Vorträge – IT-DEFENSE 2016
Securing Security mit DANE – Carsten Strotmann
Die klassische Transportverschlüsselung im Internet mittels X.509 Zertifikaten (bekannt als TLS/SSL) ist problematisch; das Vertrauen in das derzeitige System der kommerziellen Zertifizierungsanbieter (CA) ist beschädigt.
Mittels abgesichertem DNS, eigenen Zertifikaten und neuen DNS-Record-Typen nehmen die Besitzer von Diensten im Internet die Absicherung der Transportverschlüsselung in eigene Hände.
Der Vortrag gibt einen Überblick über die aktuellen Einsatzgebiete von DANE (DNSSEC Authenticated Named Entities) und einen Ausblick auf neue Entwicklungen innerhalb der IETF-DANE-Arbeitsgruppe.
Circumvent patented keys with molding and 3D printing - Alexandre Triffault
In diesem Vortrag möchte ich Ihnen die Welt der patentierten Schlüssel näherbringen – was sie Ihrer Sicherheit bringen, was sie von Ihrer Freiheit nehmen und wie versierte Menschen solche Maßnahmen zum Vergnügen oder um Profit zu erzielen umgehen können.
Patentierte Schlüssel gibt es schon seit Jahrzehnten, und jedes Jahr werden neue Patente veröffentlicht. Es scheint, als fänden Hersteller immer wieder Verbesserungen in dieser uralten Kunst, und doch kommt es noch immer jeden Tag zu Einbrüchen und illegalen Duplikaten.
Seit Jahrzehnten, wenn nicht Jahrhunderten, verwenden Einbrecher und Spione die Technik des Abformens, um Schlüssel zu kopieren. Hollywood-Filme lieben es, egal ob mit Ton, Seife, Kaugummi oder gar Brotkrümeln. Trotz des verbreiteten Glaubens oder was Hersteller uns weiszumachen versuchen verhindert selbst ein patentiertes bewegliches Element oder magnetisches Teil im Schlüssel das Kopieren durch Abformen nicht einmal ansatzweise!
Was diese Tatsache noch schlimmer macht: die Zunahme der 3D-Druck-Techniken, deren steigende Präzision und die Entwicklung guter Open-Source- und einfach zu handhabender parametrischer 3D-CAD-Software. Die Vervielfältigung solcher „geschützter“ Schlüssel für böswillige Zwecke ist einfacher denn je!
Die 3D-Druck-Technik ermöglicht nicht nur das Vervielfältigen eines Schlüssels, sondern auch das Erstellen eines solchen – was entscheidend ist in einem Right-Amplification-Angriff, der auf ein Master-Key-System oder auf ein schlecht konzipiertes Sicherheitssystem ausgeübt wird.
Wir dürfen nicht vergessen, dass diese Schlösser – so einfach sie in ihrer Mechanik auch sein mögen – unsere IT-Systeme, unsere Geheimnisse, unsere Schutzobjekte und auch unser Leben schützen!
Tag der offenen Tür(en) – Dr.-Ing. Timo Kasper
Elektronische Schließsysteme lösen vielerorts ihre rein mechanischen Vorgänger ab. NFC und proprietäre Funklösungen halten verbreitet Einzug, vor allem in größere Gebäude und Anlagen. Die Vorteile, wie flexible Verwaltung von Schließberechtigungen und mehr Nutzerkomfort durch berührungsloses Türöffnen, sind offensichtlich. Die Nachteile, außer der hohen Anschaffungskosten, sind dagegen besonders in Bezug auf die Sicherheit oft nicht auf den ersten Blick erkennbar.
Der Vortragende schaut etwas genauer hin und erklärt anhand von praktischen Sicherheitsanalysen verschiedener kommerzieller Produkte ihre Funktionsweise. Es werden teils erhebliche Schwachstellen aufgezeigt, die ein Umgehen der Sicherheitsfunktionen zum Kinderspiel machen. Als mächtiges Werkzeug für NFC- Penetrationstests wird dabei das Open-Source-Projekt ChameleonMini vorgestellt, das in seiner aktuellsten Version neben der Virtualisierung kontaktloser Karten und dem Mitschneiden der RFID-Kommunikation auch als eigenständiges Lesegerät funktioniert. Als Bonus werden schließlich einige Gemeinsamkeiten von Funktüröffnern und USB-Login-Tokens erörtert, die sicherheitstechnisch nachdenklich stimmen.
