Prof. Dr. (TU NN) Norbert Pohlmann Professor für Informationssicherheit und Leiter des Instituts für Internet-Sicherheit if(is) Vorstandsvorsitzender TeleTrusT - Bundesverband IT-Sicherheit e.v.
Hacker als Berufsbild Der Stellenmarkt für IT-Sicherheitsfachleute Excellence Center 2
Hacker als Berufsbild Der Stellenmarkt für IT-Sicherheitsfachleute Excellence Center 3
Professionelle Angreifer greifen alles erfolgreich an! Wer sind die Angreifer? Was ist ihre Motivation? Welche Kompetenzen brauchen sie? Welche Fähigkeiten müssen sie haben? Wie können wir diese Kompetenzen und Fähigkeiten für mehr IT-Sicherheit und Vertrauenswürdigkeit nutzen? 4
Berufskriminelle (Geld, Profit, ) Behörden (Strafverfolgung) Terroristen (Politische Interessen) Vandalen (Zerstörungswut) Hacker sind die Guten Cracker sind die Bösen Spione für Wirtschaft und Regierung (Geld, Informationsgewinn, Kontrolle, ) Hacker (Anerkennung, Herausforderung, ) Was haben die Angreifer gemeinsam? Kompetenzen und Fähigkeiten aber Unterschiedliche Motivation und Ethik Aber: Meist strafbare Handlungen! 5
Hacker sind professionelle IT-Sicherheitsexperten IT-Sicherheitsexperten kennen ihre (eigenen) Werkzeuge IT-Sicherheitsexperten finden (auch neue) Schwachstellen IT-Sicherheitsexperten machen sich nicht strafbar! IT-Sicherheitsexperten können Bedrohungen und Gefahren erkennen, beurteilen und einschätzen IT-Sicherheitsexperten können auch beraten und IT- Sicherheitssysteme entwickeln und so Schäden verhindern 6
Internet-Protokolle (Rechnernetze) (Aufbau des Internets, Schichten, Abläufe, ) Social Engineering (Beeinflussen von Personen, ) Und vieles mehr kann helfen 7
Freude an der Lösung von IT-Security-Problemen Brauchen eine sehr starke Motivation, um viel Energie aufzubringen Übertreten von Grenzen, um Neues zu schaffen Kreativität für neue Ansätze und ungewöhnliche Vorgehensweisen Geistige Klarheit, Geschicklichkeit und Konzentration Verantwortungsvoll mit wichtigen Daten und Sicherheitslücken umgehen 8
Sicherheitslücken finden, um diese schließen zu können und damit erfolgreiche Angriffe zu verhindern. Sicherheitssysteme überwinden, um die Stärke der IT-Sicherheitsmechanismen zu überprüfen. Penetrationstest, Produktevaluierungen, Ein sehr gutes Verständnis für die Möglichkeiten und Grenzen der IT-Sicherheit entwickeln, um dieses für die Entwicklung von innovativen, sicheren und vertrauenswürdigen IT-Sicherheitslösungen nutzen zu können Unternehmen schützen, um das Risiko eines Schadens zu reduzieren 9
Studium an Hochschulen Selbststudium Praxis (Unternehmen, ) Westfälische Hochschule Gelsenkirchen UNI Bochum, Darmstadt, München, Erlangen, FH Offenburg, Albstadt-Sigmaringen, Bücher Gruppen virtuell im Internet Zuhause in der Bude durch learning by doing Weiterbildungen Zertifizierungen, wie z.b. TISP, (ISC) 2, Fernstudiengänge, 10
Sehr hohe Kompetenz im Bereich des Datenschutzes Erfahrungen mit dem Schutz der Privatsphäre Sehr hohes Vertrauen im Bereich der IT-Sicherheit mittelstandsgeprägte Sicherheitsindustrie umfangreiche und kompetente IT-Sicherheitsforschung hohe Kompetenz bei Sicherheitsevaluierungen (BSI, TÜVs, ) offene Kryptopolitik Kulturell gute Voraussetzungen traditionell verlässliche IT-Sicherheit hohes Verständnis für IT-Sicherheit und Datenschutz sehr viel Erfahrung bei der Umsetzung von IT-Sicherheitslösungen 11
IT-Sicherheitskompetenzen Sichere Vernetzung Sicherer Internetzugang Digital Enterprise Security Client- und Serversicherheit Mobile Security Bedeutung für die Zukunft Technologischer Vorsprung in DE Marktstärke der dt. Unternehmen Abstand zwischen Soll- und Ist-Zustand (Δ) ++ + 0! - -- https://www.internet-sicherheit.de/it-sicherheitsstrategie/ 12
