Synopsis:
Um ein IT-System vor einem Angreifer schützen zu können, reicht
die Kenntnis der theoretischen Grundlagen der einzelnen
IT-Sicherheitskomponenten (Firewalls, Kryptographie, Passwort, etc.)
allein nicht aus. Es ist vielmehr notwendig, dass das Zusammenspiel
der einzelnen Sicherheitskomponenten untereinander erkannt und
verstanden wird. Die Sicherheit einer Komponente hängt meist direkt
von der Verwendung bzw. Sicherheit einer oder mehrer anderer
Komponenten und nicht zuletzt auch von der Erfahrung und dem
Verständnis des Benutzers ab. So nützt beispielsweise eine
verschlüsselte Kommunikationsverbindung zwischen zwei Rechnern nur
dann etwas, wenn die Endsysteme selbst gegen Missbrauch oder
Manipulation geschützt sind und eine Authentifizierung untereinander
möglich ist. Diese Abhängigkeiten sind komplex, vielschichtig und
abstrakt kaum erfassbar. Nach unseren Auffassungen lassen sich die
Zusammenhänge einfacher verstehen und erfassen, wenn sie selbst
innerhalb eines IT-Systems beobachtet und ausprobiert werden können.
Um ein IT-System "verteidigen" zu können, muss der Verteidiger in
der Lage sein, das IT-System aus der Sicht des Angreifers zu sehen
und zu verstehen. Ziel ist es deshalb den Teilnehmern den Begriff
IT-Security praxisnah und möglichst vielseitig zu erläutern und die
Teilnehmer sowohl in die Rolle des Angreifers, als auch in die Rolle
eines Verteidigers zu versetzen, um die jeweiligen Verhaltensmuster
und Möglichkeiten zu vermitteln.
Programm:
Es gibt eine bestimmte Auswahl an Themen, die auf
verschiedene IT-Security-Bereiche abgestimmt sind. Die Teilnehmer
werden in einem kurzen Vorbereitungstreffen, ca. vier Wochen vor dem
Beginn des Seminars, ihre Themen wählen und dementsprechend
Arbeitsgruppen bilden (die Arbeitsgruppen bearbeiten ihr Thema dann
in den zwei Seminarwochen).
Die teilnehmenden Studenten
müssen zum Erhalt eines Scheines ihr Thema in der zweiten Woche
vormittags in einer Präsentation vorstellen und erörtern, zusätzlich
wird eine kurze Themenzusammenfassung in Form eines Handouts in
englischer Sprache erwartet. Das Handout soll eine Checkliste
enthalten, die auch fachlich unerfahrenen Personen ein schnelles und
strukturiertes Vorgehen ermöglicht. Bei der Präsentation muss jedes
Teammitglied einen Beitrag leisten. Die Präsentation muss den
anwesenden Teilnehmern den Nutzen (Anwendungsgebiet), die Theorie
und die allgemeinen Funktionsabläufe des bearbeiteten Themas
verdeutlichen. Anschließend muss das jeweilige Team dem anwesenden
Auditorium in einer Fragerunde Rede und Antwort stehen.
Place:
Humboldt-Universität zu Berlin - Institut für
Mathematik - J.v.Neumann-Haus (Rudower Chaussee 25) - 12489 Berlin -
In den Poolräumen der Informatik (Treffpunkt: Haus 3, 4. Etage,
Poolraum rechts hinter der Glastür).
Pro Pool-Raum 4-6 Teilnehmer. Es stehen zwei
Pool-Räume zur Verfügung, d.h. es können 8-12 Personen teilnehmen.
