Programm IT-SecX 2008

Man in the Middle Attack und DNS Spoofing

Andreas Beder

Was sind die Grundlagen einer Man in the Middle Attack, wie wird sie durchgeführt und wie kann man sich davor schützen.

 

Why software always breaks:
From phone lines to CPU threads

DI (FH) Bernhard Müller | Security Consultant | SEC Consult Unternehmensberatung GmbH

Software is created by human beings. As we all know, humans often make mistakes, and these mistakes manifest themselves in software bugs. Also, many developers are unaware of secure development practices and security is often secondary in the development process. Since the discovery of the famous phone trunk manipulation vulnerabilities, history has repeated itself on many occasions. In this talk, we will focus on why and how things always break, and what phone phreaking, SQL injection and buffer overflow exploits have in common. We will also discuss generic methods that allow us to discover vulnerabilities in any technology or software product.

 

OpenVPN Enpoints“ for Newbies

Markus Obsil, BSc | FH St.Pölten | Assistent und Student

In diesem Vortrag geht es um die Grundlagen der Open Source Software OpenVPN und möglichen Verbindungen zu anderen OpenSource Lösungen (OpenSSL, IPTables, PortKnock), welche für VPN Endpunkte von Nöten sein können. Praktische Beispiele, vom ersten VPN Tunnel, bis zur zertifikatsbasierenden Authentifizierung, werden dabei das Verständnis der Technik unterstützen. Das Level des Vortrages ist für Anfänger gedacht, mit Grundkenntnissen der Kryptografie und Netzwerktechnik.

 

Verschlüsselte Heimatverzeichnisse unter Linux

DI (FH) Rainer Poisel | FH St.Pölten | Wissenschaftlicher Mitarbeiter

Nach kurzem Überblick über die Konzepte der Festplatten- und Datenverschlüsselung, sowie der Vorstellung möglicher Einsatzszenarien wird demonstriert, wie man unter Linux verschlüsselte Container erstellt und administriert. Weiters wird auf verschlüsselte Heimatverzeichnisse eingegangen, die beim Anmelden am System automatisch eingebunden werden.

 

pwnd!

Lukas Nothdurfter / Herwig Koeck | apex gaming technologies / t-systems + Hagenbergerkreis / FH Hagenberg

Die Metamorphose eines [L,X]AMPP-Webservers zu einem Warrior in einem virtuellen Krieg. Techniken, Tipps, Tricks und Abwehrmethoden! [Augenmerk auf Angriffsmethoden, Verschleierung, Botnetze, Spam]

 

Quantum Hacking

DI Bibiane Blauensteiner | Universität Wien
Dr. Andreas Poppe | Austrian Research Centers GmbH – ARC

*Halloween* – Quantum Zombies (Superposition) – Spooky Action (Entanglement) *Hacking* – Quantum Information, Communication, Computation (Quantum <-> klassisch) – Quantum Cryptography – Key Distribution *Security* – anhand von ganz aktuellen papers, eigenen Ergebnissen: – Loopholes, Side-Channels – realistische, demonstrierte Attacken – Sicherheitsbeweise, experimentelle Resultate *Aktuell in Wien* – SECOQC – Quantennetzwerk-Demo

 

MetaTOR v2: OnionCat Public Beta Introduction

Bakk. rer. soc. oec. Bernhard Fischer | FH St.Pölten | Lektor
Daniel Haslinger | FH St.Pölten | Student

MetaTOR v2 – ein Jahr der Planung und Entwicklung ist seit der IT-SecX 2007 verstrichen, der Start eines weltweit anonymisierten, vollverschlüsselten Netzwerkes ist in greifbare Nähe gerückt. Wir veröffentlichen erstmals offiziell die Ergebnisse unserer Entwicklungen des letzten Jahres und präsentieren mit OnionCat die Zukunft der zensurresistenten Kommunikation.

Oracle 11g Security Features

Benedikt Sattler | HTL EDVO St.Pölten | Schüler

Sicherheitsfeatures von Oracle 11g vorgestellt und zusammengefasst. Tabellenverschlüsselung, Auditing, History, ….

 

Sicherheitsaspekte bei der Programmierung PHP-basierter Webapplikationen und deren Umsetzung im CMS Typo3

Alexander Weidinger | FH St.Pölten | Student

Der Vortrag wird grob aus zwei Teilen bestehen: 1) häufige sicherheitskritische Fehler in PHP 2) Welche Werkzeuge stellt Typo3 den Entwicklern von Extensions zur Verfügung?

 

Social Engineering – Ausnützung der menschlichen Schwachstelle

Kadi Mashal | FH St.Pölten | Studentin

# Angriffsmethoden
# Analysieren von Angriffen
# Angriffstechniken
# Sicherheitsmanagement

 

Cisco TrustSec (CTS) – Netzwerksicherheit der Zukunft mit Technologien wie Role/Group Based Access Control und Layer2-Verschlüsselung

DI (FH) Michael Eichriedler | Cisco Systems Austria | System Engineer

In CTS werden interessante Konzepte wie Role/Group Based Access Control und Layer2-Verschlüsselung zu einer netzwerkübergreifenden Securitylösung kombiniert.

 

Information Disclosure

Christopher Riley | Raiffeisen Informatik GmbH

In the constant battle against hackers, Information Disclosure is an important piece that is often overlooked. We’ll look briefly at the various types of Information that a majority of websites make freely available, and why this information is can be helpful to attackers in targeting attacks.

 

(Hacking) Physical Security – in a Nutshell

Thomas Hackner | Independent Security Researcher
Aljosha Judmayer | Independent Security Researcher

Täglich begegnet man physischen Sicherungsmaßnahmen, die Angreifer davor abhalten, sich den Besitz anderer anzueignen. Wie auch im IT-Sicherheitsbereich gilt „Die Kette ist nur stark wie ihr schwächstes Glied“ und so werden immer wieder getroffene Maßnahmen durch kleine Fehler ausgehebelt und obsolet. Im Vortrag „(Hacking) Physical Security – in a Nutshell“ werden die wichtigsten physischen Sicherheitsmaßnahmen behandelt, die einem im täglichen Leben begegnen und gezeigt, wie diese kompromittiert werden können. Parallel dazu erfahren die Hörer, wie Absicherungen gegen solche Angriffe auszusehen haben. Optional nach Absprache: „1-2 Stunden nach dem Talk Lockpicking Stand für interessierte Lockpicker in einem gemütlichen Eck der Konferenz; z.B. Chill-Lounge“

Intro Networking Design Basics of Router hacking Advanced Attacks Identification of Targets Malware for routers

Sebastian Maier

This talk is about devices that almost everybody has in their homes and offices. So called Soho (Small home and office) routers have become extremely popular in the last few years. While the good guys where busy trying to prevent malware from infiltrating their desktop systems, the bad guys had gone one step ahead of the game and started to experiment with these devices. Close to nobody pays attention to the security of their routers and why should they. These mystical devices have always been protected through security by obscurity. This Talk is not about how to reverse engineer routers, or how to get the best possible security out of the original firmware. This is the real stuff. Participants will learn the fundamental basics how routers can be taken over. After a few practical examples we will then move into the field of malware — self spr eading of course. This talk will give the participants not only a fundamental knowledge of Soho router hacking, but also a idea about future threats and the ongoing research in this very interesting field of it security.

 

Post-Exploit of Windows Clients and Its Automation

Mohammad Tabatabai | ICT, TU Wien

Post-exploit in details, Automation of post-exploit with meterpreter payload, Demos