Message-Level Security

Ihr habt euch schon einmal mit eurem Google, Facebook, Apple oder Amazon Account auf imdb.com, stackoverflow.com oder auf einer anderen Webseite eingeloggt? Oder habt ihr kürzlich Zoom Zugriff auf euren Google Kalender gegeben? Im Hintergrund werden Nachrichten – wie signierte JSON Web Tokens – von standardisierten Protokollen ausgetauscht, bei denen Message-Level Security zum Einsatz kommt. Ganz so einfach ist es jedoch nicht – wir blicken hinter die Kulissen und zeigen euch verschiedene Angriffe, die unter anderem unerlaubte Zugriffe auf fremde Accounts ermöglichen. Die hohe Praxisrelevanz dieser sicherheitskritischen Single Sign-On Verfahren wird immer wieder von der Community unter Beweis gestellt.

Habt ihr schon einmal eine Rechnung von eurer Amazonbestellung heruntergeladen und in Adobe Acrobat (Pro/DC) aufgemacht? Auf der linken Seite findet ihr ein Signaturpanel, denn das PDF ist signiert, um die Authentizität und Integrität des Dokuments zu schützen. Reicht das aus oder kann auch hier etwas schiefgehen?

Fristen und Termine​​

Termine im Wintersemester 2022/2023

  • Beginn / Erste Veranstaltung: Freitag, den 14.10.2022
  • Vorlesung: Freitags von 10:00 Uhr bis 11:30 Uhr im Raum NC 6/99
  • Übung: Freitags von 11:45 Uhr bis 13:15 Uhr im Raum NC 6/99

Prüfung

  • Prü­fungs­form: schriftlich
  • Prü­fungs­an­mel­dung: FlexNow
  • Datum: TBA
  • Dauer: 120 min
  • Raum: TBA
  • Erlaubte Hilfsmittel:
    • 2 DIN A4 Blätter = 4 Seiten mit eigenen handschriftlichen Notizen
      • Keine Kopien. keine Ausdrucke
    • Nicht programmierbarer wissenschaftlicher Taschenrechner

Lernziele

Stu­die­ren­de ver­fü­gen nach er­folg­rei­chem Ab­schluss der Vor­le­sung über ein um­fas­sen­des Ver­ständ­nis der Si­cher­heit der fol­gen­den Tech­no­lo­gi­en: Da­ten­for­ma­te im Web, REST APIs, Au­then­ti­fi­zie­rungs- und Au­to­ri­sie­rungs­pro­to­kol­len und Do­ku­men­ten­for­ma­ten. Durch die pra­xis­na­he Ar­beit im Rah­men der Übun­gen bauen die Studierenden ihre Re­cher­che-Fä­hig­kei­ten aus und er­ler­nen wei­ter­hin den si­che­ren Um­gang mit ver­schie­de­nen Pe­ne­tra­ti­ons­werk­zeu­gen. Am Ende der Vor­le­sung sind die Studierenden in der Lage, sys­te­ma­tisch um­fas­sen­de Si­cher­heits­ana­ly­sen sowie prak­ti­sche An­grif­fe auf die be­han­del­ten Tech­no­lo­gi­en selbstständig durch­zu­füh­ren. Wei­ter­hin sind die Studierenden in der Lage, das er­lern­te Wis­sen auf an­de­re Tech­no­lo­gi­en zu über­tra­gen und kom­ple­xe­re An­griffs­mög­lich­kei­ten selbst durch krea­ti­ves Den­ken zu fin­den und aus­zu­nut­zen.

Inhalte

Die Vor­le­sung be­han­delt das Thema Mes­sa­ge-Le­vel Se­cu­ri­ty. An­ders als bei SSL/TLS, wel­ches einen si­che­ren Trans­port­ka­nal auf­baut, geht es bei Mes­sa­ge-Le­vel Se­cu­ri­ty darum, Nach­rich­ten – wie HTTP Re­quests – auf Nach­rich­ten­ebe­ne zu schüt­zen. Hier­bei kommt es auf die kor­rek­te Ver­wen­dung von kryptografischen Ver­fah­ren als auch eine si­che­re Be­reit­stel­lung von API-Schnitt­stel­len an.

