Prof. Dr.
(TU NN)Norbert Pohlmann
Professor für Informationssicherheit und
Leiter des Instituts für Internet-Sicherheit – if(is)
„Hacker“ als Berufsbild,
be rt P oh lm an n, I nst itut für I nte rn et -Sic he rh eit -if (is), W estfälis c he Ho chs c hu le, Gelsenkirc he n
„Hacker“ als Berufsbild
Der Stellenmarkt für IT-Sicherheitsfachleute
Excellence Center
rt P oh lm an n, I nst itut für I nte rn et -Sic he rh eit -if (is), W estfälis c he Ho chs c hu le, Gelsenkirc he n
„Hacker“ als Berufsbild
Der Stellenmarkt für IT-Sicherheitsfachleute
Excellence Center
be rt P oh lm an n, I nst itut für I nte rn et -Sic he rh eit -if (is), W estfälis c he Ho chs c hu le, Gelsenkirc he n
Wie ist die Cyber Security Situation?
Professionelle Angreifer greifen alles erfolgreich an! Wer sind die Angreifer?
Was ist ihre Motivation?
Welche Kompetenzen brauchen sie? Welche Fähigkeiten müssen sie haben?
Wie können wir diese Kompetenzen und Fähigkeiten für mehr IT-Sicherheit und Vertrauenswürdigkeit nutzen?
rt P oh lm an n, I nst itut für I nte rn et -Sic he rh eit -if (is), W estfälis c he Ho chs c hu le, Gelsenkirc he n
Wer sind die Angreifer, was ist ihre Motivation?
Berufskriminelle (Geld, Profit, …) Terroristen (Politische Interessen) Behörden (Strafverfolgung) Vandalen (Zerstörungswut)
Spione für Wirtschaft und Regierung (Geld, Informationsgewinn, Kontrolle, …)
Hacker
(Anerkennung, Herausforderung, …)
Was haben die Angreifer gemeinsam? Kompetenzen und
Fähigkeiten
aber
Unterschiedliche Motivation und Ethik
Hacker sind die „Guten“
be rt P oh lm an n, I nst itut für I nte rn et -Sic he rh eit -if (is), W estfälis c he Ho chs c hu le, Gelsenkirc he n
Begriff „Hacker“ in unserem Kontext
„Hacker“ sind professionelle IT-Sicherheitsexperten
IT-Sicherheitsexperten kennen ihre (eigenen) Werkzeuge
IT-Sicherheitsexperten finden (auch neue) Schwachstellen
IT-Sicherheitsexperten machen sich nicht strafbar!
IT-Sicherheitsexperten können Bedrohungen und Gefahren erkennen, beurteilen und einschätzen
IT-Sicherheitsexperten können auch beraten und
rt P oh lm an n, I nst itut für I nte rn et -Sic he rh eit -if (is), W estfälis c he Ho chs c hu le, Gelsenkirc he n
Welche Kompetenzen brauchen „Hacker“?
Internet-Protokolle (Rechnernetze)
(Aufbau des Internets, Schichten, Abläufe,…)
Social Engineering
be rt P oh lm an n, I nst itut für I nte rn et -Sic he rh eit -if (is), W estfälis c he Ho chs c hu le, Gelsenkirc he n
Welche Fähigkeiten müssen „Hacker“ haben?
Freude an der Lösung von IT-Security-Problemen Brauchen eine sehr starke Motivation,
um viel Energie aufzubringen
Übertreten von Grenzen, um Neues zu schaffen Kreativität für neue Ansätze und
ungewöhnliche Vorgehensweisen
Geistige Klarheit, Geschicklichkeit und Konzentration
Verantwortungsvoll mit wichtigen Daten und Sicherheitslücken umgehen
rt P oh lm an n, I nst itut für I nte rn et -Sic he rh eit -if (is), W estfälis c he Ho chs c hu le, Gelsenkirc he n
Welche Aufgaben haben „Hacker“?
Sicherheitslücken finden,
um diese schließen zu können und
damit erfolgreiche Angriffe zu verhindern. Sicherheitssysteme überwinden,
um die Stärke der IT-Sicherheitsmechanismen zu
überprüfen. Penetrationstest, Produktevaluierungen, … Ein sehr gutes Verständnis für die Möglichkeiten und Grenzen der IT-Sicherheit entwickeln, um dieses für die Entwicklung von innovativen, sicheren und
vertrauenswürdigen IT-Sicherheitslösungen nutzen zu können
Unternehmen schützen, um das Risiko eines Schadens zu reduzieren
be rt P oh lm an n, I nst itut für I nte rn et -Sic he rh eit -if (is), W estfälis c he Ho chs c hu le, Gelsenkirc he n
Wie werden „Hacker“ ausgebildet?
Studium an Hochschulen
Westfälische Hochschule Gelsenkirchen
UNI Bochum, Darmstadt, München, Erlangen, … FH Offenburg, Albstadt-Sigmaringen, …
…
Selbststudium
Bücher
Gruppen virtuell im Internet
Zuhause in der Bude durch „learning by doing“ …
Praxis (Unternehmen, …)
Weiterbildungen
Zertifizierungen, wie z.B. TISP, (ISC)2, …
Fernstudiengänge, … …
rt P oh lm an n, I nst itut für I nte rn et -Sic he rh eit -if (is), W estfälis c he Ho chs c hu le, Gelsenkirc he n
Warum lohnt sich das Engagement in DE?
Sehr hohe Kompetenz im Bereich des Datenschutzes
Erfahrungen mit dem Schutz der Privatsphäre
Sehr hohes Vertrauen im Bereich der IT-Sicherheit
mittelstandsgeprägte Sicherheitsindustrie
umfangreiche und kompetente IT-Sicherheitsforschung
hohe Kompetenz bei Sicherheitsevaluierungen (BSI, „TÜVs“, …)
offene Kryptopolitik
Kulturell gute Voraussetzungen
traditionell verlässliche IT-Sicherheit
hohes Verständnis für IT-Sicherheit und Datenschutz
sehr viel Erfahrung bei der Umsetzung von
be rt P oh lm an n, I nst itut für I nte rn et -Sic he rh eit -if (is), W estfälis c he Ho chs c hu le, Gelsenkirc he n
IT-Sicherheitstechnologien Optimierung
Bedeutung für die Zukunft Technologischer Vorsprung in DE Marktstärke der dt. Unternehmen Abstand zwischen Soll- und Ist-Zustand (Δ) Sichere Vernetzung Sicherer Internetzugang Digital Enterprise Security Client- undServersicherheit Mobile Security
+
0 ---++
∆ ∆∆
!
IT-Sicherheitskompetenzenrt P oh lm an n, I nst itut für I nte rn et -Sic he rh eit -if (is), W estfälis c he Ho chs c hu le, Gelsenkirc he n
„Hacker“ als Berufsbild
Der Stellenmarkt für
IT-Sicherheitsfachleute
Excellence Center
be rt P oh lm an n, I nst itut für I nte rn et -Sic he rh eit -if (is), W estfälis c he Ho chs c hu le, Gelsenkirc he n
Entwicklung Arbeitnehmeranzahl Deutschland
IT-Sicherheit: Der Markt (1/2)
Bis 2020 werden zwischen 5.000 und 30.000 neue Fachkräfte in der IT-Sicherheit benötigt
Anstieg von 2005 bis 2013: ~ 25%
rt P oh lm an n, I nst itut für I nte rn et -Sic he rh eit -if (is), W estfälis c he Ho chs c hu le, Gelsenkirc he n
IT-Sicherheit: Der Markt (2/2)
Entwicklung Umsatzvolumen weltweit
Weltweiter Umsatz in der IT-Sicherheit steigt von 23,7 (2013) auf 42,8 Milliarden US-Dollar
be rt P oh lm an n, I nst itut für I nte rn et -Sic he rh eit -if (is), W estfälis c he Ho chs c hu le, Gelsenkirc he n
IT-Sicherheit: Stellenangebote
Frankfurt: 647 Dortmund: 72 München: 1.182 Stuttgart: 727 Hannover: 263 Hamburg: 684 Leipzig: 106 Berlin: 793Gesamt „Marktplatz IT-Sicherheit“:
17.588
Stellenangebote
684 (HH) 793 (B) 263 (H) 72 (DO) 647 (F) 106 (L) 1182 (M) 727 (S)rt P oh lm an n, I nst itut für I nte rn et -Sic he rh eit -if (is), W estfälis c he Ho chs c hu le, Gelsenkirc he n
IT-Sicherheit: Stellenangebote
be rt P oh lm an n, I nst itut für I nte rn et -Sic he rh eit -if (is), W estfälis c he Ho chs c hu le, Gelsenkirc he n
IT-Sicherheit: Stellennachfrage
Frankfurt: 8 Dortmund: 320 München: 1.136 Stuttgart: 190 Hannover: 0 Hamburg: 583 Leipzig: 130 Berlin: 918 583 (HH) 918 (B) 0 (H) 320 (Do) 8 (F) 130 (L) 1136 (M) 190 (S)rt P oh lm an n, I nst itut für I nte rn et -Sic he rh eit -if (is), W estfälis c he Ho chs c hu le, Gelsenkirc he n 583 (HH) 918 (B) 0 (H) 320 (Do) 8 (F) 130 (L) 1136 (M) 190 (S)
IT-Sicherheit: Angebot / Nachfrage
684 (HH) 793 (B) 263 (H) 72 (DO) 647 (F) 106 (L) 1182 (M) 727 (S)
Angebot
Nachfrage
be rt P oh lm an n, I nst itut für I nte rn et -Sic he rh eit -if (is), W estfälis c he Ho chs c hu le, Gelsenkirc he n
Cyber Security: Ausbildungswege
Abitur Bachelor Master Arbeitsmarkt Fachoberschulreife Ausbildung Duales Studium Schüler (14 – 20) Studenten (18 – 30)
rt P oh lm an n, I nst itut für I nte rn et -Sic he rh eit -if (is), W estfälis c he Ho chs c hu le, Gelsenkirc he n
„Hacker“ als Berufsbild
Der Stellenmarkt für IT-Sicherheitsfachleute
Excellence Center
be rt P oh lm an n, I nst itut für I nte rn et -Sic he rh eit -if (is), W estfälis c he Ho chs c hu le, Gelsenkirc he n
Cyber Security Challenge
Online-Qualifikation
01.11.2014 15.01.2015 heute
Finale der Challenge
und
Konferenz
Junge Menschen (Cyber Security Talente) für die Cyber Security
begeistern, um die Zukunft sicherer und vertrauenswürdiger gestalten zu können
rt P oh lm an n, I nst itut für I nte rn et -Sic he rh eit -if (is), W estfälis c he Ho chs c hu le, Gelsenkirc he n
Cyber Security Challenge: Statistik
797 Teilnehmer der Online Challenge
765 (96 %) männlich 32 ( 4 %) weiblich
256 (32 %) Schüler - 42 (16 %) aktiv
541 (68 %) Studierende - 133 (25 %) aktiv
Finalisten (10 Schüler und 10 Studierende)
Durchschnittsalter
Studierende 23,5 Jahre Schüler 17,4 Jahre
Punktzahl in der Online Challenge
Studierende 230 Punkte (maximal erreichbare Punkte)
Schüler 146,9 Punkte (ein Schüler hat auch maximale Punktzahl)
Finalisten 1xAachen 1xErfurt 2xWismar 1xBerlin 1xPotsdam 2xBremen 1xMerseburg 3xMannheim 1xKarlsruhe 1xWuppertal 1xStuttgart 1xBodensee
be rt P oh lm an n, I nst itut für I nte rn et -Sic he rh eit -if (is), W estfälis c he Ho chs c hu le, Gelsenkirc he n Unterschiedliche Schwierigkeitsstufen
Abhängig von Dauer zum Lösen und Wissensgrad (subjektive Einschätzung)
Leicht (10 Punkte), mittel (20 Punkte), schwer (30 Punkte)
Einzel-Challenge (Online Challenge)
Schwieriger, da ein breiteres Fachwissen von jedem Einzelnen gefordert wird.
Bei anderen CTFs treten Gruppen mit Spezialisten der Teilgebiete gegeneinander an
Lösung der Challenge nur komplett mit „Mitigation“ Wie kann der Angriff verhindert werden?
Vorort Wettbewerb
Im Team gemeinsam Challenges lösen Darstellung des Problems und der Lösung
rt P oh lm an n, I nst itut für I nte rn et -Sic he rh eit -if (is), W estfälis c he Ho chs c hu le, Gelsenkirc he n Aufgabenstellung
Bruteforce eines Logins auf einer Webseite
(ausprobieren von PW). Ein „CAPTCHA“
soll einen Bruteforce verhindern
Die Teilnehmer müssen das CAPTCHA automatisch lösen.
Mehrere Schwierigkeitsstufen: Text CAPTCHA (leicht / 10 Punkte), Bild CAPTCHA (mittel / 20 P.), Audio CAPTCHA (schwer / 30 P.)
Input
Webseite mit verschiedenen Captchas und Loginformularen Lösung
Automatische Lösung des Captchas und erfolgreicher Login in eine bereitgestellte Seite.
Challenge: Captcha
be rt P oh lm an n, I nst itut für I nte rn et -Sic he rh eit -if (is), W estfälis c he Ho chs c hu le, Gelsenkirc he n Aufgabenstellung
Einhängen in Betriebssystemfunktionen und Mitschneiden der Logindaten vor dem Verschlüsseln (https) und Senden an eine Webseite.
Somit können Anmeldedaten
im Klartext aus dem Browser ausgelesen werden.
Schwierigkeitsstufe: Leicht (10 Punkte) Vorgaben
Funktion des Betriebssystems und mögliches Tool zur Umsetzung Lösung
Login und Passwort, z.B. von einem E-Mail Account
rt P oh lm an n, I nst itut für I nte rn et -Sic he rh eit -if (is), W estfälis c he Ho chs c hu le, Gelsenkirc he n Aufgabenstellung
Durch ungefilterte Parameter in URLs sollten die Teilnehmer Abfragen direkt an die Datenbank senden und somit die
Sicherheitsüberprüfung der Webseite umgehen.
Ziel ist es, Passwörter der Benutzer auszulesen und Informationen über die Datenbank zu erlangen.
Schwierigkeitsstufe: Leicht (10 Punkte), Mittel (20 Punkte) Input:
Bereitgestellte Login-Seiten Lösung
URL-Variablen verändern, z.B. den Benutzernamen:
http://192.168.2.30:7070/Login.jsp?FormName=Login&Login=
[manipulierter Wert]&Password=&FormAction= login&ret_page=&querystring=h
be rt P oh lm an n, I nst itut für I nte rn et -Sic he rh eit -if (is), W estfälis c he Ho chs c hu le, Gelsenkirc he n Aufgabenstellung
Entschlüsseln einer Kommunikation zwischen Smartcard und Administrationstool.
Ziel ist es, alle möglichen (4 stelligen) PINs zur Entschlüsselung der Kommunikation herauszufinden.
Verschlüsselungsart: 3DES im CBC, damit ist die Key-Länge 24 Zeichen.
Schwierigkeitsstufe: Mittel (20 Punkte) Input
Kommunikations-mittschnitt von
verschlüsselten Daten Lösung
Gültige 4 stellige PINs, z.B. 0868
Time :Wed Jun 12 22:31:45 2013
SCardTransmit (handle 0xEA010000): transmitted: 80 C2 00 00 28 D8 00 01 6F 00 F5 EF BF B1 8C 76 16 00 0E 43 6F 6E 74 65 6E 74 4D 61 6E 61 67 65 72 00 C0 4B 4E 7F BD 00 04 4D 53 43 4D received: 61 05
rt P oh lm an n, I nst itut für I nte rn et -Sic he rh eit -if (is), W estfälis c he Ho chs c hu le, Gelsenkirc he n Aufgabenstellung
Analyse eines DNS-Protokollmitschnitts und Rekonstruktion der darin übertragenen Daten
Schwierigkeitsstufe: Schwer, 30 Punkte Input
Mitschnitt einer Kommunikation (PCAP)
Lösung
Ein Bild, das über das Protokoll in einzelnen Zeichen übertragen wurde. Die Zeichen für das Bild sind
in Base16 codiert und
werden einzeln übertragen.
Auszug aus Kommunikation
Challenge: APT - Network Forensic
be rt P oh lm an n, I nst itut für I nte rn et -Sic he rh eit -if (is), W estfälis c he Ho chs c hu le, Gelsenkirc he n
Übersicht der Challenges
Bezeichnung der Challenge
Schwierig-keitsgrad Art
Lösungen Schülern
Lösungen Studenten
Captcha_Level_1 easy Web Security Programming 24 92
Captcha_Level_2 medium Web Security Programming 11 53
Captcha_Level_3 hard Web Security Programming 6 27
APDU_Master_Key_Challenge_
Communication_Decryption medium Crypto 1 22
Captcha_Level_4 hard Web Security 5 21
APIMonitor easy Reverse Engineering 10 31
Steganography_Challenge easy Forensic 4 33
Application_Debug_Modification easy Reverse Engineering 9 41
Oracle_SQL_Injection easy Web Security Database 13 62
Oracle_SQL_Injection_-Gather_the_Credentials medium Web Security Database 7 36
APT_Network_Forensic_Challenge hard Forensic Networking Reverse
Engineering 3 17
SVG_Hidden_Information easy Fun 14 61
Escape_from_Python_City_2 easy Crypto Programming Fun 4 19
rt P oh lm an n, I nst itut für I nte rn et -Sic he rh eit -if (is), W estfälis c he Ho chs c hu le, Gelsenkirc he n
Konferenz
Besonders relevante Cyber Security Themen identifizieren und
diskutieren
Probleme beschreiben und gemeinsam Lösungsansätze erarbeiten
Etablierte Fachkräfte und junge Cyber Security Talente
zusammenbringen
be rt P oh lm an n, I nst itut für I nte rn et -Sic he rh eit -if (is), W estfälis c he Ho chs c hu le, Gelsenkirc he n
Online Plattform
Cyber Security Talente Unternehmen, …
Hochschulen
- Bester
Arbeitsgeber DE
- Wollen mehr Sicherheit - …
- Zahle viel Geld - Erwarte viel - … - Keller - Ruhe - … - Geld - Aktion - … - Sozial - Freiheit - …
rt P oh lm an n, I nst itut für I nte rn et -Sic he rh eit -if (is), W estfälis c he Ho chs c hu le, Gelsenkirc he n
Zusammenfassung
Der deutsche Markt für IT-Sicherheit… … ist ein attraktives Arbeitsfeld
… wird die nächsten Jahre deutlich wachsen
… bietet jungen Cyber Security Talenten eine
gute Zukunftsperspektive
… nimmt in der Wirtschaft eine immer wichtigere Position ein
(Wirtschaftsspionage, Cyber War, …)
… benötigt die besten Cyber Security Talente
Die Cyber Security Challenge…
… findet und fördert Cyber Security Talente frühzeitig
… bringt diese Cyber Security Talente mit
Unternehmen zusammen (Konferenz und Online Plattform) … stärkt nationale und europäische Netzwerke
Cyber Security Talente
für mehr IT-Sicherheit und
Vertrauenswürdigkeit in der Zukunft
Prof. Dr.
(TU NN)Norbert Pohlmann
Professor für Informationssicherheit und