W2017-ITS: Difference between revisions
m (→Vorträge) |
|||
(88 intermediate revisions by 9 users not shown) | |||
Line 1: | Line 1: | ||
=Vorträge= |
|||
=Themen für [https://sar.informatik.hu-berlin.de/teaching/2017-w/2017w_ITSecurityWorkshop/ IT-Security Workshop] 2. bis 13. Oktober [https://sar.informatik.hu-berlin.de/teaching/2017-w/2017w_ITSecurityWorkshop/ 2017]= |
|||
'''Freitag 13.10. 2017,''' Rudower Chaussee 25, Haus 3, '''Raum 3'101''' |
|||
==USB Rubber Ducky== |
|||
Was kann ein gefundener USB-Stick alles sein? Nutzen Sie ein programmierbares Gerät mit USB-Stick Formfaktor um über Angriffsszenarien nachzudenken. Kann man ein "intelligentes" Angriffsscript ersinnen, das in Abhängigkeit von dem Gerät, an welches es angesteckt wird sich angepasst verhält? |
|||
{| class="wikitable" style="text-align: left; background: #cfc;" |
|||
|- style="background: #eef;" |
|||
| 10:00-10:30 || '''[[Privacy@Home]]''' || Daniel R. || |
|||
[https://sar.informatik.hu-berlin.de/teaching/2017-w/2017w_ITSecurityWorkshop/talks/Privacy_Home.pdf pdf] |
|||
|- style="background: #ddf;" |
|||
| 10:30-11:00 || '''[[Post Quantum Crypto]]''' || George|| |
|||
[https://sar.informatik.hu-berlin.de/teaching/2017-w/2017w_ITSecurityWorkshop/talks/PQC.pdf pdf] |
|||
|- style="background: #efe;" |
|||
| 11:00-11:15 || '''Pause: Snack & Schnack''' || || |
|||
|- style="background: #ddf;" |
|||
| 11:15-11:45 || '''[[U2F / WebAuthn]]''' || Stefan|| |
|||
[https://sar.informatik.hu-berlin.de/teaching/2017-w/2017w_ITSecurityWorkshop/talks/WebAuthn.pdf pdf] |
|||
|- style="background: #eef;" |
|||
| 11:45-12:15 || '''[[Sichere Wiki-Migration]]''' ||Stefan L., Sebastian || |
|||
|- style="background: #dfd;" |
|||
| 12:15-13:00 || '''Pause: Mittag''' || || |
|||
|- style="background: #eef;" |
|||
| 13:00-13:30 || '''[[USB: Rubber Ducky]]''' || André, Philipp || |
|||
[https://sar.informatik.hu-berlin.de/teaching/2017-w/2017w_ITSecurityWorkshop/talks/RubberDucky.pdf pdf] |
|||
|- style="background: #ddf;" |
|||
| 13:30-14:15 || '''[[USB: Dr. Jekyll und Mr. Hyde]]''' || Daniel, Janina, Robert || |
|||
|- style="background: #efe;" |
|||
| 14:15-14:30 || '''Pause: Snack & Schnack''' || || |
|||
|- style="background: #ddf;" |
|||
| 14:30-15:15 || '''[[Hacking Printers]]''' || Thorben, Fritz, Leon || |
|||
|- style="background: #eef;" |
|||
| 15:15-15:45 || '''[[IPoverDNS]]''' || Leonard, Laura|| |
|||
|- style="background: #ddf;" |
|||
| 15:45-16:00 || '''Zusammenfassung & Dank''' || [https://sar.informatik.hu-berlin.de/people/wolf_mueller.htm Wolf Müller] || |
|||
|} |
|||
Pro Gruppe ist angedacht: Mindestens 30 Min und mindestens (#Mitglieder) * 15 Min (+ ggf. Demo) zwischen Redezeit und Diskussion und Umbaupause aufzuteilen. |
|||
=Themen für [https://sar.informatik.hu-berlin.de/teaching/2017-w/2017w_ITSecurityWorkshop/ IT-Security Workshop] 2. bis 13. Oktober [https://sar.informatik.hu-berlin.de/teaching/2017-w/2017w_ITSecurityWorkshop/#plan 2017]= |
|||
==<span style="background:greenyellow">[[USB: Rubber Ducky]]<span>== |
|||
[André, Philipp] |
|||
Was kann ein gefundener USB-Stick alles sein? Nutzen Sie ein programmierbares Gerät mit USB-Stick Formfaktor, um über Angriffsszenarien nachzudenken. Kann man ein "intelligentes" Angriffsscript ersinnen, das in Abhängigkeit von dem Gerät, an welches es angesteckt wird, sich angepasst verhält? |
|||
Links: |
Links: |
||
Line 10: | Line 59: | ||
Mentor: [https://sar.informatik.hu-berlin.de/people/wolf_mueller.htm Wolf Müller] |
Mentor: [https://sar.informatik.hu-berlin.de/people/wolf_mueller.htm Wolf Müller] |
||
==<span style="background:greenyellow">[[USB: Dr. Jekyll und Mr. Hyde]]</span>== |
|||
[Daniel, Janina, Robert] |
|||
Aus sicht des Betriebssystems ist ein USB-Stick ein relativ einfaches Block-orientiertes Gerät, auf das man Datenblöcke lesen und schreiben kann. Im Allgemeinen geht das OS auch davon aus, dass wenn es selbst Daten auf den Stick schreibt und später wieder davon liest und der Stick in der Zwischenzeit nicht getrennt wurde, wieder identische Daten geliefert werden. |
|||
==USB-Stick: Dr. Jekyll und Mr. Hyde== |
|||
Aus sicht des Betriebssystems ist ein USB-Stick ein relativ einfaches blockorientiertes Gerät, auf das man Datenblöcke lesen und schreiben kann. Im allgemeinen geht das OS auch davon aus, dass wenn es selbst Daten auf den Stick schreibt und später wieder davon liest und der Stick in der Zwischenzeit nicht getrennt wurde, wieder identische Daten geliefert werden. |
|||
Wenn aber ein Stick nur emuliert wird können sich Dateien und Metainformationen aber quasi spontan ändern. Es wäre interessant, solch ein System zu entwerfen und zu schauen, ob man damit das Betriebssystem oder auch einen Virenscanner aus dem Tritt bringen kann. |
Wenn aber ein Stick nur emuliert wird, können sich Dateien und Metainformationen aber quasi spontan ändern. Es wäre interessant, solch ein System zu entwerfen und zu schauen, ob man damit das Betriebssystem oder auch einen Virenscanner aus dem Tritt bringen kann. |
||
Zur Emulation eines USB-mass-storage-Gerätes könnte Linux in Verbindung mit GadgetFS ein |
Zur Emulation eines USB-mass-storage-Gerätes könnte Linux in Verbindung mit GadgetFS ein Startpunkt sein. Auch ein Rasberry-Pi ist denkbar. |
||
Links: |
Links: |
||
* [http://www.linux-usb.org/gadget/ GadgedFS] |
* [http://www.linux-usb.org/gadget/ GadgedFS] |
||
* [https://github.com/ueno/libusb-gadget Example Gadget] |
* [https://github.com/ueno/libusb-gadget Example Gadget] |
||
* [https://heise.de/-3846038 Heise:Illusion Gap] |
|||
Mentor: [https://sar.informatik.hu-berlin.de/people/wolf_mueller.htm Wolf Müller] |
Mentor: [https://sar.informatik.hu-berlin.de/people/wolf_mueller.htm Wolf Müller] |
||
==DNSSEC@Informatik== |
|||
Eigentlich wird schon lange über die sichere Variante von DNS gesprochen. Dennoch ist die HU und auch unser Institut noch nicht über DNS-SEC von außen validierbar. Für die Domain hu-berlin.de hat das CMS schon Grundlagen geschaffen, aber die Einbindung nach oben ist noch nicht erfolgt. |
|||
Erarbeiten Sie ein Konzept und versuchen Sie, exemplarisch einige Schritte umzusetzen. Welche Software wird benötigt, um eine Zone zu signieren. Wie können Schlüssel sicher aufbewahrt werden. Was ist mit dynamischen Einträgen? |