Credits:
- Seminar-Schein
- Bedingungen für den Schein sind:
- Präsentation des Themas (Konzepte,
Grundlagen) ... theoretisch
- Vorführung der praktischen
Umsetzung/Anwendung in einer Demonstration ... praktisch
- Die Bewertung ergibt sich auch aus dem rhetorischen
Teil; vor jeder Präsentation werden ZWEI Zuhörer auserkoren, die
stellvertretend für alle anwesenden Studenten eine Gewichtung der
vorgetragenen Leistung erstellen. Siehe dazu:
Bewertungskriterien-Seminarvortrag.pdf
Prerequisites:
- Grundlagen der Netzwerktechnik
- Kenntnisse in der Systemadministration
- Grundkenntnisse in der Kryptologie
Der Workshop richtet sich an (werdende) System-
und Netzwerkadminstratoren. Er ist stark in Richtung Sicherheit
fokussiert. Der Besuch der Vorlesungen von Dr. Bell, Prof. Redlich
und Dr. Müller ist eine gute Voraussetzung.
Erste
Seminar-Woche
|
|
Zeit/Tag
|
Montag
(19.9.) |
Dienstag
(20.9.) |
Mittwoch
(21.9.) |
Donnerstag
(22.9.) |
Freitag
(23.9.) |
Vormittag
(9:00-12:00) |
Themenvergabe,
Setup
[pdf] |
Labor |
Labor |
Labor |
Labor |
Mittag
(12:00-13:00) |
Mahlzeit! |
Mahlzeit! |
Mahlzeit! |
Mahlzeit! |
Mahlzeit! |
Nachmittag
(13:00-16:00) |
Setup,
Labor |
Labor |
Diskussion |
Labor |
Labor |
Zweite
Seminar-Woche
|
|
Zeit/Tag
|
Montag
(26.9.) |
Dienstag
(27.9.) |
Mittwoch
(28.9.) |
Donnerstag
(29.9.) |
Freitag
(30.9.) |
Vormittag
(9:00-12:00) |
Labor |
Labor |
Labor |
Labor |
Vorträge |
Mittag
(12:30-14:00) |
Mahlzeit! |
Mahlzeit! |
Mahlzeit! |
Mahlzeit! |
Mahlzeit! |
Nachmittag
(13:00-16:00) |
Labor |
Meeting |
Labor |
Labor |
Vorträge |
Betreuer
- Dr. Wolf Müller,
wolf.mueller@informatik.hu-berlin.de ,
(030)2093-3127, Raum 3.327
- Dominik Oepen,
oepen@informatik.hu-berlin.de, (030)2093-3195, Raum 3.324
- Frank Morgner,
morgner@informatik.hu-berlin.de, (030)2093-3195, Raum 3.324
- Dr. Jan-Peter Bell,
bell@informatik.hu-berlin.de, (030)2093-3131, Raum 3.203
Vorträge
Freitag 30.09. 2011 an 10:00 Uhr Rudower Chaussee 25, Raum 3'113
(Haus 3, 1. Etage, Raum 113)
|
10:00-10:30 |
Martin Stapel |
DB mit CertificateDescription für
Berechtigungszertifikate |
[pdf] |
|
10:30-11:00 |
Paul Wilhelm |
Restricted ID für OpenPACE |
[pdf] |
| |
|
kurze Pause |
|
|
11:10-11:40 |
Anette,
Alexander Fehr |
DNSSec |
[pdf] |
|
11:40-12:10 |
Katja Wolff,
Fabian Kaczmarczyck |
R0ket keyboard sniffer |
[pdf]
[code] |
| |
|
Mittagspause |
|
|
13:10-13:25 |
|
Demo (IPv6) Poolraum 2. Etage |
|
|
13:30-14:00 |
Robert Sprunk,
Malte Müller-Rowold,
Kevin Buchwinkler |
Migration auf IPv6 |
|
|
14:00-14:30 |
Sven Schröder,
Nils Goldammer |
Schrankschließsystem im Grimme-Zentrum |
[Email]
[pdf] |
| |
|
kurze Pause |
|
|
14:40-15:10 |
Markus Nowottnick,
Manuel Rüger |
Authentisierung mit Clientzertifikaten |
[pdf] |
|
15:10-15:40 |
Michael Gehring |
Convergence |
[html] |
|
15:40-16:00 |
Dr. Wolf Müller |
Feedback & Ausblick |
|
Wiki:
Alle Teilnehmer sind aufgefordert mit
Themenvorschlägen zu glänzen. Hier soll die Möglichkeit gegeben
werden, schon im Vorfeld des Workshops Themenvorschläge einzureichen und so einen Überblick über die mögliche Vielfalt zu geben.
