Programm 2017

Programmübersicht mit Zeitplan

 

 

Laden Sie sich einfach die APP zur IT-SECX auf Ihr Handy (Android, iOS) und erhalten Sie alle Updates zu den Vorträgen und den Workshops!

 

 

 


Vorträge

Vorträge im Großen Festsaal | in Hörsaal 2 (englisch) | im Audimax | in Hörsaal 1 | zu den Workshops


Moderation Alexander Krenn, MSc | Redner, Security Awareness | nextbeststep.at


Eröffnung  & Begrüßung

Gabriela Fernandes | Geschäftsführer FH St. Pölten
Werner Kristufek & Christopher Leder | WKO UBIT NÖ
Johann Haag | Mitglied Hochschulmanagement | Departmentleiter Informatik und Security | FH St. Pölten


Ankündigung und Vorstellung Austria IT Security Hub

Ernst Piller| FH St. Pölten, Joe Pichlmayr | Ikarus


Keynote: „The times, they are a-changing“

Thomas Schreck | Head of Incident Response Team, Siemens CERT


 

Großer Festsaal

Success Factors of a Modern Cyber Defense Center

Martin Krumböck | Mandiant

Breaches are inevitable! Dieses Statement hat sich in den vergangenen Jahren zum Fakt entwickelt. Es gibt dutzende Beispiele in denen Firmen an den aktuellen Anforderungen an Cyber Defense gescheitert sind. Durch die Erfahrung, gesammelt in der Evaluierung und dem Aufbau von Cyber Defense Centern (CDC) weltweit, wird in diesem Vortrag analysiert was moderne CDCs erfolgreich macht.


Modern Deception Techniques in the Age of Failing Prevention

Stefan Schwandter | Cybertrap

Gezielte Angriffe (Advanced Persistent Threats) stellen eine gewaltige Herausforderung für Organisationen, deren Security-Infrastruktur und Security-Experten dar. CyberTrap begegnet dieser Herausforderung mit dem Instrument der „Deception“ (Täuschung): Angreifer werden in eine Parallelwelt gelockt, in der ihre Aktionen beobachtet und forensisch analysiert werden können.


From Russia with Love? – Lessons Learned from Responding to APT28

Wolfgang Neudorfer | T-Systems

Keine andere Gruppierung wurde in den letzten Jahren derart oft mit erfolgreichen, zielgerichteten Angriffen in Verbindung gebracht wie APT28, zählen doch zu den Opfern des wohl berüchtigtsten und aktivsten Kollektivs prominente Ziele. Am meisten öffentliche Popularität erlangten die Angriffe auf den deutschen Bundestag, sowie die Christlich Demokratische Union Deutschlands (CDU), den französischen TV-Sender TV5Monde, die World Anti-Doping Agency (WADA) und das amerikanische Democratic National Committee (DNC). Die Liste der Opfer ist jedoch länger und gespickt mit Ministerien, Botschaften, Sicherheitsorganisationen, Medien und Journalisten. Weiterhin unklar ist hingegen, wer oder was sich tatsächlich hinter APT28 verbirgt. Gerne werden entsprechende Schlüsse gezogen und die Gruppierung bestimmten Geheimdiensten zugeordnet oder ihnen zumindest ein Naheverhältnis nachgesagt.

Der Vortrag basiert auf einem tatsächlichen Kontakt aus zwei Incident Response Fällen mit APT28 und versucht eine objektive Darstellung der Fakten zu liefern. Durch die aus dem durchgeführtem Incident Response hervorgegangene Analyse werden im Hauptteil die Vorgehensweisen der Gruppierung untersucht. Es wird dargestellt, wie APT28 angreift, welche Werkzeuge zum Einsatz kommen und wie die Gruppe es schafft, möglichst lange unerkannt zu bleiben. Zum Abschluss wird präsentiert, welche sinnvollen Maßnahmen zum Schutz von Advanced Persistent Threats in einer Organisation zwingend umgesetzt werden sollten, um sich möglichst gut vor derartigen Angriffen schützen zu können.