|||
==Sichere SSL/TLS-Konfiguration im Allgemeinen== |
|||
Nach den Enthüllungen von Edward Snowden haben wir verstanden, warum authentische und vertrauliche Kommunikation wichtig ist. Naiv betrachtet, könnte man denken, es ist ausreichend "s"-Protokolle wie https, imaps, pops ... zu verwenden und alles ist gut. Es ist in Praxis jedoch wesentlich komplexer eine unter dem gegenwärtigen Angreifermodell hinreichend starke SSL/TLS-Verbindung zu erzwingen. |
|||
Welche Vorteile bietet DNSSEC bei erfolgreicher Validierung? Mit DANE können auch weitere Felder über DNSSEC ausgeliefert werden. |
|||
In der Vergangenheit wurden zahlreiche teils sehr originelle Angriffe auf SSL/TLS entwickelt, die Seitenkanäle oder auch Probleme im Protokollentwurf oder der Implementierung adressieren. Weiterhin ist es wünschenswert, "forward secureness" zu nutzen, da auch nicht für jeden Server der private Schlüssel immer privat bleiben muss. |
|||
Denkbar wäre zum Beispiel auch SMTP mithilfe von DANE stärker zu machen oder auch SSH-Fingeprints von Informatikrechnern automatisch ausliefern zu lassen und so Trust-on-First-Use oder das manuelle Vergleichen mit unserer Liste zu überwinden. |
|||
Versuchen Sie für einen aktuellen SSL/TLS-Server (z.B. Apache oder NGINX) eine möglichst sichere Konfiguration zu erstellen und behalten Sie dabei auch die Performance im Auge. Könnte die Nutzung von ECC hier weiter helfen? |
|||
Wenn noch Zeit ist stellen Sie ggf. "handshake"-Zeiten gegenüber. |
|||
Links: |
Links: |
||
* [http://heise.de/-2619026 Heise: DNSSEC&DANE] |
|||
* [https://en.wikipedia.org/wiki/Transport_Layer_Security#Attacks_against_TLS.2FSSL Angriffe auf SSL/TLS] |
|||
* [https://www.golem.de/news/zertifikate-dane-und-dnssec-koennten-mehr-sicherheit-bringen-1405-106436-2.html Golem] |
|||
* [https://www.ssllabs.com/ssltest/ (Web-)Server Test] |
|||
* [https://heise.de/-3845855 Heise: aktuell] |
|||
* [https://www.owasp.org/index.php/Testing_for_Weak_SSL/TLS_Ciphers,_Insufficient_Transport_Layer_Protection_(OTG-CRYPST-001)#Testing_for_Weak_SSL.2FTLS_Ciphers.2FProtocols.2FKeys_vulnerabilities Generic SSL/TLS Server Testing] |
|||
Mentoren: [https://www.informatik.hu-berlin.de/de/forschung/gebiete/sar/people/sombrutz Robert Sombrutzki], [https://sar.informatik.hu-berlin.de/people/wolf_mueller.htm Wolf Müller] |
|||
==Sicheres HTTPS für Legacy-Server== |
|||
Während bei aktueller Software die Chancen recht gut sind, dass noch starke Ciphersuites zur Verfügung stehen, ist es mit Altanwendungen ungleich schwerer, diese zu ertüchtigen. Versuchen Si,e beispielsweise für einen Microsoft IIS 6.0 nach außen eine starke Verschlüsselung nachzurüsten. |
|||
Weiterhin könnten in den Reverse-Proxy-Varianten mit Apache / Nginx auch weitere aktuelle Sicherheitsfeatures scharfgeschaltet werden, wie zum Beispiel Einstellungen zur Content Security Policy (CSP). Während in Altbeständen die Chancen gut stehen, dass Bilder als separate Ressourcen (Dateien) eingebunden sind, sind häufig Style-Elemente und JavaScript-Zeilen inline in der Seite eingebettet, was dann Probleme macht. Entwerfen Sie Software, die hier eine möglichst komfortable Auslagerung in externe Ressourcen vornimmt. |
|||
==Sicheres SSL/TLS für Legacy== |
|||
Ein Startpunkt könnte beispielsweise ''Tidy'' sein. |
|||
Während bei aktueller Software die Chancen recht gut sind, dass noch starke Ciphersuites zur Verfügung stehen, ist es mit Altanwendungen ungleich schwerer, diese zu ertüchtigen. Versuchen Sie beispielsweise für einen Microsoft IIS 6.0 nach außen eine starke Verschlüsselung nachzurüsten. |
|||
Links: |
Links: |
||
Line 47: | Line 99: | ||
* [https://github.com/openssl/openssl/tree/OpenSSL_1_1_0-stable OpenSSL 1.1.0] |
* [https://github.com/openssl/openssl/tree/OpenSSL_1_1_0-stable OpenSSL 1.1.0] |
||
* [https://httpd.apache.org/docs/2.4/howto/reverse_proxy.html Apache Reverse Proxy] |
* [https://httpd.apache.org/docs/2.4/howto/reverse_proxy.html Apache Reverse Proxy] |
||
* [https://content-security-policy.com/ CSP] |
|||
* [http://www.html-tidy.org/ Tidy] |
|||
Mentor: [https://sar.informatik.hu-berlin.de/people/wolf_mueller.htm Wolf Müller] |
Mentor: [https://sar.informatik.hu-berlin.de/people/wolf_mueller.htm Wolf Müller] |
||
==Sicherer und schneller SSL/TLS-Handshake== |
|||
Nach den Enthüllungen von Edward Snowden haben wir verstanden, warum authentische und vertrauliche Kommunikation wichtig ist. Naiv betrachtet, könnte man denken, es ist ausreichend "s"-Protokolle wie https, imaps, pops ... zu verwenden und alles ist gut. Es ist in Praxis jedoch wesentlich komplexer eine unter dem gegenwärtigen Angreifermodell hinreichend starke SSL/TLS-Verbindung zu erzwingen. |
|||
In der Vergangenheit wurden zahlreiche teils sehr originelle Angriffe auf SSL/TLS entwickelt, die Seitenkanäle oder auch Probleme im Protokollentwurf oder der Implementierung adressieren. Weiterhin ist es wünschenswert, "forward secureness" zu nutzen, da auch nicht für jeden Server der private Schlüssel immer privat bleiben muss. |
|||
Versuchen Sie für einen aktuellen SSL/TLS-Server (z.B. Apache oder NGINX) eine möglichst sichere Konfiguration zu erstellen. Eine gute Orientierung bietet die Technische Richtlinie "BSI TR-02102-2" Behalten Sie dabei auch die Performance für den Handshake im Auge: |
|||
* Könnte die Nutzung von ECC hier weiter helfen? |
|||
* DH oder ECDH? |
|||
* Was muss ein sorgsamer Client alles prüfen, wie kann ihn der Server dabei unterstützen? |
|||
** Kann man die gesamte Zertifikatskette auch ECC-signiert bekommen? |
|||
** Was ist OCSP-stampling |
|||
** Was bringen die einzelnen Maßnahmen? |
|||
Links: |
|||
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102-2.pdf?__blob=publicationFile&v=4 BSI TR-02102-2] |
|||
* [https://en.wikipedia.org/wiki/Transport_Layer_Security#Attacks_against_TLS.2FSSL Angriffe auf SSL/TLS] |
|||
* [https://www.ssllabs.com/ssltest/ (Web-)Server Test] |
|||
* [https://www.digitalocean.com/community/tutorials/how-to-configure-ocsp-stapling-on-apache-and-nginx HOWTO OCSP stampling] |
|||
Mentor: [https://sar.informatik.hu-berlin.de/people/wolf_mueller.htm Wolf Müller] |
|||
==Die Zukunft TLS |
