Programm
IT-SECX 2018
Gernot Kohl | Geschäftsführer FH St. Pölten
Matthias Stadler | Bürgermeister Stadt St. Pölten
Christiane Teschl-Hofmeister | NÖ Landesrätin
Kevin Jones | Head of Cyber Security, Airbus
Johann Haag | Mitglied Hochschulmanagement | Departmentleiter Informatik und Security | FH St. Pölten
Christopher Leder | WKO UBIT NÖ
Joe Pichlmayr | Ikarus
Gernot Goluch | BMI/BVT
Im Vortrag von Gernot Goluch werden inhaltliche sowie operative Themen (z. B. Identifikation, Schwellwerte, Meldeverpflichtungen sowie Prüfungen) für Betreiber wesentlicher Dienste, Anbieter digitaler Dienste sowie qualifizierte Stellen im Rahmen des zukünftigen NIS-Gesetzes zusammengefasst und präsentiert.
Stephan Hutterer | Sprecher Automation
Die elektrische Energieversorgung ist eine der zentralen kritischen Infrastrukturen. Als international tätiger Hersteller und Integrator von Automatisierungslösungen für die Energietechnik unterstützt Sprecher Automation Energieversorger ebenfalls bei Entwurf und Analyse sowie Implementierung von Sicherheitskonzepten. Der Vortrag spannt einen breiten Bogen, ausgehend von aktuellen bekannten Sicherheitsvorfällen über gesetzliche Initiativen bis hin zu typischen Sicherheitstechnologien in der Branche. Dabei wird auf technischer Ebene die Kritikalität des Stromnetzbetriebes erläutert und auf typische eingesetzte Technologien eingegangen. Darauf aufbauend werden grundlegende hier eingesetzte Sicherheitstechnologien anhand von Praxisbeispielen diskutiert.
Matthias Eckhart | TU Wien
Das Konzept der „digitalen Zwillinge“ hat das Potenzial, die Industrie zu revolutionieren, indem mithilfe von Modellen cyber-physischer Systeme (CPSs) zahlreiche Anwendungsfälle der Industrie-4.0-Vision realisiert werden können, wie z. B. die vorausschauende Wartung. Virtuelle Abbilder des Netzwerk- und Logiklayers von CPSs können allerdings auch dazu genutzt werden, um Sicherheitsmaßnahmen über den gesamten Lebenszyklus hinweg umzusetzen. Diese reichen vom Engineering der Systeme bis hin zum Betrieb der gesamten Industrieanlage. In diesem Vortrag erfahren Sie, wie digitale Zwillinge anhand der Spezifikation automatisch generiert werden können und wie sich damit Maßnahmen zum Schutz der CPSs, beispielsweise Intrusion-Detection-Systeme, implementieren lassen. Zudem wird ein Ausblick auf künftige Arbeiten gegeben und Sie erfahren, welche Probleme es zu lösen gilt, um den effizienten Einsatz dieses Security-Ansatzes zu ermöglichen.
Philipp Schaumann | sicherheitskultur.at
Der Vortrag behandelt die Herausforderungen, die sich (vermutlich) aus der Einführung von autonomen Fahrzeugen ergeben werden.
Details auf philipps-welt.info
Marco Dermutz | Kapsch BusinessCom
Wir hätten nie gedacht, einmal Protagonist in einem Technik-Thriller zu sein! Sommer 2018: zuerst mutmaßten wir, die hohe Rücklaufquote unserer Produkte ist auf Probleme in der Fertigungsqualität zurückzuführen. Monate lang waren wir mit Ursachenanalyse beschäftigt. Auch den tragischen Unfall eines Wartungstechnikers mit einem unserer Industrie-Roboter haben wir als Einzelfall gesehen. Heute jetzt wo der Stillstand klar auf Sabotage zurückzuführen ist, wissen wir, dass es sich um ein Sicherheitsproblem handelt. Das Kapsch- Security-Team und seine Partner bringen Licht ins Dunkel um das seltsame Verhalten eines Industrie-Roboters, analysieren die Hintergründe und zeigen, wie man vernetzte Steuerungen und Produktionsmaschinen ordnungsgemäß absichert. Die Zeit dafür ist reif!
