Security Conference Swiss Cyber Storm 2016

Es sind bereits wieder ein paar Tage her, seit die diesjährige Swiss Cyber Storm Konferenz in Luzern durchgeführt wurde. In der Rolle als Namics CISO bin ich das erste Mal hingefahren und möchte hier ein paar schöne Takeouts mit euch teilen.

1. Hardware wird zum Angriffsziel

Ehrlicherweise muss ich zugeben, dass ich bisher auch davon ausgegangen bin, dass in der IT eigentlich nur Software mit ihren Schwachstellen (Fehler im Code oder Konfiguration) Ziel von Sicherheitsangriffen sei. Herbert Bos, Professor und Leiter der VUSec Gruppe, zeigte in seinem Vortrag jedoch, wie sich Angreifer ein physikalisches Phänomen in heutigen modernen DRAM Chips zu eigen machen und mittels Rowhammering und Memory Deduplizierung von Betriebssystemen einen neuen Angriffsvektor zusammenstellen. Was sie damit erreicht haben ist ein kompromittierter Webbrower, in welchem sie eine Speicher-Adresse des Just-In-Time Compilers der Java-Script-Engine umgebogen haben an eine Stelle, wo sie dann die Kontrolle übernommen haben. Details ist unter https://www.vusec.net/2016/08/dedup-est-machina-wins-pwnie-award/ zu finden. Eher technisch… :-)

Die Quintessenz daraus ist, dass selbst wenn Software theoretisch keine Fehler mehr hätte und perfekt konfiguriert ist, Sicherheitsangriffe durchgeführt werden können. Päng!

2. Suchmaschine für Services und IoT-Devices

Wäre es nicht schön eine Suchmaschine zu haben, welche nicht Webseiten indexiert, sondern Services und Devices? Zum Beispiel Server mit MySQL-Datenbanken drauf oder Webcams oder Windturbinen? Interessieren dich spezielle Protokolle wie Modbus, welches für die Steuerung von industriellen Anlagen verwendet wird? Dann ist https://www.shodan.io die richtige Adresse. Diese Suchmaschine versucht, alle verfügbaren Internet-Adressen zu scannen und die Services, welche da am Laufen sind, zu eruieren. Ein Beispiel: unser eigener Server, auf dem die Webpräsenz läuft: https://www.shodan.io/host/194.6.194.90

3. Staus Quo Websecurity-Standards

Scott Helme zeigte in seinem Vortrag, dass immer noch weniger als 1% der Top-Websites im Internet heutige moderne Sicherheitskonzepte umsetzen. Immerhin ist mittlerweile über 50% des gesamten Internetverkehrs verschlüsselt. Https setzt sich also langsam aber sicher durch. Auch Browser-Defaults (Einstellungen im Browser), eine Seite nicht mehr standardmässig auf http sondern https anzusteuern, werden nächstes Jahr folgen. Unsere Empfehlung an Kunden also, nur noch auf Https zu setzen, setzen sich langsam durch. Yessss!

2017 soll TLS 1.3 erscheinen, welches eine Generalüberholung des Protokolls darstellt und grosse Performanceverbesserungen bringen soll. Ein neues Projekt von Scott ist die Plattform https://securityheaders.io. Analog zu https://www.ssllabs.com/ssltest/, welches die Sicherheitszertifikate überprüft, soll die neue Plattform HTML-Security-Header Einstellungen überprüfen und bewerten.

Ebenfalls zugenommen hat der Verkehr von verschlüsselten Emails weltweit. Auch das eine generell gute Nachricht. Unter https://www.google.com/transparencyreport/saferemail/?hl=de sieht man beispielsweise, wieviel Prozent der Mails bei Goole verschlüsselt reinkommen und rausgehen.

4. Zu guter Letzt

Und zum Schluss… eine Seite, welche einem das Schmunzeln ins Gesicht treibt! Wer sich schon immer gewundert hat, wie beispielsweise in einem Video über Hacker oder einem Werbevideo über ein Sicherheitstool jemand schnell “komplizierten” Code eingeben kann, besucht am besten die Seite http://hackertyper.net/ und beginnt in die Tastatur zu hauen. Staun, staun… 😃

P.S. und wer wissen möchte, ob seine Email-Adressen schon mal betroffen war von einem Datenleck oder einer kompromittierten Seite, geht auf https://haveibeenpwned.com/.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*

*

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>