Syllabus (Themenvorschläge):
 |
In
diesem Jahr können wir besonders interessante Themen rund um den neuen
elektronischen Personalausweis (nPA) anbieten, der am 1. November
eingeführt wurde. So haben wir einen relativ großen Satz von
Testausweisen, Lesegeräten in den Klassen Basis, Standard, Komfort, sowie Zugriff auf relevante offizielle
Software (AusweisAPP, Treiber für Lesegeräte) und auch hier entwickelte
Software (VSmartcard, OpenPACE).
Aber auch klassische Themen sind dabei. |
- nPA:
AusweisApp
Untersuchen Sie, welche Kommunikation
gemäß der eCard-API der Bürgerclient mit dem Dienstanbieter (TLS/PSK,
PAOS) führt, welche Daten werden an den nPA (zum Abhören der
AusweisApp-Smartcard-Schnittstelle den ccid-emulator aus unserem
Projekt vsmartcard
http://sourceforge.net/projects/vsmartcard/ ) übermittelt.
Entwickeln sie ggf. einen Man-In-The-Browser Angriff. Dazu wäre
es günstig sich zwischen Browser und Plugin der Ausweisapp
einzuklinken.
Bausteine: C Kenntnisse, optional Kenntnisse in SOAP. Library
ggf. [gsoap].
- nPA:
eSIGN-Funktion
Untersuchen Sie die Funktion des nPA
zur Erstellung einer QES. Welcher rechtlichen Rahmenbedingungen
gibt es? Wie kann ein Zertifikat für die QES beantragt werden?
Welche kritischen Punkte sehen Sie? Welche Lösungen sind
angedacht?
- npa: Restricted ID
für OpenPACE
(Paul Wilhelm)
Erweitern sie OpenPACE um Unterstützung für
Restricted Identification
Anforderungen: C, angewandte Kryptographie, optional: Kenntnisse
in OpenSSL
Material: TR-03110,
SVN
https://svn.informatik.hu-berlin.de/SAR/OpenPACE/
- nPA:
eID-Funktion
Testen Sie, ob ein entfernter Zugriff
auf den elektronischen Personalausweis möglich ist (Wormhole
attack), welche Bausteine benötigen Sie? (Hardware Omnikey 6321,
TouchaTag, ..?)
- nPA:
Erstellung einer Datenbank mit CertificateDescription für
Berechtigungszertifikate
(Martin Stapel)
Motivation: Transparenz im Einsatz an
öffentlichen Terminals [siehe Abschnitt 3.5.3 Anzeige von
effektivem CHAT und Berechtigungszertifikat in
[SAR-PR-2011-01], Entwickeln von Tools für Kommandozeile zum
Ansteuern von eCard-API Funktionalität oder Ausweisapp.
- Schrankschließsystem im
Grimme-Zentrum
(Sven Schröder, Nils Goldammer)
Sicherheitsanalyse des auf der
Mensacard (Mifare Classic) basierenden Schließsystems für
Schränke im Grimme-Zentrum. Welche Schwachstellen gibt es?
