Security
IT-SECX 2019
Gedanken und Notizen zur diesjährigen IT-SecX der FH St. Pölten.
“24 Hours Inside SOC” – Ein Blick hinter die Kulissen
Wie wird ein Security Operations Center angegangen. Häufig, von unten nach oben, also Technik, Menschen, Prozesse statt umgekehrt:
Wie soll man festellen wer der Angreifer ist?
Wie üblich: Zuerst war es immer ein False Positive….
Vertrauen ist gut, Pentests sind besser: Sicherheitsprobleme in Active Directory Forests
Eine gute Darstellung davon, wie man aus einer (Sub)Domain Zugriffe bis zum Administrator in der übergeordneten Domain im Forest bekommt.
No “Black Out” – Nationale Maßnahmen zur Absicherung intelligenter Messsysteme
Ein guter Vortrag über die in Österreich getroffenen Sicherheitsmaßnahmen für Smart Meter. Die Hoffnung lebt, dass das bei uns besser umgesetzt wird, wie in Deutschland und anderen Ländern!
Warum Notfallvorsorge “wertlos” ist!
SLA … Suche Langfristige Alternative
Konsequenzenmanagement
Hunting for Remote Code Execution in your (Lirbre) Office Suite
Sehr interessant, wie man (Libre und teilweise Open)Office mit Makros exploiten kann.
cat /var/log/news_2019
Wieder lustiges Programm, diesmal aus der ersten Reihe
Das ganze Programm gibt’s unter itsecx.fhstp.ac.at/programm-2019.
IT-SECX 2018
Gedanken und Notizen zur diesjährigen IT-SecX der FH St. Pölten.
Für mich persönlich hat sich die Veranstaltung stark verändert. Früher waren in erster Linie die Vorträge interessant. Die Vorträge sind nicht schlechter geworden, aber networken und tratschen steht mittlerweile im Vordergrund. Und ich wurde wieder für meinen Vortrag von vor 10 Jahren erkannt.
Wenn ein CVSS Score von 10.0 ein leeres Bankkonto bedeuten kann
Florian Bogner beschreibt exklusiv seine Findings. Mittlerweile auch in seinem Blog verfügbar. 0-Day in ELBA5’s Network Installation: Overtaking your company’s bank account
Internet of Dongs–a long way to a vibrant future
Auch Sexspielzeug ist angreifbar. Damit konnte ja niemand rechnen!
Alexa Top 1 Million Security – Hacking the Big Ones
Schöne Statistiken, welche Probleme bei den “großen” Webseiten gefunden werden und was man damit alles anstellen könnte.
Blockchain: You’re Doing It Wrong
Nicht mit Zwang unter allen Umständen auf die Blockchain setzen. Für viele (die Meisten) Anwendungen ist es es einfach das falsche Werkzeug.
Quantumcomputer und KI – Moderne Informatik und Auswirkungen auf die Sicherheit der Zukunft in der Industrie 4.0
Für mich leider einer der schwächeren Vorträge die ich besucht habe. Vielleicht auch nur weil ich mir eine Antwort erhofft habe, ab wann wir denn jetzt genau Post-Quanten-Krypto brauchen werden
cat /var/log/news_2018
Rückblick und Ausblick. Sehr unterhaltsam, ganz ähnlich der Fnord News Show. Um letztes Jahr mit den Cyber-Protect-Aufklebern zu übertreffen gibt’s am Ende homöopathisch verdünnten Elektrosmog. Für manche IT (Security) Probleme wäre aber ein Exorzist besser!
Das ganze Programm gibt’s unter itsecx.fhstp.ac.at/programm-2018 und Infos zu den Vorträgen, teilweise mit Video, unter itsecx.fhstp.ac.at/vortraege-2018.
IT-SECX 2017
Gedanken und Notizen zur diesjährigen IT-SecX der FH St. Pölten.
