Digitale Schlösser in Blau
Aufbruch in eine sichere und selbstbestimmte (IT-)Zukunft?

Ein Kommentar zur „Elbsides“ Konferenz 2019 in Hamburg

Trotz der vielen Möglichkeiten für Internetnutzer, sich mehr Privatsphäre zu verschaffen, sind wir nach wie vor sehr anfällig. Ein durchschnittlich versierter Nutzer mag beim täglichen Surfen beispielsweise einen Browser wie Firefox verwenden, dessen erklärtes Ziel es ist, Privatsphäre von Nutzern zu wahren. Weiterhin hat er vielleicht einen Adblocker aktiviert, um das Tracking von Cookies durch werbetreibende Seiten zu verhindern. Erik Sy forscht zu diesem Thema an der Universität Hamburg und ist überzeugt, dass es noch weitaus mächtigere und gefährlichere Benutzer-Tracking-Möglichkeiten gibt, als nur die durch Werbeeinblendungen. Auf der Konferenz stellte er seine Erkenntnisse bezüglich verschiedener Protokolle vor. Besonders ein Feature namens TCP Fast Open kritisierte er. Es dient eigentlich dazu, Verbindungen beispielsweise zu Webseiten schneller herstellen zu können. Jedoch ermöglicht ein sogenanntes Fast Open Cookie auch umfangreiches Tracking auf Betriebssystem-Ebene. Daher rät er dazu, das Feature gänzlich zu deaktivieren. Weiterhin sieht er aber auch die Browser-Hersteller wie Google und Mozilla in der Verantwortung, Nutzer besser zu schützen. Über sogenannte Tracking-Periods kann eingestellt werden, wie lange Cookies gültig sind. Hier muss ein Kompromiss zwischen Performance und Schutz der Privatsphäre gefunden werden. Nach wie vor ist es gerade für Normalbenutzer schwierig, den Überblick über diese Möglichkeiten zu behalten.

Diese Tatsache bestätigen auch Paul Vixie von Farsight Security Inc. und Ole Michaelis von DNSimple in Bezug auf ein weiteres Protokoll. Das Domain-Name-System (DNS) ist seit Jahrzehnten ein essentieller Dienst um zu einem Website-Namen (z.B. www.cassini.de) die zugehörige IP-Adresse herauszufinden. Die Abfrage funktioniert ähnlich wie das Nachschlagen einer Nummer in einem Telefonbuch. Obwohl es auch hier mittlerweile Ansätze wie DNS over HTTPS (DoH) gibt, um die Sicherheit dieses Verfahrens zu steigern, sind noch immer zahlreiche Angriffe auf die Privatsphäre von Benutzern möglich. Beispielsweise ist es für einen Angreifer unschwer zu erkennen, was in der verschlüsselten DNS-Anfrage für www.cassini.de stand, wenn der Benutzer direkt danach eine Verbindung mit eben genau dieser Webseite aufbaut.

Katharine Jarmul brachte in die Privacy-Diskussion einen weiteren Aspekt ein, der wohl den wenigsten Zuhörern in diesen Ausmaßen bewusst war. Bei Machine Learning Anwendungen werden Modelle erstellt und genutzt. Zu einer Eingabe kann die Anwendung dann mittels Modells eine Ausgabe erzeugen. Das Modell wurde zuvor mit einer gewissen Datenmenge trainiert. Ein Beispiel könnte ein System für Gesichtserkennung sein. Wurde das Modell mit dem Gesicht einer Person trainiert, soll es diese auf zukünftigen Bildern erkennen. Frau Jarmul argumentierte nun, dass Machine Learning Modelle durchaus auch Auswirkungen auf die Privatsphäre von Nutzern haben können. Im vorherigen Beispiel ist es etwa möglich, das Bild eines Gesichts aus dem Modell zu extrahieren mit welchem es zuvor trainiert wurde. Außerdem kann das Modell unter Umständen sogar Fragestellungen beantworten, die nie trainiert wurden oder vorgesehen waren. Diese Problematik ist natürlich besonders bei Machine-Learning-as-a-Service Anwendungen relevant, wo ein Provider wie Google Cloud oder Amazon Web Services die Modelle kennt.
Glücklicherweise existieren hier verschiedene Ansätze zum Schutz der Privacy, etwa indem man den Daten künstlich ein Rauschen, also eine gewisse Ungenauigkeit hinzufügt.

Cassini auf der Elbsides Konferenz 2019 in Hamburg
„Elbsides“ Konferenz 2019 in Hamburg
Cassini auf der Elbsides Konferenz 2019 in Hamburg
Ein eher unbekanntes Problem: Katharine Jarmul spricht über die Auswirkungen von Machine Learning auf Privacy.
Elbsides Konferenz 2019
Auch heute besitzen regelmäßig genutzte Protokolle wie Bluetooth noch große Schwächen, an deren Lösung geforscht wird.
Noch vor der Morgendämmerung begann die Reise zu einem spannenden Tag auf der Elbsides in Hamburg.
Noch vor der Morgendämmerung begann die Reise zu einem spannenden Tag auf der Elbsides in Hamburg.