Eindämmung und Neutralisierung von zielgerichteten Angriffen

Manfred Erjak | Mandiant

Wichtiger Bestandteil jedes Incident Response Engagements ist neben der Investigation auch die Remediation. Wo es darum geht den Angreifer zu stoppen und aus dem System zu entfernen.


When your Anti-Virus Turns against you

Florian Bogner | Kapsch

Virenscanner sind oft die letzte Verteidigungslinie des eigenen Rechners gegen Schadsoftware wie Viren, Würmer und Co. Aber wer überwacht eigentlich die Überwacher?
Diese Frage ist, vor allem mit den Ransomware Angriffen der letzten Jahre im Hinterkopf, problematisch. Dabei wurde nämlich noch einmal verdeutlicht: Praktisch jedes Unternehmen kann mit Schadsoftware infiziert werden. Im Gegensatz zu diesen „lauten“ Attacken, steht für gezielte Angreifer jedoch im Vordergrund, über lange Zeit unentdeckt Daten sammeln zu können. Daher müssen diese die Schutzeinrichtungen der Opfer langfristig austricksen. Dabei stellt sich jedoch auch eine weitere Frage: Können nicht eben diese Schutzmaßnahmen für einen Angriff missbraucht werden?
Genau dies sollte bei der Untersuchung einiger Anti-Viren Lösungen mit einem Fokus auf Local Privilege Escalation Verwundbarkeiten erhoben werden. Dabei konnte eine fast schon allgemein gültige Methodik zum Missbrauch der Anti-Viren Quarantäne identifiziert werden. Diese Privileged Write Verwundbarkeit wird nun anhand von Produkten der Hersteller EmsiSoft, MalwareBytes und Kaspersky erstmals vorgestellt und live demonstriert.


Linux Memory Forensics: Dissecting the User Space Process Heap

Frank Block | ERNW

Frühere Arbeiten im Bereich der Speicher-Analyse haben sich meistens auf den Kernel Space konzentiert, allerdings bietet der User Space, insbesondere der Heap, ebenfalls wertvolle Informationen die für eine forensische bzw. Incident Analyse interessant sind. Dazu zählen unter anderem Passwörter, IP Adressen, Netzwerkverkehr und auch (ver)entschlüsselte Daten. Bisher war der Heap aus Memory Forensics Perspektive (unter Linux) nur ein großer zusammenhängender Speicherbereich, was die Arbeit mit dem Heap bzw. das Extrahieren von Informationen erschwerte. Diese Arbeit analysiert Glibc’s Heap Implementierung und stellt eine Python Klasse für die Speicher-Analyse Frameworks Volatility und Rekall vor, welche den Zugriff auf alle Chunks des Heaps unter Linux erlaubt. Basierend auf dieser Klasse wurden mehrere Plugins zur Analyse von Chunks entwickelt, welche vor allem die Blackbox Analyse von Prozessdaten und das Rekonstruieren von Daten Strukturen erlauben.


Lure Box – Using Honeytokens for Detecting Cyberattacks

Christoph Malin | RadarServices

Seit Jahrhunderten werden Köder und Fallen eingesetzt, um AngreiferInnen zu erkennen. Dieses Prinzip kann auch in der digitalen Welt mithilfe von sogenannten “Honeytokens” angewendet werden. Ein Honeytoken ist jegliche Art von Information, die als Köder irgendwo in der physischen oder in der digitalen Welt platziert wird. Die Falle besteht darin, dass jeder Zugriff oder Gebrauch des Honeytokens ohne Wissen der AngreiferInnen überwacht wird und dadurch sofort Alarm geschlagen werden kann. In der Präsentation wird die eigens entwickelte Lure Box vorgestellt. Diese ist eine auf kostenlos verfügbarer Software basierende virtuelle Maschine, in welcher alle notwendigen Komponenten vorhanden sind, um Logdaten von verschiedenen Systemen zu empfangen, zu verarbeiten, abzuspeichern und darzustellen. Zusätzlich zur Lure Box werden Möglichkeiten für den Einsatz von Honeytokens in einem Unternehmensnetzwerk beschrieben.


