Programm Vorträge

Vorträge – IT-DEFENSE 2017

The Future Has Arrived and it’s Effin’ Hilarious! - Adam Laurie

Alles muss sofort miteinander verbunden sein! Los! Mach es! Es wird toll sein…

Dann werde ich meinen Iced Half Caff Ristretto Venti 4-Pump Sugar Free Cinnamon Dolce Soy Skinny Latte bestellen und ihn auf dem Weg zur Arbeit, wenn ich am Coffeeshop vorbei radle, abholen können, ohne ins Schwitzen zu kommen … super!

Moment mal, sagte ich „Ich werde bestellen können“? Sorry, ich meinte natürlich „Mein Fahrrad wird bestellen können“, denn mein Fahrradsattel ist natürlich mit meinem WLAN zu Hause verbunden. Wenn ich meinen Hintern also auf den Sattel schwinge, wird mein Home-Automation-System direkt benachrichtigt, um das Pinboard in der Küche zu fotografieren, das über ein E-Paper-Display verfügt und einen QR-Code von genau dem heutigen Geschmack des Monats zeigt, der dekodiert und an das zentrale Node.js-System gesendet wird, das … Ach, scheiß drauf. Ich trinke einfach einen guten Tee.

Gegenstand dieses Vortrags ist die Tatsache, dass, obwohl sich Zeit (überwiegend) linear bewegt, das bei Sicherheit nicht der Fall ist. Vielmehr gibt es hier eine besorgniserregende Tendenz, sich rückwärts, seitwärts und sehr häufig immer wieder im Kreis zu bewegen.

Bei Aperture Labs verbringen wir unsere Zeit damit, Embedded Systems zu zerlegen, nur um die gleichen alten Probleme zu finden, die sich unter dem Silizium und den Bits und Bytes verstecken. Früher einmal war das alles halb so wild … Ja, man konnte irgendeinen Kopierschutz-Code umgehen und ein raubkopiertes Spiel laden; ebenso konnte man irgendeine Authentifizierung umgehen und einen Router kompromittieren … Sicherlich ist das BÖSE mit einem großen B, aber niemand ist daran gestorben. Weder sind Städte dunkel geworden, noch Flugzeuge vom Himmel gefallen …

Was passiert also, wenn wir unsere gesamte Technologie mit allem drumherum vernetzen, darunter Kühl- und Gefrierschränke, Fernseher, Thermostate und alles andere, was uns so einfällt? Und dann verbinden wir all das mit dem Internet. Und dann, einfach so zum Spaß, warum sollen wir nicht auch noch ein paar Gesetze verabschieden, die besagen, dass wir unsere Strom-, Gas- und Wasserzähler ebenfalls vernetzen? Na, wie hört sich das an?

Sagte ich extrem lustig?

Ich glaube, ich meinte etwas anderes …

Cache-Side-Channel Attacks – CPU design as a security problem – Anders Fogh

Einführung
In einem lockeren Gespräch mit Thomas „Halvar Flake“ Dullien schlug ich vor, Leistungsindikatoren als Softwaremaßnahme für den Rowhammer-Exploit zu verwenden, den er und Mark Seaborn entwickelt hatten. Thomas ermutigte mich, hier weiter zu forschen – und so entstand die erste Softwarelösung für Rowhammer. Ich stellte die Forschungsergebnisse gemeinsam mit Nishat Herath auf der Black Hat 2015 vor. Während meiner Forschungsarbeiten zu Rowhammer erkannte ich, dass die Methodik, die ich entwickelte, entscheidend für die Minderung von Cache-Side-Channel-Angriffen sein könnte. So verbrachte ich fast ein Jahr mit der Erforschung dieser Angriffe. In diesem Vortrag werde ich Cache-Side-Channel-Angriffe sowie einige Ergebnisse vorstellen, zu denen ich im letzten Jahr kam.

Was sind Cache-Side-Channel-Angriffe?
Typischerweise konzentrieren sich Hacker auf Software-Bugs, um Schwachstellen im Vertrauensmodell von Computern zu finden. In diesem Vortrag liegt unser Fokus jedoch darauf, wie das Design der Mikroarchitektur moderner Rechner einem Angreifer das Überwinden von Vertrauensgrenzen ermöglicht. Konkret werden wir uns darauf konzentrieren, wie das Cache-Subsystem moderner x86-Rechner missbraucht werden kann, um Zugriff auf private Daten zu erlangen. Cache-Side-Channel-Angriffe gibt es bereits seit Jahren, doch durch die Entstehung eines großen, gemeinsamen L3-Caches und die Einführung von Cloud-Computing haben sie an Bedeutung gewonnen. Bei modernen Rechnern existieren viele mögliche Seitenkanäle; aufgrund seiner zentralen Position im Computer ist der Cache allerdings der wohl wichtigste. Da Cache-Side-Channel-Angriffe durch das CPU-Design ermöglicht werden, ist ein Schutz in Form von Software bekanntermaßen schwierig, oftmals jedoch die einzig realisierbare Lösung.

Warum sind Cache-Side-Channel-Angriffe relevant?
Cache-Side-Channel-Angriffe sind relevant, wenn ein Angreifer bereits Zugriff auf dieselbe Hardware wie das Opfer hat, jedoch durch lokale Einschränkungen wie Benutzerrechte, VMs oder Sandboxen gestoppt wird. Zunächst scheint es sich hier um Einschränkungen zu handeln, doch moderne Computertechnik ist voll von Beispielen solcher Szenarien. Auf Virtualisierung basierendes Cloud-Computing ist das klassische Beispiel, und mit Cache-Side-Channel-Angriffen überwindet man ganz einfach die sonst starren Grenzen zwischen VMs. Thin Clients, lokal ausgeführtes JavaScript auf Webseiten oder Mehrbenutzersysteme sind weitere gängige Beispiele. Auch wenn moderne Cache-Side-Channel-Angriffe recht neu sind, wurden viele wesentliche Angriffe bereits aufgezeigt:

  • VM-übergreifendes Ausschleusen von privaten 2048-Bit-RSA-Schlüsseln in der Amazon-Cloud
  • Extraktion von AES-Schlüsseln
  • Extraktion von ECDSA-Schlüsseln
  • Überwachung von Tastatureingaben
  • Überwachung des Mauszeigers
  • Überwinden von KASLR (Kernel Address Space Layout Randomization)

Wie funktionieren Cache-Side-Channel-Angriffe?
Nahezu jeder gelesene Speicher landet im Cache. Effektiv bedeutet dies, dass der Cache zu einem Spiegelbild der aktuellen Vorgänge im Speicher des Rechners wird. Die Mikroarchitektur des x86 (und vieler anderer CPUs) verfügt über drei Eigenschaften, durch die ein Angreifer mithilfe des Cache Informationen über ein Opfer gewinnen kann:
Der Cache wird zwischen jeglichem Code geteilt, der auf einem Computer läuft.

  • Der Cache-Status kann von einem Angreifer manipuliert werden.
  • Der Angreifer kann den Status des Cache abfragen.

Der Angreifer kann den Cache auf verschiedene Art und Weise manipulieren. Die gängigste Methode ist entweder systematisch auf den Speicher zuzugreifen, um den Cache mit Angreiferdaten zu füllen – auch als Priming bezeichnet – oder den unprivilegierten clflush-Befehl zu verwenden, um den Cache zu leeren. Sobald der Angreifer den Cache so manipuliert hat, dass er weiß, welcher Speicher (nicht) im Cache ist, wartet er auf Speicherzugriffe im Kontext des Opfers. Anhand der Wartezeit des anschließenden Speichervorgangs kann der Angreifer feststellen, ob dieser Speicher aus dem Cache oder aus dem physischen Speicher bedient wurde, da der Cache deutlich schneller ist. So ist der Angreifer in der Lage, die Speicherzugriffe des Opfers zuzuordnen. Obwohl der Speicher des Opfers auf diese Weise nicht direkt gelesen werden kann, geben Speicherzugriffsmuster häufig Informationen über private Daten preis. Beispielsweise ist bei einigen RSA-Implementierungen der tatsächlich ausgeführte Codepfad vom Private Key abhängig – und somit ist es möglich, durch Speicherzugriffsmuster einzelne Bits eines RSA-Schlüssels abzuziehen.