Hacking with Pictures: Stegosploit – Saumil Shah
Stegosploit schafft einen neuen Ansatz, um “Drive-by”-Browser-Exploits zu verschlüsseln und sie in Bilddateien zu übermitteln. Diese Payloads lassen sich mit aktuell zur Verfügung stehenden Techniken nicht erkennen. Der Vortrag thematisiert zwei umfassende, zugrunde liegende Techniken, die für die bildbasierte Exploit-Übermittlung verwendet werden - Steganographie und Polyglots. Drive-by-Browser-Exploits werden steganographisch in JPG- oder PNG-Grafiken verschlüsselt. In die entstandene Bilddatei werden zusätzlich der HTML- sowie der JavaScript-Code des Decoders eingebettet, um daraus ein HTML+Image Polyglot zu erzeugen. Dieses scheint wie ein Bild, im Browser des Opfers wird das Polyglot jedoch beim Laden entschlüsselt und ausgeführt.
Das Stegosploit-Toolkit enthält die Tools, die für die Überprüfung der bildbasierten Exploit-Übermittlung benötigt werden. Es soll eine Fallstudie eines Use-After-Free Memory Corruption Exploits (CVE-2014-0282) vorgestellt werden, um die Stegosploit-Technik zu veranschaulichen.
Schwarmdummheit – Prof. Dr. Gunter Dueck
Unternehmen sind ein großes System von Mitarbeitern, die man ja bei der Einstellung für richtig gut hielt. Wie kommt es dann, dass sich diese vielen intelligenten Menschen in Meetings streiten und ineffektiv Zeit verschwenden, sodass viele, viele Menschen alles rund um Zusammenarbeit, Abstimmungen und Teamarbeit als ausgesprochen quälend erfahren?
Menschen (zum Beispiel frisch studierte Betriebswirtschaftler) beginnen mit zu hohen Zielen, die eigentlich nicht erreichbar sind, versuchen es dennoch mit Überstunden und Extrameilen, geben dann anderen in Meetings die Schuld und beginnen zu kämpfen – gegeneinander und auch gegen die Kunden. Langsam versinkt alles in Opportunismus, gegen den nun wieder von oben her Kontrollmechanismen etabliert werden. Alles versinkt jetzt in stumpfer Überkomplexität.
Es gibt andere Redner, die Ihnen die Möglichkeit der Schwarmintelligenz vorgaukeln, aber ich versuche, Sie erst einmal die Lage verstehen zu lassen, in der Sie stecken. Die meisten Menschen erklären das Schlechte im Leben mit der Bösartigkeit oder der Gier anderer, aber es ist die Schwarmdummheit, die noch fast niemand auf dem Radar hat. Es wird Ihnen die Augen öffnen!
The NSA Playset: A Year of Toys and Tools – Michael Ossmann
Angeregt durch die Enthüllungen des NSA ANT Catalog wurde im Rahmen des „NSA Playset“-Projekts eine ganze Reihe von Gadgets mit Funktionen entworfen, die jenen der Spione sehr nahekommen. Ich werde die komplette Sammlung seit Beginn des Projekts besprechen. Dazu zählen neue Tools für USB, PCI Express, I2C, GSM, Bluetooth und eine Familie von Funkreflektoren, mit denen zahlreiche elektronische Geräte abgehört werden können. Jetzt können Sie mit der NSA mithalten!
Sicherheitsstrategien und -techniken im Wandel – Stefan Strobel
Das Perimeter ist tot, Prävention ist tot und Antivirus ist tot. Solche und ähnliche Aussagen hört man immer wieder. In einigen Fällen sind die dabei genannten Argumente durchaus überzeugend. Manchmal fehlt es jedoch an greifbaren Alternativen, oder die Aussagen selbst erscheinen zweifelhaft.
Der Vortrag beleuchtet die aktuelle Situation aus technischer und strategischer Sicht; er zeigt moderne Techniken der Prävention, aber auch der Erkennung und Reaktion.
Er erläutert die Vor- und Nachteile der Ansätze und gibt einen Ausblick auf sinnvolle Sicherheitsstrategien für die kommenden Jahre.
Nach Safe Harbor: Cloud Computing, Big Data & der Datenschutz – Joerg Heidrich
Die Verlagerung von Infrastruktur auf virtuelle Systeme ist inzwischen ebenso gang und gäbe wie die Auslagerung von Daten in digitale „Server-Wolken“. Doch längst nicht alles, was technisch machbar ist, ist aus juristischer Sicht auch unbedenklich. So sind der Auslagerung von Kunden- oder Mitarbeiterdaten durch die Vorgaben des Datenschutzes Grenzen gesetzt. Die Problematik hat sich jüngst durch die Abschaffung der Safe-Harbor-Vorgaben durch den Europäischen Gerichtshof noch erheblich verschärft. So ist der Export von Daten auf internationale Server nur noch sehr eingeschränkt möglich. Der Vortrag zeigt anhand vieler praktischer Beispiele Wege durch das Minenfeld juristischer Vorgaben auf.
