Sicherheit und VertrauenErfahrungen als Open Source Hacker

Stefan Schumacher

sicherheitsforschung-magdeburg.destefan.schumacher@sicherheitsforschung-magdeburg.de

Bitkom Forum Open Source05.07.2016

Id: FLOSS-Hacker-Input.tex,v 1.3 2016/07/04 12:53:43 stefan Exp

Stefan Schumacher Sicherheit und Vertrauen Bitkom 160705 1 / 21

Über Mich

Stefan Schumacher Sicherheit und Vertrauen Bitkom 160705 2 / 21

Über Mich

Bildungswissenschaft/PsychologieGeek, Nerd, Hacker seit mehr als 20 Jahreneinige Zeit NetBSD-EntwicklerBerater für Finanzinstitute, Regierungen, SicherheitsbehördenDirektor des Magdeburger Instituts für SicherheitsforschungForschungsprogramme zur UnternehmenssicherheitHerausgeber des Magdeburger Journals zur Sicherheitsforschungwww.Sicherheitsforschung-Magdeburg.de

Stefan Schumacher Sicherheit und Vertrauen Bitkom 160705 3 / 21

Forschungsprogramme des MIS

Psychologie der SicherheitI Social EngineeringI Security Awareness, Sicherheit in OrganisationenI Didaktik der SicherheitI Didaktik der Kryptographie

LehrerfortbildungI Lernfelder: Fachinformatiker IT-SicherheitI Lernfelder: IT-Sicherheit für KaufleuteI Lernfelder: IT-Sicherheit für Elektroberufe

IT-Sicherheit in KMUI empirische GrundlagenforschungI didaktische AufbereitungI Schulungen

Kooperationspartner gesucht!

Stefan Schumacher Sicherheit und Vertrauen Bitkom 160705 4 / 21

Definition (Outrage as a Svc @OaaSvc)Science is awesome. You aren’t doing science in infosec. Why not?Seems to be the overriding message of @0xKaishakunin#AusCERT2014

2013 DeepSec Wien: Psychology of Security - a ResearchProgramme2014 AusCERT Australien: Security in a Post NSA age2015 PHDays Moskau: Why IT Security is fucked up2015 Austrian Trust Circle: Vertrauen ist gut, Kontrolle unmöglich

Stefan Schumacher Sicherheit und Vertrauen Bitkom 160705 5 / 21

Chirurgischer Roboter

Stefan Schumacher Sicherheit und Vertrauen Bitkom 160705 6 / 21

Zukunft?

massive Abhängigkeit von ITmassive Kenntnislosigkeit von IT-Sicherheitinsbesondere in der Informatikschlechte/fehlende Ausbildungkeine wissenschaftliche Absicherung/Fundierung Psychologie der Sicherheit

Stefan Schumacher Sicherheit und Vertrauen Bitkom 160705 7 / 21

Psychologie?

Definition (Psychologie)Psychologie ist eine empirische Wissenschaft. Sie beschreibt underklärt das Erleben und Verhalten des Menschen, seine Entwicklungim Laufe des Lebens und alle dafür maßgeblichen inneren undäußeren Ursachen und Bedingungen.

Definition (Empirie)Unter Empirie wird in der Wissenschaft eine im Labor oder im Felddurchgeführte Sammlung (oft Erhebung) von Informationenverstanden, die auf gezielten, systematisch verlaufendenUntersuchungen beruht.

Stefan Schumacher Sicherheit und Vertrauen Bitkom 160705 8 / 21

Warum Psychologie der Sicherheit?

Sicherheit als ein Sonderfall von LebenswirklichkeitIst ein Gerät oder eine Situation sicher?Windows ≺ Mac OS X ≺ Gentoo Linux ≺ OpenBSDSicherheit in der Psychologie: bspw. F20.0 paranoideSchizophrenieFight-or-Flight Reaction (limbisches System)Maslowsche Pyramide

Stefan Schumacher Sicherheit und Vertrauen Bitkom 160705 9 / 21

Bsp: Buffer Overflow

Zu große Daten werden in einen zu kleinen Buffer geschriebenBuffer-Grenzen laufen über, Speicher-Sicherheit wird verletztMögliche Konsequenz: Return-Adresse einer Sub-Routine wirdmit beliebigen Daten überschrieben Root-RechteProgrammierer muss »nur« passende Befehle verwenden . . .

