Magdeburger Institut für Sicherheitsforschung

15/12/2019

Our fifth book is available:

In Depth Security Vol. III - Proceedings of the DeepSec Conferences by Stefan Schumacher & René Pfeiffer (eds)

It's the 3rd book in the Proceedings of the DeepSec series and available in bookstores world wide as paperback or ebook. The ebook is available for 4.99€ until 15.01.2020 and without DRM.

Paperback: ISBN-13: 9783981770049
ebook ISBN-13: 9783981770056

Makes a great christmas present ;-)

14/11/2018

Ein neuer Beitrag im Magdeburger Journal zur Sicherheitsforschung ist erschienen:

I Wrote my Own Ransomware; did not make 1 iota of a Bitcoin
by Thomas Fischer

http://www.sicherheitsforschung-magdeburg.de/publikationen/journal.html

2016 saw a substantial rise in ransomware attacks and in some cases the return of some favourites with Cryptowall, CTB-LOCKER and TeslaCrypt being some of the most popular. The volume of attacks was in fact pretty steady for a good part of the year, with regular campaigns coming out on a weekly basis. It was interesting to see the variety in mechanisms used for the ransomware which not only included self-contained binaries but went all the way to the use of scripts. As part of the research I conducted last year, I wanted to understand why there's such a drive and lure for ransomware, outside of the victims payment, as well as have some way of properly testing »anti-ransomware« solutions with an unknown variant. So to do that, I went ahead and built my own ransomware and drew some conclusions on why it became so popular. This talk explore the background and process used to build a live ransomware that I was able to use for controlled testing. To finally draw some of my own personal conclusions.

Keywords: Malware, Malware Analysis, Bitcoin, Encryption

Angriffe und Verteidigungsstrategien für vertrauliche Kommunikation über FunkdiensteMichael "MiKa" Kafka René "Lynx" Pfeiffer Dieses Dokument dient als Zusammenfassung mit Angabe weiterer Quellen zum Vortrag "Angriffe und Verteidigungsstrategien für vertrauliche Kommunikation über Funkdien...

06/09/2018

Seminar zur Sicherheitspolitik & Cyberwar

Stefan Schumacher wird an der Politischen Bildungsstätte Helmstedt vom 24.09.-28.09.2018 ein Wochen-Seminar zum Themenfeld Sicherheitspolitik und Cyber durchführen:

Internationale Interessen und Konflikte: Cyber und Militär - Folgen für die deutsche Sicherheitspolitik

Neueste Entwicklungen im Bereich der Informationstechnologie gehen immer enger Hand in Hand mit vielen Bereichen des täglichen Lebens. Das Internet eröffnet ungeahnte Möglichkeiten und hält aber auch zunehmend Unsicherheiten und Untiefen für Anwender_innen parat. Das Seminar beschäftigt sich ganz konkret mit den Auswirkungen, die dieser Trend auch auf den Bereich der deutschen Sicherheitspolitik hat. Inwiefern wirkt sich dieser Wandel auf die Politik aus? Was bedeutet dies für die technische Ausstattung der Bundeswehr? Welche Maßnahmen müssen getroffen werden, um sich selbst, aber auch wichtige Elemente der Infrastruktur zu schützen? Mit diesen und vielen anderen Fragen werden sich die Teilnehmer_innen im Seminar beschäftigen. Es ist eine Exkursion vorgesehen.

http://www.pbh-hvhs.de/39-1-2018.html

26/02/2018

Social Engineering und Security Awareness Training auf dem GUUG FFG

Tages-Workshop am Mittwoch, dem 28. Februar 2018 in Leipzig

Stefan Schumacher wird am Mittwoch, dem 28. Februar 2018 auf dem Frühjahrsfachgespräch der GUUG in Leipzig einen Tages-Workshop unterrichten.

Social-Engineering und Security-Awareness für Systemadministratoren

Social-Engineering ist eine Angriffsstrategie, die nicht die Technik als Opfer auserkoren hat. Stattdessen wird hier viel lieber - und vor allem effizienter - der Mensch bzw. sein Verhalten angegriffen. Ein Angreifer verwendet verschiedene Strategien und Taktiken, um aus Benutzern der Systeme Informationen wie Passwörter oder IP-Adressen herauszuholen. Mithilfe dieser Informationen kann der Angreifer erfolgreiche Angriffe gegen Zielsysteme fahren. Alternativ kann ein Angreifer auch einfach versuchen, in Gebäude oder Büros einzudringen und dort selbst Unterlagen stehlen oder einen Keygrabber oder einen WiFi Pineapple Nano ausrollen.

Trotzdem werden neben der technischen Absicherung von Netzwerken die Anwender häufig vernachlässigt. Phishing-Attacken oder Angriffe über Social-Engineering-Methoden lassen sich nur äußerst schwer bis gar nicht mit technischen Maßnahmen verhindern. Stattdessen müssen Endanwender für das Thema Sicherheit interessiert und ausgebildet werden.

