Winter
2013/14

IT Security Workshop

Organisatoren: Prof. J.P.Redlich, Dr. W.Müller
(Mo-Fr, 16.9. - 27.9. 2013)
Treffpunkt: Raum 3'328


Computer Science Department
Systems Architecture Group

Workshop IT-Security: 2012 2011 2010 2009 2008 2007 2006 2005 2004 2003 2002 2001.  
Credits: Dr. Wolf Müller, Dominik Oepen, Michael Gehring, Fabian Kaczmarczyck,
Dr. J.P. Bell und H.Plötz, Benedikt Garski, Daniel Seifert, Bernhard Wiedemann

 
Abstract: Immer mehr Prozesse werden in der Industrie über IT-Systeme abgewickelt. Neben der generellen Verfügbarkeit und Funktionstüchtigkeit dieser Systeme wird ihre Absicherung gegen Angreifer immer wichtiger. Dem dadurch entstehenden Bedarf an qualifiziertem Sicherheitspersonal sollten sich auch die Universitäten mit ihrem Ausbildungsangebot anpassen. Zwar werden zunehmend Lehrveranstaltungen zum Thema "IT-Sicherheit" angeboten, diese betrachten jedoch typischerweise nur einen Ausschnitt aus dem Gebiet und sind oft eher theoretisch ausgerichtet.
In diesem Workshop sollen sich die Teilnehmer kritisch mit den Grundsätzen des Hackens und den prinzipiellen Angriffskonzepten auseinandersetzen. Es sollen aber auch praktische Erfahrungen beim Angriff und der Verteidigung von UNIX/Linux Systemen gesammelt werden. Diese Veranstaltung ist nicht als Ausbildung von Studenten zu Hackern zu verstehen. Vielmehr soll das Bewusstsein für die potentiellen Schwachstellen der genannten Systeme geschärft, sowie Lösungsmöglichkeiten erarbeitet werden.

 
Synopsis:

Um ein IT-System vor einem Angreifer schützen zu können, reicht die Kenntnis der theoretischen Grundlagen der einzelnen IT-Sicherheitskomponenten (Firewalls, Kryptographie, Passwort, etc.) allein nicht aus. Es ist vielmehr notwendig, dass das Zusammenspiel der einzelnen Sicherheitskomponenten untereinander erkannt und verstanden wird. Die Sicherheit einer Komponente hängt meist direkt von der Verwendung bzw. Sicherheit einer oder mehrer anderer Komponenten und nicht zuletzt auch von der Erfahrung und dem Verständnis des Benutzers ab. So nützt beispielsweise eine verschlüsselte Kommunikationsverbindung zwischen zwei Rechnern nur dann etwas, wenn die Endsysteme selbst gegen Missbrauch oder Manipulation geschützt sind und eine Authentifizierung untereinander möglich ist. Diese Abhängigkeiten sind komplex, vielschichtig und abstrakt kaum erfassbar. Nach unseren Auffassungen lassen sich die Zusammenhänge einfacher verstehen und erfassen, wenn sie selbst innerhalb eines IT-Systems beobachtet und ausprobiert werden können. Um ein IT-System "verteidigen" zu können, muss der Verteidiger in der Lage sein, das IT-System aus der Sicht des Angreifers zu sehen und zu verstehen. Ziel ist es deshalb den Teilnehmern den Begriff IT-Security praxisnah und möglichst vielseitig zu erläutern und die Teilnehmer sowohl in die Rolle des Angreifers, als auch in die Rolle eines Verteidigers zu versetzen, um die jeweiligen Verhaltensmuster und Möglichkeiten zu vermitteln.

Programm:

Es gibt eine bestimmte Auswahl an Themen, die auf verschiedene IT-Security-Bereiche abgestimmt sind. Die Teilnehmer werden in einem kurzen Vorbereitungstreffen, ca. vier Wochen vor dem Beginn des Seminars, ihre Themen wählen und dementsprechend Arbeitsgruppen bilden (die Arbeitsgruppen bearbeiten ihr Thema dann in den zwei Seminarwochen).

Die teilnehmenden Studenten müssen zum Erhalt eines Scheines ihr Thema in der zweiten Woche vormittags in einer Präsentation vorstellen und erörtern, zusätzlich wird eine kurze Themenzusammenfassung in Form eines Handouts in englischer Sprache erwartet. Das Handout soll eine Checkliste enthalten, die auch fachlich unerfahrenen Personen ein schnelles und strukturiertes Vorgehen ermöglicht. Bei der Präsentation muss jedes Teammitglied einen Beitrag leisten. Die Präsentation muss den anwesenden Teilnehmern den Nutzen (Anwendungsgebiet), die Theorie und die allgemeinen Funktionsabläufe des bearbeiteten Themas verdeutlichen. Anschließend muss das jeweilige Team dem anwesenden Auditorium in einer Fragerunde Rede und Antwort stehen.

Place:

Humboldt-Universität zu Berlin - Institut für Mathematik - J.v.Neumann-Haus (Rudower Chaussee 25) - 12489 Berlin - In den Poolräumen der Informatik (Treffpunkt: Haus 3, 3. Etage, Raum 3.328 "SAR-Besprechungsraum").

