W2015-ITS: Difference between revisions

From
Jump to navigation Jump to search
mNo edit summary
(→‎Smart Home: Link eingefügt)
 
(36 intermediate revisions by 8 users not shown)
Line 1: Line 1:
=Vorträge=

'''Freitag 9.10. 2015,''' Rudower Chaussee 25, Haus 3, '''Raum 3'328'''

{| class="wikitable" style="text-align: left; background: #cfc;"
|- style="background: #eef;"
| 10:00-10:30 || '''Selbstauskunft "in-the-middle"''' || Erik ||
[https://sar.informatik.hu-berlin.de/teaching/2015-w/2015w_ITSecurityWorkshop/talks/selbstauskunft.pdf pdf]
|- style="background: #ddf;"
| 10:30-11:40 || '''Pentesting''' || Carsten, Hagen, Dominik, Paul ||
[https://sar.informatik.hu-berlin.de/teaching/2015-w/2015w_ITSecurityWorkshop/talks/pentesting_hagen.pdf pdf]
[https://sar.informatik.hu-berlin.de/teaching/2015-w/2015w_ITSecurityWorkshop/talks/pentesting_paul.pdf pdf]
|-
| 11:40-12:30 || '''Mittagspause''' || ||
|- style="background: #eef;"
| 12:30-13:10 || '''Fuzzer''' || Mirko, Daniel, Tobias ||
[https://sar.informatik.hu-berlin.de/teaching/2015-w/2015w_ITSecurityWorkshop/talks/fuzzer.pdf pdf]
|- style="background: #ddf;"
| 13:10-14:00 || '''Smart Home''' || Thanh Son, Sylvio, Lijuan ||
[https://sar.informatik.hu-berlin.de/teaching/2015-w/2015w_ITSecurityWorkshop/talks/knx.pdf pdf]
|-
| 14:00-14:20 || '''Tee & Kaffee''' || ||
|- style="background: #eef;"
| 14:20-14:50 || '''Stunnel & DANE''' || Robert, Oliver ||
|- style="background: #ddf;"
| 14:50-15:20 || '''Email-Push-Notifikation''' || Immanuel, Andy ||
[https://sar.informatik.hu-berlin.de/teaching/2015-w/2015w_ITSecurityWorkshop/talks/push-email.pdf pdf]
|- style="background: #eef;"
| 15:20-15:40 || '''Sicherer Email-Transport''' || Arthur ||
[https://sar.informatik.hu-berlin.de/teaching/2015-w/2015w_ITSecurityWorkshop/talks/sichere-email.pdf pdf]
|}

Pro Gruppe ist angedacht, (#Mitglieder + 1 ) * 10 Min (+ ggf. Demo) zwischen Redezeit und Diskussion und Umbaupause aufzuteilen.

=Themenvorschläge für [https://sar.informatik.hu-berlin.de/teaching/2015-w/2015w_ITSecurityWorkshop/ IT-Security Workshop] 28. September bis 9. Oktober [https://sar.informatik.hu-berlin.de/teaching/2015-w/2015w_ITSecurityWorkshop/ 2015]=
=Themenvorschläge für [https://sar.informatik.hu-berlin.de/teaching/2015-w/2015w_ITSecurityWorkshop/ IT-Security Workshop] 28. September bis 9. Oktober [https://sar.informatik.hu-berlin.de/teaching/2015-w/2015w_ITSecurityWorkshop/ 2015]=


==BSI TR-03108 Sicherer E-Mail-Transport==
==BSI TR-03108 Sicherer E-Mail-Transport==
(Arthur)
Die Technische Richtlinie "Sicherer E-Mail-Transport" (BSI TR-03108) definiert konkrete Anforderungen an einen E-Mail-Diensteanbieter (EMDA). Ziel der Technischen Richtlinie ist die Erhöhung der Vergleichbarkeit und Verbreitung sicherer E-Mail-Kommunikation. Ziel bei diesem Thema ist es zu schauen, welche Schutzmaßnahmen für unseren Informatik-Mail-Server umgesetzt werden können. Hierbei geht es vor allem um technische Maßnahmen zur Absicherung eines authentischen und vertraulichen E-Mail-Transport.

Die Technische Richtlinie "Sicherer E-Mail-Transport" (BSI TR-03108) definiert konkrete Anforderungen an einen E-Mail-Diensteanbieter (EMDA). Ziel der Technischen Richtlinie ist die Erhöhung der Vergleichbarkeit und Verbreitung sicherer E-Mail-Kommunikation. Ziel bei diesem Thema ist es zu schauen, welche Schutzmaßnahmen für unseren Informatik-Mail-Server umgesetzt werden können. Hierbei geht es vor allem um technische Maßnahmen zur Absicherung eines authentischen und vertraulichen E-Mail-Transports.