cat /var/log/news

Daniel Haslinger | FH St. Pölten & Christoph Lang-Muhr | FH St. Pölten

Wie schon im letzten Jahr schließen wir die diesjährige IT-SECX mit einem Streifzug durch Ereignisse und Meldungen des vergangenen Jahres, beleuchten und hinterfragen, was sich in Bezug auf das Netz und die Security so alles getan hat und versuchen uns in der Kunst der Wahrsagerei.


nach oben

Hörsaal 2 (englisch)

Effective Cyber security Operational Monitoring in a Managed Security Service Model

Roshan Sherifudeen | Accenture

The modern day Information Technology adopts an open and collaborative architecture to keep phase with innovation and business needs. This paradigm shift from closed architecture to collaboration, is an enticing shift for the malicious minds. Without the right level of proactive and reactive security measures in place, a breach is inevitable. Proactive controls are much more advanced and mature and the reactive controls are still evolving. Two of these reactive controls include Cybersecurity Operations and Incident Response Program. Cyber security Operational Monitoring is the capability to detect security events, where incident response is a mechanism to rapidly detect incidents, minimize losses, restoring IT services and communicate effectively with stakeholders. This paper provides an overview of a Cyber security Operational Monitoring capability in an outsourced context (Managed Security Services), explaining the key components of such a defense system and its key success factors.


“I Have No Idea What I’m Doing” – On the Usability of Deploying HTTPS

Wilfried Mayer | SBA Research

Protecting communication content at scale is a difficult task, and TLS is the protocol most commonly used to do so. However, it has been shown that deploying it in a truly secure fashion is challenging for a large fraction of online service operators. While Let’s Encrypt was specifically built and launched to promote the adoption of HTTPS, this paper aims to understand the reasons for why it has been so hard to deploy TLS correctly and studies the usability of the deployment process for HTTPS. We performed a series of experiments with 28 knowledgable participants and revealed significant usability challenges that result in weak TLS configurations.
Additionally, we conducted expert interviews with 7 experienced security auditors. Our results suggest that the deployment process is far too complex even for people with proficient knowledge in the field, and that server configurations should have stronger security by default.


Identifying Attacks in Electrical Sub-Station Networks

Henri Ruotsalainen | FH St. Pölten

Substation security plays an important role in the delivery system of electrical energy. Security of substations is a critical issue because attacks on them may lead to cascading events like power outage, damage to network devices, threat to physical safety and environmental outcome.


Resilience Informed Intrusion Response for Smart Grids

Ivo Friedberg | AIT

The dependence of cyber-physical systems (e.g., smart grids) on ICT introduces new cyber-attack vectors. Resilience — the ability of a system to provide and maintain an acceptable level of service in the face of various faults and challenges to normal operation — is challenged by cyber-attacks. Traditional methods to achieve resilience in smart grids (e.g., redundancy and safety margins) are insufficient when it comes to cyber-attacks, due to the deliberate and coordinated nature challenges caused by an intelligent adversary. Security approaches from classical ICT systems, on the other hand, are important but insufficient in smart grids, because they ignore the physical system domain. The dominant challenge is a timely mitigation of cyber-attacks to limit physical effects to an acceptable level. This talk presents recent research advancements when it comes to automated intrusion response in smart grids to boost system resilience to cyber-attacks.


Sign up with your phone number, no password to remember!
– On the privacy risks of using phones as unique user identifiers and possible mitigations

Sebastian Schrittwieser | FH St. Pölten

More and more online services and smartphone apps require their users to sign up with their phone number instead of their e-mail address. The phone number as a unique user identifier comes with several benefits for service providers (people usually retain their number for a long period of time, generation of fake accounts gets more difficult). However, from a privacy perspective this trend raises major challenges. This talk demonstrates how online identities can be linked using the phone number as a strong user identifier and resulting privacy issues. Moreover, it introduces possible strategies for service providers that enable using phone numbers as identifiers in a privacy-aware way.


