Technologien zur Verbesserung der Privatsphäre
Lucie Hoffmann
Wie die scip AG die Area41 und ihre Talks wahrgenommen hat
Am Eingang direkt zu Beginn haben wir den ersten Swag des Tages erhalten. Im diesjährige Badge verstecken sich viele verschiedene Überraschungen. Einige der Überraschungen wurden nach der Konferenz aufgelöst, andere bleiben weiterhin ungelöst.
Im folgenden Abschnitt befinden sich die Impressionen und Zusammenfassungen der Talks, die beim scip-Team einen bleibenden Eindruck hinterlassen haben.
Die Talks der Area41 2024 wurden mit der Keynote Hacker’s Perspective on New Risks: Revising the cybersecurity priorities for 2024 von Paula Januszkiewicz eröffnet. In ihrer Keynote präsentierte Paula AI als neue Bedrohung im IT-Bereich und ging aber auch darauf ein, dass klassische Angriffe weiterhin funktionieren. Dabei gehen die AI-Bedrohungen einerseits in Richtung Social Engineering, andererseits aber auch in die Entwicklung von bösartigen Tools mithilfe von AI. Beeindruckend war, wie sie in ihrer Keynote technische Demos unterbringen konnte, um die von ihr aufgebrachte Frage “Is hacking easy?” zu beantworten. Spoiler Alert: Gemäss Paula ist die Antwort Ja. Zusammenfassend empfiehlt sie die folgenden sechs Punkte als besonders relevant für die IT-Security im 2024:
In seinem Talk Switching 400’000 Volts with a TCP packet erklärte Cyrill Brunschwiler der Community die Grundlagen zum Schweizer Stromnetz, wichtige Komponenten, Protokolle wie IEC 61850 und IEC 60870-5-104 und wie Penetration Tests in diesem Umfeld aussehen. Cyrill blickte zurück auf vergangene Vorfälle, wie der Angriff auf das Stromnetz der Ukraine im Jahr 2015, welcher der Gruppe Sandworm zugeschrieben wird. Er nahm auch Bezug auf aktuelle IT-Angriffe im Ukraine-Krieg und schloss mit der Reflektion, dass im Krieg Raketenangriffe auf die Strominfrastruktur viel mehr Schaden anrichten, welche auch zu längeren Ausfällen führen.
Tommaso Gagliardoni stellte mit dem Talk Shufflecake, AKA Truecrypt on Steroids for Linux die Verschlüsselungssoftware shufflecake vor. Sufflecake kann unter Linux mehrere versteckte Volumen erstellen und macht es sehr schwierig, die Anwesenheit von solchen Volumen überhaupt zu beweisen. Shufflecake ist eine Art Nachfolger von Truecrypt/Veracrypt, ist jedoch eine klare Verbesserung, da es nativ unter Linux läuft, verschiedene Dateisysteme und mehrere verschachtelte Volumen unterstützt. Tommaso präsentiere ein komplexes Thema auf eine einfache und klare Art, dass Neulinge in dem Bereich sowie Truecrypt-Veteranen gleichermassen unterhalten und informiert wurden.
Am frühen Nachmittag präsentierte Gian Demarmels seine Entdeckungsreise zur automatisierten Erstellung von konfigurierbarer Malware und Implants durch sein eigenes Framework im Talk Automating Malware Development: A Red Teamer’s Journey. Dabei ging er durch die verschiedenen Etappen der Entwicklung und offenbarte kurze Einblicke in sein, aus offensichtlichen Gründen nicht veröffentlichten Frameworks, Darth-Evader. Unter anderem, dass er auf die Template Engine Jinja setzt, um den Source Code zu erstellen aus Gründen der Modularität, effizienterer Entwicklung und besserem Endergebnis.
New stories of money – Crypto, DeFi, Hacks & Attacks von Marco Preuss war ein sehr aufschlussreichen Vortrag über die verschiedenen Arten von Angriffen und Scams im Crypto-Bereich. Er behandelte nicht nur Angriffe, die direkt auf die Blockchain abzielen, sondern auch andere Ziele wie die Übernahme von Computern zum minen von Crypto, Crypto-Betrug, Crypto-Diebstahl und mehr. Marco besprach verschiedene Aspekte, darunter Bitcoin und andere Kryptowährungen, Businessscams, DeFi und NFTs. Er lieferte nicht nur einen allgemeinen Überblick über diese Angriffe und Scams, sondern teilte auch einige interessante Geschichten und Beispiele zu diesen Fällen. Während er auf diese Angriffe und Betrügereien hinwies, sprach er auch über einige Grundlagen der Crypto und deren Potenzial. Es war faszinierend, die verschiedenen Facetten der Crypto-Security-Space zu sehen.
In ihrem Vortrag The CTF to Career Pipeline zeigte Jam (Vie) Polintan, wie man in die Informationssicherheitsindustrie einsteigen und Fuss fassen kann, indem man mit CTFs beginnt. Mit ihrem Team Maple Mallard Magistrates konnte sie das Def Con CTF gewinnen. Ihre Geschichte, von ihrem künstlerischen Hintergrund über das Studium von Spieldesign und Mathematik an der University of British Columbia bis hin zu den ersten Schritten mit CTFs im UBC CTF Team Maple Bacon, war inspirierend. Jetzt arbeitet sie in der Industrie bei Google. Sie zeigte ausserdem wie man Abstraktionen von Techniken, die in einem Bereich des Lebens oder der Informationssicherheit gelernt wurden, nutzen kann um in einem völlig anderen Umfeld anzuwenden und so Innovation schaffen kann.
