""
Kategorie: Events

Capture the Flag-Workshop bei den Mannheimer Squareroots

Vom 28. bis 29.10.2017 fand ein Workshop zum Thema „Web-Penetrationstesting“ bei den Hacking-Experten der Squareroots in Mannheim statt. Ziel der zweitägigen Veranstaltung war es eine Einführung in verschiedene Schwachstellen von Webapplikationen, wie sie in Hacking-Wettbewerben, aber auch der Realität vorkommen. Zwei unserer Kollegen, Dario Engelmayer und Patrick Eisenschmidt, waren vor Ort, um sich ein Bild von den Techniken der Hacking-Experten zu machen. Den Samstag begannen die Squareroots mit einer Einleitung in JavaScript und bekannten Fehlern, welche bei der Programmierung von Webseiten – selbst heutzutage – immer wieder vorkommen. Das anschließende Thema „File Inclusion“ widmete sich den Sicherheitslücken in Webapplikationen, welche ungeprüft Dateien dynamisch einbinden und ausführen lassen. Nach einer kurzen Stärkung wurden die SQL Datenbanken der Testumgebung durch sogenannte „SQL Injections“ attackiert. Ziel dieser Angriffe war die Extraktion sensibler Information, die ausschließlich privilegierten Nutzern zur Verfügung stehen. Beendet wurde der Tag mit einem Vortrag zu regulären Ausdrücken / „Regular Expressions“, kurz „RegEx“. Diese ermöglichen es aus großen Textmengen spezifische Wörter oder Zeichenfolgen nach einem vorgegebenen Muster zu filtern. Um die gelernten Themengebiete zu vertiefen, gab es im Anschluss noch einige Übungsaufgaben. Der Sonntag stand ganz unter dem Motto „Capture-The-Flag“ (CTF). Den Auftakt machten die Squareroots mit der Programmiersprache Python und ihrem Nutzen bei der Automatisierung von Abläufen. Anschließend wurde den Teilnehmenden die Herangehensweise an CTF-Wettbewerbe nähergebracht. Zum Abschluss des Workshops wurden die Teilnehmer in Teams eingeteilt und traten bei einem „Attack-Defence-CTF“ gegeneinander an. Dabei wurde jedem Team ein virtueller Server mit drei Webapplikationen zur Verfügung gestellt. In der folgenden halben Stunde hatten sie die Aufgabe potentielle Schwachstellen im System und den Applikationen zu finden und diese möglichst schnell zu schließen. Nach Ablauf der 30 Minuten wurden die Firewalls geöffnet und die Angriffe gestartet. Nun galt es die gefundenen Sicherheitslücken der anderen Teams auszunutzen oder diese mit einem Verbesserungsvorschlag zu melden. Punkte gab es für erfolgreiche Angriffe und hilfreiche Meldungen. Nach 3 Stunden wurden die Punkte zusammengezählt und die Gewinner gekürt. Einen knappen Monat später wurde es bei einem richtigen CTF, dem RuCTFE, ernst. Am 02.12.17 traten wir zusammen mit den Squareroots gegen 358 Teams aus der ganzen Welt bei einem Attack-Defence-CTF an. Um 11 Uhr fiel der Startschuss. Als erstes wurden alle Dienste auf deren Ports und Programmiersprachen untersucht, um diese dann an Gruppen von drei bis vier Leuten zu verteilen. Diese Gruppen analysierten den Dienst auf Schwachstellen und darauf basierende Exploits für den späteren Angriff zu erstellen. Um 14 Uhr kam die Pizza zum richtigen Zeitpunkt, um für die letzten fünf Stunden gestärkt zu sein. Nach insgesamt 9 Stunden endete das Event und wir konnten uns den 39. Platz sichern. Nächstes Jahr werden wir wieder dabei sein und versuchen einige Plätze nach oben zu klettern! Wir können allen IT-Security begeisterten und interessierten nur empfehlen donnerstags beim Treffen vorbeizuschauen und vielleicht sogar selbst Mitglied zu werden und uns bei den nächsten Events zu unterstützen.

