Hacking Session beim 22. EDV-Gerichtstag
Nachtragen möchte ich noch den Bericht von unserer „Hacking Session“. Bei dieser im Vorfeld des diesjährigen EDV-Gerichtstags gut besuchten Veranstaltung haben wir live demonstriert, wie man Sicherheitsmechanismen umgehen und in fremde Computer eindringen kann.
Das Programm
Denn Anfang machte Prof. Dr. Christoph Sorge mit „BerndBook“. Anhand dieser an FaceBook angelehnten Plattform demonstrierte er mit seinem Team vom Institut für Informatik der Universität Paderborn, wie Angreifer mittels Cross-Site-Scripting beliebige Dateien auf dem Zielrechner manipulieren können u. v. m.
Jörn Erbguth von Swisslex veranschaulichte am Petraeus-Fall, dass Anonymität im Internet selbst bei einiger Anstrengung nicht zuverlässig zu erreichen ist. Der CIA-Chef Petraeus hatte mit seiner Geliebten über einen „toten E-Mail-Briefkasten“ kommuniziert und flog trotzdem auf.
Wie man mit einem falschen USB-Stick seinen Rechner mit Malware infizieren kann, zeigte Stefan Hessel vom Institut für Rechtsinformatik (IfRI) der Universität des Saarlandes. USB device malware injection bedeutet: Einmal kurz den Stick einstecken und schon liest der Angreifer alles mit, was auf dem Computer läuft und kann den quasi beliebig manipulieren.
Maximilian Wilhelm, ebenfalls vom Team aus Paderborn, führte die Anwendung Metasploit vor, mit der sich nicht nur die Sicherheit der eigenen Netze testen, sondern mit entsprechender krimineller Energie verschiedenste Angriffe auf fremde Rechner durchführen lassen, und zwar sehr komfortabel.
Obwohl alles live vorgeführt wurde, liefen die Demonstrationen erstaunlich glatt durch. Erst beim letzten Versuch ging etwas schief: Ralph Hecksteden vom IfRI wollte zeigen, wie man in ein WLAN eindringen kann, obwohl das mit dem gängigen WPA2-Standard gesichert ist. Der Linux-Rechner ließ sich leider in der Kürze der noch verbliebenen Zeit nicht dazu überreden, die erforderlichen Treiber zu laden, so dass der Versuch schließlich abgebrochen werden musste.
Der Schlussvortrag von Professor Sorge rundete die Veranstaltung ab. Darin berichtete er von dem „Capture-the-Flag“-Wettbewerb, bei dem Studenten gleichzeitig ihre eigenen Server sichern und in den gegnerischen Server eindringen müssen. So lernen die Studenten das Thema Sicherheit spielerisch aus einer interessanten Doppel-Perspektive kennen.
Fazit
Das Konzept unserer Hacking Session ging voll auf. Es ist nun mal etwas ganz anderes, ob man immer wieder von Sicherheitsproblemen liest oder ob man das einmal ganz praktisch vorgeführt bekommt. Zurück blieb – zumindest bei mir – das etwas schale Gefühl, dass man sich kaum wirklich schützen kann und sich meist in falscher Sicherheit wiegt.
Wie geht es weiter?
Im nächsten Jahr wollen wir wieder ein paar Vorführungen machen – die Ideenliste ist noch lang. Den Schwerpunkt wollen wir dann auf die – soweit möglich – Abwehr der Angriffe richten.
Der SR berichtete
Herbert Mangold vom SR hat einen schönen Beitrag gemacht, der im „aktuellen bericht“ am 26.09.13 ausgestrahlt wurde und online abrufbar ist.
Sie sehen gerade einen Platzhalterinhalt von Standard. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf den Button unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Danke für diese nette Zusammenfassung! Ich möchte noch ergänzen, dass ein großer Teil der Arbeit des Paderborner Teams von den Herren Marcel Lauhoff, Frederik Möllers und (bereits im Posting erwähnt) Maximilian Wilhelm geleistet wurde – gerade auch bei der Vorführung vor Ort in Saarbrücken.
Auch an dieser Stelle daher nochmal meinen herzlichen Dank an diese drei Personen!