SBA Live Academy - "BIG BANG!" Highlights & key takeaways of 24 security talks

1. 1 Willkommen zur SBA Live Academy #bleibdaheim #remotelearning Heute: Finale! by Stefan Jakoubi & Thomas Konrad This talk will be recorded!

3. 3 Die Zahlen • 25 SBA Live Academy Talks innerhalb 9 Wochen • Talks & Slides verfügbar • ~ 800 Minuten Security Content • ~ 900 TeilnehmerInnen SBA Research, © 2020 https://www.sba-research.org/sba-live-academy/

5. 5 Das edle Menü für das Gala Dinner SBA Research, © 2020 Remote Security Windows Domain Security Supply Chain Risk Certificates Cloud Security Software Security Incident Response Passwords Datenschutz Software Security Cyber Resilience Web Security Lex externe MitarbeiterInnen (I)Iot Security KRITIS Linux Kernel Sec COVID19 Simulationen OWASP SAMM Lex Crypto Linux Containers Secure Computing

7. 7 SBA Live Academy Thema 1+2/25 Remote Access – Top Security Challenges – Teil 1&2 Günther Roat, Philipp Reisinger (SBA) SBA Research gGmbH, 2020

8. 8 Take-Aways • Top Remote Security Challenges – Teil 1 o Mangelhafte (Umsetzung der) Regelwerke o Security vs. Usability o Fehlende Schulungen o Erhöhte Gefahr von Social Engineering o Mangelhafte Information (Data) Governance o Sync von Daten auf mangelhaften Endgeräten SBA Research, © 2020

9. 9 Take-Aways • Top Security Challenges – Teil 2 o Mangelhafte 2FA Durchdringung o Mangelhafte Netzwerksegmentierung o Admin-Interfaces aus Internet erreichbar o Nutzung alter (unsicherer) Protokolle o Mangelnde 3rd Party Security (Dienstleister) o Mangelhafte (Remote-) Notfallpläne SBA Research, © 2020

10. 10 Take-Aways • Herausforderungen o Sichtbarkeit (breite Datenlage fehlt oftmals) o Risiko vs. Wirtschaftlichkeit („ZDF“) o Security vs. Usability (v.a. wenn‘s schnell gehen muss) SBA Research, © 2020

12. 12 SBA Live Academy Thema 3/25 Angriffe auf Windows-Domains und Delegation Reinhard Kugler (SBA) SBA Research gGmbH, 2020

14. 14

17. 17 SBA Live Academy Thema 4/25 Und, wir geht‘s Ihrer Supply-Chain heute so? Stefan Jakoubi (SBA) SBA Research gGmbH, 2020

20. 20 SBA Live Academy Thema 5/25 CRLite – Revocation for X.509 certificates in the browser – this time for real? Mathias Tausig (SBA) SBA Research gGmbH, 2020

21. 21 Take-Aways • Revocation in der Web-PKI ist kaputt o Zählt zu den kompliziertesten Prozessen einer CA o Aktuell großteils nicht funktionsfähig und verwendet o Großer Aufwand für vergleichsweise kleinen Nutzen • Versuche o CRLs o OCSP o OCSP Stapling o OCSP Must-staple SBA Research, © 2020

22. 22 Take-Aways • CRLite o Liste aller Revocations o Speicherung: Cascading Bloom Filter o Probabilistisch (a.k.a. „Objekt nicht im Filter“ oder „Objekt wahrscheinlich im Filter“) o Aktiviert in Firefox Nightly o Akt. Filtergröße: 1.3 MB für 700k Zerts • Diesmal wirklich? Vielleicht! SBA Research, © 2020

23. 23 SBA Live Academy Thema 6/25 Cloud Security Zertifizierungen und Gütesiegel Günther Roat (SBA) SBA Research gGmbH, 2020

24. 24 Take-Aways • Shared Responsibility • Verantwortungsgrenzen kennen • Auslagerung in eine (zertifizierte) Cloud transferiert nicht die Risikoverantwortung SBA Research, © 2020 Verantwortung SaaS PaaS IaaS Information & Data Accounts & Identities Directories & Authentication Applikationen Operating System Netzwerksicherheit Physische Hosts & Datacenter KundeKunde CSPCSP