==Die Zukunft "TLS auf Speed" == |
||
Wo geht die Reise in der Standardisierung hin? Weniger Optionen, schnellerer Handshake, schneller Transport. |
Wo geht die Reise in der Standardisierung hin? Weniger Optionen, schnellerer Handshake, schneller Transport. |
||
Gibt es bereits erste Implementierungen des neuen Standards? Was gibt OpenSSL 1.1.* her. |
Gibt es bereits erste Implementierungen des neuen Standards? Was gibt OpenSSL 1.1.* her. |
||
Welche Optimierungen können bei der eigentlichen vertraulichen und authentischen Übertragung helfen? |
|||
* Ciphersuites auch aus TLS 1.3 ChaCah |
|||
* Hardwareunterstützung von AES |
|||
* Einsparung von Kontextwechseln SSL/TLS-Kernel-Support |
|||
* Integration mit OSI-Layer 7 HTTP/2 |
|||
Links: |
Links: |
||
* [https:// |
* [https://tools.ietf.org/html/draft-ietf-tls-tls13-21 TLS 1.3] |
||
* [http://heise.de/-3815460 Heise: "Kernel TLS"] |
|||
* [https://tools.ietf.org/html/draft-rescorla-tls13-new-flows-00 Idee: Zero Round Trip] |
|||
* [https://en.wikipedia.org/wiki/HTTP/2 HTTP/2] |
|||
Mentor: [https://sar.informatik.hu-berlin.de/people/wolf_mueller.htm Wolf Müller] |
Mentor: [https://sar.informatik.hu-berlin.de/people/wolf_mueller.htm Wolf Müller] |
||
==<span style="background:greenyellow">[[Post Quantum Crypto]]</span>== |
|||
[George] |
|||
==Post Quantum Crypto== |
|||
Was passiert, wenn Quantencomputer verfügbar werden, die aktuelle Schlüssellängen brechen können. Seit einigen Jahren denken Wissenschaftler über "Post Quantum Crypo" nach. Welche Ideen oder auch Implementierungen gibt es? |
Was passiert, wenn Quantencomputer verfügbar werden, die aktuelle Schlüssellängen brechen können. Seit einigen Jahren denken Wissenschaftler über "Post Quantum Crypo" nach. Welche Ideen oder auch Implementierungen gibt es? |
||
Google, Chrome? |
Google, Chrome? |
||
Line 73: | Line 154: | ||
Mentor: [https://sar.informatik.hu-berlin.de/people/wolf_mueller.htm Wolf Müller] |
Mentor: [https://sar.informatik.hu-berlin.de/people/wolf_mueller.htm Wolf Müller] |
||
==<span style="background:greenyellow">[[Privacy@Home]]</span>== |
|||
==Sicheres OpenVPN== |
|||
[Daniel R.] |
|||
OpenVPN ist eine gute Möglichkeit, seine Kommunikation durch öffentliche Netze abzusichern oder sich logisch in die HU oder in das Institut für Informatik zu begeben. Untersuchen Sie, wie diese Verbindungen ([https://www.cms.hu-berlin.de/de/dl/netze/vpn/openvpn/hu-berlin-win.ovpn hu-berlin.ovpn] und [https://www2.informatik.hu-berlin.de/rbg/Openvpn_SSL/ am Institut]) konfiguriert sind, und welche Verbindungen zwischen Server und Client ausgehandelt werden. Hierbei gibt es zu beachten, dass es OpenVPN eine Kontrollverbindung zur Authentisierung und Schlüsselvereinbarung und eine Datenverbindung zum sicheren Transport der eigentlichen Daten nutzt. Für einen aktuellen OpenVPN-Clienten kann man die die Möglichkeiten für eine TLS-Absicherung der Kontrollverbindung mit [[openvpn--show-tls-win|<code>openvpn --show-tls</code>]] und die Absicherungsmöglichkeiten der Datenverbindung mit [[openvpn--show-cipher-win|<code>openvpn --show-cipher</code>]] einsehen. Versuchen Sie eine effiziente, starke und auch möglichst interoperable Konfiguration zu erstellen, die mit aktueller Software den Zugriff unter Linux, Mac, Windows, iOS und Android gestattet. Verschaffen Sie sich einen Überblick. Welche Vor- / Nachteile haben die Modi CBC, CFB, CFB1, CFB8, OFB und was bewirken diese überhaupt? |
|||
Links: |
|||
* [https://openvpn.net/index.php/open-source.html OpenVPN] |
|||
* [https://www.wireshark.org/ Wireshark] |
|||
* [https://wiki.wireshark.org/OpenVPN Wireshark OpenVPN] |
|||
* [http://blog.dornea.nu/2015/11/17/openvpn-for-paranoids/ Blog] |
|||
Mentoren: [https://sar.informatik.hu-berlin.de/people/wolf_mueller.htm Wolf Müller], [https://www.informatik.hu-berlin.de/de/forschung/gebiete/sar/people/sombrutz Robert Sombrutzki] |
|||
==Privacy@Home== |
|||
Das IoT steht vor der Tür. Zunehmend begehren technische Geräte (Fernseher, DVD-Player, Heizung, ...) Zugang zu unserem Heimnetzwerk. Auf der einen Seite lassen sich natürlich neue gewollte Komfortfunktionen realisieren auf der anderen Seite stellen diese Geräte aber eine potenzielle Bedrohung für unser Heimnetz und unsere Privatsphäre |
Das IoT steht vor der Tür. Zunehmend begehren technische Geräte (Fernseher, DVD-Player, Heizung, ...) Zugang zu unserem Heimnetzwerk. Auf der einen Seite lassen sich natürlich neue gewollte Komfortfunktionen realisieren, auf der anderen Seite stellen diese Geräte aber eine potenzielle Bedrohung für unser Heimnetz und unsere Privatsphäre dar. |
||
Wie kann man diese Geräte in dem was sie tun können begrenzen |
Wie kann man diese Geräte in dem, was sie tun können, begrenzen? Versuchen Sie, den Zugriff auf das Heimnetz von diesen Geräten aus und den Zugriff auf und aus dem Internet unter Beteiligung dieser zu limitieren. |
||
Exemplarisch soll dazu eine Fritz!Box 7390 Verwendung finden. |
Exemplarisch soll dazu eine Fritz!Box 7390 Verwendung finden. Stichworte: Gastnetz, Filter, .... Wie authentifizieren sich Geräte gegenüber ihrem Netzwerk und wie verlässlich ist diese Information? |
||
Welche URLs nutzen Ihre Heimgeräte legitim, welche waren unerwartet? |
Welche URLs nutzen Ihre Heimgeräte legitim, welche waren unerwartet? |
||
Line 99: | Line 169: | ||
Mentor: [https://sar.informatik.hu-berlin.de/people/wolf_mueller.htm Wolf Müller] |
Mentor: [https://sar.informatik.hu-berlin.de/people/wolf_mueller.htm Wolf Müller] |
||
==<span style="background:greenyellow">[[U2F / WebAuthn]] (FIDO reloaded)</span>== |
|||
[Stefan] |
|||
In den letzten Jahren haben wir uns bereits mit der 2-Faktorauthentisierung gemäß [[U2F FIDO]] beschäftigt. Diese ist aus unserer Sicht eine sehr interessante Authentisierungstechnik, die ein hohes Maß an Anonymität, Sicherheit und Komfort miteinander verbinden kann. Der ursprüngliche Fokus von U2F lag in der Authentisierung gegenüber Webdiensten. Aber natürlich ist es auch denkbar U2F-Token zur Authentisierung in anderen Kontexten (PAM, SSH, GIT, ...) zu nutzen. |
|||
==WebAuthn (FIDO UAF|U2F reloaded)== |
|||
Versuchen Sie, einen Überblick zu gewinnen, für welche Protokolle oder Szenarien U2F genutzt werden können sollte und versuchen sie dies auch als "proof of concept" auch auszuprobieren. |