Die im RFC 6698 beschriebene "DNS-Based Authentication of Named Entities (DANE)" scheint ein gutes Mittel zu sein, um jenseits von bestehenden PKI-Mechanismen eine starke Authentisierung eines Servers und spätere Absicherung der Verbindung über SSL/TLS ausgehend von dessen DNS-Namen zu erreichen. Versuchen Sie dieses Konzept für unseren Institutsmailserver umzusetzen. Bezüglich DANE gibt es bereits Vorarbeiten aus dem letzten Jahr [[DANE für unseren Mail-Server]].
Die im RFC 6698 beschriebene "DNS-Based Authentication of Named Entities (DANE)" scheint ein gutes Mittel zu sein, um jenseits von bestehenden PKI-Mechanismen eine starke Authentisierung eines Servers und spätere Absicherung der Verbindung über SSL/TLS ausgehend von dessen DNS-Namen zu erreichen. Versuchen Sie dieses Konzept für unseren Institutsmailserver umzusetzen. Bezüglich DANE gibt es bereits Vorarbeiten aus dem letzten Jahr [[DANE für unseren Mail-Server]].
Line 16: Line 52:
Mentor: [https://sar.informatik.hu-berlin.de/people/jan-peter_bell.htm Jan-Peter Bell], [https://sar.informatik.hu-berlin.de/people/wolf_mueller.htm Wolf Müller]
Mentor: [https://sar.informatik.hu-berlin.de/people/jan-peter_bell.htm Jan-Peter Bell], [https://sar.informatik.hu-berlin.de/people/wolf_mueller.htm Wolf Müller]


==Email-Push-Notifikation==
==[[Email-Push-Notifikation]]==
(Andy, Immanuel)

Zunehmend wird Email auch von unterwegs auf mobilen Geräten gelesen. Dabei ist es sicherlich interessant, wie ein Smartphone mitbekommt, dass es für seinen Besitzer eine oder mehrere neue Emails gibt. Die naive Lösung ist das über einen "pull"-Zugriff zu lösen. Das Smartphone würde also in regelmäßigen Abständen sich über SSL/TLS bei unserem Institutsserver mit dem Nutzeraccount einloggen und schauen, ob es für den Nutzer neue Email gibt.
Zunehmend wird Email auch von unterwegs auf mobilen Geräten gelesen. Dabei ist es sicherlich interessant, wie ein Smartphone mitbekommt, dass es für seinen Besitzer eine oder mehrere neue Emails gibt. Die naive Lösung ist das über einen "pull"-Zugriff zu lösen. Das Smartphone würde also in regelmäßigen Abständen sich über SSL/TLS bei unserem Institutsserver mit dem Nutzeraccount einloggen und schauen, ob es für den Nutzer neue Email gibt.
Möchte ein Nutzer schnell erfahren, dass neue Email da sind, wir das Verfahren recht schnell aufwendig und nimmt die Batterie recht in Anspruch.
Möchte ein Nutzer schnell erfahren, dass neue Email da sind, wir das Verfahren recht schnell aufwendig und nimmt die Batterie recht in Anspruch.
Etwas moderner ist sicherlich die Verwendung von imap-idle. Jedoch auch hier muss die Mail-App auf dem Telefon laufen und die TCP-Verbindung offen halten. Allerdings können mehrfache SSL/TLS-Handshakes vermieden werden. Schöner wäre es, wenn der Mailserver die Benachrichtigung via push-Nachricht über ein Gateway (Apple|Google) dem Betriebssystem des Smartphones mitteilt, dass neue Email da ist, also den für das jeweilige Mobile-OS gedachten Standardweg nutzen.
Etwas moderner ist sicherlich die Verwendung von imap-idle. Jedoch muss auch hier die Mail-App auf dem Telefon laufen und die TCP-Verbindung offen halten. Allerdings können mehrfache SSL/TLS-Handshakes vermieden werden. Schöner wäre es, wenn der Mailserver die Benachrichtigung via push-Nachricht über ein Gateway (Apple|Google) dem Betriebssystem des Smartphones mitteilt, dass neue Email da ist, also den für das jeweilige Mobile-OS gedachten Standardweg nutzt.

Wäre imap-notify eine Alternative?


Untersuchen sie die Möglichkeiten für die Umsetzung mit IMAP (dovecot) für iOS oder ggf. auch Android.
Untersuchen sie die Möglichkeiten für die Umsetzung mit IMAP (dovecot) für iOS oder ggf. auch Android.
Line 26: Line 66:
* [https://github.com/st3fan/dovecot-xaps-daemon xaps-daemon]
* [https://github.com/st3fan/dovecot-xaps-daemon xaps-daemon]
* [http://www.dovecot.org/ dovecot]
* [http://www.dovecot.org/ dovecot]
* Pushbullet


Anleitung:
* [https://sarwiki.informatik.hu-berlin.de/PushNotification]


