An example why Security by Obscurity does not work and why implementing secure software is hard
Beschreibung:
Was macht man, wenn ein Kunde 50+ AccessPoints verbaut hat, diese neu konfigurieren will und das Passwort nicht mehr kennt? Nein, man fährt nicht stundenlang quer durch das Land und setzt jeden AccessPoint einzeln auf die Werkseinstellungen zurück, sondern man findet eine Sicherheitslücke im Gerät und entschlüsselt das Passwort!
Security by Obscurity ist die Idee ein System durch Geheimhaltung des Verfahrens sicher zu machen. Im Grunde also das Gegenteil des Open Source Gedankens. Häufig ist dieser Ansatz in IT-Systemen gepaart mit schwachen Sicherheitsmechanismen und fehlerhaften Implementierungen. Dieser Talk zeigt am Beispiel eines Enterprise AccessPoints wie man mit einfachen Mitteln einen simplen Verschlüsselungsalgorithmus analysiert und bricht.
David Gstir studierte Informatik an der TU Graz mit Fokus auf IT-Security. Während seiner Ausbildung analysierte er Attacken auf den Verschlüsselungsalgorithmus AES, Sicherheits- und Privacyaspekte von Smart Metern und entwickelte Software für das LHC Computing Grid. Seit 2013 ist er Teil des Linux und Security Teams der sigma star gmbh.
Vortragender: David Gstir