Vorträge – IT-DEFENSE 2019
Wenn ich mal groß bin – Karla Burnett
Als Security Engineer denken wir gern, dass der von uns geschriebene Code relativ sicher ist. Selbst wenn wir annehmen, dass er das tatsächlich ist – was passiert, wenn wir diesen Code allein lassen? Was passiert, wenn er von anderen verändert wird und neue Features hinzugefügt werden? Wie sorgen wir dafür, dass unser Code sicher bleibt, auch wenn er sich weiterentwickelt?
Dieser Vortrag befasst sich mit dem Schreiben von Code in Organisationen, in denen eine Vielzahl an Security Engineers und anderen Programmierern zusammentreffen. Wir sprechen über Fehler, die jahrelang in einem großen Start-up-Unternehmen in der San Francisco Bay Area gemacht wurden, die Lessons Learned sowie darüber, wie Sie Ihren Code so gestalten können, dass er auch in Zukunft sicher bleibt.
I know what you printed last summer: Netzwerkdrucker als Unsicherheitsfaktor – Jens Müller
Das papierlose Büro wird seit Jahrzehnten prophezeit. Dennoch sind Drucker auch heute noch unverzichtbare Geräte in vielen Unternehmen und Haushalten. Anstatt sie abzuschaffen, haben sich Drucker von einfachen Maschinen zu komplexen Computersystemen entwickelt, welche direkt ins Firmennetzwerk integriert sind und sensible Informationen verarbeiten. Dies macht sie zu einem attraktiven Ziel für Angreifer.
Im Vortrag werden verschiedene Schwachstellen in Standard-Druckersprachen wie PostScript erläutert, welche von fast jedem Laserdrucker unterstützt werden. Dies ermöglicht verschiedene Angriffe wie DoS, den Zugriff aufs Dateisystem oder auf Druckjobs Dritter bis hin zur Ausführung beliebigen Programmcodes. Eine Evaluation von 20 Druckern verschiedener Hersteller zeigt, dass alle getesteten Geräte für mindestens einen Angriff anfällig sind.
Des Weiteren wird veranschaulicht, wie Systeme über traditionelle Drucker hinaus mit ähnlichen Techniken angegriffen werden können, etwa Cloud Printing oder dokumentverarbeitende Webseiten. Begleitet wird der Vortrag durch Live-Demonstrationen.
Irrationalitäten unserer Risiko Wahrnehmung - Faszination der Verhaltens- und Sinnökonomie - Prof. Dr. Bernd Ankenbrand
Wann ist Risiko ein Risiko? Wie nehmen wir überhaupt sie war? Um Risiken und unsere Wahrnehmung davon besser zu verstehen, erforscht Prof. Dr. Bernd Ankenbrand die Wert- und Risikomaßstäbe, die Individuen und Organisationen bei ihren Entscheidungen bewusst und unbewusst leiten. Denn ob etwas „risikoreich“ ist, hängt mehr von den angelegten Maßstäben ab als von der Sache selbst. Irrationalitäten unserer Entscheidungen lassen uns gelegentlich risikobehaftete Wege gehen. Seine viel beachteten Vorträge geben faszinierende Einblicke in die oft überraschenden Phänomene der Verhaltens- und Sinnökonomie und zeigen anwendungsorientierte Lösungswege auf.
Online-Accounts durch Knacken von Voicemailsystemen kompromittieren – Martin Vigo
Voicemailsysteme gibt es bereits seit den 1980er Jahren. In der frühen Hackingszene haben sie eine wichtige Rolle gespielt. Als ich die Magazine, Artikel und Tutorials von damals erneut gelesen habe, zeichnete sich ein interessantes Bild ab: Es hat sich nicht sonderlich viel verändert. Weder bei der Technologie noch bei den Angriffsvektoren. Können wir die Innovationen der letzten 30 Jahre nutzen, um Voicemailsysteme zu kompromittieren? Und welcher Schaden kann heutzutage tatsächlich angerichtet werden, wenn wir diese kontrollieren?
In diesem Vortrag spreche ich über Voicemailsysteme, ihre Sicherheit und wie wir sie mithilfe von neuen und alten Techniken in Verbindung mit aktuellen Technologien kompromittieren können. Ich werde den möglichen Schaden durch das Erlangen unberechtigten Zugriffs auf Voicemailsysteme erläutern und eine neues Tool vorstellen, das diesen Prozess automatisiert.