Hacker als Berufsbild Der Stellenmarkt für IT-Sicherheitsfachleute Excellence Center 13
Entwicklung Arbeitnehmeranzahl Deutschland Bis 2020 werden zwischen 5.000 und 30.000 neue Fachkräfte in der IT-Sicherheit benötigt Anstieg von 2005 bis 2013: ~ 25% Anstieg von 2005 bis 2020: ~ 70% ( best case ) Quelle: statista.de 14
Entwicklung Umsatzvolumen weltweit Weltweiter Umsatz in der IT-Sicherheit steigt von 23,7 (2013) auf 42,8 Milliarden US-Dollar Anstieg von über 80% Quelle: statista.de 15
Frankfurt: 647 684 (HH) Dortmund: 72 72 (DO) 647 (F) 263 (H) 106 (L) 793 (B) München: 1.182 Stuttgart: 727 Hannover: 263 Hamburg: 684 Leipzig: 106 727 (S) 1182 (M) Berlin: 793 Gesamt Marktplatz IT-Sicherheit : 17.588 Stellenangebote 16
17
Frankfurt: 8 583 (HH) Dortmund: 320 320 (Do) 8 (F) 0 (H) 130 (L) 918 (B) München: 1.136 Stuttgart: 190 Hannover: 0 Hamburg: 583 Leipzig: 130 190 (S) 1136 (M) Berlin: 918 18
Angebot Nachfrage 684 (HH) 583 (HH) 72 (DO) 647 (F) 263 (H) 106 (L) 793 (B) 320 (Do) 8 (F) 0 (H) 130 (L) 918 (B) 727 (S) 1182 (M) 190 (S) 1136 (M) 19
Fachoberschulreife Abitur Schüler (14 20) Ausbildung Duales Studium Bachelor Master Studenten (18 30) Arbeitsmarkt Die Cyber Security Challenge findet auch versteckte Cyber Security Talente sehr früh! 20
Hacker als Berufsbild Der Stellenmarkt für IT-Sicherheitsfachleute Excellence Center 21
Junge Menschen (Cyber Security Talente) für die Cyber Security begeistern, um die Zukunft sicherer und vertrauenswürdiger gestalten zu können Professionelle IT-Sicherheitsexzellenz in Deutschland fördern Online-Qualifikation Finale der Challenge und Konferenz 01.11.2014 15.01.2015 heute 22
797 Teilnehmer der Online Challenge 765 (96 %) männlich 32 ( 4 %) weiblich 256 (32 %) Schüler - 42 (16 %) aktiv 541 (68 %) Studierende - 133 (25 %) aktiv Finalisten (10 Schüler und 10 Studierende) Durchschnittsalter Studierende 23,5 Jahre Schüler 17,4 Jahre Punktzahl in der Online Challenge Finalisten 1xAachen 1xErfurt 2xWismar 1xBerlin 1xPotsdam 2xBremen 1xMerseburg 3xMannheim 1xKarlsruhe 1xWuppertal 1xStuttgart 1xBodensee Studierende 230 Punkte (maximal erreichbare Punkte) Schüler 146,9 Punkte (ein Schüler hat auch maximale Punktzahl) 23
Unterschiedliche Schwierigkeitsstufen Abhängig von Dauer zum Lösen und Wissensgrad (subjektive Einschätzung) Leicht (10 Punkte), mittel (20 Punkte), schwer (30 Punkte) Einzel-Challenge (Online Challenge) Schwieriger, da ein breiteres Fachwissen von jedem Einzelnen gefordert wird. Bei anderen CTFs treten Gruppen mit Spezialisten der Teilgebiete gegeneinander an Lösung der Challenge nur komplett mit Mitigation Wie kann der Angriff verhindert werden? Vorort Wettbewerb Im Team gemeinsam Challenges lösen Darstellung des Problems und der Lösung 24
Aufgabenstellung Bruteforce eines Logins auf einer Webseite (ausprobieren von PW). Ein CAPTCHA soll einen Bruteforce verhindern CAPTCHA Die Teilnehmer müssen das CAPTCHA automatisch lösen. Mehrere Schwierigkeitsstufen: Text CAPTCHA (leicht / 10 Punkte), Bild CAPTCHA (mittel / 20 P.), Audio CAPTCHA (schwer / 30 P.) Input Webseite mit verschiedenen Captchas und Loginformularen Lösung Automatische Lösung des Captchas und erfolgreicher Login in eine bereitgestellte Seite. 25
Aufgabenstellung Einhängen in Betriebssystemfunktionen und Mitschneiden der Logindaten vor dem Verschlüsseln (https) und Senden an eine Webseite. Somit können Anmeldedaten im Klartext aus dem Browser ausgelesen werden. Schwierigkeitsstufe: Leicht (10 Punkte) Vorgaben Funktion des Betriebssystems und mögliches Tool zur Umsetzung Lösung Login und Passwort, z.b. von einem E-Mail Account 26