Mentor: [https://sar.informatik.hu-berlin.de/people/jan-peter_bell.htm Jan-Peter Bell], [https://sar.informatik.hu-berlin.de/people/wolf_mueller.htm Wolf Müller]
Mentor: [https://sar.informatik.hu-berlin.de/people/jan-peter_bell.htm Jan-Peter Bell], [https://sar.informatik.hu-berlin.de/people/wolf_mueller.htm Wolf Müller]


==Mirage OS==
MirageOS ist eine Bibliothek, mit welcher Unikernels für sichere, hochleistungsfähige Anwendungen für viele von Cloud-Computing und mobile Plattformen gebaut werden können. Code kann auf einem normalen Betriebssystem wie Linux oder MacOS X entwickelt werden, und dann in einen komplett eigenständigen, speziellen Unikernel, der unter dem Xen-Hypervisor läuft, kompiliert werden. Die zur Erstellung von monolithischen Anwendungen verwendete Spache ist OCaml. Die reduzierung der Funktionalität durch die Verwendung eines speziellen Unikernels sollte zumindest eine reduzierte Angriffsfläche bieten

Versuchen sie als Beispiel für eine monolithische Applikation einen Webserver auf Xen-Laufzeitumgebung laufen zu lassen und untersuchen sie, welchen Funktionalität (insbesondere Chipersuites und SSL/TLS-Versionen) er bietet.

* [https://mirage.io/wiki/overview-of-mirage Mirage OS Overview]
* [https://ocaml.org/ OCaml]
* [https://opam.ocaml.org/packages/ocsigenserver/ocsigenserver.2.6/ ocsigenserver "A full-featured and extensible Web server"]

Mentor: [mailto:Frank.Morgner@BDr.de?subject=Mirage-OS%20%40%20IT-Security%20Workshop%202015 Frank Morgner, Bundesdruckerei], [https://sar.informatik.hu-berlin.de/people/wolf_mueller.htm Wolf Müller]

==[[Smart Home (KNX)]]==
(Son, Leo, Lijuan)


==Smart Home==
Immer mehr Geräte in unserem Zuhause oder in der Umgebung sind vernetzt und interagieren miteinander. Das bietet erhöhten Komfort, aber öffnet auch neue Angriffsvektoren. Wer ist berechtigt, auf ein Geräte im Heimnetzwerk zuzugreifen, sind Meldungen oder Befehle authentisch, wo endet das Netzwerk, was ist bei der Verwendung von externen Komponenten zu beachten. Exemplarisch wollen wir hier EIB oder KNX-Haustechnik betrachten, die wir in unserem Labor zur Verfügung haben.
Immer mehr Geräte in unserem Zuhause oder in der Umgebung sind vernetzt und interagieren miteinander. Das bietet erhöhten Komfort, aber öffnet auch neue Angriffsvektoren. Wer ist berechtigt, auf ein Geräte im Heimnetzwerk zuzugreifen, sind Meldungen oder Befehle authentisch, wo endet das Netzwerk, was ist bei der Verwendung von externen Komponenten zu beachten. Exemplarisch wollen wir hier EIB oder KNX-Haustechnik betrachten, die wir in unserem Labor zur Verfügung haben.
===Web-Interface===
===Web-Interface===
Line 47: Line 102:
Mentor: [https://sar.informatik.hu-berlin.de/people/wolf_mueller.htm Wolf Müller]
Mentor: [https://sar.informatik.hu-berlin.de/people/wolf_mueller.htm Wolf Müller]


==U2F (reloaded)==
Im letzen Jahr haben wir uns bereits mit der 2-Faktorauthentisierung gemäß [[U2F FIDO]] beschäftigt. Diese ist aus unserer Sicht eine sehr interessante Authentisierungstechnik, die ein hohes Maß an Anonymität, Sicherheit und Komfort miteinander verbinden kann. Der ursprüngliche Fokus von U2F lag in der Authentisierung gegenüber Webdiensten. Aber natürlich ist es auch denkbar U2F-Token zur Authentisierung in anderen Kontexten (PAM, SSH, ...) zu nutzen.
Versuchen Sie einen Überblick zu gewinnen, für welche Protokolle oder Szenarien U2F genutzt werden können sollte und versuchen sie dies auch als "proof of concept" auch auszuprobieren.

Links:
* [https://github.com/Yubico/pam-u2f pam-u2f]
* [https://github.com/bluecmd/openssh-u2f openssh-u2f]

Mentor: [https://sar.informatik.hu-berlin.de/people/wolf_mueller.htm Wolf Müller]

==Sicherheit von Elliptischen Kurven==
RSA-Schlüssel werden immer länger, elliptische Kurven könnten eine effektive Alternative für die am häufigsten verwendete asymmetrische Kryptografie werden.
Aber gibt es da Probleme?