Kategorie: Events

Cybersecurity Conference 2017

Am 19.Oktober gegen 8 Uhr öffneten sich die Tore des renommierten Mannheimer Congress Centers „Rosengarten“ für die Aussteller der Cybersecurity Conference. Das erste regionale Event für Cybersicherheit tagte – passend zum European Cybersecurity Month – am 19. & 20. Oktober. Während die Sponsoren in aller Ruhe ihre Rollups positionierten und einen Schluck Kaffee genossen, bereiteten sich die Veranstalter der Cybersecurity Conference, rund um das Mannheimer IT-Beratungsunternehmen SAMA PARTNERS, für die Akkreditierung und Begrüßung der Teilnehmer vor. Heute erwarten wir ca. 80 Gäste, hauptsächlich IT-Leiter und Manager regionaler Unternehmen, so Julia Einsiedel, Projektleiterin der Cybersecurity Conference, über die hochkarätigen Teilnehmer. „Wir freuen uns, dass das Thema einen so hohen Anklang findet und wir morgen sogar 150 Zuhörer begrüßen dürfen“. Etwa eine Stunde nach Öffnung der Pforten erstrahlten alle Stände der Sponsoren und Partner in voller Montur. Das Organisations-Team der Cybersecurity Conference positionierte sich pünktlich zum offiziellen Einlass am Empfang. Und schon ging es los: Nach und nach strömten alle angemeldeten Gäste in die Räumlichkeiten Gustav Mahler auf der 3. Ebene des Rosengartens. Nachdem alle Namensschilder verteilt und eine kleine Stärkung am Frühstücksbuffet eingenommen wurde, füllte sich der Vortrags-Raum. Um halb zehn startete Julia Einsiedel mit ihrer Begrüßungsrede, auf die die Keynote des SAMA PARTNERS Geschäftsführers Dr. Ali Mabrouk folgte. Durch das Programm führte Josef Stumpf, Geschäftsführer der Liepolt & Stumpf GmbH und Leiter des BVMW Nordbaden. Auf die Keynote folgten Vorträge des SAMA PARTNERS Senior Security Consultants Stephan Krätzschmar und des Landesbeauftragten Datenschutz Dr. Stefan Brink zu der aktuellen Gesetzeslage im Bereich IT-Sicherheit. Das IT-Sicherheitsgesetz und die ab 2018 geltende Europäische Datenschutzgrundverordnung bekamen dabei die meiste Aufmerksamkeit. Zahlreiche Fragen der Zuhörenden verdeutlichten wie viel Klärungsbedarf die Regularien mit sich bringen. Nach einer kurzen Kaffeepause stellte Dr. Sachar Paulus, Professor für Informationssicherheit an der Hochschule Mannheim, den Ansatz „Security by Continuous Delivery“ vor, welcher Sicherheits-Aspekte von der Code-Entwicklung bis hin zum Anwendungsbetrieb umfasst. Auf eine ausgiebige Mittagspause mit auserlesenem Buffet, bereitgestellt durch das Dorint-Hotel, stand der Nachmittag dann durch Vorträge des TeleTrusT Arbeitsgruppenleiters Mobile Security, Ronny Kaminski, sowie des Leiters des Referats Cybersicherheit des BSI, Stefan Becker und des Security Consultants Dario Engelmayer weiter im Themenfeld: „Ansätze für mehr Cybersicherheit“. In einer anschließenden, moderierten Talk-Runde, wurden diese durch die anwesenden Experten bewertet. Mit einem abschließenden Ausblick verabschiedeten sich Dr. Ali Mabrouk, Julia Einsiedel und Josef Stumpf von den aufmerksamen Gästen und eilten zu einem Interview in der Live-Sendung von RON TV, ein regionaler Sender, welcher die Veranstaltung – wie auch andere Medienvertreter – begleitete. Mit Sonnenschein startete Tag 2 der Cybersecurity Conference 2017. Dieser richtete sich in erster Linie an Bürgerinnen und Bürger der Metropolregion Rhein-Neckar, um sie für Themen wie „Datensicherheit“ und „IT-Sicherheit“ zu sensibilisieren und ihnen damit die Möglichkeit zu geben ihren Alltag bewusster und sicherer zu gestalten. Beinahe 150 Personen nahmen im Gustav Mahler Saal Platz, bevor das Programm mit dem stellvertretenden Fachbereichsleiter Informationstechnologie der Stadt Mannheim, Herrn Armbruster, begann. Auf seine spannende Rede zur strukturellen Entwicklung in der Region schlossen sich Vorträge der Professoren Dennis Pfisterer (Duale Hochschule Baden-Württemberg), Julian Reichwald (Duale Hochschule Baden-Württemberg), und Frederik Armknecht (Universität Mannheim) zur Veranschaulichung der Gefahren bei Social Media Nutzung oder WLAN an. Es folgten - unter Moderation von Georg Pins - Live Demonstrationen vom Security-Experten Patrick Elsässer und den Squareroots sowie ein Vortrag zum Thema „Autonomes Fliegen“, präsentiert von der KeySolutions IT GmbH. Neben vielen Privatpersonen waren auch Schulklassen geladen, die sich über IT-Security-Maßnahmen für den Alltag informieren wollten. Die Schülerinnen und Schüler waren erstaunt von den Vorführungen der ethischen Hacker, rund um Dominik Hach-Schwarz und Stefan Stahl von den Squareroots. Dass es so einfach ist unser Leben durch zur Verfügung stehende Metadaten nachzuverfolgen, haben selbst die Informatik-Spezialisten unter ihnen nicht angenommen. Alles ins allem gelang es uns mit der Cybersecurity Conference also erneut die Sensibilität für Themen wie Cybersicherheit und Datenschutz zu erhöhen und so einen wesentlichen Beitrag zur Sicherheit in unserer Region zu leisten. Wir danken allen Partnern und Sponsoren, rund um die Stadt Mannheim, den BVMW Nordbaden, das Netzwerk Smart Production, den Bundesverband IT-Sicherheit TeleTrusT, sowie unseren Moderatoren für ihren Einsatz und freuen uns darauf in Mannheim auch 2018 wieder die Cybersecurity vereint in den Fokus zu rücken.