Markus Hirsch | Fortinet
Nur, wenn wir wissen, was wir schützen sollen, können wir es auch wirksam schützen. Wir wissen, dass die verschiedenen Komponenten im Produktionsprozess stark vernetzt sind. Häufig wissen wir aber nicht, in welcher Form die Daten übertragen werden und zwischen welchen Geräten die Übertragung tatsächlich stattfindet.
Bevor wir also tatsächliche Schutzmechanismen in OT-Netzwerken implementieren, müssen wir genau wissen, welche Informationen in welcher Form zwischen welchen Geräten ausgetauscht werden müssen.
Markus Riegler | ACP IT Solutions
Cyber Security Awareness im österreichischen Mittelstand – wo wir stehen – wo wir hin müssen – und wie wir dahin kommen können – ein interaktiver Praxisbericht. „Securing the Smart Factory of the Future“ bedeutet im Umkehrschluss vor allem, dass auch die Verantwortungsträger die Kenntnis, das Verständnis oder die Einstellung – also das „Mindset“ – mitbringen müssen, um auch die „richtigen“ Entscheidungen zu treffen, die „richtigen“ Investitionen zu tätigen und auch die „richtige“ Unterstützung zu beziehen. Die Komplexität einer sogenannten „Smart Factory“ in all ihren sicherheitstechnischen Facetten stellt hohe Anforderungen an die zukünftigen Verantwortungsträger der Unternehmen dar. Ein Praxisbericht zeigt, wo wir im österreichischen Mittelstand zum Thema Bewusstsein zu Gefahren aus dem Cyber-Raum stehen und welche Ansätze wir gefunden haben, um dieses Unternehmenssegment auf „stabilere Beine“ zu stellen.
Daniel Haslinger | FH St. Pölten & Christoph Lang-Muhr | FH St. Pölten
Wie schon im letzten Jahr schließen wir die diesjährige IT-SECX mit einem Streifzug durch Ereignisse und Meldungen des vergangenen Jahres, beleuchten und hinterfragen, was sich in Bezug auf das Netz und die Security so alles getan hat und versuchen uns in der Kunst der Wahrsagerei.
Sebastian Castro | CSL Labs, Kolumbien
The art of persistence is (and will be…) a matter of concern when successful exploitation is achieved. Sometimes it’s pretty tricky to maintain access on certain environments, especially when it is not possible to execute common vectors that could trigger an alert on the victim. This statement ratifies why it’s necessary to use discrete and stealthy techniques to keep an open door right after obtaining a high privilege access on the target.
What could be more convenient than only use OS resources in order to persist an access?
This talk will provide a new post-exploitation hook applicable to all Windows versions called RID Hijacking, which allows setting desired privileges to an existent account in a stealthy manner by modifying some security attributes. To show its effectiveness, the attack will be demonstrated by using a module which was recently added by Rapid7 to their Metasploit Framework.
Kirils Solovjovs, Lettland
While working on a project to reverse engineer some of the internal communication protocols used in a Paradox security alarm system, author discovered a shocking secret on the COMBUS – the common bus connecting the control panel with keypads and other peripherals. Turns out that COMBUS isn’t protected neither electrically, nor logically, thus rendering the security system effectively broken. This talk takes us through the discovery process, allowing to replicate research results, the findings and some theoretical attacks that are possible as a result. As part of responsible disclosure process the author has notified Paradox, the Canadian company that offers physical security devices, most notably – home/office security alarms, about the discovered vulnerability. The company responded that the information brought forward by the author “has been dealt with”. Author sincerely hopes that means “fixed”.
Martin Schmiedecker | Bosch Engineering
In this talk I will give an overview of well-known IT security mechanisms, and how they are used in today’s automobiles in general. I will also present security mechanisms that are likely to become widely used within the next 5 years, such as signed software updates or authenticated on-board communication, and are currently in development.
