Seit 2012 ist es gute Tradition geworden, im Oktober den European Cyber Security Month zu begehen. Europaweite Aktionen zielen darauf ab, das Bewusstsein der Bürger für Informationssicherheit zu schärfen. Sie weisen auf die Gefahren hin, die bei einer allzu arglosen Nutzung des Internets entstehen können und zeigen einfache Schritte auf, die jeder zum Schutz persönlicher oder beruflicher Daten unternehmen kann. Die globale Dimension des Projekts hilft dabei, die Aufmerksamkeit und das Interesse zu steigern.
Auch die Ruhr-Universität Bochum beteiligt sich mit Aktionen an dieser europaweiten Awareness-Kampagne.
In 2018 hatten sich die UARuhr Universitäten Duisburg-Essen und die Ruhr-Universität Bochum zusammengetan und eine Reihe von spannenden Veranstaltungen organisiert, die sich an Studierende und Beschäftigte aller UARuhr Universitäten richteten.
Download des Veranstaltungsflyers ECSM an der RUB.
Zero-Day Exploits nutzen Programmierfehler aus, um beliebiges Schadverhalten auf einem Computersystem zu verursachen. Moderne Angriffe gegen Web-Browser benutzen dabei eine ausgeklügelte Technik, die sich Return-Oriented Programming (ROP) nennt. Im Gegensatz zu klassischen Angriffstechniken, können ROP Angriffe allein über das Zusammensetzen von vorhandenem, gutartigem Browser-Code Schadverhalten erzeugen. Weil hierbei kein neuer Schadcode explizit eingeschleust wird, umgehen ROP Angriffe weit verbreitete Abwehrmechanismen.
In diesem Vortrag werden wir die ROP Angriffstechnik einführen und deren Anwendung auf Web-Browser erläutern. Ferner werden wir besprechen, welche Abwehrmethoden eingesetzt werden können, um sich gegen diese Angriffe zu schützen.
Referent: Matteo Cagnazzo
if(is) - Institut für Internet-Sicherheit
Ort: Ruhr-Universität Bochum
Vortragsfolien (nur für den persönlichen Gebrauch)
Kurzbeschreibung:
Sie haben etwas gewonnen, erhalten mehrere Millionen Euro von der EU oder müssen sich bloß bei einem nigerianischen Prinzen zurückmelden? Solche Betrügereien haben sich inzwischen herumgesprochen - doch die Angreifer professionalisieren sich.
Über verblüffend echt wirkende Phishingmails wird nur selten gesprochen - und das aus einem einfachen Grund: Die Betroffenen wissen häufig gar nicht, dass sie zum Opfer geworden sind. Die perfekte Aussprache, richtige E-Mail-Signatur und selbst der Umgangston unter Mitarbeiterinnen und Mitarbeitern wird erfolgreich kopiert. Zielgerichtete Phishing-Kampagnen etablieren sich so zu einer ernsthaften Bedrohung für Unternehmen und Privatpersonen. Doch woher haben Kriminelle die persönlichen Informationen zur Täuschung ihrer Opfer?
Lernen Sie fiese Tricks auf unterhaltsame Art und Weise kennen: Hintertüren in sozialen Netzwerken, Datendiebstähle im Internet - und was steckt eigentlich hinter diesem ominösen Darknet? Sie benötigen keinerlei technisches Know-How. Nehmen Sie wertvolle Tipps für den Schutz Ihrer Daten mit nach Hause.
"Aktuelle Angriffe auf die WPA2 WLAN-Verschlüsselung und wie man sie verhindert."
Im Vortrag wird sowohl auf die sichere Konfiguration von Geräten im
UNI-WLAN "eduroam", als auch auf aktuelle Angriffe eingegangen, die
passwortgeschützte Heimnetzwerke betreffen. Auch der sichere Umgang mit
offenen WLANs, wie z.B. in Internetcafés oder in den ICEs der Bundesbahn
werden thematisiert. Als kleines "Special" werden auch aktuelle Angriffe
auf das Bluetooth-Protokoll vorgestellt. Aufgelockert wird der Vortrag
durch ein Live-Hacking. Sowohl Netzwerk-Laien als auch erfahrene
WLAN-Nutzer sollen angesprochen werden.
Elektronische Zertifikate begegnen uns in der IT-Welt an vielen
Stellen. Sie stellen die elektronische Kommunikation heute auf eine
sichere Basis. Endnutzer können sich darüber freuen ohne sich viele
Gedanken darüber zu machen. Falls man aber selber IT-Systeme betreut,
wird man stärker mit der dahinterliegenden Technik und den damit
verbundenen Verfahren konfrontiert. Dann erscheinen Zertifikate oft als
mystische Zauberdinge.
Der Vortrag will zur Entmystifizierung beitragen.
