Programm
IT-SECX 2019
Johann Haag | Geschäftsführung FH St. Pölten
Matthias Stadler | Bürgermeister der Landeshauptstadt St. Pölten
Martin Michalitsch | Abgeordneter zum NÖ Landtag | in Vertretung von Landeshauptfrau Johanna Mikl-Leitner
Christoph Leder | WKO UBIT NÖ
Peter Kieseberg | Institutsleiter Institut für IT Sicherheitsforschung
Helmut Kaufmann | Departmentleiter Informatik und Security | FH St. Pölten
Thomas Brandstetter | FH-Dozent | FH St. Pölten
Lukas Weichselbaum | Google
Web applications have historically been plagued by vulnerabilities which allow attackers to compromise the session of a logged-in user: XSS, CSRF, clickjacking and related issues. Luckily, new security mechanisms available in web browsers in 2019 offer exciting features which allow developers to protect their applications. In this talk, we’ll introduce these features and explain how to most effectively use them. We’ll start by reviewing major threats based on an analysis of thousands of vulnerability reports Google receives each year under our Vulnerability Reward Program. We will find common themes between bugs which appear unrelated and focus our attention on the most frequent high-risk problems. We’ll then turn our attention to protective mechanisms implemented in modern browsers, which address entire classes of security problems. This includes CSP3 and Trusted Types to prevent XSS, Fetch Metadata Request Headers to protect from CSRF, and CORP/COOP to mitigate the threat of Spectre.
Bernhard Mueller | ConsenSys
In this talk, I shed light on the various types of flaws that occur in smart contracts on the Ethereum blockchain. I’ll show how to detect vulnerabilities in smart contract binary code using symbolic execution and how to auto-generate exploits using concretisation. I’ll also talk about the war raging between hackers, honeypot creators and front-running bots who are constantly trying to steal cryptocurrency from each other.
Jelena Milosevic | TU Wien
Many applications rely on efficient machine learning. Some examples are: vision and image processing, autonomous driving, and malware detection. In order to facilitate novel applications in these domains, it is of utmost importance to provide machine learning solutions that are not just accurate, but also suitable for constrained environments. In my talk I will discuss how we can design and develop machine-learning-based mobile malware detection solutions suitable to be used in real-time, on-device, and at the same time customizable with respect to application requirements (accuracy, inference time, and power consumption).
Markus Donko-Huber | adidas Runtastic
Runtastic operates an agile service infrastructure that scales to millions of global users of our mobile applications. Our service approach requires security measures that scale as fast as our service infrastructure. In this talk we will present the nuts and bolts of security automation at Runtastic which helps us to scale our security measures. The talk should provide the major building blocks for implementation DevSecOps approaches at your own infrastructure.
Bjorn De Sutter | Ghent University
To counter man-at-the-end attacks such as reverse engineering and tampering, software is often protected with techniques that require support modules to be linked into the application. It is well-known, however, that attackers can exploit the modular nature of applications and their protections to speed up the identification and comprehension process of the relevant code, the assets, and the applied protections. To counter that exploitation of modularity at different levels of granularity, the modules need to be integrated in a more stealthy manner. In other words, the boundaries between the modules in the program need to be obfuscated. We propose to do so by combining three cross-boundary protection techniques that thwart the disassembly process and in particular the reconstruction of functions: code layout randomization, interprocedurally coupled opaque predicates, and code factoring with intraprocedural control flow idioms. We present and evaluate these techniques in this talk.
Johanna Ullrich | SBA Research
„If you become a monoculture, you are at great risk of perishing; this is true for domestic woods and IT infrastructures alike. Just like a bug destroying acres of spruce forests, a single vulnerability (or occasional error) impacts vast amounts of devices. Eventually having the potential to cause outage of Internet core functionality or even critical infrastructures, we are obliged to join forces to increase diversity at all layers. In this presentation, we explore practical reasons leading to large IT monocultures and their consequences by the example of past vulnerabilities and current research. We discuss how diversity increases resilience of IT infrastructures, present available approaches and their fit with current practices eventually outlining a diversity model inherent to IT. Finally, we discuss how everyone of us is able to leverage diversity.“
Alexander Inführ | Cure53
When we read about document macro vulnerabilities, the common misconception is that they only exist in Microsoft Office.