Henri Ruotsalainen | FH St. Pölten
Today in myriad of applications embedded devices perform collection, processing and transfer of data, which can be regarded as the back-bone of the internet-of-things. Such low-end devices share some common aspects such as operation with ultra low energy consumption, low/restricted communication rates and long device life cycles. Moreover, the projected IoT networks (LoRaWAN, NbIot, Sigfox) supporting the aforementioned performance criteria shall grow fast with large number of nodes per access point. All of these facts translate the task of building an end-to-end secure communication channel challenging. In this talk a fresh and interesting topic will be discussed: Can one achieve another layer of security for IoT by harnessing the inherent randomness of the wireless physical layer of LoRa communication?
Manuel Wiesinger | SBA Research
Recently discovered side-channel vulnerabilities in processors and memory modules (such as Meltdown, the Spectre family or Rowhammer) require us to rethink fundamental assumptions of operating system design – we can no longer take proper memory management for granted. Today’s predictable operating system behavior may eventually be leveraged to leak information helping attackers. This talk gives a high-level overview of publicly known side-channel attacks as well as proposed defense strategies. We discuss how such attacks can (realistically) help intruders as well as the side-effects of stopping them.
Nicholas Stifter | SBA Research
„Blockchain“ has become a hype topic, and its potential application is being discussed in areas well beyond the realm of cryptocurrencies. In this regard, the gold rush atmosphere has undoubtedly influenced many decision makers when it comes to adopting these new technologies. Being at the forefront of these developments can yield many benefits, including the first-mover advantage. However, the consequences of a heedless or ill-informed implementation of a blockchain can quickly outweigh any possible advantages and even turn into a security nightmare. It is therefore paramount to have a firm understanding of the capabilities and limitations of these technologies and, more importantly, be aware that appropriate design decisions are heavily influenced by the target use-case. This talk will outline various mistakes that can be made when adopting blockchain technologies, thereby raising awareness that „blockchain“ is not a silver bullet for improving security and resilience.
Mikhail Arshinskiy | Deloitte
Mobile devices investigation is a challenging field for forensic analysts, especially due to the increasing amount of data encryption mechanisms. The talk will give a brief overview on how to conduct a forensic investigation and examine the different approaches of physical and logical data acquisition methods. Furthermore, encryption mechanisms and countermeasures used on mobile devices are discussed on a high-level basis. Subsequently, different approaches will be outlined on how security can be circumvented by use of both advanced and traditional methods. Password gathering and analysis will be performed on an evidence as well as password cracking for an iTunes Backup password. Additionally, password managers of browsers will be leveraged to gain access to a variety of passwords to support the mobile forensic investigation. Finally, the talk will highlight the need for more in-depth examination of mobile phone evidence.
Ulrich Bayer & Reinhard Kugler | SBA Research
Täglich werden neue Sicherheitsschwachstellen in Webapplikationen gefunden. Auch populäre und häufig verwendete Webapplikationen, genauso wie die Produkte großer und etablierter IT-Firmen wie Facebook, Microsoft und Google sind davon betroffen. Sichere Softwareentwicklungsprozesse beschäftigen sich seit geraumer Zeit damit, sichere Software zu erzeugen, und helfen die Anzahl an Schwachstellen zu minimieren.
Wie kann man knapp 30 Jahre nach der Entstehung des World Wide Web ein sicheres System bauen? Kann man ein System bauen, das auch im Falle einer Sicherheitsschwachstelle Daten sicher verwahrt? Ein resilientes System, das eine einzelne Schwachstelle von einer anderen Komponente ausgleicht und bei dem moderne Sicherheitsmaßnahmen in optimaler Weise ineinander greifen. Der Vortrag beschäftigt sich damit, wie ein System trotz einer Schwachstelle nicht angreifbar wird. Dazu wurde ein Selbstversuch zum Aufbau eines sicheren Systems an Hand von Nextcloud, einer populären Open-Source-Alternative durchgeführt.
