speaker: mathias gut - digicomp€¦ · cc-by-sa - mathias gut - jede haftung im zusammenhang mit...
TRANSCRIPT
FreeOCSAF und Ich
Mathias Gut, Geschäftsführer Netchange Informatik GmbH
MAS ZFH in Business Analysis, Eidg. Dipl. Informatiker, CASP, OPST
«Offensiv» IT-Security-Experte, Researcher & DozentFounder Free Cyber-Security Analysis Framework Project
Netchange Informatik GmbH, Manged Security Lösungen [email protected]
CC-BY-SA - Mathias Gut - Jede Haftung im Zusammenhang mit diesen Inhalten ist ausgeschlossen!
Meine gesamte Session-Entschädigung spende ichaus Überzeugung an BLINDSPOT in Bern.
Quelle: https://www.blindspot.ch
CC-BY-SA - Mathias Gut - Jede Haftung im Zusammenhang mit diesen Inhalten ist ausgeschlossen!
Haftungsausschluss
Die hier gezeigten Methoden und Tools dienen lediglich der
Veranschaulichung im schulischen Rahmen und zur Verbesserung der
eigenen Informationssicherheit. Hacking ist eine Straftat!!
Der Autor übernimmt keinerlei Haftung für Schäden, welche im
Zusammenhang mit den gezeigten Inhalten und Programmen entstehen.
Wir lehnen jegliche Haftung ab!
CC-BY-SA - Mathias Gut - Jede Haftung im Zusammenhang mit diesen Inhalten ist ausgeschlossen!
Agenda
Free OCSAF Scripts
Free OCSAF Scripting Skeleton
Der Hacking Begriff
Free OCSAF Project
CC-BY-SA - Mathias Gut - Jede Haftung im Zusammenhang mit diesen Inhalten ist ausgeschlossen!
The Hacking Term«gemäss Wau Holland - † 29. Juli 2001»
„Ein Hacker ist jemand, der versucht einen Weg zu
finden, wie man mit einer Kaffeemaschine Toast
zubereiten kann.“
Wau Holland – deutscher Journalist, Computer-
Aktivist und Mitgründer CCC
Bild:
https://de.wikipedia.org/wiki/
Wau_Holland
CC-BY-SA - Mathias Gut - Jede Haftung im Zusammenhang mit diesen Inhalten ist ausgeschlossen!
The Hacker Ethics«gemäss Buch Hackers, Levy, 1984»Hackers: Heroes of the Computer Revolution, Levy, 1984
Freier Zugriff auf Computer
Freier Zugriff auf Wissen
Misstrauen gegenüber Autoritäten und Bevorzugung von Dezentralisierung
Hacker sollten nur nach ihrer Fähigkeit beurteilt werden
Du kannst Kunst und Schönheit mittels Computer erzeugen
Verbesserung der Welt durch das Verbreiten von Technologien
Quelle: https://de.wikipedia.org/wiki/Hackerethik
CC-BY-SA - Mathias Gut - Jede Haftung im Zusammenhang mit diesen Inhalten ist ausgeschlossen!
The Hacker Ethics«Erweiterung Chaos Computer Club (CCC)» Der Zugang zu Computern und allem, was einem zeigen kann, wie diese Welt funktioniert, sollte unbegrenzt und vollständig sein.
Alle Informationen müssen frei sein.
Misstraue Autoritäten – fördere Dezentralisierung
Beurteile einen Hacker nach dem, was er tut, und nicht nach üblichen Kriterien wie Aussehen, Alter, Rasse, Geschlecht oder gesellschaftlicher Stellung.
Man kann mit einem Computer Kunst und Schönheit schaffen.
Computer können dein Leben zum Besseren verändern.
Mülle nicht in den Daten anderer Leute.
Öffentliche Daten nützen, private Daten schützen.
Quelle: https://de.wikipedia.org/wiki/Hackerethik
CC-BY-SA - Mathias Gut - Jede Haftung im Zusammenhang mit diesen Inhalten ist ausgeschlossen!
Be a part of the open source community ...«Entwickle freie und quelloffene Tools!»
«Hacker Ethics: Alle Informationen müssen frei sein!»
https://www.fsf.orgBild: CC-BY-SA 4.0 –
Dkoukoul - Eigenes Werk
Richard Stallman,
Aktivist und Programmierer
CC-BY-SA - Mathias Gut - Jede Haftung im Zusammenhang mit diesen Inhalten ist ausgeschlossen!
