Ich möchte ein "Red Teaming"
Michael Schneider
Das haben Hacker in Las Vegas gemacht
Ich bin ein Veteran, was Konferenzen angeht. Ich war an ziemlich vielen, auf fast allen Kontinenten. Ich war an kleinen Konferenzen, riesigen Konferenzen, öffentlichen Konferenzen und privaten Konferenzen, bei denen man ohne Einladung keinen Zutritt erhält. Ich habe als Teilnehmer, als Referent und als Organisator verschiedene Rollen wahrgenommen. Und trotzdem: Jedes Mal wenn ich in Las Vegas ankomme und der erste Tag der DEF CON anbricht, bin ich erstaunt, dass dieser Event überhaupt in dieser Form existieren kann. DEF CON, wie auch der CCC Kongress in Deutschland, ist eine sehr eigene Mischung verschiedener Strömungen innerhalb der Hacker/Security-Community. DEF CON ist ein gigantisches, wildes Biotop der Hackerkultur.
Die DEF CON fand letzte Woche zum 26. Mal statt. Vieles hat sich verändert, seit Jeff Moss, vielleicht besser bekannt unter seinem Handle “The Dark Tangent”, die erste Ausgabe in 1993 durchgeführt hat. Um die 100 Teilnehmer waren damals zugegen, heute sind es über 25’000 an der DEFCON 26. Zu diesem Zeitpunkt ist es nicht verkehrt zu behaupten, dass man über die Geschichte der Konferenz ein Buch schreiben könnte, voll mit Anekdoten und einzigartigen Geschichten zu allem was an und um die DEF CON herum passiert. Um einen guten Eindruck zu bekommen, um was an der DEF CON geht, empfehle ich DEFCON: The Documentary, ein Film, der zum 20-jährigen Jubiläum der Serie produziert wurde und verschiedene Aspekte der Konferenz beleuchtet.
Fokussieren wir uns daher spezifisch auf die diesjährige DEFCON 26. Die Organisatoren haben dieses Jahr etwas Platz gewonnen, dadurch dass der Event primär im Caesar’s Palace, mit einigen Erweiterungen im Flamingo, stattgefunden hat. Das resultierte, zu Teilen, in etwas kürzeren Schlangen vor den einzelnen Räumen, in denen Talks und Workshops präsentiert wurden, wobei die subjektive Empfindung der eingesparten Zeit hier relativ marginal ausfiel. Eine Teilnahme an der DEF CON heisst immer noch: Früh da sein und anstehen. Zumindest wenn es darum geht, einen Sitz in einer der populäreren Präsentationen zu bekommen oder an die einzelnen Stände der Vendor Area zu kommen, wo verschiedene Verkäufer eine weite Bandbreite von Gadgets und Swag anbieten.
Mit so vielen Menschen auf engem Raum kann es, vor allem über eine längere Zeit hinweg, zu Konflikten oder Spannung kommen. DEF CON’s Team von Freiwilligen, bekannt unter dem Begriff “Goons”, kümmert sich darum, dass die verschiedenen Regeln und auch der kürzliche überarbeitete Verhaltenscodex (Code of Conduct) eingehalten werden. Es ist mittlerweile nahezu Allgemeinwissen, dass es eine sehr unproduktive Idee ist, sich mit den Goons anzulegen, die üblicherweise damit endet, unbequem von der Konferenz entfernt zu werden. Seit der DEFCON 25 erfassen und publizieren die Organisatoren sämtliche Zwischenfälle im Rahmen eines sogenannten Transparency Reports. Im Rahmen der diesjährigen Konferenz wurden 11 Fälle von Belästigung verschiedener Art gemeldet, vergleichbar mit vergangenen Jahren.
Während diese Zahl immer noch zu hoch ist, darf ohne weiteres angenommen werden, dass die diesjährige DEF CON für eine Mehrzahl ihrer Teilnehmer eine positive und lehrreiche Veranstaltung war. Was keine Überraschung ist: Mit vier parallel laufenden Vortragsserien, sowie zusätzlichen Events wie SkyTalks – einer inoffiziellen Vortragsserie, die von DC303 in Denver organisiert wird – und den verschiedenen Villages, gab es mehr als genügend Möglichkeiten, sein Wissen in fast jeder erdenklichen Domäne zu erweitern. Egal ob Enthusiast oder IT-Security Professional, für jeden war da sicherlich etwas dabei.
Das Social Engineering Village mit seiner Hauptattraktion, dem Social Engineering Capture the Flag Wettbewerb war eines meiner persönlichen Highlights. Es wäre einfach, das mit Audio- oder Videoaufnahmen zu untermauern, jedoch ist es in Nevada illegal jegliche Konversation aufzunehmen ohne dass sämtliche Parteien ihr Einverständnis gegeben haben. Das Konzept ist aber auch schriftlich einfach erklärt: Die Teilnehmer erhalten ein Zielunternehmen zugeteilt und präparieren vorgehend mittels OSINT Recherche verschiedene Flags, wie zum Beispiel eingesetzte Betriebssysteme, Telefon oder Browser. Am Event selber werden die Teilnehmer in einer schalldichten Aufnahmebox platziert und müssen binnen 20 Minuten die selben Informationen mittels telefonischem Social Engineering erlangen. Sogar mit einiger non-trivialer Erfahrung ist es immer noch beeindruckend, den einzelnen Teilnehmern mit Ihnen unterschiedlichen Ansätzen zu folgen, speziell in einer Situation, wo hoher Zeitdruck einen weiteren Faktor darstellt.