René Freingruber | SEC Consult
Was verbindet Anti-Viren-Programme, Firewalls, IDS / IPS / Endpoint Protection / Breach Detection Systeme, Application Whitelisting, Network- und Host-based Monitoring Lösungen miteinander? Sie können mit einfachsten Techniken umgangen werden. In diesem Vortrag werden wir uns diese Techniken näher ansehen und das Problem besprechen, weshalb es so schwierig ist, Malware zu erkennen. An Hand von Beispielen werden wir sehen, wie Malware diverse Schutzmechanismen austrickst und somit vollkommen unerkannt unter dem Radar bleibt.
Rene Pfeiffer | DeepSec
Die Informationssicherheit steht immer in der Mitte zwischen mehreren Seiten. EndanwenderInnen, ProgrammiererInnen, SystemadministratorInnen, ProjektleiterInnen, SicherheitsspezialistInnen, Controller und alle anderen Bereiche eines Unternehmens müssen zusammenspielen, damit eine sinnvolle Umsetzung von Sicherheitslösungen stattfinden kann. Geht das auch mit modernen Entwicklungsansätzen? Dieser Vortrag geht dieser Frage nach.
Dominik Sramec | FH St. Pölten
In der heutigen Softwareentwicklung müssen Features schneller entwickelt, getestet und an den Kundinnen und Kunden geliefert werden, um wettbewerbsfähig bleiben zu können. Mithilfe der agilen Softwareentwicklung können Releasezeiten verkürzt und regelmäßig Features, Fehlerbehebungen oder Verbesserungen schneller in Produktion, und damit zur Kundin oder dem Kunden, gebracht werden. Dabei werden teilweise Sicherheitsaspekte, wie zum Beispiel die Codequalität, Schwachstellen im Code oder Fehlkonfigurationen beziehungsweise andere Faktoren, die den Auslieferungsprozess behindern oder manipulieren könnten, vernachlässigt. So könnte zum Beispiel ein manipuliertes Docker-Image einer Angreiferin oder einem Angreifer eine Reverse Shell öffnen. Diese Präsentation gibt einen Überblick über DevOps und DevSecOps und die jeweiligen Konzepte dahinter. Weiters werden mögliche Angriffsziele auf eine Deployment Pipeline mithilfe von Attack Trees dargestellt, beschrieben und dazugehörige Gegenmaßnahmen vorgeschlagen.
David Wind | it.sec
In diesem Vortrag wird ein Überblick über die (Un)Sicherheit der Alexa Top 1 Million Webseiten geschaffen, welche über die letzten Monate von der it.sec GmbH & Co. KG erhoben wurde. Dabei wurde der Fokus auf Fehlkonfigurationen des Webservers oder der dahinterliegenden Applikationen gelegt. Bei unseren Untersuchungen über die letzten Monate wurde deutlich, dass einige sehr bekannte und gut besuchte Seiten von Schwachstellen betroffen sind, welche für AngreiferInnen einfach zu finden und auszunutzen sind. Beispielsweise konnten wir Subdomains internationaler Konzerne übernehmen, welche sich perfekt für Phishing-Angriffe oder für das Stehlen von Single-Sign-On Tokens eignen würden. Außerdem konnten wir durch falsch konfigurierte Source Code Repositories großer Konzerne Zugriff auf vertraulichen Quellcode erlangen. In diesem Vortrag demonstrieren wir, dass sogenannte „Low Hanging Fruits“ immer noch existieren, und man sich mit etwas Glück sogar Geldprämien (Bounties) verdienen kann
Alex Inführ | Cure53
Nowadays hackers release new attack vectors or interesting bugs almost every week.
Although not all are applicable for the work of a pentester, it is sometimes difficult to keep track of all new technologies and their potential issues. This talk tries to present new or interesting techniques which can be helpful for web pentesters. The main focus will be set on server technologies but new client side web technologies are getting more common as well.