Der Workshop zeigt daher, wie Social-Engineering funktioniert und erklärt die zu Grunde liegenden Tricks und Kniffe anhand sozialpsychologischer Studien und Experimente. Außerdem werden Beispiele, Warnsignale und Gegenmaßnahmen diskutiert. Im zweiten Teil werden aktuelle Erkenntnisse aus unserem Forschungsprogramm zur Didaktik der Sicherheit vorgestellt. Diese sollen dabei helfen, Sicherheitsschulungen und Awareness-Maßnahmen wissenschaftlich fundiert umzusetzen und dabei die Endanwender sowie Maßnahmen evaluierbar zu erreichen. Beispiele für konkrete Maßnahmen werden dabei ebenfalls vorgestellt und diskutiert sowie in der Gruppe erarbeitet. Außerdem befasst sich der Workshop mit der Frage, wie das Management von einer Awareness-Kampagne überzeugt und mit eingespannt werden kann.



Anmeldung und weitere Infos auf der GUUG-Seite: https://ffg.guug.de/programm-mittwoch/

21/11/2017

http://www.sicherheitsforschung-magdeburg.de/uploads/journal/MJS_056_Brack_SEET.pdf

New Article: Social Engineering - The Most Underestimated APT -- Hacking the Human Operating System

by Dominique C. Brack

Social Engineering is an accepted APT and is going to stay. Most of the high-value hacking attacks feature components of social engineering. Understanding of the methods and approaches used behind the scene of Social Engineering will help you to make the world a safer place. Or make your attack plans more successful. This article is based on a book I recently wrote about Social Engineering. As a bonus I will present the readers with a free download code for ebook-versions (PDF, epub, mobi) of my book for further study

25/09/2017

https://www.youtube.com/watch?v=MwaT8jgmMiQ

Corporate-Security.TV: Stefan Schumacher ist Direktor des Magdeburger Instituts für Sicherheitsforschung. Im Interview erläutert er die Arbeit des Instituts, die sich u.a. der Psychologie im Zusammenhang mit der IT-Sicherheit im Unternehmen widmet. Wie dieser Zusammenhang konkret aussieht und warum gerade die NASA ein Beispiel für das Wechselwirken von Psychologie und Informationssicherheit liefern kann, erfahren Sie im aktuellen Sicherheitsinterview der Woche.

Stefan Schumacher ist Direktor des Magdeburger Instituts für Sicherheitsforschung. Im Interview erläutert er die Arbeit des Instituts, die sich u.a. der Psyc...

22/08/2017

New Article: CSP Is Dead, Long Live CSP! - On the Insecurity of Whitelists and the Future of Content Security Policy

by Lukas Weichselbaum and Michele Spagnuolo and Sebastian Lekies and Artur Janc


PDF available at the 14th Issue of the MJS: http://www.sicherheitsforschung-magdeburg.de/publikationen/journal.html

Content Security Policy is a web platform mechanism designed to mitigate cross-site scripting (XSS), the top security vulnerability in modern web applications MITRE, 2014. In this paper, we take a closer look at the practical benefits of adopting CSP and identify significant flaws in real-world deployments that result in bypasses in 94.72% of all distinct policies. We base our Internet-wide analysis on a search engine corpus of approximately 100 billion pages from over 1 billion hostnames; the result covers CSP deployments on 1,680,867 hosts with 26,011 unique CSP policies – the most comprehensive study to date. We introduce the security-relevant aspects of the CSP specification and provide an in-depth analysis of its threat model, focusing on XSS protections. We identify three common classes of CSP bypasses and explain how they subvert the security of a policy. We then turn to a quantitative analysis of policies deployed on the Internet in order to understand their security benefits. We observe that 14 out of the 15 domains most commonly whitelisted for loading scripts contain unsafe endpoints; as a consequence, 75.81% of distinct policies use script whitelists that allow attackers to bypass CSP. In total, we find that 94.68% of policies that attempt to limit script ex*****on are ineffective, and that 99.34% of hosts with CSP use policies that offer no benefit against XSS. Finally, we propose the ’strict-dynamic’ keyword, an addition to the specification that facilitates the creation of policies based on cryptographic nonces, without relying on domain whitelists. We discuss our experience deploying such a nonce-based policy in a complex application and provide guidance to web authors for improving their policies.
This article appears in the special edition „In Depth Security – Proceedings of the DeepSec Conferences Vol. 2“. Edited by Stefan Schumacher and René Pfeiffer

Eine interdisziplinäre, bereichs- und methodenübergreifende Plattform zum Thema Sicherheitsforschung.

21/05/2017

2 Beiträge auf der Secure Linux Administration Conference in Berlin

Auf der Secure Linux Administration Conference in Berlin wird Stefan Schumacher einen Vortrag halten und einen Workshop unterrichten.



Am Montag, den 22.5. ab 11:30 Uhr wird er über Zwei-Faktor-Authentifikation mit Yubikey-Token sprechen.

