Wie man mit Mathematik eine Bank übernehmen kann (und warum defensive Architekturen eine gute Idee sind)

In diesem Vortrag stelle ich ein Fallbeispiel aus einem vergangenen Sicherheitstest vor, in dem wir falsch verwendete Kryptografie ausnutzen konnten, um ein internes Tool bei einem Zahlungsdienstleister zu übernehmen.

An diesem Beispiel lässt sich hervorragend der Vorteil defensiver Architekturen mit verschiedenen Schutzschichten illustrieren - wir werden also nicht nur über die Sicherheitslücke selbst sprechen, sondern auch über die Architekturentscheidungen, die sie so verheerend gemacht haben, und welche alternativen Ansätze den Angriff eingegrenzt hätten.

Am Ende der Vortrags versteht ihr die Risiken von unauthentifizierter Verschlüsselung und die Vorteile defensiver Architekturen.

Vorkenntnisse

Es ist kein detailliertes Vorwissen über Kryptografie erforderlich, alle relevanten Informationen werden im Vortrag vorgestellt. Ein grundlegendes Interesse reicht aus.

Lernziele

Die Teilnehmer:innen werden sowohl etwas über Kryptografie und die nicht offensichtlichen Risiken ihrer Verwendung lernen, als auch ein plastisches Beispiel erhalten, wie hilfreich defensives Programmieren und "defense in depth" in der Praxis sein können.