Rene Offenthaler & Julian Lindenhofer | CyberTrap
Viele Dateitypen existieren bereits seit vielen Jahren und werden oftmals aufgrund ihres Bekanntheitsgrades als „sicher“ wahrgenommen. Doch gerade in letzter Zeit werden Dokumente dieser bekannten Dateitypen dazu verwendet, Firmen oder auch kritische Infrastruktur im Zuge größerer APTs zu kompromittieren. Manipulierte Dokumente fungieren in diesem Zusammenhang oftmals als „Türöffner“ für weitere verheerendere Angriffe. Welche Möglichkeiten bieten populäre Formate wie Office oder PDF? Wie sicher sind die von der breiten Masse verwendeten Dokumente tatsächlich?
Pascal Schulz | Dynatrace
Viele Firmen investieren Geld in externe Sicherheitsüberprüfungen (Penetration Tests), die leider oftmals nur wenige Schwachstellen aufdecken. Ein häufiger Grund dafür ist die unbekannte Problemdomäne des zu testenden Produktes. Die Alternative dazu ist ein sogenanntes internes Bug-Bounty-Programm, in dem anstatt externer Dienstleister die eigenen EntwicklerInnen Sicherheitslücken aufspüren.
Dynatrace hat 2018 drei Monate lang seine EntwicklerInnen dazu aufgefordert, neben ihrer normalen Tätigkeit auch Security-Lücken zu identifizieren. Dieser Talk gibt einen ausführlichen Einblick in die Vorteile, Tücken und Key-Learnings eines selbst organisierten internen Bug- Bounty-Programms. Ebenso wird präsentiert, wie wir unseren Mitarbeiterinnen und Mitarbeitern die Ergebnisse aufbereitet haben und welche Schritte gesetzt werden können, um eine Awareness-Steigerung zu erzielen. Zu guter Letzt wird ein Kostenvergleich zu externen Bug-Bounty-Diensten (Hackerone, Bugcrowd, etc.) aufgestellt.
Florian Bogner | Bee IT Security & Raphael Zoidl | Raiffeisen Software GmbH
E-Banking ist heute nicht mehr wegzudenken. Egal ob im Privatbereich oder geschäftlich, fast jeder kommuniziert nur mehr Online mit seiner Bank. Ein Paradebeispiel für die Digitalisierung. Doch was wäre, wenn die dafür eingesetzte Anwendung einen Fehler aufweist? Kann ein Hacker dadurch mein Bankkonto leeren? Die klare Antwort auf diese Frage lautet: Ja! In diesem Vortrag wird eine zuvor unveröffentlichte Lücke in einer Business-relevanten E- Banking-Anwendung vorgestellt, die täglich hunderte Male in Österreich eingesetzt wird.
Bei der Verwundbarkeit handelt es sich um eine sogenannte Remote Code Execution, bei der durch einen Logikfehler Vollzugriff auf die von der Anwendung eingesetzten Datenbank sowie dem darunterliegenden Betriebssystem erlangt werden konnte. Auf der zehnstufigen CVSS- Bewertungsskala wurde die Schwachstelle mit der Maximalwertung von 10.0 als „kritisch“ eingestuft! Mithilfe von Decompilern, Debuggern und kritischem Denken® wird der Exploit- Vorgang nun erstmals vorgestellt und live demonstriert. Als besonderes Highlight geht der Hersteller der Banking-Anwendung auf die Herausforderungen bei der Behebung der Verwundbarkeit ein.
Werner Schober | SEC Consult
In recent years the internet of things has slowly creeped into our daily lives and is now an essential part of it, whether you want it or not. A long-existing sub category of the internet of things is a mysterious area called teledildonics. This term got invented about 40 years ago and described (at this time fictional) devices, allowing their users to pleasure themselves, while being interconnected to a global network of plastic dongs. With great pleasure comes great responsibility. A responsibility, which is not taken into consideration enough by the smart sex toy manufacturers as they should while handling extremely sensitive data. This was the basis for a research project called „Internet of Dildos, a long way to a vibrant future“, dealing with the assessment of smart sex toys and identification of vulnerabilities in those products, including mobile apps, backends and the actual hardware.
