Labor Systemsicherheit

  1. Labor:

    Systemsicherheit

  1. LV-Leiter:
    Assoc.Prof. Dipl.-Ing. Dr. Peter Schartner
    Termine:
    21.10.2016, 10:00 - 12:00, E.1.42 (Vorbesprechung)
    Beschreibung:
    In dieser Lehrveranstaltung werden Teilgebiete der Systemsicherheit anhand praktischer Beispiele vertieft. Chipkarten werden bereits massiv im Bereich der Systemsicherheit eingesetzt und SmartPhones bieten den Einstieg in das interessante Forschungsgebiet ''Mobile Security'', das immer mehr an Bedeutung gewinnt. Zudem werden beispielsweise Security-Tools, wie Smartcard-Logon für Windows, PGP, RFID-Komponenten, Port-Scanner und SecuQuest eingesetzt.
    Ablauf:
      • Theoretischer Teil (Vorlesung, Termine fix):
        • Fr, 04.11.2016, 10:00 - 12:00, I.1.04
        • Fr, 18.11.2016, 10:00 - 12:00, I.1.04
      • Praktischer Teil (geblockt, jeweils 9-12 und 13-17 , E.1.37) Nach Absprache in der Vorbesprechung sind 5 Tage zu belegen. Vorschläge (jeweils Do/Fr)
        • 01/02 und 15/16 Dezember 2016
        • 12/13 und 19/20 Jänner 2017
        • Siehe auch doodle-Abstimmung
      • Die Praktikumsaufgaben werden in 2er-Gruppen bearbeitet.
    Benotung:
    Absolvierung der Praktikumsbeispiele und Abgabe der Protokolle (75%) + kurze mündliche Prüfung zu den Praktikumsaufgaben (25%). Beides positiv!

  1. Theoretischer Teil

    1. Vorbesprechung (Ablauf + Terminplanung)
    2. Vorausgesetzte Kenntnisse (zur selbstständigen Wiederholung)
    3. Labor Hardware: Smartphones, Tablets, Chipkarten, RFID, NFC, Degausser, ...
    4. Grundlagen: JavaCard-Programmierung


  1. Praktischer Teil

    Insgesamt sind 5 Tage zu belegen, je nach Studienrichtung gelten jedoch unterschiedliche Regeln:
    • Studierende der Studienrichtung Angewandten Informatik müssen die beiden Pflichtübungen (P01 und P02) und zwei der Wahlübungen absolvieren.
    • Studierende der Studienrichtungen Technischen Mathematik und Informationsmanagement können P02 durch eine weitere Wahlübung ersetzen oder einen dritten Tag an P01 arbeiten.
    • Bei allen anderen wird im Einzelfall entschieden.
    Bitte lesen Sie sich die von Ihnen gewählten Übungen vor Beginn des praktischen Teils durch.

  1. Themen

    (P01) Programmierung von JavaCards
    • Kennen lernen der Entwicklungsumgebung SmartCafe
    • Implementieren einer personalisierten elektronischen Geldbörse
      • Benutzerauthentifikation
      • Auf- und Abbuchen von Beträgen
      • Abfragen des Guthabens
      • Programmieren der PC-Komponente


    (P02) Programmieren sicherheitsrelevanter Smartphone/Tablet-Anwendungen
    • One-Time-Passwörter
    • Password-based Cryptography
    • Passwort-Manager
    • Eigenen Ideen?


    (W01) Programmieren und Testen von kryptographischen Algorithmen
    • Vernam-Chiffre (One-Time-Pad)
    • Triple-DES im CBC-Mode
    • Laufzeitanalysen
    • Testvektoren
    • CBC-MAC
    • Paritätsbits
    • Hashfunktionen: MD5, RIPEMD160 oder SHA-1 (optional)


    (W02) Chipkarten, Zertifikate, Login und Passwörter
    • Analyse von Chipkarten
    • Chipkartenbasiertes Login
    • Verschlüsselte Dateisysteme
    • Single-Sign-On (SSO)
    • Zertifikatsmanagement
    • Secuirty Token (DRM / HASP)


    (W04) Cryptool, Netzwerktools, PGP und GPG
    • Kryptoanalyse klassischer Verfahren
    • Zone-Alarm, PortScan und Wireshark
    • Angriffe auf aktuelle Krypto-Mechanismen
    • Abhören von HTTP- und HTTPS-Verbindungen
    • PGP - Pretty Good Privacy (optional)
    • GPG - GNU Privacy Guard (optional)
    • CrypTool 2.0 (optional)


    (W05) Analyse von Chipkarten IFDSIM & CCR550
    • Kennen lernen des Systems
    • Protokollanalysen
    • Timinganalysen
    • Bestimmung des Befehlssatzes
    • Erzeugung von Zufallszahlen (mit Maestrokarte bzw. Schlumberger Cryptoflex)
    • Auslesen und Analysieren diverser Magnetstreifenkarten


    (W06) Schaltungstechnik & Kryptographische Hardware (Derzeit nicht im Program!)
    • Kennenlernen der Messgeräte
    • Ausmessen einer P-Box
    • Messen von Schaltpegeln
    • Entprellen eines Tasters
    • Aufbau eines Taktgenerators
    • Aufbau und Analyse einfacher Digitalschaltungen
    • Aufbau und Test eines LFSRs


    (W07) Sicherer Umgang mit Dokumenten
    • Sicherer Umgang mit Adobes Portable Dokument Format (PDF)
      • Analyse und Sicherung von PDFs
      • Signatur (e-card oder kostenloses Zertifikat)
      • Verschlüsselung
      • Einschränken von Berechtigungen
    • Sicherer Umgang mit Microsoft Office
      • Versteckte Daten in Word, Excel, Powerpoint
      • Sicherung von Office-Dokumenten
    • Sicherheitsanalyse von OpenOffice und anderen Programmen
    • Weitere Einsatzmöglichkeiten der e-card


    (W08) certgate SDCard (Derzeit nicht im Program!)
    • Aufbau und Inbetriebnahme des certgate Development Kit
    • Einarbeitung in die Entwicklungsumgebung
    • Portierung der elektronischen Geldbörse (P01)
    • Test der elektronischen Geldbörse (am PC/PDA)


    (W10) Netzwerksicherheit (Derzeit nur bedingt verfügbar)
    Linux-Kenntnisse erforderlich
    • Attacking HTTP(S)
    • Attacking SMTP
    • LM- und NT-Hashes
    • Ophcrack – Attacking Windows Passwords
    • Überschreiben von Windows-Passwörtern
    • Netzwerk-Passwort-Recovery
    • ...
    • ARP Cache Poisoning


    (W11) IP Video Surveillance (Derzeit nicht im Program!)
    Linux-Kenntnisse erforderlich

    (W13) scan.net
    Linux-Kenntnisse erforderlich

    (W14) RFID- und NFC-Leser
    • Aufbau und Inbetriebnahme des RFID-Lesers
    • Auslesen und Beschreiben diverser Tags
    • Reichweite vs. Abschirmung
    • Testen von Quiet-Mode und EAS (Electronic Article Surveillance)
    • Knacken des Lesepasswortes der uni@klu-Card
    • Knacken des Schreibpasswortes der uni@klu-Card (bisher nicht erfolgreich)
    • ...
    • Auslesen Ihres ePasses & Analyse der temporären Identifier


    (W99) Eigene Idee?
    Voraussetzungen
    • Beschreibung auf einer Din-A4-Seite
    • Keine Gefahr für Leib, Leben und (wenn möglich) das Equippment
    • Maximale Dauer: 2 Tage
    • Genehmigung durch den LV-Leiter