Hier finden sie Beschreibungen unserer Szenarien und Videostreams als Beispiele für unsere Livehackings.
Plattformsicherheit
Windows Trojaner - "Ich sehe was was Du nicht willst" USB - "Der Autostart: comfortable hacking" Windows Admin-Hack - "Ich bin root, ich darf das"
Websicherheit Phishing - "Die Phisherman's Bank" Pharming - "Phishing reloaded" CrossSiteScripting (XSS) - "Die Ewänz-Agentur" Website-Hacking - "Wer ist hier der Gewinner?!" Google-Hacking - "Ich finde was, was du nicht willst"
Sicherheit von Zugangsdaten Passwort Datenbank - "Passwort Scrabble" Passwort brute force - "Probieren geht über studieren" Benutzernamen-Harvester - "Hallo! Wie heißt Du?"
Mobile Sicherheit Handy-Trojaner - "Der flexible Trojaner" Bluetooth-Handy - "Den Zahn zieh ich Dir" Bluetooth-Headset - "Die Wanze" WLAN-Hacking - "Drei Minuten Sicherheit" WLAN-Wardriving - "Kartographie mal anders" GPS-Ortung - "Big Hacker is watching your way"
Sonstiges Dokumentensicherheit - "Perfect Holiday" E-Mail-Harvester - "Jäger und Sammler"
Plattformsicherheit
Windows Trojaner - "Ich sehe was was Du nicht willst"
In diesem Szenario greifen wir einen PC mit Microsoft Windows Betriebssystem an. Ein aus der Entfernung installiertes Trojanisches Pferd ermöglicht den PC über das Internet fern zu steuern. Neben harmlosen Scherzen, wie der Fernsteuerung der CD-Laufwerk-Schublade sind wir dann auch in der Lage die E-Mails oder andere sensible Daten des Benutzers auszulesen. Anhand dieses Beispiels erhalten sie einen Eindruck, wie wichtig regelmäßige Sicherheitsupdates und der Einsatz von Firewalls und Virenscannern sind.
Dieses Szenario auf der Security 2006 anschauen.
USB - "Der Autostart: comfortable hacking"
USB-Sticks haben die Diskette für den Dateiaustausch binnen kürzester Zeit verdrängt. Gründe sind hohe Geschwindigkeit, Robustheit und stetig wachsende Kapazitäten. Doch die Nutzung der USB-Schnittstelle birgt auch Gefahren für die Sicherheit von Computersystemen. In diesem Szenario zeigen wir einen Angriff über die USB-Schnittstelle und geben Tipps zur Minimierung dieser Gefahren.
Windows Admin-Hack - "Ich bin root, ich darf das"
Häufig gelangen Angreifer nicht durch Schwachstellen im Betriebssystem, sondern in Anwendungsprogrammen auf PCs. In diesem Szenario zeigen wir, wie einfach ein Angreifer aufgrund einer fehlerhaften Konfiguration einer Dritt-Anbieter-Software zum lokalen Administrator wird.
Anmerkung: Die Zielgruppen dieses Szenarios sind vor allem Sicherheitsbeauftragte und Administratoren
Websicherheit
Phishing - "Die Phisherman's Bank"
Seit Jahren wird über Phishing-Angriffe berichtet, mit denen Angreifer versuchen an die Zugangsdaten von beispielsweise Homebanking-Kunden zu gelangen. Gefälschte E-Mails und Webseiten sehen den Originalen zum verwechseln ähnlich und können sogar Experten in die Irre führen. In diesem Szenario beschreiben wir den genauen Ablauf einer Phishingattacke und zeigen Ihnen worauf sie achten müssen um sich zu schützen. Zum Beispiel lautet die wichtigste Regel beim Homebanking "Kreditinstitute verschicken keine E-Mails".
Dieses Szenario auf der Security 2006 anschauen.
Pharming - "Phishing reloaded"
Die kontinuierliche Berichterstattung über Phishing hat mittlerweile die meisten Bürger sensibilisiert und die Erfolgsquote der Angreifer gesenkt. Doch Angreifer schlafen nicht. In diesem Szenario zeigen wir die nächste Stufe der Angriffe zur Erlangung ihrer Nutzerdaten.