Johannes Klick | Alpha Strike Labs
Das Dezentrale Cyber-Aufklärungs-System (DCS) ist in der Lage, das gesamte Internet (2,8 Mrd IPs) in wenigen Stunden nach einem von über 40 offenen oder proprietären Netzwerkdiensten zu scannen. Die Scan-Daten werden mit weiteren öffentlich verfügbaren Informationen wie z. B. Whois-, IP-Prefix-, Autonomous System- (AS) oder Zertifikats-Informationen sowie dem Geo-Standort angereichert und können auf einer Karte visualisiert oder in Diagrammen aggregiert werden. Die Kombination dieser Daten ermöglicht eine Analyse über Cyber-Infrastrukturen von Staaten und Unternehmen durchzuführen, um z. B. die Serviceverteilung, Login-Webseiten, IP-Adressbereiche sowie verletzliche IT-Services eines Konzerns weltweit innerhalb kürzester Zeit auszuwerten. Dazu gehört die Identifizierung aller IP-Adressbereiche, Internetservices inkl. Schwachstellenanalyse (Web, Mail Telnet – 40 Protokolle inkl. proprietäre Protokoll wie z. B. das Siemens S7-Kommunikationsprotokoll für Industriesteuerungen).
Thomas Kastner | VACE
Im Rahmen des Vortrags gehen Experten der VACE Systemtechnik auf die notwendigen Voraussetzungen für den Aufbau und Betrieb eines Security Operation Center ein. Das SOC-Team nutzt dabei als zentrale SIEM-Plattform quelloffene Komponenten und kann dadurch sowohl kosteneffizient als auch ohne erhebliche Lizenzkosten starten. Vorhandene Logquellen und Dienste werden eingebunden und durch gesicherte Zugänge werden die Daten korreliert und Sicherheitsvorfälle behandelt. Der Unterschied zu einem herkömmlichen SOC ist die bewusste Reduktion auf KMUs ab 50 Arbeitsplätzen. Es wird auf die Prozesse, Architektur und die notwendigen Aufbauarbeiten Rücksicht genommen und vorgestellt wird wie die freiwillige, digitale Cyberwehr aussehen kann.
Bernhard Lorenz | OSM Solutions
Die Ermittlungen und die dadurch entstandene Anklage durch Robert Mueller und sein Team vom Juli 2018 bezüglich der Einmischung in den US-Präsidentschaftswahlkampf enthalten außergewöhnlich detaillierte und mit technischen Aspekten gespickte Vorwürfe. Einerseits werden in dem Vortrag entsprechende Beispiele erläutert, andererseits werden auf Basis der Informationen aus dieser Anklageschrift die mögliche Vorgehensweise der ErmittlerInnen skizziert sowie die Fehler der AngreiferInnen als auch potentielle Maßnahmen, welche die Angriffe unterbinden hätten können, beleuchtet.
Stefan Schubert | FH St. Pölten
Themen wie Quantencomputer und Maschinelles Lernen gepaart mit künstlicher Intelligenz werden wichtige Eckpfeiler der Informatik der näheren Zukunft. Dies birgt große Chancen und auch große Risiken, derer sich aber die wenigstens Leute bewusst sind. Dieser Vortrag beschäftigt sich zuerst mit einer Einführung in die technischen Grundlagen der jeweiligen Begriffe und führt über in die daraus resultierenden Ergebnisse, die in näherer Zukunft zu erwarten sind. Diese Ergebnisse werden besonders im Hinblick auf Informations- und IT-Sicherheit in Verbindung mit Industrie im allgemeinen und speziell Industrie 4.0 betrachtet, in der eine langlebige Sicherheit in allen Bereichen wichtig ist und trotzdem eine große Flexibilität vorherrschen muss.