Black Hat mit 20 – Eine kurze Zusammenfassung
Der wichtigste Bedrohungsforschungsevangelist von F5 setzt seinen Reporterhut auf, um Ihnen einige Einblicke in eine der ältesten Hackerkonferenzen überhaupt zu geben.
Black Hat ist jetzt 20 Jahre alt. Das klingt alt, zeigt aber nur, wie jung unsere Branche ist. Wäre Black Hat ein Mensch, wäre er in der Stadt, in der das Event stattfindet, noch zu jung, um am Glücksspiel teilzunehmen. Bevor wir uns in die Einzelheiten dieses Jahres stürzen, werfen wir einen Blick auf einige Veranstaltungszahlen, um den Vergleich zwischen damals und heute zu veranschaulichen.
| Black Hat Briefings, 1997 | Schwarzer Hut, 2017 | |
|---|---|---|
| Teilnehmer | 100 | Über 15.000 |
| Sponsoren | 3 | 250+ |
| Netzwerk | Keiner | Über 70 Freiwillige |
Keynote Nr. 1
Jeff Moss (auch bekannt als „The Dark Tangent“), Gründer von Black Hat und DEF CON, hielt eine Keynote, die vor allem einem Spaziergang in die Vergangenheit glich. Daran ist nichts auszusetzen, doch in seiner Keynote vermittelte er nur wenig Vision für die Zukunft. Er hat uns „ältere“ Cyber-Veteranen dazu aufgerufen, die nächste Generation von White Hats anzuleiten, damit wir alle Leute haben, die wir einstellen können. 
Ich stimme dieser Meinung voll und ganz zu und möchte deshalb in mir den Hacking-101-Kurs beenden, den ich für die Kleinen zusammengestellt habe …
Keynote #2
Alex Stamos macht einige Dinge richtig. Als CISO von Facebook vergibt er Preise im Wert von 1.000.000 US-Dollar für die beste defensive Forschung, die bei USENIX vorgestellt wird. Außerdem sponsert er Bildungsprogramme[1], um jungen Menschen den Einstieg in die Cybersicherheit zu erleichtern, und stärkt unsere digitale Infrastruktur mit dem Internet-Bug-Bounty-Projekt[2]. Er verbrachte ein bisschen zu viel Zeit damit, viele der Outreach-Programme anzupreisen, an denen Facebook beteiligt ist, und sprach nicht genug über das, was viele für das offensichtliche Problem hielten – die Bekämpfung der mit Facebook verbundenen Probleme des „Menschenmissbrauchs“, wie etwa Fake News und Cybermobbing.
Wo sind die Zero-Days, Mann?
Eine häufige Beschwerde über Black Hat ist: „Wo sind die Zero-Days, Mann?“ Laut Daniel Cuthbert, der bei der Abendveranstaltung Day Zero einen Vortrag hielt, gab es dieses Jahr mehr Zero-Day-Vorfälle als bei jeder Black-Hat-Konferenz zuvor.
Ein typisches Beispiel: Als ich in Las Vegas landete, teilte mir mein iPhone höflich mit, dass es auf die neueste Version aktualisieren möchte: iOS 10.3.3. Ich überlege es mir zweimal, ob ich auf einer Hackerkonferenz meinen Computer oder sogar mein Telefon aktualisiere.
Dieses Telefon-Update ist jedoch das direkte Ergebnis eines Zero-Day-Angriffs, der bei Black Hat 2017 veröffentlicht wurde. Die „Broadpwn“-Sicherheitslücke betrifft den Broadcom BCM43xx-Chipsatz, der sowohl von iOS- als auch von Android-Handys verwendet wird. Also, mein Lob an Sie, Black Hat, dafür, dass Sie einen der größten Zero-Day-Ausfälle des Jahres auf Ihrer Konferenz hatten.
Allgemeine Stimmung
Wenn es ein offizielles Thema unter den Briefings bei Black Hat 2017 gab, dann war es Überwachung. Oder vielleicht genauer: eine Anleitung zur Bekämpfung der Überwachung. Es wurden zwei weitere Black-Hat-Zero-Day-Angriffe veröffentlicht und beide hatten mit der Störung mobiler Netzwerke zu tun. Die erste, „Ghost Telephonist“, nutzt eine fehlende Authentifizierung beim Fallback zwischen LTE- und 4G-Netzwerken aus und ermöglicht es einem Lauscher, Anrufe und sogar SMS-Nachrichten abzufangen.[3]
Die zweite mobile Sicherheitslücke ermöglicht es einem Angreifer (der ein speziell angefertigtes, 1.500 US-Dollar teures Stingray-ähnliches Gerät als Proxy verwendet), mobile Benutzer zu lokalisieren und zu verfolgen, indem er einen weiteren fehlenden Authentifizierungsschritt in mobilen Protokollen ausnutzt.[4]
Mein Lieblingsbriefing war „Hacking Serverless Runtimes“, bei dem die Forscher Andrew Krug und Graham Jones zeigten, wie man aus AWS-Lambda-Funktionen aussteigt und Code in den Microservices anderer Leute ausführt. [5] Urkomisch.
