- LV-Leiter:
- Assoc.Prof. Dipl.-Ing. Dr. Peter Schartner
- Termine:
- Einladung zur Vorbesprechung Ende Oktober folgt per E-Mail
- Beschreibung:
-
In dieser Lehrveranstaltung werden Teilgebiete der Systemsicherheit anhand praktischer Beispiele vertieft. Chipkarten werden bereits massiv im Bereich der Systemsicherheit eingesetzt und SmartPhones bieten den Einstieg in das interessante Forschungsgebiet ''Mobile Security'', das immer mehr an Bedeutung gewinnt. Zudem werden beispielsweise Security-Tools, wie PGP, RFID-Komponenten, Dongles oder Port-Scanner eingesetzt.
- Ablauf:
- Theoretischer Teil (Vorlesung, Termin fix):
- Fr, 30.11.2018, 10:00-12:00, S.1.37
- Optional, keine Anwesenheitspflicht
-
Praktischer Teil (geblockt, jeweils 9-12 und 13-17 , S.1.37)
Nach Absprache in der Vorbesprechung sind 5 Tage zu belegen.
- 06/07 und 13/14 Dezember 2018
- 10/11 und 17/18 Jänner 2019
- Die Praktikumsaufgaben werden in 2er-Gruppen bearbeitet.
- Benotung:
-
Absolvierung der Praktikumsbeispiele und Abgabe der Protokolle (75%) + kurze mündliche Prüfung zu den Praktikumsaufgaben (25%). Beides positiv!
- Moodle-Kurs:
-
Labor Systemsicherheit
-
Theoretischer Teil
- Vorausgesetzte Kenntnisse (zur selbstständigen Wiederholung)
- Labor Hardware (Smartphhones, Tablets, Chipkarten, RFID, NFC, Degausser, …)
- Grundlagen: Programmierung – JavaCard
-
Praktischer Teil (S.1.37)
Insgesamt sind 5 Tage zu belegen, je nach Studienrichtung gelten jedoch unterschiedliche Regeln:
- Studierende der Studienrichtung Angewandten Informatik müssen die beiden Pflichtübungen
(P01 und P02) und zwei der Wahlübungen absolvieren.
- Studierende der Studienrichtungen Technischen Mathematik und Informationsmanagement
können P02 durch eine weitere Wahlübung ersetzen oder einen dritten Tag an P01 arbeiten.
- Bei allen anderen wird im Einzelfall entschieden.
Bitte lesen Sie sich die von Ihnen gewählten Übungen vor Beginn des praktischen Teils durch.
-
Themen
- P01: Programmierung von JavaCards (verpflichtend!)
- Kennen lernen der Entwicklungsumgebung SmartCafe
- Implementieren einer personalisierten elektronischen Geldbörse
- Benutzerauthentifikation
- Auf- und Abbuchen von Beträgen
- Abfragen des Guthabens
- Programmieren der PC-Komponente
- P02: Sicherheitsrelevante Smartphone/Tablet-Anwendungen (verpflichtend!)
- One-Time-Passwörter
- Password-based Cryptography
- Passwort-Manager
- Eigenen Ideen?
- W01: Programmieren und Testen von kryptographischen Algorithmen
- Vernam-Chiffre (One-Time-Pad)
- Triple-DES im CBC-Mode
- Laufzeitanalysen
- Testvektoren
- CBC-MAC
- Paritätsbits
- Hashfunktionen: MD5, RIPEMD160 oder SHA-1 (optional)
- W02: Chipkarten, Zertifikate, Login und Passwörter
- Analyse von Chipkarten
- Chipkartenbasiertes Login
- Verschlüsselte Dateisysteme
- Single-Sign-On (SSO)
- Zertifikatsmanagement
- Secuirty Token (iKey, Hardlock und Authention Safety Suite)
- W04: Cryptool, Netzwerktools, PGP und GPG
- Kryptoanalyse klassischer Verfahren
- Zone-Alarm, PortScan und Wireshark
- Angriffe auf aktuelle Krypto-Mechanismen
- Abhören von HTTP- und HTTPS-Verbindungen
- PGP – Pretty Good Privacy (optional)
- GPG – GNU Privacy Guard (optional)
- CrypTool 2.0 (optional)
- W05: Analyse von Chipkarten IFDSIM & CCR550
- Kennen lernen des Systems
- Protokollanalysen
- Timinganalysen
- Bestimmung des Befehlssatzes
- Erzeugung von Zufallszahlen (mit Maestrokarte bzw. Schlumberger Cryptoflex)
- Auslesen und Analysieren diverser Magnetstreifenkarten
- W07: Sicherer Umgang mit Dokumenten
- Sicherer Umgang mit Adobes Portable Dokument Format (PDF)
- Analyse und Sicherung von PDFs
- Signatur (e-card oder kostenloses Zertifikat)
- Verschlüsselung
- Einschränken von Berechtigungen
- Sicherer Umgang mit Microsoft Office
- Versteckte Daten in Word, Excel, Powerpoint
- Sicherung von Office-Dokumenten
- Sicherheitsanalyse von OpenOffice und anderen Programmen
- Weitere Einsatzmöglichkeiten der e-card
- W10: Netzwerksicherheit (Derzeit nur bedingt verfügbar)
Linux-Kenntnisse erforderlich
- Attacking HTTP(S)
- Attacking SMTP
- LM- und NT-Hashes
- Ophcrack – Attacking Windows Passwords
- Überschreiben von Windows-Passwörtern
- Netzwerk-Passwort-Recovery
- …
- ARP Cache Poisoning
- W14: RFID- und NFC-Leser
- Aufbau und Inbetriebnahme des RFID-Lesers
- Auslesen und Beschreiben diverser Tags
- Reichweite vs. Abschirmung
- Testen von Quiet-Mode und EAS (Electronic Article Surveillance)
- Knacken des Lesepasswortes der uni@klu-Card
- Knacken des Schreibpasswortes der uni@klu-Card (bisher nicht erfolgreich)
- …
- Auslesen Ihres ePasses & Analyse der temporären Identifier
- W99: Eigene Idee?
Voraussetzungen
- Beschreibung auf einer DIN-A4-Seite
- Keine Gefahr für Leib, Leben und (wenn möglich) das Equipment
- Maximale Dauer: 2 Tage
- Genehmigung durch den LV-Leiter
Verfügbare Hardware:
- Rubber Ducky & Bash Bunny
- Proxmark3
- WiFi Pineapple
- ...
- Lenovo Yoga Book