German OWASP Day 2015

Am 1. Dezember 2015 fand die 7. deutsche Konferenz zur Webapplikations-Sicherheit (German OWASP Day 2015) in Frankfurt am Main statt.

alt

Es handelt sich dabei um ein jährliches Treffen der Vertreter verschiedener Bildungseinrichtungen, Unternehmen, Finanzinstituten sowie Einzelpersonen aus aller Welt, die sich am Open Web Application Security Project (OWASP) beteiligen und ihre Erkenntnisse und Erfahrungen miteinander austauschen.

Das Ziel des Projekts ist die Verbesserung der Sicherheit von Anwendungen und Diensten im Internet durch Aufdeckung potentieller Angriffsstellen und damit Schaffung der Transparenz für Endanwender und Organisationen über wirkliche Sicherheitsrisiken im Softwarebereich.

Morning Keynote

Die Konferenz fing mit der Keynote des Bereichsvorstands für Banking Operations Christian Rhino an. Er hat über die Digitalisierung der Banken gesprochen, sowie über die damit verbundenen Angriffsvorfälle auf die Kundenkonten. Der Stolperstein für die Banken ist der Kompromiss zwischen begehrter Einfachheit der Benutzung von digitalen Schutzmethoden und gleichzeitig relativer Sicherheit, wobei die erste mindestens genauso wichtig wie die Zweite wäre.
Ein Beispiel war, dass TAN in Papierform weiterhin beliebt ist.

Not so Smart: On Smart TV Apps

Der erste technische Talk von Marcus Niemietz widmete sich der Sicherheitsanalyse von Anwendungen in zeitgenössischen Smart TV Geräten. Im Zuge der Forschung hat sich herausgestellt, dass ohne besonderen Aufwand ohne Weiteres auf die Kundendaten inkl. Passwort im Klartext zugegriffen werden könnte. Das bedeutet ein Angreifer könnte Einkäufe mit Fremdnamen tätigen oder auf die persönliche Daten zugreifen.

alt

Your Scripts in My Page – What Could Possibly Go Wrong?

Sebastian Lekies hat in seinem Talk einige einfache Methoden vorgestellt, wie ein Angreifer mittels Überschreibung von JavaScript Methoden die Informationen aus einem nicht vertrauenswürdigen Kontext in einen anderen Kontext überführen kann, wo sie als vertrauenswürdig eingestuft werden, um damit benutzerbezogene Daten zu stehlen.
Ein Angriffsvektor ist die sogenannte XSSI (Cross Site Scripting Inclusion). Man versucht extern dynamisch erzeugte Javascript-Dateien einzubinden. Dieser Angriff ist möglich, wenn man Access-Control-Allow-Origin nicht korrekt setzt.

Why Organisations should rely on Mobile AppTesting

Dr. Michael Spreitzenbarth hat über zahlreiche Sicherheitslücken in führenden Smartphone Apps gesprochen. Es wurden verfügbare App-Test Lösungen sowie ein App Testing Konzept vorgestellt.

Löschen können! Die DIN 66398 und die Entwicklung von Anwendungen

Dr. Volker Hammer beschäftigte sich mit der Frage, wie und nach welchen Regeln personenbezogene Daten gelöscht werden sollen. Sein Ergebnis: Fristen definieren und diese einhalten, bevor die Daten gelöscht werden dürfen.
Die DIN 66398 beschreibt, welche Daten in welchen Fällen wie lange existieren müssen.

Technical Keynote

Nach der Mittagspause ging es mit der technischen Keynote von Christoph Kern von Google weiter. Es wurde über die durch den menschlichen Faktor verursachten Fehler gesprochen und über die Strategie von Google wie APIs entwickelt werden, um menschliche Fehler zu unterbinden.

Practical Invalid Curve Attacks on TLS-ECDH

Dr. Juraj Somorovsky hat in seinem Talk über bekannte kryptographische Angriffe gesprochen. Insbesondere über den Angriff auf das mittels elliptischer Kurven implementierte Diffie-Hellman Verfahren. In der Praxis hat sich herausgestellt, dass trotz theoretischer Trivialität des Problems zwei von acht bekannten Bibliotheken keine Prüfung auf invalide Kurven eingebaut haben. Infolgedessen konnte der private Schlüssel des Servers in einer Live-Demo innerhalb von wenigen Minuten berechnet werden.

Lightning Talks

Anschließend folgten zehn-minütige Lightning Talks. Wir lernten ein in Node.JS and Angular geschriebenes Online-Shopsystem kennen, das Top-10 OWASP-Sicherheitslücken hat. Mit dem System kann man lernen, wie solche Lücken gefunden werden und dementsprechend korrigiert werden können.
Es wurde auch gezeigt, wie man mit einer Erweiterung für Burp Single Sign-On erkennt und angreift sowie wie man den WebService-Attacker benutzen kann, um die potentiellen Schwachstellen von Webservices zu finden.

Webschwachstellen im Internet of Things

In diesem Talk hat Prof. Dr. Sebastian Schinzel über die zahlreichen Schwachstellen in Firmware verschiedener Geräte gesprochen. In Rahmen seiner Forschung wurden mit einem dafür entwickelten Werkzeug mehrere tausend Firmwares auf Sicherheitslücken analysiert. Dabei wurden viele unverschlüsselte oder leicht entzifferbare Passwörter und frei zugängliche private Schlüssel gefunden.

IT-Sicherheitsgesetz und mögliche Effekte für die Software-Industrie

Alexios Fakos hat über Fragen gesprochen, die die Geschäftsführung sich hinsichtlich der IT-Sicherheit unbedingt stellen sollte, um das Unternehmen vor unerwünschten Folgen zu schützen.

Praktische Erfahrungen aus der Applikationssicherheit

Dr. Amir Alsbih, ein Spezialist für strategische IT-Sicherheit, hat über seine Arbeitserfahrung mit großen Konzernen erzählt sowie über die Notwendigkeit der automatisierten Tests in der Deployment Pipeline.

Fazit

Trotz eines soliden Know-Hows im akademischen Umfeld, finden viele längst bekannte Sicherheitslücken immer wieder Ausnutzung in moderner Software, wobei über 95% der Sicherheitslücken am Entwickler und Endnutzer liegen. Es ist sehr deutlich eine Tendenz für die Einführung automatisierter Tests und sicherer APIs zu erkennen. Mit dem Ziel menschliche Fehler zu unterbinden. Es wird auch danach gestrebt, den Führungskräften bewusster zu machen, dass IT-Sicherheit ein sehr wichtiges Thema für das Unternehmen ist und es sollte auf keinem Fall zugunsten Zeit- oder Kostenreduzierung vernachlässigt werden.

Die Links zu den einzelnen Slides findet ihr auf der Veranstaltungsseite.