Die Veranstaltung wächst noch immer. Im Vergleich zu früher, wird professioneller gearbeitet. Die Zeitpläne funktionieren. Es gibt jetzt auch mehr Firmen die ausstellen und Werbegeschenke verteilen und um die Aufmerksamkeit von Studenten buhlen.
Mein persönliches Highlight: Ich wurde wiedererkannt wegen meinem Vortrag über gehackte Webserver 2010!
Ich habe mir diese Themen angeschaut:
Keynote: „The times, they are a-changing“
Thomas Schreck
Hätte nicht unbedingt auf Englisch sein müssen, etwas zu schnell gesprochen und über ein paar THs der englischen Sprache gestolpert. Der Vortragende hat einen Cybär mit auf die Bühne gebracht. Trotzdem gut präsentiert, mit einem Überblick über vergangene große Sicherheitsvorfälle. War auf die (jungen) Studenten im Publikum ausgelegt. Ich komme mir alt vor, wegen Themen wie Loveletter aus dem Jahr 2000. “Most of you won’t remember!”
Automate the hard things,
let the people do the challenging things.
IPv6-Scanning – 350 Billiarden Mal zum Mars und wieder zurück
Kathrin Hufnagl
Durchaus interessant welche Tools es gibt um sich einen IPv6 Adressbereich anzusehen. Auf Wörterbuch-Attacken auf Adressen wäre ich nicht gekommen.
“I Have No Idea What I’m Doing” – On the Usability of Deploying HTTPS
Wilfried Mayer
Eine Untersuchung aus der prä-Let’s Encrypt Zeit. Problem ist, dass Let’s Encrypt nur den ersten Teil abdeckt, also ein Zertifikat zu bekommen. Das folgende Hardening ist trotzdem eine Herausforderung. Es ist schwierig sich bei den ganzen Empfehlungen im Internet zurechtzufinden und zu beurteilen, was davon noch aktuell ist. Beispiel HKPK soll nicht mehr verwendet werden, aber auch anderes wie Cipher-Suits unterliegt laufenden Veränderungen.
Workshop: Arbeiten am schlagenden Herzen – Die Heartbleed-Schwachstelle zum selber Testen
Florian Seitl
Dieses Mal selber in die Tasten klopfen. Von früher war ich eher gewohnt, dass die Workshops hoffnungslos überfüllt waren. Diesmal keine 10 Teilnehmer, etwa ein drittel der Plätze ist besetzt. Aber gut, Heartbleed ist schon länger her und sollte ja kein Thema mehr sein. Ein gut vorbereiteter Workshop. Jeder Teilnehmer konnte sich auf 3 virtuellen Maschinen austoben. Der Angriff erfolgte mit Metasploit. Für alle die den Key nicht schnell genug finden konnten lagen die Files schon vorbereitet auf den Systemen.
Linux Memory Forensics: Dissecting the User Space Process Heap
Frank Block
Ich habe nur etwa die zweite Hälfte gesehen. Scheinbar ist es recht aufwändig, Speicherbereiche zu identifizieren und Daten auszulesen.
Lure Box – Using Honeytokens for Detecting Cyberattacks
Christoph Malin
Stellt eine gute Idee dar. Man versteckt Daten, die nie verwendet werden und protokolliert den Zugriff darauf. Etwa eine Tabelle mit interessantem Namen in einer Datenbank. Und wenn wirklich jemand zugreift, merkt man dass man ein gravierendes Problem hat. Also eine Art Honeypot, aber halt nicht als eigener Rechner ausgeführt. Ich vermute, das ist eher ein Thema für Forschung (FH) oder three-letter-agencies.
cat /var/log/news
Daniel Haslinger & Christoph Lang-Muhr
Wer den Fnord-Jahresrückblick kennt, hat eine grobe Vorstellung wie es da zugeht. Ein wunderbarer Abschluss für den Abend!
Nach dem offiziellen Teil wurde noch zur Afterparty im neuen Hackerspace geladen.
Passwortfeld
Fehler
Bitte füllen Sie alle gekennzeichneten Felder vollständig aus:
Das Feld Passwort darf nicht mehr als 16 Zeichen enthalten.
