Centurios Blog

Wow, das war echt mal ein cooler Vortrag Wie zu erwarten war es rappelvoll.

Größte Überraschung für mich war Frau Brigitte Wojcieszynski, die IT-Sicherheitsbeauftragte der Rub. Ich schätzte sie vor dem Vortrag in ihrer Position wesentlich jünger ein, dabei war sie jetzt vielleicht so ca. 45-50 Jahre alt, aber sowas von fit auf dem Gebiet Forensik und IT Sicherheit, ich war echt baff und positiv überrascht

Im Allgemeinen war das Publikum schnell einzuschätzen. Der jüngere Teil kam größtenteils aus dem ITS/AI Bereich, nur die ganzen älteren Herren in der Runde haben mich doch verblüfft. Ich schätze sie mal ein als RZ Mitarbeiter oder Angestellte Administratoren an der RUB.

Begonnen hatte das ganze mit einem kurzen erklärenden Vortrag zum Thema “Leetspeak”, denn schließlich war ihr Seminar Titel auch für außenstehende ungewöhnlich. Sie ging auf zwei Fallbeispiele ein, einmal anhand eines Apache Webservers und einmal anhand einer Windows 2000 Prof. Workstation.

Auf beiden Maschinen wurden Szenarien nachgespielt, die dazu führten, dass die Rechner exploited (ausgenutzt) wurden und für andere Dinge missbraucht wurden. Der Webserver wurde für eine Phishing Attacke missbraucht und der Normale Windows Rechner als Beispiel für einen Angriff mit Rootkit und Island Hopping missbraucht. Island Hopping beschreibt in dem Fall das “hüpfen” von einer Maschine zur nächsten, um neue Opfer zu finden und um seine eigenen Spuren zu verschleiern.

Schließlich erzählte Sie noch ein wenig über die RUB und etwas Statistik dazu. Gegen Mittag sind etwa 1200-1400 Webserver im Uni Netzwerk zu finden, und jede Menge anderer fremder/wilder Server, die dem Rechenzentrum nicht bekannt gemacht wurden. Das ganze dann zentral zu organisieren und zu verwalten erscheint unmöglich zu sein. Hinzu kommt, das die RUB wohl keine “richtige” Firewall mit Statefull Packet Inspection besitzt und auch keine Intrusion Detection Systeme, im Gegensatz wie die Uni Münster.

In der anschließenden Diskussion um dieses Thema ging es dann wieder auch um die “universelle Freiheit” und das eine zentrale Steuer/Regelung das ja einschneiden würde und das ja doch die RUB eine der ersten Unis wäre, die extra eine IT Security Abteilung hätte und ja auch den ITS Studiengang hätte.

Dennoch schien es mir so, dass Frau Wojcieszynski diese Meinung nicht teilen konnte und auch einiges zu tun hat in ihrer Position an der RUB.

Abschließend gibt es hier noch ein paar Links:

• Folien und Linkliste (sehr zu empfehlen) des Vortrages
• Offizielle Seite der IT Sicherheitsbeauftragten der RUB
• Kontaktinformationen zu Frau Wojcieszynski
• Akademie der Rub, Weiterbildungskurse

Hier nur in aller schnelle eine kleine Zusammenfassung vom Botnet Seminar des HGI:

Es wurden die prinzipiellen Vorgehensweisen und Steuerungswege von Botnetzen gezeigt (ein Control Server der über IRC z.B. seine Befehle an die lauschenden Bots weiterreicht). Anschließend ein kleiner Überblick über die Möglichkeiten der CWSandbox (dem automatischen Analyseprogramm) gegeben. Das lässt sich mit verschiedenen Plugins recht schnell aufrüsten und anpassen an aktuell ausgenutze Sicherheitslücken.
Das in C++ geschriebene Plugin bildet dann in der CWSandbox z.B. bekannte Windows Bugs nach und simuliert somit dem Bot ein verwundbares System.
Die CWSandbox sitzt vor jedem Aufruf einer Malware und analysiert und loggt jeden Aufruf an die Windows API und auf das Dateisystem und die Registrierung sowie jegliche Kommunikation mit und erstellt daraus dann im XML Format einen Bericht.
Das ganze System ist wohl ziemlich leistungsfähig und ein Rechner soll etwa 1000 gleichzeitige Malware Aktionen und dazugehörende Kommunikation verarbeiten können und läuft hauptsächlich in einer VMWare Maschine, die man auch wieder schnell zurücksetzen kann.

Alles in allem ein schöner interessanter und spannender Vortrag, und das Interesse war auch entsprechend groß. Wir hatten nur noch einen kleinen Stehplatz am Fensterrand bekommen, obwohl wir pünktlich um 13:15 da waren.

Ich freu mich schon auf den Mittwoch, wenn der Angriff auf den RUB IT Verbund gezeigt wird