Workshop IT-Security:
2013
2012
2011
2010
2009
2008
2007
2006
2005
2004
2003
2002
2001.
Credits: Dr. Wolf Müller,
Dominik Oepen,
Michael Gehring,
Fabian Kaczmarczyck,
Dr. J.P. Bell und
H.Plötz, Benedikt
Garski, Daniel Seifert, Bernhard Wiedemann
|
Abstract: Immer mehr
Prozesse werden in der Industrie über IT-Systeme abgewickelt. Neben der
generellen Verfügbarkeit und Funktionstüchtigkeit dieser Systeme wird
ihre Absicherung gegen Angreifer immer wichtiger. Dem dadurch
entstehenden Bedarf an qualifiziertem Sicherheitspersonal sollten sich
auch die Universitäten mit ihrem Ausbildungsangebot anpassen. Zwar
werden zunehmend Lehrveranstaltungen zum Thema "IT-Sicherheit"
angeboten, diese betrachten jedoch typischerweise nur einen Ausschnitt
aus dem Gebiet und sind oft eher theoretisch ausgerichtet.
In diesem Workshop sollen sich die Teilnehmer kritisch mit den
Grundsätzen des Hackens und den prinzipiellen Angriffskonzepten
auseinandersetzen. Es sollen aber auch praktische Erfahrungen beim
Angriff und der Verteidigung von UNIX/Linux Systemen gesammelt werden.
Diese Veranstaltung ist nicht als Ausbildung von Studenten zu Hackern zu
verstehen. Vielmehr soll das Bewusstsein für die potentiellen
Schwachstellen der genannten Systeme geschärft, sowie
Lösungsmöglichkeiten erarbeitet werden.
|
Synopsis:
Um ein IT-System vor einem Angreifer schützen zu können, reicht
die Kenntnis der theoretischen Grundlagen der einzelnen
IT-Sicherheitskomponenten (Firewalls, Kryptographie, Passwort, etc.)
allein nicht aus. Es ist vielmehr notwendig, dass das Zusammenspiel
der einzelnen Sicherheitskomponenten untereinander erkannt und
verstanden wird. Die Sicherheit einer Komponente hängt meist direkt
von der Verwendung bzw. Sicherheit einer oder mehrer anderer
Komponenten und nicht zuletzt auch von der Erfahrung und dem
Verständnis des Benutzers ab. So nützt beispielsweise eine
verschlüsselte Kommunikationsverbindung zwischen zwei Rechnern nur
dann etwas, wenn die Endsysteme selbst gegen Missbrauch oder
Manipulation geschützt sind und eine Authentifizierung untereinander
möglich ist. Diese Abhängigkeiten sind komplex, vielschichtig und
abstrakt kaum erfassbar. Nach unseren Auffassungen lassen sich die
Zusammenhänge einfacher verstehen und erfassen, wenn sie selbst
innerhalb eines IT-Systems beobachtet und ausprobiert werden können.
Um ein IT-System "verteidigen" zu können, muss der Verteidiger in
der Lage sein, das IT-System aus der Sicht des Angreifers zu sehen
und zu verstehen. Ziel ist es deshalb den Teilnehmern den Begriff
IT-Security praxisnah und möglichst vielseitig zu erläutern und die
Teilnehmer sowohl in die Rolle des Angreifers, als auch in die Rolle
eines Verteidigers zu versetzen, um die jeweiligen Verhaltensmuster
und Möglichkeiten zu vermitteln.
Programm:
Es gibt eine bestimmte Auswahl an Themen, die auf
verschiedene IT-Security-Bereiche abgestimmt sind. Die Teilnehmer
werden in einem kurzen Vorbereitungstreffen, ca. vier Wochen vor dem
Beginn des Seminars, ihre Themen wählen und dementsprechend
Arbeitsgruppen bilden (die Arbeitsgruppen bearbeiten ihr Thema dann
in den zwei Seminarwochen).
Die teilnehmenden Studenten
müssen zum Erhalt eines Scheines ihr Thema in der zweiten Woche
vormittags in einer Präsentation vorstellen und erörtern, zusätzlich
wird eine kurze Themenzusammenfassung in Form eines Handouts in
englischer Sprache erwartet. Das Handout soll eine Checkliste
enthalten, die auch fachlich unerfahrenen Personen ein schnelles und
strukturiertes Vorgehen ermöglicht. Bei der Präsentation muss jedes
Teammitglied einen Beitrag leisten. Die Präsentation muss den
anwesenden Teilnehmern den Nutzen (Anwendungsgebiet), die Theorie
und die allgemeinen Funktionsabläufe des bearbeiteten Themas
verdeutlichen. Anschließend muss das jeweilige Team dem anwesenden
Auditorium in einer Fragerunde Rede und Antwort stehen.
Place:
Humboldt-Universität zu Berlin - Institut für
Mathematik - J.v.Neumann-Haus (Rudower Chaussee 25) - 12489 Berlin -
In den Poolräumen der Informatik (Treffpunkt: Haus 3, 3. Etage, Raum
3.328 "SAR-Besprechungsraum").
