Daher haben x-ion Mitarbeiter wieder an der vom 17. bis zum 18. Mai 2018 in Bochum stattfindenden RuhrSec teilgenommen.
Die non-profit IT-Sicherheitskonferenz fand zum dritten Mal im Veranstaltungszentrum der Ruhr-Universität Bochum statt. Die Vorträge der Konferenz setzen sich aus den Bereichen Industrie, Wirtschaft und Forschung zusammen und zielen auf Wissensvermittlung und nicht auf den Verkauf von eigenentwickelten Produkten der Sponsoren ab.
Die Vorträge auf der RuhrSec bilden ein breites Spektrum der IT-Security ab. Unter anderem gab es Vorträge zu den Bereichen Kryptografie, Fuzzing, Web Application Security und Internet of Things (IoT).
Folgende Vorträge sind von uns aufgrund von Relevanz und Inhalt zusammengefasst worden
- From Discovering Vulnerabilities to Getting Them Fixed At Scale
Referent: Dr. Ben Stock - Finding security vulnerabilities with modern fuzzing techniques
Referent: Rene Freingruber - Vulnerability handling process at Joomla!
Referent: David Jardin - Efail: Breaking S/MIME and OpenPGP Email Encryption using Exfiltration Channels
Referent: Damian Poddebniak and Christian Dresen
Zusammenfassung
Die Vorträge auf der RuhrSec bilden ein breites Spektrum der IT-Security ab. Unter anderem gab es Vorträge zu den Bereichen Kryptografie, Fuzzing, Web Application Security und Internet of Things (IoT). Im Vortrag “Finding security vulnerabilities with modern fuzzing techniques” ist demonstriert worden, wie Schwachstellen in Anwendungen mit Hilfe des Fuzzingtools American Fuzzy Lop (AFL) gefunden werden können.
Im Allgemeinen kann Fuzzing zur Qualitätssicherung beitragen. Hierbei wird unerwartetes Verhalten von Anwendungen entdeckt. Dieses unerwartete Verhalten kann z.B. in einer ausnutzbaren Schwachstelle resultieren oder einen Absturz der Anwendung zur Folge haben. Beim Einsatz von Fuzzing im Rahmen eines Penetrationstests muss die Möglichkeit eines sogenannten Denial of Service (DoS) mit beachtet werden.
Im Vortrag “From Discovering Vulnerabilities to Getting Them Fixed At Scale” ist über die Problematik gesprochen worden, wie schwierig es ist erkannte Sicherheitslücken zu schließen. Die Schwierigkeit hierbei liegt im Aufbau der Kommunikation und im Schaffen von Vertrauen, sowie der Vermittlung der durchzuführenden Schritte zum Beheben der Schwachstellen, welche nicht in der selbst kontrollierten Infrastruktur liegen. Im Vortrag wurde deutlich, dass ein direkter Kanal zu den Verantwortlichen am Besten funktioniert. Von den Forschern sind verschiedene Kommunikationskanäle wie z.B. Brief, Email und Telefon getestet worden. Dabei waren von Cross-Site-Scripting (XSS) betroffene Verantwortliche besser per Email mit enthaltenem Link zum Beheben der Schwachstelle (Phishing Mail) zu erreichen als per Telefon. Am Telefon hatten diese Bedenken einer Social Engineering Attacke zu unterliegen. Auch wenn der Erstkontakt erfolgreich verläuft, besteht in manchen Fällen das Problem, dass dem Verantwortlichen die Schritte zum Beheben der Schwachstelle auf Grund von Sprachbarrieren nicht verständlich sind. Am Ende bleibt immer ein Teil der erkannten Schwachstellen offen, da keinerlei Kommunikation über alle versuchten Kanäle aufgebaut werden konnte.
Erfolgreiche Angriffe auf IT-Systeme oder Anwendungen sind meist geprägt von einer Verkettung von ausgenutzten Schwachstellen oder Fehlkonfigurationen, wie z.B. default Passwörter.
Die ausgenutzte Verkettung von Schwachstellen ist im Vortrag “Vulnerability handling process at Joomla!” anschaulich verdeutlicht worden. Joomla ist ein im Internet weit verbreitetes Content Management System (CMS). Der erfolgreiche Angriff über die manipulierten Metainformationen eines Bildes (EXIF Informationen) ist durch zugrunde liegende Bugs in php, mysql und durch einen Bug im Joomla eigenen Code ermöglicht worden. Nach der Kompromittierung des Systems verschlossen die Angreifer hinter sich das Einfallstor. Die Zeitspanne bis zur Kompromittierung des Systems nach Veröffentlichung von Sicherheitslücken durch Joomla liegt nach deren Angaben bei ca. 60 Minuten. Dies verdeutlicht wie wichtig es ist zeitnah auf erkannte Schwachstellen zu reagieren.
Im Vortrag “Efail: Breaking S/MIME and OpenPGP Email Encryption using Exfiltration Channels” wurde in einer Live-Demo veranschaulicht, dass S/MIME als gebrochen anzusehen ist. Mit S/MIME verschlüsselte Emails sind nicht mehr für den Versand von schützenswerten Daten geeignet. Im zweiten Teil der Live-Demo ist verdeutlicht worden, dass es möglich ist bis zu ca. 1000 mit GPG verschlüsselte Emails in einer einzigen zusammenzufassen und den Klartext der zusammengefassten Nachrichten mit Hilfe von sogenannten Backchanneln zu exfiltrieren. Die offizielle Empfehlung der Vortragenden ist es, HTML im Mailclient z.B. Thunderbird zu deaktivieren und die Entschlüsselung auf der Kommandozeile durchzuführen.
Die RuhSec fand in den Räumen der RUHR-UNIVERSITÄT BOCHUM statt