Walter Fraißler, Florian-Sebastian Prack & Paul Mader | VERBUND

Es wird gezeigt, wie das Security Operation Center, das SOC, als „Blue Team“ durch ein internes „Red Team“ gleichsam in einem Katz- und Maus-Spiel immer wieder herausgefordert und getestet wird. Diese Vorgehensweise hilft dabei, existierende Schwachstellen und Lücken zu identifizieren und zu bearbeiten. Dargestellt wird das anhand eines Beispiels einer Zero-Day Schwachstelle.

Über den internen Zuwachs von Wissen und Erfahrungen ist auch die Kommunikation in „Trusted Communities“, wie dem Austrian Energy CERT ein wichtiger Faktor in der Bewältigung der aktuellen Herausforderungen, sowie die Einbindung von internationalen Threat Feeds, um immer auf den neusten Stand zu sein.
In den vergangenen drei Jahren haben wir eine umfangreiche Systemlandschaft aufgebaut, welche wir gerne vorstellen und auch unseren Ansatz eines effizienten und effektiven Security-Teams.

*** Aus rechtlichen Gründen wird dieser Vortrag nicht gestreamt. ***

Johann Stockinger | T-Systems Austria

Incident Response kann eine herausfordernde, anstrengende und stressige Arbeit sein. Sie kann auch sehr interessant sein. Und Spaß machen. Zumindest im Nachhinein. Dieser Vortrag behandelt einige der bizarren und skurrilen Incidents die T-Systems in den letzten Jahren behandelt hat. Von Gespenstern, Kunden die ihre eigenen Systeme vergessen und Zwischenberichte die an Angreifer gingen, gab es einiges das uns zwar einiges an Kopfweh bereitet hat, in Retrospektive aber doch amüsant ist. Alle diese Fälle, sowie der generelle Großteil aller Incidents, beruhen auf der Tatsache, dass grundlegende Prinzipien nicht befolgt werden. Ziel dieses Vortrags ist es lustige Anekdoten mit ernsteren Lektionen zu verbinden und zu zeigen, wie diese den Schaden von Incidents minimieren, oder sogar komplett verhindern können.

*** Aus rechtlichen Gründen wird dieser Vortrag nicht gestreamt. ***

Alexander Tauber, Stefan Pfeiffer & Mikail Bulduk | Accenture

Die zunehmende Komplexität von Unternehmensnetzwerken macht es nötig, Informationssicherheit permanent neu zu denken und Taktiken zu ihrer Gewährleistung zu entwickeln. Ein kreativer Ansatz dieser Arbeit ist die Anwendung von Taktiken aus dem Spiel Star Craft 2 (SC2) auf Cyberabwehrstrategien. Hier kommen demnach einige weithin bekannte und genutzte Strategien zum Einsatz. Manche andere dieser Zugänge zur Entwicklung neuer Strategien sind dagegen bisher nicht in Unternehmen etabliert. Es können jedoch nicht nur explizite Maßnahmen abgeleitet werden, sondern auch das nötige Mindset, um in einem Wettbewerbsumfeld mit Anderen Schritt zu halten und die erforderlichen Fähigkeiten kritisch zu hinterfragen und zu verbessern.

*** Dieser Programmpunkt wird live via YouTube übertragen. ***

Felix Eberstaller | Limes Security

Seit Ende letzten Jahres bekämpfen wir eine cyber-physikalische Angriffskampagne auf Gebäudeautomationssysteme (BAS) in Europa, die auf KNX basieren. KNX ist eines der am weitesten verbreiteten Protokolle, das für die Automatisierung von Jalousien bis hin zum Luftdruck für den Zahnarztstuhl verwendet wird.  

Ein unbekannter Bedrohungsakteur nutzt derzeit einen Konstruktionsfehler im Protokoll, um standortweite Konfigurationen zurückzusetzen und die Geräte zu sperren, so dass sie ihre eigentliche Automatisierungsaufgabe nicht mehr erfüllen können. Wir stellen unsere Forschungsergebnisse vor, wie man auf diesen Angriff gegen einen Angreifer mit einem Zufallsschlüssel reagieren kann. Darüber hinaus beschreiben wir unsere Forschungsansätze zur Wiederherstellung von BAS-Geräten, welche Probleme bei der Extraktion der Schlüssel auftreten und welche Erfahrungen wir dabei gemacht haben, was funktioniert hat und was nicht.  

Schließlich werden wir erörtern, welche Schlussfolgerungen Incident Responder im Hinblick auf die Vorbereitung auf CPS-Angriffskampagnen ziehen sollten und wie diese Angriffe verhindert werden können.

