Zurück

Von Fuzzing zum Exploiten von IoT-Geräten – für Entwickler und IT-Security-Consultants

Mit der stärkeren Verbreitung von Embedded- und IoT-Systemen können sicherheitsrelevante Schwachstellen mit weniger Aufwand gefunden werden. Software für diese Geräte wird oft in Low-Level-Sprachen wie C anstatt Java oder .NET geschrieben. Dies führt zu grundlegenden Fehlern wie Speicherbeschädigung (Memory corruption). Daher findet das Fuzzen als Testmethode zunehmend Einzug in das Instrumentarium von IT-Security-Auditoren und wird nicht mehr ausschließlich von Sicherheitsforschern eingesetzt.
Der Referent zeigt, wie man schnell eine Debugging-Umgebung einrichtet und Netzwerkprotokolle, Dateiformate, Programmspeicher und USB-Pakete mit Fuzzing-Tools testet sowie Shell-Code entwickelt.

Vorkenntnisse

- Grundlagen der Programmierung
- Vorteilhaft sind Kenntnisse der Speicherverwaltung und von Low-Level-Entwicklung in hardwarenahen Sprachen wie C

Lernziele

Ziel des Vortrages ist es, IT-Security-Auditoren aber auch Entwicklern die wichtigsten Techniken zum Finden und Ausnutzen von Zero-Day-Lücken vorzustellen – wobei ihre im Vergleich zu Security-Researchern limitierte Zeit berücksichtigt wird. Der Vortrag schließt mit einem kompletten Angriffsszenario, dem Eindringen in ein Firmennetzwerk über eine Zero-Day-Schwachstelle im Wearable eines Mitarbeiters, dem Wechsel in das industrielle Netzwerk und der Übernahme der Steuerung über einfache, individuell entwickelte Exploits.

Speaker

Rafael Scheel arbeitet seit März 2014 bei Oneconsult und fokussiert sich auf Penetrationstests sowie Sicherheitsforschung zu Exploit-Entwicklung und IoT-/SCADA-Sicherheit. Im Juni 2017 gründete er die Oneconsult Deutschland GmbH mit und ist seitdem Niederlassungsleiter München. In seiner Zeit bei Oneconsult hat Rafael viele verschiedene IoT-Umgebungen geprüft und geholfen, sie abzusichern.

Jetzt Tickets sichern

building-IoT-Newsletter

Sie möchten über die building IoT
auf dem Laufenden gehalten werden?

Anmelden