3
Twitter: Allgemeines & Zahlen
Mikroblogging 190 Mio Nutzer 140 Mio Nachrichten/Tag 300.000 registrierte Drittanwendungen
5
Grundlagen: Risikoanalyse
Risikopotential als Eintrittswahrscheinlichkeit multipliziert mit Konsequenzen
Eintrittswahrscheinlichkeit• Angreifer• Schwachstelle
Konsequenzen• Verletzte Schutzziele• Verletzte Benutzer-Annahmen
Strategien zum Umgang mit Risiken
6
Prämissen der Risikoidentifizierung
Mittel: Literaturrecherche & Analyse des Front-Ends
Vor allem Risiken durch Sicherheitslücken in der Software
Beschränkung auf Webanwendung und API
7
Code-Injection
Shell Injection Programmcode Injection SQL Injection JSON Injection File Inclusion Cross-Site Scripting (XSS)
9
Angriffe auf Dienste
Distributed Denial of Service-Angriffe DNS Hijacking Kurz-URL Anbieter Google Apps
10
Unzureichende Sicherheitspolitik
Verschicken von geheimen Zugangsdaten per Mail
Administrationstools Versteckte Befehle Unsichere Serverkonfiguration
12
Angriffe auf Zugangsdaten
Zugangsdaten per Brute-Force erraten Phishing-Angriff per
• Mail• Tweet• Direktnachricht• „Sign in with Twitter“ auf Third-Party Webseite
13
Schwachstellen durch Drittanwendungen
Bösartige/Kompro-mittierte Anwendung
Zu grobe Rechtevergabe
Anwender kaum sensibilisiert
14
Risikobewertung: Nutzergruppen
Bewertung des Risikopotentials abhängig vom Nutzertyp
Fünf Nutzergruppen• passive Nutzer• aktive Nutzer• Organisationen• Journalisten• Entwickler von Third-Party Anwendungen
17
Ergebnisse der Bewertung I
Passive Benutzer• 18 Risiken• Top: Code-Injection, unzureichende
Sicherheitspolitik
Aktive Benutzer• 42 Risiken• Top: Angriffe auf Zugangsdaten, unzureichende
Sicherheitspolitik
Organisationen• Zusätzliches Risiko: Austausch von Twitter-
Zugangsdaten innerhalb der Organisation
18
Ergebnisse der Bewertung II
Journalisten• 42 Risiken• Astroturfing: Von Platz 38 auf 33
Entwickler von Drittanwendungen• 7 Risiken• Top: Kompromittierung der Anwendung, zu
grobe Rechtevergabe
19
Gegenmaßnahmen
17 von 44 identifizierten Risiken können ausschließlich durch Twitter begegnet werden
Oftmals ungenügend umgesetzt Vorgeschlagene Gegenmaßnahmen
wurden im letzten halben Jahr implementiert
Top Related