Cyber Security in the Age of Large-Scale Adversaries

Wegen COVID-19 verschoben: CASA Summer School on Backdoors and Trojans und Women in IT Security Workshop

Aufgrund der aktuellen Maßnahmen zur Eindämmung der Corona-Epidemie findet die CASA Summer School on Backdoors on Trojans nicht vom 22.-26. Juni 2020 statt. Einen Ersatztermin können wir aktuell noch nicht anbieten, wir hoffen jedoch darauf, die Summer School zur passenden Zeit nachholen zu können.

Wir haben uns bewusst dagegen entschieden, die Summer School als Online-Event anzubieten. Die Veranstaltung soll neben den exzellenten Vorträgen vor allem einen persönlichen Austausch ermöglichen, der Online nicht adäquat stattfinden könnte.

Die Sprecher*innen der CASA Summer School on Backdoors and Trojans

Daniel J. Bernstein & Tanja Lange

Daniel J. Bernstein ist der Entwickler der Software "tinydns", die von Facebook verwendet wird, um Serveradressen zu veröffentlichen; ebenfalls Entwickler der "ChaCha20"-Chiffre, die im Wireguard VPN genutzt wird und der "dnscache" Software, die von Cisco's OpenDNS verwendet wird, um die 175 Milliarden Adressanfragen von den 90 Millionen Internet-Nutzern pro Tag zu händeln. Außerdem hat Dan Bernstein die "SipHash"-Hash-Funktion (in Zusammenarbeit mit Jean-Philippe Aumasson) entwickelt, die von Python zum Schutz vor Hash-Flooding-Angriffen verwendet wird, und das von WhatsApp verwendete Public-Key-System "Curve25519" für die Ende-zu-Ende-Verschlüsselung.

Kryptographische Algorithmen, die von Bernstein entworfen wurden, werden standardmäßig in Apples iOS, Googles Chrome-Browser und Android, etc, verwendet, und verschlüsseln Daten von Milliarden von Nutzern.

Tanja Lange hat den Lehrstuhl für Kryptographie an der Technischen Universität Eindhoven in den Niederlanden inne. Sie ist Expertin für kurvenbasierte Kryptographie und Post-Quantum-Kryptographie. Ihre Arbeit bringt Mathematik und Kryptologie zusammen, um sicherere kryptographische Implementierungen und Protokolle zu erstellen.

Die Snowden-Enthüllungen im Jahr 2013 erschütterten die kryptographische Gemeinschaft, als Dokumente Beweise für Maßnahmen zur Untergrabung von Standards lieferten und die "indigenous cryptography" einschränkten. An diesem ersten Tag der Summer School wird es um die Geschichte der berühmtesten standardisierten Backdoor gehen, dem Dual-EC pseudo-random number generator, und wie er zu einem Standard wurde. Weiterhin befassen wir uns mit einigen weniger bekannte Hintertüren und der Terminologie der Kleptographie.

Christof Paar & Forschungsteam

Christof Paar ist Direktor am Max-Planck-Institut für Cybersicherheit und Datenschutz und Professor an der University of Massachusetts Amherst. Er ist seit 1995 im Bereich Embedded Security tätig. Im Jahr 1999 war er Mitbegründer der CHES, der Konferenz für kryptographische Hardware und eingebettete Systeme. Seine Forschungsinteressen umfassen Hardware-Sicherheit, Low-Level-Trojaner, Physical Layer Security und Anwendungssicherheit in Embedded Systemen.

Christof und Mitarbeiter seines Lehrstuhls werden zunächst auf die Bedrohung durch low-level Hardware-Trojaner für ASICs und FPGAs hinweisen. Anschließend gibt es eine Einführung in das Hardware Reverse Engineering (HRE). In der Hands-on-Session können die Teilnehmer mit dem leistungsstarken Open-Source-HRE-Tool "HAL" an der Umkehrung der Hardware-Schaltung arbeiten.