Links:
* [http://web-in-security.blogspot.ca/2015/09/practical-invalid-curve-attacks.html Startpunkt]

Mentor: [https://sar.informatik.hu-berlin.de/people/wolf_mueller.htm Wolf Müller]


==Absicherung NFS==
==Absicherung NFS==
Bei NFS-Freigaben sind hohe Anforderungen an die Integrität des NFS-Clienten gestellt, da allein dieser über die Einhaltung der im exportierten Dateisystem gesetzten Rechte entscheidet. Daher ist es es essentiell, dass sich bei dem mountenden Clienten wirklich um den beabsichtigten legitimen Rechner handelt. Der Normalfall ist eine simple Überprüfung der IP-Addresse, die in der /etc/exports angegeben ist.
Bei NFS-Freigaben sind hohe Anforderungen an die Integrität des NFS-Clienten gestellt, da allein dieser über die Einhaltung der im exportierten Dateisystem gesetzten Rechte entscheidet. Daher ist es es essenziell, dass sich bei dem mountenden Clienten wirklich um den beabsichtigten legitimen Rechner handelt. Der Normalfall ist eine simple Überprüfung der IP-Addresse, die in der /etc/exports angegeben ist.


Untersuchen Sie, welche Verbesserungen hier möglich sind und welchen Aufwand, welche Komplexität die von Ihnen erarbeitenden Lösungen haben. Die verlässlichere Prüfung könnte auf verschiedenen Schichten angesetzt werden.
Untersuchen Sie, welche Verbesserungen hier möglich sind und welchen Aufwand, welche Komplexität die von Ihnen erarbeitenden Lösungen haben. Die verlässlichere Prüfung könnte auf verschiedenen Schichten angesetzt werden.
Line 61: Line 134:


==Smartcards@SUNray==
==Smartcards@SUNray==
Wie Sie ja vielleicht schon bemerkt haben, kann man gewisse Smartcards zur Identifizierung einer bestehenden Session auf einem SUNray nutzen und diese dann später wieder an einem anderen Terminal (oder auch dem gleichen) auf den Schirm holen (keine Sorge, Nutzername/Passwort werden noch zum Login benötigt). Dies funktioniert mit gewissen Kartentypen (Siehe condor:/etc/opt/SUNWut/smartcard) . Versuchen Sie zusätzliche Konfigurationsfiles zu schreiben, die in Deutschland verbreitete kontaktbehaftete Smartkarten (eGK, EC-Card) zu diesem Zweck nutzen.
Wie Sie ja vielleicht schon bemerkt haben, kann man gewisse Smartcards zur Identifizierung einer bestehenden Session auf einem SUNray nutzen und diese dann später wieder an einem anderen Terminal (oder auch dem gleichen) auf den Schirm holen (keine Sorge, Nutzername/Passwort werden noch zum Login benötigt). Dies funktioniert mit gewissen Kartentypen (Siehe condor:/etc/opt/SUNWut/smartcard). Versuchen Sie zusätzliche Konfigurationsfiles zu schreiben, die in Deutschland verbreitete kontaktbehaftete Smartcards (eGK, EC-Card) zu diesem Zweck nutzen.


Mentor: [https://sar.informatik.hu-berlin.de/people/jan-peter_bell.htm Jan-Peter Bell], [https://sar.informatik.hu-berlin.de/people/wolf_mueller.htm Wolf Müller]
Mentor: [https://sar.informatik.hu-berlin.de/people/jan-peter_bell.htm Jan-Peter Bell], [https://sar.informatik.hu-berlin.de/people/wolf_mueller.htm Wolf Müller]




==Selbstauskunft "in-the-middle"==
==[[Selbstauskunft "in-the-middle"]]==
Die Ergebnisse der Bearbeitung finden sich hier: [[Selbstauskunft "in-the-middle"]]
Nach der reinen Lehre über die Nutzung des neuen Personalausweises muss jeder (Dienstanbieter) der Datengruppen bzw. Funktionen aus dem nPA mit Hilfe der eID-Funktion nutzen will, ein gültiges Berechtigungszertifikat von der [http://www.bva.bund.de/cln_351/DE/Aufgaben/Abt__III/nPA/Vergabestelle/node.html?__nnn=true Vergabestelle] vorweisen und einen eID-Server betreiben (oder den entsprechenden eID-Service anmieten). Das ist sicher etwas aufwändig. Geht es nicht etwas einfacher? Wenn man sich an der Lösung Sofortüberweisung orientiert, so könnte man auf die Idee kommen, einem Nutzer mittels "man-in-the-middle" quasi dabei über die Schulter zu schauen, wie er eine Onlineauthentisierung gegenüber einem Dienstanbieter mit Berechtigungszertifikat durchführt.
(Erik)