Link des Tages
Für eine schnelle Überprüfung, ob eventuell sicherheitsrelevante HTTP Header gesetzt sind: securityheaders.io
Wie das Internet noch sicherer wird
Java ist mit dem letzten Update noch sicherer geworden:
Es ist wieder ein extra Fenster dazugekommen, dass 100 Mal weggeklickt werden muss und so die Anwender weiterhin dazu erzieht, einfach alles wegzuklicken.
Wie das Internet sicherer wird
Heute mal eine Demonstration, wie einfach eine Remote Konsole im Google Chrome zu öffnen ist.
Dabei muss man schon froh sein, wenn man die Verbindung überhaupt noch mit einem moderenen Browser herstellen kann!
Erstmal gilt das Zertifikat nicht mehr und ich darf weder eine Ausnahme für private Netze noch für das Zertifikat, das für alle Systeme dieses Types gleich ist, hinzufügen:
Nachdem das weggeklickt ist, darf ich bestätigen, dass ich Java ausführen möchte:
Jetzt noch eine Sicherheitswarnung
Sicherheitshalber gleich für die nächste Ausführung bestägigen. Wohlgemerkt, dass gilt jetzt zwar fürs Zertifikat, aber nicht für die anderen IP Adressen im gleichen privaten Netz.
Dann bestätigen, dass ich die Anwendung tatächlich ausführen möchte
Und noch Mal bestägien, dass das auch beim nächsten Mal gelten soll – wieder nur für das Cert und die eine IP
Irgendwie kommt es mir so vor, dass nach jedem weiteren Java-Update einfach eine zusätzliche Abfrage eingebaut wird. Das erzieht die User allesamt wieder nur mehr in die Richtung, einfach alles ungesehen wegzuklicken.
IT-SecX 2012
Einige Notizen und Anmerkungen zur IT-SecX am 09.11.12 an der FH in St. Pölten
Es ist mir positiv aufgefallen, dass bei jedem Vortrag jemand von der FH dabei war, der die Einhaltung der Vortragszeiten überwachte. Dadurch war der Wechsel zwischen den einzelnen Vortragsräumen deutlich entspannter.
Verwirrend war, dass Johann Haag erst nach dem Keynote-Speaker seine Begrüßungsrede gehalten hat, da dieser leider schon zu einem anderen Termin musste. Dadurch wurde ihm von der Menge nur mehr wenig Aufmerksamkeit geschenkt.
Mit 520 registrierten Teilnehmern die bisher größte IT-SecX.
Neu im Angebot war auch das etwas größere Buffet. Dieses Jahr mit Club-Mate im Angebot.
"Cyberdefence – eine militärische Herausforderung"
von OberstdG Mag. Walter Unger
Der Mann weiß, wovon er spricht. Hat aber zu wenig Zeit auf die interessanten Details einzugehen.
"Cyber threats for grown ups" Dishing the dirt about mailware-detection as experienced by the Austrian milCERT
von Mag. DI(FH) Ulrich Pöschl
Eine Erklärung, wie einfach sich durch einen leicht abgeänderten Datei-Header, Trojaner an Virenscannern vorbeischleusen lassen.
Wurde von der Lösung im milCERT eine verdächtige Datei gefunden, dauert es 6-7 Tage, bis die Virenhersteller Signaturen dafür bereitstellen!
Social Engineering – There is no patch against human stupidity
von DI Gerald Kortschak, BSc, CMC
Link: Maltego http://paterva.com/web6/products/maltego.php
Advanced Security – Wieso aktuelle Security-Lösungen nicht mehr ausreichen
von Helmut Wahrmann
Die Vorstellung der Traffic Monitoring Appliance von RSA.
Interessante Tatsache: In manchen Firmen besteht der Traffic aus 50 – 60 % Youtube-Videos.
Der komplette Traffic wird durch die Appliance getunnelt. Verschlüsselter Traffic muss zur Überwachung über die Appliance als Man-in-the-middle abgefangen werden.
