Synopsis:
Um ein IT-System vor einem Angreifer schützen zu können, reicht
die Kenntnis der theoretischen Grundlagen der einzelnen
IT-Sicherheitskomponenten (Firewalls, Kryptographie, Passwort, etc.)
allein nicht aus. Es ist vielmehr notwendig, dass das Zusammenspiel
der einzelnen Sicherheitskomponenten untereinander erkannt und
verstanden wird. Die Sicherheit einer Komponente hängt meist direkt
von der Verwendung bzw. Sicherheit einer oder mehrer anderer
Komponenten und nicht zuletzt auch von der Erfahrung und dem
Verständnis des Benutzers ab. So nützt beispielsweise eine
verschlüsselte Kommunikationsverbindung zwischen zwei Rechnern nur
dann etwas, wenn die Endsysteme selbst gegen Missbrauch oder
Manipulation geschützt sind und eine Authentifizierung untereinander
möglich ist. Diese Abhängigkeiten sind komplex, vielschichtig und
abstrakt kaum erfassbar. Nach unseren Auffassungen lassen sich die
Zusammenhänge einfacher verstehen und erfassen, wenn sie selbst
innerhalb eines IT-Systems beobachtet und ausprobiert werden können.
Um ein IT-System "verteidigen" zu können, muss der Verteidiger in
der Lage sein, das IT-System aus der Sicht des Angreifers zu sehen
und zu verstehen. Ziel ist es deshalb den Teilnehmern den Begriff
IT-Security praxisnah und möglichst vielseitig zu erläutern und die
Teilnehmer sowohl in die Rolle des Angreifers, als auch in die Rolle
eines Verteidigers zu versetzen, um die jeweiligen Verhaltensmuster
und Möglichkeiten zu vermitteln.
Programm:
Es gibt eine bestimmte Auswahl an Themen, die auf
verschiedene IT-Security-Bereiche abgestimmt sind. Die Teilnehmer
werden in einem kurzen Vorbereitungstreffen, ca. vier Wochen vor dem
Beginn des Seminars, ihre Themen wählen und dementsprechend
Arbeitsgruppen bilden (die Arbeitsgruppen bearbeiten ihr Thema dann
in den zwei Seminarwochen).
Die teilnehmenden Studenten
müssen zum Erhalt eines Scheines ihr Thema in der zweiten Woche
vormittags in einer Präsentation vorstellen und erörtern, zusätzlich
wird eine kurze Themenzusammenfassung in Form eines Handouts in
englischer Sprache erwartet. Das Handout soll eine Checkliste
enthalten, die auch fachlich unerfahrenen Personen ein schnelles und
strukturiertes Vorgehen ermöglicht. Bei der Präsentation muss jedes
Teammitglied einen Beitrag leisten. Die Präsentation muss den
anwesenden Teilnehmern den Nutzen (Anwendungsgebiet), die Theorie
und die allgemeinen Funktionsabläufe des bearbeiteten Themas
verdeutlichen. Anschließend muss das jeweilige Team dem anwesenden
Auditorium in einer Fragerunde Rede und Antwort stehen.
Place:
Humboldt-Universität zu Berlin - Institut für
Mathematik - J.v.Neumann-Haus (Rudower Chaussee 25) - 12489 Berlin -
In den Poolräumen der Informatik (Treffpunkt: Haus 3, 4. Etage,
Poolraum rechts hinter der Glastür).
Pro Pool-Raum 4-6 Teilnehmer. Es stehen zwei
Pool-Räume zur Verfügung, d.h. es können 8-12 Personen teilnehmen.
Credits:
- Seminar-Schein
- Bedingungen für den Schein sind:
- Präsentation des Themas (Konzepte,
Grundlagen) ... theoretisch
- Vorführung der praktischen
Umsetzung/Anwendung in einer Demonstration ... praktisch
- Die Bewertung ergibt sich auch aus dem rhetorischen
Teil; vor jeder Präsentation werden ZWEI Zuhörer auserkoren, die
stellvertretend für alle anwesenden Studenten eine Gewichtung der
vorgetragenen Leistung erstellen. Siehe dazu:
Bewertungskriterien-Seminarvortrag.pdf
Prerequisites:
- Grundlagen der Netzwerktechnik
- Kenntnisse in der Systemadministration
- Grundkenntnisse in der Kryptologie
Der Workshop richtet sich an (werdende) System-
und Netzwerkadminstratoren. Er ist stark in Richtung Sicherheit
fokussiert. Der Besuch der Vorlesungen von Dr. Bell, Prof. Redlich
und Dr. Müller ist eine gute Voraussetzung.
Wiki:
Assignments (Themenvergabe):
Erste
Seminar-Woche
|
|
Zeit/Tag
|
Montag
(28.9.) |
Dienstag
(29.9.) |
Mittwoch
(30.9.) |
Donnerstag
(1.10.) |
Freitag
(2.10.) |
Vormittag
(9:00-12:00) |
Themenvergabe,
Setup |
Labor |
Labor |
Labor |
Labor |
Mittag
(12:00-13:00) |
Mahlzeit! |
Mahlzeit! |
Mahlzeit! |
Mahlzeit! |
Mahlzeit! |
Nachmittag
(13:00-16:00) |
Setup,
Labor |
Labor |
Labor |
Labor |
Labor |
Zweite
Seminar-Woche
|
|
Zeit/Tag
|
Montag
(5.10.) |
Dienstag
(6.10.) |
Mittwoch
(7.10.) |
Donnerstag
(8.10.) |
Freitag
(9.10.) |
Vormittag
(9:00-12:00) |
Labor |
Labor |
Labor |
Labor |
Vortrag |
Mittag
(12:30-14:00) |
Mahlzeit! |
Mahlzeit! |
Mahlzeit! |
Mahlzeit! |
Mahlzeit! |
Nachmittag
(13:00-16:00) |
Labor |
Labor |
Labor |
Labor |
Vortrag |
Vorträge am Freitag 9.10.2009 Raum 3'328:
Die Bearbeitung eines Themas umfasst den
Wiki-Eintrag, sowie eine Präsentation vor den Teilnehmern. Die
Präsentation Ihres Themas beinhaltet einen Vortrag (ca. 45 min, mit
Diskussion) sowie eine Demonstration (30 min) im Pool. In dem
Vortrag sollten eine Motivation (Welches
Problem wird gelöst? Warum ist das wichtig?), eine kurze
Einführung in das Thema und die Darstellung der gefundenen Lösung,
sowie die Knackpunkte sowie der Erkenntnisgewinn, gut verständlich
dargestellt werden.
| 10:15 |
Marianne Krabi |
[pdf] |
ePA: Privacy |
| 11:15 |
Name siehe pdf |
[pdf] |
DECT-sniffing |
| Mittag |
|
|
|
| 13:00 |
Ingo Kampe |
[pdf] |
Webservice Autorisierung
mit Attributzertifikaten |
Alle Teilnehmer sind aufgefordert mit
Themenvorschlägen zu glänzen. Hier soll die Möglichkeit gegeben
werden, schon im Vorfeld des Workshops Themenvorschläge einzureichen und so einen Überblick über die mögliche Vielfalt zu geben.
Syllabus (Themenvorschläge):
- DECT-sniffing
Viele Implementierungen des DECT-Protokolls in aktuellen
Telefonen weisen erhebliche Schwachstellen auf. Mit Hilfe einer
COM-ON-AIR PCMCIA Card werden diese untersucht.
https://dedected.org/
-
Bluetooth-Sniffing
Bluetooth wird oft für Kurzreichweitenkommunikation, besonders
zwischen Telefonen verwendet. Im Gegensatz zu zum Beispiel WLAN
wird auf die Sniffing-Problematik jedoch selten eingegangen. Mit
Hilfe von spezieller Software sollte es jedoch möglich sein,
auch mit einfacher Hardware Bluetooth-Verbindungen zu sniffen
und die Sicherheitsaspekte zu untersuchen.
http://google.com/search?hl=en&q=bluetooth+sniffer
z.B.
http://www.evilgenius.de/wp-content/uploads/2008/03/diy_bt_sniffer.pdf
- ePA: Privacy
Untersuchen Sie, welche
Möglichkeiten es für Angreifer gibt, um einen elektronischen
Personalausweis für das Erstellen von z.B. Bewegungsprofilen zu
nutzen. Wie anonym kann ein Zigarettenkauf mit
Altersverifikation sein? Welche Konzepte werden verwendet?
- Smartcard Login mit
OpenPGP Card
http://www.g10code.com/p-poldi.html
Lösung für single user Umgebung:
http://wiki.ubuntuusers.de/Authentifizierung_OpenPGP_SmartCard
LDAP Lösung für multi User Szenario scheint möglich zu sein
(siehe doc in SVN) wenn man X509 Zertifikate nutzt
- Wireless
(RFID) Authentification Risk
Scenario
Funkbasierte Systeme zur Authentifizierung (RFID) finden weite
Verbreitung und bieten viele Angriffsmöglichkeiten, da ein möglicher
Eindringling keinen physikalischen Zugang mehr benötigt. Analysieren
Sie die möglichen Gefahrenquellen und versuchen Sie eine
realistische Bewertung zu dem Gefahrenpotential zu erstellen.
- Kryptografie mit
CUDA
Möglichkeiten:
- Eigenen Algorithmus implementieren
- Blowfish Implementierung (von Dominik Oepen) verbessern
und/oder in OpenSSL, OpenVPN, o.ä. integrieren
- Bruteforcing Tool schreiben (wie z.B. BarsWF)
- Zufallszahlengenerierung (z.B. Mersenne Twister) oder
asymmetrische Kryptografie/elliptische Kurven
- Migration vo
Nagios2 --> Nagios3
Nagios ist ein
weitverbreitetes Framework zur Überwachung von Komponenten und
bereitgestellten Diensten. Derzeit ist die Version 2 in unserem
Institut im Einsatz. Untersuchen Sie die Änderungen in Version 3
und entwickeln Sie einen Pfad für dir Migration.
http://www.nagios.org/
- ActiveDirectory durch Samba4
Es kann darüber nachgedacht werden einen
Directory Server auf Basis der in Samba4 bereitgestellten Werkzeuge
zu realisieren. Hier ist über eine Anbindung des
Instituts-LDAP-Servers nachzudenken.
- Windows / UNIX
Fileserver auf Basis von OpenSolaris und ZFS
Nach wie vor trifft man häufig auf gemischte IT-Umgebungen aus
Windows-, UNIX/Linux-basierten Systemen. Ziel ist es, einen
Fileserver zu bekommen, der diese gemischten Umgebungen
besonders gut unterstützt. Dazu zählen unter anderem:
- NFS, SMB/CIFS
- UNIX: permissions, user, groups
- Windows: Streams, ACLs
- Upper/lower case ...
Qualitätskreterien der Lösung: Kompatibilität, Performance
Startpunkt:http://www.heise.de/open/artikel/print/119995,
http://dlc.sun.com/osol/docs/content/SSMBAG/smboverview.html
- Weitere Themenvorschläge
sind willkommen.
Suggested Readings (Books):
|
|