|||
Im letzen Jahren haben wir uns bereits mit der 2-Faktorauthentisierung gemäß [[U2F FIDO]] beschäftigt. Diese ist aus unserer Sicht eine sehr interessante Authentisierungstechnik, die ein hohes Maß an Anonymität, Sicherheit und Komfort miteinander verbinden kann. Der ursprüngliche Fokus von U2F lag in der Authentisierung gegenüber Webdiensten. Aber natürlich ist es auch denkbar U2F-Token zur Authentisierung in anderen Kontexten (PAM, SSH, GIT, ...) zu nutzen. |
|||
Versuchen Sie einen Überblick zu gewinnen, für welche Protokolle oder Szenarien U2F genutzt werden können sollte und versuchen sie dies auch als "proof of concept" auch auszuprobieren. |
|||
Wie funktioniert UAF? Gibt es schon frei verfügbare Demo(apps)? |
Wie funktioniert UAF? Gibt es schon frei verfügbare Demo(apps)? |
||
Line 110: | Line 181: | ||
* [https://github.com/Yubico/pam-u2f pam-u2f] |
* [https://github.com/Yubico/pam-u2f pam-u2f] |
||
* [https://github.com/bluecmd/openssh-u2f openssh-u2f] |
* [https://github.com/bluecmd/openssh-u2f openssh-u2f] |
||
* [https://www.yubico.com/2017/09/firefox-nightly-enables-support-fido-u2f-security-keys/ Firefox & U2F] |
|||
Mentor: [https://sar.informatik.hu-berlin.de/people/wolf_mueller.htm Wolf Müller] |
Mentor: [https://sar.informatik.hu-berlin.de/people/wolf_mueller.htm Wolf Müller] |
||
==Absicherung NFS== |
==Absicherung NFS== |
||
Bei NFS-Freigaben sind hohe Anforderungen an die Integrität des NFS-Clienten gestellt, da allein dieser über die Einhaltung der im exportierten Dateisystem gesetzten Rechte entscheidet. Daher ist |
Bei NFS-Freigaben sind hohe Anforderungen an die Integrität des NFS-Clienten gestellt, da allein dieser über die Einhaltung der im exportierten Dateisystem gesetzten Rechte entscheidet. Daher ist es essenziell, dass sich bei dem mountenden Clienten wirklich um den beabsichtigten legitimen Rechner handelt. Der Normalfall ist eine simple Überprüfung der IP-Adresse, die in der /etc/exports angegeben ist. |
||
Untersuchen Sie, welche Verbesserungen hier möglich sind und welchen Aufwand, welche Komplexität die von Ihnen erarbeitenden Lösungen haben. Die verlässlichere Prüfung könnte auf verschiedenen Schichten angesetzt werden. Wünschenswert wäre zumindest eine starke und persistente Authentisierung (z.B. basierend auf privaten Schlüsseln). |
Untersuchen Sie, welche Verbesserungen hier möglich sind und welchen Aufwand, welche Komplexität die von Ihnen erarbeitenden Lösungen haben. Die verlässlichere Prüfung könnte auf verschiedenen Schichten angesetzt werden. Wünschenswert wäre zumindest eine starke und persistente Authentisierung (z.B. basierend auf privaten Schlüsseln). |
||
Line 128: | Line 199: | ||
Mentoren: [https://sar.informatik.hu-berlin.de/people/wolf_mueller.htm Wolf Müller], [https://www.informatik.hu-berlin.de/de/forschung/gebiete/sar/people/sombrutz Robert Sombrutzki] |
Mentoren: [https://sar.informatik.hu-berlin.de/people/wolf_mueller.htm Wolf Müller], [https://www.informatik.hu-berlin.de/de/forschung/gebiete/sar/people/sombrutz Robert Sombrutzki] |
||
==Informatik-Sync-Server für Firefox== |
==Informatik-Sync-Server für Firefox== |
||
Die Authentisierung mittels (Name,Passwort) wird nach wie vor von vielen Diensten im Internet verwendet. Der Nutzer ist bei der Vielzahl der Dienste schlichtweg überfordert, sich all diese zu merken. Als Konsequenz wurden Lösungen wie Single Sign On oder Open ID vorgeschlagen. In der post-Snowden-Ära gibt es jedoch Bedenken, die Authentisierung an eine dritte Partei auszulagern, da diese auch im Namen des legitimen Nutzers ohne diesen eine erfolgreiche |
Die Authentisierung mittels (Name,Passwort) wird nach wie vor von vielen Diensten im Internet verwendet. Der Nutzer ist bei der Vielzahl der Dienste schlichtweg überfordert, sich all diese zu merken. Als Konsequenz wurden Lösungen wie Single Sign On oder Open ID vorgeschlagen. In der post-Snowden-Ära gibt es jedoch Bedenken, die Authentisierung an eine dritte Partei auszulagern, da diese auch im Namen des legitimen Nutzers ohne diesen eine erfolgreiche Authentisierung bewerkstelligen könnte. |
||
Einen anderen Ansatz bieten Passwortmanager. Hier wird dem Benutzer angeboten, mit Hilfe (eines hoffentlich starken Masterpassworts) den Zugang zu den Authentisierungsdaten für die einzelnen Dienste abzusichern. Die Referenzdaten dazu können beispielsweise lokal verschlüsselt gespeichert werden. Allerdings ist es ggf. wünschenswert den Passwortmanager auch auf verschiedenen Geräten nutzen zu können. Eine Lösung die auch die Synchronisierung zwischen verschiedenen Geräten vorsieht, ist Firefox Sync" was auch direkt im Firefox ohne zusätzliche Plugins oder Erweiterungen nutzbar ist. |
Einen anderen Ansatz bieten Passwortmanager. Hier wird dem Benutzer angeboten, mit Hilfe (eines hoffentlich starken Masterpassworts) den Zugang zu den Authentisierungsdaten für die einzelnen Dienste abzusichern. Die Referenzdaten dazu können beispielsweise lokal verschlüsselt gespeichert werden. Allerdings ist es ggf. wünschenswert, den Passwortmanager auch auf verschiedenen Geräten nutzen zu können. Eine Lösung die auch die Synchronisierung zwischen verschiedenen Geräten vorsieht, ist Firefox Sync" was auch direkt im Firefox ohne zusätzliche Plugins oder Erweiterungen nutzbar ist. |
||
Jedoch werden die (zwar verschlüsselten) Referenzdaten auf einem zentralen Server gespeichert. Hier wäre es wünschenswert, eine Lösung umzusetzen, die eine Speicherung auf unserem eigenen Informatik-Server zulässt. |
Jedoch werden die (zwar verschlüsselten) Referenzdaten auf einem zentralen Server gespeichert. Hier wäre es wünschenswert, eine Lösung umzusetzen, die eine Speicherung auf unserem eigenen Informatik-Server zulässt. |
||
Line 145: | Line 215: | ||
Mentoren: [https://sar.informatik.hu-berlin.de/people/wolf_mueller.htm Wolf Müller], [https://www.informatik.hu-berlin.de/de/forschung/gebiete/sar/people/sombrutz Robert Sombrutzki] |
Mentoren: [https://sar.informatik.hu-berlin.de/people/wolf_mueller.htm Wolf Müller], [https://www.informatik.hu-berlin.de/de/forschung/gebiete/sar/people/sombrutz Robert Sombrutzki] |
||
==Experimentell: VoIP-Honigtopf== |
|||