Nach Datenschutzgesetz ist das laut dem Vortragenden kein Problem – aber der Betriebsrat muss eingebunden werden.
Der QR-Code auf den Pfefferminz-Bonbons von RSA/EMC² liefert eine "Invalid URL"…
Data Loss Prevention in der Realität
von Rene Pfeiffer
Das Problem bei bestehenden Lösungen ist, dass man für neue Daten Hashes erfassen müsste.
Man kann bei Daten in der Cloud nicht sicher sein, wer alles die Möglichkeit zum Zugriff hat:
National Security Letters
http://www.youtube.com/watch?v=C25EkdWLU1k
http://en.wikipedia.org/wiki/National_security_letter
Fazit: Man kann sich bestenfalls gegen das versehentliche Hinausgeben von Daten schützen. Dafür lohnt sich der hohe Aufwand nicht.
Hash collisions, rouge CA's und Fake SSL Zertifikate
von Franz Lehner
Es gibt ca. 600 verschiedene CA's – bei irgendwem passieren Fehler, die zum komprimitieren benutzt werden können.
Fazit: Ein SSL Zertifikat sagt aus, dass ein mir völlig unbekannter Geld an einen anderen mir völlig unbekannten bezahlt hat!
Anatomie eines Webserver-Hacks
von Rene Freingruber und Alexander Inführ
Die beiden recht jung wirkenden Vortragenden dürften noch nicht über sehr viel Präsentationserfahrung verfügen. Sie haben sich zu viel Inhalt für die Vortragsdauer vorgenommen. Trotzdem war der Vortrag das Highlight des Abends.
Nach der Informationsbeschaffung mittels Cross-Site-Scripting und SQL-Injection wurde zuerst eine simple PHP Shell hochgeladen. Nach einer recht detaillierten Erklärung des Exploits wird die Shell schließlich mit Root-Rechten ausgestattet. Tosender Applaus, trotz fortgeschrittener Stunde folgte!
IT-SecX 2011
Einige Notizen und Anmerkungen zur 5. IT-SecX am 11.11.11 an der FH in St. Pölten …
Security City
Zu Beginn und in den Pausen bestand wieder sich über Biometrie (Gesichtserkennung), Forensik, Lockpicking und Steganographie zu informieren. Besonders beim Lockpicking-Stand gab es Stau, weil jeder versuchen wollte die von Studenten gebaute Holztüre zu knacken.
Fürchten wir uns vor dem Richtigen? – Bedrohungen aus dem Internet aus der Sicht eines CERT
Keynote von Robert Schischka
Ein großartiger Talk.
Auch Kriminelle programmieren für Marktanteile
(erklärt warum Windows das Hauptangriffsziel ist)
unerquicklich
ein häufig benutztes Wort, für absolute Katastrophen
"Schießen auf den Boten" ist kontraproduktiv
Microsoft Security Intelligence Report Vol. 11
Maleware-Domainlist
Online Misbehavior – Ein sicherer Hafen für Fehlverhalten im Internet?
von Edith Huber
Obwohl anfangs die rechtlichen Grundlagen schlüssig erklärt werden, für mich einer der schwächeren Talks. Präsentiert wurde eine Studie aus 2009 mit den Daten von 2008.
Im schnelllebigen Internetzeitalter betrachte ich das als absolut veraltet. Aus den nicht einmal 100 angzeigten Vorfällen und einer Umfrage unter ca. 750 Personen wurde hochgerechnet, dass 1,5 Millionen Österreicher vom Cyberstalking betroffen sind. Ob man hier aus den über 2000 Anzeigen aus 2011 was hochrechnen kann?
Ausgewählte Angriffsvektoren
von Michael Kafka und Rene Pfeiffer
Ein interessanter Talk, der die Frage "Fürchten wir uns vor dem Richtigen?" aus der Keynote umkehrte auf "Vertrauen wir dem Richtigen?". Beleuchtet wurden unter anderem die Angriffe auf Diginotar, die Auswirkungen. Und vor allem, wie die Zertifizierungen zustande kommen, und woher die Webbrowser wissen, wem sie vertrauen können.
