Sicherheit und Vertrauen - Bitkom e.V. · 2015 PHDays Moskau: Why IT Security is fucked up 2015...
Transcript of Sicherheit und Vertrauen - Bitkom e.V. · 2015 PHDays Moskau: Why IT Security is fucked up 2015...
Sicherheit und VertrauenErfahrungen als Open Source Hacker
Stefan Schumacher
sicherheitsforschung-magdeburg.destefan.schumacher@sicherheitsforschung-magdeburg.de
Bitkom Forum Open Source05.07.2016
Id: FLOSS-Hacker-Input.tex,v 1.3 2016/07/04 12:53:43 stefan Exp
Stefan Schumacher Sicherheit und Vertrauen Bitkom 160705 1 / 21
Über Mich
Stefan Schumacher Sicherheit und Vertrauen Bitkom 160705 2 / 21
Über Mich
Bildungswissenschaft/PsychologieGeek, Nerd, Hacker seit mehr als 20 Jahreneinige Zeit NetBSD-EntwicklerBerater für Finanzinstitute, Regierungen, SicherheitsbehördenDirektor des Magdeburger Instituts für SicherheitsforschungForschungsprogramme zur UnternehmenssicherheitHerausgeber des Magdeburger Journals zur Sicherheitsforschungwww.Sicherheitsforschung-Magdeburg.de
Stefan Schumacher Sicherheit und Vertrauen Bitkom 160705 3 / 21
Forschungsprogramme des MIS
Psychologie der SicherheitI Social EngineeringI Security Awareness, Sicherheit in OrganisationenI Didaktik der SicherheitI Didaktik der Kryptographie
LehrerfortbildungI Lernfelder: Fachinformatiker IT-SicherheitI Lernfelder: IT-Sicherheit für KaufleuteI Lernfelder: IT-Sicherheit für Elektroberufe
IT-Sicherheit in KMUI empirische GrundlagenforschungI didaktische AufbereitungI Schulungen
Kooperationspartner gesucht!
Stefan Schumacher Sicherheit und Vertrauen Bitkom 160705 4 / 21
Definition (Outrage as a Svc @OaaSvc)Science is awesome. You aren’t doing science in infosec. Why not?Seems to be the overriding message of @0xKaishakunin#AusCERT2014
2013 DeepSec Wien: Psychology of Security - a ResearchProgramme2014 AusCERT Australien: Security in a Post NSA age2015 PHDays Moskau: Why IT Security is fucked up2015 Austrian Trust Circle: Vertrauen ist gut, Kontrolle unmöglich
Stefan Schumacher Sicherheit und Vertrauen Bitkom 160705 5 / 21
Chirurgischer Roboter
Stefan Schumacher Sicherheit und Vertrauen Bitkom 160705 6 / 21
Zukunft?
massive Abhängigkeit von ITmassive Kenntnislosigkeit von IT-Sicherheitinsbesondere in der Informatikschlechte/fehlende Ausbildungkeine wissenschaftliche Absicherung/Fundierung Psychologie der Sicherheit
Stefan Schumacher Sicherheit und Vertrauen Bitkom 160705 7 / 21
Psychologie?
Definition (Psychologie)Psychologie ist eine empirische Wissenschaft. Sie beschreibt underklärt das Erleben und Verhalten des Menschen, seine Entwicklungim Laufe des Lebens und alle dafür maßgeblichen inneren undäußeren Ursachen und Bedingungen.
Definition (Empirie)Unter Empirie wird in der Wissenschaft eine im Labor oder im Felddurchgeführte Sammlung (oft Erhebung) von Informationenverstanden, die auf gezielten, systematisch verlaufendenUntersuchungen beruht.
Stefan Schumacher Sicherheit und Vertrauen Bitkom 160705 8 / 21
Warum Psychologie der Sicherheit?
Sicherheit als ein Sonderfall von LebenswirklichkeitIst ein Gerät oder eine Situation sicher?Windows ≺ Mac OS X ≺ Gentoo Linux ≺ OpenBSDSicherheit in der Psychologie: bspw. F20.0 paranoideSchizophrenieFight-or-Flight Reaction (limbisches System)Maslowsche Pyramide
Stefan Schumacher Sicherheit und Vertrauen Bitkom 160705 9 / 21
Bsp: Buffer Overflow
Zu große Daten werden in einen zu kleinen Buffer geschriebenBuffer-Grenzen laufen über, Speicher-Sicherheit wird verletztMögliche Konsequenz: Return-Adresse einer Sub-Routine wirdmit beliebigen Daten überschrieben Root-RechteProgrammierer muss »nur« passende Befehle verwenden . . .
Stefan Schumacher Sicherheit und Vertrauen Bitkom 160705 10 / 21
Buffer Overflow in CDas Problem
1 void input_line()2 { char line[1000];3 if (gets(line))4 parse_line(line);5 }
line mit Länge 1000 deklariertgets zeigt auf Array ohne Längewenn line größer 1000 = ProblemThou shalt not follow the pointer
Stefan Schumacher Sicherheit und Vertrauen Bitkom 160705 11 / 21
Buffer Overflow in CDie Lösung
1 void input_line()2 { char line[1000];3 if (fgets(line, sizeof(line), stdin))4 parse_line(line);5 }
gets zeigt auf Array mit LängeHardwarenahe Sprachen meiden, Compiler mit Feldüberwachung,PaX, w^x ...Problem: Mensch muss entscheiden!
Stefan Schumacher Sicherheit und Vertrauen Bitkom 160705 12 / 21
Eine kurze Geschichte des Buffer Overflows
02.11.1988: Morris-Wurm nutzte u. a. einen Buffer-Overflow viagets() in finger(1)1996: Aleph One Smashing the Stack for Fun and Profit in Phrack 492001: Code Red2008: SQL SlammerCORE-2007-0219: OpenBSD’s IPv6 mbufs remote kernel bufferoverflow2007: Buffer Overflow in SnortVU#987308: HP LoadRunner buffer overflow vulnerability
Stefan Schumacher Sicherheit und Vertrauen Bitkom 160705 13 / 21
1996: Ariane 5 Flight 501
Stefan Schumacher Sicherheit und Vertrauen Bitkom 160705 14 / 21
Ariane 5 Flug 501
1996 Ariane 5 501: gesprengt nach 36,7 SekundenSoftware von Ariane 4 auf Ariane 5 portiert64 Bit Float in 16 Bit signed IntBeschleunigung der Ariane 5 ist signifikant höher OverflowTest-Simulation vor dem Flug fand das Problem nicht,Nicht-Schutz der Variablen war nicht dokumentiert320 000 000,– Euro teures Feuerwerk
Stefan Schumacher Sicherheit und Vertrauen Bitkom 160705 15 / 21
gefühlte Sicherheit erforschen
Kernaufgabe der Psychologie, Pädagogik, Soziologie,Politikwissenschaftempirischen Sozialforschung: quantitative und qualitativequantitativ: alle Vorgehensweisen zur numerischen Darstellungempirischer Sachverhaltequalitativ: Erhebung nicht standardisierter Daten und derenAuswertung; interpretative und hermeneutische Methoden alsAnalysemittel
Stefan Schumacher Sicherheit und Vertrauen Bitkom 160705 16 / 21
Persönlichkeitseigenschaften und Sicherheit
NeurotizismusExtraversionOffenheit für ErfahrungenVerträglichkeitGewissenhaftigkeit
Wie beeinflussen diese Persönlichkeitseigenschaften dieWahrnehmung von Sicherheit?
Stefan Schumacher Sicherheit und Vertrauen Bitkom 160705 17 / 21
Hacker als Forschungsobjekt
Persönlichkeitseigenschaften von Hackern? Neurotizismus?Offenheit?Wie erlernt man Hacker sein? White Hat/Black Hat BiographisierungLernen en passant, informelles Lernen, formales Lernen,selbstgesteuertes LernenDipl.-Inf. vs. Hacker - was unterscheidet sie?Ausbildung vs. BildungMotive und Motivation
Stefan Schumacher Sicherheit und Vertrauen Bitkom 160705 18 / 21
Open Source Communities als Forschungsobjekt
Kommunikation, SelbstorganisationSteering Commitee vs. BDFLErfahrung: [email protected]Überwachung?Rechenschaft?Komplexität: NetBSD src.tgz 201 850 Dateiender ideale Entwickler: motiviert, kompetent, erfahren
Stefan Schumacher Sicherheit und Vertrauen Bitkom 160705 19 / 21
Didaktik der Sicherheit
Sicherheitskompetentes Verhalten muss erlernt werden!Wie unterrichte ich es?Welche Inhalte?Welche Methoden?Welche Organisationsform? Schule, Ausbildung, Uni, VHS ...Fachinformatiker, Fachrichtung IT-Sicherheit einführen?Welches Curriculum?
Stefan Schumacher Sicherheit und Vertrauen Bitkom 160705 20 / 21
sicherheitsforschung-magdeburg.de
stefan.schumacher@sicherheitsforschung-magdeburg.desicherheitsforschung-magdeburg.de/publikationen/journal.html
youtube.de/Sicherheitsforschung
Twitter: 0xKaishakuninXing: Stefan SchumacherZRTP: [email protected]
Stefan Schumacher Sicherheit und Vertrauen Bitkom 160705 21 / 21