Vielerorts werden und wurden bereits traditionelle Telefonnetze auf VoIP umgestellt. Aber beinhaltet diese Umstellung neben Vereinheitlichung und Komfort ggf. auch Risiken und neue Angriffsvektoren? |
|||
Versuchen Sie, einen "VoIP honeypot" aufzusetzen, um sich im Erfolgsfall einen Überblick zu verschaffen. |
|||
* Welche Angriffe gibt es? |
|||
* Wie kann man sich schützen? |
|||
** Gibt es Provider die mehr als normales zip also z.B. SRTP/TLS bieten? |
|||
** Welche Endgeräte können das? |
|||
** Gibt es Router mit DECT, die genutzt werden könnten? |
|||
Links: |
|||
* [http://voiphoney.sourceforge.net/ VoIP Honey] |
|||
* [https://www.dus.net/de/tls-srtp-ist-sicher dus.net] |
|||
Mentor: [https://sar.informatik.hu-berlin.de/people/wolf_mueller.htm Wolf Müller] |
|||
==BSI TR-03108 Sicherer E-Mail-Transport== |
==BSI TR-03108 Sicherer E-Mail-Transport== |
||
Die Technische Richtlinie "Sicherer E-Mail-Transport" (BSI TR-03108) definiert konkrete Anforderungen an einen E-Mail-Diensteanbieter (EMDA). Ziel der Technischen Richtlinie ist die Erhöhung der Vergleichbarkeit und Verbreitung sicherer E-Mail-Kommunikation. Ziel bei diesem Thema ist es zu schauen, welche Schutzmaßnahmen für unseren Informatik-Mail-Server umgesetzt werden können. Hierbei geht es vor allem um technische Maßnahmen zur Absicherung eines authentischen und vertraulichen E-Mail-Transports. |
Die Technische Richtlinie "Sicherer E-Mail-Transport" (BSI TR-03108) definiert konkrete Anforderungen an einen E-Mail-Diensteanbieter (EMDA). Ziel der Technischen Richtlinie ist die Erhöhung der Vergleichbarkeit und Verbreitung sicherer E-Mail-Kommunikation. Ziel bei diesem Thema ist es zu schauen, welche Schutzmaßnahmen für unseren Informatik-Mail-Server umgesetzt werden können. Hierbei geht es vor allem um technische Maßnahmen zur Absicherung eines authentischen und vertraulichen E-Mail-Transports. |
||
Die im RFC 6698 beschriebene "DNS-Based Authentication of Named Entities (DANE)" scheint ein gutes Mittel zu sein, um jenseits von bestehenden PKI-Mechanismen eine starke Authentisierung eines Servers und spätere Absicherung der Verbindung über SSL/TLS ausgehend von dessen DNS-Namen zu erreichen. Versuchen Sie dieses Konzept für unseren Institutsmailserver umzusetzen. Bezüglich DANE gibt es bereits Vorarbeiten aus dem letzten Jahr [[DANE für unseren Mail-Server]]. |
Die im RFC 6698 beschriebene "DNS-Based Authentication of Named Entities (DANE)" scheint ein gutes Mittel zu sein, um jenseits von bestehenden PKI-Mechanismen eine starke Authentisierung eines Servers und spätere Absicherung der Verbindung über SSL/TLS ausgehend von dessen DNS-Namen zu erreichen. Versuchen Sie, dieses Konzept für unseren Institutsmailserver umzusetzen. Bezüglich DANE gibt es bereits Vorarbeiten aus dem letzten Jahr [[DANE für unseren Mail-Server]]. |
||
Hinsichtlich der umsetzbaren organisatorischen und physischen Sicherheitsmaßnahmen wird es sicherlich Unterschiede zu gewerblichen E-Mail-Dienste-Anbietern geben, jedoch ist es sicherlich interessant, was sich an technischen Schutzmechanismen am Institut umsetzen lässt oder schon so in Betrieb ist. |
Hinsichtlich der umsetzbaren organisatorischen und physischen Sicherheitsmaßnahmen wird es sicherlich Unterschiede zu gewerblichen E-Mail-Dienste-Anbietern geben, jedoch ist es sicherlich interessant, was sich an technischen Schutzmechanismen am Institut umsetzen lässt oder schon so in Betrieb ist. |
||
Line 161: | Line 245: | ||
Mentor: [https://sar.informatik.hu-berlin.de/people/wolf_mueller.htm Wolf Müller] |
Mentor: [https://sar.informatik.hu-berlin.de/people/wolf_mueller.htm Wolf Müller] |
||
==Sichere Wiki- |
==<span style="background:greenyellow">[[Sichere Wiki-Migration]]</span>== |
||
[Stefan L., Sebastian] |
|||
Ein Wiki ist seiner Natur nach ein offenes System, in welchem der "Mitmachgedanke" weit vorne steht. Leider gibt es dann doch häufig automatisierte Angriffe, die diese Eigenschaft ausnutzen. So fand sich auch in unserm Wiki viel SPAM. |
Ein Wiki ist seiner Natur nach ein offenes System, in welchem der "Mitmachgedanke" weit vorne steht. Leider gibt es dann doch häufig automatisierte Angriffe, die diese Eigenschaft ausnutzen. So fand sich auch in unserm Wiki viel SPAM. |
||
Versuchen Sie eine Kopie unseres Wikis auf eine aktuelle Codebasis zu heben. Dokumentieren Sie Ihre einzelnen Schritte. Treffen Sie eine begründete Auswahl an Zusatzpaketen zur Integration von Formeln, Bildern, ... und versuchen Sie eine möglichst sichere Konfiguration zu erreichen. Ansatzpunkte könnten die Verwendung von Captchas, sowie Beschränkungen zum anlegen von Nutzeraccounts sein. |
Versuchen Sie, eine Kopie unseres Wikis auf eine aktuelle Codebasis zu heben. Dokumentieren Sie Ihre einzelnen Schritte. Treffen Sie eine begründete Auswahl an Zusatzpaketen zur Integration von Formeln, Bildern, ... und versuchen Sie eine möglichst sichere Konfiguration zu erreichen. Ansatzpunkte könnten die Verwendung von Captchas, sowie Beschränkungen zum anlegen von Nutzeraccounts sein. |
||
Mentor: [https://sar.informatik.hu-berlin.de/people/wolf_mueller.htm Wolf Müller], [https://sar.informatik.hu-berlin.de/people/wolfgang_gandre.htm Wolfgang Gandre] |
Mentor: [https://sar.informatik.hu-berlin.de/people/wolf_mueller.htm Wolf Müller], [https://sar.informatik.hu-berlin.de/people/wolfgang_gandre.htm Wolfgang Gandre] |
||
==Sicheres OpenVPN== |
|||
OpenVPN ist eine gute Möglichkeit, seine Kommunikation durch öffentliche Netze abzusichern oder sich logisch in die HU oder in das Institut für Informatik zu begeben. Untersuchen Sie, wie diese Verbindungen ([https://www.cms.hu-berlin.de/de/dl/netze/vpn/openvpn/hu-berlin-win.ovpn hu-berlin.ovpn] und [https://www2.informatik.hu-berlin.de/rbg/Openvpn_SSL/ am Institut]) konfiguriert sind, und welche Verbindungen zwischen Server und Client ausgehandelt werden. Hierbei gibt es zu beachten, dass es OpenVPN eine Kontrollverbindung zur Authentisierung und Schlüsselvereinbarung und eine Datenverbindung zum sicheren Transport der eigentlichen Daten nutzt. Für einen aktuellen OpenVPN-Clienten kann man die die Möglichkeiten für eine TLS-Absicherung der Kontrollverbindung mit [[openvpn--show-tls-win|<code>openvpn --show-tls</code>]] und die Absicherungsmöglichkeiten der Datenverbindung mit [[openvpn--show-cipher-win|<code>openvpn --show-cipher</code>]] einsehen. Versuchen Sie eine effiziente, starke und auch möglichst interoperable Konfiguration zu erstellen, die mit aktueller Software den Zugriff unter Linux, Mac, Windows, iOS und Android gestattet. Verschaffen Sie sich einen Überblick. Welche Vor- / Nachteile haben die Modi CBC, CFB, CFB1, CFB8, OFB und was bewirken diese überhaupt? |
