Physical Traceroute - oder warum Bot-Erkennungen nicht helfen
Der Vortrag beschäftigt sich mit Problemen in der Umsetzung der Paketverfolgung bei mehreren Paketdienstleistern (z.B. DHL).
Durch eine unsichere Authentifizierung mittels Zielpostleitzahlen als Secret entstand in unserem Fall die Möglichkeit, effizient personenbezogene Daten von Kund:innen zu sammeln und in die Zustellung von Paketen einzugreifen. Dies wurde durch zusätzliche Hinweise zum Erraten der Zielpostleitzahl erleichtert. Fälschlicherweise wurde zudem angenommen, eine Bot-Erkennung könne einen solchen Angriff effektiv verhindern.
Im Vortrag wird der verwendete Prozess zur Authentifizierung erläutert und die Schwächen von Bot-Erkennungen zur Verhinderung von automatisierten Zugriffen besprochen.
Vorkenntnisse
Es sind keinerlei Vorkenntnisse nötig, da der fehlerhafte Prozess auch von Laien nachvollzogen werden kann.
Lernziele
Ziel des Vortrags ist es, den Zuhörer:innen die Problematik von schwacher Authentifizierung näher zu bringen, und zwar anhand theoretischer Überlegung sowie einer Demonstration. Die Abwägung zwischen Usability und Security steht hier im Zentrum. Außerdem soll es den Zuhörer:innen möglich sein, die Stärken und Schwächen von Bot-Erkennungen zu verstehen. Zuletzt wird aufgezeigt, wie OSINT (das Nutzen öffentlicher Informationen) Angriffe deutlich erleichtern kann.