
• Amplification Probability – Likelihood that a person’s messages generate actions (retweets, @messages, likes, comments)
http://klout.com http://www.peerindex.com http://www.peoplebrowsr.com • Network Score
– Computed influence value of a person’s engaged audience 04.12.2013
26
information technology research - www.cnlab.ch
Risiken (Informationssicherheit)
04.12.2013
27
Informationssicherheitsmanagement Management der Prozesse zur Aufrechterhaltung der Vertraulichkeit, Echtheit und Verfügbarkeit von Informationen
Vulnerabilities Massnahmenkataloge – M 1 Infrastruktur – M 2 Organisation – M 3 Personal – M 4 Hardware/ Software – M 5 Kommunikation – M 6 Notfallvorsorge
04.12.2013
controls (measures, protection) Information (asset, value)
Gefährdungskataloge (Applied Threat) – – – – –
G 1 Höhere Gewalt G 2 Organisatorische Mängel G 3 Menschliche Fehlhandlungen G 4 Technisches Versagen G 5 Vorsätzliche Handlungen 28
Zeit,Finanzielle Mittel
Bedrohung in Funktion von Motivation und Mitteln (Angreiferkategorien) Nationales Interesse
Politisches Interesse Persönlicher Gewinn
Persönliche Profilierung
Langeweile Neugier
04.12.2013
Hacktivismus (Auftrags-) Hacker IT-Freak
Geheimdienst Wirtschaftsspion
Jedermann
Technische Fähigkeiten
29
Risiken (durchschnittlicher Schaden) Effektives vs. Gefühltes Risiko • Verlust von Daten und Infrastruktur – Agenda, Kontakte, Bilder – Nicht Verfügbarkeit – Verlangsamung
• Finanzieller Schaden (Gelddiebstahl) – Bankkonto, Kreditkarte von anderen genutzt – Falsche Rechnungen … Erpressung
• Verlorene Informationelle Selbstbestimmung – Persönliche Kommunikation (spezielle Briefe/Mail/Doc/SMS) – Bekanntwerden/Kopien vertraulicher/persönlicher Daten (Steuererklärung) – Bewegungsprofile (Aufenthaltsorte) – Persönlichkeitsprofil (Private Meinung, Gesinnung, …, Gesundheit) 04.12.2013
30
Beispiel: Clickjacking • Bewusstes Starten von Programmen – .exe, .msi, .zip, … – Flash, Shockwave
•
Unwissentliches Starten von Programmen („Clickjacking“) – Einstellungen des Flash-Players verändern und Angreifern so Zugriff auf Mikrofon und Webcam erlauben – http://www.youtube.com/watch?v =gxyLbpldmuU
04.12.2013
31
Beispiel: Versteckte Funktionen • Zelleninformationen lokal auslesen, Aktivieren des Feldtest-Modus – iPhone: *3001#12345#* – Android: *#*#4636#*#*
• Cell-ID zu GeoKoordinatenDatenbanken – www.nobbi.com/btsquerydb.html – sercpos.comopencellid.org – developer.yahoo.com/yrb/zonetag/l ocatecell.html 04.12.2013
32
Beispiel: Automatische Ausführung versteckter Funktionen (Geräte Factory Reset) 26.9.2012 Sicherheitslücke: Smartphone Factory Reset per Web-Link, SMS oder QR-Code URL tel:xyz führt Telefonfunktionen aus: • tel:*#06# > Anzeige der IMEI •
tel:*2767*3855# > Factory Reset
04.12.2013
Scannen Sie diesen QR-Code mit Ihrem Smartphone. Falls sofort die Seriennummer des Geräts (IMEI) anzeigt wird, sind sie verletzlich. 33
information technology research - www.cnlab.ch
WLAN Demo
04.12.2013
34
WLAN Access Point (Beacon Frames) Internet Server SSID: FreeInternet
Internet
WLAN Access Point DA
SA
FC Dur. Broadcast MAC AP
BSS ID MAC AP Seq. Data
AP
Beacon alle 102.4ms
04.12.2013
35
Smartphone Probe Requests offenbaren Namen benutzter WLANs
04.12.2013
36
WLAN Access Point Betreiber können auf unsere Daten zugreifen (Network Sniffer, Traffic Monitoring) Internet Server SSID: FreeInternet
Internet
WLAN Access Point Liste besuchter Webseiten
Network Sniffer (Wireshark)
www.20min.ch www.datenschutz.ch www.google.com …. www.parteien.ch
http://www.heise.de/security/meldung/Schnueffel-Tool-zeigt-fremde-WhatsApp-Nachrichten-an-1574066.html 04.12.2013
37
information technology research - www.cnlab.ch
Zusammenfassung
04.12.2013
38
information technology research - www.cnlab.ch
Aber ich nutze Smartphone und Tablet dauernd – was soll ich tun?
04.12.2013
39
WM im Handy-Weitwurf 1. Platz, Frauen 2011 Netta Karvinen, 48m 2012 Jonna Mattero. 42.5m 2013 Asa Lundgren, 40.4 m
• Zum Gerät mindestens so gut Sorge tragen wie zum Portemonnaie. • PIN-Code-Schutz mit mehr als 4 Zeichen verwenden. • Sich auf die «unwahrscheinliche» Situation vorbereiten, dass jemand meine «privaten» Daten lesen und veröffentlichen kann. 04.12.2013
40