CAN Compression based IDS

András Gazdag | CRYSYS Lab

Modern vehicles are mainly controlled by ECUs (Electric Control Units). They are small programmable computers responsible for single tasks. New smart features of vehicles showed demand for Internet connectivity rendering these previously isolated computer networks reachable for malicious attacks. Detecting cyber-attacks requires a continuous network traffic logging for online and offline analysis. This generates a huge amount of data which is a challenge to store and to analyze, as well. In this presentation, we show a proposed semantic compression mechanism that is capable of representing the original data in a lossless form while using a fraction of the space. The introduced algorithm understands properties of the CAN traffic log. This is a powerful foundation for compression and for intrusion detection. The compressed traffic log can be directly used as an input for a machine learning based IDS, which is then capable to effectively recognize malicious attack patterns.


„Time for PlanBTC“ – Visualization of Bitcoin Transactions for Forensic and Security Analysis

Alexandra Mai | SBA Research

The increasing dissatisfaction with central regulated currencies and the enormous increase in value let the cryptocurrency Bitcoin gain in importance over the last few years. Bitcoin is a peer-to-peer system with a publicly available decentralized database, the so-called Blockchain, were all transactions are stored. In my talk I present PlanBTC, a new way to display the transaction information of the Blockchain in an interactive form. The visualization gives a better understanding of the (pseudo-) anonymity and security of Bitcoins and it enables analysts to get an insight into past and current transactions. A special focus hereby is set on the time component, for a better understanding of chronological correlations, which helps the forensic and security analyst to understand cash flows.
PlanBTC is a web-based prototype, which combines visualization techniques, clustering algorithms and statistical probabilities to provide exact security related information of the Blockchain.


nach oben

 

Audimax

Social Engineering, der etwas andere Angriff

Philipp Schaumann | Sicherheitskultur.at

  • Was ist Social Engineering?
  • Die Trickkiste des Social Engineers
    • Bedürfnisse, Schwächen, Werthaltungen
  • Gesprächstaktiken der Angreifer
  • Verteidigungstricks

The Defender’s Dilemma

Philipp Reisinger | SBA Research

The Defender’s Dilemma – warum das Leben als Verteidiger hart ist und was Sie dagegen tun können! – Ungefähre Inhalte:

  • Dilemma des Verteidigers anhand von 5 Methapern/Kurzgeschichten
  •  Warum es Angreifer (oft) leichter haben
  • Cyberrisiken aus eine anderen Perspektive/Warum die Lage trotz allem für Verteidiger nicht trost- und aussichtlos ist
  • Beispiele für Vorteile/Chancen die man als Verteidiger hat
  • Wie man als Verteidiger diese Vorteile nutzt um sein Sicherheitsniveau fokussiert und effizient zu steigern (Stichwort 80/20 Regel)

Eine Hellfeldanalyse von Cybercrime-Delikten

Edith Huber | Donau-Universität Krems & Bettina Pospisil | Donau-Universität Krems

Cybercrime ist ein weltweit verbreitetes, facettenreiches Phänomen und bedarf vielschichtig angelegter, grenzüberschreitender Präventions- und Interventionsstrategien. Um solche Strategien zu ermöglichen, ist es notwendig ein besseres Bild der Cyber-Kriminellen und des Ermittlungsverfahrens rund um die Verbrechen zu erhalten.


Machine Identification Code (MIC)

Johannes Bogensperger | Deloitte

Eingehende computerforensische Analysen zeigen, dass insb. bei Farblaserdruckern kaum sichtbare Punkte, sog. „Tracking Dots“, mitgedruckt werden und Metadaten, wie Seriennummer, Datum des Drucks etc., beinhalten. Obwohl div. Vereine und Aktivisten seit über einem Jahrzehnt auf diese Thematik aufmerksam machen, fand das Thema nie seinen Weg in die breite Öffentlichkeit. Fast jeder moderne Laserdrucker bekannter Marken fügt auf Farbkopien derartige Wasserzeichen hinzu. Für das freie Auge kaum sichtbar ordnen sich die ca. 0,1 mm großen gelben Punkte in wiederkehrenden Muster über die ganze Seite an. Ein kleiner Abriss genügt oft, um die Herkunft des Ausdrucks eruieren zu können. Die Auswertung dieser Informationen bedarf keines hochmodernen forensischen Labors, sondern kann von technisch Versierten mit gängigen Mitteln durchgeführt werden und als Grundlage für forensische Analysen fungieren. So können bspw. Verfasser von Drohbriefen identifiziert oder rückdatierte Verträge erkannt werden.


