Security Meetup 0x51 (hybrid) (Nr 81)

Die Vorträge dieses Mal sind auf Deutsch. / Talks this time will be in German

=

Diese Veranstaltung wird hybrid stattfinden. Für Pizza und Mate wird natürlich vor Ort gesorgt.

Der Besuch ist für jeden offen der Lust hat vorbei zuschauen. Jeder ist gerne willkommen. :)

Die Veranstaltung wird ab dem Gebäude ausgeschildert. Den Zugangslink für alle, die sich remote zuschalten möchten, senden wir am Tag der Veranstaltung.
Wenn Du Fragen hast, einfach in die Kommentare schreiben: Es findet sich sicherlich jemand der sie beantwortet.

Talks (Für die, die vor Ort vorbeischauen: Alle 3 Vorträge werden remote hinzugeschaltet):

1 Live Hacking Event (Sebastian Schreiber, Geschäftsführer SySS)

Live-Hacking: Faszinierende Angriffe live und anschaulich demonstriert
Sebastian Schreiber, Gründer und Geschäftsführer des IT-Sicherheitsunternehmens SySS GmbH in Tübingen, zeigt in einem Live-Hacking anschaulich, wie IT-Netze übernommen, Passwörter geknackt und Daten abgezogen werden können. Er führt vor, wie in Webshops Preise manipuliert und bei SMS Absender gefälscht werden können. Mit Angriffen gegen USB, Funktastaturen, Mäuse und Presenter sowie Antivirenprogramme macht er auf die Anfälligkeit von IT im täglichen Gebrauch aufmerksam.

Diplom-Informatiker Sebastian Schreiber, geboren 1972, studierte Informatik, Physik, Mathematik und BWL an der Universität Tübingen.
Noch während seines Studiums gründete er 1998 das IT-Sicherheitsunternehmen SySS GmbH in Tübingen, das Sicherheitsprüfungen bei einer Vielzahl von Unternehmen durchführt.
Seit 2000 tritt Schreiber regelmäßig bei Messen und Kongressen im In- und Ausland als Live Hacker auf und zeigt anschaulich, wie IT-Netze übernommen, Passwörter geknackt und Daten abgezogen werden können.
Er ist gern gesehener IT-Sicherheitsexperte in Printmedien, Rundfunk und Fernsehen, so beispielsweise in der Tagesschau, ZDF heute, Plusminus oder bei Günther Jauch.

2 Die OWASP, viel mehr als die Top 10 (Tobias Glemser, OWASP German Chapter Lead)

Die OWASP Top 10 - die 10 häufigsten Risiken in Webanwendungen - kennen zumindest vom Titel her mittlerweile viele Menschen. Die Top 10 ist aber nur eines von vielen Projekten der Ehrenamtlichen die hinter "OWASP" stecken. Tobias Glemser, seit vielen Jahren ehrenamtlich für das OWASP German Chapter tätig, stellt einige OWASP Projekte und deren Nutzern für Softwareentwicklung und -Prüfung vor."

3 Der LastPass Breach: Warum 2FA hier nutzlos ist (Dr. Schürmann)

Im Dezember 2022 kam heraus, dass Angreifer die verschlüsselten Vaults von LastPass erbeutet haben. Zwischen den Angreifern und den verschlüsselten Passwörtern steht jetzt nur noch das Master-Passwort des jeweiligen Nutzers. Konfigurierte 2-Faktor-Methoden sind in diesem Fall komplett nutzlos, doch warum ist das eigentlich so? Kurz gesagt: Der 2. Faktor ist wirkungslos, da er nicht Teil der Verschlüsselung ist. Nur das Master-Passwort wird dafür genutzt. Ist das geknackt, hat der Angreifer Zugriff auf alle Daten, der 2. Faktor wird so effektiv ausgehebelt. Der Vortrag stellt die grundsätzlichen Probleme der LastPass-Architektur dar und erklärt wie es um die Sicherheit bei den Konkurrenten Bitwarden, Dashlane und 1Password bestellt ist.

Dr. Dominik Schürmann hat in IT-Sicherheit promoviert und während seiner Zeit an der TU Braunschweig über 15 wissenschaftliche Publikationen veröffentlicht. Neben der Forschung entwickelte er Apps für E-Mail-Verschlüsselung und betreute 3 Jahre in Folge den Google Summer of Code.

Wir freuen uns auf euch

Das IT-Netzwerk Nordhessen (https://www.it-nordhessen.net/) wird bei dieser Veranstaltung die Pizza sponsoren. Vielen Dank dafür.

==

Dauer der Vorträge / Duration of the talks:
Normal: Max 1h 30, Shorty: Kurzvortrag / Short talk

Weitere Ressourcen IT-Security-Meetup Kassel / Further resources IT-Security-Meetup Kassel:

• Alte Vorträge / Talks from the past:
  -- https://github.com/it-security-kassel-nordhessen/meetup
  -- https://www.youtube.com/watch?v=nTpTSOVXSTU&list=PLGrnDfwTFZ7nluvGOIIR1GXHCEAnuLR1o

• ---------------------------------------------------------------------------