IT-Defense 2014: Hacking, Cloud und Kolonialismus

Breitgefächertes Vortragsprogramm auf der zwölften Ausgabe der Veranstaltung

[datensicherheit.de, 31.01.2014] Schwerpunktvorträge auf der zwölften Ausgabe der IT-Defense, die in diesem Jahr vom 12.-14. Februar 2014 in Köln stattfindet, werden „Kolonialismus“ im Internetzeitalter („Life Under Colonialism“), Risiken bei der Nutzung eines weltweit agierenden Cloud-Anbieters („Hacking the Microsoft Cloud“) und die Manipulation und Übernahme preiswerter IP-Überwachungskameras sein.

Die ausgewählten Vorträge sind:

„Life Under Colonialism“ von Marcus Ranum

Das Internet und die weltweite Software-Infrastruktur ist ein US-dominierter Raum – und mit Stuxnet und Snowdens Enthüllungen zu den NSA-Aktivitäten ist klar geworden, dass die Einstellung der USA die einer Kolonialmacht ist: Das Internet gehört uns und wir machen, was wir wollen.In dem leicht politisch angehauchten Vortrag wird der Amerikaner Marcus Ranum eine amerika-kritische Haltung einnehmen, indem er die Übermacht der USA  im Internet hinterfragt und Lösungsmöglichkeiten aufzeigt, um sich dieser Allmacht zumindest ansatzweise nicht unterwerfen zu müssen.

Marcus J. Ranum, CSO von Tenable Network Security, Inc., ist ein weltbekannter Experte für Design und Implementierung von Sicherheitssystemen. Er war schon in allen operativen Bereichen im Sicherheitsprodukt-Geschäft tätig – vom Entwickler bis zum Gründer und CEO. In der Jubiläumsausgabe zum 20sten Geburtstag des SC Magazins wurde Mr. Ranum als einer der Top-Branchen-Pioniere der letzten 20 Jahre genannt. Er ist Mitglied der ISSA und wurde mit dem ISSA Lifetime Achievement Award ausgezeichnet.

„Hacking the Microsoft Cloud“ von Joshua Tiago

Microsoft bietet immer mehr Produkte als Cloud-Lösungen an. Unternehmen die sich für solche Lösungen entscheiden, unterschätzen oftmals die damit erkauften Risiken. In seinem Vortrag präsentiert Joshua Tiago bisher undokumentierte Schwachstellen in einem aktuellen Microsoft-Produkt. Dabei werden verschiedene Angriffsmöglichkeiten für einen Angreifer demonstriert.

Joshua Tiago arbeitete in den Jahren 2005 bis 2010 als Entwickler für datenbankgestützte Webapplikationen und andere Webtechnologien. Sicherheitsaspekte spielten dabei bereits eine wichtige Rolle. Er erwarb ein fundiertes Wissen in verschiedenen Programmiersprachen (PHP, ASP.NET, C#). Desweiteren bestand ein wesentlicher Teil seiner Aufgaben in der Quellcodeanalyse von Webapplikationen.Seit 2011 ist er als Berater bei der cirosec GmbH tätig. Tätigkeitsschwerpunkte sind Sicherheitsprüfungen, Penetrationstests von Webanwendungen, Quellcodeanalysen und die Erstellung von Richtlinien zur sicheren Programmierung.

„Watching the Watchers: Hacking Wireless IP Security Cameras“  von Sergey Shekyan & Artem Harutyunyan

Preiswerte  IP-Überwachungskameras erfreuen sich einer zunehmend großen Beliebtheit in privaten Haushalten und kleinen Unternehmen. Trotz der Tatsache, dass es viele verschiedene Modelle von zahlreichen Anbietern gibt, basieren die meisten von ihnen auf einem identischen Hardware- und Software Setup. Außerdem gibt es andere Geräte, wie Internet-TV-Boxen, die eine ähnliche Firmware verwenden. Während einige sicherheitsrelevante Themen aufgrund von Hinweisen behandelt wurden, werden andere Probleme noch ignoriert.Der Vortrag zeigt, wie diese Kameras funktionieren und wie man die Kontrolle über eine Kamera erlangt. Darüber hinaus präsentieren die Referenten Analysen von Sicherheitsvorfällen, bei denen man sich Zugriff auf sensible Daten in den Kameras verschafft, und demonstrieren, wie man im privaten Netzwerk eines Opfers eine Kamera als Angriffsplattform verwendet. Der Vortrag schließt mit der Vorstellung eines Toolkits, mit dem die Originalteile einer Kamera entfernt, verändert und neu konfiguriert werden können. Außerdem zeigen die Sprecher, wie die Kamera (Setup entsprechend der Empfehlung und Anleitung des Anbieters) manipuliert werden kann. Abschließend geben sie Empfehlungen zum Setup der Kamera, um sie gegen Sicherheitsrisiken besser abzuschirmen.

Sergey Shekyan ist Principal Engineer bei Shape Security, wo er sich mit der Entwicklung eines Web-Security-Produktes der neuen Generation befasst. Zuvor beschäftigte er sich vier Jahre bei Qualys mit der Entwicklung des eigenen Schwachstellen-Scannng-Services für Web-Applikationen. Sergey Shekyan präsentierte weltweit Forschungsergebnisse auf Security-Konferenzen mit Schwerpunkt IT-Sicherheit. Sergey Shekyan hat einen Master- und Bachelor-Abschluss in Computer Engineering der State Engineering University of Armenia.

Artem Harutyunyan ist Softwarearchitekt bei Qualys. Zu seinen Aufgaben gehören das Design und die Entwicklung von verteilten Computersystemen für die Speicherung und Analyse großer Datenmengen. Vor seiner Arbeit bei Qualys war Artem mehrere Jahre beim CERN tätig und mit der Entwicklung von großen, verteilten Grid und Cloud-Computing-Systemen beschäftigt. Artem Harutyunyan hat einen PhD der State Engineering University of Armenia. Er hielt Vorträge auf den IT-Sicherheitskonferenzen Hack In the Box, EDSC und SecTor sowie weiteren internationalen wissenschaftlichen Konferenzen und Workshops.

Weitere Informationen zum Thema:

datensicherheit.de, 12.10.2013
IT-Defense 2014: IT-Sicherheitskonferenz vom 12.-14. Februar 2014 in Köln