|||
Links: |
|||
* [https://openvpn.net/index.php/open-source.html OpenVPN] |
|||
* [https://www.wireshark.org/ Wireshark] |
|||
* [https://wiki.wireshark.org/OpenVPN Wireshark OpenVPN] |
|||
* [http://blog.dornea.nu/2015/11/17/openvpn-for-paranoids/ Blog] |
|||
Mentoren: [https://sar.informatik.hu-berlin.de/people/wolf_mueller.htm Wolf Müller], [https://www.informatik.hu-berlin.de/de/forschung/gebiete/sar/people/sombrutz Robert Sombrutzki] |
|||
==<span style="background:greenyellow">[[IPoverDNS]]</span>== |
|||
[Leonard, Laura] |
|||
Wie kann man mögliche Beschränkungen an WLAN-Hotspots umgehen? Welche Abwehrmechanismen sind denkbar? |
|||
Links: |
|||
* [https://tools.ietf.org/html/rfc1034 RFC 1034] |
|||
* [https://tools.ietf.org/html/rfc1035 RFC 1035] |
|||
==<span style="background:greenyellow">[[Hacking Printers]]</span>== |
|||
[Thorben, Fritz, Leon] |
|||
==Motivation und Szenario== |
|||
Drucker sind weit verbreitete Geräte und stellen auf den ersten Blick kein lohnendes Angriffsziel dar. Das führt dazu, dass Updates teils nicht konsequent durchgeführt werden. So fand <ref> Jens Müller. [Exploting Network Printers] Master's Thesis. 2016. </ref> allein in Deutschland fast 2000 über das Internet erreichbare Drucker und in vielen getesteten Modellen gravierende Sicherheitslücken. |
|||
Entgegen ihrer augenscheinlichen Harmlosigkeit läuft auf den von uns getesteten Druckern ein vollwertiges Betriebssystem und lassen sich daher von einem erfolgreichen Angreifer zu nützlichen Bots umfunktionieren. |
|||
Außerdem enthalten Druckjobs potentiell vertrauliche Daten, die für einen Angreifer wertvoll sein könnten. |
|||
Dies motivierte uns dazu am Informatikinstitut eingesetzte Drucker auf Schwachstellen zu überprüfen und zu versuchen in das System des Druckers einzudringen. |
|||
Als Leitfrage beschäftigte uns, ob dies einem Angreifer möglich ist, der keine Programmierkenntnisse besitzt und somit nicht in der Lage ist selbstständig Exploits zu entwickeln. |
|||
Wir konzentrierten uns auf drei verschiedene Geräte: einen (1) Canon ImageRunner 3225, einen (2) HP LaserJet 4250n und einen (3) HP LaserJet CD3505dn. |
|||
Zur Durchführung unserer Angriffe beschränkten wir uns auf vorgefertigte Penetrationtesting Tools wie Hydra, MetaSploit oder Nessus. |
|||
Die von uns getesten Angriffe waren auf zwei der drei getesteten Drucker erfolgreich, was es uns erlaubte das Administratorpasswort zu erlangen und somit vollen Zugriff |
|||
auf das Gerät zu erhalten. |
|||
==Social Engineering== |
|||
* [http://eu.wiley.com/WileyCDA/WileyTitle/productCd-076454280X.html?076454280X= The Art of Deception] |
|||
* [http://eu.wiley.com/WileyCDA/WileyTitle/productCd-0470639539.html?0470639539= Social Engineering] |
Latest revision as of 12:09, 24 October 2017
Vorträge
Freitag 13.10. 2017, Rudower Chaussee 25, Haus 3, Raum 3'101
10:00-10:30 | Privacy@Home | Daniel R. | |
10:30-11:00 | Post Quantum Crypto | George | |
11:00-11:15 | Pause: Snack & Schnack | ||
11:15-11:45 | U2F / WebAuthn | Stefan | |
11:45-12:15 | Sichere Wiki-Migration | Stefan L., Sebastian | |
12:15-13:00 | Pause: Mittag | ||
13:00-13:30 | USB: Rubber Ducky | André, Philipp | |
13:30-14:15 | USB: Dr. Jekyll und Mr. Hyde | Daniel, Janina, Robert | |
14:15-14:30 | Pause: Snack & Schnack | ||
14:30-15:15 | Hacking Printers | Thorben, Fritz, Leon | |
15:15-15:45 | IPoverDNS | Leonard, Laura | |
15:45-16:00 | Zusammenfassung & Dank | Wolf Müller |
Pro Gruppe ist angedacht: Mindestens 30 Min und mindestens (#Mitglieder) * 15 Min (+ ggf. Demo) zwischen Redezeit und Diskussion und Umbaupause aufzuteilen.
Themen für IT-Security Workshop 2. bis 13. Oktober 2017
USB: Rubber Ducky
[André, Philipp] Was kann ein gefundener USB-Stick alles sein? Nutzen Sie ein programmierbares Gerät mit USB-Stick Formfaktor, um über Angriffsszenarien nachzudenken. Kann man ein "intelligentes" Angriffsscript ersinnen, das in Abhängigkeit von dem Gerät, an welches es angesteckt wird, sich angepasst verhält?
Links:
Mentor: Wolf Müller
USB: Dr. Jekyll und Mr. Hyde
[Daniel, Janina, Robert]
Aus sicht des Betriebssystems ist ein USB-Stick ein relativ einfaches Block-orientiertes Gerät, auf das man Datenblöcke lesen und schreiben kann. Im Allgemeinen geht das OS auch davon aus, dass wenn es selbst Daten auf den Stick schreibt und später wieder davon liest und der Stick in der Zwischenzeit nicht getrennt wurde, wieder identische Daten geliefert werden.
Wenn aber ein Stick nur emuliert wird, können sich Dateien und Metainformationen aber quasi spontan ändern. Es wäre interessant, solch ein System zu entwerfen und zu schauen, ob man damit das Betriebssystem oder auch einen Virenscanner aus dem Tritt bringen kann. Zur Emulation eines USB-mass-storage-Gerätes könnte Linux in Verbindung mit GadgetFS ein Startpunkt sein. Auch ein Rasberry-Pi ist denkbar.
Links:
Mentor: Wolf Müller
DNSSEC@Informatik
Eigentlich wird schon lange über die sichere Variante von DNS gesprochen. Dennoch ist die HU und auch unser Institut noch nicht über DNS-SEC von außen validierbar. Für die Domain hu-berlin.de hat das CMS schon Grundlagen geschaffen, aber die Einbindung nach oben ist noch nicht erfolgt.
Erarbeiten Sie ein Konzept und versuchen Sie, exemplarisch einige Schritte umzusetzen. Welche Software wird benötigt, um eine Zone zu signieren. Wie können Schlüssel sicher aufbewahrt werden. Was ist mit dynamischen Einträgen?
Welche Vorteile bietet DNSSEC bei erfolgreicher Validierung? Mit DANE können auch weitere Felder über DNSSEC ausgeliefert werden. Denkbar wäre zum Beispiel auch SMTP mithilfe von DANE stärker zu machen oder auch SSH-Fingeprints von Informatikrechnern automatisch ausliefern zu lassen und so Trust-on-First-Use oder das manuelle Vergleichen mit unserer Liste zu überwinden.