25. 25 Take-Aways • Strukturiert die Verantwortungsgrenzen herausarbeiten und klarstellen, bspw. via ISO • ISO27017 als Ergänzung zu ISO27001 o Type1 Control: getrennt für Service Provider & Customer. o Type 2 Control: gilt für beide Rollen gleichermaßen. CSP and Customer should agree upon the procedure to respond to digital evidence requests etc. (SLA-Thema) • ISO27018 als Ergänzung zu ISO27001/17 für PII SBA Research, © 2020

26. 26 SBA Live Academy-Thema 7/22 The Future of Software Security – Towards a Mature Lifecycle and DevSecOps Thomas Konrad SBA Research gGmbH, 2020

28. 28 Take-Aways • Steps towards DevSecOps o #1: Start with simplification. o #2: Push existing pockets of success. o #3: Offer self-service security tools. o #4: Work with both empowerment and accountability. o #5: Create and promote a culture of continuous learning. SBA Research gGmbH, 2019

29. 29 SBA Live Academy Thema 8/25 I know what they did last Summer… Andreas Tomek (KPMG) SBA Research gGmbH, 2020

30. 30 Take-Aways • Planung ist alles o In der Stress-Situation ist vieles zu spät o Wird vor allem teurer (Durchlaufzeit, Tagsätze,…) • Interne Kommunikation ist essentiell o Teure IR sind eingekauft worden, obwohl auf der anderen Seite der Welt nur ein Pentest war • Bei einem (großen) Incident ist Truppenstärke wichtig • Planspiele auch in „Stress-Situationen“ durchführen o Nicht nur wenn es ruhig ist >> Fehleinschätzungen SBA Research, © 2020

32. 32 SBA Live Academy Thema 9/25 Passwords: Policy and Storage with NIST SP800-63b Jim Manico (Founder of Manicode Security & former board member for the OWASP foundation) SBA Research gGmbH, 2020

34. 34 Take-Aways • Moderne Passwortrichtlinie o Keine künstliche Beschränkung der Passwortstärke (abgesehen von einer großen Maximallänge)! o Kein Passwort-Ablauf mehr! o Mindestlänge! o Liste häufiger Passwörter prüfen! o Multi-Faktor-Authentifizierung! o Verwendung von Passwortmanagern empfehlen! o ... SBA Research, © 2020

36. 36 SBA Live Academy Thema 10/25 A Primer in Single Page Application Security (Angular, React, Vue.js) Thomas Konrad (SBA) SBA Research gGmbH, 2020

37. 37 The DOM Is A Mess: XSS Sinks SBA Research gGmbH, 2020 Imagesource:https://www.youtube.com/watch?v=vYA81UAExKA https://github.com/wisec/domxsswiki/wiki

38. Classification: Public 38 SPAs, innerHTML and XSS SBA Research gGmbH, 2020 Angular sanitizes this! Makes you fear! Makes you feel safe! const html = '<img src=x onerror=alert(1)/>';const html = '<img src=x onerror=alert(1)/>';Input: <img src=x />

39. 39 SBA Live Academy Thema 11/25 Wozu Datenschutzgesetze? Gerald Sendera (SBA) SBA Research gGmbH, 2020

44. 44 SBA Live Academy Thema 12/25 Cyber Resilience – Failure is not an option Simon Tjoa (FH St. Pölten) SBA Research gGmbH, 2020

49. 49 SBA Live Academy Thema 13/25 Using HTTPS by Default: How Web Servers Can Make the Web More Secure Matthew Holt (Full-time open source developer, project lead of the Caddy web server) SBA Research gGmbH, 2020

50. 50 Take-Aways • Transportverschlüsselung wird überall erwartet • Eine gute TLS-Konfiguration ist schwierig • Webserver sind oft in systemnahen Sprachen geschrieben (Performance vs. Sicherheit) SBA Research, © 2020

51. 51 Take-Aways • Der Caddy-Webserver o braucht minimal nur einen Domänennamen, o hat eine Top-Standardkonfig inkl. OCSP Stapling, o installiert in Dev-Umgebungen vollautomatisch ein Pro-Host-CA-Zertifikat im Betriebssystem, o und ist in einer memory-safe Programmiersprache geschrieben. SBA Research, © 2020

52. 52 SBA Live Academy Thema 14/25 Rechtliche Risiken mit externen Mitarbeitern Stefan Eder (Benn-Ibler) SBA Research gGmbH, 2020

53. 53 Take-Aways SBA Research, © 2020 • Altes Thema – aktuell neue Dimension • Gleiche Sicherheitsrisiken wie im Unternehmen, aber in „unkontrollierter“ Umgebung • Spezialfall Home-Office o Private Infrastruktur, im Haushalt lebende Personen, kein Shredder, physische Sicherheit,… o Wer ist rechtlich wofür verantwortlich?

