Zurück

Wie man mit Mathematik eine Bank übernehmen kann (und warum defensive Architekturen eine gute Idee sind)

In diesem Vortrag stelle ich ein Fallbeispiel aus einem vergangenen Sicherheitstest vor, in dem wir falsch verwendete Kryptografie ausnutzen konnten, um ein internes Tool bei einem Zahlungsdienstleister zu übernehmen.

An diesem Beispiel lässt sich hervorragend der Vorteil defensiver Architekturen mit verschiedenen Schutzschichten illustrieren - wir werden also nicht nur über die Sicherheitslücke selbst sprechen, sondern auch über die Architekturentscheidungen, die sie so verheerend gemacht haben, und welche alternativen Ansätze den Angriff eingegrenzt hätten.

Am Ende der Vortrags versteht ihr die Risiken von unauthentifizierter Verschlüsselung und die Vorteile defensiver Architekturen.

Vorkenntnisse

Es ist kein detailliertes Vorwissen über Kryptografie erforderlich, alle relevanten Informationen werden im Vortrag vorgestellt. Ein grundlegendes Interesse reicht aus.

Lernziele

Die Teilnehmer:innen werden sowohl etwas über Kryptografie und die nicht offensichtlichen Risiken ihrer Verwendung lernen, als auch ein plastisches Beispiel erhalten, wie hilfreich defensives Programmieren und "defense in depth" in der Praxis sein können.

Speaker

Max Maaß Max Maass arbeitet im Security-Team bei der iteratec GmbH und beschäftigt sich dort mit praktischen Sicherheitstests, Bedrohungsanalysen und Architektur-Reviews für Softwareentwicklungsprojekte. Dort beteiligt er sich auch an der Weiterentwicklung der OWASP secureCodeBox. Vorher promovierte er an der TU Darmstadt im Bereich IT-Sicherheit.

Jetzt Tickets sichern

heise-devSec-Newsletter

Ihr möchtet über die heise devSec
auf dem Laufenden gehalten werden?

Anmelden