SOURCE Barcelona / BruCON - ein kurzer Rückblick

SOURCE Barcelona / BruCON

ein kurzer Rückblick

Stefan Friedli
von Stefan Friedli
Lesezeit: 9 Minuten

Dass in Europa gleich zwei hochkarätige Konferenzen in einer Woche stattfinden, hat einen gewissen Seltenheitswert. So geschehen ist dies aber vergangene Woche im Rahmen der jeweils zweiten Ausgabe der SOURCE Barcelona und der BruCON. Hier das Wichtigste in Kürze:

SOURCE Barcelona

SOURCE Barcelona

Die SOURCE, bereits zum zweiten Mal in der sonnigen Hauptstadt Kataloniens stattfindend, ist sicherlich nicht die grösste Konferenz der Welt, verfügt zur gleichen Zeit aber sicherlich über eine der imposantesten Kulissen überhaupt: Weit über den Strassen der Innenstadt thront das katalonische Kunstmuseum (MNAC), das als Kulisse für eine verhältnismässig kleine und familiäre, dabei aber fachlich sehr gut besetzte Veranstaltung.

Talk Highlights

Applied Threat Modeling — Live Allison Miller, Paypal Alex Hutton, Verizon Business

Allison Miller und Alex Hutton sprachen über Ihre Erfahrungen mit Threat Modelling und die damit verbundenen Probleme in der Realität. Im Fokus stand dabei das VERIS Framework (Verizon Incident Sharing), das Verizon unlängst veröffentlichte. Kurz zusammengefasst, handelt es sich um ein Modell zur Normalisierung von (bereits in der Vergangenheit liegenden) Incidents zur Modellierung allgemeiner Gefahren, die im Risk Management verwendet werden können. Interessierten sei die Lektüre des obengenannten Blogposts sowie des, ebenfalls vor nicht allzulanger Zeit erschienenen, Data Breach Investigations Report empfohlen. Wer nur einen kurzen Überblick über VERIS erhalten möchte, dem sei dieses Executive Summary ans Herz gelegt.

Implementing a CSIRT – Lessons Learnt from Setting Up the Irish CERT Brian Honan

Ein nationales CERT aufzubauen ist sicherlich keine leichte Aufgabe – Brian Honan, der sich stark im Rahmen des irischen CSIRTs IRISS engagiert, kann davon einiges erzählen. Interessantes Detail: Irland ist derzeit das einzige Land in der EU das immer noch kein eigenes, offizielles (IRISS ist eine gemeinnützige Institution, die ausschliesslich von Freiwilligen betrieben wird) CERT betreibt. Wer sich momentan in einer ähnlichen Situation befindet und den Talk verpasst hat, sollte sich darum bemühem von Brians Wissen profitieren zu könnne. Kontaktinformationen finden sich auf der offiziellen Seite von IRISS. Brian Honan ist auch auf Twitter zu finden und zwar hier

“Stratagem 1 “Deceiving the heavens to cross the sea (Using the the 36 stratagems for Social Engineering) Jayson E Street, Stratagem 1

Ein weiterer Kandidat im Rennen um den einmillionsten Talk über Social Engineering. Während das Thema nicht neu ist, gehörte Jayson Streets Talk sicher zu den unterhaltsameren seiner Art. Jayson demonstrierte unter anderem dieses innovative Headset, das ursprünglich für Online Rollenspiele geschaffen wurde und das einfache manipulieren der eigenen Stimme zur Imitation des anderen Geschlechts oder anderer Altersklassen erlaubt. Oder die “Vest of Doom”, die problemlos unter einem Anzug getragen werden kann und zahlreiche nützliche Dinge enthält, die man während einer physischen Social Engineering Attacke durchaus gebrauchen kann. Jaysons Buch Dissecting the Hack, in revisionierter Ausgabe, kann übrigens immer noch signiert in unserem SMSS Gewinnspiel erspielt werden.

Jackpotting Automated Teller Machines Barnaby Jack, IOActive

Zu diesem Talk noch etwas zu sagen ist wahrscheinlich redundant, nachdem die ursprüngliche Version an der diesjährigen Blackhat für grosses Medieninteresse sorgte. Zum Beispiel hier, hier, hier oder auch hier.

Smart Grid Security Josh Pennell, IOActive

Nach dem imposanten Abschluss des ersten Tages von Barnaby, machte IOActive Kollege Josh am nächsten morgen direkt weiter. Das Thema seiner Präsentation waren Smart Grid Devices, die derzeit vor allem in den USA eine starke Verbreitung erfahren. Will man die Technologie ganz grob zusammenfassen, so ist SmartGrid eine Art logisches Netzwerk das auf dem Stromnetz aufbaut – oder ganz vereinfacht gesagt: Das Internet auf PowerLine Basis. Josh befasste sich mit architektonischen Schwachstellen und zeigte auf, dass die Infrastruktur noch zusätzlicher Massnahmen bedarf, um nicht als potentielles Ziel für katastrophale Angriffe zu dienen. Er zeigte überdies auf, dass IOA bereits über einen Proof of Concept Wurm verfügt, der sich über das Stromnetz verbreiten kann.