57. 57 SBA Live Academy Thema 15/25 Physical Attacks against (I)IoT-Devices, Embedded Devices, Microcontrollers and System on Chips (SoC) Christian Kudera (SBA) SBA Research gGmbH, 2020

58. 58 Take-Aways • Thema ist mM Blind Spot in Unternehmen o Security Audits? • Side-Channel-Attacks über Analyse des Stromverbrauchs o Beispiel RSA >> über Stromverbrauch des Chips konnte der Private-Key extrahiert werden SBA Research, © 2020

61. 61 SBA Live Academy Thema 16/25 Threat Modeling 101 – eine kurze aber praxisnahe Einführung Daniel Schwarz (condignum) SBA Research gGmbH, 2020

63. 63 Take-Aways • Bei der Design-Phase ansetzen • Liste mit folgenden Spalten o Bedrohungsszenario / Schwächen / Angriffe o Kritikalität o Maßnahmen • Die drei goldenen Regeln o Just do it! o Starte so früh wie möglich! o Kommunikation ist der Schlüssel! SBA Research, © 2020

64. 64 SBA Live Academy Thema 17/25 Angriffe gegen das Stromnetz – Wenn der Strom nicht mehr aus der Steckdose kommt Johanna Ullrich (SBA) SBA Research gGmbH, 2020

65. 65 Take-Aways • Stromnetz ausgelegt auf 50Hz synchronisiert <> europaweites Ausgleichen von Schwankungen • Simulationen/Lastprofile für Prognosen • Laufende Messung der Frequenz o außerhalb Bandbreite >> ausgleichende Gegenmaßnahmen SBA Research, © 2020

66. 66 Take-Aways • Beispielhaftes Problem: o Schnellste Gegenmaßnahme reagiert in Sekunden (Hochfahren 15 Minuten) o Basieren teilweise auf Rotationsmassen >> Problem bei zB Photovoltarik • Angriff: Massive schnelle Laständerungen im Millisekunden-Bereich zB (I)IoT Botnetz SBA Research, © 2020

67. 67 Take-Aways • Forschungssimulation o Bitcoin-Mining-Ausfall in Europa könnte zukünftig europaweiten „Stromangriff“ erzeugen • Wunder Punkt komplette Abschaltung (Blackout) o Wiederanlauf herausfordernd >> brauchen zB auch Strom, um wieder zu starten SBA Research, © 2020

69. 69 SBA Live Academy Thema 18/25 After the overflow: self-defense techniques of the Linux Kernel Reinhard Kugler (SBA) SBA Research gGmbH, 2020

72. 72 SBA Live Academy Thema 19/25 Die COVID-19 Krise und Simulationsmodelle. Was kann man sagen? Und was nicht? Niki Popper (dwh) SBA Research gGmbH, 2020

73. 73 Take-Aways • 10+ Jahre an Forschung, um heute „schnell“ Modell ergänzen und tunen zu können • Simulationen zeigen auch mögliche Effekte o Wirksamkeit von Maßnahmen, Ressourcenplanung (Betten),… • Unterschiedliche Methoden o Kausale: Versuch Kausalitäten zu verstehen (modellierbar zu machen), um auch Prognosen zu treffen trotz mangelhafter Datenlage o Herausforderung: Kalibrieren – ~9 Mio Menschen <> Kausalitäten <> Scoping – Bspw. Personen sind 2 Wochen ansteckend >> in Wahrheit aber nicht wirklich, weil sie ja dann zu Hause bleiben oder im Krankenhaus sind >> muss in Modellierung berücksichtigt werden SBA Research, © 2020