Pro Pool-Raum 4-6 Teilnehmer. Es stehen zwei Pool-Räume zur Verfügung, d.h. es können 8-12 Personen teilnehmen.

Credits:

  • Seminar-Schein
  • Bedingungen für den Schein sind:
    • Präsentation des Themas (Konzepte, Grundlagen) ... theoretisch
    • Vorführung der praktischen Umsetzung/Anwendung in einer Demonstration ... praktisch
  • Die Bewertung ergibt sich auch aus dem rhetorischen Teil; vor jeder Präsentation werden ZWEI Zuhörer auserkoren, die stellvertretend für alle anwesenden Studenten eine Gewichtung der vorgetragenen Leistung erstellen. Siehe dazu: Bewertungskriterien-Seminarvortrag.pdf

Prerequisites:

  • Grundlagen der Netzwerktechnik
  • Kenntnisse in der Systemadministration
  • Grundkenntnisse in der Kryptologie

Der Workshop richtet sich an (werdende) System- und Netzwerkadminstratoren. Er ist stark in Richtung Sicherheit fokussiert. Der Besuch der Vorlesungen von Dr. Bell, Prof. Redlich und Dr. Müller ist eine gute Voraussetzung.

Erste Seminar-Woche

Zeit/Tag Montag
(16.9.)
Dienstag
(17.9.)
Mittwoch
(18.9.)
Donnerstag
(19.9.)
Freitag
(20.9.)
Vormittag
(10:00-12:00)
Themenvergabe,
Setup
Labor Labor Labor Labor
Mittag
(12:00-13:00)
Mahlzeit! Mahlzeit! Mahlzeit! Mahlzeit! Mahlzeit!
Nachmittag
(13:00-17:00)
Setup,
Labor
Labor Labor Diskussion Labor

Zweite Seminar-Woche

Zeit/Tag Montag
(23.9.)
Dienstag
(24.9.)
Mittwoch
(25.9.)
Donnerstag
(26.9.)
Freitag
(27.9.)
Vormittag
(10:00-12:00)
Labor Labor Labor Labor Vorträge
Mittag
(12:30-14:00)
Mahlzeit! Mahlzeit! Mahlzeit! Mahlzeit! Mahlzeit!
Nachmittag
(13:00-17:00)
Labor Diskussion ab 13:30 Uhr Labor Labor Vorträge

Betreuer

Wiki mit Themenvorschlägen:

In diesem Jahr können wir besonders interessante Themen rund um elektronische Identitäten und mobile Nutzung dieser eID-Funktionalität anbieten.
  • Der neue elektronische Personalausweis (nPA) ist einige Zeit im Feld, es existieren zunehmend mehr Dienste, wo dieser benutzt werden kann. So haben wir einen relativ großen Satz von Testausweisen, Lesegeräten in den Klassen Basis, Standard, Komfort, sowie Zugriff auf relevante offizielle Software (AusweisAPP, Treiber für Lesegeräte) und auch hier entwickelte Software (VSmartcard, OpenPACE,eIDCC).
  • Wir versuchen bis zum Workshop Android-Smrtphones mit NFC-Schnittstelle zu beschaffen, so dass Systeme die kontaktlose Smartcard´s nutzen untersucht werden können.
     

Aber auch klassische Themen sind dabei.

Alle Teilnehmer sind aufgefordert mit Themenvorschlägen zu glänzen. Hier soll die Möglichkeit gegeben werden, schon im Vorfeld des Workshops Themenvorschläge einzureichen und so einen Überblick über die mögliche Vielfalt zu geben.

Suggested References (Books):

  • BSI Technische Richtlinien:
    - 03110 Advanced Security Mechanisms for Machine Readable Travel Documents
    - 03117 eCards mit kontaktloser Schnittstelle als sichere Signaturerstellungseinheit
    - 03119 Anforderungen an Chipkartenleser mit nPA Unterstützung
    - 03127 Architektur Elektronischer Personalausweis
  • Worked Example zur TR-03110 [zip]
  • Einschlägige Arbeiten am SAR-Lehrstuhl: [Security and Identity Management]
  • Elektronische Ausweisdokumente von Klaus Schmeh
  • RFID Handbuch von Klaus Finkenzeller
  • Handbuch der Chipkarten von Wolfgang Rankl
  • Ross Anderson. Security Engineering: A Guide to Building Dependable Distributed Systems.
  • Bruce Schneier. Applied Cryptography: Protocols, Algorithms, and Source Code in C, Second Edition.

Links & Software:

 

 Links
BSI
Technische Richtlinien
Cambridge
Ross Anderson's home page
NIST
Computer Security Resource Center
NIST
Federal Information Processing Standards Publications (FIPS)
CERT
 
cert.org
BSI
Bundesamt für Sicherheit in der Informations-technik
OS specific
Windows-Security
Linux-Security
e-Learning
CrypTool (de)

 


Legal disclaimer. .  © 2024 Humboldt-Universität zu Berlin, Computer Science Department, Systems Architecture Group. Contact: sar@informatik.hu-berlin.de .