Am Mittwoch, den 24.5. ab 09:00 Uhr einen Workshop zu Security-Awareness für Systemadministratoren unterrichten.

ZWEI-FAKTOR-AUTHENTIFIKATION MIT YUBIKEY-TOKEN

Die Zwei-Faktor-Authentifikation (2FA) kombiniert zwei unabhängige Komponenten (hier Passwort und Token), um Benutzer sicher zu authentifizieren. Yubico, Google und NXP haben hierzu den U2F-Standard entwickelt, der 2FA mit günstigen USB-Token ermöglicht. Der Vortrag stellt die verfügbaren Token und deren Fähigkeiten sowie deren Integration vor. Dabei wird gezeigt, wie Benutzer bspw. ihr Google-Konto, Linux-Login mit PAM, OpenVPN oder Festplattenverschlüsselung mit LUKS mittels Yubikey-Token sichern können.



SECURITY AWARENESS FÜR SYSTEMADMINISTRATOREN

Neben der technischen Absicherung von Netzwerken werden die Anwender häufig vernachlässigt. Phishing-Attacken oder Angriffe über Social-Engineering-Methoden lassen sich nur äußerst schwer bis gar nicht mit technischen Maßnahmen verhindern. Stattdessen müssen Endanwender für das Thema Sicherheit interessiert und ausgebildet werden.

Der Vortrag zeigt einige grundlegende wissenschaftlich fundierte Methoden u.a. aus der Arbeits- und Organisationspsychologie, um Anwender zu erreichen und sinnvoll im Handlungsfeld IT-Sicherheit auszubilden. Dabei liegt der Fokus nicht nur auf der inzwischen sprichwörtlichen Awareness sondern auch auf der Handlungskompetenz. Beispiele für konkrete Maßnahmen werden dabei ebenfalls vorgestellt.

23/04/2017

Medienseminar an der Politischen Bildungsstätte Helmstedt

Am 24. und 26.4. wird es 2 Kurse im Medienseminar der politischen Bildungsstätte Helmstedt geben.

Themen sind
- Meinungsfreiheit und Pressefreiheit - ein hohes Gut. Auch im Bereich der Sicherheitspolitik? Vom Weltbühne-Prozess über die Spiegel-Affäre bis hin zu Netzpolitik.org und Whistleblowern.

- Meinungsmache und Rekrutierungsoffensiven der Bundeswehr: Herausforderung und Chance im Bereich der neuen Medien. Die Rekruten und Werbung in den neuen Medien. Yvan eht nioJ!

16/03/2017

Folien der Chemnitzer Linux-Tage online

Die Folien können als PDF hier heruntergeladen werden:

* Sicherheit und Vertrauen – Erfahrungen als Open Source Hacker

http://forschungsdatenbank.no-ip.org/Unterlagen/FLOSS-Hacker.pdf

* Einen hochsicheren Laptop mit Ubuntu einrichten

http://forschungsdatenbank.no-ip.org/Unterlagen/UbuntuLaptop.pdf

26/02/2017

Zwei Vorträge auf den Chemnitzer Linux-Tagen:

Sicherheit und Vertrauen – Erfahrungen als Open Source Hacker
https://chemnitzer.linux-tage.de/2017/de/programm/beitrag/233

Einen hochsicheren Laptop mit Ubuntu einrichten
https://chemnitzer.linux-tage.de/2017/de/programm/beitrag/236

Die Chemnitzer Linux-Tage sind eine Veranstaltung rund um das Thema Linux und Open Source für jedermann, die Linux-Nutzer, Insider und Unternehmen zusammenbringt.

06/01/2017

New MJS-Article:

A Death in Athens -- The Inherent Vulnerability of »Lawful Intercept«

by James Bamford

I will discuss the »Athens Affair,« the subject of a recent investigation by me in The Intercept. In 2004, the NSA and CIA worked secretly with the Greek government to subvert Vodafone and other telecom companies in order to conduct widespread eavesdropping during the 2004 Athens Summer Olympics. The NSA agreed, however, to remove the spyware once the games were over. But rather than remove it, they instead secretly turned it on the top members of the Greek government and members of the Greek public, including journalists. When the covert operation was accidentally discovered, however, a Vodafone engineer involved was found dead, either by su***de or murder, and the death was officially connected to the bugging operation. I will show how the operation was pulled off, by recruiting an inside person, then subverting the company’s »lawful intercept« program, and transferring the data back to NSA headquarters at Fort Meade. The episode demonstrates the enormous vulnerability of widespread »lawful intercept« programs, and government backdoors in general, and also how the NSA often uses a »bait and switch« in its operations – promising to help find terrorists, but really spying on the host government and local population instead.

This paper is a transcript of the talk held at DeepSec 2015

This article appears in the special edition „In Depth Security – Proceedings of the DeepSec Conferences Vol. 2“. Edited by Stefan Schumacher and René Pfeiffer

http://www.sicherheitsforschung-magdeburg.de/uploads/journal/MJS_048_Bamford_DeathinAthens.pdf