Ein weiteres Highlight der DEF CON 26 dürfte das Electronic Voting Village darstellen, ein Raum der sich primär elektronischer Abstimmungsmechanismen, primär Abstimmungsmaschinen widmet. Das Village konnte nicht nur aufgrund der Kontroverse um die Thematik viel Aufmerksamkeit erregen, sondern auch durch die vielfältige Hardware, die hands-on durch die Besucher in Augenschein genommen werden konnte. Während das Village naheliegenderweise eine gewisse US-Ausrichtung aufwies, ist es bemerkenswert dass mit der Schweizerischen Post eine lokale Firma ihren kommenden Public Intrusion Test für die hiesigen E-Voting Lösungen ankündigte und um potenzielle Teilnehmer worb. Während sicherlich ein grosser Schritt ist, auf internationalem Parkett auf diese Art und Weise anzukündigen, ist dieser aber auch der einzige richtige, im Hinblick auf die möglichen Auswirkungen einer Kompromittierung. Das Electronic Voting Village war auch in Pressekreisen sehr beliebt und bot jenen, die sich die Zeit nahmen, den Ausführungen der verschiedenen Experten zu lauschen, einen wertvollen Einblick in ein wichtiges Thema.
Die DEF CON ist bekannterweise eine der Konferenzen die, in den meisten Jahren, eine Ausführung eines elektronischen Badges an seine Teilnehmer abgab, zumindest solange die Vorräte reichen. Es ist auch hinreichend bekannt, dass Badges üblicherweise in verschiedenen Formen und Farben kommen und auf die eine oder andere Art “hackable” sind. Dieses Jahr war es möglich, unterschiedliche Badges miteinander zu koppeln um so Funktionalitäten auszutauschen oder zu erweitern. Es ist gut möglich, einen guten Zeit der Dauer der DEF CON damit zu verbringen, den Badge zu hacken. Eine Herausforderung, die dann auch verschiedene Teilnehmer dankend annahmen. Aber auch ausserhalb des offiziellen Badges gab es einiges zu sehen: Verschiedenste 3rd Party Badges wurden getragen, teilweise in einer Menge, die Fragen um die Nackenstärke des Trägers aufwarf. Der humoristische Begriff #badgelife wurde dieses Jahr geprägt, um dieser Obsession mit dem Sammeln und Tragen verschiedener Badges im DEF CON Ökosystem Rechnung zu tragen.
Durch Ihren Veranstaltungsort in Las Vegas, in der Mitte der wüste von Nevada, bettet sich die DEF CON in eine massive Unterhaltungsmaschine ein. Die Casinos die DEF CON, wie auch BlackHat und BSidesLV, umringen und als deren Veranstaltungsort dienen, sind riesige, umsatzgetriebene Geldmaschinen. Durch den Schützen, der vergangenes Jahr im Rahmen eines Open Air Konzertes aus einem Fenster des Mandalay Bay über 50 Menschen tötete und Hunderte verletzte, wurden die Sicherheitsvorschriften verschärft. In einem Effort, die Sicherheit zu erhöhen und vor allem die Haftung der einzelnen Casinos einzuschränken, wurden verschiedene Massnahmen ergriffen, die im Rahmen der diesjährigen Konferenz zu Kontroversen führen. So behält sich das Caesar’s Palace das Recht vor, jederzeit Zimmer ohne die Einwilligung des Gastes zu durchsuchen. Ein Recht, dass dann auch zum Ärger verschiedener prominenter Teilnehmer genutzt wurde. Das Management des Caesar’s Palace hat sich bislang noch nicht zu den verschiedenen Anschuldigungen bezüglich eines Fehlverhaltens seiner Sicherheitsmitarbeiter geäussert. Es darf aber davon ausgegangen werden, dass verschiedene Teilnehmer sich nächstes Jahr anderweitig orientieren werden, was die Auswahl ihrer Unterkunft anbelangt.
Ich wurde vor kurzem in einem Panel gefragt, was der Schlüssel zu einer erfolgreichen Konferenz ist. Meine Antwort, mit meinem Hintergrund durch die hashdays und Area41, war: Inhalt. Mit gutem Inhalt kommen auch gute Teilnehmer. Und trotzdem: Bei einer Konferenz mit der Grösser der DEF CON, ist Inhalt nur die halbe Miete. Es ist nicht ungewöhnlich für Teilnehmer, nur eine handvoll Talks zu sehen, wenn überhaupt. Die vielen alternativen Aktivitäten, die Möglichkeit neue Kontakte zu knüpfen und neue Dinge zu lernen sind eine gute Alternative. Am Ende ist DEF CON weniger eine Konferenz, als eine Plattform.
Und so ist eine weitere DEF CON in der Vergangenheit angelangt und es wird auch nicht lange dauern, so Jeff während seiner Schlusszeremonie, bis die Vorbereitungen für die DEF CON 27 starten werden.
Unsere Spezialisten kontaktieren Sie gern!
Michael Schneider
Marisa Tschopp
Michèle Trebo
Andrea Covello
Unsere Spezialisten kontaktieren Sie gern!