Synopsis:Um ein IT-System vor einem Angreifer schützen zu können, reicht die Kenntnis der theoretischen Grundlagen der einzelnen IT-Sicherheitskomponenten (Firewalls, Kryptographie, Passwort, etc.) allein nicht aus. Es ist vielmehr notwendig, dass das Zusammenspiel der einzelnen Sicherheitskomponenten untereinander erkannt und verstanden wird. Die Sicherheit einer Komponente hängt meist direkt von der Verwendung bzw. Sicherheit einer oder mehrer anderer Komponenten und nicht zuletzt auch von der Erfahrung und dem Verständnis des Benutzers ab. So nützt beispielsweise eine verschlüsselte Kommunikationsverbindung zwischen zwei Rechnern nur dann etwas, wenn die Endsysteme selbst gegen Missbrauch oder Manipulation geschützt sind und eine Authentifizierung untereinander möglich ist. Diese Abhängigkeiten sind komplex, vielschichtig und abstrakt kaum erfassbar. Nach unseren Auffassungen lassen sich die Zusammenhänge einfacher verstehen und erfassen, wenn sie selbst innerhalb eines IT-Systems beobachtet und ausprobiert werden können. Um ein IT-System "verteidigen" zu können, muss der Verteidiger in der Lage sein, das IT-System aus der Sicht des Angreifers zu sehen und zu verstehen. Ziel ist es deshalb den Teilnehmern den Begriff IT-Security praxisnah und möglichst vielseitig zu erläutern und die Teilnehmer sowohl in die Rolle des Angreifers, als auch in die Rolle eines Verteidigers zu versetzen, um die jeweiligen Verhaltensmuster und Möglichkeiten zu vermitteln.
Programm: Es gibt eine bestimmte Auswahl an Themen, die auf verschiedene IT-Security-Bereiche abgestimmt sind. Die Teilnehmer werden in einem kurzen Vorbereitungstreffen, ca. vier Wochen vor dem Beginn des Seminars, ihre Themen wählen und dementsprechend Arbeitsgruppen bilden (die Arbeitsgruppen bearbeiten ihr Thema dann in den zwei Seminarwochen).
Die teilnehmenden Studenten müssen zum Erhalt eines Scheines ihr Thema in der zweiten Woche vormittags in einer Präsentation vorstellen und erörtern, zusätzlich wird eine kurze Themenzusammenfassung in Form eines Handouts in englischer Sprache erwartet. Das Handout soll eine Checkliste enthalten, die auch fachlich unerfahrenen Personen ein schnelles und strukturiertes Vorgehen ermöglicht. Bei der Präsentation muss jedes Teammitglied einen Beitrag leisten. Die Präsentation muss den anwesenden Teilnehmern den Nutzen (Anwendungsgebiet), die Theorie und die allgemeinen Funktionsabläufe des bearbeiteten Themas verdeutlichen. Anschließend muss das jeweilige Team dem anwesenden Auditorium in einer Fragerunde Rede und Antwort stehen.
Place: Humboldt-Universität zu Berlin - Institut für Mathematik - J.v.Neumann-Haus (Rudower Chaussee 25) - 12489 Berlin - In den Poolräumen der Informatik (Treffpunkt: Haus 3, 4. Etage, Poolraum rechts hinter der Glastür). Pro Pool-Raum 4-6 Teilnehmer. Es stehen zwei Pool-Räume zur Verfügung, d.h. es können 8-12 Personen teilnehmen.
Credits: - Seminar-Schein
- Bedingungen für den Schein sind:
- Präsentation des Themas (Konzepte, Grundlagen) ... theoretisch
- Vorführung der praktischen Umsetzung/Anwendung in einer Demonstration ... praktisch
- Die Bewertung ergibt sich auch aus dem rhetorischen Teil; vor jeder Präsentation werden ZWEI Zuhörer auserkoren, die stellvertretend für alle anwesenden Studenten eine Gewichtung der vorgetragenen Leistung erstellen. Siehe dazu: Bewertungskriterien-Seminarvortrag.pdf
Prerequisites: - Grundlagen der Netzwerktechnik
- Kenntnisse in der Systemadministration
- Grundkenntnisse in der Kryptologie
Der Workshop richtet sich an (werdende) System- und Netzwerkadminstratoren. Er ist stark in Richtung Sicherheit fokussiert. Der Besuch der Vorlesungen von Dr. Bell, Prof. Redlich und Dr. Müller ist eine gute Voraussetzung.
