DeepSec Konferenz veröffentlicht Programm für 2018

Wien (pts014/21.08.2018/09:25) – Die DeepSec In-Depth Security Konferenz widmet sich in diesem Jahr dem Thema Insecurity of Things (IoT) und Komponenten alltäglicher Infrastruktur. Die stetig voranschreitende Vernetzung eröffnet Angreifern völlig neue Wege – schneller, als Entwickler und Hersteller Fehler beheben können. Statt Secure Design bei Produkten und Code einzusetzen, integriert man Machine Learning und Künstliche Intelligenz – leider implementiert durch passende Statistik und den Algorithmus der Woche aus dem Tagesmenü des Entwicklungsbaukastens. Die Vorträge auf der DeepSec Konferenz werden daher die vermeintlichen Techniken der Zukunft auf den Prüfstand stellen. Mobilfunknetzwerke, das Internet der Dinge, Kollaborationsplattformen in der Cloud, Customer Relationship Management Systeme und der Faktor Mensch stehen im Fadenkreuz.

Smart is the new Cyber

Die Informationstechnologie hat den berechtigten Ruf ständig neue Begriffe und Akronyme zu erfinden um Lösungen für technische Probleme vorzugaukeln. Meist handelt es sich um ein reines Versteckspiel, sehr gut illustriert durch die Schlagworte Cyber, Cloud und Virtual. Hinter den Kulissen sind einige Begriffe berechtigt, aber kaum jemand prüft was sich hinter einem Produkt wirklich versteckt. Bestes Beispiel ist der Trend nun alles Smart zu machen, ganz egal ob Sicherheit ein Designkriterium war oder nicht. Die Stromversorgung soll zum Smart Grid werden, Fragenkataloge werden zum Smart Assistant, etc.

Ein Blick ins Innere offenbart Komponenten, die oft ohne ein Konzept von Sicherheit irgendwie miteinander verbunden werden. Das beste Beispiel sind Smartphones, die zum Universalschlüssel mutiert sind. Auf einem einzigen Gerät befindet sich eine Vielzahl von Zugängen, die bestimmte Apps benötigen. Damit werden diese Gegenstände automatisch zu einem begehrten Angriffsziel. Im Workshop Mobile App Attacks 2.0 wird gezeigt, wie man Apps und die Smartphone Plattform als Basis für erfolgreiche Angriffe verwendet. Und auch ein Workshop zum Thema Mobilfunksicherheit ist Teil des Programms. Der Trainer David Burgess ist ein Veteran auf diesem Gebiet und hat schon 2009 auf der DeepSec schwere Sicherheitslücken in Mobilfunknetzen entdeckt und dokumentiert. Dieses Jahr ist er wieder auf der DeepSec und kann auch etwas zu den neuen Standards sagen.

Unsicherheit der Dinge überall

Sicherheitslücken von Gegenständen aus dem Internet of Things (IoT) werden in Vorträgen und Workshops ebenso vorgestellt und analysiert. Johannes Pohl zeigt in seinem Training vor, wie man die Kommunikation von IoT Geräten analysiert. Diese Arbeit dient als Basis für daraus abgeleitete Angriffe. Wenige Hersteller sind wirklich in der Lage eine sichere Kommunikation als Protokoll zu entwerfen und zu implementieren, unabhängig ob das Protokoll neu erdacht ist oder auf etablierten Standards beruht.

Werner Schober, Sicherheitsforscher der Firma SEC Consult, stellt in seinem Vortrag Schwachstellen von „smartem“ Sexspielzeug vor. Was wie ein schlechter Scherz klingt, ist leider keiner. Alle IoT-Geräte jeder Branche sind eine Gefahr. Da in Casinos schon über ein vernetztes Aquarium eingebrochen wurde, spielt der ursprüngliche Zweck des Gerät keine Rolle. Speziell bei Sexspielzeugen ist zusätzlich die Disziplin regelmäßiger Updates der Firmware betreffend sicher geringer als beim „smarten“ Fernseher. Damit werden diese Gegenstände automatisch zu einem Risiko für Sicherheit und Privatsphäre zugleich. Im Alltag lassen sich mittlerweile zahllose weitere Dinge aufzählen, die für Angriffe auf Informationssysteme verwendet werden können.

Faktor Mensch

Egal welche Technologie man einsetzt, der Faktor Mensch bleibt wichtiger Teil der Informationssicherheit. Auch der menschliche Körper wird vernetzt. Ulrike Hugl von der Universität Innsbruck thematisiert implantierte RFID (radio-frequency identification) Chips. Mit solchen Fremdkörpern ist man dann selbst Teil von Fragen über Datensicherheit und Angriffen durch Dritte, denn RFID Komponenten tragen Daten und können ausgelesen werden. Behandelt werden Verbreitung, Nutzung und ethische Fragestellungen.

Darüber hinaus gibt es Vorträge zum Thema Bedrohungsanalyse, die ein wichtiger Teil der digitalen Verteidigung ist. Sie wird oft durch automatische Prozesse durchgeführt. Im Vortrag wird die Grenze zu den Fähigkeiten menschlicher Experten gezogen und wie man diese durch automatisierte Systeme unterstützen kann. Stefan Schumacher beleuchtet in seiner Präsentation wie sich das menschliche Gehirn manipulieren lässt und wie man mit Methoden die auf diesem Wissen basieren Social Engineering Angriffe umsetzen kann. Die meisten erfolgreichen Attacken verwenden immer eine Komponente, die den Faktor Mensch berührt.

Interdisziplinär und Verbindung zur Forschung

Die Informationssicherheit kommt aktuell nicht nur mit Technik alleine weiter. Sicherheitsprobleme müssen immer in einem interdisziplinären Team untersucht und gelöst werden. Das bedeutet, dass die DeepSec In-Depth Security Konferenz für ein Spektrum aus Forschung, Lehre, Industrie, Behörden und Unternehmen gedacht ist. Genau wie im letzten Jahr haben Besucherinnen und Besucher auch die Möglichkeit Vorträge des parallel stattfindenden Reversing and Offensive-oriented Trends Symposiums zu besuchen.

ROOTS ist ein akademischer Workshop, welcher parallel ort- und zeitgleich mit der DeepSec stattfindet. Der Anspruch ist es, zu zeigen, dass durch die Kombination von Wissenschaft und Informationstechnologie, und durch die Kombination von professionellem Insiderwissen, akademischer Forschung und praktischen Ansätzen, moderne digitale Infrastruktur besser als je zuvor verteidigt werden kann. Nutzen Sie die Gelegenheit.

Programm und Buchung

Die DeepSec Konferenztage sind am 29. und 30. November. Die Trainings finden an den zwei vorangehenden Tagen, dem 27. und 28. November, statt. Der Veranstaltungsort ist Hotel The Imperial Riding School Vienna – A Renaissance Hotel, Ungargasse 60, 1030 Wien.

Sie finden das aktuelle Programm unter dem Link: https://deepsec.net/schedule.html

Tickets für die Konferenz und die Trainings können Sie unter dem Link https://deepsec.net/register.html bestellen.

(Ende)

Aussender: DeepSec GmbH Ansprechpartner: René Pfeiffer Tel.: +43-676-5626390 E-Mail: deepsec@deepsec.net Website: deepsec.net/