Bundestrojaner und die Konsequenzen für die Informationssicherheit

René Pfeiffer | DeepSec

Die Überwachung soll eine radikale neue Dimension annehmen. Die Quelle von Kommunikationen, sprich das eigene Smartphone, Tablet, der PC oder irgendein sonstiges Gerät, soll eine legale Schadsoftware bekommen, die Daten an der Quelle abgreift. Das ganze soll klar geregelt, gezielt und völiig nebenwirkungsfrei auf schwere oder alle möglichen Straftaten und -versuche angewendet werden. Der Name des Werkzeugs ist verharmlosend Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) genannt. Letztlich ist es Schadsoftware, die alle Kriterien eines trojanischen Pferdes erfüllt, sprich der Bundestrojaner. Welche Auswirkungen hat dies für uns alle? Was hat es für unsere digitale Landschaft, speziell die Informationssicherheit, zu bedeuten?


Krisenmanagement in der IT

Gerhard Reismüller | PANROK & Partner

Notfälle, Krisen und Unglücke kündigen sich nicht an. Sie kommen meistens unerwartet. Dennoch muss sie jedes Unternehmen als Sonderaufgabe des Managements bewältigten – professionell, effizient und so rasch wie möglich. Die Ereignisse sind nicht planbar, wohl aber ihre Bewältigung. Die Informationstechnik sieht sich heute einer Reihe von Bedrohungen, wie Cyberattacken, social Engineering Attacken, Datenmissbrauch/-verlust und vielem mehr gegenüber. Neben den präventiven Maßnahmen zur Verhinderung dieser Szenarien ist auch die Bewältigung durch IT Krisenmanagement von entscheidender Bedeutung. Die erfolgreiche Bewältigung einer IT Krise wird in diesem Vortrag demonstriert.


Wie verändern staatliche Akteure im Cyberraum die Rolle von CERTs

Otto Hellwig | SBA Research & Bettina Pospisil | Donau-Universität Krems

Die traditionelle Aufgabe von CERTs ist die Behandlung von Incidents (IT-Sicherheitsvorfällen) für ihren Zuständigkeitsbereich (Firma, Verwaltung, Staat …). Da die Bedrohung von Kritischen Infrastrukturen durch Cyber-Angriffe zunimmt, spielen CERTs seit einiger Zeit eine wesentliche Rolle für (inter)nationale Cybersicherheitsstrategien. Parallel dazu nutzen auch staatliche Akteure den Cyberraum für Angriffe. Dieser Beitrag beschäftigt sich mit den Cybersicherheitszielen von CERTs und wie sich diese in einem sich ständig verändernden Umfeld von (inter)nationalen Sicherheitsstrategien laufend neuen Anforderungen anpassen müssen. Basierend auf Ergebnissen der KIRAS-Projekte CERT-Kommunikation I und CERT-Kommunikation II liefert der Beitrag einen Überblick über aktuelle Herausforderungen für CERTs und erklärt Cybersicherheitsziele der heterogenen Stakeholder im Sicherheitsbereich.


nach oben

Hörsaal 1

IPv6-Scanning – 350 Billiarden Mal zum Mars und wieder zurück

Kathrin Hufnagl | FH St. Pölten

Das Scannen von IPv6-Adressen kann schnell anstrengend und ausgedehnt werden. IPv6 verfügt über einen riesigen Adressbereich, der im Gegensatz zu IPv4, nicht mehr vollständig und in akzeptabler Zeit zu scannen ist. Speziell bei externen und internen Sicherheitsüberprüfungen, bei denen Hosts enumeriert und diverse Scans durchgeführt werden, stellt dieser große Adressraum ein Problem dar. In meinem Vortrag werden Möglichkeiten aufgezeigt, um IPv6-Netze bestmöglich zu scannen. Es werden Tools und Algorithmen aufgelistet, die zuvor in meiner Bachelorarbeit getestet und verglichen wurden, um so die breiten Discovery-Scans, remote wie auch lokal realistisch durchführen zu können. Die Testergebnisse werden in mehreren Übersichtsmatrizen dargestellt und erklärt.