Im Rah­men der Vor­le­sung wer­den ver­schie­de­ne Ver­fah­ren von Mes­sa­ge-Le­vel Se­cu­ri­ty be­leuch­tet:

  • JSON ist eine uni­ver­sel­le Da­ten­be­schrei­bungs­spra­che, die unter an­de­rem von jedem mo­der­nen Brow­ser un­ter­stützt wird. Mit­hil­fe von JSON-Si­gna­tu­re und JSON-En­cryp­ti­on können JSON Nach­rich­ten di­rekt ge­schützt wer­den. Doch reicht das aus oder kön­nen diese Si­cher­heits­me­cha­nis­men um­gan­gen wer­den?
  • OAuth ist eine sehr weitverbreitete Tech­no­lo­gie zum De­le­gie­ren von Be­rech­ti­gun­gen und wird heut­zu­ta­ge von allen gro­ßen Web­sei­ten wie Face­book, Goog­le, Twit­ter, Git­hub usw. ein­ge­setzt. Die Vor­le­sung er­klärt tiefge­hen­de De­tails und gän­gi­ge Feh­ler/An­grif­fe, die bei der Ver­wen­dung von OAuth ent­ste­hen kön­nen.
  • Open­ID Con­nect ist eine Er­wei­te­rung für OAuth, um Be­nut­zer:innen auf Web­sei­ten mit­hil­fe eines Dritt­an­bie­ters zu au­then­ti­fi­zie­ren (z. B. mittels Sin­gle Sign-On Verfahren wie „Sign in with Google“). Open­ID Con­nect hat sich in den letz­ten Jah­ren zum de facto Stan­dard für Web-Logins über Dritt­an­bie­ter eta­bliert. In der Vor­le­sung wird de­tail­liert er­klärt, was die Un­ter­schie­de zu OAuth sind und wel­che An­grif­fe auf Open­ID Con­nect mög­lich sind. In den praktischen Übungen können Sie Ihre Exploit-Fähigkeiten unter Beweis stellen. Schaffen wir es, den Account des Opfers übernehmen?
  • SAML steht für Se­cu­ri­ty As­ser­ti­on Mar­kup Lan­gua­ge und ist ein Sin­gle Sign-On Stan­dard, der eine weitgehende Ver­brei­tung in Busi­ness-Sze­ne­ri­en fin­det. Al­ler­dings exis­tie­ren zahl­rei­che An­grif­fe von Iden­ti­täts­dieb­stahl bis hin zu Re­mo­te Code Exe­cu­ti­on.
  • PDF ist das ver­mut­lich am wei­tes­ten ver­brei­tets­te uni­ver­sel­le Do­ku­men­ten­aus­tausch­for­mat. In der Vor­le­sung wer­den die Si­cher­heits­ei­gen­schaf­ten von PDFs be­leuch­tet. Ins­be­son­de­re wer­den hier­bei di­gi­ta­le Si­gna­tu­ren un­ter­sucht, wel­che z. B. bei Ver­trä­gen zum Ein­satz kom­men. Wird es uns ge­lin­gen, si­gnier­te Do­ku­men­te zu fäl­schen?

Den Studierenden wird ein tiefge­hen­des Ver­ständ­nis der Sys­te­me ver­mit­telt. Zu allen un­ter­such­ten Sys­te­men wer­den An­grif­fe vor­ge­stellt, die so­wohl aus der aka­de­mi­schen Welt als auch aus der Pen­tes­ting-Com­mu­ni­ty stam­men. Die Übun­gen bie­ten die Mög­lich­keit, das er­lern­te Wis­sen prak­tisch aus­zu­pro­bie­ren. Hier­zu er­hal­ten die Studierenden eine vir­tu­el­le Ma­schi­ne.

Empfohlende Vorkenntnisse

  • Grund­kennt­nis­se HTTP, HTML und Kryp­to­gra­phie
  • Grund­kennt­nis­se der eng­li­schen Spra­che, da dies die Spra­che von Fo­li­en­satz, Übungs­auf­ga­ben und der Virtuellen Ma­schi­ne sind

Voraussetzungen für den Erhalt der Credits​

Bestandene Modulabschlussprüfung

Online oder Präsenz?

Präsenz