Rethinking Security When Assets Move Out of Your Control - Christine Bejerasco

Leistungsstarke Rechenkapazitäten, die über Browser und Thin Clients erreichbar sind, sind heute alltäglich. Viele IT-Abteilungen abonnieren „as-a-service“-Modelle für Software, Plattformen und Infrastruktur, was dazu geführt hat, dass sensible Daten in die Verantwortung von Organisationen fallen, von denen wir nicht einmal wussten, dass wir mit ihnen arbeiten.

Bei manchen Organisationen kann das bedeuten, dass man tausende von Diensten abonniert, die unterschiedliche Sicherheitslevel haben. Wenngleich wir noch nicht dort angekommen sind, so bewegen wir uns doch schnell in eine Richtung, in der möglicherweise nur ein Terminal übrig bleibt, über das wir auf die Assets – die sich nicht mehr in unserem Unternehmen befinden ‑ zugreifen können.

Welche Bedrohungen haben wir in diesem neuen Paradigma bereits gesehen? Wie gehen wir die Sicherheit an, wenn wir unsere Algorithmen, Daten oder sogar Rechenleistung nicht länger selbst kontrollieren können?

Der Vortrag findet in englischer Sprache statt.

Forward to the Past and Back to the Future - Cybercrime in 2024 and Beyond – Sami Laiho

Begleiten Sie Sami Laiho, Leiter der Forschungsabteilung von Adminize, bei einem Blick zurück auf das, was sich bei den Sicherheitsbedrohungen im Jahr 2023 verändert hat, und hören Sie seine Vorhersagen dazu, was die Zukunft noch für uns bereithält.

Der Vortrag findet in englischer Sprache statt.

Blut, Harnstoff und Firmware - Snoopy

Die Digitalisierung macht leider auch nicht vor der Gesundheitsindustrie halt. Entsprechend werden immer mehr medizinische Geräte an das Internet angeflanscht, z.B. auch für Fernwartung oder die Erhebung von Statistiken. Leider spielt die Sicherheit des Gerätes dabei eine SEHR untergeordnete Rolle. Die proklamierten Vereinfachungen und Steigerungen der Effizienz machen aber auch leider den Angreifern das Leben leichter.

Dieser Vortrag beleuchtet die sicherheitstechnischen Probleme einer untersuchten Heimdialyse-Maschine. Eine solche wird oft beim Patienten zu Hause an das vorhandene (meist vollkommen ungesicherte) WLAN angeschlossen. Das verleiht dem Wort Betriebsrisiko ein vollkommen neues Leben.

Es werden die Befunde eines Pentests der Maschine präsentiert und Anregungen für angehende und reifere Healthineers gegeben, wie man die Sicherheit erhöhen kann. Dabei geht es auch primär um den Mindset und die Sensibilisierung der Entwickler.

Wie bei meinen Vorträgen üblich gibt es als Bonus ein paar lustige Anekdoten, welche ich nicht auf Folien bringen kann oder darf.

Der Vortrag findet auf Deutsch statt.

Aktuelle Bedrohungen im Cyber-Raum und die Rolle der Polizei – Daniel Lorch

In dem Vortrag werden Ihnen international erfolgreiche Kooperationsmodelle aus der Ermittlungspraxis vorgestellt. Sie erfahren mehr über die große Expertise der Kriminalpolizei vor, während und nach einem IT-Sicherheitsvorfall. Schlussendlich geht es darüber hinaus um die Frage, was wir gemeinsam dem Erfolgsmodell „Crime-as-a-Service“ entgegensetzen können, um so für mehr Cyber-Resilienz zu sorgen. Denn nur gemeinsam können wir erfolgreich gegen Cyber-Bedrohungen vorgehen.

Der Vortrag findet auf Deutsch statt.

KI zwischen unendlichen Möglichkeiten und Rechtsunsicherheit – Joerg Heidrich

ChatGPT & Co. sind inzwischen in vielen Unternehmen im Bereich der produktiven Nutzung angelangt. Umso mehr stellt sich die Frage danach, wie denn der Einsatz dieser neuen Technik eigentlich rechtlich zu beurteilen ist. Wie sieht es mit dem Urheberrecht an den Texten oder Bildern aus der KI aus? Was muss ich datenschutzrechtlich beachten? Kann ich mich gegen die Nutzung meiner Werke durch die KI wehren? Joerg Heidrich, Fachanwalt für IT-Recht und Heise-Justiziar, stellt in seinem Vortrag am Beispiel des KI-Bilder-Tools Midjourney die aktuelle Rechtslage praxisnah dar und weist Ihnen Wege durch den Dschungel der juristischen Vorgaben.

