Safety ja, Security nein. Analyse eines breit eingesetzten Einsatzmanagmentsystems. (glt25)

Wie mit Hilfe des Open Source Werkzeugkastens (mimtproxy, curl, jq, ..) ein behördlich eingesetztes System analysiert und dabei die Sicherheitsversprechen des Herstellers in Frage gestellt wurden. Aufgrund fehlender Sicherheitsmechanismen war (ist?) es für unprivilegierten Benutzeraccounts in der „moPS App Engine“ möglich willkürliche Schreiboperationen durchzuführen. Hierdurch werden in Folge mehrere Angriffsszenarien wie Rechteausweitung, Datenabgriff, -manipulation und auch die komplette Übernahme des Systems m...

Wie mit Hilfe des Open Source Werkzeugkastens (mimtproxy, curl, jq, ..) ein behördlich eingesetztes System analysiert und dabei die Sicherheitsversprechen des Herstellers in Frage gestellt wurden. Aufgrund fehlender Sicherheitsmechanismen war (ist?) es für unprivilegierten Benutzeraccounts in der „moPS App Engine“ möglich willkürliche Schreiboperationen durchzuführen. Hierdurch werden in Folge mehrere Angriffsszenarien wie Rechteausweitung, Datenabgriff, -manipulation und auch die komplette Übernahme des Systems möglich. Das System wird z.Z. von verschiedenen Bundesländern Österreichs, der ASFINAG oder auch der deutschen Bundespolizei eingesetzt. Obwohl bereits im Sommer 2021 auf grundsätzliche architekturelle Fehler hingewiesen wurde, dauerte die Behebung ebenjener bis Winter 2024. Ein Vortrag über

• den Fund der Schwachstellen
• Spaß beim Proof-Of-Concept (mitm, curl, ... )
• sich daraus ergebenden Bedrohungsszenarien
• langsam mahlende Mühlen der öffentlichen Hand, Überforderung von Entscheidungsträgern und der Angst vor Kunden
• mit einem vorläufigen Happy End.

Licensed to the public under https://creativecommons.org/licenses/by/4.0/ about this event: https://pretalx.linuxtage.at/glt25/talk/RDFDVR/