Synopsis:
Um ein IT-System vor einem Angreifer schützen zu können, reicht
die Kenntnis der theoretischen Grundlagen der einzelnen
IT-Sicherheitskomponenten (Firewalls, Kryptographie, Passwort, etc.)
allein nicht aus. Es ist vielmehr notwendig, dass das Zusammenspiel
der einzelnen Sicherheitskomponenten untereinander erkannt und
verstanden wird. Die Sicherheit einer Komponente hängt meist direkt
von der Verwendung bzw. Sicherheit einer oder mehrer anderer
Komponenten und nicht zuletzt auch von der Erfahrung und dem
Verständnis des Benutzers ab. So nützt beispielsweise eine
verschlüsselte Kommunikationsverbindung zwischen zwei Rechnern nur
dann etwas, wenn die Endsysteme selbst gegen Missbrauch oder
Manipulation geschützt sind und eine Authentifizierung untereinander
möglich ist. Diese Abhängigkeiten sind komplex, vielschichtig und
abstrakt kaum erfassbar. Nach unseren Auffassungen lassen sich die
Zusammenhänge einfacher verstehen und erfassen, wenn sie selbst
innerhalb eines IT-Systems beobachtet und ausprobiert werden können.
Um ein IT-System "verteidigen" zu können, muss der Verteidiger in
der Lage sein, das IT-System aus der Sicht des Angreifers zu sehen
und zu verstehen. Ziel ist es deshalb den Teilnehmern den Begriff
IT-Security praxisnah und möglichst vielseitig zu erläutern und die
Teilnehmer sowohl in die Rolle des Angreifers, als auch in die Rolle
eines Verteidigers zu versetzen, um die jeweiligen Verhaltensmuster
und Möglichkeiten zu vermitteln.
Programm:
Es gibt eine bestimmte Auswahl an Themen, die auf
verschiedene IT-Security-Bereiche abgestimmt sind. Die Teilnehmer
werden in einem kurzen Vorbereitungstreffen, ca. vier Wochen vor dem
Beginn des Seminars, ihre Themen wählen und dementsprechend
Arbeitsgruppen bilden (die Arbeitsgruppen bearbeiten ihr Thema dann
in den zwei Seminarwochen).
Die teilnehmenden Studenten
müssen zum Erhalt eines Scheines ihr Thema in der zweiten Woche
vormittags in einer Präsentation vorstellen und erörtern, zusätzlich
wird eine kurze Themenzusammenfassung in Form eines Handouts in
englischer Sprache erwartet. Das Handout soll eine Checkliste
enthalten, die auch fachlich unerfahrenen Personen ein schnelles und
strukturiertes Vorgehen ermöglicht. Bei der Präsentation muss jedes
Teammitglied einen Beitrag leisten. Die Präsentation muss den
anwesenden Teilnehmern den Nutzen (Anwendungsgebiet), die Theorie
und die allgemeinen Funktionsabläufe des bearbeiteten Themas
verdeutlichen. Anschließend muss das jeweilige Team dem anwesenden
Auditorium in einer Fragerunde Rede und Antwort stehen.
Place:
Humboldt-Universität zu Berlin - Institut für
Mathematik - J.v.Neumann-Haus (Rudower Chaussee 25) - 12489 Berlin -
In den Poolräumen der Informatik (Treffpunkt: Haus 3, 4. Etage,
Poolraum rechts hinter der Glastür).
Pro Pool-Raum 4-6 Teilnehmer. Es stehen zwei
Pool-Räume zur Verfügung, d.h. es können 8-12 Personen teilnehmen.
Credits:
- Seminar-Schein
- Bedingungen für den Schein sind:
- Präsentation des Themas (Konzepte,
Grundlagen) ... theoretisch
- Vorführung der praktischen
Umsetzung/Anwendung in einer Demonstration ... praktisch
- Die Bewertung ergibt sich auch aus dem rhetorischen
Teil; vor jeder Präsentation werden ZWEI Zuhörer auserkoren, die
stellvertretend für alle anwesenden Studenten eine Gewichtung der
vorgetragenen Leistung erstellen. Siehe dazu:
Bewertungskriterien-Seminarvortrag.pdf
Prerequisites:
- Grundlagen der Netzwerktechnik
- Kenntnisse in der Systemadministration
- Grundkenntnisse in der Kryptologie
Der Workshop richtet sich an (werdende) System-
und Netzwerkadminstratoren. Er ist stark in Richtung Sicherheit
fokussiert. Der Besuch der Vorlesungen von Dr. Bell, Prof. Redlich
und Dr. Müller ist eine gute Voraussetzung.