Tor: Anonymität im Internet im Zeitalter allgegenwärtiger Überwachung – Roger Dingledine
Mit der kostenlosen Software des Anonymisierungsnetzwerks Tor können Nutzer auf der ganzen Welt anonym im Internet surfen. Die 8.000 Tor-Relais, die von freiwilligen Nutzern bereitgestellt werden, übertragen täglich den Datenverkehr von Millionen von Usern. Darunter ganz normale Bürger, die sich vor Identitätsdiebstahl und neugierigen Konzernen schützen wollen, sowie Unternehmen, die unbemerkt die Website eines Mitbewerbers besuchen möchten. Auch Menschen in Ländern, in denen der Internetzugang zensiert wird, und sogar Regierungen und Strafverfolgungsbehörden nutzen Tor.
In diesem Vortrag werde ich Sie durch die Tor-Landschaft führen. Zunächst gibt es eine Einführung zu Tor, ich werde erläutern, wie Tor funktioniert und welche Sicherheit es bietet. Dann werde ich erklären, warum das offene Design von Tor und der radikale Ansatz bezüglich der Transparenz entscheidend sind für seinen Erfolg. Anschließend vergleiche ich das Wettrüsten beim Umgehen von Zensur mit dem Wettrüsten nationalstaatlicher Überwachung. Zum Abschluss folgt eine Diskussion zum Thema Zwiebeldienste oder „Onion Services“, bei denen es sich im Grunde genommen um eine verschärfte Version von HTTPS handelt, die Sie aber wahrscheinlich eher von so verwirrenden Bezeichnungen wie dem Darknet kennen.
Absicherung von Steuerungssystemen für erneuerbare Energien – Dr. Jason Staggs
Stromversorgungsunternehmen überall auf der Welt investieren vermehrt in erneuerbare Energien. Durch erneuerbare Energie sollen wir in absehbarer Zukunft mit sauberem und nachhaltigem Strom versorgt werden. Jedoch werden die Systeme für erneuerbare Energie nicht sicher entwickelt und ihre Integration erfolgt ohne zu verstehen, wie sich Cyber-Sicherheit auf die Umgebung der operativen Technologie auswirkt. Dieser Vortrag behandelt die Probleme in Bezug auf Cyber-Sicherheit, die mit den Steuerungssystemen aufkommender erneuerbarer Energiequellen einhergehen.
Arbeit und Führung im Wandel: Zukunft braucht Herkunft – Prof. Dr. Peter Nieschmidt
Peter Nieschmidt spricht über Tradition und Zukunft von Arbeit und Führung. War Arbeit früher notwendiges Übel, Dienstbarkeit oder rücksichtslose (Selbst-)Disziplinierung, so kann sie heute auch Selbstentfaltung, Kreativität und Lebenssinn bedeuten. Wenn Führung das in der Arbeitswelt nicht zu ermöglichen vermag, darf man sich dort über Lustlosigkeit oder gar innere Kündigung nicht wundern.
Mit den Augen des Angreifers: Entwicklung von Exploits für eingebettete Systeme für Industrial Control Systems – Marina Krotofil
Die Bedrohungslage für Industrial Control Systems (ICS) hat sich in den letzten Jahren dramatisch verändert. Es sind neue Bedrohungen entstanden, die den Computerwurm Stuxnet aus dem Jahr 2010 herausfordern. In diesem Vortrag werden die Evolution der ICS-Exploits und Taktiken dargestellt, um den Unterbietungswettlauf zwischen den Angreifern und den Verteidigern im Bereich der ICS-Sicherheit zu verdeutlichen. Wir führen uns sogar den physischen Prozess vor Augen, um zu zeigen, dass sich cyber-physische Systeme nicht allein mit den konischen Ansätzen der IT-Sicherheit absichern lassen. Die physische Welt lässt sich mit unkonventionellen Methoden ausnutzen und darf deshalb bei der Absicherung von ICS nicht außer Acht gelassen werden. Wir widmen uns auch dem Verhältnis zwischen Security und Safety und erörtern, wie aktuelle Cyberbedrohungen die klassischen Entscheidungen über Safety-Konzepte untergraben.
