FH St. Pölten auf der Black Hat 2014

Bei der diesjährigen Sicherheitskonferenz Black Hat Europe hielt Thomas Brandstetter, FH-Dozent an der FH St. Pölten und Geschäftsführer von Limes Security, einen Vortrag zum Thema SSL-Validierungsprüfungen. [...]

Die Sicherheitskonferenz Black Hat Europe, die mittlerweile seit 14 Jahren veranstaltet wird und über die aktuellsten Sicherheitsschwachstellen und -trends informiert, hat heuer den Teilnehmerrekord vom Vorjahr um 50 Prozent gebrochen, mehr als 600 Teilnehmer kamen zur Konferenz nach Amsterdam. Unter den mehr als 1.000 Sicherheitsexperten aus 68 Ländern hielt auch Thomas Brand­stetter, FH-Dozent im Studiengang IT-Security der FH St. Pölten, einen Vortrag zum Thema „SSL Validation Checking vs. Go(ing) to Fail“.

„Ausgang unserer Überlegungen war die berühmte „goto-fail“ Sicherheitslücke die Apple Anfang des Jahres Probleme bereitet hat. Die Lücke war insofern problematisch als Apps mitunter nicht mehr ordentlich überprüfen konnten, ob der Server mit dem sie kommunizieren wirklich die legitime, erwartete Gegenstelle sei. Das ist insbesondere bei Apps, die private und somit vertrauliche Daten übertragen, sehr wichtig“, so Brandstetter.

In einer Firmendiplomarbeit, erstellt vom Masterstudenten Christian Stoiber, wurde eine Testmethodik sowie ein Prototyp erarbeitet mit dem sich Apps auf Fehler in der Validierungslogik der SSL-Verschlüsselung überprüfen lassen ohne den Sourcecode vorliegend haben zu müssen. Der Prototyp wurde im Unternehmen weiterentwickelt und mittlerweile wurden mehr als 90 mobile Apps aus dem Bank- und Finanzsektor getestet, da hier die Notwendigkeit für eine vertrauliche Datenübertragung verständlicherweise enorm hoch ist.

Sowohl unter den Apps von einheimischen, aber auch großen, internationalen Banken gab es Apps, welche die sicherheitskritischen SSL-Zertifikate überhaupt nicht überprüft haben. „Dies ist im Jahr 2014, wo Security kein brandneues Thema mehr ist, doch etwas befremdlich – vor allem im Banken- und Finanzsektor mit hohen Sicherheitsanforderungen“, meint Brandstetter. Ein Anwender einer solchen App würde keinerlei Hinweis bekommen, falls ein ­Hacker versuchen sollte sich in die Verbindung zwischen seinem Handy und dem Bankserver einzuschleusen, um die vertraulichen Finanzinformationen mitzulesen oder zu manipulieren. Betroffene nationale Banken wurden, soweit möglich, informiert und haben teilweise auch schon reagiert. „Seit unseren ersten Tests im Frühjahr mit zum Teil noch haarsträubenden Ergebnissen wurden mittlerweile viele neue, verbesserte Apps zur Verfügung gestellt. Bei einigen Apps besteht eine Reihe von Lücken jedoch nach wie vor. Es ist daher ratsam zu überprüfen, ob am Smartphone die jeweils neueste Banking-App installiert ist und sie gegebenenfalls zu aktualisieren“, so Brandstetter. (pi/mi)


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*