Etwa 39 Millionen Besucher zählt die Stadt Las Vegas in der Mitte der Wüste von Nevada. Die meisten von ihnen kommen wegen der Kasinos, der Shows – vielleicht noch der geographischen Nähe zum imposanten Grand Canyon. Meistens zumindest, denn jeden Sommer wird Las Vegas zum Schmelztiegel der Security Industrie.

Die Konferenzen SecurityBSides, BlackHat und DEFCON finden seit Jahren jährlich in der Hitze der Unterhaltungsmetropole statt und ziehen jährliche Tausende von Besuchern an. Die DEFCON konnte dieses Jahr einen Besucherrekord von knapp 15000 Besuchern (inkl. Tagesgästen) verbuchen, die BSidesLV war bereits Wochen vor dem Event restlos ausverkauft und auch die BlackHat verbuchte – trotz bewusst hohem Ticketpreis – solide Zahlen.

Auch die scip AG war vor Ort und hat sowohl in teilnehmender als auch in referierender Funktion an den Konferenzen teilgenommen. Einige Highlights sollen deshalb hier in kurzer Form Erwähnung finden.

Die höchste Antizipation fand dieses Jahr wohl die BSidesLV, die zum ersten Mal im (komplett gemieteten) Artisan Hotel stattfand. Die Herausforderung, eine kostenlose Alternative zur BlackHat anzubieten, wurde dabei vom Organisationsteam mit Hilfe von Sponsoren und solider Planung ausserordentlich gut gelöst. Manch einer kam zum Schluss, dass der Content an der BSidesLV überblickend problemlos mit der, massiv teureren, BlackHat mithalten kann und diesen – natürlich abhängig vom persönlichen Geschmack – sogar übertrumpfen mag.

Einer der Höhepunkte der BsidesLV war der Auftritt von Peiter “Mudge” Zatko, dem ehemaligen L0pht Mitglied, das heute in der Bundesbehörde DARPA das Bindeglied zwischen Fed und der Hackercommunity darstellt. Seine Präsentation drehte sich dementsprechend auch um diese Kooperation zwischen Regierung und Sicherheitsexperten aus der Community, speziell Hacker- und Makerspaces. Während manch einer den “alten” Mudge, der nicht für eine Regierungsbehörde arbeitet, wohl als nahbarer empfand, war der Inhalt des Vortrags durchaus interessant und, vor allem für US-basierte Spezialisten, sicher auch von solidem Informationswert.

Zeitgleich zum Vortrag von scip Mitarbeiter Stefan Friedli, präsentierte HD Moore eine neue Version des Wardialing Tools WarVox, das nun direkt in Metasploit integriert wird. So verfügt Metasploit jetzt quasi über einen kompletten VoIP Stack, was so manchem Pentester durchaus gelegen kommen dürfte.

Zur selben Zeit wurden an der BlackHat die Pwnie Awards verliehen. Der Preis, der oftmals als “Security Oscar” bezeichnet wird, wird jährlich in verschiedenen Kategorien vergeben. Der Preis für die beste Server-Side Vulnerability ging an Juliano Rizzo und Thai Duong für das ASP.NET Framework Padding Oracle. Für die beste Client-Side Schwachstelle durfte Comex, bekannt für die Webseite jailbreakme.com den Preis entgegennehmen.

Den Negativ-Award für die schlechteste Vendor Response ging, wenig überraschend, an RSA. Und auch der Preis in der Kategorie “Most Epic Fail” überraschte wenig: Sony gewann mit Abstand, was allerdings bei einem guten Dutzend Nominationen auch niemanden wundern dürfte.

Innotivative Research zeigte auch Ian Amit von der israelischen Consultingfirma Security Art. Mittels verschiedener technischer Mittel, zeigte Ian auf, wie Daten auf unkonventielle Art aus Netzwerken mit stark reduzierter Konnektivität extrahiert werden können. Dabei nutzte er unter anderen VoIP, um Daten als Sound-encondiert über eine Telefonverbindung zu extrahieren. Oder sogar physische Ausgabeformate (z.B. Drucker) in Verbindung mit OCR zur Wiederherstellung der Daten.

Ebenfalls unter der Kategorie “innovativ” zu werten, war der mutmassliche MitM Angriff auf CDMA und 4G Netze, der gerüchteweise während der gesamten Dauer der Konferenz stattfand. Während konkrete Beweise hier immer noch fehlen, häufen sich die Hinweise dass hier tatsächlich eine grossangelegte Attacke stattgefunden hat. Only in Vegas…

Wer dieses Jahr nicht live dabeisein konnte, für den gibt es traditionell die Recordings auf DVD zu erwerben. Materialen zu allen Präsentationen sind in der Regel online via Google auffindbar. Wer ungern weit fliegt, aber dennoch die neuste Research im IT-Sicherheitsbereich live präsentiert sehen möchte, dem sei an dieser Stelle die hashdays Konferenz im Oktober 2011 in Luzern ans Herz gelegt.

Über den Autor

Stefan Friedli gehört zu den bekannten Gesichtern der Infosec Community. Als Referent an internationalen Konferenzen, Mitbegründer des Penetration Testing Execution Standard (PTES) und Vorstandsmitglied des Schweizer DEFCON Group Chapters trägt er aktiv zum Fortschritt des Segmentes bei.

Links

• http://pwnies.com/
• http://seclists.org/fulldisclosure/2011/Aug/76
• http://warvox.org/
• http://www.hashdays.ch
• http://www.l0pht.com/
• http://www.security-art.com/
• http://www.securitybsides.com/w/page/36939448/BSidesLasVegas