Nach der reinen Lehre über die Nutzung des neuen Personalausweises muss jeder (Dienstanbieter) der Datengruppen bzw. Funktionen aus dem nPA mit Hilfe der eID-Funktion nutzen will, ein gültiges Berechtigungszertifikat von der [http://www.bva.bund.de/cln_351/DE/Aufgaben/Abt__III/nPA/Vergabestelle/node.html?__nnn=true Vergabestelle] vorweisen und einen eID-Server betreiben (oder den entsprechenden eID-Service anmieten). Das ist sicher etwas aufwendig. Geht es nicht etwas einfacher? Wenn man sich an der Lösung Sofortüberweisung orientiert, so könnte man auf die Idee kommen, einem Nutzer mittels "man-in-the-middle" quasi dabei über die Schulter zu schauen, wie er eine Onlineauthentisierung gegenüber einem Dienstanbieter mit Berechtigungszertifikat durchführt.
Schreiben Sie eine App, die eine Piggyback-Authentisierung via den vom Bürgerportal der Stadt Würzburg angebotenen Dienst zur Selbstauskunft nutzt.
Schreiben Sie eine App, die eine Piggyback-Authentisierung via den vom Bürgerportal der Stadt Würzburg angebotenen Dienst zur Selbstauskunft nutzt.
Das Lesegerät für den nPA soll über Bluetooth mit dem nPA verbunden werden und der Leser soll eine eigenen PIN-Eingabe und Anzeige der Transaktion ermöglichen.
Das Lesegerät für den nPA soll über Bluetooth mit dem nPA verbunden werden und der Leser soll eine eigenen PIN-Eingabe und Anzeige der Transaktion ermöglichen.
Line 74: Line 150:
* [https://www.buergerserviceportal.de/bayern/wuerzburg/bspx_selbstauskunft Selbstauskunft]
* [https://www.buergerserviceportal.de/bayern/wuerzburg/bspx_selbstauskunft Selbstauskunft]
* [https://www.sofort.com/ger-DE/sicherheit/ Sofortüberweisung]
* [https://www.sofort.com/ger-DE/sicherheit/ Sofortüberweisung]



==RSA-PSK Unterstützung für mod_ssl==
==RSA-PSK Unterstützung für mod_ssl==
Line 83: Line 158:




== [[Fuzzer]] ==
== Pseudonyme Signaturen mit dem nPA==
(Tobias, Mirko, Daniel)
In dem Paper "Domain-Specific Pseudonymous Signatures for the German Identity Card" wird ein Vorschlag gemacht, wie pseudonyme Signaturen dem (zukünftigen nPA) gemacht werden können. Das ermöglicht Signaturen mit dem nPA die nicht als QES angesehen werden, sondern eher zur Bestätigung oder Auslösung von Transaktionen genutzt werden können. Lesen und verstehen Sie die Ideen. Implementieren Sie dieses Protokoll, indealer Weise in OpenPACE.

Mit Fuzzing wurden in letzter Zeit viele Schwachstellen entdeckt und dienten als Startpunkt zum entwickeln von Exploits. Doch wie funktioniert dies Technik genau und was in der Praxis zum Einsatz nötig?


Links:
Links:
* [http://lcamtuf.coredump.cx/afl/ afl fuzzer]
* [http://link.springer.com/chapter/10.1007%2F978-3-642-33383-5_7 Domain-Specific Pseudonymous Signatures for the German Identity Card]
* [https://github.com/dvyukov/go-fuzz/ Go-Variante]


Mentor:
Mentor:



==Sichere Wiki-Konfiguration / Migration ==
==Sichere Wiki-Konfiguration / Migration ==
Line 107: Line 184:
* Secure Boot in Fedora: http://mjg59.dreamwidth.org/12368.html (allgemein gibt es in dem Blog viele Informationen zu Secure Boot)
* Secure Boot in Fedora: http://mjg59.dreamwidth.org/12368.html (allgemein gibt es in dem Blog viele Informationen zu Secure Boot)


Alternativ/zusätzlich sind auch (U)EFI rootkits dieses Jahr ein heißes Thema:
Alternativ/zusätzlich sind auch (U)EFI Rootkits dieses Jahr ein heißes Thema:


* https://program.sigint.ccc.de/fahrplan/system/attachments/24/original/efi_rootkits.pdf
* https://program.sigint.ccc.de/fahrplan/system/attachments/24/original/efi_rootkits.pdf
Line 118: Line 195:


* https://www.aerofs.com/
* https://www.aerofs.com/


==Pentesting==
(Hagen, Dominik, Paul, Carsten)

zur Wiki-Seite: [[Pentesting2015]]

OWASP-Projekt, Strategien, Installation, Ideen ...

===Links===
*alte Projekte: http://blog.taddong.com/2011/10/hacking-vulnerable-web-applications.html
*VMs: https://www.owasp.org/index.php/OWASP_Vulnerable_Web_Applications_Directory_Project/Pages/VMs
*Applikationen: https://github.com/OWASP/OWASP-VWAD/blob/master/src/offline.tsv
*Lösungen für Eingeweihte: https://www2.informatik.hu-berlin.de/~wolfm/ssl/XSS/

==[[DANE stunnel]]==
(Oliver, Robert)

tbe

==TAME===
Berechigungen für Prozesse(gruppen) im Vergleich SE-Linux, app-amor

==Grenzen von cgroups, acls==

==Flexispy==

==TOR-Proxy für Desktop==
DNS?
DNSSec?

