Cyber Security Center

Kompetenzzentrum für Informationssicherheit

Warning: Use of undefined constant length - assumed 'length' (this will throw an Error in a future version of PHP) in /kunden/463182_72488/webseiten/cyber-security-center.de/wp-content/themes/csl/single.php on line 14

Warning: A non-numeric value encountered in /kunden/463182_72488/webseiten/cyber-security-center.de/wp-content/themes/csl/single.php on line 14

Warning: Use of undefined constant length - assumed 'length' (this will throw an Error in a future version of PHP) in /kunden/463182_72488/webseiten/cyber-security-center.de/wp-content/themes/csl/single.php on line 23

Warning: A non-numeric value encountered in /kunden/463182_72488/webseiten/cyber-security-center.de/wp-content/themes/csl/single.php on line 23
Studierende decken Sicherheitslücken auf

Studierende decken Sicherheitslücken auf

Eine Studierendengruppe des Bachelor-Studiengangs IT Security hat in einem vielfach genutzten Präsentationssystem eines österreichischen Herstellers teils erhebliche Sicherheitslücken aufgedeckt.

Dienstag, 08. Januar 2019

Prof. Holger Morgenstern

0 Kommentare

Aktuelles

IT Security

Das Hochschulprojekt unter der Leitung von Prof. Holger Morgenstern und Tobias Scheible wurde in Zusammenarbeit mit der Tübinger Firma Syss GmbH umgesetzt, die als Dienstleisterin im Bereich der IT-Security individuell und herstellerneutral Penetrationstests im In- und Ausland durchführt und den Studierenden das entsprechende Gerät zur Verfügung stellte. Bei einem Penetrationstest wird die Perspektive eines Hackers eingenommen, um von außen angreifbare Stellen im System zu identifizieren. Das erklärt Leon Albers, Mitglied der siebenköpfigen Studierendengruppe.

Hat das Gerät verwundbare Komponenten? Diese Kernfrage trieb die Studierenden an. „Dann ging es schließlich darum, einen realen Angriff durchzuführen und die Kontrolle über das Gerät zu übernehmen“, sagt der Studierende Sebastian Buckel. „Und das ist uns dann auch gelungen.“

Die Studierenden gaukelten dem Gerät unter anderem ein manipuliertes Update vor, das dieses dann auch prompt übernahm. „Dadurch hatten wir Vollzugriff“, sagt Buckel. Durch weitere Schwachstellen wurde es den Studierenden ermöglicht, Zugriff auf Netzwerklaufwerke und sensible Daten wie interne Passwörter zu erlangen. „Wir konnten Informationen mitlesen und manipulieren.“

Bachelorstudiengang IT Security
Die Studierenden Leon Albers (rechts) und Sebastian Buckel (links) haben zusammen mit fünf weiteren Kommilitonen Sicherheitslücken in einem Präsentationssystem gefunden. Betreut wurde das Hochschulprojekt von Prof. Holger Morgenstern (Mitte) und Tobias Scheible.
Hochschule Albstadt-Sigmaringen Die Studierenden Leon Albers (rechts) und Sebastian Buckel (links) haben zusammen mit fünf weiteren Kommilitonen Sicherheitslücken in einem Präsentationssystem gefunden. Betreut wurde das Hochschulprojekt von Prof. Holger Morgenstern (Mitte) und Tobias Scheible.

Die aus solchen Sicherheitslecks resultierende Bedrohung ist dabei durchaus real: „So ein Präsentationssystem wird von Unternehmen häufig in professionellen Kontexten genutzt“, sagt Leon Albers. „Sich dazu einen Zugang zu verschaffen, kann dann schon in Richtung Industriespionage gehen.“

Neben den fast alltäglichen Funden von veralteten Softwarekomponenten und unsicheren Standardkonfigurationen seien auch unbekannte und selbst in der aktuellsten Version des Herstellers noch enthaltene kritische Schwachstellen gefunden worden, sagt Holger Morgenstern. Aus Sicherheitsgründen informierten die Studierenden daher auch zunächst den Hersteller. Dieser sollte die Gelegenheit bekommen, die Sicherheitslücken zu schließen. „Man hat dort aufgeschlossen auf unseren Bericht reagiert“, sagt Leon Albers. „Die Firma will die Probleme beheben.“

Schwachstellen zu finden, die die Hersteller eigentlich vermeiden wollten: Auf Leon Albers, Sebastian Buckel und ihre Kommilitonen im Studiengang IT Security übt das einen großen Reiz aus – da wurde auch mal die ein oder andere Nachtschicht eingelegt. Beide sind sogar eigens für dieses Fach an die Hochschule Albstadt-Sigmaringen gekommen: Sebastian Buckel stammt aus dem Kreis Ravensburg, Leon Albers kommt aus Nordrhein-Westfalen.

Analysebericht

Dieses Projekt ist aus einer Kooperation zwischen der SySS GbmH und der Hochschule Albstadt-Sigmaringen entstanden. Repräasentiert wird die Hochschule durch eine Gruppe von sieben Studenten der Fachrichtung IT-Security, welche durch zwei Dozenten betreut werden. Die vorliegende Ausarbeitung gibt die Durchführung und Erkenntnisse des Penetrationtests wieder und stellt Empfehlungen zur Erhöhung des Sicherheitsniveau bereit.

Das Objekt des Auftrag ist das Präsentationssystem Cynap von Wolfvision mit der Version 1.18f. Der Fokus des Testes lag darin, ein möglichst breites Spektrum potenzieller Angriffspunkte abzudecken. Der Test hat ergeben, das das System mehrere Sicherheitslücken aufweist, darunter auch schwerwiegende, welche teilweise selbst in der aktuell neusten Version (1.20i) noch nicht behoben wurden.

Download Pentest Report

Berichterstattung

Interview mit den Studierenden im Radiosender Radio7:

10.01.2019 Zollern-ALb-Kurrier Studierende decken Sicherheitslücken auf

10.01.2019 econo Junge Forscher entlarven Sicherheitsmängel der Industrie

Bachelorstudiengang IT Security

Da die IT Security ein sehr praktisches Anwendungsfeld darstellt, legt der Studiengang großen Wert auf einen hohen Praxisbezug. Bereits im ersten Semester lernen die Studenten, eigenständig mit Methoden und Werkzeugen aus dem Bereich der offensiven Security (Hacking) umzugehen. Praxisunterricht ist auch im weiteren Studienverlauf von großer Bedeutung. Veranstaltungen wie Cyber Security, Netzwerk- und Systemsicherheit sowie Offensive Sicherheit werden stets von umfangreichen Praktikums- und Lab-Übungen begleitet. Fortgeschrittene Themen wie die Digitale Forensik, Kryptografie oder Reverse Engineering haben ebenso einen hohen Stellenwert im Studienverlauf des Bachelorstudiengangs IT Security.

Weitere Infos zum Studiengang IT Security

Cyber Security Lab Newsletter

Sicheren Sie sich Ihren Wissensvorsprung! Bleibe Sie immer up-to-date - Aktivitäten, Veranstaltungen, ...

Kommentare

Es wurde noch kein Kommentar abgegeben.


Schreibe einen Kommentar!

Hilfe zum Kommentieren

Um kommentieren zu können, geben sie bitte mindestens ihren Namen und ihre E-Mail-Adresse an. Bitte nutzen Sie die Kommentarfunktion nicht dazu, andere zu beleidigen oder Spam zu verbreiten. Trolle und Spammer sind hier unerwünscht! Unangemessene Kommentare, die zum Beispiel gegen geltendes Recht verstoßen oder eine Gefährdung anderer Besucher darstellen, werden gelöscht oder angepasst.

Name: Ihr Name, der oberhalb des Kommentars steht, gerne auch Ihren echten Namen, das erleichtert die Kommunikation für alle. Sollte ein Spam-Keyword als Name verwendet werden, kann dieses entfernt oder korrigiert werden.

E-Mail: Ihre E-Mail Adresse dient zur Identifizierung weiterer Kommentare und sie haben die Möglichkeit, ein Avatar-Bild zu verwenden. Dazu müssen Sie mit Ihrer E-Mail Adresse bei Gravatar angemeldet sein. Die E-Mail Adresse wird natürlich nicht veröffentlicht und nicht weitergegeben.

Website: Hier können Sie ihren eigenen Blog bzw. ihre eigene Website eintragen, dadurch wird Ihr Name und Ihr Avatar-Bild verlinkt. Werden rein kommerzielle Angebote offensichtlich beworben, setze ich den Link auf nofollow und unangemessene werden einfach entfernt.

Erlaubte HTML-Tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <hr> <big> <small> <sub> <sup> <u>

1