Der Vortrag findet auf Deutsch statt.

Uninstalling Security: Local Privilege Escalation durch Symbolic Links – Frederik Reiter & Jan‑Luca Gruber

Lokale Rechteausweitungen sind ein essenzieller Teil der Angriffskette eines Red-Team-Assessments, um nach der Kompromittierung eines Endgeräts uneingeschränkt mit den Angriffen fortfahren zu können.

In diesem Kontext haben wir nach Schwachstellen gesucht und auch einen bisher von Softwareherstellern kaum beachteten Schwachstellenvektor im Windows-Umfeld gefunden. Innerhalb weniger Monate konnte so eine CVE-Fließbandproduktion eröffnet werden, die zu lokalen Rechteausweitungen in verschiedenster Enterprise-Software wie beispielsweise RealVNC und VMware Workstation geführt hat. Hierzu werden „Symbolic Links“ und „Opportunistic Locks“, beides in Windows eingebaute Funktionalitäten, verwendet, um hochprivilegierte Windows-Services wie Installer oder EDR-Lösungen auszutricksen.

In diesem Vortrag werden die gefundenen Schwachstellen mit vielen technischen Details vorgestellt und die in Windows eingebauten Schutzmechanismen und deren Limitierungen erläutert. Zusätzlich wird über die hierbei gesammelten Erfahrungen und über praxisnahe Empfehlungen zum Umgang mit Responsible-Disclosure-Verfahren berichtet.

CVEs in diesem Talk: CVE-2022-43547, CVE-2022-41975, CVE-2023-25396, CVE-2023-0652, CVE-2023-1412, CVE-2023-20854

Der Vortrag findet auf Deutsch statt.

Künstliche Intelligenz: Was das ist und warum das alle angeht – Prof. Dr. Dr. Manfred Spitzer

Seit der Publikation von ChatGPT, einer sprachbasierten künstlichen Intelligenz (KI), am 30. November 2022 wird weltweit über KI diskutiert. Hierbei bleibt oft unklar, was mit KI gemeint ist, und zugleich wird über vieles, was in diesem Bereich bereits an bedeutenden Erkenntnissen gewonnen wurde, nicht gesprochen. Anhand von Beispielen aus den verschiedensten Wissensgebieten – Medizin, Militär, Klima, Natur- und Geisteswissenschaften, Verbrechensbekämpfung, Politik, Wirtschaft – sowie im ganz normalen Alltag wird gezeigt, was KI ist und was KI kann. Sie durchdringt schon jetzt unser Leben und unsere Gemeinschaft, ohne jegliche Regulierung, von einer Technikfolgenabschätzung gar nicht zu reden. Während ChatGPT im Wesentlichen schlimmstenfalls „Dummheiten“ produziert, ist das in anderen Bereichen anders: Wenn wir nicht aufpassen, kann KI in den falschen Händen die Menschheit bedrohen. Sie kann aber auch – richtig eingesetzt – zur Lösung dringender Probleme beitragen.

Der Vortrag findet auf Deutsch statt.

Serverless Security - Tal Melamed

Das Konzept der Serverlosigkeit führt dazu, dass keine Entwicklerteams mehr benötigt werden, um Server bereitzustellen. Zudem werden einige Sicherheitsbedrohungen an den Cloud-Anbieter ausgelagert. Die Entwickler können sich stattdessen auf den logischen Aufbau konzentrieren und zu einer schnellen Wertschöpfung beitragen. Aber Cloud-Funktionen führen immer noch Code aus. Ist die Software also schlecht programmiert, kann dies in der Cloud eine Katastrophe auslösen.

Während Serverless-Code eine Mischung aus Cloud-Konfigurationen und API-Aufrufen enthält, fehlt es älteren Sicherheitslösungen am notwendigen Kontext für die serverlose Umgebung. Die Folge sind eine fehlende Beobachtbarkeit und längere Reaktionszeiten. Den Sicherheitsteams fällt es schwer, mit der rasanten Entwicklung Schritt zu halten, sodass die Sicherheit auf der Strecke bleibt. Die Angreifer hingegen machen sich dieses unbekannte Terrain zunutze und greifen die serverlosen Umgebungen an. Meistens wird darüber nichts berichtet, weil niemand etwas bemerkt, solange nichts wirklich Schlimmes passiert.