Wiki:
Erste
Seminar-Woche
|
|
Zeit/Tag
|
Montag
(20.9.) |
Dienstag
(21.9.) |
Mittwoch
(22.9.) |
Donnerstag
(23.9.) |
Freitag
(24.9.) |
Vormittag
(9:00-12:00) |
Themenvergabe,
Setup |
Labor |
Labor |
Labor |
Labor |
Mittag
(12:00-13:00) |
Mahlzeit! |
Mahlzeit! |
Mahlzeit! |
Mahlzeit! |
Mahlzeit! |
Nachmittag
(13:00-16:00) |
Setup,
Labor |
Labor |
Diskussion R.3'201 13:00 |
Labor |
Labor |
Zweite
Seminar-Woche
|
|
Zeit/Tag
|
Montag
(27.9.) |
Dienstag
(28.9.) |
Mittwoch
(29.9.) |
Donnerstag
(30.9.) |
Freitag
(1.10.) |
Vormittag
(9:00-12:00) |
Labor |
Labor |
Labor |
Labor |
Vortrag |
Mittag
(12:30-14:00) |
Mahlzeit! |
Mahlzeit! |
Mahlzeit! |
Mahlzeit! |
Mahlzeit! |
Nachmittag
(13:00-16:00) |
Labor |
Meeting
13:00 |
Labor |
Labor |
Vortrag |
Vorträge
Freitag 01.10. 2010 10:00-14:00 Uhr Raum 3'328
|
10:00-10:45 |
D. Sander, P. Rezmer |
nPA: AusweisApp |
[pdf] |
|
10:45:11:30 |
M. Gehring, T. Stracke, J. Birkholz |
nPA: Fuzzing AusweisAPP |
[pdf] |
| |
|
Mittagspause |
|
|
12:15-13:00 |
M. Grunewald |
nPA: eSIGN-Funktion |
[pdf] |
|
13:00-13:45 |
C. Krüger |
Active Directory |
[pdf][pptx] |
|
13:45-14:00 |
Dr. Wolf Müller |
Feedback, Ausblick |
|
Alle Teilnehmer sind aufgefordert mit
Themenvorschlägen zu glänzen. Hier soll die Möglichkeit gegeben
werden, schon im Vorfeld des Workshops Themenvorschläge einzureichen und so einen Überblick über die mögliche Vielfalt zu geben.
Syllabus (Themenvorschläge):
 In
diesem Jahr können wir besonders interessante Themen rund um den neuen
elektronischen Personalausweis (nPA) anbieten, der ab dem 1. November
eingeführt wird. So haben wir einen relativ großen Satz von
Testausweisen, Lesegeräten bis hin zu einem Testgerät mit
Komfortlesereigenschaften, sowie Zugriff auf relevante offizielle
Software (AusweisAPP, Treiber für Lesegeräte) und auch hier entwickelte
Software (VSmartcard, OpenPACE).
Aber auch klassische Themen sind dabei.
- nPA:
AusweisApp
Untersuchen Sie, welche Kommunikation
gemäß der eCard-API der Bürgerclient mit dem Dienstanbieter (TLS/PSK,
PAOS) führt, welche Daten werden an den nPA (zum Abhören der
AusweisApp-Smartcard-Schnittstelle den ccid-emulator aus unserem
Projekt vsmartcard
http://sourceforge.net/projects/vsmartcard/ ) übermittelt.
Was könnte ein Angreifer lernen, welche Angriffe sind denkbar
(abhängig vom verwendeten Lesegerät).
- nPA:
eSIGN-Funktion
Untersuchen Sie die Funktion des nPA
zur Erstellung einer QES. Welcher rechtlichen Rahmenbedingungen
gibt es? Wie kann ein Zertifikat für die QES beantragt werden?
Welche kritischen Punkte sehen Sie?
