Surfen im Internet – aber sicher

Welche Gefahren im Web lauern

und wie man ihnen entgeht

Ralf Benzmüller

Mail: ralf.benzmueller@gdata.de

Twitter: @rb_gdata

Executive Speaker SecurityLabs

Gefährliches Internet

Alle nutzen das Internet – auch Kriminelle

Verbindung genügt

Bedrohungen

• Phishing, ID-Theft

• Malvertising, User-Targeting und –Tracking

• CryptoMining

• Gewinnspiele)

• Software-Downloads & Updates

• Online-Banking und –Shopping

Man-In-The-Browser

• Beim Suchen (Typosquatting, Werbebanner)

• Online-Spiele

• Clickjacking, UI Redressing

• Drive-By-Infection

Exploit Kits & Waterhole Attacks

5

WEB EXPLOIT KITSAdPack

Alpha Pack

Angler

Archie

Astrum

Best Pack

BlackHole

BleadingLife

Bomba

CK-VIP

Clean Pack

Cool

Crime Boss

CrimePack

CritX Pack

DotkaChef

Dragon

El Fiiesta

Eleonore

Firepack

FlashPack

FlimKit

Fragus

FSPack

Glazunov

GongDa

GPack

Grandsoft

Hanjuan

Hierarchy

HiMan

IcePack

IFramer

Impact

Incognito

Infinity

iPack

IcePack

JustExploit

KaiXin

Liberty

Lights Out

LinuQ

LuckySploit

Lupit

Magnitude

Max Toolkit

MerryChristmas

Mpack

Mushroom

MyLoader

MyPolySploit

Neo Sploit

Net Boom NB

Neutrino

Nice

Niteris

NucSoft

Nuclear

Null Hole

Papka

Phoenix

Private

Rawin

Red Dot

Redkit

Rig

Robopak

Topic

Tornado

TrafficPro

UniquePack

WebAttacker

White Lotus

WhiteHole

Xcore

Yang Pack

Yes Toolkit

Zero Pack

Zhi Zhu

Zombie Infection Kit

Zopack

Zuponcic

Safe Pack

Sakura

Salo Pack

Sava Pack

Sednit

SEO Toolkit

Serenity

ShamansDream

Siberia

SibHost

Silent

SmartPack

Spack

SPL Pack

Styx

Sweet Orange

Techno Xpack

Rechner und Betriebssystem auswählen

Hardware

Mobile Rechner vom Notebook bis zum SmartTV

Secure Boot nutzen

Betriebssystem wählen und härten

Tools: Software

Virtuelle Maschinen

• VirtualBox

• VMWare

• SandboxIE

• BitBox

• KVM, Xen

• Qubes

• DIY: Anwendungen mit niedrigen Rechten starten.

EMET (Enhanced Mitigation Experience Toolkit) von Microsoft

• Verlängerter Support endet am 31.7.2018

• https://support.microsoft.com/de-de/help/2458544/the-enhanced-mitigation-experience-toolkit

Software bewusst auswählen und aktuell halten

Tools: Software

Linux Live USB Creator

Portable Apps

mit Portable VirtualBox

BitBox

Verbindungsaufbau

WLAN

• Verschlüsselt mit WPA2

• KRACK

Bluetooth

VPN

Welcher Browser?

Chrome

Firefox

Edge

Opera

Safari

Vivaldi

Lynx

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/

Mindeststandards/Browser-Abgleich_Mindeststandard_Sichere_Web-Browser.pdf

Browser-Einstellungen

Java, Flash und Silverlight deaktivieren

Prüfung auf schädliche Webseiten aktivieren

Automatische Updates

Passwörter nicht im Browser speichern

Plugins sorgfältig auswählen

• Adobe Reader

• Media Player, VLC

Cookies regelmäßig löschen

Do-Not-Track aktivieren

https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/EinrichtungSoftware/

EinrichtungBrowser/Sicherheitsmassnahmen/SicherheitsCheck/sicherheitscheck_node.html

BSI für Bürger

Tools: Browser Plugins

Privacy Badger

HTTPS Everywhere

NoScript (FF). ScriptBlock (Chrome)

Deaktiviert JavaScript (Java, Flash, Silverlight) und verwaltet Ausnahmen.

Anti-Clickjacking, Anti-Cross-Site-Scripting, Anti-Cross-Site-Request-Forgery

uBlock (origin), Adblock Plus Werbeblocker schützen auch vor Malvertising

Best Practice – Dos and Don‘ts

Browser, Software und Betriebssystem aktuell halten

Keine Links in unbekannten E-Mails anklicken. Stattdessen eintippen oder Favoriten nutzen

Vor dem Aufruf einer Webseite auf Tippfehler prüfen

Vor der Eingabe von Passwörter prüfen, ob die Seite verschlüsselt ist

Besser: Einen Passwort-Manager benutzen

Ausloggen

Verdächtige Dokumente in Google Drive öffnen

Virenschutz einsetzen

Fazit

Updates

Backups

Virenschutz

Vorsicht, Umsicht

Be prepared

Weitere Infos

Sehr einfache Darstellung für Einsteigerhttps://www.sicher-im-netz.de/sites/default/files/download/handreichung_2_web.pdf

SecurityHeaders zeigt Infos über die verwendeten Standards und Software auf Webseiten(https://securityheaders.io)

Panopticlick prüft wie gut der Browser die Privatsphäre schützt (https://panopticlick.eff.org/)

Electronic Frontier Foundation (EFF) Surveillance Self-Defense (https://ssd.eff.org/)

Verbraucher sicher online viele Tipps zum Thema Online-Sicherheit (https://www.verbraucher-sicher-online.de/thema/sicher-surfen)

OWASP Open Web Application Security Project. * Cheat Sheets (https://www.owasp.org/index.php/OWASP_Cheat_Sheet_Series)* Top 10 Bedrohungen (https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project)

Carsten Eilers zu Clickjacking(https://www.ceilers-news.de/serendipity/660-5-Jahre-Blog-Als-Special-Clickjacking-eBook.html)