In diesem Vortrag diskutieren wir über die Risiken und Herausforderungen serverloser Umgebungen sowie über neue Angriffsvektoren und gängige Techniken, die von Angreifern zur Ausnutzung serverloser Anwendungen eingesetzt werden. Zudem wird gezeigt, wie Angreifer neu entdeckte Schwachstellen ausnutzen können, um serverlose Anwendungen unbemerkt anzugreifen.

Der Vortrag findet in englischer Sprache statt.

C&C Wak-a-malware – Amichai Shulman und Stav Shulman

Die Kernkomponente eines jeden Botnets ist eine robuste C2-Infrastruktur. Diese Infrastruktur sollte widerstandsfähig und unauffällig sein. Sicherheitsforscher fokussieren ihre Bemühungen deshalb darauf, die C2-Kommunikation eines Botnets zu erkennen und abzufangen, um Angreifer entdecken und ihre böswilligen Aktionen nachverfolgen zu können.

Heutzutage basieren die meisten C2-Infrastrukturen auf von einem Angreifer kontrollierten Hosts. Dabei handelt es sich entweder um spezielle Server und Endgeräte oder um allgemeine Server, die von einem Angreifer kompromittiert wurden. Einige versierte Akteure wenden verschiedene Methoden an, um zu vermeiden, dass ihre C2-Kommunikation erkannt wird. Zu diesen Techniken zählen das Einschleusen von Code in den Kernel des Hosts, Tunneln über gängige Protokolle und der Einsatz öffentlicher Cloud-Speicher-Apps. Gute Verschleierungstechniken erfordern auch einen hohen Aufwand und einen hohen Grad an Raffinesse, was bei den meisten Angreifern nicht gegeben ist.

Die größte Herausforderung für die Angreifer ist es jedoch, dass, sobald die C2-Komponenten eines Botnets einmal von Forschern erkannt wurden, alle bestehenden Bots FÜR IMMER ihre Verbindung verlieren.

In unserem Vortrag diskutieren wir die Entwicklung der „getarnten“ C2-Infrastruktur auf Grundlage realer Angriffe. Wir besprechen die Fallstricke aktueller Techniken und präsentieren eine neue Herangehensweise an die C2-Infrastruktur, die ausschließlich auf öffentlicher Infrastruktur basiert und selbst für Angreifer mit geringen Kenntnissen verfügbar ist. Die wichtigste Funktion dieser Infrastruktur ist die Fähigkeit, dass bestehende Bots wieder zum Leben erweckt werden und die Kommunikation mit dem Betreiber wieder aufnehmen können, ungeachtet der Bemühungen der Forscher, die Infrastruktur zu zerstören. Der Defense-Community bleibt nur der aussichtslose Kampf gegen gnadenlose Malware. Wir zeigen, dass sich diese Technik einfach auf jede gängige Backdoor anwenden lässt und Angriffe somit langfristig durchgeführt werden können.

Mit unserer Präsentation möchten wir verdeutlichen, dass eine beständige und widerstandsfähige C2-Infrastruktur nicht nur von professionellen Angreifern eingesetzt werden kann. Verteidiger und Hersteller von Lösungen müssen sich somit auf ein neues Zeitalter unbemerkter Angriffe vorbereiten.

Der Vortrag findet in englischer Sprache statt.

NTLM: The Legacy Protocol That Won’t Die – Elad Shamir

Das Vermächtnis des seit über 30 Jahren existierenden Anmeldeprotokolls NetNTLM wird die Sicherheit von Unternehmen auch im Jahr 2024 noch bedrohen. Obwohl Microsoft seit 2010 von NTLM abrät, wird es weiterhin häufig eingesetzt. Die meisten Sicherheitsexperten gehen davon aus, dass Angriffe auf NTLM der Vergangenheit angehören oder ein vernachlässigbares Risiko darstellen. Doch Angreifer entwickeln seit Jahrzehnten immer wieder neue Techniken, um NTLM auszunutzen, sodass das Protokoll heutzutage einen der effektivsten Angriffsvektoren zur Kompromittierung interner Systeme, einschließlich des Active Directory und der gesamten Identitäts-Infrastruktur eines Unternehmens, darstellt.