Erste Seminar-Woche | | Zeit/Tag | Montag
(19.9.) | Dienstag
(20.9.) | Mittwoch
(21.9.) | Donnerstag
(22.9.) | Freitag
(23.9.) | Vormittag
(9:00-12:00) | Themenvergabe,
Setup [pdf] | Labor | Labor | Labor | Labor | Mittag
(12:00-13:00) | Mahlzeit! | Mahlzeit! | Mahlzeit! | Mahlzeit! | Mahlzeit! | Nachmittag
(13:00-16:00) | Setup,
Labor | Labor | Diskussion | Labor | Labor | Zweite Seminar-Woche | | Zeit/Tag | Montag
(26.9.) | Dienstag
(27.9.) | Mittwoch
(28.9.) | Donnerstag
(29.9.) | Freitag
(30.9.) | Vormittag
(9:00-12:00) | Labor | Labor | Labor | Labor | Vorträge | Mittag
(12:30-14:00) | Mahlzeit! | Mahlzeit! | Mahlzeit! | Mahlzeit! | Mahlzeit! | Nachmittag
(13:00-16:00) | Labor | Meeting | Labor | Labor | Vorträge |
Betreuer - Dr. Wolf Müller, wolf.mueller@informatik.hu-berlin.de , (030)2093-3127, Raum 3.327
- Dominik Oepen, oepen@informatik.hu-berlin.de, (030)2093-3195, Raum 3.324
- Frank Morgner, morgner@informatik.hu-berlin.de, (030)2093-3195, Raum 3.324
- Dr. Jan-Peter Bell, bell@informatik.hu-berlin.de, (030)2093-3131, Raum 3.203
Vorträge
Freitag 30.09. 2011 an 10:00 Uhr Rudower Chaussee 25, Raum 3'113 (Haus 3, 1. Etage, Raum 113) | 10:00-10:30 | Martin Stapel | DB mit CertificateDescription für Berechtigungszertifikate | [pdf] | | 10:30-11:00 | Paul Wilhelm | Restricted ID für OpenPACE | [pdf] | | | | kurze Pause | | | 11:10-11:40 | Anette,
Alexander Fehr | DNSSec | [pdf] | | 11:40-12:10 | Katja Wolff,
Fabian Kaczmarczyck | R0ket keyboard sniffer | [pdf]
[code] | | | | Mittagspause | | | 13:10-13:25 | | Demo (IPv6) Poolraum 2. Etage | | | 13:30-14:00 | Robert Sprunk,
Malte Müller-Rowold,
Kevin Buchwinkler | Migration auf IPv6 | | | 14:00-14:30 | Sven Schröder,
Nils Goldammer | Schrankschließsystem im Grimme-Zentrum | [Email]
[pdf] | | | | kurze Pause | | | 14:40-15:10 | Markus Nowottnick,
Manuel Rüger | Authentisierung mit Clientzertifikaten | [pdf] | | 15:10-15:40 | Michael Gehring | Convergence | [html] | | 15:40-16:00 | Dr. Wolf Müller | Feedback & Ausblick | |
Wiki: Alle Teilnehmer sind aufgefordert mit Themenvorschlägen zu glänzen. Hier soll die Möglichkeit gegeben werden, schon im Vorfeld des Workshops Themenvorschläge einzureichen und so einen Überblick über die mögliche Vielfalt zu geben. Syllabus (Themenvorschläge):  | In diesem Jahr können wir besonders interessante Themen rund um den neuen elektronischen Personalausweis (nPA) anbieten, der am 1. November eingeführt wurde. So haben wir einen relativ großen Satz von Testausweisen, Lesegeräten in den Klassen Basis, Standard, Komfort, sowie Zugriff auf relevante offizielle Software (AusweisAPP, Treiber für Lesegeräte) und auch hier entwickelte Software (VSmartcard, OpenPACE).
Aber auch klassische Themen sind dabei. |
- nPA: AusweisApp
Untersuchen Sie, welche Kommunikation gemäß der eCard-API der Bürgerclient mit dem Dienstanbieter (TLS/PSK, PAOS) führt, welche Daten werden an den nPA (zum Abhören der AusweisApp-Smartcard-Schnittstelle den ccid-emulator aus unserem Projekt vsmartcard http://sourceforge.net/projects/vsmartcard/ ) übermittelt. Entwickeln sie ggf. einen Man-In-The-Browser Angriff. Dazu wäre es günstig sich zwischen Browser und Plugin der Ausweisapp einzuklinken.
Bausteine: C Kenntnisse, optional Kenntnisse in SOAP. Library ggf. [gsoap]. - nPA: eSIGN-Funktion
Untersuchen Sie die Funktion des nPA zur Erstellung einer QES. Welcher rechtlichen Rahmenbedingungen gibt es? Wie kann ein Zertifikat für die QES beantragt werden? Welche kritischen Punkte sehen Sie? Welche Lösungen sind angedacht? - npa: Restricted ID für OpenPACE (Paul Wilhelm)
Erweitern sie OpenPACE um Unterstützung für Restricted Identification
Anforderungen: C, angewandte Kryptographie, optional: Kenntnisse in OpenSSL
Material: TR-03110, SVN https://svn.informatik.hu-berlin.de/SAR/OpenPACE/ - nPA: eID-Funktion
Testen Sie, ob ein entfernter Zugriff auf den elektronischen Personalausweis möglich ist (Wormhole attack), welche Bausteine benötigen Sie? (Hardware Omnikey 6321, TouchaTag, ..?) - nPA: Erstellung einer Datenbank mit CertificateDescription für Berechtigungszertifikate (Martin Stapel)
Motivation: Transparenz im Einsatz an öffentlichen Terminals [siehe Abschnitt 3.5.3 Anzeige von effektivem CHAT und Berechtigungszertifikat in [SAR-PR-2011-01], Entwickeln von Tools für Kommandozeile zum Ansteuern von eCard-API Funktionalität oder Ausweisapp. - Schrankschließsystem im Grimme-Zentrum (Sven Schröder, Nils Goldammer)
Sicherheitsanalyse des auf der Mensacard (Mifare Classic) basierenden Schließsystems für Schränke im Grimme-Zentrum. Welche Schwachstellen gibt es?