CrossSiteScripting (XSS) - "Die Ewänz-Agentur"
Einige haben schon davon gehört, doch oftmals weiß niemand genau, was damit gemeint ist. XSS steht für Cross-Site-Scripting und bezeichnet das Ausnutzen einer Sicherheitslücke, indem Informationen aus einem Kontext, in dem sie nicht vertrauenswürdig sind, in einen anderen Kontext eingefügt werden, der sie vertrauenswürdig erscheinen lassen soll. Klingt kompliziert ist es aber nicht. In einem kleinen Szenario zeigen wir was es damit genau auf sich hat und wie sie sich dagegen schützen.
Website-Hacking - "Wer ist hier der Gewinner?!"
Jeden Tag ließt man von gehackten Webseiten. In diesem Szenario zeigen wir, wie einfach es ist Zugriff auf ein sog. Content Management System zu krigen und die Webseite nach belieben umzugestalten. Hierbei werden zwei Fehler aufgezeigt: Eine Sicherheitslücke im CMS und ein Konfigurations-Fehler des Administrators
Google-Hacking - "Ich finde was, was du nicht willst"
Was viele nicht wissen - Google ist nicht nur eine bekannte Suchmaschine sondern mit seinen umfangreichen Suchmöglichkeiten auch ein erstklassiges Hackertool. Mittels einfacherer Parameter wie "intitle:" filtert Google Suchergebnisse nach bestimmten Kriterien. Sie werden erstaunt sein, welche Dinge man so finden kann.
Sicherheit von Zugangsdaten
Passwort Datenbank - "Passwort Scrabble"
Das man für einen Einbruch in ein fremdes System nicht immer ein Profi-Hacker sein muss sondern oftmals schon ein wenig Kreativität ausreicht zeigt dieses Szenario. Anhand einer realen Datenbank mit Passwörtern eines Unternehmens, zeigen wir die Sorglosigkeit vieler Nutzer in Sicherheitsfragen, die alles andere als Sorgfalt und Einfallsreichtum bei der Wahl ihrer Passwörter walten lassen. Sie werden überrascht sein welche Passwörter zum Vorschein kommen.
Dieses Szenario auf der Security 2006 anschauen.
Passwort brute force - "Probieren geht über studieren"
Seit langem werden Passwörter schon nicht mehr im Klartext abgespeichert.
Stattdessen wird ein so genannter Fingerabdruck abgelegt. Dies erhöht die Sicherheit entscheidend, da eine solche Passwort-Datei, die in unbefugte Hände gerät nicht zu entschlüsseln ist. Wurde allerdings ein einfaches Passwort verwendet ist es auch hier ein leichtes vom Fingerabdruck auf das Passwort zu schließen. Wir zeigen wie schnell man in der Lage ist ein schwaches Passwort zu knacken und was sie unbedingt beachten sollten um sich vor solchen Angriffen zu schützen.
Benutzernamen-Harvester - "Hallo! Wie heißt Du?"
Onlineauktionen liegen im Trend, nichts ist schöner als einen schon lange gehegten Wunsch online ausfindig zu machen und dann deutlich günstiger zu ersteigern als man ihn vielleicht im Laden um die Ecke bekommen hätte. Der Spaß hört allerdings auf, wenn man einmal betrachtet wie sorglos einige Auktionshausplattformen mit den Daten seiner Nutzer umgeht. Wir zeigen ihnen, dass man mit Hilfe eines einfach einzusetzenden Skripts Unmengen an Benutzernamen bekommen kann. 3 - 2 - 1 meins.
Mobile Sicherheit
Handy-Trojaner - "Der flexible Trojaner"
Malware ist schon längst nicht mehr nur auf Computer und Webseiten beschränkt. Mittlerweile existiert eine immer größer werdende Zahl an Schadsoftware für Handys. In diesem Szenario zeigen wir, wie einfach es ist ein Handy in eine Wanze zu verwandeln und Daten aus den Handys auszulesen. Und das komfortabel von Zuhause aus.
