PRESSE
 | Erstklassige IT-Sicherheitskonferenz IT-Defense überzeugte die Teilnehmer |
Spannende Vorträge und außergewöhnliche Networking-Atmosphäre
Heilbronn, 21. Februar 2014 - Über 230 IT-Sicherheitsexperten trafen sich vom 12. – 14. Februar 2014 in Köln, um die aktuellen Themen der Branche zu diskutieren und interessante, praxisnahe Vorträge weltweit bekannter Referenten zu hören. Die Teilnehmer waren sowohl von den Referenten, der Qualität der Vorträge, der guten Atmosphäre und nicht zuletzt auch von den besonderen Abendveranstaltungen begeistert.
Bereits der Eröffnungsvortrag von IT-Security-Urgestein Marcus Ranum sorgte für viel Diskussionsstoff. Er vertrat die provokante These, dass das Internet und auch die IT-Sicherheitsprodukte massiv von den USA dominiert werden und dass sich europäische Unternehmen – um eine höhere IT-Sicherheit zu erreichen – nur auf eigene Protokolle und eigene Produkte verlassen sollten.
Der Referent Dr. Wolfgang Hackenberg meinte zwar, dass man einen Juristen niemals nach dem Mittagessen sprechen lassen darf, allerdings widersprach er mit seinem begeisternden Vortragstil selbst diesem Vorurteil. Er zeigte auf sehr anschauliche Art und Weise die rechtlichen Fallstricke im IT-Sicherheitsbereich auf.
Der eigentlich fachfremde Vortrag von Dr. Mark Benecke zur forensischen Spurensuche im biologischen Bereich begeisterte sämtliche Teilnehmer und stellte einen Punkt ganz deutlich heraus: Bei einer forensischen Analyse – sowohl im biologischen als auch im IT-Bereich – muss man immer aufpassen, dass man sich zu keiner Grundannahme bei der Untersuchung verleiten lässt. Sonst ist maN vielleicht von Anfang an auf der falschen Fährte und alle Mühen, den Täter zu finden, sind umsonst.
Große Presseresonanz fand der Vortrag von IT-Sicherheitsberater Joshua Tiago, der auf der Konferenz erstmals eine Schwachstelle im Team Foundation Server (TFS) von Microsoft vorstellte. Er zeigte, wie ein Angreifer durch gezieltes Einbringen von bösartigen Unit-Tests die einzelnen Server der TFS-Umgebung unter seine Kontrolle bringen kann. Dadurch kann er Einblick in sämtliche dort abgelegte Projekte nehmen, unabhängig vom eingestellten Berechtigungsmodell innerhalb des TFS.
Der Eröffnungsvortrag am zweiten Tag von IT-Sicherheitsfachmann Stefan Krebs von der Finanz Informatik war ein interessanter und spannender Einstieg in den zweiten Konferenztag. Mit vielen kleinen Tipps hat er den Teilnehmern Einblick in die Arbeit des IT-Sicherheitsmanagements bei Banken gegeben. Nicht zuletzt der Hinweis, schon vor einem sicherheitsrelevanten Vorfall einen Kontakt zu den Ermittlungsbehörden aufzubauen, sorgte bei vielen Teilnehmern für ein Aha-Erlebnis.
Am dritten Tag fanden wie immer fünf parallele Round Table Sessions statt. Besonders die Diskussionsrunden mit Social Engineering-Experte Jayson E. Street und mit Oberstleutnant Volker Kozok fanden sehr großen Zuspruch.
Neben den Vorträgen standen die Möglichkeit des Networkings untereinander, das persönliche Kennenlernen der Referenten und der Austausch unter Gleichgesinnten im Mittelpunkt der Veranstaltung. So waren neben den Firmenvertretern und den Referenten auch einige ehemalige Vortragende in Köln mit dabei.
Damit hat auch die 12. IT-Defense Maßstäbe gesetzt, die schwer übertroffen werden können. Die cirosec GmbH als Veranstalter stellt sich aber gerne dieser Herausforderung und freut sich über die bereits zahlreichen Voranmeldungen für die nächste Konferenz. Die IT-Defense 2015 wird vom 4.-6. Februar 2015 in Leipzig stattfinden.
| Schwerwiegende Schwachstelle im Microsoft Team Foundation Server |
HEILBRONN, 12. Februar 2014 – cirosec, der Spezialist im IT-Sicherheitsbereich, weist auf eine schwerwiegende Schwachstelle im Team Foundation Server von Microsoft hin. Joshua Tiago, Senior Berater bei der cirosec GmbH, stellte heute auf der IT-Sicherheitskonferenz IT-Defense vor, wie er mit Hilfe von manipulierten Unit-Tests die volle Kontrolle über den Team Foundation Server übernehmen kann.