Aufdecken von Cache-Side-Channel-Angriffen
x86-CPUs verfügen über eine große Zahl an Leistungsindikatoren, durch die ein Supervisor oder Hypervisor einen tiefen Einblick in die Mikroarchitektur des Prozessors hat. Leistungsindikatoren waren ursprünglich als Hilfe für Entwickler gedacht, um Software zu optimieren. Sie werden zunehmend verwendet, um den Prozessor von Intel zu optimieren und ermöglichen mittlerweile eine detaillierte Nachverfolgung der inneren Abläufe des Prozessors und des Cache-Subsystems. Meine Forschungsarbeiten ergaben, dass Cache-Verwendungsmuster mithilfe von Leistungsindikatoren bestimmt werden können. Zudem zeigen diese Verwendungsmuster Auffälligkeiten, wenn ein Angreifer sich den Cache zunutze macht, um Informationen eines Opfers zu entwenden. Mithilfe von Leistungsindikatoren war es uns also möglich, Cache-Side-Channel-Angriffe in Echtzeit aufzudecken und umzuleiten. An dieser Stelle gilt es anzumerken, dass der von Mark Seaborn gefundene Rowhammer-Memory-Bug durch dieselbe Methode aufgedeckt werden kann, da bei Rowhammer für Zugriff auf den physischen Speicher der Cache umgangen werden muss, um den Bug auszunutzen und somit auch auffällige Cache-Verwendungsmuster zu erzeugen. Es zeigte sich, dass die Methode sehr wenig Leistung benötigt. Darüber hinaus glänzt sie mit sehr wenigen False Negatives oder False Positives. In der Realität ist sie somit eine brauchbare Lösung für den Schutz vor Cache-Side-Channel-Angriffen.

Stealth-Side-Channel-Angriffe
Diese Erkennungsmethode führte allerdings zu einer Entwicklung bei Cache-Side-Channel-Angriffen, und eine neue Methode wurde in einem aktuellen Paper von Daniel Gruss, Clémentine Maurice & Klaus Wagner beschrieben, für das ich als Reviewer diente. Die Methode umgeht raffiniert die Erzeugung von Cache-Mustern, die zur Entdeckung von nicht verschleierten Cache-Angriffen dienen, indem sie ein Informationsleck der Mikroarchitektur im Cache-Subsystem nutzt.

Aufdecken von Stealth-Side-Channel-Angriffen
Um diese neuen Seitenkanalangriffe aufzudecken, ist ein neuer Ansatz erforderlich. Meine Forschungsarbeiten zeigen, dass wir diesen Angriff durch sein unverkennbares Code-Layout ermitteln können. Es ist unwahrscheinlich, dass dieses in harmlosem Code auftaucht, und es kann durch eine sorgfältig automatisierte Laufzeitanalyse des laufenden Codes aufgedeckt werden. Statt sich nur auf Leistungsindikatoren zu verlassen, wird diese Erkennungsmethode um aus exakten Timern gewonnene zusätzliche Informationen ergänzt, die für Stealth- Side-Channel-Angriffe erforderlich sind.

