War DC25 meine letzte DEF CON?

20.000 Sicherheitsenthusiasten und ich sind gerade aus dem Caesar’s Palace zurückgekehrt, wo zum ersten Mal (?) die älteste und – wie manche sagen – beste Hackerkonferenz der Welt, die DEF CON, stattfand. Auch dieses Jahr sagten die Teilnehmer das Gleiche: „OMG, hier sind zu viele Leute!“ Das sagten sie sogar bei DEF CON 7 (meiner ersten), bei der sich vielleicht 1.000 Teilnehmer in Zelten auf dem Rasen des alten Alexis Park Hotels zusammengepfercht hatten.

DEF CON wurde dieses Jahr 25 und zum ersten Mal fragte ich mich, ob es meine letzte Veranstaltung sein würde. Aufgrund der ständigen Konferenztermine habe ich die meisten Geburtstage meiner Kinder verpasst. Der arme Kerl zeigt dafür allerdings recht viel Verständnis, vor allem, weil ich ihn zu DC22 mitgenommen habe.

Und obwohl es dieses Jahr einige ziemlich coole Vorträge gab, hatte ich das Gefühl, so etwas schon einmal gesehen zu haben . Denn wie viele Hacker-Vorträge kann man in zwei Jahrzehnten besuchen, bevor man beginnt, sein kindliches Staunen zu verlieren? Daher denke ich ernsthaft darüber nach, DC26 den jüngeren Leuten zu überlassen.

Während ich über meine Optionen für DC26 nachdenke, fassen wir einige der interessanteren Vorträge, Veranstaltungen und Subcommunities von DC25 zusammen. Wir empfehlen Ihnen außerdem dringend, sich diese Vorträge anzuhören, wenn sie auf dem DEF CON-Medienserver (oder auf YouTube, je nachdem, was zuerst eintritt) verfügbar sind.

Die brandneue Wahlplünderung, ups, ich meine das Wahldorf

Angesichts der zahlreichen Nachrichten zu Wahlmanipulationen in den letzten sechs Monaten waren die Organisatoren in Washington D.C. klug genug, ein neues „Voting Village“ einzurichten, wo Enthusiasten die verschiedenen in den Vereinigten Staaten verwendeten Wahlmaschinen einem Pentest unterziehen konnten. Am ersten Tag herrschte das Gerücht, dass die meisten Maschinen innerhalb von 90 Minuten nach der Eröffnung Hackern zum Opfer gefallen seien. Am Ende der Konferenz hatte sich jede einzelne Wahlmaschine den Hackern ergeben. Das sollte eigentlich niemanden überraschen, denn der physische Zugriff auf ein Gerät garantiert mit genügend Zeit und Talent praktisch einen Durchbruch, und von beidem gab es bei DC25 reichlich.

Der Aufruf zum Handeln nach Voting Village bestand im Allgemeinen darin, dass wir als Nation wieder auf Papierwahlzettel zurückgreifen sollten. Vernünftige und sachkundige Experten empfehlen jedoch zur Gewährleistung der größtmöglichen Sicherheit eine Kombination aus elektronischen und schriftlichen Stimmzetteln, wie diese hervorragende Diskussion bei NPR Science Friday zeigt.

Thema: Viele der Redner stützen sich bei ihrer Forschung auf öffentliche Datenquellen (wie etwa das Certificate Transparency-Projekt) und das Projekt Sonar.

Bemerkenswerte Redner
 

• Der berühmte Autor und Boing-Boing-Herausgeber Cory Doctorow hielt eine leidenschaftliche Rede zum Thema digitales Rechtemanagement.
• Schachgroßmeister Garri Kasparow sprach über die wahrscheinlichen Auswirkungen der künstlichen Intelligenz auf die Arbeitsplätze.
• Richard Thieme war vor zwanzig Jahren bei den allerersten Blackhat Briefings eine Rede und spricht auch heute noch zum Thema Datenschutz.
   

Bemerkenswerte Präsentationen

► Missbrauch von Zertifikatstransparenzprotokollen – Hanno Böck (@hanno)

Ich habe vor fast drei Jahren für SecurityWeek.com über das sehr coole Certificate Transparency (CT)-Projekt geschrieben . Seitdem sammelt das CT-Projekt Protokolle von den Zertifizierungsstellen. Theoretisch vergleichen die Browser die vorhandenen Zertifikate mit den Protokollen, um falsch ausgestellte Zertifikate zu erkennen. Tatsächlich beteiligt sich Symantec laut Sprecher Hanno Böck nun endlich am CT-Projekt, nachdem es von Google bedroht worden war. Notiz: Symantec hat aus Wut das gesamte Geschäft aufgegeben und verkauft seine Zertifizierungsstelle an DigitCert.

Der Community-Zertifikatsgarten Let’s Encrypt hat am CT-Projekt teilgenommen und jetzt tut dies auch Cloud Flare.

