DECOIT stellt CLEARER-Ergebnisse auf D.A.CH Security 2018 vor
Die D.A.CH Security fand dieses Jahr vom 4. bis 5. September in Gelsenkirchen an der Westfälischen Hochschule Gelsenkirchen Bocholt Recklinghausen statt. Ziel der Konferenz war es, eine interdisziplinäre Übersicht zum aktuellen Stand der IT-Sicherheit in Industrie, Dienstleistung, Verwaltung und Wissenschaft in Deutschland, Österreich und der Schweiz zu geben. Insbesondere werden dabei Aspekte aus den Bereichen Forschung und Entwicklung, Lehre, Aus- und Weiterbildung vorgestellt, relevante Anwendungen aufgezeigt sowie neue Technologien und daraus resultierende Produktentwicklungen konzeptionell dargestellt. Die IT-Sicherheit ist integraler Bestandteil aller informationstechnischen Anwendungen, gerade durch die vermehrte Verbreitung von IoT Geräten und stärkerer Vernetzung der Industrieanlagen. Die DECOIT® GmbH stellte dieses Jahr die Ergebnisse des BMWi-Forschungsprojekt CLEARER (www.clearer-project.de) vor.
Themenschwerpunkte der diesjährigen Veranstaltung waren Security-Awareness, Sicherheitsmanagement Industrie 4.0 und IoT. Gerade beim ersten Thema ist schwer messbar wie erfolgreich eine Schulung in diesem Bereich ist. Der Eröffnungsvortrag versuchte dies mit bestimmten Kennzahlen, mit denen das Verhalten der Beschäftigten genauer beurteilt werden kann. Dabei wurde besonders auch auf die Datenschutzkonformität geachtet, damit keine Überwachung der Mitarbeiter erfolgen kann. Zum Ende wurde ein Prototyp vorgestellt, der die Machbarkeit der Arbeit bestätigt.
Ein häufiges Problem der Sicherheit und der Kryptologie ist die Komplexität. Dadurch ist vielen nicht klar, wie das genau funktioniert oder eingesetzt werden kann. Hier versucht das CrypTool2 Abhilfe zu schaffen und die Welt der Kryptologie anschaulicher und einfacher zugänglich zu machen. Dabei wird das Tool sowohl in Schulen, wie auch in universitären Vorlesungen und Übungen eingesetzt. Auch in der Forschung findet CrypTool2 Anwendung und dient dabei als Testbett. Weiterhin werden die neusten Chiffren und aktuelle Analyseverfahren implementiert. Daher dient das Tool auch als Sammlung für „State-of-the-Art“ Techniken.
In einem weiteren Beitrag ging es um Techniken zur Vermeidung von Return-Oriented-Programming (ROP)-Angriffen in OpenBSD. Klassische Angriffe mithilfe von Buffer-Overflows sind in aktuellen Betriebssystemen zunehmend schwerer zu realisieren. Dabei hat auch Data-Execution-Prevention geholfen, die das Ausführen von Programmcode auf dem Stack verhindert. Angreifern bleibt aktuell also nur die ROP-Methodik. Diese konzentriert sich auf Code-Schnipsel, die bereits in eigenen Text-Segmenten vorhanden sind. Hierbei wird der Programmablauf so beeinflusst, dass eigene Code-Schnipsel ausgeführt werden und die Rücksprungadresse des originalen Programms überschrieben wird. Als Beispiel wurde die LibC (Methode return-to-libc) herangezogen, die in fast jedem Programm Verwendung findet. LibC ist sehr statisch und wird selten verändert. Dies sollte laut der vorgestellten Lösung geändert werden, indem die LibC-Bestandteile zufällig und damit immer anders verlinkt werden sollten. Dadurch wird diese Methode zum Angreifen von Computersystemen unterbunden. Zwar ergeben sich dann andere Probleme, wie z. B. der Secure-Boot der dann nicht mehr funktioniert, allerdings könnte hierfür als Lösung ein Linker im Bootloader sein.
