Wien (pts012/23.08.2017/11:00) – Das vorläufige Programm der diesjährigen DeepSec In-Depth Security Konferenz wurde gerade veröffentlicht. Die DeepSec legt dieses Jahr großen Wert auf Vielfalt und damit auf Präsentationen aus den verschiedensten Bereichen der Informationssicherheit. Die Themenbereiche der Veranstaltung beleuchten die Sicherheit von Desktops, Infrastruktur, Verschlüsselung, menschlicher Interaktion und mobilen Endgeräten. Informationssicherheit kann in modernen Firmen und Organisationen nicht alleine durch Techniker umgesetzt werden. Angreifern steht sehr viele Wege offen und nicht alle werden von Sicherheitsmaßnahmen erfasst. Besuchen Sie die DeepSec und erfahren Sie mehr.
Interaktion verbindet Angreifer und Opfer
Alle Sicherheitsvorfälle im digitalen Bereich verlassen sich stark auf Interaktion und Kommunikation. Dabei ist es nebensächlich, ob Menschen oder Maschinen kommunizieren. Wirksame Attacken nutzen meist eine Kombinationen aus mehreren Bereichen. Da kein Unternehmen und keine Organisation den Kontakt mit der Außenwelt vollständig kappen kann, ist dieser Weg immer offen. Den Erstkontakt haben oft Abteilungen wie beispielsweise Personalmanagement oder das Front Office, die gar nichts mit Technik zu tun haben. Daher ist Social Engineering, also zwischenmenschliche Beeinflussung, für das moderne IT-Security-Portfolio ein wesentlicher Bestandteil. Aus diesem Grund befinden sich im Programm der DeepSec Vorträge über die Messbarkeit von Security Awareness, Phishing-Angriffe und die Funktionsweise des menschlichen Gehirns im Zusammenhang mit Manipulation. Teilnehmerinnen haben zusätzlich die Möglichkeit, Kenntnisse im Bereich des Social Engineerings bei den zweitägigen Trainings im Vorfeld der Konferenz zu erlangen und bereits Gelerntes zu vertiefen.
IoT – die Unsicherheit der Dinge im Wohnzimmer
Auch den vernetzten Geräten im Haushalt widmen sich einige Präsentationen. Das Internet der Dinge betrifft nicht nur den privaten Bereich. Eine Sicherheitsfirma hat im August diesen Jahres ein Angriff auf ein Casino entdeckt, bei dem bis zu 10 Gigabyte an Daten aus dem internen Netzwerk kopiert wurden. Die Angreiferinnen benutzten den Kontrollserver eines Aquariums als Schleuse, indem sie ihn zu einem Netzwerkrouter umfunktionierten. Aquarien sind zwar kein häufig anzutreffendes Büromobiliar, aber Kühlschränke sehr wohl – und die wurden schon von heimischen Hacker Spaces als Netzwerkrouter zur Internetanbindung verwendet. Ein Vortrag widmet sich netzwerkfähigen Kameras, die den Grundstein für das nächste Bot-Netzwerk legen können. IP-Kameras sind sehr verbreitet und sogar oft als Sicherheitskomponente gedacht. Leider sind fast alle dieser Produkte am Markt kaum sicherheitstechnisch gegen Missbrauch geschützt und fehlerbehaftet, da die Preise für den Massenmarkt Einsparungen bei der Sicherheit erzwingen.
Viele Anbieter im „Smart“ Home-Bereich versprechen großen Segen durch vernetzte Türschlösser. Ein Training wird sich zwei Tage lang ausschließlich diesen „smarten“ Schließsystemen widmen. Schloss und Schlüssel interagieren – wenn beide vernetzt werden, dann potenzieren sich damit auch die Möglichkeiten für erfolgreiche Attacken. Unser Trainer zeigt Ihnen, wie das funktioniert.
Sicherheit von Enterprise Resource Planning Systemen
Enterprise Resource Planning (ERP) Systeme sind das Herz vieler Unternehmen. Zugriff auf diese Applikationen mit den richtigen Berechtigungen erlauben Manipulationen durchzuführen, die nachhaltigen Schaden anrichten. Zwar sind diese Bereiche geschützt, doch auch dort findet man Interaktionen durch Anbindung von Drittanbietersystemen oder Kollaboration mit anderen Organisationen. Die Zeiten, in denen der Kern eines Unternehmens von der Aussenwelt abgeschnitten betrieben wurde, sind vorbei. Ein zweitägiger Workshop legt den Fokus auf das Finden und Ausnutzen von Schwachstellen durch Übungen an bereitgestellten SAP-Zielsystemen. Das ist vor allem für Administratoren und für Penetration-Tester interessant, die ihre Fähigkeiten abseits trockener Theorie verbessern wollen.
Ähnlich praktisch werden Schwachstellen in einem weltweit eingesetzten Campus Informationssystem in einer Präsentation vorgestellt. Tausende Hochschulen und Universitäten setzen dieses System zum Management des Studienbetriebs ein. Es entspricht den ERP-Systemen der Unternehmen. Sicherheitsforscher zeigen an den Rissen in der digitalen Fassade wie man vollen Zugriff auf Benotungen, Studenteninformationen, Zahlungsdaten, Gebühren und weitere Daten erlangen kann.
Fokus auf Vielfalt der Themen und Forschung
Die diesjährige DeepSec Konferenz legt besonders großen Wert auf die Durchmischung der Themen in Trainings und Vorträgen. Spezielles Augenmerk liegt diese Jahr auch auf der wissenschaftlichen Forschung, denn erstmalig haben DeepSec-Besucherinnen auch die Möglichkeit Vorträge des parallel stattfindenden 1. Reversing and Offensive-oriented Trends Symposiums zu besuchen. Informationssicherheit kann in modernen Firmen und Organisationen nicht alleine durch Techniker umgesetzt werden. Angreifern steht sehr viele Wege offen, und nicht alle werden von Sicherheitsmaßnahmen erfasst. Das Programm soll Interesse in allen Teilbereichen erzeugen und Spezialisten aus verschiedenen Bereichen zur Diskussion von Schwachstellen und Lösungsansätzen zusammenbringen, damit in Summe alle – Forscher und Technikerinnen, Vortragende wie Teilnehmer – davon profitieren. Bis 25. September 2017 gilt noch der Frühbuchertarif für die Konferenztickets.
Programm
Sie finden das aktuelle Programm unter: https://deepsec.net/schedule.html
(Ende)
Aussender: DeepSec GmbH
Ansprechpartner: René Pfeiffer
Tel.: +43-676-5626390
E-Mail: deepsec@deepsec.net
Website: deepsec.net