This is far from the complete picture for the vulnerability class of document macros. I will present a deep dive into the world of LibreOffice macros and share my research methodology which has led me to discovering numerous remote code execution by abusing document macros.
This will unveil the inner workings of LibreOffice and bring you along on my adventure of learning and discovering critical vulnerabilities.
That journey covers my first LibreOffice macro vulnerability (CVE-2018-16858), an explanation of another LibreOffice macro vulnerability (CVE-2019-9848) and how I and others bypassed the fix (CVE-2019-9850, CVE-2019-9851). The last step will show how the fix can be bypassed again on Windows. In the end I will discuss security recommendations for the LibreOffice suite.
Daniel Haslinger & Christoph Lang-Muhr | FH St. Pölten
Wie schon im letzten Jahr schließen wir die diesjährige IT-SECX mit einem Streifzug durch Ereignisse und Meldungen des vergangenen Jahres, beleuchten und hinterfragen, was sich in Bezug auf das Netz und die Security so alles getan hat und versuchen uns in der Kunst der Wahrsagerei.
Thomas Weber | SEC Consult
Viele branchenspezifische Lösungen im Bereich SCADA bestehen aus unbekannten kundenspezifischen Chips ohne öffentlich zugängliche Dokumentation. Diese anwendungsspezifischen integrierten Schaltungen (ASICs) sind oft einfache Ein-Chip-Systeme (SoC) mit standardisierten Modulen und kaum kundenspezifischen Funktionen wie zusätzlichen CAN-Bus-Schnittstellen, etc. In diesem Vortrag werden wir das Hardware-Reverse-Engineering kundenspezifischer Chips und das Auffinden versteckter Debug-Schnittstellen vorstellen, indem wir die Siemens-Reihe S7-1200 (v1 und v4) als beispielhaftes Angriffsziel verwenden. Für die neueren SPS-Serien (S7-1200v4) wurde ein funktionsfähiges Debug-Setup mit einem JTAG-Adapter erstellt, der es uns ermöglichte, Speicher zu sichern/zu schreiben, Breakpoints zu setzen, den Programmzähler zu ändern und alle anderen Funktionen für das Live-Debugging der Siemens-SPS (speicherprogrammierbare Steuerung) zu nutzen. Da alle S7-1200-Geräte dasselbe Ein-Chip-System verwenden, kann das Debuggen auf allen SPS dieser Serie aktiviert werden.
Reinhard Kugler & Andreas Bernauer | SBA Research
Unternehmen setzen auf Microsoft Active Directory, um ihre Benutzer, Computer und Services zu verwalten. Bei Firmenfusionen stehen Administratoren vor der Aufgabe, Vertrauensstellungen zu konfigurieren – aber welche Gefahren gehen von den verbundenen Forests aus? Sind sie ein Einfallstor für Hacker? Schwächt die Integration einer kleinen Firma die IT-Sicherheit eines Konzerns? In diesem Vortrag werden Bedrohungen bei Forest Trusts aufgezeigt, welche Sicherheitslücken betrachtet werden sollen und wie man mit Sicherheitstests die Angriffsvektoren testet.
David Wind | A1 Digital International
Sogenannte „Spear-Phishing-Attacks“, also gezielte Phishing Angriffe auf meist hochrangige Mitarbeiter großer Konzerne, werden in den Medien immer wieder thematisiert. Jedoch wie werden diese durchgeführt? In den letzten Monaten haben wir uns bei der A1 Digital intensiv mit dem Thema beschäftigt, wie wir „die perfekte Spear Phishing Kampagne“ durchführen können, da unsere Kunden erhöhte Ansprüche an unsere Kampagnen stellen. In diesem Vortrag werden Methoden des Phishings gezeigt, welche äußerst schwer zu erkennen sind und perfekt für gezieltes Phishing wie CEO Frauds eingesetzt werden können. Das Ziel dieses Talks ist es, Awareness selbst unter Security affinen Personen zu schaffen, da Methoden gezeigt werden, welche so vermutlich noch nicht jedem bekannt sind.
