Zum dritten Mal soll es beim EdvGerichtsTag (also diesmal beim EdvGerichtsTag2015) eine "Hacking Session" geben - vgl. auch schon EdvGerichtsTag2013/HackingSession (Bericht und EdvGerichtsTag2014/HackingSession

Diese Seite diente der Organisation dieser Session. Jeder, der Interesse hatte, konnte sich beteiligen - einfach oben auf "Editieren" klicken.

Agenda

Hier also das - voräufige - Ergebnis unserer Bemühungen

• 14:15 h Begrüßung - 5 Min.
• 14:20 h Wir basteln uns einen Fingerabdruck (Jörn Erbguth) 30 Min.
• 14:55 h Mobile Device Security (Stefan Hessel) - 30 Min.
• 15:25 h Pause (20 Min.)
• 15:45 h Festplattenverschlüsselung (Prof. Christoph Sorge) 30 Min.
• 16:20 h MongoDB Sicherheitslücke (?) - 40 Min.
• 17:00 h Ende

Archiv

Am 17.08.15 fand zur Vorbereitung die erste Telefonkonferenz statt. Die nächste Telefonkonferenz ist für den 28.08.15, 14:00 Uhr geplant. Am 21.09.15 gab es eine weitere Telefonkonferenz.

Teilnehmer:

• Prof. Christoph Sorge (PCS)
• Jörn Erbguth (JE)

• IrisSpeiser (IS)

• Stefan Hessel (SH)

• RalfZosel (RZ)

• Rigo Wenning (RW)

Der Titel "Hands On Datensicherheit" - praktische Demonstrationen zur IT-Sicherheit ist gesetzt. Beim Untertitel und der Beschreibung können wir noch gestalten und z.B. die Begriffe "Hacking" aufnehmen. Iris Speiser meinte, dass wir eine Beschreibung bzw. Untertitel noch bis Ende August für das Programmheft formulieren können.

Es bestand zudem Konsens, dass wir nach Möglichkeit kompetente externeReferent_innen einladen.

Themen/Personen

• Herr Fukami ist am Donnerstag und Freitag in anderen Arbeitskreisen auf dem EDV-Gerichtstag. Er könnte sicherlich spannende Dinge vortragen. Er ist Mittwoch Nachmittag jedoch vermutlich noch nicht da. Rigo wird ihn anfragen - vielleicht kann er uns ja auch Leute nennen, die spannende Life Hacks vortragen würden.

• Stagefright (Android): Zwischen zeitlich hat Zimperium einen Exploit für die Stagefright-Lücke bereitgestellt. Ich (Stefan Hessel) werde im Verlauf der Woche prüfen, ob es mit vertretbarem Aufwand möglich ist den Exploit live zu zeigen. Die Stagefright-Lücke ließe sich ohnehin auch gut in den Vortrag zur Mobile Device Security einbauen.

• SQL-Injection und XSS (alte Themen aber leider trotzdem noch aktuell) - könnten vielleicht von den Dieter Meurer Preisträgern vorgeführt werden. Ein Vortrag der Preisträger wäre auf jeden Fall gut.
• Vincent: Welche Apps senden welche Daten nach Hause (welche OS auch)
• Vortrag Mobile Device Security = Sicherheitseinstellungen präsentieren, Alternativen zu Standard-OS mit Hintergrund. Diesen Vortrag kann ich (Stefan Hessel) zusagen. Die Präsentation werde ich Lauf der Woche machen, bei Interesse kann ich sie dann schon vor dem EDVGT zur Verfügung stellen.
• Kurzvortrag Prof. Sorge zu den Problemen um vielfach offen stehende trivialen Lücken und mögliche Schutzmassnahmen diese zu schliessen (im Anschluss an Mongo-DB)
• Fingerabdruckscanner überlisten (wenn mit Hausmitteln machbar, Jörn Erbguth)
• Bluetooth Hacking (basierend auf fahrlässiges Berechtigen von Verbindungsanfragen) (?)
• iMessage of Death (inzwischen gefixed) (?)
• Falsche SIM-Karten (?)
• Bundestag - Bericht über den Virusbefall (?)
• Besonderes Anwaltspostfach - wir haben aber keine Details (?)

  • Ggf. könnten wir hier Angriffsszenarien skizzieren - ohne auf technische Einzelheiten einzugehen: Wenn alle anwaltliche Gerichtskorrespondenz auf einem Rechner liegt ist das ja schon was anderes als vorher. Was könnte denn passieren, wenn man hier Zugriff drauf hat? RZ