76. 76 SBA Live Academy Thema 20/25 OWASP SAMM 2.0: Your Dynamic Software Security Journey Sebastien Deleersnyder (OWASP SAMM co leader, Toreon) SBA Research gGmbH, 2020

77. 77 Take-Aways Softwaresicherheit wird immer noch als das Einbauen von Sicherheitsfeatures gesehen, und nicht als das Einbauen von Sicherheit in die Art und Weise, wie wir Software bauen. SBA Research, © 2020

79. 79 SBA Live Academy Thema 21/25 Kryptographie auf rechtlichem Prüfstand Lukas Feiler (Baker & McKenzie) SBA Research gGmbH, 2020

80. 80 Take-Aways • Verschlüsselt heißt nicht automatisch anonym o Möglicherweise trotzdem von GDPR erfasst, weil Begriff sehr weit gefasst ist! („wenn irgendwie die Möglichkeit besteht…“) o Schlüssel wegwerfen oder „salted“ Hash ergibt tatsächliche anonymisierte Daten • Pflicht zu Verschlüsselung? o Abgesehen von regulierten Bereichen >> es kommt darauf an: Art. 32 „angemessene Maßnahmen“ SBA Research, © 2020

81. 81 Take-Aways • Elektronische Signatur o Es geht um Beweiskraft o Ja, auch mit internem Zertifikat signiert ist hinreichend o Via „qualifiziertem Vertrauensdienstleister“ ist „noch qualifizierter“ und für klar definierte Anwendungsfälle zwingend erforderlich o Qualifizierte elektronische Signatur ist rechtlich gleichwertig zu „analoger“ Unterschrift o Unbeschränkte (!) Haftung von Certificate Authorities (Beispiel DigiNotar) SBA Research, © 2020

82. 82 SBA Live Academy Thema 22/25 Linux Containers Mathias Tausig (SBA) SBA Research gGmbH, 2020

83. 83 Take-Aways • Containers have a long history • Containers are more lightweight than VMs, but have worse isolation • System Container (LXC) vs. Aplication Container (Docker) • Privileged vs. Unprivileged Container SBA Research, © 2020

86. 86 SBA Live Academy Thema 23/25 Tools & Techniques from building a DevSecOps culture at Mozilla Julien Vehent (Mozilla) SBA Research gGmbH, 2020

87. 87 Take-Aways To go beyond the security team, get the security team closer to your organization

88. 88 Take-Aways Clear Expectations  Checklist  Self Assessment  Profit

89. 89 Take-Aways

90. 90 Take-Aways

91. 91 Take-Aways

92. 92 Take-Aways

93. 93 SBA Live Academy Thema 24/25 What the heck is secure computing? Matthias Gusenbauer (SBA) SBA Research gGmbH, 2020

96. 96 Take-Aways • Use-Cases o Machine Learning o Berechnung des Kredit-Scores o Statistische Analysen auf medizinischen Daten • Key Take-Aways o Secure Computation ist möglich (MPC) o MPC ersetzt „Trusted third parties“ o MPC kann neue Geschäftsmodelle erschließen und Sicherheit und Privatsphäre verbessern SBA Research, © 2020

97. 97 SBA Live Academy Thema 25/25 SBA Live Academy Highlights Stefan Jakoubi & Thomas Konrad (SBA) SBA Research gGmbH, 2020

99. 99 Stefan Jakoubi SBA Research gGmbH Floragasse 7, 1040 Wien +43 660 5 10 20 40 sjakoubi@sba-research.org SBA Research gGmbH, 2020 Thomas Konrad SBA Research gGmbH Floragasse 7, 1040 Wien +43 664 889 272 17 tkonrad@sba-research.org

101. 101 Weitermachen mit dem Security Meetup by SBA Research #keeplearning https://www.meetup.com/Security-Meetup-by-SBA-Research/

102. 102 #bleibdaheim #remotelearning Coming up - Security Meetup by SBA 10.06.2020, 18.00 Uhr, live: "Secure development on Kubernetes” by Andreas Falk (Novatec Consulting) Language: English Treten Sie unserer Meetup Gruppe bei! https://www.meetup.com/Security-Meetup-by-SBA- Research/

103. 103 SBA Live Academy-Afterparty!SBA Live Academy-Afterparty!