- Sicherheitsanalyse der TLS-Konfiguration von SMTP-Installationen
- Counter Obfuscation für Web Scraper
- Automatisierte Anmeldung auf Webseiten mit Hilfe der „Passwort vergessen“-Funktion
Gäste sind herzlich willkommen. Abstracts der Vorträge:
“Sicherheitsanalyse der TLS-Konfiguration von SMTP-Installationen”
Wie wird meine Mail übertragen und wer kann sie dabei lesen? Als Endbenutzer ist es nur sehr schwer möglich, nachzuvollziehen, ob und wie eine Mail beim Transport zwischen Mail-Providern verschlüsselt wird. Um eine repräsentative Aussage über die Sicherheit dieser Übertragung zu treffen, wurden 50.000 Mail-Server-Konfigurationen aktiv gescannt und analysiert. Bei der Datenerhebung wurde eine Vielzahl von TLS-Verbindungen zu Mail-Servern aufgebaut, um zu prüfen, wie gut die Sicherheitsziele Authentizität, Integrität und Vertraulichkeit im Mail-Verkehr umgesetzt werden. Zusätzlich wurde jedes Zielsystem auf die Heartbleed-Schwachstelle geprüft.
Der Vortrag handelt von der Umsetzung der Datenerhebung, der anschließenden Analyse und dadurch gewonnen Erkenntnissen.
“Counter Obfuscation für Web Scraper”
Das World Wide Web ist gegenwärtig eines der wichtigsten Quellen für Informationen. Durch die enorme Menge an Informationen ist es denkbar, dass diese nicht per Hand durchsucht werden können. Für diesen Anwendungszweck werden Web Crawler oder auch Web Scraper eingesetzt. Diese durchsuchen vollautomatisch den Inhalt von Webseiten nach bestimmten Schlüsselwörtern und extrahieren ggfs. Informationen. Da liegt es nahe, dass nicht alle Betreiber einer Webseite möchten, dass Informationen durch solche Werkzeuge zugänglich gemacht gemacht werden. Eine mögliche Technik, um diesen Prozess zu erschweren ist Obfuscation. Schlüsselwörter werden von Web Crawler oder Web Scraper nicht mehr so einfach erkannt und beeinträchtigt so das Auffinden von bestimmten Informationen. Heutzutage wird in vielen Web-Browser die Skriptsprache JavaScript eingesetzt, um Benutzerinteraktionen auszuwerten, zur Kontrolle des Browser, zur asynchronen Kommunikation oder um den Inhalt einer Seite zu ändern. JavaScript bietet dabei eine Vielzahl an Möglichkeiten zur Verschleierung, welche im Rahmen dieser Arbeit evaluiert werden. Zu ausgewählten Techniken werden geeignete Gegenmaßnahmen entwickelt. Ziel dieser Arbeit ist es, eine Software zu realisieren, die solche Verschleierungsmechanismen auflöst und somit eine Extraktion von Informationen wieder möglich macht. Die Arbeit ist im sicherheitsrelevanten Umfeld von Webanwendungen anzusehen.
“Automatisierte Anmeldung auf Webseiten mit Hilfe der „Passwort vergessen“-Funktion”
Der Großteil der Internetbenutzer verwendet unzureichend starke Passwörter, was zusammen mit der steigenden Anzahl gestohlener Passwörter zu erheblichen Sicherheitsrisiken führen kann. Um diesem Problem entgegenzuwirken wird ein Konzept vorgestellt, welches die Anmeldung auf einer Webseite, durch Ausnutzung der „Passwort vergessen“-Funktion, erlaubt. Dabei wird vor jeder Anmeldung ein neues, generiertes Passwort gesetzt und zur anschließenden Anmeldung genutzt. Diese Vorgehensweise zeichnet sich, im Gegensatz zu bekannten Lösungen, insbesondere dadurch aus, dass ein Passwort niemals dauerhaft gespeichert wird. Anhand einer hierzu entwickelten Firefox-Erweiterung wird dieses Konzept nach den Kriterien der Benutzerfreundlichkeit, Performance und Sicherheit evaluiert.