==Zertifikate==
Was steht drin, Fehler?
EFF als Quelle.
Policies.





Latest revision as of 12:17, 11 December 2015

Vorträge

Freitag 9.10. 2015, Rudower Chaussee 25, Haus 3, Raum 3'328

10:00-10:30 Selbstauskunft "in-the-middle" Erik

pdf

10:30-11:40 Pentesting Carsten, Hagen, Dominik, Paul

pdf pdf

11:40-12:30 Mittagspause
12:30-13:10 Fuzzer Mirko, Daniel, Tobias

pdf

13:10-14:00 Smart Home Thanh Son, Sylvio, Lijuan

pdf

14:00-14:20 Tee & Kaffee
14:20-14:50 Stunnel & DANE Robert, Oliver
14:50-15:20 Email-Push-Notifikation Immanuel, Andy

pdf

15:20-15:40 Sicherer Email-Transport Arthur

pdf

Pro Gruppe ist angedacht, (#Mitglieder + 1 ) * 10 Min (+ ggf. Demo) zwischen Redezeit und Diskussion und Umbaupause aufzuteilen.

Themenvorschläge für IT-Security Workshop 28. September bis 9. Oktober 2015

BSI TR-03108 Sicherer E-Mail-Transport

(Arthur)

Die Technische Richtlinie "Sicherer E-Mail-Transport" (BSI TR-03108) definiert konkrete Anforderungen an einen E-Mail-Diensteanbieter (EMDA). Ziel der Technischen Richtlinie ist die Erhöhung der Vergleichbarkeit und Verbreitung sicherer E-Mail-Kommunikation. Ziel bei diesem Thema ist es zu schauen, welche Schutzmaßnahmen für unseren Informatik-Mail-Server umgesetzt werden können. Hierbei geht es vor allem um technische Maßnahmen zur Absicherung eines authentischen und vertraulichen E-Mail-Transports.

Die im RFC 6698 beschriebene "DNS-Based Authentication of Named Entities (DANE)" scheint ein gutes Mittel zu sein, um jenseits von bestehenden PKI-Mechanismen eine starke Authentisierung eines Servers und spätere Absicherung der Verbindung über SSL/TLS ausgehend von dessen DNS-Namen zu erreichen. Versuchen Sie dieses Konzept für unseren Institutsmailserver umzusetzen. Bezüglich DANE gibt es bereits Vorarbeiten aus dem letzten Jahr DANE für unseren Mail-Server.

Hinsichtlich der umsetzbaren organisatorischen und physischen Sicherheitsmaßnahmen wird es sicherlich Unterschiede zu gewerblichen E-Mail-Dienste-Anbietern geben, jedoch ist es sicherlich interessant, was sich an technischen Schutzmechanismen am Institut umsetzen lässt oder schon so in Betrieb ist.

Links:

Mentor: Jan-Peter Bell, Wolf Müller

Email-Push-Notifikation

(Andy, Immanuel)

Zunehmend wird Email auch von unterwegs auf mobilen Geräten gelesen. Dabei ist es sicherlich interessant, wie ein Smartphone mitbekommt, dass es für seinen Besitzer eine oder mehrere neue Emails gibt. Die naive Lösung ist das über einen "pull"-Zugriff zu lösen. Das Smartphone würde also in regelmäßigen Abständen sich über SSL/TLS bei unserem Institutsserver mit dem Nutzeraccount einloggen und schauen, ob es für den Nutzer neue Email gibt. Möchte ein Nutzer schnell erfahren, dass neue Email da sind, wir das Verfahren recht schnell aufwendig und nimmt die Batterie recht in Anspruch. Etwas moderner ist sicherlich die Verwendung von imap-idle. Jedoch muss auch hier die Mail-App auf dem Telefon laufen und die TCP-Verbindung offen halten. Allerdings können mehrfache SSL/TLS-Handshakes vermieden werden. Schöner wäre es, wenn der Mailserver die Benachrichtigung via push-Nachricht über ein Gateway (Apple|Google) dem Betriebssystem des Smartphones mitteilt, dass neue Email da ist, also den für das jeweilige Mobile-OS gedachten Standardweg nutzt.

Wäre imap-notify eine Alternative?

Untersuchen sie die Möglichkeiten für die Umsetzung mit IMAP (dovecot) für iOS oder ggf. auch Android.

Links:

Anleitung:

Mentor: Jan-Peter Bell, Wolf Müller

Mirage OS

MirageOS ist eine Bibliothek, mit welcher Unikernels für sichere, hochleistungsfähige Anwendungen für viele von Cloud-Computing und mobile Plattformen gebaut werden können. Code kann auf einem normalen Betriebssystem wie Linux oder MacOS X entwickelt werden, und dann in einen komplett eigenständigen, speziellen Unikernel, der unter dem Xen-Hypervisor läuft, kompiliert werden. Die zur Erstellung von monolithischen Anwendungen verwendete Spache ist OCaml. Die reduzierung der Funktionalität durch die Verwendung eines speziellen Unikernels sollte zumindest eine reduzierte Angriffsfläche bieten

Versuchen sie als Beispiel für eine monolithische Applikation einen Webserver auf Xen-Laufzeitumgebung laufen zu lassen und untersuchen sie, welchen Funktionalität (insbesondere Chipersuites und SSL/TLS-Versionen) er bietet.