Der Vortrag befasst sich mit dem Interesse ausländischer Nachrichtendienste an Hochschulen in Deutschland und NRW. Dabei wird auf deren Ziele und Methoden eingegangen, wie zum Beispiel die Anwerbung und Ausspähung von Mitarbeitern über soziale Netzwerke und Spear-Phishing-Attacken. Darüber hinaus wird auf die Problematik des Wissenstransfers eingegangen, zum Beispiel bei Gastwissenschaftlern in sensiblen Forschungsbereichen, deren Kenntnisse im Heimatland zum Bau von Massenvernichtungswaffen verwendet werden könnten.
Tobias Schrödel ist „Deutschlands erster IT-Comedian“ – so schrieb die Zeitschrift CHIP: er erklärt technische Systemlücken und Zusammenhänge für jeden verständlich und lässt dabei auch den Spaß nicht zu kurz kommen. Seit 2011 ist er das Gesicht bei stern TV, wenn es um IT-Sicherheit und IT-Technik geht.
Bei seinem ersten Auftritt an der Ruhr-Universität Bochum im WS 2009/2010 verblüffte und verzauberte er mehr als 600 begeisterte Zuschauer. Inzwischen ist er ein weltweit gefragter Comedyhacker, Computerspezialist und Buchautor. "Hacken für Jedermann" ist sein Klassiker: eine seit über zehn Jahren immer wieder erneuerte, erweiterte und der aktuellen Entwicklung angepasste Live-Hacking-Show. Tobias Schrödel bringt darin die Welt der Hacker näher und wirft einen Blick in das Giftschränkchen der IT. Was scheinbar als Vortrag beginnt, wandelt sich binnen kürzester Zeit in eine rasante Show.
Lachen und staunen Sie mit: Für Risiken und Nebenwirkungen wird keine Haftung übernommen!
Wer mit seinem PC im Internet surft, setzt sich mehr oder weniger auch der Gefahr aus, Ziel eines Angreifers zu werden - wer im Internet mit einem ungesicherten PC surft, verliert mit Sicherheit binnen kürzester Zeit die Kontrolle über sein eigenes System.
Tom Liston, ein Sicherheitsspezialist, konnte dies eindrucksvoll demonstrieren, indem er zum Test mit einem "ungepflegten" Windows-System, das heißt, einem System ohne aktuelle Updates und aktuellen Virenscanner, per Web-Browser im Internet surfte (Heise: Schädlingen auf der Spur). Nur eine typische Sitzung im Internet reichte aus, um über 3 MB an Schadsoftware auf dem System zu installieren – selbstverständlich ohne, dass der "normale" Benutzer davon etwas gemerkt hätte. Der Selbstversuch von Liston liegt schon einige Jahre zurück, die Erkenntnisse, die er gewinnen konnte, sind aber aktueller denn je. Der von Liston entlarvte Protagonist (Pseudonym "Spambot") ist abermals in 2016 zu mehreren Monaten Gefängnis verurteilt worden. Eine Nachahmung des Selbstversuches von Tom Liston ist selbstverständlich nicht zu empfehlen, wohl aber eine sorgfältige PC-Grundsicherung.
Es passiert manchmal einfach so: Smartphone geklaut, USB-Stick verloren, falsch adressierte E-Mails, Spion im WLAN-Hotspot oder gehackte Cloud-Speicher. Ob Fotos der eigenen Familie, Prüfungsergebnisse Studierender oder Forschungsdaten - geraten die Daten an Unbefugte, ist das Klagen groß. Dabei kann es so einfach sein: Verschlüsselung ist das Zauberwort.
Mobile Geräte wie Notebooks, Tablets oder Smartphones sollten nur verschlüsselt betrieben werden. Alle modernen Betriebssysteme bieten eine Verschlüsselung des kompletten Geräts an. An die Daten kommt dann nur derjenige, der den Zugang zum Gerät hat, also z.B. Passwort, PIN oder Fingerabdruck. Auch USB-Sticks, SD-Karten oder externe Festplatten lassen sich so absichern.
Versand und externe Speicherung sensibler Daten - z.B. per E-Mail oder über Cloud-Dienste - sollte nur mit verschlüsselten Dateien erfolgen (z.B. Nutzung von Cryptomator für Cloud-Dienste). Den berechtigten Empfängern sollten Codes zum Entschlüsseln immer separat mitgeteilt werden.
Innerhalb des Hochschulrechnernetzes der RUB gilt die Datenübertragung als sicher - wir empfehlen aber insbesondere die Eduroam-Konfiguration mit Benutzerzertifikat. Sobald man sich allerdings mit anderen, unverschlüsselten WLAN-Hotspots verbindet (auch am Campus) muss das nicht mehr so sein. Eigene (Zugangs-)Daten im Webbrowser sollten dann nur noch auf verschlüsselten Webseiten eingegeben werden - erkennbar am https oder je nach Browser am Schloss-Symbol. Manche RUB-Dienste verlangen auch den Aufbau eines VPN-Tunnels.