[Background:pdf], [Anleitung] - USB-Hotplug ein Segen und ein Fluch
Aktuell stellen USB-Sticks und andere USB-Geräte eine ernst zu nehmende Bedrohung da. So kann beispielsweise ein USB-Stick sich als HID-Gerät ausgeben und Befehle über eine Konsole aussenden. Auch sollte es möglich sein, ein inkonsistentes Dateisystem zu emulieren. Wie reagieren Betriebssysteme darauf? http://heise.de/-1269684
- Vortrag von Greg Ose auf der Black Hat 2011 "Exploiting USB Devices with Arduino" [Paper][Slides]
- "Undermining Security Barriers" von Andy Davis [Paper] [Slides] - R0ket keyboard sniffer (Katja Wolff, Fabian Kaczmarczyck)
Die R0ket wurde als Badge auf dem Chaos Communication Camp 2011 verteilt. Sie beinhaltet unter anderem einen Nordic VLSI nRF24L01+ chip, welcher im 2,4 GHz Spektrum funkt. Der selbe Chip wird in vielen Funklösungen verwendet, z.B. in Funkkeyboards von Microsoft oder in TurningPoint ResponseCard RF ("Clicker"). Wie Max Moser und Thorsten Schröder in ihrem KeyKeriki V2.0 Projekt gezeigt haben, kann der nRF24L01+ auch zum sniffen von Datenübertragungen verwendet werden.
Travis Goodspeed hat Code für das Next Hope Badge entwickelt, um das Microsoft Wireless Comfort Desktop Kit abzuhören. Dieser Code soll nun auf die R0ket portiert werden.
Benötigte Kenntnisse: C, Python, eingebettete Systeme Benötigte Hardware: R0ket, Geeignetes MS Keyboard?
- KeyKeriki V2: http://www.remote-exploit.org/?p=437
- Promiscuity is the nRF24L01+'s Duty:http://travisgoodspeed.blogspot.com/2011/02/promiscuity-is-nrf24l01s-duty.html
- R0ket: http://r0ket.badge.events.ccc.de/ - Migration auf IPv6 (Robert Sprunk, Malte Müller-Rowold, Kevin Buchwinkler)
IPv6 klopft ja schon lange an die Tür, aber wer verwendet es bisher schon? Wie kann eine Migration erfolgen?
Setzen Sie ein Testsystem auf und lokalisieren sie Stolperstellen. - DNSSec (Anette, Alexander Fehr)
Testen der Integration von DNSSec, wie erstellt man korrekt eine Zone? Wie erfolgt eine Migration? - Authentisierung mit Clientzertifikaten (Markus Nowottnick, Manuel Rüger)
Häufig werden heutzutage (auch an unserem Institut) Passwörter zur Authentisierung zu (Web)Diensten verwendet. Da diese aber an prominenter Stelle stehen, können diese z.B. mittels Wörterbuchattacken angegriffen werden. Abhilfe könnten hier Clientzertifikate schaffen. Entwerfen Sie Lösungen hierzu. Ausgangspunkte können stunnel und openCA sein. - Convergence (Michael Gehring)
Verbesserungsvorschlag für das CA Modell von Moxie Marlinspike, basiert auf dem Perspectives Projekt der CMU.
Führen sie eine Sicherheitsanalyse von Convergence durch. Wie betreibt man einen notary? Welche Konzepte für notaries existieren? Lässt sich convergence für andere Browser als Firefox implementieren?
Suggested References (Books): - BSI Technische Richtlinien:
- 03110 Advanced Security Mechanisms for Machine Readable Travel Documents
- 03117 eCards mit kontaktloser Schnittstelle als sichere Signaturerstellungseinheit
- 03119 Anforderungen an Chipkartenleser mit nPA Unterstützung
- 03127 Architektur Elektronischer Personalausweis - Worked Example zur TR-03110 [zip]
- Einschlägige Arbeiten am SAR-Lehrstuhl: [Security and Identity Management]
- Elektronische Ausweisdokumente von Klaus Schmeh
- RFID Handbuch von Klaus Finkenzeller
- Handbuch der Chipkarten von Wolfgang Rankl
- Ross Anderson. Security Engineering: A Guide to Building Dependable Distributed Systems.
- Bruce Schneier. Applied Cryptography: Protocols, Algorithms, and Source Code in C, Second Edition.
Links & Software: | |