Mentor: Frank Morgner, Bundesdruckerei, Wolf Müller

Smart Home (KNX)

(Son, Leo, Lijuan)

Immer mehr Geräte in unserem Zuhause oder in der Umgebung sind vernetzt und interagieren miteinander. Das bietet erhöhten Komfort, aber öffnet auch neue Angriffsvektoren. Wer ist berechtigt, auf ein Geräte im Heimnetzwerk zuzugreifen, sind Meldungen oder Befehle authentisch, wo endet das Netzwerk, was ist bei der Verwendung von externen Komponenten zu beachten. Exemplarisch wollen wir hier EIB oder KNX-Haustechnik betrachten, die wir in unserem Labor zur Verfügung haben.

Web-Interface

Das Projekt OpenHAB stellt ein Webinterface und auch eine App für die Hausautomatisierung bereit. Versuchen Sie die Software auf einem energiesparenden System (Raspberry Pi 2 Model B ist bestellt) zum laufen zu bringen und untersuchen Sie die Sicherheitseigenschaften dieses Webservices. Was kann noch zur Absicherung getan werden?

KNX-IDS

Aus IP-Netzwerken sind Intrusion-Detection-Systeme bekannt. Versuchen Sie dieses Konzept auf KNX zu übertragen. In einer ersten Zeitphase könnte so "normales" Verhalten gelernt werden. (Welche KNX-Adressen sind vorgekommen, welche Art von Telegrammen sendet wer an wen, wieviele Telegramme werden typischerweise pro Zeitintervall geschickt). Nach der Lernphase schließt sich eine operative Phase an, in welcher das IDS Alarm schlagen sollte, wenn es ungewöhnliches Verhalten detektiert.

KNX-Firewall

Das IDS hat ja vorwiegend eine erkennende Funktionalität, gestattet aber nicht unmittelbar das Senden von Angriffstelegrammen. Denkbar wäre auch eine KNX-Firewall zu entwerfen. Diese könnte dann verschiedene Sicherheitsdomänen voneinander trennen. So könnte ein Angreifer an der externen Klingel nicht die Heizung steuern. Kann man Konzepte die von IP-Netzen bekannt sind auf KNX übertragen?

Links:

Mentor: Wolf Müller

U2F (reloaded)

Im letzen Jahr haben wir uns bereits mit der 2-Faktorauthentisierung gemäß U2F FIDO beschäftigt. Diese ist aus unserer Sicht eine sehr interessante Authentisierungstechnik, die ein hohes Maß an Anonymität, Sicherheit und Komfort miteinander verbinden kann. Der ursprüngliche Fokus von U2F lag in der Authentisierung gegenüber Webdiensten. Aber natürlich ist es auch denkbar U2F-Token zur Authentisierung in anderen Kontexten (PAM, SSH, ...) zu nutzen. Versuchen Sie einen Überblick zu gewinnen, für welche Protokolle oder Szenarien U2F genutzt werden können sollte und versuchen sie dies auch als "proof of concept" auch auszuprobieren.

Links:

Mentor: Wolf Müller

Sicherheit von Elliptischen Kurven

RSA-Schlüssel werden immer länger, elliptische Kurven könnten eine effektive Alternative für die am häufigsten verwendete asymmetrische Kryptografie werden. Aber gibt es da Probleme?

Links:

Mentor: Wolf Müller

Absicherung NFS

Bei NFS-Freigaben sind hohe Anforderungen an die Integrität des NFS-Clienten gestellt, da allein dieser über die Einhaltung der im exportierten Dateisystem gesetzten Rechte entscheidet. Daher ist es es essenziell, dass sich bei dem mountenden Clienten wirklich um den beabsichtigten legitimen Rechner handelt. Der Normalfall ist eine simple Überprüfung der IP-Addresse, die in der /etc/exports angegeben ist.

Untersuchen Sie, welche Verbesserungen hier möglich sind und welchen Aufwand, welche Komplexität die von Ihnen erarbeitenden Lösungen haben. Die verlässlichere Prüfung könnte auf verschiedenen Schichten angesetzt werden.

Links:

Mentor: Jan-Peter Bell


Smartcards@SUNray

Wie Sie ja vielleicht schon bemerkt haben, kann man gewisse Smartcards zur Identifizierung einer bestehenden Session auf einem SUNray nutzen und diese dann später wieder an einem anderen Terminal (oder auch dem gleichen) auf den Schirm holen (keine Sorge, Nutzername/Passwort werden noch zum Login benötigt). Dies funktioniert mit gewissen Kartentypen (Siehe condor:/etc/opt/SUNWut/smartcard). Versuchen Sie zusätzliche Konfigurationsfiles zu schreiben, die in Deutschland verbreitete kontaktbehaftete Smartcards (eGK, EC-Card) zu diesem Zweck nutzen.