- nPA:
eID-Funktion
Testen Sie, ob ein entfernter Zugriff
auf den elektronischen Personalausweis möglich ist (Wormhole
attack), welche Bausteine benötigen Sie? (Hardware Omnikey 6321,
TouchaTag, ..?)
- nPA:
Fuzzing AusweisAPP
Fuzzing hat sich in den letzten Jahren
zu einer der populärsten Testmethoden zum Auffinden von
Schwachstellen in Software entwickelt. Dabei werden
automatisiert ungültige, (semi-)zufällige Eingaben an das
zu testende Programm übergeben und die Reaktion des Programms
ausgewertet. Auch im Bereich der Smartcards wurde das Fuzzing
bereits erfolgreich eingesetzt (siehe
http://www.heise.de/security/meldung/Vista-mit-Smartcard-gehackt-190862.html).
Im Rahmen dieses Projektes soll ein Testaufbau zum Fuzzing der
AusweisApp (der Anwendungssoftware zum Zugriff auf den neuen
Personalausweis) entwickelt werden. Dazu gilt es zum einen, sich
in die Methodik und die existierenden Werkzeuge und Frameworks
einzuarbeiten, zum anderen die Besonderheiten des
Prüfgegenstandes zu erkennen und die gängigen Verfahren
daraufhin anzupassen.
- Migration vo
Nagios2 --> Nagios3
Nagios ist ein
weitverbreitetes Framework zur Überwachung von Komponenten und
bereitgestellten Diensten. Derzeit ist die Version 2 in unserem
Institut im Einsatz. Untersuchen Sie die Änderungen in Version 3
und entwickeln Sie einen Pfad für dir Migration.
http://www.nagios.org/
(Das Thema wird zusammen mit Dr. Bell bearbeitet, es gibt also
kompetente Unterstützung)
- Migration auf IPv6
IPv6 klopft ja schon lange an die Tür, aber wer verwendet es
bisher schon? Wie kann eine Migration erfolgen?
Setzen Sie ein Testsystem auf und lokalisieren sie
Stolperstellen.
- DNSSec
Testen der Integration von DNSSec, wie erstellt man korrekt eine
Zone? Wie erfolgt eine Migration?
- Authentisierung mit
Clientzertifikaten
Häufig
werden heutzutage (auch an unserem Institut) Passwörter zur
Authentisierung zu (Web)Diensten verwendet. Da diese aber an
Prominenter Stelle stehen, können diese z.B. mittels
Wörterbuchattacken angegriffen werden. Abhilfe könnten hier
Clientzertifikate schaffen. Entwerfen Sie Lösungen hierzu.
Ausgangspunkte können stunnel und openCA sein.
- Smartcard Login mit
OpenPGP Card
http://www.g10code.com/p-poldi.html
Lösung für single user Umgebung:
http://wiki.ubuntuusers.de/Authentifizierung_OpenPGP_SmartCard
LDAP Lösung für multi User Szenario scheint möglich zu sein
(siehe doc in SVN) wenn man X509 Zertifikate nutzt. Integration
in das Virtual Smartcard Konzept (http://sourceforge.net/projects/vsmartcard/)
wäre denkbar.
- ActiveDirectory
Integration der Accounts an der HU: Active Directory User
Manager (ADUM). Wie können Passwort-Hashes zwischen
verschiedenen trusted Domains ausgetauscht oder syncronisiert
werden?
- Windows / UNIX
Fileserver auf Basis von OpenSolaris und ZFS
Nach wie vor trifft man häufig auf gemischte IT-Umgebungen aus
Windows-, UNIX/Linux-basierten Systemen. Ziel ist es, einen
Fileserver zu bekommen, der diese gemischten Umgebungen
besonders gut unterstützt. Dazu zählen unter anderem:
- NFS, SMB/CIFS
- UNIX: permissions, user, groups
- Windows: Streams, ACLs
- Upper/lower case ...
Qualitätskreterien der Lösung: Kompatibilität, Performance
Startpunkt:http://www.heise.de/open/artikel/print/119995,
http://dlc.sun.com/osol/docs/content/SSMBAG/smboverview.html
- Weitere Themenvorschläge
sind willkommen.
Suggested Readings (Books):
|
|