Der Team Foundation Server (TFS) ist das zentrale Produkt von Microsoft für Software-Entwickler, auf dem mehrere Entwickler-Teams gemeinsam an unterschiedlichen Softwareprojekten arbeiten können. Der Server kann sowohl intern im Unternehmen aufgesetzt als auch als Service in der Microsoft Cloud genutzt werden.
Ein ausführliches Rechte- und Rollenkonzept innerhalb des TFS soll eigentlich die Rechte der einzelnen Entwickler begrenzen und die Projekte unterschiedlicher Teams voneinander trennen.
Durch das gezielte Einbringen von bösartigen Unit-Tests kann ein Angreifer die einzelnen Server der TFS-Umgebung unter seine Kontrolle bringen. Dadurch kann er Einblick in sämtliche dort abgelegte Projekte nehmen, unabhängig vom eingestellten Berechtigungsmodell innerhalb des TFS.
cirosec empfiehlt daher, keine gemeinsam genutzte TFS-Installation zu verwenden, wenn Teile oder einzelne Projekte sensibel oder vertraulich sind. Auch die Nutzung des TFS in der Microsoft Cloud sollte gut überlegt sein, da die Schwachstelle auch bei einem Team Foundation Server in der Microsoft-Cloud nachgewiesen wurde und man damit auch in der Cloud das Rechte- und Rollenmodell des TFS aushebeln kann.
Die Schwachstelle wurde vom cirosec-Berater Joshua Tiago im August 2013 an Microsoft gemeldet. Im November 2013 reagierte Microsoft mit dem Hinweis, dass es sich hier nicht um eine Sicherheitslücke, sondern um designbedingtes Verhalten handelt.
| IT-Defense 2014 – Herausragende internationale IT-Sicherheitskonferenz mit renommierten Experten |
HEILBRONN, 24. September 2013 – Einige der weltweit bekanntesten IT-Security-Experten, Hacker und Buchautoren treffen sich vom 12.-14. Februar 2014 auf der IT-Sicherheitskonferenz IT-Defense in Köln, um über aktuelle IT-Sicherheitsthemen und neue Forschungsergebnisse zu referieren.
Die IT-Defense findet bereits zum zwölften Mal statt und ist eine der größten internationalen Konferenzen zum Thema IT-Sicherheit in Deutschland. Das Programm der IT-Defense ist jedes Mal eine Mischung aus sehr technischen Vorträgen, strategischen Präsentationen und unterhaltsamen Referenten rund um das Thema IT-Sicherheit. Gleichzeitig garantieren hochwertige Abendveranstaltungen einen Austausch mit Referenten und anderen Teilnehmern.
Die Referenten, die sich national bzw. international einen Namen gemacht haben, werden aktuelle Forschungsergebnisse vorstellen, neue, noch unbekannte Schwachstellen in Standardsoftware präsentieren oder auch kritische Diskussionen zum Datenschutz anregen.
Security-Urgestein Marcus Ranum wird das kolonialistische Verhalten der USA im Internet kritisch hinterfragen. cirosec-Berater Joshua Tiago wird eine von ihm gefundene Schwachstelle in der Microsoft Cloud erstmalig der Öffentlichkeit präsentieren. FBI Special Agent Michael McAndrews gibt einen Einblick hinter die Kulissen der Anonymous- / LulzSec-Ermittlungen und zeigt jüngste Hacktivist-Bedrohungen. Der SAP-Security-Guru Mariano Nunes Di Croce wird neue Schwachstellen in SAP präsentieren. Der aus Funk und Fernsehen bekannte Forensiker Mark Benecke wird das Programm mit seinem Vortrag über genetische Fingerabdrücke abrunden.
Diese und weitere bekannte Researcher und IT-Sicherheitsprofis werden an zwei Kongresstagen aktuelle Fragen der IT-Sicherheit diskutieren und Einblicke in Strategien und Sicherheitskonzepte geben. Am dritten Tag der Veranstaltung finden Gesprächsrunden (Round Tables) statt. Hier haben die Teilnehmer die Möglichkeit, ausführlich mit den Referenten ins Gespräch zu kommen und Einzelthemen zu vertiefen.
Die IT-Defense 2014 findet vom 12.-14. Februar 2014 im Hilton Hotel in Köln statt. Die Teilnehmerzahl ist auf 200 Personen begrenzt. Der Preis für die Vortragsreihe (12.-13. Februar) beträgt 1.195,- €, die Teilnahme an der kompletten Veranstaltung inklusive Gesprächsrunden kostet 1.495,- €. Zusätzlich wird an den beiden Tagen vor der IT-Defense das bekannte cirosec-Training „Forensic Extrem“ stattfinden, das für 2.000,- € dazu gebucht werden kann.
Veranstalter dieses IT-Security-Kongresses ist die cirosec GmbH.
Weitere Informationen zur Veranstaltung finden Interessenten unter www.it-defense.de.