Links:
Mentoren: Robert Sombrutzki, Wolf Müller
Sicheres HTTPS für Legacy-Server
Während bei aktueller Software die Chancen recht gut sind, dass noch starke Ciphersuites zur Verfügung stehen, ist es mit Altanwendungen ungleich schwerer, diese zu ertüchtigen. Versuchen Si,e beispielsweise für einen Microsoft IIS 6.0 nach außen eine starke Verschlüsselung nachzurüsten.
Weiterhin könnten in den Reverse-Proxy-Varianten mit Apache / Nginx auch weitere aktuelle Sicherheitsfeatures scharfgeschaltet werden, wie zum Beispiel Einstellungen zur Content Security Policy (CSP). Während in Altbeständen die Chancen gut stehen, dass Bilder als separate Ressourcen (Dateien) eingebunden sind, sind häufig Style-Elemente und JavaScript-Zeilen inline in der Seite eingebettet, was dann Probleme macht. Entwerfen Sie Software, die hier eine möglichst komfortable Auslagerung in externe Ressourcen vornimmt. Ein Startpunkt könnte beispielsweise Tidy sein.
Links:
Mentor: Wolf Müller
Sicherer und schneller SSL/TLS-Handshake
Nach den Enthüllungen von Edward Snowden haben wir verstanden, warum authentische und vertrauliche Kommunikation wichtig ist. Naiv betrachtet, könnte man denken, es ist ausreichend "s"-Protokolle wie https, imaps, pops ... zu verwenden und alles ist gut. Es ist in Praxis jedoch wesentlich komplexer eine unter dem gegenwärtigen Angreifermodell hinreichend starke SSL/TLS-Verbindung zu erzwingen.
In der Vergangenheit wurden zahlreiche teils sehr originelle Angriffe auf SSL/TLS entwickelt, die Seitenkanäle oder auch Probleme im Protokollentwurf oder der Implementierung adressieren. Weiterhin ist es wünschenswert, "forward secureness" zu nutzen, da auch nicht für jeden Server der private Schlüssel immer privat bleiben muss.
Versuchen Sie für einen aktuellen SSL/TLS-Server (z.B. Apache oder NGINX) eine möglichst sichere Konfiguration zu erstellen. Eine gute Orientierung bietet die Technische Richtlinie "BSI TR-02102-2" Behalten Sie dabei auch die Performance für den Handshake im Auge:
- Könnte die Nutzung von ECC hier weiter helfen?
- DH oder ECDH?
- Was muss ein sorgsamer Client alles prüfen, wie kann ihn der Server dabei unterstützen?
- Kann man die gesamte Zertifikatskette auch ECC-signiert bekommen?
- Was ist OCSP-stampling
- Was bringen die einzelnen Maßnahmen?
Links:
Mentor: Wolf Müller
Die Zukunft "TLS auf Speed"
Wo geht die Reise in der Standardisierung hin? Weniger Optionen, schnellerer Handshake, schneller Transport. Gibt es bereits erste Implementierungen des neuen Standards? Was gibt OpenSSL 1.1.* her. Welche Optimierungen können bei der eigentlichen vertraulichen und authentischen Übertragung helfen?
- Ciphersuites auch aus TLS 1.3 ChaCah
- Hardwareunterstützung von AES
- Einsparung von Kontextwechseln SSL/TLS-Kernel-Support
- Integration mit OSI-Layer 7 HTTP/2
Links:
Mentor: Wolf Müller
Post Quantum Crypto
[George]
Was passiert, wenn Quantencomputer verfügbar werden, die aktuelle Schlüssellängen brechen können. Seit einigen Jahren denken Wissenschaftler über "Post Quantum Crypo" nach. Welche Ideen oder auch Implementierungen gibt es? Google, Chrome?
Links
Mentor: Wolf Müller
Privacy@Home
[Daniel R.]
Das IoT steht vor der Tür. Zunehmend begehren technische Geräte (Fernseher, DVD-Player, Heizung, ...) Zugang zu unserem Heimnetzwerk. Auf der einen Seite lassen sich natürlich neue gewollte Komfortfunktionen realisieren, auf der anderen Seite stellen diese Geräte aber eine potenzielle Bedrohung für unser Heimnetz und unsere Privatsphäre dar. Wie kann man diese Geräte in dem, was sie tun können, begrenzen? Versuchen Sie, den Zugriff auf das Heimnetz von diesen Geräten aus und den Zugriff auf und aus dem Internet unter Beteiligung dieser zu limitieren. Exemplarisch soll dazu eine Fritz!Box 7390 Verwendung finden. Stichworte: Gastnetz, Filter, .... Wie authentifizieren sich Geräte gegenüber ihrem Netzwerk und wie verlässlich ist diese Information? Welche URLs nutzen Ihre Heimgeräte legitim, welche waren unerwartet?
Links:
Mentor: Wolf Müller
U2F / WebAuthn (FIDO reloaded)
[Stefan]
In den letzten Jahren haben wir uns bereits mit der 2-Faktorauthentisierung gemäß U2F FIDO beschäftigt. Diese ist aus unserer Sicht eine sehr interessante Authentisierungstechnik, die ein hohes Maß an Anonymität, Sicherheit und Komfort miteinander verbinden kann. Der ursprüngliche Fokus von U2F lag in der Authentisierung gegenüber Webdiensten. Aber natürlich ist es auch denkbar U2F-Token zur Authentisierung in anderen Kontexten (PAM, SSH, GIT, ...) zu nutzen. Versuchen Sie, einen Überblick zu gewinnen, für welche Protokolle oder Szenarien U2F genutzt werden können sollte und versuchen sie dies auch als "proof of concept" auch auszuprobieren. Wie funktioniert UAF? Gibt es schon frei verfügbare Demo(apps)?
Links:
Mentor: Wolf Müller
Absicherung NFS
Bei NFS-Freigaben sind hohe Anforderungen an die Integrität des NFS-Clienten gestellt, da allein dieser über die Einhaltung der im exportierten Dateisystem gesetzten Rechte entscheidet. Daher ist es essenziell, dass sich bei dem mountenden Clienten wirklich um den beabsichtigten legitimen Rechner handelt. Der Normalfall ist eine simple Überprüfung der IP-Adresse, die in der /etc/exports angegeben ist.
Untersuchen Sie, welche Verbesserungen hier möglich sind und welchen Aufwand, welche Komplexität die von Ihnen erarbeitenden Lösungen haben. Die verlässlichere Prüfung könnte auf verschiedenen Schichten angesetzt werden. Wünschenswert wäre zumindest eine starke und persistente Authentisierung (z.B. basierend auf privaten Schlüsseln). Denkbar wäre eine Absicherung über SSL/TLS vielleicht mit einem performanten Modus mindestens zur Integritätssicherung (TLS_RSA_WITH_NULL_SHA, TLS_RSA_WITH_NULL_SHA256, ..., TLS_RSA_WITH_AES_128_GCM_SHA256), womit zumindest aktive Angriffe unterbunden werden könnten. Alternativ könnte auch die Verwendung von NFS mit Kerberos helfen. Betrachten Sie das Verhältnis von Sicherheit und Performance.
Links:
Mentoren: Wolf Müller, Robert Sombrutzki
Informatik-Sync-Server für Firefox
Die Authentisierung mittels (Name,Passwort) wird nach wie vor von vielen Diensten im Internet verwendet. Der Nutzer ist bei der Vielzahl der Dienste schlichtweg überfordert, sich all diese zu merken. Als Konsequenz wurden Lösungen wie Single Sign On oder Open ID vorgeschlagen. In der post-Snowden-Ära gibt es jedoch Bedenken, die Authentisierung an eine dritte Partei auszulagern, da diese auch im Namen des legitimen Nutzers ohne diesen eine erfolgreiche Authentisierung bewerkstelligen könnte.