*** Aus rechtlichen Gründen wird dieser Vortrag nicht gestreamt. ***

Gideon Teubert | K-Businesscom

Seien wir uns ehrlich:

• Wer möchte denn nicht mehr über Incident Response erfahren?
• Wer möchte denn nicht hören, wie Angreifer österreichische Unternehmen tatsächlich übernehmen?
• Wer möchte denn nicht konkrete Taktiken sowie Techniken von derzeitigen Angreifern erfahren?
• Wer möchte aufhören dutzende News Feeds zu lesen, um schlussendlich nur zu erfahren, dass Firma XY irgendwie gehackt wurde?

Aus diesem Grund behandelt dieser Vortrag praktische, konkrete und tatsächlich aufgetretene Incident-Response-Erfahrungen aus Österreich. Es werden extraordinäre sowie erfinderische Techniken, Artefakte sowie anderweitige abnormale Erscheinungen von Angreifern, welche wir in unseren Incident-Response-Analysen angetroffen haben angeführt. Von On-Demand Backdoors, über vulgäre C&C Server bis hin zu Angreifern, die Ihre Systeme netterweise „patchen“.

*** Dieser Programmpunkt wird live via YouTube übertragen. ***

Stefan Prinz & Daniel Kroiss | KPMG

Immer mehr Organisationen setzen inzwischen auf Managed Security Operation Centers (SOCs). Diese professionellen Dienstleister ermöglichen eine 24/7-Überwachung der IT-Infrastruktur ihrer Kunden zu einem verhältnismäßig geringen Preis, um Angriffe möglichst frühzeitig zu erkennen und zu verhindern. Wir beobachten, dass es häufig die Erwartungshaltung gibt, sich ein Managed SOC anzuschaffen, damit alle Securityprobleme auszulagern und erledigt zu haben. 

In diesem Vortrag werden Daniel Kroiss und Stefan Prinz anhand eines Fallbeispiels aus der Praxis einige versteckte Fallstricke erarbeiten, die sich oft erst unmittelbar im Incidentfall zeigen, um daraufhin zu erläutern in welchen Belangen ein Managed SOC einen großen Mehrwert liefern kann, und welche Verantwortungen und Tätigkeiten nicht so einfach ausgelagert werden können.

*** Dieser Programmpunkt wird live via YouTube übertragen. ***

Daniel Haslinger & Christoph Lang-Muhr | FH St. Pölten

Auch 2022 schließen wir die diesjährige IT-SECX mit einem Streifzug durch Ereignisse und Meldungen des vergangenen Jahres, beleuchten und hinterfragen, was sich in Bezug auf das Netz und die Security so alles getan hat und versuchen uns in der Kunst der Wahrsagerei.

*** Dieser Programmpunkt wird live via YouTube übertragen. ***

Marina Krotofil 

In recent years, we have witnessed a growing volume of research on the security of embedded systems used in industrial process control applications, including Programmable Logic Controllers (PLC) and Remote Terminal Units (RTU). This increased interest reflects both the large number of “low-hanging fruit” vulnerabilities, making industrial controllers attractive research targets, and an increased interest from adversaries to subverting industrial processes. To date, research efforts have predominantly focused on firmware vulnerabilities, or bypassing traditional security controls implemented as part of the PLCs software. In this talk, we will introduce a novel exploitation vector, one previously unconsidered in existing works.

More specifically, we will show how PLC programming practices, user APIs, and memory allocation for function blocks from the Library Functions open the door to automated enumeration of PLC control logic, identification of key infrastructure configuration parameters and process control variables, and their consequent targeted manipulation to achieve a desired attack impact. Additionally, allocated but unused memory can be applied to the establishment of covert C2 channels, through which attackers can run standard security tools, exfiltrate data and execute high-precision cyber-physical attacks on previously inaccessible network segments. To keep the story realistic and interesting, we formulate our threat scenario around a realistic industrial network architecture with the advisable security measures, including the integration of network monitoring and segregation from the Internet via firewalls.

The set of proposed exploitation techniques is stealthy and allows for the development of fully automated physical damage payloads of high precision, significantly raising the level of attacker capabilities. The main purpose of this talk is to initiate a discussion around the need for guidance and best practices to support DevSecOps for industrial equipment, which take into account the engineering designs of equipment, and specifics of its usage in cyber-physical applications. Current PLC software designs and programming practices are still largely under-researched. With this talk, we provide an example of their unexplored attack surface and a novel vulnerability class, and invite the security community to further research into the topic.