Internationaler Terrorismus - wie bedroht ist Deutschland wirklich? – Jörg Ziercke

Folgende Fragen werden beleuchtet:

  • Gibt es eine Kommandozentrale des internationalen Terrors?
  • Würde ein Sieg über den IS die Bedrohungslage für Deutschland ändern?
  • Ist der Terror erst mit den Anschlägen von Paris und Brüssel bei uns angekommen?
  • Welche Rolle spielt die Flüchtlingsdebatte in Deutschland aus der Sicht der IS-Strategie?
  • Welche Befürchtungen sind mit der Einreise von ca. 300.000 nicht identifizierten Flüchtlingen für unsere Sicherheit verbunden?
  • Warum gab es bisher in Deutschland noch keinen großen Terroranschlag wie in Spanien, England, Frankreich oder Belgien?
  • Ein Blick hinter die Kulissen: Wie ist Deutschland im Kampf gegen den Terror aufgestellt? Wie belastbar ist unsere Sicherheitsarchitektur?
  • Welche Rolle spielen Resonanzstraftaten aus dem rechtsextremistischen und linksextremistischen Spektrum für die Sicherheit in Deutschland?
  • Wie groß sind das islamistische Spektrum und das Gefährderpotenzial in Deutschland?
  • Welche Rolle spielt die „Organisierte Kriminalität“ bei der Terrorbekämpfung?
  • Gibt es eine neue Bedrohung durch den sogenannten Cyberterrorismus?
  • Wie lautet die realistische Prognose zur Einschätzung der Gefährdungslage für Deutschland?

How to Build Hardware Trojans – Christof Paar

Zahlreiche Systeme von der Unterhaltungselektronik bis zur militärischen Ausrüstung sind abhängig von integrierten Schaltungen (ICs). Definitionsgemäß setzen sich das Internet der Dinge und cyber-physische Systeme aus Smart Devices zusammen. Überraschend viele dieser Systeme sind bereits sicherheitskritisch, etwa Medizinprodukte, Fahrzeugelektronik oder SCADA-Systeme. Wenn die zugrunde liegenden ICs in einer Anwendung von einem Hardware-Trojaner böswillig manipuliert werden, kann dies eine Bedrohung für die Sicherheit des gesamten Systems darstellen.

In den letzten Jahren haben Hardware-Trojaner die Aufmerksamkeit von Regierungen und Wissenschaftlern auf sich gezogen. Ursprünglich war das Haupt-Angreifermodell eine böswillige Foundry, die das Design verändern – sprich Hardware-Trojaner einbringen – konnte, um die (sicherheitsrelevante) Funktion eines Chips zu beeinträchtigen. Doch es existieren noch viele weitere Angreifermodelle. Zum Beispiel könnte ein legitimer IC-Hersteller (z.B. ein Unterhaltungselektronikkonzern im Ausland) mit einem Auslandsgeheimdienst gemeinsame Sache machen, um seine Produkte so zu modifizieren, dass deren Sicherheit gefährdet wird.

Obwohl Hardware-Trojaner seit etwa 10 Jahren untersucht werden, ist wenig darüber bekannt, wie sie aussehen könnten – vor allem diejenigen, die speziell darauf ausgelegt sind, eine Erkennung zu vermeiden.

In diesem Vortrag werden verschiedene Ansätze vorgestellt, durch die ein erfahrener Angreifer Trojaner in Hardware-Plattformen einbringen könnte. Wir werden uns sowohl ASICs (anwendungsspezifische integrierte Schaltungen) als auch FPGAs (d.h. programmierbare Hardware) ansehen.

Die Peperoni-Strategie:
Setzen Sie sich durch, um Gutes zu tun
Für sich, Ihr Unternehmen und die Gesellschaft! – Prof. Dr. Jens Weidner

a.    Das Persönlichkeitsprofil der Erfolgreichen: 80 % Gutmensch – 20 % Mephisto!
b.    Das Leitbild der Durchsetzungsstarken: An evil action a day keeps the psychiatrist away.
c.    Wie viel natürliche, positive Aggression steckt in Ihnen?
d.    Wie viel Biss brauchen Sie zum Erfolg und ab wann übertreiben Sie es?