Kategorie: Events

MERITO Afterwork im Jungbusch

Seit 2015 lädt eine Gruppe regionaler Unternehmer, rund um die Unternehmensgruppe Pfitzenmeier, die Firma abc Druck und die Mercedes Benz-Niederlassung Mannheim – Heidelberg – Landau, gemeinsam mit dem Magazin ECONO Rhein-Neckar zum After Work Business Treff „MERITO“. Dabei handelt es sich um ein einzigartiges Veranstaltungs-Format in der Metropolregion Rhein-Neckar, das in entspannter Atmosphäre zum networken einlädt. Diesen Monat war "DIE KÜCHE" im Mannheimer Szeneviertel Jungbusch die Location der Wahl. Das Restaurant am Hafen 49 besticht mit einer wunderbaren Dachterrasse und einem hervorragenden Blick über den Hafen. Bei sonnigen 27 Grad wurden wieder so einige Kontakte geknüpft und vertieft. Ein besonderes Highlight: Auch die Rhein-Neckar-Löwen Mikael Appelgren und Harald Reinkind waren zusammen mit der RNL-Geschäftsführerin Jennifer Kettemann vor Ort und berichteten von ihrer Meisterschaft sowie über die Ziele in der kommenden Saison. Als Sponsor des Teams freuten wir uns natürlich besonders darüber die Meisterschale für einen kurzen Moment in unseren Händen halten zu dürfen.

Kategorie: Portfolio

Blockchain: Großes Potenzial nicht nur im Finanzsektor

Immer häufiger hört man in der Finanzdienstleistungsbranche von „Blockchains“. Doch was ist die Blockchain-Technologie eigentlich und welche Chancen birgt sie? Unter „Blockchains“ versteht man fälschungssichere, dezentrale Datenstrukturen, durch die sich Transaktionen transparent und unveränderlich abbilden lassen. Dank einer lückenlosen Datenaufzeichnung können zum Beispiel Eigentumsverhältnisse nachvollziehbar geregelt und Werte direkt übermittelt werden. Ein bekannter Anwendungsfall der Blockchain-Technologie sind Bitcoins. Dabei handelt es sich um eine dezentrale, digitale Währung, die mit Hilfe der Blockchain umgesetzt wurde.

Vorteile von Blockchain

Blockchains verfügen über eine Datenstruktur und Funktionen, durch die ein auf viele Teilnehmer verteilter Zustand gemeinsam verändert werden kann. Dabei wird Effizienz, Einheitlichkeit und Fälschungssicherheit gewährleistet, indem die einzelnen Transaktionen, gestützt durch kryptograpfische Verfahren, von allen dezentralen Teilnehmern (Computern) bestätigt werden. Das Blockchain-Netzwerk bildet sich aus einem Netz von Knoten. Ein Knoten steht für einen Rechner, der mit dem Blockchain-Netzwerk verbunden ist und mithilfe einer speziellen Software Transaktionen des Blockchain-Netzwerks prüfen, ablegen und übermitteln kann. Jeder Knoten erhält automatisch eine Kopie der Blockchain, welche fortlaufend aktualisiert wird. Durch eine Vielzahl vernetzter Knotenpunkte werden die Datenstrukturen verteilt und so eine hohe Verfügbarkeit sowie Ausfallsicherheit gewährleistet. Die Blockchain-Technologie ist dezentral. Daraus ergibt sich ein besonderer Vorteil der Blockchain-Technologie: der Sicherheits-Aspekt. Durch die redundante und sichere Speicherung von Daten in der Blockchain werden Risiken, die sich aus der zentralen Datenhaltung ergeben, umgangen. Die Frage nach der Vertrauenswürdigkeit einer zentralen Stelle entfällt. Denn die Kontrolle des Eigentums (z.B. Geld) liegt nicht mehr länger in den Händen einer einzigen Organisation (z.B. Bank), welche unter Umständen nicht rechtschaffen ist oder Opfer eines Cyberangriffes werden könnte. Die Sicherheitsverfahren der Blockchain-Technologie nutzen darüber hinaus aktuelle asymmetrische Verschlüsselungstechnologien, die auf der Vergabe von öffentlichen und privaten „Schlüsseln“ basieren. Ein öffentlicher Schlüssel (Zahlenreihe) symbolisiert dabei eine Nutzeradresse, der Transaktionen automatisch zugeordnet werden. Der private Schlüssel dient als Passwort, um Zugang zu den Werteinheiten zu erhalten. Da die Daten in einem Netzwerk ganzheitlich eingebettet und damit öffentlich sind und eine rückwirkende Veränderung von Informationen aller Knoten mit einem vertretbaren Aufwand nicht möglich ist, zeichnet sich die Blockchain-Technologie weiter durch Transparenz und eine gewisse Unveränderbarkeit aus. Durch sogenannte „Smart Contracts“ kann eine vertragliche Logik von mehreren Vertragsparteien freigegeben und automatisiert durch Computer-Algorithmen ausgeführt werden. Zu bestimmten Zeitpunkten wird so automatisch überprüft, ob alle Bedingungen eines Vertrags erfüllt worden sind, um eine Transaktion auszuführen. Smart Contracts ermöglichen es also Verträge automatisiert durchzusetzen, was die Sicherheit erhöht und die Kosten reduziert. Smart Contracts stellen außerdem eine Kontrollregel innerhalb des technischen Protokolls dar. Nur der programmierte Code eines Smart Contracts entfaltet vertragliche Wirkung. Beispielsweise würde bei einem über Smart Contract abgeschlossenen Stromvertrag erst dann Strom fließen, wenn die monatliche Rate dafür entrichtet wurde.