From Signal to Bits with SDR – Hands-on wireless reverse engineering

Tobias Zillner | Alpha Strike Labs

„Radio… The final IoT frontier…
These are the problems of hackers.
Our continuing mission:
To explore strange new signals…
To seek out new devices; new protocols…
To boldly detect what no one is aware of!“

In this session, an overview of typical problems during security assessments in the wireless world, state-of-the-art wireless signal identification and best practices for finding unknown signals will be provided. During the hands-on demonstration, the wireless reverse engineering process will be discussed and illustrated using a simple and easy to understand example. A practical example of how to reverse engineer a wireless power outlet control will demonstrate the process of getting bits and bytes out of unknown radio signals. The same methodology was used to perform security assessments of high risk wireless communication, such as pacemakers and implantable cardiac devices.


Wenn der Einbrecher die Alarmanlage via Funk deaktiviert… 

Benjamin Buschenreithner | FH St. Pölten

Niemand ist im Haus. Alle Türen und Fenster sind verschlossen. Die neu gekaufte Einbruchmeldeanlage ist scharf geschaltet. Ohne Bedenken zu haben, können Hab und Gut im überwachten Haus zurückgelassen werden. Dem sorgenfreien Urlaub steht nichts entgegen, denn bei einem Einbruch würde die Nachbarschaft und die Polizei sofort alarmiert werden.

Entspricht das der Realität? Sind aktuelle Funkeinbruchmeldeanlagen gegen Beeinflussungen von außen immun? Genau diese Fragen werden in dem Vortrag behandelt. Aufgrund von reduzierter Montagekosten und Installationszeiten fällt die Kaufentscheidung oft auf eine Funkalarmanlage. Die einzelnen Melder, Bedienelemente und Sirenen kommunizieren mit der Zentrale über das drahtlose Medium. Doch diese Funksignale bleiben nicht nur innerhalb des überwachten Objekts. Dadurch wird klar, dass derartige Anlagen von außen angegriffen werden können. Aus diesem Grund wurde eine Funksicherheitsanalyse einer in Österreich populären Einbruchmeldeanlage für Einfamilienhäuser und Geschäftslokale durchgeführt. Das Ergebnis ist erschreckend.


Exploring Web Extensions

Alexander Inführ

In 2010 Google introduced a new technology called WebExtensions which defines a secure way to implement Browser Add-Ons. This was adopted by all current browser as the main Add-On technology. After a short history of Browser Extensions, which focus on mistakes of the past, I’m going to cover the security concept of WebExtensions including the different features of it. After that I discuss not only security threats from nasty extensions to the end user, but also security threats regarding malicious web pages, which target installed valid extensions. Certain features can cause problems, either if the user is not aware of them or because of specific operating system behaviours, which were not taken into consideration. To sum up, I will discuss the future of Browser Extension, especially concerning the development of current operating systems.


The Art of Fuzzing

René Freingruber | SEC Consult

Fuzzing ist eine wichtige Technik zum Auffinden von Schwachstellen in Produkten oder Third-Party Libraries. Diese Technik reicht vom einfachen Starten der Applikation mit zufälligen Eingaben über die Entwicklung von komplizierten Protokoll-Fuzzern bis hin zu schlauen Varianten, die über Feedback den Fuzzer das Protokoll bzw. das Binärformat erlernen lassen. Manche dieser Techniken sind für bestimmte Anwendungsfälle besser geeignet als andere. Ziel des Vortrags ist, bekannte Fuzzing-Techniken zusammen mit deren Einsatzzweck zu erläutern sowie Tipps und Tricks zu geben, wie die Fuzzing-Ergebnisse erheblich verbessert werden können.


