Wien (pts007/01.06.2021/09:00) – Was haben eine moderne Büroanwendung und eine ausgefallene Ölpipeline gemeinsam? Den Desktop, der zur Katastrophe geführt hat. Grafische Oberflächen zur Bedienung von Computern gehen auf Forschungen in den 1960er und 1970er Jahren zurück. Man überlegte sich damals, wie Computer den Menschen am besten unterstützen können. Spätestens ab den 1990er Jahren wurde der Desktop zum Kampfplatz um Marktbeherrschung. Das ist geblieben, nur kommen zusätzlich Sicherheitsaspekte dazu. Immerhin ist der Desktop oft der erste Schritt von Angreifenden zu den digitalen Schätzen eines Unternehmens. Die jährliche DeepSec Konferenz bietet für Sicherheitsexperten und Entwicklerinnen einen zweitägigen Crash Kurs zur Desktopsicherheit an.
Kein Angriff ohne Interaktion
Viele erfolgreiche Attacken auf Unternehmen oder Infrastruktur sind auf Kooperation mit den Opfern angewiesen. Schadsoftware wird durch Tricks zur Ausführung gebracht und kompromittiert dann erst das System. Zur Überredung werden gefälschte E-Mails mit manipulierten Dokumenten oder Webseiten verwendet. Der eigentliche Angriff nutzt danach in Folge bekannte Schwachstellen aus, mit deren Hilfe der lokale Computer übernommen wird. In Hochzeiten des Home Office findet man da immer leichte Beute. Dabei ist der Desktop nur die Oberfläche, auf der die ausgenutzten Applikationen ausgeführt werden. Zur Vorbereitung dieser Angriffe sind Kenntnisse der Komponenten notwendig, die die eigentliche Arbeit bewältigen und Inhalte darstellen. Letztlich besteht kein Unterschied zur Vorgehensweise bei Attacken gegen Serversysteme oder Netzwerke. Die Werkzeuge sind nur verschieden.
Servertechnologien im Desktop
Applikationen sollen heutzutage auf verschiedenen Plattformen verfügbar sein. Bei der Implementation bedient man sich daher bestimmter Softwarebibliotheken, die die Anpassungen an Desktops verschiedener Hersteller erleichtern. Prominente Beispiele dafür sind JavaScript, HTML und Layout-Komponenten, die ursprünglich für Webserver gedacht waren. Das sogenannte Electron Framework nutzt Webtechnologie, um portable Applikationen für verschiedene grafische Oberflächen zu realisieren. Die Applikation wird dann zu einer Webseite mit Inhalten, die lokal generiert werden. Man spart sich damit die Eigenheiten der jeweiligen Plattform in Programmcode umsetzen zu müssen. Sicherheitstechnisch lassen sich dann natürlich sehr viele Attacken, die man auf Webapplikationen anwenden kann, auch auf Programmen im lokalen Desktop ausführen. Gängige Applikationen wie Microsoft® Teams, Skype, Bitwarden, Slack oder Discord verwenden Electron, wodurch sie für diese Attacken anfällig werden.
Natürlich finden sich in modernen Oberflächen auch anderen Komponenten, die man ebenso ausnutzen kann. Sicherheitsforscherinnen und Sicherheitsforscher beschäftigen sich damit schon seit Jahren.
Zweitägiges Sicherheitstraining
Im November bietet die DeepSec Konferenz wieder Trainings zum Thema Angriff und Verteidigung an. Einer der Workshops widmet sich ausschließlich den Eigenschaften des modernen Desktops. Es geht dabei nicht um das Ausnutzen von unbekannten Schwachstellen. Vielmehr erfährt man an praktischen Beispielen welche Sicherheitsmodelle Desktops einsetzen, was zu beachten ist und wie sich die Oberfläche gegen Attacken absichern lässt. Zwischendurch kann man an Beispielen direkt erleben, wie sich fehlende Sicherheit auswirkt. Die Inhalte sind sowohl für Einsteiger mit Basiswissen als auch für Fortgeschrittene geeignet. Zielpublikum sind alle, die sich sicherheitstechnisch mit dem Thema auseinandersetzen müssen sowie Entwicklerinnen und Entwickler von Desktopapplikationen – ganz speziell Benutzerinnen und Benutzern von Desktops in kritischer Infrastruktur.
Das vermittelte Wissen ist unerlässlich für Sicherheitstests, Entwicklung oder auch Schutz des Desktops durch besonders sichere Konfiguration. Damit soll Firmen ein Werkzeug in die Hand gegeben werden, welches die eigenen Angestellten besser schützen soll. Schließlich sind Desktops genau wie Serversysteme direkt mit der Verarbeitung von potentiell gefährlichen Daten betraut. Schutz muss sich von Anfang bis zum Ende auf dem Bildschirm abbilden lassen.
Lebenslange Updates
Die Unterlagen und Testsysteme des Kurses werden Teilnehmerinnen und Teilnehmern digital zur Verfügung gestellt. Der Zugriff verfällt nach dem Training nicht, sondern er kann unbefristet verwendet werden. Das schließt den aktuellen Kurs und sämtliche Erweiterung danach mit ein. Die Trainer Abraham Aranguren und Anirudh Anand bieten darüber hinaus Zugang zu ihrer langjährigen Erfahrung im Umgang mit Penetration Test auf dem Gebiet der Desktops an.
Das zweitägige Training ist für Präsenz und virtuellen Unterricht ausgelegt. Es kann daher in jedem Fall stattfinden.
Programme und Buchung
Die DeepSec 2021-Konferenztage sind am 18. und 19. November. Die DeepSec-Trainings finden an den zwei vorangehenden Tagen, dem 16. und 17. November, statt. Alle Trainings (bis auf Ausnahmen) und Vorträge sind als Präsenzveranstaltung gedacht, können aber aufgrund von zukünftigen COVID-19-Maßnahmen teilweise oder komplett virtuell stattfinden.
Die DeepINTEL Security Intelligence Konferenz findet am 17. November statt. Da es sich hierbei um eine geschlossene Veranstaltung handelt, bitten wir um direkte Anfragen zum Programm. Wir stellen starke Ende-zu-Ende-Verschlüsselung bei Kommunikation zur Verfügung: https://deepsec.net/contact.html
Tickets für die DeepSec Konferenz und die Trainings können Sie jederzeit online unter dem Link https://deepsec.net/register.html bestellen. Ermäßigungscodes von Sponsoren stehen Ihnen zur Verfügung. Bei Interesse melden Sie sich bitte unter deepsec@deepsec.net. Bitte beachten Sie, dass wir wegen der Planungssicherheit auf rechtzeitige Ticketbestellungen angewiesen sind.
(Ende)
Aussender: DeepSec GmbH Ansprechpartner: René Pfeiffer Tel.: +43 676 5626390 E-Mail: deepsec@deepsec.net Website: deepsec.net/