Wenn die Opt-Out Rate am McCarran Airport in Las Vegas schlagartig in die Höhe schiesst, dann heisst das meistens eines: Es ist Sommer, Zeit für die alljährlichen Sicherheitskonferenzen Blackhat, BSides Las Vegas und DEFCON. Für unsere Branche sind die Events, sowohl aus inhaltlicher Sicht wie auch im Hinblick auf Networking, von essentieller Bedeutung. Naheliegenderweise hat es sich die scip AG auch dieses Jahr nicht nehmen lassen, vor Ort zu sein. Stefan Friedli, der selber schon in Vegas präsentieren durfte, fasst seine Erlebnisse in diesem Artikel zusammen.

Gut 10’000km lang ist der Flug von Zürich nach Las Vegas via Los Angeles. Die SWISS LX40, angeboten im Codeshare mit United Airlines, legt dabei die längste Direktdistanz im derzeitigen Streckennetz der Schweizer Fluggesellschaft zurück. Gut 13 Stunden dauerte der Flug an diesem Montag. Die Fähigkeit, in einem Flugzeug erholsamen Schlaf zu finden, fehlt mir leider vollends. Dementsprechend schaute ich mir Joss Whedons “Avengers” noch einmal an, beendete das mitgebrachte Buch und ging dann dazu über mir noch einmal die Schedule der anstehenden Events anzuschauen und meine Favoriten herauszupicken. Nachdem dies nicht mein erstes Jahr in Vegas war, weiss ich dass es keinen Sinn macht sich einen allzu ambitionierten Plan aufzustellen: Erstens kommt es anders und zweitens als man denkt. Gerade im Kontext zu Security- und Hackerkonferenzen beweist diese Floskel seine Gültigkeit Jahr für Jahr. So bezahlt man seine Ambition, möglichst viele Talks zu sehen oft mit verpassten Adhoc-Sessions, ungeführten Gesprächen und verpassten neuen Kontakten. Spontanität hilft, dementsprechend hatte ich meine Favoriten gewählt und beschlossen, den Rest auf mich zukommen zu lassen.

Für den ersten Teil der Woche stand der industrielastige Grossevent Blackhat an. Da unser Labs Blog zu den meistgelesenen Ressourcen zum Thema Informationssicherheit im deutschsprachigen Raum gehört, kamen wir dieses Jahr in den Genuss eines kostenlosen Pressebadges. Die Blackhat Briefings boten auch dieses Jahr wieder eine Fülle an Inhalt, meine vorgängig genannten Favoriten hier waren SexyDefense – Maximizing the home-field advantage, von Iftach Ian Amit und Don’t Stand So Close To Me: An Analysis of the NFC Attack Surface von Charlie Miller. Beide Talks konnten überzeugen und wurden vom Publikum gesamthaft gut aufgenommen.

Ganz anders erging es Dallas De Atley von Apple, der den zweiten Tag mit seinem Talk zum Thema iOS Security eröffnen sollte. Manch einer, der in den letzten Monaten die Freude hatte, sich mit der Integration von iOS Devices in globale Unternehmensnetzwerke auseinanderzusetzen, – ich zähle mich zu ihnen – wartete gespannt auf neue Insights von De Atley, der bei Apple immerhin in führender Position für die Sicherheit des mobilen Betriebssystems zuständig ist. Sie alle wurden bitter enttäuscht. Während 50 Minuten rezitierte der Vortragende das, vor einigen Monaten veröffentlichte, Whitepaper zur iOS Security und ging dabei keinen Schritt über die bereits bekannten Informationen hinaus, was für Kopfschütteln im Publikum sorgte. De Atley komplettierte seine enttäuschende Vorstellung damit, dass er nach Abschluss seiner Präsentation mehr oder minder fluchtartig die Bühne verliess, ohne – wie es eigentlich üblich wäre – auch nur eine einzige Frage zu beantworten.

Positiv überraschen konnte dafür die vorhergegangene Keynote, bei der der bekannte Security-Blogger Brian Krebs (Krebs on Security) ein Interview mit Neal Stephenson, Author zahlreicher Romane wie “Snowcrash” oder “Reamde”, führte. Stephenson, der eigentlich mit der “realen” Informationssicherheitswelt nur limitierte Berührungspunkte hat, beeindruckte dabei durch überlegte Statements und Ansichten zu einer Vielfalt von Themen, die in einem vernetzten Zeitalter von Signifikanz sind.

Neben all dem Inhalt, der auf insgesamt 7 Tracks (exkl. Workshops) präsentiert wurde und hier in Form von Slides/Whitepapers online betrachtet werden kann, bot die Blackhat natürlich auch zahlreiche Möglichkeiten zum Networking. So gab Microsoft dieses Jahr, nach eigenen Aussagen, für ihre “Researcher Appreciation Party” mehr Geld aus, als Kim Kardashian für ihre Geburtstagsparty und erhob entsprechend auch den Anspruch, damit eine bessere Party zu haben als das skandalerprobte It-Girl. Die Meinungen dazu dürften auseinandergehen. Doch so waren die Nächte in der “City of Sin” auch dieses Jahr lang und manch einer war froh, wenn er endlich im Taxi zum eigenen Hotel sass, in dem der – erst gerade zur Frühschicht erschienenene und entsprechend muntere – Taxifahrer amüsiert erzählt, er würde während der Woche in der “die Hacker da sind”, nie einen ATM benutzen. Recht hat er, vermutlich.

Nächste Woche folgt die Fortsetzung dieses Artikels: DEFCON/BSidesLV

Über den Autor

Stefan Friedli gehört zu den bekannten Gesichtern der Infosec Community. Als Referent an internationalen Konferenzen, Mitbegründer des Penetration Testing Execution Standard (PTES) und Vorstandsmitglied des Schweizer DEFCON Group Chapters trägt er aktiv zum Fortschritt des Segmentes bei.

Links

• http://http://krebsonsecurity.com/
• http://images.apple.com/ipad/business/docs/iOS_Security_May12.pdf
• https://www.blackhat.com/html/bh-us-12/bh-us-12-archives.html
• https://www.blackhat.com/html/bh-us-12/bh-us-12-briefings.html#Amit
• https://www.blackhat.com/html/bh-us-12/bh-us-12-briefings.html#DeAtley
• https://www.blackhat.com/html/bh-us-12/bh-us-12-briefings.html#Miller
• https://www.blackhat.com/html/bh-us-12/schedule/briefings-25.html