IT-Defense 2017, 15. bis 17. Februar, Berlin

Unsicher auf allen Ebenen

Sicherheitslücken lauern überall und auf allen Ebenen. Entsprechend breit aufgestellt waren die Vorträge der diesjährigen IT-Defense 2017 in Berlin. Die etwas mehr als 200 Teilnehmer erfuhren in insgesamt zwölf Sessions Aktuelles zu Windows-Sicherheit, Fuzzing, Hardware-Trojanern oder auch Quantenkryptographie.
Während die IT-Budgets in kleineren Unternehmen oft überschaubar ausfallen, sind die Anforderungen dieselben wie in großen Firmen. Die April-Ausgabe widmet ... (mehr)

Der finnische MVP Sami Laiko entführte die Teilnehmer als Auftakt in seinem Vortrag in die Welt der Win­dows-Security – wobei er den menschlichen Faktor in den Vordergrund stellte. Denn die Angreifbarkeit dieses wie auch anderer Betriebssysteme ergibt sich nicht zuletzt aus unzureichenden Einstellungen seitens der Anwender beziehungsweise Administratoren. Einen Knackpunkt stellt die integrierte Bitlocker-Verschlüsselung dar, die nicht nur vor dem Klau von Daten schützt, sondern auch die Integrität des Systems selbst sicherstellt.

Welchen Effekt dies haben kann, demonstrierte Laiko live, als er im Recovery-Modus eines Windows-10-Testsystems zwei Systemdateien austauschte und anschließend nach einem Neustart ohne Anmeldung eine Admin-Kommandozeile erhielt. Gerade bei CEOs sei jedoch das Bewusstsein nicht sonderlich ausgereift, Verschlüsselung im Unternehmen konsequent einzusetzen. Ebenfalls eigentlich altbewährt und bekannt: Die Empfehlungen Laikos, die Benutzerkontenkontrolle konsequent zu nutzen und Makros in Office zentral bis auf wenige, unbedingt nötige Ausnahmen abzuschalten.

Eine Ebene darunter setzte Dan Guido an. Der CEO des Security-Anbieters Trail of Bits erläuterte, wie sich dank Smart Fuzzing Schwachstellen in Software zielgerichtet und zuverlässig aufspüren lassen. Das Unternehmen unterstützt und berät in Sachen Software-Entwicklung, Schwachstellenanalysen, Security- sowie Reverse-Engineering. Ein wichtiges Werkzeug für Entwickler ist das sogenannte Fuzzing, bei dem Programme zufälligen Inputs ausgesetzt werden in der Hoffnung, so auf Fehlfunktionen oder gar Sicherheitslücken zu stoßen. Während der ursprüngliche Ansatz noch von eher zufälligen Ergebnissen geprägt ist, soll Smart Fuzzing eine zielgerichtete Analyse erlauben.

Grundlage bieten hierfür die Rückmeldungen des getesteten Programms, die in die weiteren Datenbombardements einfließen. Doch führen unterschiedliche Werkzeuge zu unterschiedlichen

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Secure Linux Administration Conference 2017 sucht Referenten

In Berlin findet dieses Jahr die zehnte Secure Linux Administration Conference (SLAC) statt. Bis 28. Februar läuft der Call for Papers.

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2021