Hidden Voice Commands – Tavish Vaidya

Im Zuge ihrer zunehmenden Verbreitung stellen Sprachschnittstellen mittlerweile für viele Geräte die primäre Eingabemethode dar. Bedingt ist dies einerseits durch ihre Benutzerfreundlichkeit und andererseits durch die Abnahme der Größe moderner Geräte wie Wearables, mit denen sich die physische Interaktion schwierig gestaltet. Viele Geräte verfolgen einen „Always-on“-Ansatz, bei dem durchgehend auf eine etwaige Spracheingabe gehorcht wird.

Sicherlich ermöglichen Sprachschnittstellen eine bessere Erreichbarkeit und eine potenziell einfachere Mensch-Computer-Interaktion. Zur gleichen Zeit sind sie jedoch Angriffen ausgesetzt – denn Sprache als Übertragungskanal ist jedem Angreifer zugänglich, der in der Nähe eines Geräts Ton erzeugen kann. Dies eröffnet einem Angreifer die Möglichkeit zu versuchen, unberechtigt Sprachbefehle an diese Geräte zu senden.

Der Fokus dieses Vortrags liegt darauf, wie sich der Sprachkanal mit versteckten Sprachbefehlen angreifen lässt, die für das menschliche Ohr unverständlich sind, jedoch von Geräten als gültige Befehle interpretiert werden. Zudem werden wir auf verschiedene Abwehrmaßnahmen gegen den Angriff eingehen.

The Smart Fuzzer Revolution – Dan Guido

Die letzten beiden Jahre waren stärker durch große Fortschritte im Bereich automatisierter Sicherheitstests gekennzeichnet als die 10 Jahre zuvor. afl hat bekannte Best Practices in ein benutzerfreundliches Tool integriert, die DARPA Cyber Grand Challenge hat einen glaubwürdigen, wettbewerbsfähigen Vergleichsmaßstab und finanzielle Mittel für neue Forschungsarbeiten zur Verfügung gestellt, und Project Springfield (aka SAGE) ist nun für die Öffentlichkeit zugänglich. Diese neuen Technologien haben das Potenzial, unsere Branche maßgeblich zu beeinflussen.Wie funktionieren diese Tools und wodurch heben sie sich von bisherigen Ansätzen ab? Was sind ihre Stärken und worin liegen ihre Schwächen? Können wir sie heute verwenden? Wie werden diese Technologien fortschreiten und wo besteht Weiterentwicklungsbedarf? Wie lange wird der Mensch noch Teil des Secure Development Lifecycle sein? Im Vortrag „The Smart Fuzzer Revolution“ werde ich auf diese Fragen und weitere Themen eingehen.

Strategies on securing your banks & enterprises (from someone who robs banks & enterprises) – Jayson E. Street

Die meisten Menschen, die auf der defensiven Seite der IT-Sicherheit tätig sind, sehen die Landschaft nur aus dieser Perspektive. In seinem Vortrag zeigt Jayson, wie ein Angreifer Ihre Website und Mitarbeiter sieht und sie dann gegen Sie verwendet. Beginnen werden wir mit der Erstellung eines erfolgreichen Spear Phish – zum einen unter Verwendung der Angaben, die sich auf der Informationsseite eines Unternehmen finden; zum anderen durch das Durchforsten von Social-Media-Sites nach hilfreichen Informationen, um die Mitarbeiter auszunutzen. Der Vortrag befasst sich überwiegend mit erfolgreichen Gegenmaßnahmen zur Abwehr und zur Erkennung von Angriffen. Die Diskussion greift auf die 15-jährige Erfahrung des Referenten zurück, in denen er auf der defensiven Seite im US-Bankwesen beschäftigt war. Zugleich stützt sich Jayson auf mehr als 6 Jahre Tätigkeit, in denen er die Rolle des Angreifers einnahm. Wenn alles gut geht, hat am Ende jeder etwas Neues gelernt, das er direkt mitnehmen kann, um sein Netzwerk besser gegen Angriffe zu schützen!