Noch ein Hinweis: Das CT-Projekt verfügt unter crt.sh über ein tolles kleines Portal, wo Forscher den gesamten Protokollsatz über eine Weboberfläche (oder sogar über Postgres, mein Favorit) ansehen können.

Ohnehin! Forscher Hanno Böck formuliert eine interessante Angriffsidee: Überwachen Sie die CT-Projektprotokolle auf neue Domänennamen. Wenn neue Namen gefunden werden, überprüfen Sie die Websites, um festzustellen, ob jemand eine WordPress- oder Joomla-Website einrichtet. Es gibt ein kleines Zeitfenster, in dem jemand eine Installation beginnt, aber nicht abschließt. In diesem Zeitfenster könnte ein cleverer Angreifer ein bösartiges Plug-In einfügen, um sich eine Hintertür zur Site zu verschaffen.

Der Sitebetreiber hätte keine Ahnung davon, dass Sie dies getan haben. Böck zeigte eine Demo, wie dies funktionieren würde, und versuchte dann herauszufinden, ob dies bereits jemand tat (bislang keine Anzeichen dafür). Er ging verantwortungsvoll mit der Offenlegung um, informierte WordPress und Joomla darüber und bot sogar einige Abhilfemaßnahmen an. Eines der Frameworks implementierte seinen Vorschlag, doch später wurde beiden klar, dass es sich nicht um eine perfekte Lösung handelte und der Angriff wahrscheinlich trotzdem funktionieren würde.

Wegbringen: Wenn Sie eine neue Domäne registrieren und ein Zertifikat dafür erhalten, stellen Sie sicher, dass Sie Ihre WordPress-Installation so schnell wie möglich abschließen. Wenn Sie das Installationsprogramm einfach nicht benutzen, kann es passieren, dass Sie etwas hosten, was Sie nicht hosten wollten.

► Die Abenteuer von AV und der undichten Sandbox - Itzik Kotler (@itzikkotler) und Amit Klein

Stellen Sie sich vor, Sie sind ein Spion in einer hochsicheren Umgebung; denken Sie an das Militär, einen Geheimdienst-Auftragnehmer oder etwas anderes. Stellen Sie sich nun vor, Sie müssen einige Daten exfiltrieren, können aber die normalen Kanäle (Google Drive, USB-Stick usw.) nicht verwenden. Alles wird überwacht, außer dass das Netzwerk eine der vielen Antivirenlösungen verwendet, die über einen Cloud-Zünder verfügen.

Die Forscher Itzik Kotler und Amit Klein haben eine neuartige Technik zum Exfiltrieren von Daten in Cloud-AV-Umgebungen vorgeführt. Es entstanden zwei Doppelsterne: ein äußeres (die Rakete) und ein inneres (der Satellit). Sie kodierten ihre Daten im Satelliten-Doppelstern, und diesen Doppelstern kodierten sie anschließend im Raketen-Doppelstern. Die Raketenbinärdatei, die sie ins Netzwerk eingeführt haben.

Die Rakete schreibt die Satelliten-Binärdatei auf die Festplatte, wo der AV sie sehen kann. Der AV-Server vermutet die Satelliten-Binärdatei und sendet sie außerhalb des Netzwerks an seinen Cloud-Zünder, wo sie ausgeführt wird. Der Satellit übermittelt dann die Daten vom Wolkenzünder an eine Abwurfzone.

So süß! Von den zehn Cloud-AV-Scannern, die Kotler und Klein testeten, ermöglichten vier dem Satelliten die Kommunikation mit der Abwurfzone.

► DNS - Hinterhältige Namensdienste: Zerstörung von Privatsphäre und Anonymität ohne Ihre Zustimmung – Jim Nitterauer (@jnitterauer)

Jim Nitterauer sprach zum ersten Mal auf der DEF CON. Der Tradition gemäß trank er zu Beginn seines Vortrags einen Schnaps (Whiskey?). Da es dieses Jahr so viele neue Redner gab, müssen die Jungs von der DEF CON Wild Turkey in großen Mengen eingekauft haben.

Laut Nitteraur haben DNS-Anfragen ein neues Feld „Client-Subnetz“ (siehe RFC 7871 ). Clients sollen dort ihre tatsächliche LAN-Adresse eintragen. DNS-Resolver können diese Adresse unterwegs verwenden, um zu entscheiden, wie die Antwort zwischengespeichert wird. Scheint ziemlich logisch, oder?

Nitteraur befürchtet jedoch, dass „die Beobachter“ die Informationen zum Client-Subnetz verwenden, um Personen zu verfolgen. Für Massenüberwachung oder andere schändliche Dienste.