Angela Sasse & Forschungsteam

M. Angela Sasse ist Professorin für Human-Centred Security an der Ruhr-Universität Bochum, Deutschland, und am University College London, Großbritannien. Sie hat in Deutschland Psychologie studiert, bevor sie einen MSc in Arbeitspsychologie an der Universität Sheffield und einen PhD in Informatik an der Universität Birmingham erwarb. Sie begann 1996 mit der Erforschung der Ursachen und Auswirkungen von Usability-Problemen innerhalb von Sicherheitsmechanismen. Ihre bahnbrechende Arbeit von 1999 mit Anne Adams, Users are Not the Enemy, ist eine von zwei Arbeiten, die das Forschungsgebiet der Usable Security begründeten. Sie ist die Gründungsdirektorin des britischen Forschungsinstituts für die Wissenschaft der Cybersicherheit (RISCS), das die multidisziplinäre, evidenzbasierte Forschung über die Effizienz von Cybersicherheitsstrategien und -maßnahmen fördert. Seit 2018 ist sie Professorin für Human-Centred Security an der RUB und leitet Hub D (Usability) des CASA-Projekts.

Innerhalb von CASA erforschen wir, was Experten und Laien über Sicherheitsbedrohungen und die Rolle der Verschlüsselung bei der Abwehr dieser Bedrohungen wissen, und wie dieses Wissen die Akzeptanz und Anwendung fördert. Gegenwärtig konzentriert sich unsere Forschung auf "allgemeine" und "technische" Benutzer - wie Entwickler und Systemadministratoren.

In der ersten Hälfte des Hub D-Tages der CASA Summer School werden wir einen Überblick über die bisherige Forschung zu diesem Thema präsentieren, beginnend mit Whitten & Tygars bahnbrechendem USENIX-Papier von 1999 "Why Johnny can't encrypt". Wir werden kritisch prüfen, wie die Forscher versucht haben, die Benutzerfreundlichkeit der Tools zu verbessern, und ob dies zu einer verstärkten Nutzung und einer Verringerung der Fehler geführt hat. Dann werden wir darlegen, was wir über die mentalen Modelle der verschiedenen Benutzergruppen wissen und wie diese die Akzeptanz und Anwendung beeinflussen. Eine der Schlussfolgerungen ist, dass die derzeitige Terminologie und Kommunikation rund um die Verschlüsselung verwirrend und hinderlich ist. In der zweiten Hälfte des Tages werden wir in kleinen Gruppen einige praktische Benutzerrecherchen und Designübungen durchführen - wie können wir herausfinden, welchen Schutz die Benutzer wünschen? Wie sollten wir diese Sicherheitseigenschaften in den Benutzeroberflächen der Tools und der damit einhergehenden Kommunikation darstellen? Freuen Sie sich auf Lego, Knete, Farbstifte und Post-its.

Lucas Davi & Forschungsteam

Lucas Davi ist Assistenzprofessor für Sichere Software-Systeme an der Universität Duisburg-Essen. Er promovierte an der TU Darmstadt in Informatik. Sein Forschungsschwerpunkt liegt auf Aspekten der Systemsicherheit, der Softwaresicherheit und des Trusted Computing, insbesondere auf Techniken und Verteidigungsmaßnahmen zur Softwareausnutzung. Er erhielt die besten Paper Awards bei DAC, ACM ASIACCS und IEEE Security and Privacy. Seine Dissertation über Code-Wiederverwendungsangriffe und Abwehrmaßnahmen wurde mit dem ACM SIGSAC Dissertation Award 2016 ausgezeichnet.

Memory corruption Angriffe nutzen Softwarefehler aus, um Anwendungen zu kapern, indem sie beliebige Lese- und Schreibvorgänge im Hauptspeicher durchführen. Während bei traditionellen Angriffen der Angreifer direkt einen Schadcode in den Speicherbereich einer Anwendung einbauen musste, führen moderne Angriffe entweder nur die bösartige Ausführung durch eine Kombination von vorhandenem Code (return-orientierte Programmierung) oder nur die Manipulation von Variablen aus, ohne den Kontrollfluss des Programms zu beeinträchtigen (daten-orientierte Exploits). Für den Fall von realen Kryptosystemen sind diese Angriffe in der Lage, kryptographisches Material zu stehlen und zu verändern. In diesem Tutorial geben wir einen Überblick über die neuesten Techniken zur Speicherausnutzung und Abwehr. Wir beginnen mit den Hauptprinzipien der Speicherausnutzung, die das Zertrümmern von Stacks, die renditeorientierte Programmierung und die datenorientierte Programmierung umfassen. Als nächstes stellen wir moderne Abwehrtechniken wie Kontrollflussintegrität und Speicherrandomisierung vor. Im zweiten Teil dieses Tutorials fahren wir mit praktischen Übungen fort, in dem die Teilnehmer die Möglichkeit haben, Proof-of-Concept-Speicherexploits zu konstruieren, die von der Zielanwendung eingesetzte kryptographische Schemata untergraben.