Why Windows OS Gets Hacked - Sami Laiho

Sami Laiho zählt zu den weltbesten Sicherheitsexperten im Bereich Betriebssysteme. In diesem Vortrag zeigt er die Betriebssystemstrukturen auf, die erfolgreiche Angriffe überhaupt zulassen. Dabei geht es nicht darum, „wie“ mimikatz Ihre Zugangsdaten entwenden kann, sondern „warum“. Der Schwerpunkt des Vortrags liegt auf Konzepten, die Benutzer nicht verstehen und die ihre Umgebungen somit anfällig machen – und es wird aufgezeigt, wie man diese Probleme beheben kann. Es wird ein schneller und demoreicher Angriff auf das Windows-Betriebssystem, den Sie sich nicht entgehen lassen sollten!

Exploit Kits - What Happens When Kits Disappear – Nick Biasini

Was ist, wenn die wichtigsten Marktplayer einfach aufstehen und gehen? Genau das ist im letzten Jahr mit der Exploit-Kit-Landschaft passiert. Nachdem Angler, Neutrino und Nuclear nun von der Bildfläche verschwunden sind, müssen wir die Scherben aufsammeln. Entstanden ist eine Leere, in der Rig und Sundown um die Position rangeln – allerdings hat bisher keiner die Führung übernommen. Wir beobachten Angreifer, die Kits regelmäßig verändern und Gates, die zwischen Kits hin- und herwechseln.

Wie bei jeder Bedrohung gilt: Angreifer entwickeln sich weiter und verändern sich. Seltsamerweise scheinen sich die Kits nicht sonderlich weiterzuentwickeln, doch der Schein trügt. Der Vortrag beleuchtet den aktuellen Stand von Exploit Kits. In einem Teil wird es auch darum gehen, in welche Richtung sich Exploit Kits künftig entwickeln werden und welchen Einfluss das generell auf die Bedrohungslandschaft haben könnte.

Rearchitecting a defendable internet - Thomas Dullien / Halvar Flake

Ein wesentliches Problem unserer Rechnerinfrastruktur besteht darin, dass niemand wirklich weiß, ob sie kompromittiert ist – denn die Technologie ist dafür nicht ausgelegt. Die Tatsache, dass wir nicht in der Lage sind, eine Kompromittierung tatsächlich zu erkennen und zu beheben ist mit zahlreichen nachgelagerten Kosten verbunden (Informationsasymmetrien, schlechte Security-Produkte etc.).
Thomas Dullien untersucht, wie die Architektur unserer Software- und Hardware-Stacks angepasst werden könnte, um eine Kompromittierung zuverlässig zu erkennen. Er gibt einen Überblick über verschiedene Technologien, die dafür erforderlich sind – darunter reproduzierbare Builds, globale Schutzmechanismen wie Certificate Transparency sowie Hardware mit nicht veränderbaren Prüfsummen, für die sich ein Benutzer von der Echtheit überzeugen kann.

Surveillance & cryptography - Jaya Baloo

Mit der zunehmend verschwommenen Gesetzeslage im Bereich Datenschutz steigt auch die Forderung der staatlichen Behörden nach Überwachung. Außerdem bedeutet die Legitimierung von Angriffsmöglichkeiten im Netz, dass man dort vor dem Hintergrund einer neuen Weltordnung Kriege führen wird, für die niemand belangt wird.
So ist es wichtiger denn je, dass wir unsere Ansprüche auf Vertraulichkeit und Integrität der Kommunikation sorgfältig wahren und höhere Standards fordern.

Informationen zu weiteren Vorträgen folgen nach Freigabe durch die Referenten.