Workshop: Using the Metasploit Framework
von Bernhard Thaler
Endlich habe ich die Teilnahme an dem Workshop geschafft. Ganz knapp habe ich noch einen Rechner im Labor ergattert. Bernhard hält einen großartigen Vortrag – beginnend mit der Geschichte von Exploits bis zur Entstehung von Metasploit und dem Vergleich mit kommerziellen Lösungen, die ähnliches leisten. Zum Abschluss kann auch tatsächlich ein Exploit gegen einen Windows Server in der Laborumgebung angewendet werden.
Obwohl der Workshop genau dort aufhört, wo es wirklich spannend wird ist ein Grundstein für die weitere Beschäftigung mit Metasploit gelegt.
Weiterführende Infos:
WikiBook Metasploit
Metasploit Unleashed
Metasploit: A Penetration Tester's Guide
Security-Tube
Verhaltensbasierte Malwareanalyse
von Robert Luh
Auch wenn ich nur mehr die zweite Hälfte des Vortrages gesehen habe, weiß ich worum es geht. 1000ende Samples wurden vom neuen Malware-Labor untersucht und zwar mit Anubis. Insgesamt soll über die System-Calls einer Probe ermittelt werden, wie gefährlich die Software ist.
Verhaltensbasierte Ähnlichkeitssuche bei Maleware
von Johannes Kaufmann
Durch die schon recht späte Stunde und die Ähnlichkeit zum vorigen Talk leider ein "unerquicklicher" Talk.
Konfigurationsmanagement mit Puppet
von Alexander Weidinger
Der letzte Vortrag startet erst nach 23:15 und geht bis 00:15. Aber trotzdem ein sehr erfrischender Talk von einem redegewandten Vortragenden. Für mich vermutlich auch deshalb wieder interessant, weil ich erst dieses Jahr selber Puppet für einige Systeme implementiert habe.
Es fallen trotzdem eine Menge interessanter Stichwörter, wie ich noch einiges verbessern kann. Erwähnt seien hier
– die Erweiterung Hiera
– die Weboberfläche The Foreman
– Exported Ressources
– Puppet Repositories | leider für SuSE nicht aktuell
– Puppet at Loggly
Fazit
Alles in allem wieder eine gelungene und interessante Veranstaltung, die dieses Jahr auch ans Teilnehmerlimit gestoßen ist. Dieser Bericht deckt natürlich nur einen Bruchteil der insgesamt fünf parallel laufenden Tracks der IT-SecX ab…
Die Unterlagen zu allen Vorträgen und das komplette Programm gibt es wie immer unter itsecx.fhstp.ac.at (sobald diese online sind).
IT-SeCX 2010
Die IT-SeCX fand bereits zum 4. Mal an der FH St. Pölten statt. Wieder einmal wurde ein tolles Programm aus Vorträgen, Workshops und der Hacker-Challange geboten. …
Wer wie ich etwas früher dran war, konnte auch die Angebote im Eingangsbereich nutzen. Ein Vergleich biometrischer Merkmale mit berühmten Personen war möglich. Der Vergleich von mir mit Tom Cruise brachte 51% Ähnlichkeit. Sehr interessant an den biometrischen Vergleichen war, dass viele der weiteren männlichen Testpersonen eine höhere Ähnlichkeit mit weiblichen Prominenten hatten als mit männlichen Berühmtheiten.
Beim Lockpicking konnte diesmal ein "Gerät" aus Gartenmaterialien bewundert werden, welches das Öffnen von gekippten Fenstern ermöglicht. Dies wurde leider nur per Video vorgeführt, zeigte aber sehr gut auf, dass die Fenster im Erdgeschoss nicht gekippt bleiben sollten.Auch ein Schlagschlüssel konnte ausprobiert werden. Damit können Schlösser ohne einfach sichtbare Spuren geöffnet werden.
