Wien (pts009/29.09.2016/09:15) – Das Internet der Dinge steht vor der Tür. Viele Unternehmen und Privatpersonen haben es schon hereingelassen, oft leider ohne die Bedeutung zu erkennen. Leider öffnet man mit einem falschen Fortschrittsverständnis damit auch automatisch Angreifern alle Tore, Türen und Fenster. Die DeepSec Konferenz hat sich daher dem Thema anläßlich ihres 10-jährigen Jubiläums angenommen. Im Programm finden sich Vorträge und Workshops rund um die Komponenten der Smart Devices, Smart Houses und Smart Networks. Nicht alle Produkte haben ein solides Sicherheitskonzept. Wie testet man Geräte richtig? Welche Konsequenzen hat die totale Umrüstung auf „smart“? Wie geht man richtig vor und wählt geeignete Systeme aus?
Einbruch durch den Kühlschrank
Spektakuläre Einbrüche waren schon immer bestes Material für Drehbücher. Man kennt die Szene wo die Protagonistin an Seilen über den Lichtschranken schwebt und alle Tricks anwenden muss, um zum Ziel zu gelangen. Etliche Filme porträtieren Hacker, die gewaltigen Aufwand mit ausgeklügelter Technik betreiben, um in ein Netzwerk einzudringen und Daten zu kopieren. Das alles kann schon bald der Vergangenheit angehören. Mit der Vernetzung von Wasserkochern, Kühlschränken, Personenwaagen, Spielzeugpuppen, Telefonen, Fernsehern, Waschmaschinen oder Zahnbürsten sinkt der Schwierigkeitsgrad beträchtlich. Sei es aufgrund des Designs oder der beschränkten Möglichkeiten der Hardware, Alltagsgegenstände waren nie dafür gedacht das Wohnzimmer oder Büroräume gegen Angreifer zu verteidigen. Daran haben sich Early Adopter noch nie gestört. Jetzt wird das Internet der Dinge mit all seinen Komponenten langsam Normalität. Es ist daher allerhöchste Zeit sich mit dessen Sicherheitskonzept auseinanderzusetzen.
Eklatante Mängel bei angewandter Kryptografie
Eine wichtige Komponente der Informationssicherheit wird immer noch unsachgemäß eingesetzt. Es handelt sich hierbei um kryptografische Methoden zur Authentisierung, Verschlüsselung und Entschlüsselung. Da fremde Netzwerke naturgemäß keine Aussage über Vertrauenswürdigkeit treffen, darf man spätestens seit der Publikation der Snowden Dokumente nichts mehr im Klartext ohne Unterschrift kommunizieren. Das gilt dann allerdings auch für besagte Alltagsgegenstände und deren Servern, ebenso für Webseiten und Apps auf Smartphones.
Die DeepSec Konferenz hat aus diesem Grund Vorträge und Workshops im Angebot, um Entscheidungsträgern, Entwicklern und Technikern zur Seite zu stehen. Auch ohne Mathematik muss man sich mit dem Thema beschäftigen und die Bausteine für gutes Security Design richtig zusammensetzen. Selbst Autofahrer ohne Chemiestudium kennen den Unterschied zwischen Benzin und Diesel. So sollte es dann auch in der Entwicklungsabteilung aussehen. Die Vortragenden möchten mit ihren Inhalten auch den Anstoß liefern, bestehende Konfigurationen zu hinterfragen. Nichts wurde für die Ewigkeit gebaut.
Secure Coding alleine wird Unternehmen, die im IoT Bereich Produkte am Markt haben, nicht mehr helfen in der modernen vernetzten Welt zu bestehen. Es geht darum den Entwurf gleich richtig zu schaffen.
Smart Wetter ist heiter bis wolkig
Kritisch beäugt werden auch Cloud Systeme. Sehr viele Ansätze denken gar nicht mehr an lokale Datenhaltung. Damit sind unweigerlich Web Browser, Web Anwendungen und die auf den lokalen Geräten vorhandenen Oberflächen mit betroffen. Das Wort Cloud vereint eine Reihe von Technologien, die bei den vorgestellten Szenarien automatisch enthalten sind. Aus der Sicht der Informationssicherheit sind die Probleme damit nur verschoben. Man muss sich trotzdem damit beschäftigen.
Das Konferenzprogramm bietet für diesen Bereich einen Bogen zum Internet der Dinge und dem intelligenten Schutz der Daten bei externen Dienstleistern. Maschinen sind nicht nur eine Bedrohung, sondern sie lassen sich auch zum Schutz der eigenen Infrastruktur einsetzen. Lernfähige Algorithmen wurden in den vergangenen Monaten heiß diskutiert. Vortragende Experten erklären wie man diese Werkzeuge richtig einsetzt und wo ihre Grenzen sind.
Konferenzprogramm mit Tiefgang
Anlässlich der 10. DeepSec Konferenz wurden zehn zweitägige Workshops ins Programm genommen. Die Themen reichen von WLAN Angriffen, dem Beheben von Sicherheitslücken durch Patches, Kryptografie, gezielte Attacken auf Apples iPhone und IoT Geräte, Windows PowerShell für Angreifer/Verteidigerinnen, Netzwerktechnologie, sicherer Webanwendungsentwicklung bis hin zu Social Engineering. Internationale Trainer bringen ihre Expertise ins Herz Europas. Damit ergibt sich eine einmalige Chance für Weiterbildung.
Dazu kommen zwei Tage Konferenz gefüllt mit Vorträgen aus allen Bereichen der IT Security. Die Keynote von Marcus Ranum, der den ersten E-Mail Server für whitehouse.gov aufsetzte, stellt über 30 Jahre IT Security in Bezug. Das komplette Programm ist unter https://deepsec.net/schedule.html online.
Die Workshops finden am 8./9. November 2016 statt. Die Konferenztage sind am 10./11. November. Der Veranstaltungsort ist Hotel The Imperial Riding School Vienna – A Renaissance Hotel, Ungargasse 60, 1030 Wien.
(Ende)
Aussender: DeepSec GmbH Ansprechpartner: René Pfeiffer Tel.: +43-676-5626390 E-Mail: deepsec@deepsec.net Website: www.deepsec.net