SQL Injection Aufgabenstellung Durch ungefilterte Parameter in URLs sollten die Teilnehmer Abfragen direkt an die Datenbank senden und somit die Sicherheitsüberprüfung der Webseite umgehen. Ziel ist es, Passwörter der Benutzer auszulesen und Informationen über die Datenbank zu erlangen. Schwierigkeitsstufe: Leicht (10 Punkte), Mittel (20 Punkte) Input: Bereitgestellte Login-Seiten Lösung URL-Variablen verändern, z.b. den Benutzernamen: http://192.168.2.30:7070/login.jsp?formname=login&login= [manipulierter Wert]&Password=&FormAction= login&ret_page=&querystring=h 27
Aufgabenstellung Entschlüsseln einer Kommunikation zwischen Smartcard und Administrationstool. Ziel ist es, alle möglichen (4 stelligen) PINs zur Entschlüsselung der Kommunikation herauszufinden. Verschlüsselungsart: 3DES im CBC, damit ist die Key-Länge 24 Zeichen. Schwierigkeitsstufe: Mittel (20 Punkte) Input Kommunikationsmittschnitt von verschlüsselten Daten Lösung Gültige 4 stellige PINs, z.b. 0868 Time :Wed Jun 12 22:31:45 2013 SCardTransmit (handle 0xEA010000): transmitted: 80 C2 00 00 28 D8 00 01 6F 00 F5 EF BF B1 8C 76 16 00 0E 43 6F 6E 74 65 6E 74 4D 61 6E 61 67 65 72 00 C0 4B 4E 7F BD 00 04 4D 53 43 4D received: 61 05 Ausschnitt aus Mitschnitt 28
Aufgabenstellung Analyse eines DNS-Protokollmitschnitts und Rekonstruktion der darin übertragenen Daten Schwierigkeitsstufe: Schwer, 30 Punkte Input Mitschnitt einer Kommunikation (PCAP) Auszug aus Kommunikation Lösung Ein Bild, das über das Protokoll in einzelnen Zeichen übertragen wurde. Die Zeichen für das Bild sind in Base16 codiert und werden einzeln übertragen. 29
Bezeichnung der Challenge Art Lösungen Schülern Lösungen Studenten Captcha_Level_1 easy Web Security Programming 24 92 Captcha_Level_2 medium Web Security Programming 11 53 Captcha_Level_3 hard Web Security Programming 6 27 APDU_Master_Key_Challenge_ Communication_Decryption medium Crypto 1 22 Captcha_Level_4 hard Web Security 5 21 APIMonitor easy Reverse Engineering 10 31 Steganography_Challenge easy Forensic 4 33 Application_Debug_Modification easy Reverse Engineering 9 41 Oracle_SQL_Injection easy Web Security Database 13 62 Schwierigkeitsgrad Oracle_SQL_Injection_- Gather_the_Credentials medium Web Security Database 7 36 APT_Network_Forensic_Challenge hard Forensic Networking Reverse Engineering 3 17 SVG_Hidden_Information easy Fun 14 61 Escape_from_Python_City_2 easy Crypto Programming Fun 4 19 Crypto_Callback_Challenge easy Reverse Engineering Crypto 6 37 30
Besonders relevante Cyber Security Themen identifizieren und diskutieren Probleme beschreiben und gemeinsam Lösungsansätze erarbeiten Etablierte Fachkräfte und junge Cyber Security Talente zusammenbringen Die Möglichkeit zum Netzwerken schaffen 31
Cyber Security Talente Hochschulen Unternehmen, - Geld - Aktion - - Bester Arbeitsgeber DE - Wollen mehr Sicherheit - - Sozial - Freiheit - - Keller - Ruhe - - Zahle viel Geld - Erwarte viel - 32
Der deutsche Markt für IT-Sicherheit ist ein attraktives Arbeitsfeld wird die nächsten Jahre deutlich wachsen bietet jungen Cyber Security Talenten eine gute Zukunftsperspektive nimmt in der Wirtschaft eine immer wichtigere Position ein (Wirtschaftsspionage, Cyber War, ) benötigt die besten Cyber Security Talente Die Cyber Security Challenge findet und fördert Cyber Security Talente frühzeitig bringt diese Cyber Security Talente mit Unternehmen zusammen (Konferenz und Online Plattform) stärkt nationale und europäische Netzwerke http://www.cybersecuritychallenge.de/ 33
Prof. Dr. (TU NN) Norbert Pohlmann Professor für Informationssicherheit und Leiter des Instituts für Internet-Sicherheit if(is) Vorstandsvorsitzender TeleTrusT - Bundesverband IT-Sicherheit e.v.