René Freingruber| Kapsch BusinessCom
In diesem Vortrag werden gängige Techniken vorgestellt, mit welchen ein Angreifer innerhalb weniger Minuten Windows Netzwerke übernehmen kann. Zu jedem Angriff werden entsprechende Gegenmaßnahmen vorgestellt. Ziel ist, dass der Zuseher am Ende des Vortrages einen Überblick über die wichtigsten Active Directory Angriffe erlangt hat und weiß, wie diese „low hanging fruit“ Schwachstellen verhindert werden können.
Roland Pucher & Stepan Grebeniuk | BDO IT & Risk Advisory
Im März dieses Jahres wurde von IT-Sicherheitsexperten festgestellt, dass eine häufig genutzte Konfiguration der BitLocker-Verschlüsselung angreifbar ist. Dabei besteht die Möglichkeit, während dem Bootvorgang die Kommunikation zwischen dem TPM-Chip und dem Windows-System abzuhören. Aus diesen Informationen kann in weiterer Folge der Volume Master Key (VMK) extrahiert werden, sodass die Festplatte entschlüsselt werden kann. Den Cyber-Security-Experten der BDO ist es gelungen, den originalen Angriff zu erweitern, indem mithilfe des VMK der Recovery-Key aus den BitLocker-Metadaten berechnet wurde. Im Zuge des Vortrags wird hands-on an einem Notebook demonstriert, wie der Angriff praktisch durchgeführt wird und welche Hardware dazu notwendig ist.
Florian Bogner | Bee IT Security
Dieser Tag soll für Harald alles verändern! Heute beginnt sein Aufnahmeritual in eine elitäre Hacker Community. Dazu müssen noch drei Challenges gelöst werden: Als er die erste Aufgabe liest, wundert er sich über das Ziel: die Anzeigetafeln eines Bahnhofs. Er soll die Inhalte der Bildschirme verändern. Für Harald eine Arbeit von 30 Minuten. Als zweite Aufgabe müssen die Bahnhofsdurchsagen ersetzt werden. Bereits nach wenigen Augenblicken lauscht er auch hier wirren Durchsagen. Während Fahrgäste verunsichert umherblicken, kann Harald seine Freude kaum verbergen. Die letzte Aufgabe ist nun doch komplizierter: der Zug soll am falschen Bahnsteig einfahren. In Kürze hat er die Weichensteuerung unter Kontrolle – mit fatalen Folgen. Eine Weiche wird umgestellt, leider aber die Falsche! Der Zug rast auf ein Abstellgleis und entgleist. Es bleiben viele Fragen: Hat Harald einen Fehler gemacht? Wurde ihm unabsichtlich die falsche Weichennummer übermittelt? War es vielleicht sogar Absicht?
Hannes Sochor | Software Competence Center Hagenberg
Fuzzing hat sich zu einem der stärksten Mittel zum Aufspüren von Security-Bugs entwickelt. Der Vorteil von Fuzzing ist, dass mit wenig Aufwand große Mengen von Testdaten erzeugt werden können, die ein System zum Absturz bringen oder Security-Mechanismen einfach aushebeln. Mozilla hat mit Fuzzing so bereits 2.600 Fehler gefunden, Google mit Cluster-Fuzzing sogar 16.000 Fehler. Fuzz-Testing ist heute ein unverzichtbares Mittel zur Qualitätssicherung geworden. Der Durchbruch wurde durch die steigende Rechenleistung und vor allem durch immer intelligentere Generierungstechniken ermöglicht. Inputs können viel gezielter erzeugt und Fehler schneller gefunden werden. Dieser Vortrag zeigt, wie Fuzzing in Kombination mit Grammatiken gezielt und effizient für komplexe Schnittstellen und Protokolle angewendet werden kann. Die erforderlichen Grammatiken können mittels Grammar-Mining direkt aus dem Quellcode extrahiert werden. Dadurch erschließt sich ein breites Anwendungsgebiet.