Stefan Schumacher Sicherheit und Vertrauen Bitkom 160705 10 / 21

Buffer Overflow in CDas Problem

1 void input_line()2 { char line[1000];3 if (gets(line))4 parse_line(line);5 }

line mit Länge 1000 deklariertgets zeigt auf Array ohne Längewenn line größer 1000 = ProblemThou shalt not follow the pointer

Stefan Schumacher Sicherheit und Vertrauen Bitkom 160705 11 / 21

Buffer Overflow in CDie Lösung

1 void input_line()2 { char line[1000];3 if (fgets(line, sizeof(line), stdin))4 parse_line(line);5 }

gets zeigt auf Array mit LängeHardwarenahe Sprachen meiden, Compiler mit Feldüberwachung,PaX, w^x ...Problem: Mensch muss entscheiden!

Stefan Schumacher Sicherheit und Vertrauen Bitkom 160705 12 / 21

Eine kurze Geschichte des Buffer Overflows

02.11.1988: Morris-Wurm nutzte u. a. einen Buffer-Overflow viagets() in finger(1)1996: Aleph One Smashing the Stack for Fun and Profit in Phrack 492001: Code Red2008: SQL SlammerCORE-2007-0219: OpenBSD’s IPv6 mbufs remote kernel bufferoverflow2007: Buffer Overflow in SnortVU#987308: HP LoadRunner buffer overflow vulnerability

Stefan Schumacher Sicherheit und Vertrauen Bitkom 160705 13 / 21

1996: Ariane 5 Flight 501

Stefan Schumacher Sicherheit und Vertrauen Bitkom 160705 14 / 21

Ariane 5 Flug 501

1996 Ariane 5 501: gesprengt nach 36,7 SekundenSoftware von Ariane 4 auf Ariane 5 portiert64 Bit Float in 16 Bit signed IntBeschleunigung der Ariane 5 ist signifikant höher OverflowTest-Simulation vor dem Flug fand das Problem nicht,Nicht-Schutz der Variablen war nicht dokumentiert320 000 000,– Euro teures Feuerwerk

Stefan Schumacher Sicherheit und Vertrauen Bitkom 160705 15 / 21

gefühlte Sicherheit erforschen

Kernaufgabe der Psychologie, Pädagogik, Soziologie,Politikwissenschaftempirischen Sozialforschung: quantitative und qualitativequantitativ: alle Vorgehensweisen zur numerischen Darstellungempirischer Sachverhaltequalitativ: Erhebung nicht standardisierter Daten und derenAuswertung; interpretative und hermeneutische Methoden alsAnalysemittel

Stefan Schumacher Sicherheit und Vertrauen Bitkom 160705 16 / 21

Persönlichkeitseigenschaften und Sicherheit

NeurotizismusExtraversionOffenheit für ErfahrungenVerträglichkeitGewissenhaftigkeit

Wie beeinflussen diese Persönlichkeitseigenschaften dieWahrnehmung von Sicherheit?

Stefan Schumacher Sicherheit und Vertrauen Bitkom 160705 17 / 21

Hacker als Forschungsobjekt

Persönlichkeitseigenschaften von Hackern? Neurotizismus?Offenheit?Wie erlernt man Hacker sein? White Hat/Black Hat BiographisierungLernen en passant, informelles Lernen, formales Lernen,selbstgesteuertes LernenDipl.-Inf. vs. Hacker - was unterscheidet sie?Ausbildung vs. BildungMotive und Motivation

Stefan Schumacher Sicherheit und Vertrauen Bitkom 160705 18 / 21

Open Source Communities als Forschungsobjekt

Kommunikation, SelbstorganisationSteering Commitee vs. BDFLErfahrung: smb@NetBSD.orgÜberwachung?Rechenschaft?Komplexität: NetBSD src.tgz 201 850 Dateiender ideale Entwickler: motiviert, kompetent, erfahren

Stefan Schumacher Sicherheit und Vertrauen Bitkom 160705 19 / 21

Didaktik der Sicherheit

Sicherheitskompetentes Verhalten muss erlernt werden!Wie unterrichte ich es?Welche Inhalte?Welche Methoden?Welche Organisationsform? Schule, Ausbildung, Uni, VHS ...Fachinformatiker, Fachrichtung IT-Sicherheit einführen?Welches Curriculum?

Stefan Schumacher Sicherheit und Vertrauen Bitkom 160705 20 / 21

sicherheitsforschung-magdeburg.de

stefan.schumacher@sicherheitsforschung-magdeburg.desicherheitsforschung-magdeburg.de/publikationen/journal.html

youtube.de/Sicherheitsforschung

Twitter: 0xKaishakuninXing: Stefan SchumacherZRTP: 0xKaishakunin@ostel.co

Stefan Schumacher Sicherheit und Vertrauen Bitkom 160705 21 / 21