Um die Mittagszeit folgten noch einige technische Vorträge. Luca Nagy von Sophos präsentierte Details bezüglich der Schadsoftware Emotet, die sie durch ihre Analyse entdeckt hatte. Trotzdem blieben einige Fragen bestehen, etwa von wem oder mit welchem Interesse diese Software gestartet wurde, oder warum sie im Lauf der Zeit ihren Zweck änderte. Zunächst war Emotet nämlich eine Plattform zum Nachladen von anderen Bank-Trojanern, wohingegen die Schadsoftware später auch Ransomware Funktionalität besaß. Nach einer Pause ist heute ist das Thema Emotet wieder brandaktuell – vor Kurzem warnte das BSI eindringlich vor der neusten Version der Schadsoftware. Ein weiterer Vortrag widmete sich den Schwächen von Bluetooth Low Energy (BLE) die besonders im initialen Prozess, der Kopplung von zwei Geräten, bestehen. Dieser Standard ist gerade bei smarten Geräten für das Internet of Things (IoT) sehr beliebt, da er einen sehr geringen Stromverbrauch verursacht.

Michael Helwig von Codemetrix und Martin Reinhardt [Präsentation] von Holisticon AG betrachteten in ihren Vorträgen die Frage, auf welche Art und Weise sich Sicherheitsmaßnahmen für Software in DevOps integrieren lassen. Bei DevSecOps wird die IT-Sicherheit ebenfalls in den gesamten Lebenszyklus integriert. Das ist besonders wichtig, da laut Helwig 41% der Datenlecks durch Softwareprogramme verursacht werden.
Für die Integration von Security in DevOps gibt es nun zwei Möglichkeiten. Entweder ist die Sicherheit im Verantwortungsbereich des Sicherheitsteams oder die Entwicklerteams sind selbst für die Sicherheit ihrer Produkte verantwortlich. Wo genau man diesen Schwerpunkt dann setzt, ist im Wesentlichen davon abhängig, wie ausgereift DevOps im Unternehmen zum aktuellen Zeitpunkt bereits ist.

Wer nun denkt, dass nach Protokollen, Kryptographie und Softwaresicherheit alle Gebiete der IT-Sicherheit abgehandelt wurden, hat weit gefehlt. Das machte Christina Lekati in ihrem Vortrag bezüglich Insider-Angriffen in Unternehmen eindrucksvoll klar. In ihrer Arbeit spezialisiert sie sich auf das Element Mensch in der IT-Sicherheit. Bei dem Risiko eines internen Angreifers spielen eine große Menge psychologischer und persönlicher Faktoren mit, sei es Unzufriedenheit im Unternehmen oder diverse private Probleme. Sie stellte verschiedene Indikatoren vor, die auf einen möglichen Insider-Angriff hindeuten und erklärte gleichzeitig, wie sich Angriffe durch geeignete Maßnahmen wie eine optimierte Sicherheitskultur im Unternehmen vermeiden lassen. Hier kommt es besonders auf ein sinnvolles Reporting-System an, sowie HR-Mitarbeiter die Anliegen diskret und richtig bearbeiten.

Der letzte Vortrag brachte den ohnehin sehr spannenden Tag zu einem würdigen Abschluss. Samy Makki von Akamai nahm die Zuhörer mit auf eine virtuelle Reise durch die Kill-Chain eines Web-Angriffs, also der Kette an Aktionen die nötig ist um einen solchen Angriff erfolgreich auszuführen.
Von Account-Informationen die über das Dark-Web gekauft wurden bis hin zu hochgradig automatisierten Login-Versuchen mit gestohlenen Accounts und nachfolgendem Identitätsdiebstahl wurden verschiedenste Facetten aufgezeigt.
Um derartige Angriffe zu verhindern helfen beispielsweise zuverlässige Bot-Erkennungsmechanismen, die weit über allgemein bekannte Verfahren wie Captcha hinaus gehen. Können Bot-Login-Versuche enttarnt werden, wird dem Angreifer die Möglichkeit entzogen automatisiert zu prüfen, welche seiner erworbenen Zugangsdaten bei welchen Diensten einen Login ermöglichen.

Die Elbsides-Konferenz hat es geschafft, ein spannendes Programm mit verschiedensten Themen der IT- Sicherheit zu präsentieren. Von fachlicher Tiefe in Protokollen und Software bis hin zu menschlichen und psychologischen Aspekten war wirklich alles geboten. Interessenten für das nächste Jahr sei empfohlen, sich frühzeitig bezüglich Vorverkaufsterminen zu informieren, um einen der begehrten Plätze zu ergattern.

Artikel von:
Jens Neureither, Cassini Consulting, Cassini Consulting AG
Jens Neureither
Consultant
Seite teilen

Weitere Artikel

disruptive Geschäftsmodelle
Artikel

Hyper-disruptive: Die Kraft kombinierter Geschäftsmodelle

Hyper-disruptive Geschäftsmodelle haben das Potenzial, die Digitalisierung in Unternehmen und damit auch ihre Unternehmensmacht entscheidend voranzutreiben. Erfahren Sie, was passieren wird.

Artikel lesen
Büro mit Fensterscheiben voller bunter Notizzettel
Artikel

Neue digitale Geschäftsmodelle erfolgreich initiieren

Wie gestalten Sie erfolgreich die Umsetzung Ihres neues digitalen Geschäftsmodell? Wie vermeiden Sie Konflikte und Reibungsverluste? Wie erschließen Sie sich mit dem neuen Modell auch neue Märkte? Wir zeigen Lösungen auf.

Artikel lesen
Satellit im Weltraum, Blick auf die Erde
Artikel

Digital Farming – Erfolge durch digitale Transformation

In der sonst bodenständigen Agrarwirtschaft hat die Digitalisierung längst Einzug gehalten. Sie ermöglicht ökologische und ökonomische Nachhaltigkeit und präzisen Einsatz von Ressourcen. Zu den Vorteilen, Chancen und Anforderungen von Digital Farming.

Artikel lesen