Philipp Schaumann | sicherheitskultur.at
Algorithmen greifen auf Grund der immer stärkeren Datensammlung (vor allem durch große IT-Konzerne) immer tiefer in das Leben aller Menschen ein. Entscheidungen über uns werden durch Algorithmen getroffen, Algorithmen lenken durch ihre „“cleveren““ Vorschläge ganz subtil unsere Handlungen und es gibt nur noch begrenzt Möglichkeiten, sich dessen zu entziehen. Der Vortrag behandelt die ethischen Aspekte beim Einsatz von Algorithmen, z.B. das Vermeiden von Diskriminierungen und das Problem der fehlenden Nachvollziehbarkeit der meisten Deep Learning Systeme.
René Pfeiffer | DeepSec
Autonome Systeme klingen sehr futuristisch, auch wenn man sie im Internet durch das Routing schon länger kennt. Gemeint sind Systeme, die abseits manueller Interaktion arbeiten müssen und nur eingeschränkt an Netzwerke angebunden werden können. Welchen Einfluss haben diese Bedingungen auf das Design? Was bedeutet das für die Sicherheit und Entwicklung?
Michael Schafferer | TEAM Communication Technology Management
Die österreichischen Stromnetzbetreiber arbeiten intensiv an der Einführung von intelligenten Messgeräten, den so genannten Smart Metern. Bevor diese Smart Meter vor Ort verbaut und in Betrieb genommen werden können, müssen notwendige IT-Systeme erweitert oder neu implementiert und in die bestehende Systemlandschaft integriert werden. Die Umsetzung erfordert ein Umdenken in der Branche, betreffend neue Technologien und Systeme. Das macht umfassende Änderungen bestehender Abläufe sowie die Einführung neuer spezifischer Prozesse erforderlich. Die Netzbetreiber haben den Themen „Sicherheit“ und „Datenschutz“ von Beginn an hohe Priorität eingeräumt und sich selbst einem sehr hohen Sicherheitsstandard unterworfen. Der Vortrag widmet sich vorwiegend den technisch/technologischen Herausforderungen für die Netzbetreiber und stellt die grundlegende Sicherheitsarchitektur, basierend auf den Regularien der Interessensvertretung der österreichischen E-Wirtschaft, in den Fokus.
Bernhard Heinzle | Devoteam Consulting
Reinhard Kucera | VERBUND
Ein ISMS auf Basis ISO 27001/19 gilt nicht erst seit der NIS-Richtlinie als probates Mittel, Informationssicherheitsmanagement in Bereichen der OT oder im Speziellen der kritischen Infrastruktur bzw. wesentlichen Dienste systematisch umzusetzen und auch nachzuweisen. Der Vortrag beleuchtet, wie sich ein „OT ISMS“ zu einem ISMS im Umfeld der klassischen IT unterscheidet und welche Anforderungen aus der NIS-RL und der nationalen Gesetze in Österreich und Deutschland dabei zu berücksichtigen sind. Dabei wird unter anderem auf die Themen Geltungsbereich, Risikomanagement, Security Controls und Meldewege eingegangen. Ein Erfahrungsbericht aus der Praxis des Energieversorgers VERBUND wird zeigen, dass Normvorgaben und Best Practices mit dem OT-Alltag vereinbar sind, auch wenn diese Aufgabe zunächst schwierig erscheint. Der Bogen wird dabei von der Feststellung der Betroffenheit als Betreiber kritischer Infrastruktur bzw. eines wesentlichen Dienstes über den Aufbau und Betrieb eines ISMS bis zur Nachweiserbringung hinsichtlich Stand der Technik aus gesetzlicher Sicht auf Basis des ISO 27001 Zertifikats und etwaiger Zusatzprüfungen gespannt.