Pro Pool-Raum 4-6 Teilnehmer. Es stehen zwei
Pool-Räume zur Verfügung, d.h. es können 8-12 Personen teilnehmen.
Credits:
- Seminar-Schein
- Bedingungen für den Schein sind:
- Präsentation des Themas (Konzepte,
Grundlagen) ... theoretisch
- Vorführung der praktischen
Umsetzung/Anwendung in einer Demonstration ... praktisch
- Die Bewertung ergibt sich auch aus dem rhetorischen
Teil; vor jeder Präsentation werden ZWEI Zuhörer auserkoren, die
stellvertretend für alle anwesenden Studenten eine Gewichtung der
vorgetragenen Leistung erstellen. Siehe dazu:
Bewertungskriterien-Seminarvortrag.pdf
Prerequisites:
- Grundlagen der Netzwerktechnik
- Kenntnisse in der Systemadministration
- Grundkenntnisse in der Kryptologie
Der Workshop richtet sich an (werdende) System-
und Netzwerkadminstratoren. Er ist stark in Richtung Sicherheit
fokussiert. Der Besuch der Vorlesungen von Dr. Bell, Prof. Redlich
und Dr. Müller ist eine gute Voraussetzung.
Erste
Seminar-Woche
|
Zeit/Tag
|
Montag
(22.9.) |
Dienstag
(23.9.) |
Mittwoch
(24.9.) |
Donnerstag
(25.9.) |
Freitag
(26.9.) |
Vormittag
(9:30-12:00) |
Themenvergabe,
Setup
|
Labor |
Labor |
Labor |
Labor |
Mittag
(12:00-13:00) |
Mahlzeit! |
Mahlzeit! |
Mahlzeit! |
Mahlzeit! |
Mahlzeit! |
Nachmittag
(13:00-17:00) |
Setup,
Labor |
Labor |
Labor |
Diskussion |
Labor |
Zweite
Seminar-Woche
|
Zeit/Tag
|
Montag
(29.9.) |
Dienstag
(30.9.) |
Mittwoch
(1.10.) |
Donnerstag
(2.10.) |
Feiertag
(3.10.) |
Vormittag
(9:30-12:00) |
Labor |
Labor |
Labor |
Vorträge |
|
Mittag
(12:30-14:00) |
Mahlzeit! |
Mahlzeit! |
Mahlzeit! |
Mahlzeit! |
|
Nachmittag
(13:00-17:00) |
Labor |
Diskussion ab 13:30 Uhr |
Labor |
Vorträge |
|
Betreuer
- Dr. Wolf Müller,
wolf.mueller@informatik.hu-berlin.de,
(030)2093-3127, Raum 3.327
- Michael Gehring,
gehring@informatik.hu-berlin.de
- Fabian Kaczmarczyck,
kaczmarf@informatik.hu-berlin.de, (030)2093-3195, Raum 3.324
- Dr. Jan-Peter Bell,
bell@informatik.hu-berlin.de, (030)2093-3131, Raum 3.203
Wiki mit Themenvorschlägen:
|
In
auch diesem Jahr können wir besonders interessante Themen rund um
elektronische Identitäten und mobile Nutzung dieser eID-Funktionalität anbieten.
- Der neue
elektronische Personalausweis (nPA) ist einige Zeit im Feld, es
existieren zunehmend mehr Dienste, wo dieser benutzt werden
kann. So haben wir einen relativ großen Satz von
Testausweisen, Lesegeräten in den Klassen Basis, Standard, Komfort, sowie Zugriff auf relevante offizielle
Software (AusweisAPP, Treiber für Lesegeräte) und auch hier entwickelte
Software (VSmartcard, OpenPACE,eIDCC).
- Wir versuchen bis zum Workshop
Android-Smrtphones mit NFC-Schnittstelle zu beschaffen, so
dass Systeme die kontaktlose Smartcard´s nutzen untersucht
werden können.
Aber auch klassische Themen sind dabei. |
Alle Teilnehmer sind aufgefordert mit
Themenvorschlägen zu glänzen. Hier soll die Möglichkeit gegeben
werden, schon im Vorfeld des Workshops Themenvorschläge einzureichen und so einen Überblick über die mögliche Vielfalt zu geben.
Suggested References (Books):
-
BSI Technische Richtlinien:
-
03110 Advanced Security Mechanisms for Machine Readable Travel
Documents
-
03117 eCards mit kontaktloser Schnittstelle als sichere
Signaturerstellungseinheit
-
03119 Anforderungen an Chipkartenleser mit nPA Unterstützung
-
03127 Architektur Elektronischer Personalausweis
- Worked Example zur TR-03110 [zip]
- Einschlägige Arbeiten am SAR-Lehrstuhl: [Security
and Identity Management]
- Elektronische Ausweisdokumente von Klaus Schmeh
- RFID Handbuch von Klaus Finkenzeller
- Handbuch der Chipkarten von Wolfgang Rankl
- Ross Anderson.
Security Engineering: A Guide
to Building Dependable Distributed Systems.
- Bruce Schneier. Applied Cryptography:
Protocols, Algorithms, and Source Code in C, Second Edition.
Links & Software:
|
|
|