Jetzt vormerken: heise devSec 2025 am 30. September und 1. Oktober in Regensburg

Physical Traceroute - oder warum Bot-Erkennungen nicht helfen

Der Vortrag beschäftigt sich mit Problemen in der Umsetzung der Paketverfolgung bei mehreren Paketdienstleistern (z.B. DHL).

Durch eine unsichere Authentifizierung mittels Zielpostleitzahlen als Secret entstand in unserem Fall die Möglichkeit, effizient personenbezogene Daten von Kund:innen zu sammeln und in die Zustellung von Paketen einzugreifen. Dies wurde durch zusätzliche Hinweise zum Erraten der Zielpostleitzahl erleichtert. Fälschlicherweise wurde zudem angenommen, eine Bot-Erkennung könne einen solchen Angriff effektiv verhindern.

Im Vortrag wird der verwendete Prozess zur Authentifizierung erläutert und die Schwächen von Bot-Erkennungen zur Verhinderung von automatisierten Zugriffen besprochen.

Vorkenntnisse

Es sind keinerlei Vorkenntnisse nötig, da der fehlerhafte Prozess auch von Laien nachvollzogen werden kann.

Lernziele

Ziel des Vortrags ist es, den Zuhörer:innen die Problematik von schwacher Authentifizierung näher zu bringen, und zwar anhand theoretischer Überlegung sowie einer Demonstration. Die Abwägung zwischen Usability und Security steht hier im Zentrum. Außerdem soll es den Zuhörer:innen möglich sein, die Stärken und Schwächen von Bot-Erkennungen zu verstehen. Zuletzt wird aufgezeigt, wie OSINT (das Nutzen öffentlicher Informationen) Angriffe deutlich erleichtern kann.

Speaker

 

Florian Bausch
Florian Bausch studierte Informatik und Digitale Forensik. In seiner Master Thesis analysierte er Spuren in Ceph-Clustern aus IT-forensischer Sicht. Seit 2019 ist er Incident Analyst, Pentester und Security Consultant bei der ERNW Research GmbH.

Dennis Kniel
Dennis Kniel war nach seinem Studium der Informatik mehrere Jahre als Berater in den Bereichen Penetrationstests und Incident Response tätig. Nach seinem Ausstieg aus der IT-Branche verfolgt er einige Themen privat weiter.

heise-devSec-Newsletter

Ihr möchtet über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden