Hashdays Diary, Tag 1: Erste Vorträge und Treffen

Hashdays Diary, Tag 1

Erste Vorträge und Treffen

Marc Ruef
von Marc Ruef
Lesezeit: 6 Minuten

Hashdays Speaker Badge

Der zweite Tag der Hashdays hat entsprechend komfortabel für mich angefangen. Direkt aus meinem Hotelzimmer raus in die Konferenzebene, um meinen Badge abzuholen. Auf dem Weg dorthin habe ich schon alte Bekannte – wie zum Beispiel Stefan, Desirée und Max – getroffen. Auch einige Kunden haben sich gerade angemeldet und so kam ich dann nach ersten Gesprächen in den Genuss meines schwarzen Speaker-Badges (siehe Foto). Ein spannendes kleines Gerät hat da jeder Teilnehmer in die Hand gedrück gekriegt. Neben dem LED-Display werden vier Knöpfe bereitgestellt, mit denen sich durch das Menu navigieren lässt. So kann man die Uhrzeit, die laufenden Vorträge, eine Karte der Räumlichkeiten sowie den eigenen Name Tag anzeigen lassen. Ebenso besteht die Möglichkeit das Spiel Rock-Paper-Scissors-Spock-Lizard (populär gemacht durch die Fernsehserie The Big Bang Theory) zu spielen, nach Eastereggs auf dem Gerät zu suchen (MIAU!) oder die LEDs einzuschalten. Sehr unterhaltsam!

Pünktlich um 09:00 Uhr startete die Keynote, welche von Chris Nickerson (Lares Consulting) gehalten wurde. In der unglaublich rasanten und unterhaltsamen Diskussion mit dem Titel The State of (In)Security hat er einerseits einen kurzen Abriss der Hacking-Historie – mit vielen subtilen Anspielungen auf Ereignisse vergangener Tage – vorgetragen. Um im gleichen Atemzug darauf zu verweisen, dass so manche Sache in der Branche/Szene nicht richtig angegangen werden. Chris war nach eigener Aussage ein bisschen nervös und freute sich darauf, nach seiner Eröffnung die folgenden zwei Tage zu geniessen.

Der Vortrag mit dem Titel (Default) Security of Modern Relational Databases von Alexander Kornbrust (Red-Database-Security GmbH) ist aufgrund von Krankheit leider ausgefallen. Und so hat Candid Wüest (Symantec) in kurzfristiger Weise Hintergründe zu Stuxnet vorgetragen. Auch wenn er nicht über alle Details dieses medial viel diskutierten Falls diskutieren konnte, war es eine sehr schöne Zusammenfassung der vielen Fakten und Indizien.

Im Anschluss daran hat Dale Pearson (Security Active) seinen mit Spannung angekündigten Vortrag Head Hacking – The Magic of Suggestion and Perception gehalten. Er ging dabei der Frage nach, inwiefern die Manipulation eines Menschen durch einen professionellen Social Engineer Erfolge erzielen kann. Dabei ist er in anschaulicher und skeptischer Weise auf die Möglichkeiten der Neurolinguistischen Programmierung (NLP) und Hypnose eingegangen. In der Tat sind da einige Aspekte zu finden, die für einen Social Engineer von direkten Nutzen sein können.

Am Nachmittag habe ich dann erstes wieder am Vortrag von Philipp Schroedel und Max Moser (Dreamlab) teilgenommen. In ihrem Talk CARAT – Configuration And Risk Assessment Toolkit, Metasploit within the Enterprise haben sie ihre Lösung vorgestellt, um auf der Basis von Metasploit effiziente Sicherheitsüberprüfungen vorzunehmen. Sowohl das Prinzip als auch das Produkt waren mir schon vorgängig bekannt (Habe mit Max aufgrund eines anstehenden Projekts einige Interna der Lösung diskutiert). Dennoch war es spannend zu sehen, welchen Stand ihr Ansatz mittlerweile erreicht hat und welche Möglichkeiten sich in Zukunft damit erschliessen werden.

Der letzte Vortrag dieses ersten Tags war für mich No More of the Same Bad Security: Why the OSSTMM 3 is Threatening Modern Security Practices von Pete Herzog (ISECOM). Obschon ich seit jeher OSSTMM in Bezug auf individuelles Penetration Testing skeptisch gegenüberstehe, habe ich seinen scharfsinnigen und selbstkritischen Talk sehr geschätzt. Er ging weniger auf OSSTMM selbst ein, sondern diskutierte grundlegende philosophische Überlegungen im Bereich Informationssicherheit. Dabei ist er auf einige gleiche Ansätze gekommen, wie ich auch im Tractatus Logico-Philosophicus Instrumentum Computatorium formuliert habe. Da ich Pete schon mehrere Jahre von diversen Mail-Diskussionen kenne, habe ich natürlich die Gelegenheit genutzt und am Abend einige seiner kontroversen Thesen bei einem Tee (ich fühlte mich noch immer leicht krank) diskutiert. Leider musste er schon bald an die nächste Konferenz reisen und so werden wir voraussichtlich die Diskussion in den kommenden Tagen wie gehabt per Email weiterführen.

Am Abend gingen wir noch mit einigen Leuten in der Altstadt von Luzern essen. Mitunter habe ich einmal mehr mit Max darüber diskutiert, ob und inwiefern Nachwuchs in unserem Bereich überhaupt noch gefördert wird bzw. förderbar ist (eine altbekannte Diskussion). Und sieht man sich die wichtigen Elemente der Branche an, so fällt nach wie vor auf, dass irgendwann eine Überalterung stattfinden wird. Sowohl Chris als auch Pete haben es in ihren Talks in richtiger und wichtiger Weise hervorgehoben, dass es uns allen darum gehen sollte, unsere gemeinsamen Ziele zu erreichen – Mitunter sollte man sich gegenseitig helfen und fördern. Die bisherige Atmosphere der Hashdays schaffen hierfür eine ausgezeichnete Grundlage. Und so hoffe ich, dass der morgige Tag genauso unterhaltsam und spannend sein wird.

Über den Autor

Marc Ruef

Marc Ruef ist seit Ende der 1990er Jahre im Cybersecurity-Bereich aktiv. Er hat vor allem im deutschsprachigen Raum aufgrund der Vielzahl durch ihn veröffentlichten Fachpublikationen und Bücher – dazu gehört besonders Die Kunst des Penetration Testing – Bekanntheit erlangt. Er ist Dozent an verschiedenen Fakultäten, darunter ETH, HWZ, HSLU und IKF. (ORCID 0000-0002-1328-6357)

Links

Sie wollen eine KI evaluieren oder entwickeln?

Unsere Spezialisten kontaktieren Sie gern!

×
Konkrete Kritik an CVSSv4

Konkrete Kritik an CVSSv4

Marc Ruef

scip Cybersecurity Forecast

scip Cybersecurity Forecast

Marc Ruef

Voice Authentisierung

Voice Authentisierung

Marc Ruef

Bug-Bounty

Bug-Bounty

Marc Ruef

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv