Hacker als Berufsbild - Prof. Dr. Norbert Pohlmann

(1)

Prof. Dr.

(TU NN)

Norbert Pohlmann

Professor für Informationssicherheit und

Leiter des Instituts für Internet-Sicherheit – if(is)

„Hacker“ als Berufsbild,

(2)

be rt P oh lm an n, I nst itut für I nte rn et -Sic he rh eit -if (is), W estfälis c he Ho chs c hu le, Gelsenkirc he n

 „Hacker“ als Berufsbild

 Der Stellenmarkt für IT-Sicherheitsfachleute

 Excellence Center

(3)

rt P oh lm an n, I nst itut für I nte rn et -Sic he rh eit -if (is), W estfälis c he Ho chs c hu le, Gelsenkirc he n



„Hacker“ als Berufsbild

(4)

Wie ist die Cyber Security Situation?

Professionelle Angreifer greifen alles erfolgreich an! Wer sind die Angreifer?

Was ist ihre Motivation?

Welche Kompetenzen brauchen sie? Welche Fähigkeiten müssen sie haben?

Wie können wir diese Kompetenzen und Fähigkeiten für mehr IT-Sicherheit und Vertrauenswürdigkeit nutzen?

(5)

Wer sind die Angreifer, was ist ihre Motivation?

Berufskriminelle (Geld, Profit, …) Terroristen (Politische Interessen) Behörden (Strafverfolgung) Vandalen (Zerstörungswut)

Spione für Wirtschaft und Regierung (Geld, Informationsgewinn, Kontrolle, …)

Hacker

(Anerkennung, Herausforderung, …)



Was haben die Angreifer gemeinsam?

 Kompetenzen und

 Fähigkeiten

aber

 Unterschiedliche Motivation und Ethik

Hacker  sind die „Guten“

(6)

Begriff „Hacker“ in unserem Kontext

„Hacker“ sind professionelle IT-Sicherheitsexperten

IT-Sicherheitsexperten kennen ihre (eigenen) Werkzeuge

IT-Sicherheitsexperten finden (auch neue) Schwachstellen

IT-Sicherheitsexperten machen sich nicht strafbar!

IT-Sicherheitsexperten können Bedrohungen und Gefahren erkennen, beurteilen und einschätzen

IT-Sicherheitsexperten können auch beraten und

(7)

Welche Kompetenzen brauchen „Hacker“?

Internet-Protokolle (Rechnernetze)

(Aufbau des Internets, Schichten, Abläufe,…)

Social Engineering

(8)

Welche Fähigkeiten müssen „Hacker“ haben?

Freude an der Lösung von IT-Security-Problemen Brauchen eine sehr starke Motivation,

um viel Energie aufzubringen

Übertreten von Grenzen, um Neues zu schaffen Kreativität für neue Ansätze und

ungewöhnliche Vorgehensweisen

Geistige Klarheit, Geschicklichkeit und Konzentration

Verantwortungsvoll mit wichtigen Daten und Sicherheitslücken umgehen

(9)

Welche Aufgaben haben „Hacker“?

Sicherheitslücken finden,

um diese schließen zu können und

damit erfolgreiche Angriffe zu verhindern. Sicherheitssysteme überwinden,

um die Stärke der IT-Sicherheitsmechanismen zu

überprüfen. Penetrationstest, Produktevaluierungen, … Ein sehr gutes Verständnis für die Möglichkeiten und Grenzen der IT-Sicherheit entwickeln, um dieses für die Entwicklung von innovativen, sicheren und

vertrauenswürdigen IT-Sicherheitslösungen nutzen zu können

Unternehmen schützen, um das Risiko eines Schadens zu reduzieren

(10)

Wie werden „Hacker“ ausgebildet?

Studium an Hochschulen

Westfälische Hochschule Gelsenkirchen

UNI Bochum, Darmstadt, München, Erlangen, … FH Offenburg, Albstadt-Sigmaringen, …

…

Selbststudium

Bücher

Gruppen virtuell im Internet

Zuhause in der Bude durch „learning by doing“ …

Praxis (Unternehmen, …)

Weiterbildungen

Zertifizierungen, wie z.B. TISP, (ISC)2_{, …}

Fernstudiengänge, … …

(11)

Warum lohnt sich das Engagement in DE?

Sehr hohe Kompetenz im Bereich des Datenschutzes

 Erfahrungen mit dem Schutz der Privatsphäre

Sehr hohes Vertrauen im Bereich der IT-Sicherheit

 mittelstandsgeprägte Sicherheitsindustrie

 umfangreiche und kompetente IT-Sicherheitsforschung

 hohe Kompetenz bei Sicherheitsevaluierungen (BSI, „TÜVs“, …)

 offene Kryptopolitik

Kulturell gute Voraussetzungen

 traditionell verlässliche IT-Sicherheit

 hohes Verständnis für IT-Sicherheit und Datenschutz

 sehr viel Erfahrung bei der Umsetzung von

(12)

IT-Sicherheitstechnologien Optimierung

Bedeutung für die Zukunft Technologischer Vorsprung in DE Marktstärke der dt. Unternehmen Abstand zwischen Soll- und Ist-Zustand (Δ) Sichere Vernetzung Sicherer Internetzugang Digital Enterprise Security Client- und

Serversicherheit Mobile Security

+

0 -

--++

∆ ∆

∆

!

IT-Sicherheitskompetenzen

(13)



Der Stellenmarkt für

IT-Sicherheitsfachleute

(14)

Entwicklung Arbeitnehmeranzahl Deutschland

IT-Sicherheit: Der Markt (1/2)

 Bis 2020 werden zwischen 5.000 und 30.000 neue Fachkräfte in der IT-Sicherheit benötigt

 Anstieg von 2005 bis 2013: ~ 25%

(15)

IT-Sicherheit: Der Markt (2/2)

Entwicklung Umsatzvolumen weltweit

 Weltweiter Umsatz in der IT-Sicherheit steigt von 23,7 (2013) auf 42,8 Milliarden US-Dollar

(16)

IT-Sicherheit: Stellenangebote

Frankfurt: 647 Dortmund: 72 München: 1.182 Stuttgart: 727 Hannover: 263 Hamburg: 684 Leipzig: 106 Berlin: 793

Gesamt „Marktplatz IT-Sicherheit“:

17.588 Stellenangebote

684 (HH) 793 (B) 263 (H) 72 (DO) 647 (F) 106 (L) 1182 (M) 727 (S)

(17)

IT-Sicherheit: Stellenangebote

(18)

IT-Sicherheit: Stellennachfrage

Frankfurt: 8 Dortmund: 320 München: 1.136 Stuttgart: 190 Hannover: 0 Hamburg: 583 Leipzig: 130 Berlin: 918 583 (HH) 918 (B) 0 (H) 320 (Do) 8 (F) 130 (L) 1136 (M) 190 (S)

(19)

rt P oh lm an n, I nst itut für I nte rn et -Sic he rh eit -if (is), W estfälis c he Ho chs c hu le, Gelsenkirc he n 583 (HH) 918 (B) 0 (H) 320 (Do) 8 (F) 130 (L) 1136 (M) 190 (S)

IT-Sicherheit: Angebot / Nachfrage

684 (HH) 793 (B) 263 (H) 72 (DO) 647 (F) 106 (L) 1182 (M) 727 (S)

Angebot

Nachfrage

(20)

Cyber Security: Ausbildungswege

Abitur Bachelor Master Arbeitsmarkt Fachoberschulreife Ausbildung Duales Studium Schüler (14 – 20) Studenten (18 – 30)

(21)



Excellence Center

(22)

Cyber Security Challenge

Online-Qualifikation

01.11.2014 15.01.2015 heute

Finale der Challenge

und

Konferenz

Junge Menschen (Cyber Security Talente) für die Cyber Security

begeistern, um die Zukunft sicherer und vertrauenswürdiger gestalten zu können

(23)

Cyber Security Challenge: Statistik

797 Teilnehmer der Online Challenge

765 (96 %) männlich 32 ( 4 %) weiblich

256 (32 %) Schüler - 42 (16 %) aktiv

541 (68 %) Studierende - 133 (25 %) aktiv

Finalisten (10 Schüler und 10 Studierende)

Durchschnittsalter

Studierende 23,5 Jahre Schüler 17,4 Jahre

Punktzahl in der Online Challenge

Studierende 230 Punkte (maximal erreichbare Punkte)

Schüler 146,9 Punkte (ein Schüler hat auch maximale Punktzahl)

Finalisten 1xAachen 1xErfurt 2xWismar 1xBerlin 1xPotsdam 2xBremen 1xMerseburg 3xMannheim 1xKarlsruhe 1xWuppertal 1xStuttgart 1xBodensee

(24)

be rt P oh lm an n, I nst itut für I nte rn et -Sic he rh eit -if (is), W estfälis c he Ho chs c hu le, Gelsenkirc he n Unterschiedliche Schwierigkeitsstufen

Abhängig von Dauer zum Lösen und Wissensgrad (subjektive Einschätzung)

Leicht (10 Punkte), mittel (20 Punkte), schwer (30 Punkte)

Einzel-Challenge (Online Challenge)

Schwieriger, da ein breiteres Fachwissen von jedem Einzelnen gefordert wird.

Bei anderen CTFs treten Gruppen mit Spezialisten der Teilgebiete gegeneinander an

Lösung der Challenge nur komplett mit „Mitigation“ Wie kann der Angriff verhindert werden?

Vorort Wettbewerb

Im Team gemeinsam Challenges lösen Darstellung des Problems und der Lösung

(25)

rt P oh lm an n, I nst itut für I nte rn et -Sic he rh eit -if (is), W estfälis c he Ho chs c hu le, Gelsenkirc he n Aufgabenstellung

Bruteforce eines Logins auf einer Webseite

(ausprobieren von PW). Ein „CAPTCHA“

soll einen Bruteforce verhindern

Die Teilnehmer müssen das CAPTCHA automatisch lösen.

Mehrere Schwierigkeitsstufen: Text CAPTCHA (leicht / 10 Punkte), Bild CAPTCHA (mittel / 20 P.), Audio CAPTCHA (schwer / 30 P.)

Input

Webseite mit verschiedenen Captchas und Loginformularen Lösung

Automatische Lösung des Captchas und erfolgreicher Login in eine bereitgestellte Seite.

Challenge: Captcha

(26)

be rt P oh lm an n, I nst itut für I nte rn et -Sic he rh eit -if (is), W estfälis c he Ho chs c hu le, Gelsenkirc he n Aufgabenstellung

Einhängen in Betriebssystemfunktionen und Mitschneiden der Logindaten vor dem Verschlüsseln (https) und Senden an eine Webseite.

Somit können Anmeldedaten

im Klartext aus dem Browser ausgelesen werden.

Schwierigkeitsstufe: Leicht (10 Punkte) Vorgaben

Funktion des Betriebssystems und mögliches Tool zur Umsetzung Lösung

Login und Passwort, z.B. von einem E-Mail Account

(27)

Durch ungefilterte Parameter in URLs sollten die Teilnehmer Abfragen direkt an die Datenbank senden und somit die

Sicherheitsüberprüfung der Webseite umgehen.

Ziel ist es, Passwörter der Benutzer auszulesen und Informationen über die Datenbank zu erlangen.

Schwierigkeitsstufe: Leicht (10 Punkte), Mittel (20 Punkte) Input:

Bereitgestellte Login-Seiten Lösung

URL-Variablen verändern, z.B. den Benutzernamen:

http://192.168.2.30:7070/Login.jsp?FormName=Login&Login=

[manipulierter Wert]&Password=&FormAction= login&ret_page=&querystring=h

(28)

be rt P oh lm an n, I nst itut für I nte rn et -Sic he rh eit -if (is), W estfälis c he Ho chs c hu le, Gelsenkirc he n Aufgabenstellung

Entschlüsseln einer Kommunikation zwischen Smartcard und Administrationstool.

Ziel ist es, alle möglichen (4 stelligen) PINs zur Entschlüsselung der Kommunikation herauszufinden.

Verschlüsselungsart: 3DES im CBC, damit ist die Key-Länge 24 Zeichen.

Schwierigkeitsstufe: Mittel (20 Punkte) Input

Kommunikations-mittschnitt von

verschlüsselten Daten Lösung

Gültige 4 stellige PINs, z.B. 0868

Time :Wed Jun 12 22:31:45 2013

SCardTransmit (handle 0xEA010000): transmitted: 80 C2 00 00 28 D8 00 01 6F 00 F5 EF BF B1 8C 76 16 00 0E 43 6F 6E 74 65 6E 74 4D 61 6E 61 67 65 72 00 C0 4B 4E 7F BD 00 04 4D 53 43 4D received: 61 05

(29)

Analyse eines DNS-Protokollmitschnitts und Rekonstruktion der darin übertragenen Daten

Schwierigkeitsstufe: Schwer, 30 Punkte Input

Mitschnitt einer Kommunikation (PCAP)

Lösung

Ein Bild, das über das Protokoll in einzelnen Zeichen übertragen wurde. Die Zeichen für das Bild sind

in Base16 codiert und

werden einzeln übertragen.

Auszug aus Kommunikation

Challenge: APT - Network Forensic

(30)

Übersicht der Challenges

Bezeichnung der Challenge

Schwierig-keitsgrad Art

Lösungen Schülern

Lösungen Studenten

Captcha_Level_1 easy Web Security Programming 24 92

Captcha_Level_2 medium Web Security Programming 11 53

Captcha_Level_3 hard Web Security Programming 6 27

APDU_Master_Key_Challenge_

Communication_Decryption medium Crypto 1 22

Captcha_Level_4 hard Web Security 5 21

APIMonitor easy Reverse Engineering 10 31

Steganography_Challenge easy Forensic 4 33

Application_Debug_Modification easy Reverse Engineering 9 41

Oracle_SQL_Injection easy Web Security Database 13 62

Oracle_SQL_Injection_-Gather_the_Credentials medium Web Security Database 7 36

APT_Network_Forensic_Challenge hard Forensic Networking Reverse

Engineering 3 17

SVG_Hidden_Information easy Fun 14 61

Escape_from_Python_City_2 easy Crypto Programming Fun 4 19

(31)

Konferenz

 Besonders relevante Cyber Security Themen identifizieren und

diskutieren

 Probleme beschreiben und gemeinsam Lösungsansätze erarbeiten

 Etablierte Fachkräfte und junge Cyber Security Talente

zusammenbringen

(32)

Online Plattform

Cyber Security Talente Unternehmen, …

Hochschulen

- Bester

Arbeitsgeber DE

- Wollen mehr Sicherheit - …

- Zahle viel Geld - Erwarte viel - … - Keller - Ruhe - … - Geld - Aktion - … - Sozial - Freiheit - …

(33)

Zusammenfassung

Der deutsche Markt für IT-Sicherheit… … ist ein attraktives Arbeitsfeld

… wird die nächsten Jahre deutlich wachsen

… bietet jungen Cyber Security Talenten eine

gute Zukunftsperspektive

… nimmt in der Wirtschaft eine immer wichtigere Position ein

(Wirtschaftsspionage, Cyber War, …)

… benötigt die besten Cyber Security Talente

Die Cyber Security Challenge…

… findet und fördert Cyber Security Talente frühzeitig

… bringt diese Cyber Security Talente mit

Unternehmen zusammen (Konferenz und Online Plattform) … stärkt nationale und europäische Netzwerke

Hacker als Berufsbild - Prof. Dr. Norbert Pohlmann

Prof. Dr.

Norbert Pohlmann

„Hacker“ als Berufsbild,



„Hacker“ als Berufsbild

Wie ist die Cyber Security Situation?

Wer sind die Angreifer, was ist ihre Motivation?



Begriff „Hacker“ in unserem Kontext

„Hacker“ sind professionelle IT-Sicherheitsexperten

Welche Kompetenzen brauchen „Hacker“?

Welche Fähigkeiten müssen „Hacker“ haben?

Welche Aufgaben haben „Hacker“?

Wie werden „Hacker“ ausgebildet?

Warum lohnt sich das Engagement in DE?

IT-Sicherheitstechnologien Optimierung

+

--++

∆

!



Der Stellenmarkt für

IT-Sicherheitsfachleute

Entwicklung Arbeitnehmeranzahl Deutschland

IT-Sicherheit: Der Markt (1/2)

IT-Sicherheit: Der Markt (2/2)

Entwicklung Umsatzvolumen weltweit

IT-Sicherheit: Stellenangebote

17.588

Stellenangebote

IT-Sicherheit: Stellenangebote

IT-Sicherheit: Stellennachfrage

IT-Sicherheit: Angebot / Nachfrage

Angebot

Nachfrage

Cyber Security: Ausbildungswege



Excellence Center

Cyber Security Challenge

Cyber Security Challenge: Statistik

Challenge: Captcha

Challenge: APT - Network Forensic

Übersicht der Challenges

Konferenz

Online Plattform

Zusammenfassung

Cyber Security Talente

für mehr IT-Sicherheit und

Vertrauenswürdigkeit in der Zukunft

Prof. Dr.

Norbert Pohlmann