Während bereits bekannt ist, wie Sicherheitslücken in eingebetteten Geräten aufgedeckt werden können, weiß man wenig darüber, wie sich diese Schwachstellen als Waffe einsetzen lassen. Dieser Vortrag möchte den Zuhörern die Sicht eines Angreifers vermitteln, der fortschrittliche Exploits und Malware-Implantate für eingebettete Systeme im Rahmen cyber-physischer Angriffe entwickelt. Die Teilnehmer lernen den Lebenszyklus eines cyber-physischen Angriffs kennen. Außerdem erfahren sie Einzelheiten über Strategien, mit denen die Stabilität von Malware-Implantaten und die Zuverlässigkeit von Exploits sichergestellt werden.
KI-gestütze Fuzzy-Tests und Programmanalysen heute – Clarence Chio
Fuzzy-Tests und Programmanalysen gehören zum täglichen Brot eines Sicherheitsexperten. Je schneller wir Bugs in Software auffinden, desto effektiver können wir Systeme absichern. Mit der Zeit sind Systeme und Code jedoch immer komplexer geworden, was eine umfassende Analyse von Programmen fast unmöglich macht. In diesem Vortrag werde ich zehn der spannendsten Forschungsartikel, die in den letzten Jahren veröffentlicht wurden, analysieren und versuchen, Entwicklungstrends daraus abzuleiten. Ich zeige Ihnen, dass die Zukunft in der KI-gestützten Programmanalyse liegt, und werde erläutern, wie sich dieser Bereich meines Erachtens weiterentwickeln wird.
Wie Router mithilfe symbolischer Ausführung geroutet werden können – Mathy Vanhoef
In diesem Vortrag wird erläutert, wie verschiedene Schwachstellen in der Implementierung des Vier-Wege-Handshakes von WPA2 aufgedeckt wurden. Erreicht wurde dies durch die symbolische Ausführung von Implementierungen mithilfe von KLEE. Zunächst erklärt Mathy, was bei der symbolischen Ausführung genau passiert. Danach gibt er einen Überblick über die mit dieser Methode aufgedeckten Sicherheitslücken. Zudem wird gezeigt, wie eine der entdeckten Buffer-Overflow-Schwachstellen zur Ausführung von Remote-Code auf einem Router missbraucht werden kann (als Root-User) und wie sich eine andere Schwachstelle als Entschlüsselungsorakel ausnutzen lässt, um den Gruppenschlüssel eines WLANs wiederherzustellen.
Venenerkennung hacken: Vom Fall des letzten biometrischen Systems – Starbug
Venenerkennung wird seit Jahrzehnten vor allem im asiatischen Raum eingesetzt. Es sind bisher keine ernsthaften Versuche bekannt, diese Venenerkennungssysteme zu überwinden. Neben dem Mythos der Hochsicherheit sind vor allem die unsichtbar im Körper gelegenen Merkmale dafür verantwortlich.
In diesem Vortrag wird gezeigt, mit welch geringem Aufwand man an die "versteckten" Venenbilder gelangen kann und wie auf Grundlage dieser Attrappen gebaut werden können, die die Systeme der beider großen Hersteller überwinden.
Neues von Spectre, Meltdown und Co.- Systematisierung der x86 Prozessorsicherheit - Philipp Koppe & Benjamin Kollenda
Kommerziell erhältliche x86 Prozessoren stellen eine wesentliche Komponente der Trusted Computing Base in Millionen von Geräten dar. Gleichzeitig führt die enorme (und weiterhin wachsende) Komplexität der Prozessoren zu Fehlern und teilweise auch ausnutzbaren Schwachstellen. Der Vortrag stellt besonders sicherheitskritische Prozessorkomponenten sowie Angriffe auf diese vor, trägt die Eigenschaften der Angriffe zusammen und schlussfolgert jeweils die Implikationen. Dabei werden Intel ME (Intel Management Engine), SGX (Software Guard Extensions), Cloud Cache Angriffe sowie die aktuellen Spectre & Meltdown Varianten beleuchtet. Abschließend werden jeweils die verfügbaren Abwehrmaßnahmen sowie deren Sicherheitsgarantien und Auswirkungen vorgestellt.