Labor Systemsicherheit

  1. Labor:

    Systemsicherheit

  1. LV-Leiter:
    Assoc.Prof. Dipl.-Ing. Dr. Peter Schartner
    Termine:
    Einladung zur Vorbesprechung Ende Oktober folgt per E-Mail
    Beschreibung:
    In dieser Lehrveranstaltung werden Teilgebiete der Systemsicherheit anhand praktischer Beispiele vertieft. Chipkarten werden bereits massiv im Bereich der Systemsicherheit eingesetzt und SmartPhones bieten den Einstieg in das interessante Forschungsgebiet ''Mobile Security'', das immer mehr an Bedeutung gewinnt. Zudem werden beispielsweise Security-Tools, wie PGP, RFID-Komponenten, Dongles oder Port-Scanner eingesetzt.
    Ablauf:
      • Theoretischer Teil (Vorlesung, Termin fix):
        • Fr, 30.11.2018, 10:00-12:00, S.1.37
        • Optional, keine Anwesenheitspflicht
      • Praktischer Teil (geblockt, jeweils 9-12 und 13-17 , S.1.37)
        Nach Absprache in der Vorbesprechung sind 5 Tage zu belegen.
        • 06/07 und 13/14 Dezember 2018
        • 10/11 und 17/18 Jänner 2019
      • Die Praktikumsaufgaben werden in 2er-Gruppen bearbeitet.
    Benotung:
    Absolvierung der Praktikumsbeispiele und Abgabe der Protokolle (75%) + kurze mündliche Prüfung zu den Praktikumsaufgaben (25%). Beides positiv!
    Moodle-Kurs:
    Labor Systemsicherheit

  1. Theoretischer Teil

    1. Vorausgesetzte Kenntnisse (zur selbstständigen Wiederholung)
    2. Labor Hardware (Smartphhones, Tablets, Chipkarten, RFID, NFC, Degausser, …)
    3. Grundlagen: Programmierung – JavaCard


  1. Praktischer Teil (S.1.37)

    Insgesamt sind 5 Tage zu belegen, je nach Studienrichtung gelten jedoch unterschiedliche Regeln:
    • Studierende der Studienrichtung Angewandten Informatik müssen die beiden Pflichtübungen (P01 und P02) und zwei der Wahlübungen absolvieren.
    • Studierende der Studienrichtungen Technischen Mathematik und Informationsmanagement können P02 durch eine weitere Wahlübung ersetzen oder einen dritten Tag an P01 arbeiten.
    • Bei allen anderen wird im Einzelfall entschieden.

    Bitte lesen Sie sich die von Ihnen gewählten Übungen vor Beginn des praktischen Teils durch.

  1. Themen

    P01: Programmierung von JavaCards (verpflichtend!)
    • Kennen lernen der Entwicklungsumgebung SmartCafe
    • Implementieren einer personalisierten elektronischen Geldbörse
      • Benutzerauthentifikation
      • Auf- und Abbuchen von Beträgen
      • Abfragen des Guthabens
      • Programmieren der PC-Komponente
    P02: Sicherheitsrelevante Smartphone/Tablet-Anwendungen (verpflichtend!)
    • One-Time-Passwörter
    • Password-based Cryptography
    • Passwort-Manager
    • Eigenen Ideen?
    W01: Programmieren und Testen von kryptographischen Algorithmen
    • Vernam-Chiffre (One-Time-Pad)
    • Triple-DES im CBC-Mode
    • Laufzeitanalysen
    • Testvektoren
    • CBC-MAC
    • Paritätsbits
    • Hashfunktionen: MD5, RIPEMD160 oder SHA-1 (optional)
    W02: Chipkarten, Zertifikate, Login und Passwörter
    • Analyse von Chipkarten
    • Chipkartenbasiertes Login
    • Verschlüsselte Dateisysteme
    • Single-Sign-On (SSO)
    • Zertifikatsmanagement
    • Secuirty Token (iKey, Hardlock und Authention Safety Suite)
    W04: Cryptool, Netzwerktools, PGP und GPG
    • Kryptoanalyse klassischer Verfahren
    • Zone-Alarm, PortScan und Wireshark
    • Angriffe auf aktuelle Krypto-Mechanismen
    • Abhören von HTTP- und HTTPS-Verbindungen
    • PGP – Pretty Good Privacy (optional)
    • GPG – GNU Privacy Guard (optional)
    • CrypTool 2.0 (optional)
    W05: Analyse von Chipkarten IFDSIM & CCR550
    • Kennen lernen des Systems
    • Protokollanalysen
    • Timinganalysen
    • Bestimmung des Befehlssatzes
    • Erzeugung von Zufallszahlen (mit Maestrokarte bzw. Schlumberger Cryptoflex)
    • Auslesen und Analysieren diverser Magnetstreifenkarten
    W07: Sicherer Umgang mit Dokumenten
    • Sicherer Umgang mit Adobes Portable Dokument Format (PDF)
      • Analyse und Sicherung von PDFs
      • Signatur (e-card oder kostenloses Zertifikat)
      • Verschlüsselung
      • Einschränken von Berechtigungen
    • Sicherer Umgang mit Microsoft Office
      • Versteckte Daten in Word, Excel, Powerpoint
      • Sicherung von Office-Dokumenten
    • Sicherheitsanalyse von OpenOffice und anderen Programmen
    • Weitere Einsatzmöglichkeiten der e-card
    W10: Netzwerksicherheit (Derzeit nur bedingt verfügbar)
    Linux-Kenntnisse erforderlich
    • Attacking HTTP(S)
    • Attacking SMTP
    • LM- und NT-Hashes
    • Ophcrack – Attacking Windows Passwords
    • Überschreiben von Windows-Passwörtern
    • Netzwerk-Passwort-Recovery
    • ARP Cache Poisoning
    W14: RFID- und NFC-Leser
    • Aufbau und Inbetriebnahme des RFID-Lesers
    • Auslesen und Beschreiben diverser Tags
    • Reichweite vs. Abschirmung
    • Testen von Quiet-Mode und EAS (Electronic Article Surveillance)
    • Knacken des Lesepasswortes der uni@klu-Card
    • Knacken des Schreibpasswortes der uni@klu-Card (bisher nicht erfolgreich)
    • Auslesen Ihres ePasses & Analyse der temporären Identifier
    W99: Eigene Idee?  
    Voraussetzungen
    • Beschreibung auf einer DIN-A4-Seite
    • Keine Gefahr für Leib, Leben und (wenn möglich) das Equipment
    • Maximale Dauer: 2 Tage
    • Genehmigung durch den LV-Leiter

    Verfügbare Hardware:
    • Rubber Ducky & Bash Bunny
    • Proxmark3
    • WiFi Pineapple
    • ...
    • Lenovo Yoga Book