*** Dieser Programmpunkt wird live via YouTube übertragen. ***

Thomas Weber | CyberDanube

Every year, numerous big and small incidents in industrial environments, for example in power plants, factories, or in the food supply find their way into newspapers. All those affected industries are backed by highly branched and historically grown Operational Technology (OT) networks. A big portion of such incidents could have been avoided, if network segmentation was done correctly and patches for user devices (not always possible in OT) were installed. Despite such known problems, which also lead to the compromise of traditional IT networks, a bunch of unknown vulnerabilities are unfortunately also present in OT infrastructure. OT in modern factories consists of networked (and smart) devices, especially on level 1, also called the control level, of the Purdue model. Devices, such as PLCs, industrial router/switches, data diodes, and more cannot be easily tested if they are in use by the factory. Therefore, solutions for classification and monitoring from different vendors are in use to not put the running infrastructure at risk.

These non-intrusive ways for getting a picture about the running infrastructure only give a partial overview of the vulnerability landscape in the OT network but cannot detect unknown vulnerabilities. Testing such expensive devices instead of using them is often not desired due to the price, and spare items must be available, which is the reason why those devices can't be touched too. For this reason, digital twins – in terms of virtualization – from the devices in the factory should be created for pentesting purposes. These twins can be built with different tools (open source/ closed source) and  have been used for identifying 0-days during an ongoing research project.

After the creation, the virtual appliances were connected to form a full fletched OT network, to imitate a real industrial environment. Testing those virtual appliances does not harm the real infrastructure, but provides a lot of valuable information about the systems in scope. This was tested in practice during engagements and has been recreated and edited for a talk which also includes vulnerabilities that were discovered during such a test setup.

*** Dieser Programmpunkt wird live via YouTube übertragen. ***

Claudia Ully | NVISO

Making a quick bank transfer, tracking our next run, sending photos of the kids to their grandparents, or ranting about politics in our private chat group – our smartphones have become a treasure trove for those with malicious intents. Still, awareness of mobile malware threats is still far less prevalent than it is for common computer systems. But how exactly do attackers gain access to mobile devices? In this presentation, we will examine current examples of Android malware and the techniques they use to turn your mobile phone into a nightmare. You will learn when you should get suspicious and what to do (and not to do) to protect yourself from becoming a victim.

*** Aus rechtlichen Gründen wird dieser Vortrag nicht gestreamt. ***

Steffen Robertz | SEC Consult Unternehmensberatung

Electronic Shelf Label (ESL) tags are increasing in popularity. More and more stores switch their price tags to digital ones for various reasons, such as competing with online wholesalers. In this talk, we will show how we analyzed the 433MHz connection of a popular ESL tag and identified multiple security flaws that allowed us to spoof the RF signal and display arbitrary content on the displays. Furthermore, the original manufacturer of the E-Tag labeled microcontrollers was discovered. This talk will give an overview of analyzing unknown hardware with an unknown RF protocol without any prior known research.

*** Dieser Programmpunkt wird live via YouTube übertragen. ***

Jovan Zivanovic | SBA Research

With the plans of increasing the number of reverse vending machines in Europe, it is relevant to take a look at the implemented security mechanisms of such vending machines [1,2].  Currently, in Austria, most stores provide such machines for the return of glass bottles, however, the government wants to also have an addition of vending machines for plastics. Security plays an important role with these machines, as they exchange the bottles for money and an insufficient security mechanism could allow attackers to practically print money. It is not uncommon for such machines to be targets of malicious actors. [3,4,5] We took a look at the vending machines present in most supermarkets in Vienna and figured out that some machines are not secured enough. In many cases, we found that the generated receipts – used at the cash register to be exchanged for money – are not secure enough. By analyzing several previously printed receipts, attackers can use an ESC printer to create forged receipts.  Furthermore, we tested our attack with one store and were able to exchange our forged receipt for real goods.  Our results show that this is not a single store that is improperly secured, but rather whole supermarket chains. This makes the vulnerability even more severe as, as far as we can tell, it affects whole supermarket chains that provide such reverse vending machines.  

*** Dieser Programmpunkt wird live via YouTube übertragen. ***


[1] https://infothek.bmk.gv.at/pfandsystem-fuer-oesterreich-3-punkte-plan/
[2] https://oesterreich.orf.at/stories/3125584/
[3] https://www.sueddeutsche.de/panorama/pfandbetrug-urteil-kriminalitaet-1.4403519
[4] https://www.spiegel.de/panorama/justiz/koeln-betrueger-erbeutet-mit-einer-pfandflasche-44-000-euro-a-1121633.html
[ 5] https://www.schwaebische-post.de/welt/verbraucher/aldi-discounter-betrug-pfand-pfandbon-abzocke-flaschen-trick-polizei-kunden-zr-90005672.html

Christian Kurta | Palo Alto Networks

Twenty years ago, few believed self-driving cars could happen, yet here they are. Will the same principles pave the way towards self-driving security? Christian Kurta explores what an autonomous SOC looks like, why it's needed, and how getting there requires a revolution in innovation. Christian will also detail potential pitfalls along the way.

*** Dieser Programmpunkt wird live via YouTube übertragen. ***