PROGRAMM
Vorträge – IT-DEFENSE 2013 |
Informationen zu den Vorträgen folgen nach Freigabe durch die Referenten.
Handys mit NFC angreifen - Charlie Miller
Near Field Communication (NFC) ist überall auf der Welt auf dem Vormarsch. Diese Technologie ermöglicht es NFC-fähigen Geräten, innerhalb einer kurzen Distanz miteinander zu kommunizieren, typischerweise über ein paar Zentimeter hinweg. NFC wird als Zahlungsmöglichkeit eingeführt, bei der man mit einem mobilen Endgerät Kreditkartendaten an ein NFC-fähiges Terminal überträgt. Das ist eine neue, coole Technologie. Aber wie bei der Einführung jeder neuen Technologie muss man die Frage stellen, welche Auswirkung diese neue Funktionalität auf die Angriffsfläche von mobilen Endgeräten hat. In diesem Vortrag beschäftige ich mich mit dieser Frage, indem ich NFC und die damit verbundenen Protokolle vorstelle.
Ich beginne damit, wie Stack Protocol Fuzzing bei zwei Geräten funktioniert und beschreibe meine Ergebnisse. Dann zeige ich anhand dieser Geräte, welche Software auf dem NFC Stack aufsetzt. Es wird deutlich, dass man durch NFC mit Technologien wie Android Beam oder NDEF Content Sharing einige Handys dazu bringen kann, Bilder, Videos, Kontaktdaten oder Office-Dokumente zu parsen oder sogar Internetseiten im Browser zu öffnen - ganz ohne User-Interaktion. In einigen Fällen ist es sogar möglich, mittels NFC die komplette Kontrolle über ein Handy zu übernehmen und Fotos oder Kontaktdaten zu stehlen oder sogar Textnachrichten zu verschicken und Anrufe zu machen.
Also: Das nächste Mal, wenn Sie Ihr Handy zücken, um ein Taxi zu bezahlen, seien Sie sich bewusst, dass man Sie vielleicht gerade reingelegt hat.
Die CERT-Top-10-Liste für einen erfolgreichen Kampf gegen Insider-Bedrohungen - Dawn Cappelli
Dawn Cappelli ist Direktor und Gründerin des CERT Insider Threat Centers. In den vergangenen zwölf Jahren ihrer Karriere hat sie ein talentiertes, vielseitiges Experten-Team aufgebaut, das für die umfassende Arbeit des CERT zu Insider-Bedrohungen verantwortlich ist. Nach einem Jahrzehnt Arbeit scheint es angebracht, einen Schritt zurückzutreten und die Top-10-Liste des CERT für den erfolgreichen Kampf gegen Insider-Bedrohungen vorzustellen.
Das CERT-Programm des Software Engineering-Insituts der Carnegie Mellon Universität begann vor zehn Jahren mit seiner Forschung zu Insider-Bedrohungen. Was mit einem einzelnen Projekt startete, hat sich zu einem ganzen Center entwickelt, das aus drei Teams besteht: "Insider Threat Research", "Insider Threat Technical Solutions and Standards" und "Outreach and Transition". Das Center hat über 800 Fälle von Insider-Bedrohungen gesammelt und daraus die umfangreichste Datenbank der Welt zu Insider-Bedrohungen aufgebaut. Diese Datenbank dient als Grundlage für die gesamte Arbeit des CERT im Insider Threat Center.
Basierend auf diesen Fällen hat das CERT Modelle entwickelt - Verbrechens-Profile - die die Muster illustieren, wie die einzelnen Arten von Insider-Delikten sich im Laufe der Zeit entwickeln - die technischen und nicht technischen Verhaltensweisen, die auf eine akute Bedrohung durch einen Insider-Angriff hinweisen könnten. Diese Modelle wurden hervorragend aufgenommen. Sie wurden von Herstellern für die Entwicklung von technischen Lösungen verwendet, von Fachleuten beim Design von Strategien zur Risikominimierung eingesetzt und von Wissenschaftlern für die Weiterentwicklung ihrer Studien herangezogen. Wir haben ein Überprüfungusverfahren zur Aufdeckung von Insider-Bedrohungen entwickelt, mit dem wir Regierung und Industrie dabei unterstützen, ihre Anfälligkeit für Insider-Angriffe zu überprüfen. Wir entwickeln technische Kontrollen in unserem Insider Threat Lab, mit denen man Insider-Bedrohungen vermeiden und aufdecken kann. Diese Kontrollen testen wir mit Fachleuten, präzisieren sie entsprechend und veröffentlichen sie dann in der Community. Unser neuestes Tool in der Toolbox für den Kampf gegegen bösartige Insider ist eine Reihe von Online-Übungen, in denen Teilnehmer ihre Fähigkeiten an unseren trickreichsten Insidern messen können, basierend auf realen Insider-Fällen.
Um es kurz zu sagen: Wir sind dran. Dran an dem, was wirklich bei Fachleuten passiert - was funktioniert und was nicht, und an dem, was für die größte Frustration sorgt. Wir haben außerdem Kontakt zur Hersteller-Community und zu den schlausten Köpfen der Wissenschaftswelt.
In diesem Vortrag gibt Dawn Empfehlungen, wie man die 10 bedeutendsten Probleme im Hinblick auf Insider-Bedrohungen in den Griff bekommt, basierend auf unseren Fällen, Modellen und Überprüfungen. Sie verwendet Fälle aus dem echten Leben, um zu erklären, warum jedes einzelne Problem so kritisch ist, und gibt Empfehlungen, wie man es beheben kann.
Datenlecks im SAP aufdecken - Das nächste Level der statischen Codeanalyse – Andreas Wiegenstein
Industriespionage ist ein zunehmend ernsthaftes Problem für viele Unternehmen. Schon kleinere Datenlecks können die Konkurrenzfähigkeit eines Unternehmens gefährden, wenn Daten in die falschen Hände geraten.
Aber insbesondere in komplexen Umgebungen wie SAP Landschaften ist es schwierig die Kontrolle über die kritischen Unternehmensdaten zu behalten. Vor allem wenn viel selbst entwickelter Code im Einsatz ist können Unternehmen oft nicht mehr nachvollziehen, welche Programme ihre wichtigsten Daten verarbeiten und wohin diese kopiert werden.
Dieser Vortrag stellt einen neuen Ansatz für Sicherheitsanalysen vor: statisches Data Loss Prevention. Zunächst werden die Stärken (und Schwächen) von konventionellen Data Loss Prevention Systemen aufgezeigt. Ebenso werden gängige Verfahren der statischen Codeanalyse näher beleuchtet.
Nachdem diese technischen Grundlagen für alle Teilnehmer dargestellt sind, wird erklärt wie Datenlecks im Code entstehen können und warum diese mit herkömmlichen Testansätzen praktisch nicht zu finden sind. Hierzu werden auch (anonymisierte) Beispiele von Datenlecks in Kundenentwicklungen und im SAP Standard exemplarisch erörtert.
Schließlich wird das innovative Verfahren der Data Loss Prevention durch statische Codeanalyse (statisches Data Loss Prevention) detailliert vorgestellt, welches sich insbesondere auch für die Aufdeckung bestimmter Arten von Hintertüren im Code eignet.
Hacktivism: Der Einfluss der Netzaktivisten auf Industrie und Politik – Volker Kozok
Anonymous, Lulsec oder arabischer Frühling - Hacktivisten sind in aller Munde. Im Vortrag werden vier Gruppierungen vorgestellt: Cyber Activists, Cyber Warrier, Cyber Occupier, Cyber Leaker. Sie nehmen in unterschiedlicher Ausprägung Einfluss auf Politik und Industrie und unterscheiden sich in Motivation, Zielsetzung und in der Wahl der eingesetzten Mittel.
Der Vortragende zeigt Beispiele von Aktionen der Gruppe Anonymous, den bekanntesten Cyberaktivisten, und erläutert deren Wirkung. Cyber Warrier sind Gruppen, die die vermeintlichen Interessen ihres Staates vertreten, die Vorkommnisse in Estland oder die Dauerfehde zwischen japanischen und chinesischen Hacker sind hierfür ein Beispiel. Cyber Occupier suchen die Veränderungen im eigenen Land, beim sogenannten arabischen Frühling wurde die Bedeutung des Web 2.0 besonders deutlich. Cyber Leaker wie Wikileaks, Openleaks oder Whistleblowerportale ist die 4.Gruppe der Netzaktivisten, die für völlige Informationsfreiheit einstehen und dabei oftmals die schutzwürdigen Interessen des Einzelnen oder von Organisationen beeinträchtigen.
Im 2. Teil des Vortrages werden Fallbeispiele vorgestellt, die deutlich machen, wie schwierig die Abgrenzung zwischen den Gruppen und wie schleichend der Übergang von illegalen Aktionen zu kriminellen Handeln ist. Die Diskussion um den Staatstrojaner oder die Reaktionen auf SOPA und ACTA - Hacktivism ist ein gesellschaftliches Phänomen, der Shitstorm ein Ausdruck politischen Handels. Den Schlusspunkt setzen Beispiele politischer Akteure, die den Kampf gegen die Community aufgenommen und verloren haben. Nach der Devise: Man braucht nicht viel tun, um sich als Politiker zu blamieren - Facebook und Twitter reichen.
"Klau alles, töte jeden, verursache den totalen finanziellen Ruin!" (Auch 2013 benehme ich mich noch daneben) - Jayson E. Street
Dies ist kein Vortrag, in dem ich darüber spreche, wie ich reinkomme oder was ich tun könnte. In diesem Vortrag bin ich schon drin und zeige Ihnen Bilder von echten Einsätzen, die ich durchgeführt habe.
Ein Bild sagt mehr als tausend Worte, heißt es. Ich zeige Ihnen, wie ein Bild ein Unternehmen eine Million Dollar und vielleicht sogar ein paar Menschenleben gekostet hat. In einer Community, in der wir uns so sehr auf Angriffe konzentrieren, sorge ich mit jeder Attacke dafür, dass ich heraussteche. Ich verbringe Zeit damit, darüber zu diskutieren, was mich hätte stoppen können. Es ist wichtig, die Probleme zu kennen, aber wir müssen mehr über Lösungen reden - und genau das, hoffe ich, bekommen die Leute in meinem Vortrag. Ich zeige die Gefahren von Social Engineering auf und beweise, wie selbst ein Angesteller ohne Social-Engineering-Erfahrung ein eBay-James-Bond werden kann, der ein Unternehmen finanziell völlig ruiniert. Diese Sicherheitsbedrohungen existieren wirklich. Genauso wahr sind diese Storys.
Fortschritte in der Exploit-Abwehr in Visual Studio 2012 und Windows 8 - Tim Burrell
In den vergangenen zehn Jahren hat Microsoft sowohl die Windows-Plattform als auch das Visual Studio Toolset um Sicherheits-Features ergänzt, die dazu beitragen, die Software-Sicherheit zu verbessern. Sie decken mehr Fehler während der Entwicklung auf und machen es schwer und teuer für Angreifer, verlässliche Exploits für verbleibende Memory-Safety-Schwachstellen zu entwickeln.
Solche Schutzmaßnahmen sind zum Beispiel Data Execution Prevention (DEP), Address Space Layout Randomization (ASLZ) und der Code-Generierungs Sicherheits-Schutz (GS) von Visual C++ gegen Stack-basierte Buffer Overruns. In Windows 8 und Visual Studio 2012 hat Microsoft einige entscheidende Verbesserungen durchgeführt, die dazu dienen, bekannte Exploit-Techniken zunichte zu machen und so in einigen Fällen die Ausbeutung ganzer Klassen von Schwachstellen verhindern.
Dieser Vortrag gibt einen detaillierten technischen Schritt-für-Schritt-Überblick über die durchgeführten Verbesserungen, eine Evaluierung ihrer erwarteten Auswirkung und zeigt, wie man von diesen Features profitieren kann.
Hacking Huawei VRP – Felix „FX“ Lindner
Huawei-Router sieht man mittlerweile nicht mehr nur in China. Ganze Länder betreiben ihre Internet-Infrastruktur ausschließlich auf diesen Produkten und etablierte Tier-1-ISPs setzen sie verstärkt ein. Über die Huawei-Software-Plattform und ihre Sicherheit ist allerdings sehr wenig bekannt. Dieser Vortrag gibt einen Einblick in die Architektur, spezielle Eigenschaften von Konfigurationen und Diensten sowie in das Reverse-Engineering des Betriebssystems. Natürlich wird das nur gemacht, um die Kompatibilität mit Router-Produkten anderer Hersteller sicherzustellen. Trotzdem könnten Router dabei beschädigt werden.
Let Me Answer That For You – Nico Golde
Trotz des Alters ist GSM noch immer eines der am weitesten genutzten und verbreitetsten Mobilfunktechnologien weltweit. In den letzten Jahren wurde allerdings von verschiedenen Forschern immer wieder gezeigt, dass GSM anfällig für diverse Sicherheitsprobleme ist, die auch in der Praxis verheerende Folgen haben können. In diesem Vortrag wird ein bisher nicht diskutierter Aspekt von GSM Sicherheit diskutiert. Konkret das Zustellen eines Services. Was passiert im Hintergrund, wenn das Netz versucht an einen Teilnehmer ein Telefonat zuzustellen? Ist es möglich dies zu für einzelne Personen oder große Flächen zu verhindern? Ist es gar möglich einen Dienst als Angreifer komplett zu übernehmen? Die Aspekte der Machbarkeit solcher Angriffe werden dargelegt und am Beispiel von einer Großstadt wie Berlin erklärt.
Geheimnisse der Super-Spione – Ira Winkler
Spione sind Genies, die man nicht aufhalten kann und die beliebige Informationen stehlen können. Dann gibt es noch die Möchtegern-Spione, wie zum Beispiel Kriminelle, Hacker und sogar Ihre Angestellten. Genauso gut wie Spione Ihre Informationen stehlen, sind sie darin, ihre eigenen Informationen zu schützen. Die Zahl der Spionage-Fälle, die es in die Zeitungen schaffen, ist gering im Vergleich zu all den Leuten, die versuchen, die Spione zu schnappen. Tatsache ist, dass Spione die tiefgehende Möglichkeiten kennen, Informationen zu kompromittieren. Deshalb wissen sie auch am besten, wie sie große Mengen an Informationen schützen können. Lernen Sie von echten Spionage-Fällen, einschließlich einiger, die unser Referent begangen hat. Sie tragen dazu bei, die kostengünstigsten Sicherheitsprogramme für Ihr Unternehmen aufzuzeigen.
Datenlecks im SAP aufdecken - Das nächste Level der statischen Codeanalyse – Andreas Wiegenstein
Die Business Application Security Initiative (BIZEC.org) hat vor Kurzem ihre beide Top-Risiko-Listen für SAP-Umgebungen aktualisiert: BIZEC TEC/11 (typische SAP-Konfigurationsfehler) und BIZEC APP/11 (typische ABAP Programmier-Fehler). Dieses Update basiert auf den Erkenntnissen, die BIZEC-Mitglieder und SAP-Experten aus der Industrie während der letzten zwei Jahre in ihren Projekten gewonnen haben. BIZEC.org ist eine Non-Profit-Organisation, die aus SAP-Sicherheits-Unternehmen auf der ganzen Welt besteht. Ihr Ziel ist es, die häufigsten SAP-Sicherheitsprobleme bei Kunden-Installationen aufzudecken, um SAP-Nutzern eine Grundlage für SAP-Sicherheitsüberprüfungen zu geben (analog zur OWASP-Top-10-Liste für Web-Applikationen). Dieser Vortrag gibt einen Überblick über die aktuellen Top-Risiken in SAP-Systemen, und alle Teilnehmer sind eingeladen, Feedback zu geben.
Sicherheitsaspekte bei „Bring your own device“ – Stefan Strobel
Spätestens seit moderne Smartphones und Tablets immer stärker in die Unternehmenswelt drängen, wird der Ruf nach „Bring your own device“-Strategien immer lauter. Private iPads sollen nicht nur auf die geschäftlichen E-Mails zugreifen können, sondern auch auf ERP- oder CRM-Systeme. Manche Unternehmen überlegen sogar, ob überhaupt noch unternehmenseigene Arbeitsplatz-PCs benötigt werden. All diese Ansätze haben offensichtlich großen Einfluss auf die Informations-sicherheit. Der Vortrag wird die verschiedenen Ansätze sowie typische Sicherheitsaspekte vorstellen und Lösungen diskutieren.
Big Bang Theory…Pentesting High Security Environments – Joe McCray und Chris Gates
Dieser Vortrag beschäftigt sich damit, wie man Pentests für Hochsicherheits-Umgebungen durchführen kann, sodass Kunden mit fortgeschrittenen/hohen Sicherheits-Umgebungen stärker davon profitieren. Herkömmliches Pentesting bringt erfahrenen Kunden wenig Nutzwert. Dieser Vortrag versucht Möglichkeiten aufzuzeigen, wie man den Wert steigern kann, indem man die Techniken von fortgeschrittenen Angreifern nachahmt. Diese Techniken umfassen neue Möglichkeiten, gängige Sicherheits-Maßnahmen zu identifizieren und zu umgehen, eine Domain zu übernehmen und beizubehalten sowie kritische Daten aus dem Netzwerk auszulesen, ohne dabei entdeckt zu werden. Außerdem geht es um Red Teaming und die Notwendigkeit, das Zusammenspiel von sozialen, physischen und elektronischen operativen Bereichen zu testen.