Bluetooth-Handy - "Den Zahn zieh ich Dir"
Bluetooth ist eine weit verbreitete Funkschnittstelle mit der Sprache oder Daten kabellos über kurze Strecken schnell und flexibel ausgetauscht werden können. Nahezu jedes aktuelle Mobiltelefon verfügt heutzutage über eine entsprechende Schnittstelle. Auf Grund von Sicherheitslücken in der Bluetooth-Implementierung ist es allerdings möglich Geräte auszuspähen oder fernzusteuern. Das Auslesen des Telefonbuchs ist dabei die harmloseste Variante eines Angriffs. Auf einfache Weise ist man so z.B. auch in der Lage Telefonbucheinträge zu verändern, was zu teuren Rechnungen führen kann. Bei diesem Szenario lesen wir das Adressbuch eines bluetoothfähigen Handys aus und zeigen Ihnen im Anschluss, wie sie sich mit geringem Aufwand gegen diesen Angriff schützen können.
Bluetooth-Headset - "Die Wanze"
Häufig verwendet, wissen Benutzer in den seltensten Fällen wozu die kleinen Dinger am Ohr fähig sind. Bluetooth-Headsets werden von Herstellern bewusst einfach gestaltet, so dass sie kein Technikexperte sein müssen um sie zu bedienen. Allerdings geht die Einfachheit zu Lasten der Sicherheit. Um den Aufwand für die Herstellung gering zu halten, sind die verwendeten Sicherheitscodes bei den meisten Geräten gleich. Mit Pins wie 0000 oder 1234 kann man sich vorstellen wie einfach diese Headsets auch missbraucht werden können. Mit ein wenig Aufwand lässt sich die Hardware-Adresse des Headsets ermitteln, mit der der Hacker in der Lage ist eine Verbindung zum Headset aufzubauen und sämtliche Gespräche in der Nähe des Gerätes mitzuhören. Wie einfach es ist sich gegen solche Angriffe zu schützen zeigen Ihnen unsere Experten während dieses Szenarios.
Dieses Szenario auf der Security 2006 anschauen.
WLAN-Hacking - "Drei Minuten Sicherheit"
Durch ihre Flexibilität besitzen Funknetzwerke ein entscheidenen Vorteil gegenüber Kabel-gebundenen Netzen. Auf der anderen Seite werden die Daten unkontrolliert in die nähere und weitere Umgebung gesendet. Eine Verschlüsselung ist somit Pflicht, doch nicht jede Verschlüsselung ist als sicher einzustufen. Wir zeigen Ihnen wie schnell eine WEP-Verschlüsselung geknackt werden kann und wie Sie sich schützen können.
WLAN-Wardriving - "Kartographie mal anders"
Beschreibung folgt
GPS-Ortung - "Big Hacker is watching your way"
In unserer mobilen Gesellschaft spielt GPS-Navigation eine entscheidene Rolle. LKW mit Ihren Waren finden zuverlässig ihr Ziel und Reeder kennen die Position ihrer Schiffe. Doch das GPS lässt sich ebenso zur Überwachung einsetzen. Die Erstellung von metergenauen Bewegungsprofilen inkl. Anzeige von Geschwindigkeit und Pausen ist mittlerweile ohne großen Aufwand.
Sonstiges
Dokumentensicherheit - "Perfect Holiday"
In diesem Szenario zeigen wir die Unsicherheit von vermeintlich durch Kennwort geschützten Word Dokumenten. Die Verwendung eines einfachen Editors wie Notepad reicht unserem Experten aus um das "geschützte" Wordformular der Firma "Perfect Holiday" in ein ungeschütztes Dokument zu verwandeln. Ein Beispiel für trügerische Sicherheit, die so niemand erwartet.
Dieses Szenario auf der Security 2006 anschauen.
E-Mail-Harvester - "Jäger und Sammler"
E-Mail-Adressen sind ein wertvolles Gut, insbesondere für Angreifer. Wir zeigen ihnen wie einfach es ist für Angreifer E-Mail-Adressen im Internet, zum Beispiel von ihrer Webseite zu sammeln und wie Sie sich davor schützen können.
Nach oben
Drucken
Weiterempfehlen