Krug und Jones scherzten auch darüber, dass jemand herausgefunden hat, wie man einen Docker-Container in eine Lambda-Funktion einbettet.[6 ] Warum würdest du das tun? Das ist lächerlich!
Die Pwnie Awards: Belohnung für Sicherheitsversagen im Jahr 2017
Pwnies 2017: Beim 11. jährlichen „Pwnies“-Award gab es dieses Jahr einige großartige Einsendungen. Der Gewinner für den besten serverseitigen Bug ging an The Equation Group (ganz bestimmt nicht die NSA, ha ha) für die EternalBlue SMB-Sicherheitslücke, die von den Shadow Brokers (ganz bestimmt nicht Russland, ha ha) durchgesickert und von der Lazarus Group (ganz bestimmt nicht Nordkorea, ha ha) als Waffe eingesetzt wurde.
Der Pwnie für die beste Hintertür ging an M.E. Von Kaspersky im ukrainischen Steuersystem gefundenes Dokument. Der Kredit geht an: „Überhaupt nicht Russland, ha ha.“ Der Pwnie für den besten kryptografischen Angriff ging an Google, das dieses Jahr die weltweit erste SHA1-Kollision erzwang. Und die SystemD-Kontroverse wurde zu Recht mit dem Pwnie „Lahmste Reaktion des Anbieters“ ausgezeichnet.
Malcolm Turnbull vom australischen Regierungschef wurde mit der Auszeichnung „Most Epic Fail“ ausgezeichnet, weil er von Anbietern die Entschlüsselung von Benutzerdaten für die Regierung verlangte.[7]
Das Arsenal
Ein oft übersehener Raum bei Black Hat ist das Arsenal. Hier führen Open-Source-Sicherheits-Bastler zu Ihrer Unterhaltung ihre Tools vor. Nicht jedes Tool ist überzeugend, aber Sie können mit dem eigentlichen Programmierer des Tools sprechen. Mein persönlicher Favorit in diesem Jahr war das Pymultitor-Tool von Tomer Zait. [8] Es handelt sich um einen lokalen Proxy, der mehrere TOR-Prozesse verwendet, um es Ihnen zu ermöglichen, IP-basierte Zähler für Anmeldeseiten zu umgehen. Sie wissen schon, für die Forschung. Nicht für den Brute-Force-Angriff auf Facebook-Konten geeignet.
Dieses Jahr wurden über 100 Werkzeuge an den kleinen Arsenal-Arbeitsplätzen präsentiert. Arsenal ist charmant und gemeinschaftsorientiert genug, sodass Black Hat ihm einen prominenteren Platz einräumen sollte, anstatt es ganz oben, im hinteren Teil der Konferenz unterzubringen.
Also ... ist Black Hat noch relevant?
Um diese Frage zu beantworten, gehen wir zurück zum Gründer. In seiner Keynote erinnerte sich Jeff Moss an seine Annahme, dass die Black Hat-Briefings als Konferenz nicht sehr lange dauern würden. Doch nach 20 Jahren nahezu konstanten Wachstums ist Black Hat nun in Fahrt gekommen und entwickelt sich zu einer recht guten Sicherheitskonferenz für eine Konferenz ihrer Größe.
Verweise
[2] https://internetbugbounty.org/
[3] https://www.blackhat.com/docs/us-17/thursday/us-17-Yuwei-Ghost-Telephonist-Link-Hijack-Exploitations-In-4G-LTE-CS-Fallback.pdf
[4] https://www.blackhat.com/docs/us-17/wednesday/us-17-Borgaonkar-New-Adventures-In-Spying-3G-And-4G-Users-Locate-Track-And-Monitor.pdf
[5] https://www.blackhat.com/docs/us-17/wednesday/us-17-Krug-Hacking-Severless-Runtimes.pdf
[6] https://hackernoon.com/how-did-i-hack-aws-lambda-to-run-docker-containers-7184dc47c09b
[7] http://www.huffingtonpost.com.au/2017/07/14/turnbull-vs-maths-how-do-you-snoop-on-encryption-without-ruining-it-for-everyone_a_23029275/