Interessantes konnte der Keynote-Speaker DI Thomas Brandstetter zum Thema Stuxnet bereichten. Leider werden die Folien des Vortrages nicht zum Download zur Verfügung stehen.
Trotz der großen Verbreitung des Wurms auf viele 10.000ende Rechner gibt es bis heute nur 19 betroffene, bekannte Industrieanlagen. Schaden an industriellen Anlagen wurde allerdings nirgends angerichtet. Daher wird davon ausgegangen, dass entweder das eigentliche Ziel des Wurms bereits erreicht wurde oder der Wurm das Ziel nicht mehr erreichen kann, da die ausgenutzten Lücken mittlerweile behoben sind.
Im Workshop "Einführung in die Maleware-Analyse – Reverse Code Engineering" von Florian Eichelberger wurden erst einige Tools vorgestellt, welche alle kostenfrei und teilweise auch im Quellcode zur Verfügung stehen.
Die Liste zeigt einige der Tools, die Links wurden von mir eingefügt.
- Process Explorer und Process Monitor von www.sysinternals.com
- SysAnalyzer
- Radix – ein Rootkit Detection Tool
- PEiD: Welches Tool wird für die weitere Bearbeitung benötigt
- LordPE – Infos von .exe Dateien
- upx – Packer für .exe Dateien
- OllyDbg – Debugger
- flasm für Flash-Dateien und ActionScript
Leider gab es ein paar kleine Problemchen, das zu analysierende RootKit zum Laufen zu bringen und die Zeit wurde etwas knapp. Das führte dazu dass wir auch die halbstündige Pause damit verbrachten, das RootKit in seine Bestandteile zu zerlegen.
Daher kam ich auch in der Vortrag "Die Evolution der Videoüberwachung: Vom menschlichen Beobachter zum intelligenten Algorithmus" deutlich zu spät. Aber ich konnte noch miterleben wie spannende Videos gezeigt wurden, nach denen mit den ausgewählten Algorithmen Alarme bei entsprechendem Verhalten ausgelöst wurden.
Der nächste Programmpunkt für mich war mein Vortrag "Analyse eines gehackten Webservers unter Linux". Dabei kamen meiner Meinung nach einige der Punkte aus dem Maleware-Analyse Workshop wieder vor. Eine Beurteilung meines Vortrages werde ich natürlich Anderen überlassen. Die Folien sind auch auf Slideshare.net zu finden:
[/ALIGN]
Gegen Ende wurde noch bei "Web Application Security – Wir sind bestens vor Angriffen gesichert, wir haben eine Firewall" gezeigt, dass eine Firewall allein keine ausreichende Abhilfe für moderne Web 2.0 Anwendungen darstellt. Es wurden hier wirklich ausgezeichnete Live-Hacks geboten, wie etwa SQL Injection und Cross-Site-Scripting funktioniert und was damit alles angestellt werden kann.
Es gab noch deutlich mehr Programmpunkte – ich habe allerdings nur diese hier zusammengefasst, die ich mir auch selber angeschaut habe. Nähere Infos zur Veranstaltung, und in Kürze auch ein Archiv und Fotos, sind zu finden unter itsecx.fhstp.ac.at
hoelli
@Hoelli- RT @BigDukeVie: https://t.co/xHsjZXLKAs
vor 8 Stunden - RT @skt_johann: #Impfung #Impfgegner #Impfpflicht https://t.co/LCxUcVjrFN
vor 8 Stunden - New post: 5G Ausbau in Schweiggers wp.me/p4k5Lu-Y5
vor 11 Stunden - RT @RickandMorty: The flavor stack takeover has begun. This is not an ad. [ad] @Pringles https://t.co/NiehUUhHKN
vor 14 Stunden - RT @DaxWerner: @dieternuhr https://t.co/oOoPnCaRAp
vor 15 Stunden
- RT @BigDukeVie: https://t.co/xHsjZXLKAs