Es gibt kaum Hinweise darauf, dass das Client-Subnetzfeld tatsächlich für eine breit angelegte Massenüberwachung genutzt wird. Wenn überhaupt, wird es für das Anzeigen-Tracking verwendet (zu den Autoren des RFC gehören Google und Akamai), aber mein Lob geht an Nitteraur, der angesichts dieses möglichen Datenschutz-Albtraums die Datenschutzwarnung gehisst hat. Andererseits ist das gesamte DNS ein Alptraum für die Privatsphäre und das wird wahrscheinlich auch noch lange so bleiben.

► Trojanertolerante Hardware- und Lieferkettensicherheit in der Praxis – Vasilios Mavroudis und Dan Cvrcek (@dancvrcek)

Problem: Was wäre, wenn Ihr FIPS 140-Hardwaresicherheitsmodul (HSM) bösartig wäre? Das heißt, es enthielt schädliche Chips, die Ihre heiligen RSA-Schlüssel gefährdeten. Würdest du es überhaupt wissen? Und wie?

Dies ist die Prämisse eines interessanten Vortrags von zwei in London ansässigen Forschern, Mavroudis und Cvrcek. Die Prämisse mag weit hergeholt erscheinen, aber es gibt Organisationen, die die Handlung von Tech-Spionagefilmen wie diesem als Bedrohungsmodell verwenden müssen. Stellen Sie sich beispielsweise vor, die NSA oder der US-Geheimdienst würden die in China hergestellten integrierten Schaltkreise ihrer Computer misstrauisch beäugen?

Mavroudis und Cvrcek schlagen eine Lösung aus der Flugzeugavionik vor: Redundanz in der Lieferkette. Das Flugzeug Boeing 777 verwendet beispielsweise dreifach redundante Controller aus drei verschiedenen Lieferketten auf einer einzigen Platine. Bei der Avionik geht es vor allem um Zuverlässigkeit, aber Mavroudis und Cvrcek nutzen diese Redundanz stattdessen aus Sicherheitsgründen.

Sie haben einige selbstgemachte HSMs gebaut (so cool!) und sie über das Internet verbreitet. Jedes HSM nimmt an einer Reihe verteilter Verschlüsselungsprotokolle teil und hat dabei teilweisen Zugriff auf geheime Daten. Das HSM-Netzwerk kann erkennen, wenn eines seiner Mitglieder ausfällt oder versucht, die Kryptografie zu beschädigen. Ich vermute, dass hier komplizierte Mathematik zum Einsatz kommt, für die sie ihre Arbeit nicht gezeigt haben, aber das ist okay, wir können auf das Whitepaper warten.

Sie enthielten außerdem Anleitungen und Bilder zum Bau eines eigenen HSM aus einem alten USB-Hub, einigen integrierten Schaltkreisen, ihrem Applet und etwas Kaugummi. Schick!

► CableTap: Drahtloses Anzapfen Ihres Heimnetzwerks

Der coolste Vortrag auf der DEF CON 25, über den niemand schreibt, war „CableTap: „Drahtloses Anzapfen Ihres Heimnetzwerks.“

Zwei Forscher von Bastille Networks begannen, die Verbrauchernetzwerkbereitstellungen von Comcast und Time Warner zu untersuchen. Einer der Forscher hatte zu Beginn seiner Karriere im Januar kaum Ahnung von Linux oder Netzwerken, doch im März hatte er herausgefunden, wie man Fernzugriff auf Millionen von Heimroutern und Set-Top-Boxen erhält. Ihre Angriffskette war beeindruckend und ihre Präsentation war lustig und inspirierend.

Lesen Sie mehr darüber in meinem Artikel auf SecurityWeek.com: Der coolste Vortrag bei Defcon 25, über den niemand schreibt

Werde ich bei DC26 dabei sein?

Okay, nachdem ich das alles geschrieben habe, bin ich zu dem Schluss gekommen, dass ich JA, wahrscheinlich bei DC26 dabei sein werde. Auf der DEF CON passiert einfach zu viel Cooles; sechs Tage in Vegas (auch wegen Blackhat) haben mich einfach erschöpft, aber das ist nicht die Schuld der DEF CON, oder?

Hier ist mein Plan für nächstes Jahr.

• Transferhotels von Mandalay zu Caesar’s. Sich ein paar Mal am Tag über den Strip zu schleppen, ist einfach ermüdend. Melden Sie sich daher frühzeitig für Ihr Zimmer an.
• Weitere Google-Talks ansehen. Ich habe dieses Jahr großartige Dinge über ihre Redner gehört.
• Weniger trinken (Ha! Das werden wir sehen!).
• Verbringen Sie mehr Zeit in den Dörfern. Die angesagtesten Events dieses Jahr schienen das Voting Village und das Packet Hacking zu sein, und ich interessiere mich besonders für das IoT Hacking Village. Der Organisator der letzten Veranstaltung sagte während der Abschlusszeremonie: „Wir möchten dem Mirai- Botnetz danken, weil es die IoT-Sicherheit in den Vordergrund des Bewusstseins der Menschen gerückt hat!“

Also, ein Hoch darauf, und wir sehen uns bei DC26.