Women in IT Security Workshop

Muss ebenfalls auf unbestimmte Zeit verschoben werden.

Melanie Rieback

Dr. Melanie Rieback ist die CEO/Mitbegründerin von Radical Open Security, dem weltweit ersten gemeinnützigen Beratungsunternehmen für Computersicherheit. Sie ist auch eine ehemalige Assistenzprofessorin für Informatik an der Freien Universität Amsterdam (VU), die RFID-Sicherheitsforschung (RFID-Virus und RFID Guardian) betrieben hat, die weltweit in der Presse Beachtung fand und mehrere Preise gewann (Mediakomeet, ISOC Award, NWO I/O Award, IEEE Percom Best Paper, USENIX Lisa Best Paper). Melanie arbeitete als Senior Engineering Manager für XenClient bei Citrix, wo sie das Büro in Vancouver leitete. Außerdem war sie leitende Forscherin im CSIRT der ING Bank, wo sie das Analyselabor und das ING Core Threat Intelligence Project leitete. Zum Spaß hat sie 2008 das Dutch Girl Geek Dinner mitbegründet. Melanie wurde von WomeninIT zur IKT-Fachkraft des Jahres 2010 (Finalistin) ernannt, vom Viva-Magazin (Viva400) zu einer der 400 erfolgreichsten Frauen in den Niederlanden in den Jahren 2010 und 2017, zu einer der fünfzig inspirierendsten Frauen in der Technik (Inspiring Fifty Netherlands) in den Jahren 2016, 2017 und 2019. Außerdem wurde sie vom CIO Magazine NL (TIM Award) 2017 als innovativste IT-Leiterin und 2019 als eine der 9 innovativsten Frauen in der Europäischen Union (EU-Innovatorinnen-Preis) ausgezeichnet. Ihr Unternehmen Radically Open Security wurde von der niederländischen Handelskammer (MKB Innovatie Top 100) 2016 als 50. innovativstes KMU ausgezeichnet.

Informatik kann radikal, politisch, ausdrucksstark und künstlerisch sein. Im Vortrag werde ich meine eigenen Erfahrungen mit Hacking und Radically Open Security berichten, über die Informatikausbildung kritisch reflektieren und Wege vorschlagen, wie wir unser "Handwerk" für positive, bahnbrechende Veränderungen nutzen können.

Jiska Classen

Jiska Classen ist Postdoc-Forscherin am Secure Mobile Networking Lab, TU Darmstadt. Ihr Forschungsschwerpunkt ist die drahtlose und mobile Sicherheit, wie beispielsweise Bluetooth-Chips in neueren mobilen Geräten.

In diesem Workshop spielen wir ein Capture the Flag-Spiel innerhalb verschiedener Signale. Sie werden lernen, wie man drahtlose Signale demoduliert und dekodiert.
Die Herausforderungen umfassen alle Kompetenzstufen, so dass auch dann noch Spaß garantiert ist, wenn man sich zum ersten Mal mit Signalverarbeitung beschäftigt.
Die in diesem Workshop erworbenen Fähigkeiten helfen bei der Analyse von drahtlosen Systemen der realen Welt. Praktische drahtlose Sicherheit ist oft unterschätzt und wird als komplex angesehen, wohingegen das Öffnen von Garagentoren oder das Schalten von Ampeln überraschend einfach sein kann.

Anforderungen: Bitte bringen Sie einen Laptop mit, idealerweise mit Gqrx SDR (Linux) oder SDRSharp (Windows) vorinstalliert.