Gerald Kortschak | sevian7
Notfallvorsorge, Krisen- oder Katastrophenmanagement und all die anderen hippen Begriffe, wie zB EmergencyResponse oder dergleichen wirken in der Zeit der Digitalisierung wie ein Anachronismus. Prävention wird verheißen, Ignoranz gelebt und ein Sicherheitsvorfall löst Verwunderung aus. Mit viel Aufwand werden Symptome behandelt, Gefährdungsstellen mangelhaft identifiziert und Prozesse in Handbüchern festgehalten die noch nie eine Feuerprobe erdulden mussten. Ein alter militärischer Spruch sagt „Kein Plan überlebt den ersten Feindkontakt“ und darin steckt mehr Wahrheit als es zuerst scheint. Was wir verlernt haben ist der Umgang mit den Konsequenzen einer Störung. Wenn man sich die Konsequenzen unterschiedlicher Notfälle näher betrachtet, die Verkettungen erkennt, dann kann man mit Hilfe eines Konsequenzenmanagements wirklich auf Extremsituationen reagieren, da das Unerwartete erwartet wird.
Jakub Pasikowski | FH St. Pölten
Immer neue Bereiche gehen dazu über, agile Techniken einzusetzen, sei es in der Produktentwicklung und im Projektmanagement. Traditionelle Arbeitsweisen werden zunehmend durch iterative und flexible Herangehensweisen abgelöst, die auf den Werten und Prinzipien des Agilen Manifests basieren. Um die Unternehmensassets ausreichend vor den Bedrohungen der IT-Welt absichern zu können, ist ein umfassendes Informationssicherheitsmanagement heutzutage unerlässlich. Der komplexen, langfristig ausgerichteten und linear geplanten Vorgehensweise von Managementsystemen mangelt es jedoch an Flexibilität. Das hier präsentierte Konzept verbindet Agile Methoden mit den Anforderungen an die Informationssicherheit, um ein effektives, reaktionsfähiges Informationssicherheitsmanagementsystem zu entwickeln, welches den schnelllebigen Herausforderungen der Cyberwelt gewachsen ist.
Gianluca Raberger & Philipp Lellak | Frequentis
Im Sicherheitskritischen Umfeld haben Hersteller von Hard- und Softwarekomponenten immer mehr Anforderungen nachzukommen. Dadurch wird es auch mehr und mehr spürbar, dass Penetration Testing so wie Risk Modeling auch schon ab Herstellerseite zur Verfügung gestellt werden müssen. Frequentis muss sich als Weltmarktführer im Bereich Flugsicherung und Ausstatter von Control Center Solutions diesen Anforderungen anpassen und dennoch den Aspekt Safety-Relevanz nicht außer Acht lassen. Diese zwei Aspekte Safety & Security können jedoch immer wieder in Konkurrenz stehen.
Markus Riegler & Nikolai Fahrngruber | ACP IT Solutions
Security Operation Center – Ein Begriff und dahinter zahllose Interpretationen am Markt, was konkret dahinter steckt wie es funktionieren sollte. Der Vortrag zeigt aus der Praxis, welche Rollen und Fähigkeiten sich entwickeln und wie Analysten durch Entdecken und Melden von scheinbar harmlosen Vorfällen riesige Sicherheitslücken aufdecken und schließen, oder wie gefährlich aussehende Alarme harmlos werden können.
Manfred Kaiser | Bundesministerium für Landesverteidigung
In unsicheren Netzen sind verschlüsselte Übertragungsprotokolle zur Wahrung der Vertraulichkeit nötig. Für sichere militärische Netzwerke ist eine vollständige Sicherheitsüberprüfung zu importierender und zu exportierender Daten zwingend erforderlich. Für Protokolle wie z.B. HTTPS existieren industrielle Lösungen („SSL Interception“), für die Übertragung von Daten via SSH bzw. SCP wurde, gemeinsam mit den Cyber GWDs des ÖBH, eine sichere Lösung geschaffen.