Mentor: Jan-Peter Bell, Wolf Müller


Selbstauskunft "in-the-middle"

Die Ergebnisse der Bearbeitung finden sich hier: Selbstauskunft "in-the-middle" (Erik)

Nach der reinen Lehre über die Nutzung des neuen Personalausweises muss jeder (Dienstanbieter) der Datengruppen bzw. Funktionen aus dem nPA mit Hilfe der eID-Funktion nutzen will, ein gültiges Berechtigungszertifikat von der Vergabestelle vorweisen und einen eID-Server betreiben (oder den entsprechenden eID-Service anmieten). Das ist sicher etwas aufwendig. Geht es nicht etwas einfacher? Wenn man sich an der Lösung Sofortüberweisung orientiert, so könnte man auf die Idee kommen, einem Nutzer mittels "man-in-the-middle" quasi dabei über die Schulter zu schauen, wie er eine Onlineauthentisierung gegenüber einem Dienstanbieter mit Berechtigungszertifikat durchführt. Schreiben Sie eine App, die eine Piggyback-Authentisierung via den vom Bürgerportal der Stadt Würzburg angebotenen Dienst zur Selbstauskunft nutzt. Das Lesegerät für den nPA soll über Bluetooth mit dem nPA verbunden werden und der Leser soll eine eigenen PIN-Eingabe und Anzeige der Transaktion ermöglichen.

Links:

RSA-PSK Unterstützung für mod_ssl

Das Verschränken von kryptografisch mit SSL/TLS gesicherten Kanälen ist in vielen Webanwendungen wünschenswert. Bislang ist ein Handshake der einen "pre shared key" in Kombination mit RSA gemäß RFC 4279 bereitstellt, für openSSL nur als Patch (http://www.internet-sicherheit.de/service/tools/patches/) (auch für eine nicht ganz aktuelle Version) verfügbar. In dem Apachemodul mod_ssl ist diese Methode jedoch noch gar nicht vorgesehen. Hier wäre es sinnvoll, Ideen zu entwickeln, wie RSA-PSK hier Unterstützung finden kann.

Mentor:


Fuzzer

(Tobias, Mirko, Daniel)

Mit Fuzzing wurden in letzter Zeit viele Schwachstellen entdeckt und dienten als Startpunkt zum entwickeln von Exploits. Doch wie funktioniert dies Technik genau und was in der Praxis zum Einsatz nötig?

Links:

Mentor:

Sichere Wiki-Konfiguration / Migration

Ein Wiki ist seiner Natur nach ein offenes System, in welchem der "Mitmachgedanke" weit vorne steht. Leider gibt es dann doch häufig automatisierte Angriffe, die diese Eigenschaft ausnutzen. So fand sich auch in unserm Wiki viel SPAM.

Versuchen Sie eine Kopie unseres Wikis auf eine aktuelle Codebasis zu heben. Dokumentieren Sie Ihre einzelnen Schritte. Treffen Sie eine begründete Auswahl an Zusatzpaketen zur Integration von Formeln, Bildern, ... und versuchen Sie eine möglichst sichere Konfiguration zu erreichen. Ansatzpunkte könnten die Verwendung von Captchas, sowie Beschränkungen zum anlegen von Nutzeraccounts sein.

Mentor: Wolf Müller, Wolfgang Gandre


UEFI Secure Boot

Setzen sie eine virtuelle Maschine auf, welche UEFI Secure Boot verwendet.

Alternativ/zusätzlich sind auch (U)EFI Rootkits dieses Jahr ein heißes Thema:

Mentor:

AeroFS überwachen

Der "nicht-Cloud-Speicher" AeroFS speichert im Gegensatz zu Diensten wie Dropbox oder Wuala die Daten ausschließlich auf den eigenen Rechnern und synchronisiert zwischen diesen via LAN oder Internet verschlüsselt. Jedenfalls wird das behauptet. Man könnte sich anschauen, inwiefern es möglich ist, dieses Versprechen zu überprüfen.


Pentesting

(Hagen, Dominik, Paul, Carsten)

zur Wiki-Seite: Pentesting2015

OWASP-Projekt, Strategien, Installation, Ideen ...

Links

DANE stunnel

(Oliver, Robert)

tbe

TAME=

Berechigungen für Prozesse(gruppen) im Vergleich SE-Linux, app-amor

Grenzen von cgroups, acls

Flexispy

TOR-Proxy für Desktop

DNS? DNSSec?

Zertifikate

Was steht drin, Fehler? EFF als Quelle. Policies.


Weitere kreative Vorschläge sind willkommen!
Viel Erfolg!
Kontakt: Wolf Müller