Ausblick

Natürlich stellt die Blockchain-Technologie viele Firmen vor große Herausforderungen. Fragen, wie: ist es nur ein Hype oder doch die Zukunft? auf welche Branchen ist das Blockchain-Verfahren anwendbar? wie kann die Integration in die bestehende Infrastruktur erfolgen und welches Knowhow wird benötigt? beschäftigen derzeit viele Manager und IT-Verantwortliche. Mögliche Risiken des Blockchain-Ansatzes sollten frühzeitig betrachtet werden, um das Potenzial der Technologie entfalten zu können. Insbesondere Datenschutz und Rechenkapazität werden mehr in den Fokus rücken, da sind sich die Experten sicher. Auch die Verknüpfung bestehender und neuer Technologien wird zum Thema werden. Eine besondere Rolle könnte in diesem Zusammenhang dem Amazon Elastic Cloud (Amazon EC2) zukommen. Dieser stellt sichere und skalierbare Rechenkapazitäten in der Cloud bereit. Auch „Hyperledger“ entwickelt sich mehr und mehr als ein fester Bestandteil des „Blockchain Technology Stacks“. Neben technologischen Aspekten, ergibt sich ein weiterer Risikofaktor aber womöglich auch aus dem Fehlen einer zentralen Überprüfungsinstanz, die im Notfall regulierend eingreifen könnte. Betrachtet man demgegenüber die Chancen, die sich aus der Blockchain-Technologie ergeben, wird schnell klar, dass sie ihren Weg, trotz bestehender Risiken und Herausforderungen, finden wird. Die Evolution von Blockchain als reines „Inhaltsverzeichnis“ (Ledger) für Krypto-Währungen, über die Einbettung von Services bis hin zu dem Einsatz von „Smart Contracts“ verdeutlicht dies. Inzwischen existieren Anwendungsmöglichkeiten für Blockchain, die weit über die Funktion eines Finanztransaktionsbuches hinausgehen. Neben dem naheliegenden Einsatz von Blockchain in der Finanzbranche, gibt es auch zahlreiche weitere Zukunftsszenarien, wie ein „Shared Blockchain Ecosystem“, das einem autonomen und dezentralen B2B-Marktplatz gleichkommt. In diesem würden Organisationen verschiedener Branchen miteinander im direkten Austausch von Werteinheiten stehen. Durch die besondere Art der Verifikation von Transaktionen würden einige Aspekte traditionellen Handels, wie z.B. eine Kette vertrauenswürdiger Intermediäre, nicht mehr benötigt, was zu enormen Effizienzsteigerung führen könnte. Es lässt sich zweifelsohne konstatieren: Blockchain hat viel Potenzial und jede Menge Ausgestaltungsmöglichkeiten. Sicherheit, Transparenz und Effizienzsteigerung sind nur einige der Vorteile, die mit dem Einsatz der Technologie erzielt werden können. Dennoch müssen die aktuell als vorhanden geltenden Risiken in Betracht gezogen werden, um eine erfolgreiche Etablierung von Blockchain in verschiedenen Industrien zu ermöglichen und den Werteverkehr, wie wir ihn bislang kannten, zu revolutionieren.