Einen anderen Ansatz bieten Passwortmanager. Hier wird dem Benutzer angeboten, mit Hilfe (eines hoffentlich starken Masterpassworts) den Zugang zu den Authentisierungsdaten für die einzelnen Dienste abzusichern. Die Referenzdaten dazu können beispielsweise lokal verschlüsselt gespeichert werden. Allerdings ist es ggf. wünschenswert, den Passwortmanager auch auf verschiedenen Geräten nutzen zu können. Eine Lösung die auch die Synchronisierung zwischen verschiedenen Geräten vorsieht, ist Firefox Sync" was auch direkt im Firefox ohne zusätzliche Plugins oder Erweiterungen nutzbar ist.
Jedoch werden die (zwar verschlüsselten) Referenzdaten auf einem zentralen Server gespeichert. Hier wäre es wünschenswert, eine Lösung umzusetzen, die eine Speicherung auf unserem eigenen Informatik-Server zulässt.
Links:
- Run your own Sync-1.5 Server
- Run your own Firefox Accounts Server
- Ansible
- Eigener Sync-Server für Firefox
Mentoren: Wolf Müller, Robert Sombrutzki
Experimentell: VoIP-Honigtopf
Vielerorts werden und wurden bereits traditionelle Telefonnetze auf VoIP umgestellt. Aber beinhaltet diese Umstellung neben Vereinheitlichung und Komfort ggf. auch Risiken und neue Angriffsvektoren? Versuchen Sie, einen "VoIP honeypot" aufzusetzen, um sich im Erfolgsfall einen Überblick zu verschaffen.
- Welche Angriffe gibt es?
- Wie kann man sich schützen?
- Gibt es Provider die mehr als normales zip also z.B. SRTP/TLS bieten?
- Welche Endgeräte können das?
- Gibt es Router mit DECT, die genutzt werden könnten?
Links:
Mentor: Wolf Müller
BSI TR-03108 Sicherer E-Mail-Transport
Die Technische Richtlinie "Sicherer E-Mail-Transport" (BSI TR-03108) definiert konkrete Anforderungen an einen E-Mail-Diensteanbieter (EMDA). Ziel der Technischen Richtlinie ist die Erhöhung der Vergleichbarkeit und Verbreitung sicherer E-Mail-Kommunikation. Ziel bei diesem Thema ist es zu schauen, welche Schutzmaßnahmen für unseren Informatik-Mail-Server umgesetzt werden können. Hierbei geht es vor allem um technische Maßnahmen zur Absicherung eines authentischen und vertraulichen E-Mail-Transports.
Die im RFC 6698 beschriebene "DNS-Based Authentication of Named Entities (DANE)" scheint ein gutes Mittel zu sein, um jenseits von bestehenden PKI-Mechanismen eine starke Authentisierung eines Servers und spätere Absicherung der Verbindung über SSL/TLS ausgehend von dessen DNS-Namen zu erreichen. Versuchen Sie, dieses Konzept für unseren Institutsmailserver umzusetzen. Bezüglich DANE gibt es bereits Vorarbeiten aus dem letzten Jahr DANE für unseren Mail-Server.
Hinsichtlich der umsetzbaren organisatorischen und physischen Sicherheitsmaßnahmen wird es sicherlich Unterschiede zu gewerblichen E-Mail-Dienste-Anbietern geben, jedoch ist es sicherlich interessant, was sich an technischen Schutzmechanismen am Institut umsetzen lässt oder schon so in Betrieb ist.
Links:
- TR-03108
- C't 11/14 Geleitschutz: DANE verbessert sicheren Transport zwischen Mailservern
- RFC 6698 DANE
- RFC 4033 DNSsec
Mentor: Wolf Müller
Sichere Wiki-Migration
[Stefan L., Sebastian]
Ein Wiki ist seiner Natur nach ein offenes System, in welchem der "Mitmachgedanke" weit vorne steht. Leider gibt es dann doch häufig automatisierte Angriffe, die diese Eigenschaft ausnutzen. So fand sich auch in unserm Wiki viel SPAM.
Versuchen Sie, eine Kopie unseres Wikis auf eine aktuelle Codebasis zu heben. Dokumentieren Sie Ihre einzelnen Schritte. Treffen Sie eine begründete Auswahl an Zusatzpaketen zur Integration von Formeln, Bildern, ... und versuchen Sie eine möglichst sichere Konfiguration zu erreichen. Ansatzpunkte könnten die Verwendung von Captchas, sowie Beschränkungen zum anlegen von Nutzeraccounts sein.
Mentor: Wolf Müller, Wolfgang Gandre
Sicheres OpenVPN
OpenVPN ist eine gute Möglichkeit, seine Kommunikation durch öffentliche Netze abzusichern oder sich logisch in die HU oder in das Institut für Informatik zu begeben. Untersuchen Sie, wie diese Verbindungen (hu-berlin.ovpn und am Institut) konfiguriert sind, und welche Verbindungen zwischen Server und Client ausgehandelt werden. Hierbei gibt es zu beachten, dass es OpenVPN eine Kontrollverbindung zur Authentisierung und Schlüsselvereinbarung und eine Datenverbindung zum sicheren Transport der eigentlichen Daten nutzt. Für einen aktuellen OpenVPN-Clienten kann man die die Möglichkeiten für eine TLS-Absicherung der Kontrollverbindung mit openvpn --show-tls
und die Absicherungsmöglichkeiten der Datenverbindung mit openvpn --show-cipher
einsehen. Versuchen Sie eine effiziente, starke und auch möglichst interoperable Konfiguration zu erstellen, die mit aktueller Software den Zugriff unter Linux, Mac, Windows, iOS und Android gestattet. Verschaffen Sie sich einen Überblick. Welche Vor- / Nachteile haben die Modi CBC, CFB, CFB1, CFB8, OFB und was bewirken diese überhaupt?
Links:
Mentoren: Wolf Müller, Robert Sombrutzki
IPoverDNS
[Leonard, Laura]
Wie kann man mögliche Beschränkungen an WLAN-Hotspots umgehen? Welche Abwehrmechanismen sind denkbar?
Links:
Hacking Printers
[Thorben, Fritz, Leon]
Motivation und Szenario
Drucker sind weit verbreitete Geräte und stellen auf den ersten Blick kein lohnendes Angriffsziel dar. Das führt dazu, dass Updates teils nicht konsequent durchgeführt werden. So fand <ref> Jens Müller. [Exploting Network Printers] Master's Thesis. 2016. </ref> allein in Deutschland fast 2000 über das Internet erreichbare Drucker und in vielen getesteten Modellen gravierende Sicherheitslücken. Entgegen ihrer augenscheinlichen Harmlosigkeit läuft auf den von uns getesteten Druckern ein vollwertiges Betriebssystem und lassen sich daher von einem erfolgreichen Angreifer zu nützlichen Bots umfunktionieren. Außerdem enthalten Druckjobs potentiell vertrauliche Daten, die für einen Angreifer wertvoll sein könnten.
Dies motivierte uns dazu am Informatikinstitut eingesetzte Drucker auf Schwachstellen zu überprüfen und zu versuchen in das System des Druckers einzudringen. Als Leitfrage beschäftigte uns, ob dies einem Angreifer möglich ist, der keine Programmierkenntnisse besitzt und somit nicht in der Lage ist selbstständig Exploits zu entwickeln.
Wir konzentrierten uns auf drei verschiedene Geräte: einen (1) Canon ImageRunner 3225, einen (2) HP LaserJet 4250n und einen (3) HP LaserJet CD3505dn. Zur Durchführung unserer Angriffe beschränkten wir uns auf vorgefertigte Penetrationtesting Tools wie Hydra, MetaSploit oder Nessus.
Die von uns getesten Angriffe waren auf zwei der drei getesteten Drucker erfolgreich, was es uns erlaubte das Administratorpasswort zu erlangen und somit vollen Zugriff auf das Gerät zu erhalten.