… don‘t do evil things …«Programmiere keine Überwachungstools!»
Quelle: https://www.amnesty.ch/de/themen/ueberwachung/ueberwachung-in-
der-schweiz
«Hacker Ethics: Mülle nicht in den Daten anderer Leute!»
CC-BY-SA - Mathias Gut - Jede Haftung im Zusammenhang mit diesen Inhalten ist ausgeschlossen!
…and help others protect themselves!«Warum dies wichtig ist sehen wir gleich.»
https://startpage.com
«Hacker Ethics: Öffentliche Daten nützen, private Daten schützen!»
https://signal.org
https://protonvpn.com
https://snowhaze.com
CC-BY-SA - Mathias Gut - Jede Haftung im Zusammenhang mit diesen Inhalten ist ausgeschlossen!
Wegen BÜPF müssen Provider Randdaten undbesuchte Webseiten während 6 Monaten speichern!
https://www.digitale-gesellschaft.ch
https://www.swissleak.ch
«Hacker Ethics: Misstraue Autoritäten – fördere Dezentralisierung!»
CC-BY-SA - Mathias Gut - Jede Haftung im Zusammenhang mit diesen Inhalten ist ausgeschlossen!
Traue keinen Firmen mit Werbe-Tracking.«Setze selber keine Tracker in Deinen Codes ein!»
Anti-Tracking-Einstellung im Firefox
«Hacker Ethics: Mülle nicht in den Daten anderer Leute!»
https://de.wikipedia.org/wiki/
Google_Analytics
CC-BY-SA - Mathias Gut - Jede Haftung im Zusammenhang mit diesen Inhalten ist ausgeschlossen!
Unsere Daten sind exponiert!Später noch mehr dazu…
«Fakten: Ist Dein Provider «hacksicher»? Alle Daten können entwendet werden!»
https://haveibeenpwned.com https://www.heise.de/security*
*www.heise.de/security/meldung/Cisco-veroeffentlicht-erneut-wichtige-Sicherheitsupdates-4423444.html
CC-BY-SA - Mathias Gut - Jede Haftung im Zusammenhang mit diesen Inhalten ist ausgeschlossen!
Agenda
Free OCSAF Scripts
Free OCSAF Scripting Skeleton
Der Hacking Begriff
Free OCSAF Project
CC-BY-SA - Mathias Gut - Jede Haftung im Zusammenhang mit diesen Inhalten ist ausgeschlossen!
Eigene Open Source Ideen rascher entwickeln.NEU: https://github.com/OCSAF/freebashskeleton
CC-BY-SA - Mathias Gut - Jede Haftung im Zusammenhang mit diesen Inhalten ist ausgeschlossen!
«Hacker Ethics: Man kann mit einem Computer Kunst und Schönheit schaffen.»
Nützliches aus dem freeskeleton.sh«Preparing tasks…»
CC-BY-SA - Mathias Gut - Jede Haftung im Zusammenhang mit diesen Inhalten ist ausgeschlossen!
Nützliches aus dem freeskeleton.sh«Menu mit getopts und Usage-HELP…»
CC-BY-SA - Mathias Gut - Jede Haftung im Zusammenhang mit diesen Inhalten ist ausgeschlossen!
Nützliches aus dem freeskeleton.sh«Output mit oder ohne Farben…»
CC-BY-SA - Mathias Gut - Jede Haftung im Zusammenhang mit diesen Inhalten ist ausgeschlossen!
Nützliches aus dem freeskeleton.sh«Das MAIN-Teil…»
CC-BY-SA - Mathias Gut - Jede Haftung im Zusammenhang mit diesen Inhalten ist ausgeschlossen!
Agenda
Free OCSAF Scripts
Free OCSAF Scripting Skeleton
Der Hacking Begriff
Free OCSAF Project
CC-BY-SA - Mathias Gut - Jede Haftung im Zusammenhang mit diesen Inhalten ist ausgeschlossen!
Free OCSAF Automatisierung durch APIs«APIs mit geordneten Datensätzen»
Quelle: https://developer.shodan.io Quelle: https://archive.org/help/wayback_api.php
Quelle: https://haveibeenpwned.com/API/v2 Quelle: https://www.circl.lu/services/cve-search/
CC-BY-SA - Mathias Gut - Jede Haftung im Zusammenhang mit diesen Inhalten ist ausgeschlossen!
Free OCSAF Automatisierung durch APIs«Lua-Script freevulnsearch.nse für NMAP»
CC-BY-SA - Mathias Gut - Jede Haftung im Zusammenhang mit diesen Inhalten ist ausgeschlossen!
«Bekannte Schwachstellen mittels NMAP und API von circl.lu rasch aufdecken!»
Free OCSAF Automatisierung durch APIs«Verbesserungen zusammen mit Community!»
CC-BY-SA - Mathias Gut - Jede Haftung im Zusammenhang mit diesen Inhalten ist ausgeschlossen!
«Hacker Ethics: Alle Informationen müssen frei sein!»
Free OCSAF rasche Expositions-Analyse«Beispiel: free-open-auditor»
CC-BY-SA - Mathias Gut - Jede Haftung im Zusammenhang mit diesen Inhalten ist ausgeschlossen!
«Hacker Ethics: Öffentliche Daten nützen, private Daten schützen!»
Free OCSAF rasche Expositions-Analyse«Teils hohe Exposition öffentlicher Verwaltungen!»
CC-BY-SA - Mathias Gut - Jede Haftung im Zusammenhang mit diesen Inhalten ist ausgeschlossen!
Gemeinde/Stadt
CHSRV
SPF DMARC CAA DNSSEC HTTPS Security-Headers Web-Discovery
1. Stadt BE Ja ~all Nein Nein Nein Ja 1 von 8 Nein
2. Stadt ZH Ja ~all Nein Nein Nein Ja 4 von 8 Nein
3. Stadt BE Ja Nein Nein Nein Nein Ja 1 von 8 (no HSTS) Nein
4. Gemeinde BE Ja Nein Nein Nein Nein Nein 0 von 8 Nein
5. Gemeinde ZH Ja -all Nein Nein Nein Nein 0 von 8 Nein
6. Gemeinde ZH Ja ~all Nein Nein Nein Ja 1von 8 (no HSTS) Nein
7. Gemeinde ZH Ja Nein Nein Nein Nein Nein 0 von 8 Nein
8. Gemeinde BE Ja Nein Nein Nein Nein Nein 0 von 8 Nein
«Fazit: Das Äussere Bild lässt auf die innere Sicherheit schliessen!»
Sind Deine Domains Phishing gefährdet? (https://www.spf-record.de/spf-lookup)
27
Quelle: https://www.spf-record.de/spf-lookup
CC-BY-SA - Mathias Gut - Jede Haftung im Zusammenhang mit diesen Inhalten ist ausgeschlossen!
Agenda
Free OCSAF Scripts
Free OCSAF Scripting Skeleton
Der Hacking Begriff
Free OCSAF Project
CC-BY-SA - Mathias Gut - Jede Haftung im Zusammenhang mit diesen Inhalten ist ausgeschlossen!
Free OCSAF Project on GitHubhttps://github.com/OCSAF
CC-BY-SA - Mathias Gut - Jede Haftung im Zusammenhang mit diesen Inhalten ist ausgeschlossen!
«Hacker Ethics: Alle Informationen müssen frei sein!»
Free OCSAF Monitoring Project - Plugins für NagiosPlugin eines Studenten - GPLv3
CC-BY-SA - Mathias Gut - Jede Haftung im Zusammenhang mit diesen Inhalten ist ausgeschlossen!
https://github.com/aw-glaronia/check_freevulnsearch.sh
«Hacker Ethics: Verbesserung der Welt durch das Verbreiten von Technologien!»
Be a part of us! Wir suchen Donatoren und Test-Cases…
CC-BY-SA - Mathias Gut - Jede Haftung im Zusammenhang mit diesen Inhalten ist ausgeschlossen!
https://freecybersecurity.org
Meine Cyber Security Tester – Hands-on Kursemit Scripting Inhalten bei der Digicomp
https://www.digicomp.ch/
CC-BY-SA - Mathias Gut - Jede Haftung im Zusammenhang mit diesen Inhalten ist ausgeschlossen!
Fragen???
CC-BY-SA - Mathias Gut - Jede Haftung im Zusammenhang mit diesen Inhalten ist ausgeschlossen!