Building Bridges: Forcing Hackers and Business to “Hug it Out” Andrew Hay, 451 Group Chris Nickerson, Lares Security

IT-Security Leute denken, das Business hat keine Ahnung von Security. Business Leute denken, die IT-Security hat keine Ahnung vom Business. Meistens liegen beide nicht allzu falsch. Andrew und Chris versuchten in ihrem Talk zum Ausdruck zu bringen, dass von beiden Seiten verschiedene Efforts von Nöten sind, um eine Zusammenarbeit zu ermöglichen.

Videos und Präsentationen
Leider sind bislang keine Medien verfügbar. Wir werden die Referenzen anpassen, sobald sich dies ändert.

BruCON

BruCON

Direkt nach der SOURCE (und nach einem zwangsweise verlängerten Aufenthaltes in Barcelona aufgrund eines Streiks des französischen Bodenpersonals) ging die Reise weiter nach Belgien, genauer gesagt nach Brüssel wo die zweite BruCON bereits seit einigen Stunden am Laufen war. Während die Location hier nicht mit dem Prunk des MNACs mithalten konnte, schaffte die überdurchschnittliche grosse Präsentationsfläche und die urbane Kulisse eine überaus passende Atmosphäre für eine derartige Konferenz.

Talk Highlights

Cyber [Crime|War] – connecting the dots Ian Amit

Die meisten Leser unseres Blogs dürften sich an die populären “Malen nach Zahlen” Bilderbücher noch errinern, bei denen das Bild eigentlich erst sichtbar wird, wenn man die Punkte der Reihe nach durch Linien verbindet. Den Vergleich zu diesen Malbüchern nutzte Ian, um aufzuzeigen dass viele Fakten im Zusammenhang mit Cyberwar und Cybercrime frei verfügbar sind und nur korreliert werden müssen, um das grössere Bild zu sehen. Tatsächlich präsentierte Ian einige interessante Fakten im Zusammenhang mit internationalen Cybercrime Netzwerken wie RBN, McColo etc. und taktischen Cybercrime Massnahmen, wie sie im Rahmen der Georgien Offensive zu sehen war. Sicher darf man allerdings bei derartigen Konklusionen auch Ockhams Rasiermesser nicht ausser Acht lassen, um nicht Opfer der eigenen Fantasie zu werden.

Embedded System Hacking and My Plot To Take Over The World Paul Asadoorian

Paul Asadoorian, Produkt Evangelist für Tenable und Host des populären Security Podcasts PaulDotCom Security Weekly, präsentierte in erster Linie Schwachstellen in Embedded Systems, wie zum Beispiel Drucker, Router und ähnliche Gerätschaften, die üblicherweise nicht aktiv betreut und gepatcht werden. Aufgrund der teilweise frappanten Schwachstellen lud Paul alle Anwesenden ein, sich doch aktiv bei der Forschung nach derartigen Lücken zu beteiligen und diese auf http://www.securityfail.com zu sammeln. Paul präsentierte interessanten Inhalt und konnte später am Abend auch noch den Sieg im allseits beliebten PowerPoint Karaoke nach Hause tragen.

Head Hacking – The Magic of Suggestion and Perception Dale Pearson

Seit langem und bei weitem der beste Social Engineering Talk, den ich gehört habe. Dale präsentierte, wie man Social Engineering in der Form, wie wir es kennen, durch psychologische und populärwissenschaftliche Methoden verbessern kann. Er ging dabei vor allem auf die Themen Hypnose und NLP ein, streifte aber eine ganze Menge von anderen Techniken, die zur Manipulation von Reaktionen sowie zur Exfiltration von Daten nützlich sein können. Interessierten sei das Studium der Slides ans Herz gelegt. Dale präsentiert übrigens in Kürze in der Schweiz und wird seinen Talk dabei an den hashdays in Luzern halten.

Top 5 ways to steal a company “Forget root, I want it all” Chris Nickerson

Chris hat seinen Talk kurz vor der Konferenz noch unbenannt und präsentierte die etwas weniger diplomatische Variante “Top 10 ways to destroy a company”. Während die Kernaussage des Talks im wesentlichen darin bestand, dass Security Consultants darum bemüht sein müssen, relevante Gefahren im Geschäftsumfeld zu sehen und zu formulieren, anstatt sich stets auf ihr eigenes Feld der Expertise zu beschränken, führte die teilweise nicht ganz jugendfreie Präsentation zu teilweiser Konsternation im Publikum. Auch hier sei das Studium der Slides empfohlen, obschon diese in einigen Teilen NSFW sind.

Videos und Präsentationen
Alle Präsentationen sind auf der BruCON Webseite zu finden. Videos folgen in Kürze.

Über den Autor

Stefan Friedli

Stefan Friedli gehört zu den bekannten Gesichtern der Infosec Community. Als Referent an internationalen Konferenzen, Mitbegründer des Penetration Testing Execution Standard (PTES) und Vorstandsmitglied des Schweizer DEFCON Group Chapters trägt er aktiv zum Fortschritt des Segmentes bei.

Links

Sie wollen eine KI evaluieren oder entwickeln?

Unsere Spezialisten kontaktieren Sie gern!

×
Active Directory-Zertifikatsdienste

Active Directory-Zertifikatsdienste

Eric Maurer

Konkrete Kritik an CVSS4

Konkrete Kritik an CVSS4

Marc Ruef

Das neue NIST Cybersecurity Framework

Das neue NIST Cybersecurity Framework

Tomaso Vasella

Angriffsmöglichkeiten gegen Generative AI

Angriffsmöglichkeiten gegen Generative AI

Andrea Hauser

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv