PROGRAMM
Vorträge – IT-DEFENSE 2014 |
Informationen zu den Vorträgen folgen nach Freigabe durch die Referenten.
Finux's Historical Tour Of IDS Evasion, Insertions, and Other Oddities - Arron „finux" Finnon
Hereinspaziert, hereinspaziert meine Lords, Ladies und Gentlemen, kommen Sie und sehen Sie die bizarren und erstaunlichen Wunder, die der Cirque de Vendeurs Sécurité zu bieten hat. Geschichten von Wunder-Maschinen, die in die Zukunft sehen können und ihren Besitzern von allen Gefahren, denen sie begegnen, berichten. Geräte so weise, dass sie die Bedrohungen durch Tyrannen und Bösewichte sogar schon sehen können, bevor diese überhaupt ausgedacht wurden. Vorrichtungen, die einen mystischen sechsten Sinn besitzen, mit dem sie jeden Schritt und jede Aktion eines künftigen Angreifers erkennen können, bevor dieser zum tödlichen Schlag ansetzt. Diese Wunder-Maschinen verleihen ihren Trägern eine so starke Rüstung, dass diese keine kämpferischen Fähigkeiten mehr brauchen, um ihr Schloss zu verteidigen. Kommen Sie und sehen Sie selbst - und kaufen Sie eine der erstaunlichen Wundermaschinen.
Obwohl der Text oben lächerlich und deplatziert klingt, ist er nicht so weit entfernt von dem, wie Hersteller von Network-Intrusion-Prevention-/Detection-Systemen für ihre Produkte werben. Dieser Vortrag beschäftigt sich mit der langen und fruchtbaren Geschichte, die die Welt der Network-Detection-Systeme zu bieten hat (Sie werden erstaunt sein, dass sie fast vier Jahrzehnte alt ist). Mit einem Überblick über nur ein paar der Ausfälle, die diese Systeme über die Jahre gehabt haben, und wie dieses Versagen ihre Entwicklung gestaltet hat. An manchen Stellen ist dieser Vortrag zynisch und wird sich keine Freunde unter den Herstellern machen. Aber die Zuhörer erhalten genug Hintergrundinformationen, um zu verstehen, warum Detection-Systeme wie IDS/IPS zwar funktionieren können, aber ihr Versagen gleichzeitig vorprogrammiert ist.
Mangelhaftes Testen und dass dieses Systeme bei fast allen in der Security-Branche allgemein akzeptiert sind, obwohl sie ihr Versprechen nicht erfüllen, ist nur der Anfang der Geschichte ihres Versagens. Ich werde darlegen, warum bestimmte Evasion-Techniken funktioniert haben und warum sie auch weiterhin funktionieren werden, bis wir die inhärenten Probleme verstehen. Betrachten Sie diesen Vortrag als historische Reise - mit einem Auge auf die Zukunft gerichtet.
Life Under Colonialism – Marcus Ranum
Das Internet und die weltweite Software-Infrastruktur ist ein US-dominierter Raum – und mit Stuxnet und Snowden’s Enthüllungen zu den NSA-Aktivitäten ist klar geworden, dass die Einstellung der USA die einer Kolonialmacht ist: Das Internet gehört uns und wir machen, was wir wollen. Was bedeutet das für den Rest der Welt? Was sind vernünftige Reaktionen auf die aktuelle Situation?
Hacktivism 2014 - neue Entwicklungen, Bedrohungen und Trends – Volker Kozok
- Kurzvorstellung: Wie ging es weiter mit HB-Gary - News aus Phoenix
- Neues von den Anti-Social-Media-Plattformen
- Diskussion: Der Spagat zwischen Whistleblowing und Geheimnisverrat
- Erfahrungsaustausch über "Hacktivism and Combined attacks"
Behind the Mask - A look at the FBI's Lulzsec Investigation - Michael T. Jr. McAndrews
Wer ist Anonymous? Wer war Lulzsec? Haben Hacktivisten Ihre Organisation ins Visier genommen, oder steckt irgendein Staat dahinter, und was ist der Unterschied? In seinem Vortrag gibt Herr McAndrews einen Einblick hinter die Kulissen der Lulzsec-Ermittlungen und zeigt jüngste Hacktivist-Bedrohungen. Außerdem geht er auf Belange der nationalen Sicherheit ein und wie das FBI eine Partnerschaft mit der Privatwirtschaft genutzt hat, um die Wahrnehmung und die Kooperation zur Bekämpfung dieser Bedrohungen zu erhöhen.
Rechtssicherheit bei IT-Sicherheit? - Mit Sicherheit nicht – Dr. Wolfgang Hackenberg
Nach deutschem Verständnis ist das Recht eine Art Vollkaskoversicherung für Geschädigte. Wenn also auf Grund einer Sicherheitslücke ein Schaden entstanden ist, dann wird es schon jemand geben, der dafür grade steht. Leider ist dieser Ansatz vollkommen falsch. Grundsätzlich hat jeder selbst für seine eigene Sicherheit zu sorgen. Und die Rechtslage ist alles andere als klar und transparent.
Zeichnen wir doch einmal den Weg eines Sicherheitsvorfalls auf Grund einer Lücke in einem Softwareprogramm nach:
Am Anfang steht die Entwicklung der Software:
Was, wenn ein Mitarbeiter Software für ein Unternehmen programmiert und es kommt auf Grund einer Sicherheitslücke zu einem Datenklau? Haftet dann der Mitarbeiter? Was gilt, wenn eine Fremdfirma die Software fehlerhaft programmiert? Ist Sicherheit ein Thema für den Einkauf und müssen die Anforderungen an die Sicherheit des Produkts explizit formuliert werden, oder ist das nicht eine Selbstverständlichkeit? Dass hier Schwachstellen vorhanden sind ist evident.
Wenn die Software dann läuft:
Dann gibt es ja auch die Sicherheitsexperten, die via Reverse Engineering oder durch blanken Zufall auf Lücken stoßen und dies dann - ganz uneigennützig - nicht ausnutzen, sondern publizieren wollen. Ethical Hacking hin oder her - das Gesetz ist ziemlich humorlos. Wollen Sie wissen warum?
Und wenn es trotzdem zu einem Vorfall kommt? Dann gibt es immer noch den internen Sicherheitsverantwortlichen, der zum Gegenschlag ausholt oder als Sherlock Holmes den wahren Täter findet, selbst wenn er im eigenen Unternehmen sitzt.
Das Gesetz mag humorlos sein. Der Referent ist es garantiert nicht.
Hacking Email Filtering Appliances and Solutions - Ben Williams
In seinem Vortrag spricht Ben detailliert über Werkzeuge und Techniken, die er für das automatisierte Erkennen von Sicherheitsgateways und deren Policies entwickelt hat. Ben erklärt, wie bösartige Hacker diese Informationen verwenden können, um die Effektivität ihrer Angriffe gegen Organisationen zu steigern, und zeigt, wie diese Art des automatischen Ausspähens mit Phishing-Angriffen und Exploit-Development kombiniert werden kann, um schnell verwundbare Systeme und Nutzer zu finden und auszunutzen. Diese Werkzeuge und Techniken können auch defensiv bei Audits und Penetration Tests eingesetzt werden, um eine schnelle Aufdeckung von Schwachstellen zu ermöglichen.
Aktuelle SAP Security Patches: Risiko und Relevanz – Andreas Wiegenstein
SAP veröffentlicht monatlich Security Patches, um verschiedenste Sicherheitsdefekte zu schließen. Einige Sicherheitsdefekte hat SAP selbst gefunden, andere werden durch Security Researcher oder SAP Kunden gemeldet.
Der Roundtable bietet Teilnehmern eine Plattform, um sich untereinander und mit Sicherheitsexperten der Business Application Security Initiative (BIZEC) über die Kritikalität aktueller SAP Patches auszutauschen.
Insbesondere wird besprochen, welche Patches dringend und zeitnah zu installieren sind, welche Patches niedrigere Priorität haben und wie man die Kritikalität selbst abschätzen kann.
Sicherheitsmanagement in der Praxis – Stefan Krebs
Erfolgreiches Sicherheits- und Risikomanagement benötigt Prozesse und Strukturen, die in der Praxis funktionieren. Stefan Krebs berichtet aus seiner langjährigen Erfahrung als CISO über Lösungen, die sich bewährt haben und Mythen, die sich in der Realität ganz anders darstellen.
SAP BusinessObjects Attacks: Espionage and Poisoning of Business Intelligence platforms - Juan Perez-Etchegoyen & Will Vandevanter
Führungskräfte treffen strategische Entscheidungen und berichten über die Geschäftsentwicklung auf Basis der Informationen, die ihnen von Business-Intelligence-Plattformen bereitgestellt werden. Wie wertvoll könnten diese Informationen für den größten Mitbewerber eines Unternehmens sein? Und was geschieht, wenn die zentralen Daten, die als Entscheidungsgrundlage dienen, manipuliert werden? Oder was wäre, wenn ein Angreifer das System kompromittiert und die Kennzahlen der Unternehmenssteuerung ändert?
SAP BusinessObjects wird weltweit in tausenden Unternehmen eingesetzt und dient als führende Plattform für Business-Intelligence. Bei dieser Präsentation diskutieren wir unsere neuesten Untersuchungen zur Sicherheit von SAP BusinessObjects.
Insbesondere werden wir in Live-Präsentationen verschiedene Techniken vorstellen, mit denen Angreifer ein SAP BusinessObjects-System attackieren und kompromittieren können, und dann zeigen, was zu tun ist, um die Risiken zu mindern.
Attacking Microchips through the Backside - Starbug
Hersteller von Sicherheits-ICs haben in den letzten Jahren viel Arbeit in die Absicherung ihrer Produkte gesteckt. Dabei konzentrierten sie sich aber hauptsächlich auf die Vorderseite des Chips. Der Vortrag beschäftigt sich mit der nächsten großen Spielwiese von Chip-Hackern. Er beleuchtet Probingangriffe mittels Focused Ion Beam und die direkte Überwachung von schaltenden Transistoren durch die Analyse von optischen Seitenkanälen.
Love letters to Frank Abagnale (How do I pwn thee let me count the ways) – Jayson E. Street
In verschiedenen Vorträgen habe ich gezeigt, wie ich E-Mails verwende, um in Bereiche einzudringen, in denen ich nichts zu suchen habe. In diesem Vortrag möchte ich darüber sprechen, wie ich E-Mails nicht nur für Phishing, sondern auch für den Zugriff auf Chips verwende. Ich werde die Grenzen überschreiten und Ihr Ziel ansteuern, um wichtige Informationen auszuspähen, damit die E-Mail auch in der gewünschten Weise verwendet wird. Ich werde Ihnen auch zeigen, wie Sie das Problem am besten lösen und Ihnen Ihre Mitarbeiter bei dem Angriff helfen können.
Watching the Watchers: Hacking Wireless IP Security Cameras - Sergey Shekyan & Artem Harutyunyan
Preiswerte IP-Überwachungskameras erfreuen sich einer zunehmend großen Beliebtheit in privaten Haushalten und kleinen Unternehmen. Im Dezember 2013 zeigt Shodan (www.shodanhq.com) weltweit fast 600.000 aktive Kameras. Trotz der Tatsache, dass es viele verschiedene Modelle von zahlreichen Anbietern gibt, basieren die meisten von ihnen auf einem identischen Hardware- und Software Setup. Außerdem gibt es andere Geräte, wie Internet-TV-Boxen, die eine ähnliche Firmware verwenden. Während einige sicherheitsrelevante Themen aufgrund von Hinweisen behandelt wurden, werden andere Probleme noch ignoriert.
Unser Beitrag zeigt, wie diese Kameras funktionieren und wie man die Kontrolle über eine Kamera erlangt. Darüber hinaus präsentieren wir Analysen von Sicherheitsvorfällen, bei denen man sich Zugriff auf sensible Daten in den Kameras verschafft, und demonstrieren, wie man im privaten Netzwerk eines Opfers eine Kamera als Angriffsplattform verwendet. Der Vortrag schließt mit der Vorstellung eines Toolkits, mit dem die Originalteile einer Kamera entfernt, verändert und neu konfiguriert werden können. Außerdem zeigen wir, wie die Kamera (Setup entsprechend der Empfehlung und Anleitung des Anbieters) manipuliert werden kann. Abschließend geben wir Empfehlungen zum Setup der Kamera, um sie gegen Sicherheitsrisiken besser abzuschirmen.
Mobile Fail: Cracking Open “Secure” Android Containers – Chris John Riley
Wie wir seit einiger Zeit wissen, bedeutet der physische Zugriff auf ein Gerät, dass das Spiel vorbei ist. Wir konzentieren uns daher verstärkt auf "sichere" Container-Anwendungen, um unsere privaten und geschäftlichen Daten zu schützen. Ob Sie nun mit LastPass Ihre Passwörter schützen wollen oder GOOD for Enterprise verwenden, damit die E-Mails Ihres Unternehmens sicher sind, diese Präsentation zeigt, dass der Container oft nicht so sicher ist, wie Sie denken. In dieser Präsentation diskutiere ich spezifische Designfehler hinsichtlich der Security "sicherer" Anwendungen, die den Schutz Ihrer Daten oder Passwörter und selbst Ihrer geschäftlichen E-Mails für den Fall versprechen, dass das Gerät in falsche Hände fällt.
Hacking the Microsoft Cloud - Joshua Tiago
Microsoft bietet immer mehr Produkte als Cloud-Lösungen an. Unternehmen die sich für solche Lösungen entscheiden, unterschätzen oftmals die damit erkauften Risiken. In seinem Vortrag präsentiert Joshua Tiago bisher undokumentierte Schwachstellen in einem aktuellen Microsoft-Produkt. Dabei werden verschiedene Angriffsmöglichkeiten für einen Angreifer demonstriert.