Stefan Schubert | FH St. Pölten
Kryptografie ist eines der Standbeine für sichere IT und Kommunikation. Durch die Erfindung des Quanten-Computers konnte gezeigt werden, das einige der derzeit verwendeten mathematischen Methoden in Zukunft nicht mehr sicher sein werden. Deswegen hat das National Institute of Standards and Technology (NIST) nach erfolgreichen Wettwerben (AES, SHA-3) im Jahr 2017 erneut dazu aufgerufen, Quanten-Computer sichere kryptografische Methoden einzureichen und diese bewerten zu lassen. Bis Mitte 2019 war die erste Runde ausgewertet und es blieben nur mehr realistische Kandidaten im Rennen. Die zweite Runde, die im August 2019 evaluiert wurde, stellt hier die endgültig besten Kandidaten vor, und zeigt deren Vorteile und Nachteile auf. Eine Kenntnis dieser, ist für jeden Bereich der IT-Sicherheit wichtig, da diese in Zukunft in allen modernen Protokollen und Anwendungen implementiert und genutzt werden.
Bernhard Lorenz | OSM Solutions
Der Vortrag beleuchtet die Eignung und Möglichkeit von Mechanismen und Tools, die vor allem in OSINT bzw. in der Informationsbeschaffungsphase von Sicherheitsüberprüfungen angewendet werden und dort entsprechend bekannt sind, an Informationen im Bereich österreichische Politik zu gelangen, diese miteinander zu verknüpfen und Erkenntnisse zu gewinnen. Vor allem das Potential, die 4. Gewalt unserer Demokratie, nämlich Medien und Journalisten dabei zu unterstützen, objektive Transparenz im Bereich Politik zu schaffen, wird dargestellt. Dabei werden verwendbare Tools und Techniken, Anwendungsbereiche und erste Ergebnisse vorgestellt.
Michael Bieder, Christoph Rottermanner & Philip Madelmayer | it.sec
Wir alle kennen und lieben es und hätten es am liebsten auf der ganzen Welt verfügbar – WLAN. Eine Technologie, welche vielerorts verwendet wird, um gratis Internetzugang zur Verfügung zu stellen, die Vernetzung verschiedenster Komponenten zu ermöglichen oder sich frei in Büros und zu Hause bewegen zu können. Doch wie sicher ist das drahtlose Netz, das so viele Geräte miteinander verbindet?
Dieser Frage geht dieser Vortrag nach und versucht einen kurzen Überblick über die Funktionsweise der Verschlüsselungsstandards WPA2 und WPA3 zu geben und erklärt bekannte Angriffe auf diese beiden Standards. Des Weiteren wird im Zuge des Vortrages auch der bekannte Angriff KRACK demonstriert.
Bernhard Fischer | Antares-NetlogiX
OnionCat is a VPN adapter which is based on anonymization networks, such as Tor and I2P. It was firstly published in 2008 and developed a wide user base since then. This talk gives an overview on OnionCat in general and shows the history and the development since the beginning. The concept of OnionCat and security-related issues accompanied with it will be discussed in brief. New project-related trends and developments in the field of cryptography and how they are incorporated into OnionCat are discussed. This talk will also shed some light on the non-technical issues surrounding such a project which are factors for becoming successful and accepted by the users world-wide. This shall support starters of new projects to run a successful project as well.
Daniel Mrskos | snapSEC
Während dieser Präsentation wird dem Zuhörer ein sanfter Einblick in das Thema Mobile Penetration Testing, um genau zu sein iOS Reverse Engineering, gegeben. Dazu erhält das Publikum zuerst einen allgemeinen Überblick über die Basics des Mobile Penetration Testing und was es dafür benötigt. Danach wird gezeigt, wie eine iOS App entwickelt wird, so dass der Zuhörer den Software Development Life Cycle einer iOS App versteht und somit beim Penetration Testing der iOS App das nötige Verständnis über iOS App Internals hat. Im nächsten Kapitel der Präsentation, erfährt das Publikum, wie man die iOS App reversen kann und somit Zugriff auf eine passwortgeschützte Nachricht erhält. Zum Abschluss wird demonstriert, wie man mittels Threat Modeling das Design Problem identifizieren und dahingehend die Sicherheitslücke vermeiden kann.