[Metalab] bits4free 8. Aug. 2011: What the Hack

[christian jeitler]

bits4free 8. Aug. 2011: What the Hack

Crashkurs über die Techniken der Hacker und wie schützt man sich richtig
http://www.quintessenz.at/d/000100009627

-.-. --.- -.-. --.- -.-. --.- -.-. --.- -.-. --.- -.-. --.-
8. August 2011
20.00 (Einlass 19.00)
Raum D / Museumsquartier / MQ Wien

Diskutanten:
Gilbert Wondracek, isecLAB TU Wien
Paul Karrer, Arrow ECS Internet Security AG

Moderation:
Georg Markus Kainz
-.-. --.- -.-. --.- -.-. --.- -.-. --.- -.-. --.- -.-. --.-

Alle Jahre wieder, mit Beginn der Urlaubszeit, werden, von Schülern auf
der Suche nach einer Freizeitbeschäftigung, gnadenlos, langjährige
Lücken auf schlecht gewarteten Servern aufgedeckt und der Besuch der
Hacker für alle Welt sichtbar dokumentiert. Neben netten Comic-Figuren
erhält der fahrlässige Betreiber auch gleich eine Nachhilfestunde über
die Lücken in seinem System mitgeliefert. Haftet er doch nach §14 (1)
DSG "daß die Daten Unbefugten nicht zugänglich sind."

Echte Hacker zeigen Lücken auf, mißbrauchen die Daten jedoch nicht.
Nicht so die heimlichen Angriffe der Cyber-Krimminellen und
Geheimdienste, deren Einbrüche kaum entdeckt und auf jeden Fall nicht
zugegeben werden. Einen besonderen Startvorteil haben die Geheimdienste,
denen ja durch Shared Source Kooperationen (GSP) Zugriff auf
Programmcodes von proprietärer Software zur Verfügung stehen.

Das Department of Computer Science der Universität Santa Barbara in
Kalifornien veranstaltet alljährlich internationale Hackwettbewerbe, bei
der Hacker die Systeme der anderen Hacker angreifen müssen, und
gleichzeitig das eigene System verteidigen müssen. Mehr als einmal hat
die TU dabei die internationale Konkurrenz ausstechen können. Ein Team
Mitglied, Dr. Gilbert Wondracek vom isecLAB der TU Wien, zeigt wie
unsere Systeme angegriffen werden können.

Auch wenn die kolportierten Hacks der GIS oder so manchem Parteienserver
Technikteams aus der Amateurliga vermuten lassen, gibt es in Österreich
Firmen die sich der Sicherheit verschrieben haben. Die Absicherung von
IT-Systemen zählt zum täglichen Brot von Paul Karrer, der sicherlich den
einen andern Tipp parat hat, wie jeder von uns sich schützen kann.

Hintergrundlektüre:

Microsofts Government Security Program (GSP):
http://www.microsoft.com/resources/sharedsource/gsp.mspx

The Government Security Program (GSP) is a crucial element of
Microsoft's efforts to address the unique security requirements of
national governments around the world. The GSP provides national
governments with information to help them evaluate the security of
Microsoft products. In 2001, Microsoft launched the Shared Source
Initiative, expanding its long-standing efforts to make Windows source
code more transparent to industry partners and customers. A year later,
the company announced its Trustworthy Computing Initiative, placing
security at the core of all Windows development efforts. The principles
of these two critical directives are embodied in the GSP, a program
built upon the cornerstones of transparency and partnership.

China Gets A Peek At Microsoft Source Code:
http://www.informationweek.com/news/software/operating_systems/225400063

Government review stems from an agreement which allows China access to
the source code for Windows 7 and other software.

The review is an extension of an agreement signed in 2006 which enables
China immediate access to the source code for Windows 7, Vista, XP,
Server 2008 R2, Server 2003, and 2000, and the embedded software CE 6.0,
5.0, and 4.2. Also included is the source code for Microsoft Office 2003
Professional Edition and most other Microsoft products.

Chinese National Arrested For Source Code Theft:
http://www.informationweek.com/news/security/government/216500695

The information was taken from a New Jersey company that develops,
implements, and supports software for environmental applications.

"Crimes of this nature do not get much public attention," FBI Special
Agent in Charge Weysan Dun said in a statement. "No one is shot, there
is no crime scene, no prominent public figures are involved. However,
this is an act of economic violence -- a paper crime that robs the
victim company of the resources they expended to develop a product."


lg

q/chris
--
+43 - 699 - 81729005
chris at quintessenz.at