[Background:pdf],
[Anleitung]
- USB-Hotplug ein Segen
und ein Fluch
Aktuell stellen
USB-Sticks und andere USB-Geräte eine ernst zu nehmende Bedrohung
da. So kann beispielsweise ein USB-Stick sich als HID-Gerät
ausgeben und Befehle über eine Konsole aussenden. Auch sollte es
möglich sein, ein inkonsistentes Dateisystem zu emulieren. Wie
reagieren Betriebssysteme darauf?
http://heise.de/-1269684
- Vortrag von Greg Ose auf der Black Hat 2011 "Exploiting
USB Devices with Arduino" [Paper][Slides]
- "Undermining Security Barriers" von Andy Davis [Paper]
[Slides]
- R0ket keyboard sniffer
(Katja Wolff, Fabian Kaczmarczyck)
Die R0ket wurde als Badge auf dem Chaos
Communication Camp 2011 verteilt. Sie beinhaltet unter anderem
einen Nordic VLSI nRF24L01+ chip, welcher im 2,4 GHz Spektrum
funkt. Der selbe Chip wird in vielen Funklösungen verwendet, z.B.
in Funkkeyboards von Microsoft oder in TurningPoint ResponseCard
RF ("Clicker"). Wie Max Moser und Thorsten Schröder in ihrem
KeyKeriki V2.0 Projekt gezeigt haben, kann der nRF24L01+ auch
zum sniffen von Datenübertragungen verwendet werden.
Travis Goodspeed hat Code für das Next Hope Badge entwickelt, um
das Microsoft Wireless Comfort Desktop Kit abzuhören. Dieser
Code soll nun auf die R0ket portiert werden.
Benötigte Kenntnisse: C, Python, eingebettete Systeme Benötigte
Hardware: R0ket, Geeignetes MS Keyboard?
- KeyKeriki V2:
http://www.remote-exploit.org/?p=437
- Promiscuity is the nRF24L01+'s Duty:http://travisgoodspeed.blogspot.com/2011/02/promiscuity-is-nrf24l01s-duty.html
- R0ket: http://r0ket.badge.events.ccc.de/
- Migration auf IPv6
(Robert Sprunk, Malte
Müller-Rowold, Kevin Buchwinkler)
IPv6 klopft ja schon lange an die Tür, aber wer verwendet es
bisher schon? Wie kann eine Migration erfolgen?
Setzen Sie ein Testsystem auf und lokalisieren sie
Stolperstellen.
- DNSSec
(Anette, Alexander Fehr)
Testen der Integration von DNSSec, wie erstellt man korrekt eine
Zone? Wie erfolgt eine Migration?
- Authentisierung mit
Clientzertifikaten
(Markus Nowottnick, Manuel Rüger)
Häufig
werden heutzutage (auch an unserem Institut) Passwörter zur
Authentisierung zu (Web)Diensten verwendet. Da diese aber an
prominenter Stelle stehen, können diese z.B. mittels
Wörterbuchattacken angegriffen werden. Abhilfe könnten hier
Clientzertifikate schaffen. Entwerfen Sie Lösungen hierzu.
Ausgangspunkte können stunnel und openCA sein.
- Convergence
(Michael Gehring)
Verbesserungsvorschlag für das CA Modell von
Moxie Marlinspike, basiert auf dem Perspectives Projekt der CMU.
Führen sie eine Sicherheitsanalyse von Convergence durch. Wie
betreibt man einen notary? Welche Konzepte für notaries
existieren? Lässt sich convergence für andere Browser als
Firefox implementieren?
Suggested References (Books):
-
BSI Technische Richtlinien:
-
03110 Advanced Security Mechanisms for Machine Readable Travel
Documents
-
03117 eCards mit kontaktloser Schnittstelle als sichere
Signaturerstellungseinheit
-
03119 Anforderungen an Chipkartenleser mit nPA Unterstützung
-
03127 Architektur Elektronischer Personalausweis
- Worked Example zur TR-03110 [zip]
- Einschlägige Arbeiten am SAR-Lehrstuhl: [Security
and Identity Management]
- Elektronische Ausweisdokumente von Klaus Schmeh
- RFID Handbuch von Klaus Finkenzeller
- Handbuch der Chipkarten von Wolfgang Rankl
- Ross Anderson.
Security Engineering: A Guide
to Building Dependable Distributed Systems.
- Bruce Schneier. Applied Cryptography:
Protocols, Algorithms, and Source Code in C, Second Edition.
Links & Software:
|
|