Michael präsentierte eine spannende Befehlsinjektion in Email-Adressen, die von der Spam-Filter-Appliance MailCleaner behandelt werden, die zu einer Reverse Shell führt. Der Angriff zeigt, wie schwierig es ist, Email-Adressen zu verwalten, aufgrund ihrer grossen Flexibilität bei den zulässigen Zeichen. Nach einigen Recherchen über Datenquellen und -Senken im Code der Open-Source-Spamfilter-Appliance MailCleaner fanden sie heraus, dass ein Cron-Job regelmässig einen Systemaufruf ausführt, der die Empfänger-Email-Adresse einer Spam-Mail als Eingabe verwendet. Mit Hilfe von Email sub-addressing, um einen gültigen Empfänger zu haben, und shell parameter expansion, um fehlende Zeichen zu erhalten, die für RCE notwendig sind, bahnten sie sich ihren Weg durch das Setzen einer gültigen Empfänger-Email, die einen Befehl enthält, um eine Reverse Shell auf dem System auszulösen, auf dem MailCleaner läuft. Der Vortrag endete mit einer sauberen und sehr zufriedenstellenden Demo, bei der erfolgreich eine Shell als root auf dem System geöffnet wurde.
Der Talk Phishing the Phishing Resistant – Phishing for Primary Refresh Tokens in Microsoft Entra von Dirk-jan Mollema befasste sich mit den OAuth-Token von Microsoft Entra ID. Dirk-jan’s Blogartikel Phishing for Primary Refresh Tokens and Windows Hello keys bildete die Basis für den Talk. Er demonstrierte, dass es durch das Ausnutzen von OAuth-Flows mit Angriffen wie Credential Phishing und Device Code Phishing möglich ist, Primary Refresh Tokens (PRT) zu erlangen und falls MFA bei der Authentisierung verwendet wurde, es auch möglich ist Zugangsdaten für Windows Hello For Business (WHFB) zu hinterlegen, um Persistenz auf einem Gerät zu erlangen. Als Gegenmassnahme schlug Dirk-jan vor, verwaltete Geräte via Mobile Device Management (MDM) über eine Conditional-Access-Richtlinie zu forcieren und die Logs für den Device Code Flow zu überwachen.
Die Betonung bei der Vorstellung des Talks Technical Deep Dive into the XZ backdoor von Timo Schmid lag auf dem Wort Technical und Timo erfüllte dies vollkommen. Er präsentiere seine Erkenntnisse der Untersuchung der XZ-Backdoor und zeigte auf, mit welcher Komplexität die Backdoor entwickelt und mit verschiedenen Obfuscation-Techniken versteckt wurde. Er wies aber auch darauf hin, dass wohl gerade die Summe an Obfuscation-Techniken dafür verantwortlich war, dass die Backdoor entdeckt wurde, da die Performance eines Systems dadurch kurzzeitig signifikant beeinträchtigt wurde.
Ich hatte sehr viel Spass bei diesem Wettbewerb. Vor einigen Monaten habe ich ein Lockpicking-Set gekauft, aber leider kam ich noch nicht dazu, mich diesem zu widmen. Deshalb war ich begeistert, endlich einige Lockpicking-Techniken und das Öffnen von Handschellen am ersten Tag zu lernen. Es hat mir so viel Spass gemacht, dass ich mich für den Lockpicking-Wettbewerb angemeldet habe. Am zweiten Tag kehrte ich zurück, um weiter zu üben und die Feinheiten des Lockpickings besser zu verstehen.
Der Wettbewerb fand am zweiten Tag auf der Hauptbühne statt. Er folgte einem 1v1-Duell-Format in einem K.O.-System. Die Herausforderung bestand darin, aus den Handschellen zu entkommen, ein Schloss an einem Behälter zu knacken, in dem sich eine Spielzeugpistole befindet. Diese musste benutzt werden, um den Gegner zu “erschiessen”. Die erste Person, die ihren Gegner “erschiesst”, rückte in die nächste Runde vor.
Als ich an der Reihe war, hatte ich Schwierigkeiten mit den Handschellen und war nicht schnell genug. Ich sah, wie sich mein Gegner sehr schnell befreite. Obwohl ich es schaffte, meine Handschellen abzunehmen und ein bisschen schneller im Schlossknacken war, hatte er mehr Zeit. Leider wurde ich “erschossen”, während ich versuchte, die Spielzeugpistole aus dem Behälter zu holen, und verlor in der ersten Runde. Immerhin belegte mein Gegner am Ende den zweiten Platz. Trotz der Niederlage hatte ich grossen Spass am Wettbewerb und glaube, ein neues Hobby für mich entdeckt zu haben.
Wie bei jeder Durchführung der Area41 fanden wir, dass der Event sehr gelungen war. Im Vergleich zum letzten Mal war die Verpflegung sogar noch besser und schneller erhältlich. Das Wetter spielte beim Barbecue wunderbar mit und konnte auf der Terrasse des Komplex457 genossen werden. Wie immer konnten wir viel mitnehmen und an diesen zwei Tagen unsere Netzwerke erweitern. Wir sagen Danke an das Organisationsteam!
Unsere Spezialisten kontaktieren Sie gern!
Lucie Hoffmann
Yann Santschi
Andrea Hauser
Ralph Meier
Unsere Spezialisten kontaktieren Sie gern!