In diesem Vortrag sehen wir uns NTLM und die Techniken, mit denen sich seine Schwachstellen am erfolgreichsten ausnutzen lassen, einmal genauer an. Wir besprechen ausgeklügelte, von professionellen Angreifern organisierte Angriffe im Zusammenhang mit NTLM und beleuchten Angriffstechniken, die in der Security-Community weitgehend unbekannt sind. Darüber hinaus thematisieren wir die Entwicklung von NTLM, von den grundlegenden Konzepten bis hin zu fortschrittlichen, realen Relaying-Szenarien sowie subtilen und dennoch wirkungsvollen Angriffen.

Aber es geht nicht nur darum, das Problem offenzulegen, sondern wir werden auch in einer lösungsorientierten Diskussion wirksame Strategien zur Verringerung des Risikos erörtern, Microsofts Pläne zum Umgang mit diesen Schwachstellen besprechen und auf die praktischen Herausforderungen eingehen, die bei der Beseitigung der Überbleibsel von NTLM bestehen. Ob Sie nun ein erfahrener Sicherheitsexperte sind oder neu auf diesem Gebiet, nach dem Vortrag werden Sie in jedem Fall ein nuanciertes Verständnis der aktuellen Risiken von NTLM haben und in der Lage sein, Netzwerke besser anzugreifen oder vor diesen fortdauernden Bedrohungen zu schützen.

Der Vortrag findet in englischer Sprache statt.

Hack your boardroom! Edwin van Andel

Wir kennen alle das Gefühl: Wir arbeiten bei einer schönen Firma, bei der wir grundlegende Sicherheitsmaßnahmen umgesetzt haben, aber wie überzeugen wir den Vorstand davon, noch einen Schritt weiter zu gehen?

Wir sind Hacker, oder vielleicht technische CISOs, wir kennen die Risiken, aber wie schaffen wir es, tatsächlich ihre Aufmerksamkeit zu bekommen? Was für Geschichten sollen wir erzählen? Wie sollen wir uns verhalten?

In diesem Vortrag werde ich versuchen, genau das zu tun. Aus der Perspektive eines Hackers werde ich „den gelangweilten Vorstand“ vorstellen und versuchen, ihn von der Wichtigkeit guter Sicherheitsmaßnahmen zu überzeugen, indem ich ihm einen Haufen echter und meist lustiger „sicherheitsbezogener“ Beispiele zeige. Wird er sich darauf einlassen? Oder wird der Vorstand gelangweilt bleiben? Und falls das nicht funktioniert, was dann?

Ja, es wird im Vortag auch einige richtig gute Tipps und Tricks geben sowie ein paar schöne Hacks!

Immer weiterlächeln, Freunde!

Der Vortrag findet in englischer Sprache statt.

Schreiben sicherer Software erklärt am Beispiel von MyBlog – Felix von Leitner aka Fefe

In letzter Zeit habe ich des Öfteren Vorträge gehalten über Sicherheitsprinzipien und Herangehensweisen wie Least Privilege, TCB-Minimierung und Self-Sandboxing. Häufig bekam ich dann die Rückmeldung „Ich weiß nicht, wie ich das in der Praxis umsetzen soll“. Deshalb möchte ich in diesem Vortrag zeigen, wie ich diese Prinzipien in einem Softwareprojekt angewandt habe, und zwar bei der CRUD-Webapp „MyBlog“.

Ich habe die App absichtlich mit einer Angriffsfläche versehen, sodass ich eines Tages darüber sprechen kann, wie sich bestimmte Techniken zur Verringerung des Risikos einsetzen lassen. Das tue ich nun in diesem Vortrag.

Darüber hinaus werde ich das Konzept der sogenannten Append-only-Datenspeicherung vorstellen.

Mit dem Vortrag möchte ich aufzeigen, wie viel mehr Sicherheit erreicht werden kann, wenn man nicht eine vorhandene Architektur nimmt und ein wenig Sicherheit hinzufügt, sondern schon bei sämtlichen Architekturentscheidungen die Sicherheit mitberücksichtigt.

In der Praxis erfolgt das nur selten, weil eine grundsätzliche Diskrepanz zwischen Sicherheit und Softwaretechnik besteht. Bei der Sicherheit geht es darum, einzuschränken, was mit der Software gemacht werden kann, während die Softwaretechnik dies gerade nicht einschränken möchte.

Ziel meines Vortrags ist es, Ihnen die sicherheitstechnischen Vorteile, die sich mit der Architektur erreichen lassen, zu verdeutlichen. Sodass auch Sie nachts ruhig schlafen können, selbst wenn die Software in C geschrieben ist, die ACLs schlecht sind oder die Software einen Buffer Overflow enthält.