Die Mailserver der RUB verschlüsseln die Verbindungen zu Mailprogrammen und Webmail. Auch im offenen WLAN oder im Internet kann also kein Unbefugter Mails mitlesen. Nicht alle Mail-Provider bieten solche verschlüsselte Verbindungen. Auf Nummer sicher geht man mit der Ende-zu-Ende-Verschlüsselung zum Beispiel mit S/Mime-Zertifikaten oder PGP-Keys.
Einer Untersuchung von Proofpoint zufolge (Proofpoint 2017: Faktor Mensch), haben Internetkriminelle in den letzten Jahren ihr Angriffsverhalten deutlich, leider aber auch sehr effektiv geändert. Wurden vormals Benutzersysteme durch Ausnutzen von Schwachstellen in Betriebsystem oder Anwendungssoftware mit Schadprogrammen infiziert, so setzen die Angriffe jetzt auf menschliches "Fehlverhalten".
Angreifer verleiten Benutzer durch psychologische Tricks (Social Engineering) dazu, ihr System quasi selbst zu infizieren, indem sie schädliche E-Mail-Anhänge ausführen oder auf Links zu gefälschten Webseiten klicken.
Waren solche betrügerischen E-Mails bis vor Kurzem noch leicht zu erkennen, da sie voller Schreibfehler oder in einer vom Benutzer nicht erwarteten Sprache verfasst waren, so haben Angreifer das Anwenden psychologische Tricks perfektioniert. Die Live-Demo: Tatort Internet zeigt auf unterhaltsame Weise viele dieser fiesen Tricks, der Rubens Artikel "Acht Tipps für die Sicherheit im Netz" fasst zusammen, wie man sich selbst und seine Kommunikationspartner schützen kann.
Der moderne Mensch lebt im „Internet of Things (IoT)“ – Fernseher, Videorecorder, Heizungen, Lampen, Rollladen und viele Dinge mehr können über das Internet kommunizieren und von ihren Besitzern per Smartphone App oder Sprachassistent ferngesteuert werden. Dem Reiz der einen oder anderen technischen Neuerung kann man sicherlich erliegen. Gerade deshalb ist es wichtig sich zu vergegenwärtigen, dass auch neue Risiken entstehen.
Hinter den fleißigen Helferlein stehen meist Cloud-Dienste, die emsig Daten der Besitzer sammeln. So wird z.B. sämtliche „Kommunikation“ mit dem Sprachassistenten „Alexa“ auf Servern von Amazon gespeichert: Gewohnheiten, Kalendereinträge, Buch-/Musikvorlieben, Einkaufslisten. Der Staubsaugroboter iRobot legt gar Karten der Wohnungen an, die er säubert und überträgt sie. Der Hersteller wiederum spekuliert laut, dass mit Hilfe dieser Karten auch Smart Home Systeme anderer optimiert werden könnten. Selbstverständlich werden die Karten nur mit Kundenzustimmung geteilt :-)
Laufend kommen neue „smarte“ Produkte auf den Markt, alles quasi kleine Computer mit Internetanschluss. Leider steht die Sicherheit der Systeme nicht so im Fokus, wie ihre möglichst leichte Bedienbarkeit und die schnelle Platzierung auf dem Markt. So sind Sicherheitslücken im „Betriebssystem“ oder ein unzureichender Schutz des Zugangs zum System leider keine Seltenheit.
Hier einige Beispiele: Sprachassistenten sollen eigentlich nur dann auf Sprachbefehle reagieren, wenn diese auf ein Codewort folgen, Warum lacht Alexa dann unaufgefordert(!) mitten in der Nacht oder feiert lautstark Partys? Ein ernsthaftes Problem entsteht, wenn durch solche „Schönheitsfehler“ oder Sicherheitslücken vertrauliche Gespräche aufgezeichnet und sogar verschickt werden können, wie eine Forschergruppe kürzlich zeigen konnte.
Angreifer nutzen Sicherheitslücken in IoT-Systemen auch, um Schadsoftware darauf zu installieren. Millionen dieser infizierten Systeme werden zu mietbaren Botnetzen zusammengefasst, die für DDos-Attacken (Überlastung von Internet-Diensten) genutzt werden. Erpressungspotential
steckt auch darin, die Funktion von IoT-Systemen zu stören: Erpresserbotschaft statt Fernsehprogramm; Licht an, Licht aus; Blockierte Heizungssteuerung.
Diese Beispiele muten eher wie Schabernack an. Dass fehlende Sicherheit aber auch sehr ernsthafte Konsequenzen haben kann, zeigt die Warnung des US. Gesundheitsministeriums vor Schwachstellen in smarten Herzschrittmachern.
Bildquellen: itsb