Angriffsmöglichkeiten auf vernetzte Fahrzeuge – Stephan Gerhager
Vom Automobil zum Computer auf Rädern: Mit der Entwicklung von rein mechanischen Fahrzeugen hin zu fahrenden vernetzten Computern mit vielen Sensoren und Steuergeräten bieten moderne Autos eine Reihe von Angriffsmöglichkeiten für verschiedenste Angreifergruppen. Immer wieder ist es Forschern gelungen, moderne Fahrzeuge erfolgreich anzugreifen. Durch die digitale Evolution in der Automotive entstehen bislang ungekannte Möglichkeiten für Cyberangriffe.
Der Vortrag beleuchtet technische Hintergründe und die Angriffsfläche moderner Fahrzeuge. Darüber hinaus wird die Motivation verschiedener Angreifergruppen vorgestellt. Den Abschluss bildet ein Ausblick auf entstehende Risiken für Fahrer, aber auch die Industrie und die Hersteller aus dem Blickwinkel eines großen Versicherers.
Judgment Day for Critical Infrastructure - Eugene Kaspersky
In seinem Vortrag wird Eugene Kaspersky einen Überblick über die für uns heute wichtigsten Cyber-Bedrohungen geben. Unterteilt werden sie in die drei Hauptbereiche Cybercrime, Cyber-Spionage und Cyber-Sabotage.
Auch wenn Hackerangriffe immer ausgereifter werden, so dürfen wir doch optimistisch bleiben. Man kann ihnen begegnen; natürlich durch die Durchsetzung von rechtlichen Vorschriften, doch auch - und was noch wichtiger ist - durch Schulung und internationale Zusammenarbeit sowie durch den Einsatz modernster Schutztechnologien, um alles abzusichern: kritische Daten, industrielle Infrastruktur und selbstverständlich das Internet selbst.
Security Metrics: The Quest For Meaning – Marcus J. Ranum
Security-Experten beklagen ständig die Schwierigkeit, mit Geschäftsbereichen oder mit der Geschäftsleitung effektiv zu kommunizieren. Entscheidend ist natürlich die Verwendung der richtigen Sprache - und die lautet Metrik. In dem Vortrag werden wir uns einige nützliche Dinge ansehen, die Sie bei der Entwicklung Ihres eigenen Metrikprozesses beachten sollten.
WebRTC, or How Secure is P2P Browser Communication - Dr. Martin Johns & Lieven Desmet
In dem Vortrag werden wir den Zuhörern wichtige Einblicke in diese junge Webtechnologie geben und die verschiedenen Sicherheitsaspekte von WebRTC beleuchten. Die Inhalte basieren auf einer aktuellen Studie der Websicherheitsvorgaben, die einer der Referenten gemeinsam mit Forschern von W3C, IETF und SAP durchgeführt hat.
Zunächst erfolgt die Vorstellung der allgemeinen WebRTC-Architektur und der Technologien, die dies ermöglichen (wie STUN, TURN, ICE und DTLS-SRTP). Die Architektur wird anhand zahlreicher Einsatzszenarien veranschaulicht. Teil dieser Beschreibung wird die Ermittlung der grundlegenden Sicherheitseigenschaften von WebRTC sein.
Im zweiten Schritt werden wir darüber sprechen, inwiefern die neue WebRTC-Technologie das Sicherheitsmodell des derzeitigen Webs beeinflusst. Wir werden einige Schwachpunkte hervorheben, die sich während der Sicherheitsüberprüfung herausstellten. Außerdem werden die noch offenen Herausforderungen diskutiert, die die WebRTC-Technologie mit sich bringt.
Conversations with your Refrigerator - John Matherly
In den letzten Jahren gibt es zunehmend mehr Möglichkeiten, mit dem Internet verbundene Dinge zu finden, sie zu klassifizieren und mit ihnen zu kommunizieren. Zugleich steigt die Sensibilisierung der Öffentlichkeit für die damit assoziierten Probleme. Proprietäre Protokolle haben Open-Source-Implementierungen, auf Sicherheitskonferenzen können Sie mit speicherprogrammierbaren Steuerungen spielen, und Honeypots werden zunehmend verwendet, um Angriffe im Internet zu analysieren. Der Vortrag erläutert die Geschichte der Erkennung des öffentlich erreichbaren Internets der Dinge mit Shodan, wie die Landschaft sich seit dem Beginn verändert hat (IPv6, SSL) und mit welchen Problemen wir künftig rechnen müssen - basierend auf den Erfahrungen mit dem Betrieb einer Internet-Suchmaschine.
Informationen zu weiteren Vorträgen folgen nach Freigabe durch die Referenten.