Ein häufig vergessener Aspekt der IT-Sicherheit ist die Hardwaremanipulation. Für dieses Problem wurde ein Ansatz mit Lötzinn-Analyse vorgestellt. Hierzu wurden Testleiterplatten mit SOP-, BGA- und QFN-Bauteilen bestückt und deren Zustand dokumentiert. Danach wurden die Platten einem Rework unterzogen und erneut ihr Zustand ermittelt. Um den Zustand vor und nach dem Rework zu ermitteln, wurden verschiedene Verfahren eingesetzt z. B. mikroskopische Untersuchungen, Querschliffe und Röntgenbilder erstellt. Dabei kann relativ sicher festgestellt werden, dass die Bauteile nicht mehr dem Originalzustand entsprechen.
Wie bereits die DECOIT®, haben auch andere erkannt, dass Mobilgeräte mittlerweile im Fokus von Angreifern stehen. Ein neuer Ansatz zur Erkennung von Maleware, ist die Methodik des maschinellen Lernens zu verwenden. Hierbei wird das Verhalten von verschiedenen Apps im Normalbetrieb über längeren Zeitraum aufgezeichnet und als Trainingsdaten verwendet. So kann im Nachhinein ermittelt werden, ob Apps sich verdächtig verhalten.
In einem weiteren Beitrag wurde eine Studie über Akzeptanz und Bedarf eines KMU-CERTs (Computer-Emergency-Response-Teams) in Österreich vorgestellt. Von 2002 bis 2007 gab es in Deutschland bereits solch ein Computer-Emergency-Response-Team, allerdings wurde es mangels Erfolg eingestellt. Bei der Studie kam heraus, dass viele österreichische Unternehmen sich unsicher sind, ob sie den Service eines CERTs in Anspruch nehmen würden. Dabei muss allerdings bedacht werden, dass viele durch fehlerhafte Risikoeinschätzungen erst solche Services nutzen, wenn sie es benötigen.
Auch die beiden Projekte mit Beteiligung der DECOIT® wurden auf der D.A.CH Security vorgestellt. Zum einen wurden die Projektergebnisse des CLEARER-Projektes vorgestellt. Ziel des Projektes war die automatisierte Überwachung und Steuerung von Compliance-Aspekten. Dabei wurden die entwickelte Architektur und die umgesetzten Szenarien vorgestellt. Für positiv wurde dabei befunden, dass die DECOIT® die Ergebnisse zu einem Produkt weiterentwickelt und auf der kommenden it-sa (9.-11. Oktober in Nürnberg) vorstellen wird.
Zum anderen stellte DECOIT®-Partner, Hochschule Bremen, das gemeinsame Projekt INTEGER (www.integer-project.de) und das Konzept der Langzeitarchivierung nach DIN-31644 vor. Im INTEGER-Projekt geht es um die Nicht-Abstreitbarkeit multimedialer VoIP-Streams. Hierbei ist nicht nur wichtig die Integrität während des Gespräches zu garantieren, sondern diese auch in einem Langzeitarchiv zu gewährleisten, denn dieses dient bei vertraglichen Streitigkeiten als Beweis der stattgefundenen Kommunikation und ihrem Inhalt. Das INTEGER-Projekt strebt dabei eine Archivierung nach der DIN-31664 an. Hierzu wurden in dem Vortrag auf die Kriterien der DIN und der daraus resultierenden Anforderungen für das Projekt eingegangen. Ein wichtiger Punkt dabei ist auch der qualifizierte Zeitstempel, der garantieren soll, dass spätere Manipulationen und Rückdatierungen von Gesprächen erkannt werden können.
Die D.A.CH Security bot wieder viele neue Eindrücke und Diskussionen rund um das Thema IT-Sicherheit. Dabei wurde ein guter Mix aus Forschungs- und Industrieprojekten ausgewählt, die an der Westfälischen Hochschule Gelsenkirchen Bocholt Recklinghausen präsentiert wurden. Die DECOIT® GmbH wird zukünftig gerne wieder an der Konferenz teilnehmen, um sich aktiv an der Diskussion zur Erhöhung der IT-Sicherheit zu beteiligen und eigene Ansätze bzw. Ergebnisse vorzustellen.