Wie man mit der oberen Führungsebene über Informationssicherheit kommuniziert und wie man das Sicherheitsbewusstsein von Endanwendern am besten schult – Jayson E. Street
1. Wie bezieht man die obere Führungsebene mit ein?
Ich sprechen darüber, dass INFOSEC dafür verantwortlich ist, die obere Führungsebene über die mit INFOSEC verbundenen Belange zu informieren und sie zu schulen. Wenn ein Manager oder Geschäftsführer eine Bedrohung nicht versteht, liegt das nicht daran, dass er dumm ist. Vielmehr hat INFOSEC es nicht geschafft, die Gefahr so zu erklären, dass die betreffende Person sie versteht – ohne dabei Fachjargon oder komplizierte Beispiele zu verwenden. Wir werden verschiedene Methoden durchgehen, wie man mehr Verständnis erreicht und wie INFOSEC besser und produktiver mit der oberen Führungsebene kommunizieren kann.
2. Wie bezieht man den Endanwender mit ein?
Ich helfe INFOSEC-Leuten dabei, einen Schritt zurückzutreten und sich einmal genauer anzusehen, wie sie mit Endanwendern umgehen. Wir müssen verstehen, dass es niemandem weiterhilft, wenn wir sagen: Die dummen User sollen einfach aufhören, auf Links zu klicken oder Dateien in E-Mails zu öffnen. Wir müssen Endanwender schulen, damit sie Computer-Sicherheit besser verstehen. Sogar so weit, dass wir ihnen zeigen, wie sie ihr Heim-Netzwerk und die Online-Profile ihrer Familie schützen. Dann verstehen sie auch besser, wie man mit Firmendaten umgehen sollte. Denn wenn Endanwender nicht einmal verstehen, wie sie sich selbst oder ihre Lieben und ihre Daten online schützen – wie können wir dann von ihnen erwarten, dass sie ihre Arbeitgeber schützen? Anschließend müssen wir sie dazu in die Lage versetzen, sich aktiv am INFOSEC-Prozess zu beteiligen. Wir müssen ihnen zeigen, wie sie zum Schutz aller beitragen können, indem sie Fragen stellen oder verdächtige E-Mails und Personen im Gebäude melden. Und schließlich müssen wir verstehen, wie man positive Bestärkung einsetzt, um bessere Sicherheitsmechanismen in der ganzen Firma umzusetzen.
3. Wie bezieht man die INFOSEC-Industrie mit ein (nicht die „INFOSEC-Szene“)
Ich rede über etwas, von dem ich denke, dass es angesprochen werden muss. Und das ist, wie eine kleine Gruppe in der INFOSEC-Industrie versucht, sie zu führen und zu verändern, ohne daran zu denken, dass 90% der Industrie keinen blassen Schimmer hat, dass diese Gruppe überhaupt existiert. Ich spreche auch darüber, wie ich selbst den Kontakt zur Industrie verloren habe, wie ich an der Community vorbei in der Szene abgetaucht bin - und warum wir alle näher an der Community und Industrie dran sein müssen.
Informationssicherheitsrisiken im zukünftigen Smart Grid – Stephan Gerhager
Zukünftige Smart Meter werden als Kommunikationsendpunkt bei Stromkunden eine zentrale Rolle in den Kommunikationsbeziehungen zwischen den Kunden, dem Internet, dem Smart Home und dem Smart Grid spielen. Daher stellen diese Geräte ein interessantes Ziel für die unterschiedlichsten Angreifer dar. Der Vortrag fokussiert zum einen auf die neu entstehenden Informationsrisiken und Bedrohungen im zukünftigen Smart Grid und zum anderen auf Ansätze, diese mit Entwicklung einer
ganzheitlichen Informationssicherheitsarchitektur zu minimieren. Zusätzlich gibt der Vortrag einen Einblick in die derzeitige Diskussion über Sicherheit im Smart Metering und Smart Grid Umfeld in Deutschland und liefert Risikobetrachtungen aus dem Blickwinkel der Informationssicherheit sowie der eines Energieversorgers.
Lockpicking – Barry Wels und Han Fey
Wer sich fürs Schlösser-Knacken interessiert, wird auf der IT-Defense viel Spaß haben. Unsere bewährten Experten Barry Wels und Han Fey (von Toool.NL) werden in ihrem Round Table einige Vorführungen geben und stehen für Praxis-Tipps zur Verfügung.
Practical Exploitation of Embedded Systems - Andrea Barisani, Daniele Bianco
Our new presentation keeps it old school with an in-depth exploration of the reverse engineering and exploitation of embedded systems.
We will cover hardware by showing how to identify and probe debugging and I/O ports on undocumented circuit board layouts.
We will cover software by exploring the analysis, reverse engineer and binary patching techniques for obscure real time OSes and firmware images with real world examples.
We are also going to address the post compromise art of debugging and patching running live kernels with custom backdoors or interception code.
At least one Apple laptop embedded subsystem will be harmed during the course of the presentation.