Verhaltensbasierte Anomalie-Erkennung und Angriffsklassifizierung in Cyber-Physischen Systemen

Oliver Eigner | FH St. Pölten

Durch die zunehmende Vernetzung von Industriegeräten entstehen Gefahren und in Folge nehmen Cyberangriffe auf industrielle Hardware vermehrt zu. Dieses Projekt zeigt einen verhaltensbasierten Anomalie-Ansatz für die Erkennung und Klassifikation von Angriffen in Cyber-Physischen Systemen. Der Ansatz wurde durch ein selbstgebautes Förderband, welches aus mehreren Sensoren, einem Aktor und aus echter industrieller Hardware besteht, getestet und liefert Echtzeitdaten. Zuerst wird Anomalie-Erkennung eingesetzt, um ein Modell für das Normalverhalten der Anlage durch Berechnungen der Outlier-Werte zu definieren. Das valide Verhaltensmodell wird permanent mit neuen Daten verglichen um Anomalien zu erkennen. Zusätzlich wurde ein Angriffsmodell trainiert, welches mehrere bereits identifizierte Angriffe gegen den Testaufbau beinhaltet. Sobald eine Anomalie erkannt wurde, startet der Klassifizierungsprozess und versucht diese mithilfe des Angriffsmodells und berechneten Vorhersagen für trainierte…


Sichere Authentifizierung und Autorisierung in plattformübergreifender App-Entwicklung

Lisa Leonhartsberger | SBA Research

Mobile Apps werden heute häufig mit plattformübergreifenden Frameworks wie Apache Cordova, Xamarin oder React-Native entwickelt. Anbindungen an eine Dritt-Anwendung kommen dabei oft vor. Hierbei sind Authentifizierung und Autorisierung zwei wesentliche Faktoren. OAuth 1.0 und OAuth 2.0 sind zwei gängige Protokolle zur Autorisierung um Dritt-Anwendungen über HTTP den Zugriff auf Ressourcen, sprich Zugriff auf die API zu gewähren. Immer häufiger wird OAuth jedoch auch zur Authentifizierung verwendet und ermöglicht dem Benutzer neue Plattformen mit einem vorhandenen Passwort zu nutzen. Theoretisch eine komfortable Sache. Praktisch weist das System jedoch auch einige Sicherheitslücken auf, die vor allem in punkto Datensicherheit und Zugriffsschutz relevant sind. Deshalb stellen wir uns folgende Fragen. Wie einfach ist es OAuth in plattformübergreifenden Apps aus Entwicklersicht umzusetzen? Wo sind die Herausforderungen und warum? Kann OAuth in Apps überhaupt sicher implementiert werden?


nach oben

Workshops

DSGVO: Datenschutz – Wesentliche Aufgaben und deren Umsetzung

Erik Rusek | VACE

Die Europäische Datenschutzgrundverordnung oder auch EU-DSGVO ist mit April 2016 in Kraft getreten. Dadurch ergeben sich für Unternehmen, die personenbezogene Daten Europäischer Bürger verarbeiten einige Neuerungen, wie das Verzeichnis der Verarbeitungstätigkeiten, umfassende Nachweispflichten und strengere Sanktionen. Die Umsetzungsfrist für die Maßnahmen endet mit 25. Mai 2018. Wie aber setzt ein Unternehmen die Anforderungen der DSGVO effizient und sinnvoll um. Genau darauf geht der Workshop ein und gemeinsam gehen wir die ersten Schritte Richtung Erfüllung der Maßnahmen aus der Datenschutzgrundverordnung.


Arbeiten am schlagenden Herzen – Die Heartbleed-Schwachstelle zum selber Testen

Florian Seitl | FH St. Pölten

Die Heartbleed-Sicherheitslücke wurde im April 2014 bekannt, worauf sehr schnell die notwendigen Patches zur Verfügung gestellt wurden. Allerdings ist diese Schwachstelle durch die große Verbreitung von openSSL auf vielen Geräten Servern aufgetreten. Leider kann es lange dauern bis auf allen Systemen die notwendigen Updates installiert wurden und dadurch kann es vorkommen, dass es anfällige Server gibt, obwohl diese Probleme schon gelöst wurden.
Nun 3,5 Jahre später wird in diesem Workshop vermittelt wie viel bzw. wie wenig Arbeit ein Angreifer aufwenden muss um diese Lücke auszunutzen.