Area41 2024 - Ein Rückblick

Area41 2024

Ein Rückblick

Michael Schneider
Michael Schneider
Ralph Meier
Ralph Meier
Andrea Hauser
Andrea Hauser
Yann Santschi
Yann Santschi
Lucie Hoffmann
Lucie Hoffmann
am 04. Juli 2024
Lesezeit: 16 Minuten

Keypoints

Wie die scip AG die Area41 und ihre Talks wahrgenommen hat

  • Die Area41 hat erneut im Komplex457 in Zürich stattgefunden und scip AG war da
  • Es ist eine Konferenz von der Community für die Community
  • Es werden viele Talks, Challenges und Networking Möglichkeiten geboten
  • Die Keynote Einführung gab Paula Januszkiewicz mit dem Thema "Hackers Perspective on New Risks"
  • Es folgten Insights zu Angriffe auf kritische Infrastrukturen wie Stromnetze, der Verschlüsselungssoftware Shufflecake, dem Automatisieren von Malware, Krypto und viele weitere

Die Area41 ist eine technische Information-Security-Konferenz in der Schweiz, die vom lokalen DEFCON Group Chapter DC4131 organisiert wird. Sie wurde im Jahre 2010 erstmals unter dem Namen Hash Days (#days) ausgerichtet. Die diesjährige Area41 wurde (wieder) im Komplex457 in Zürich abgehalten. Unser scip-Team war vor Ort und wir möchten ein paar Impressionen teilen.

Einführung

Am Eingang direkt zu Beginn haben wir den ersten Swag des Tages erhalten. Im diesjährige Badge verstecken sich viele verschiedene Überraschungen. Einige der Überraschungen wurden nach der Konferenz aufgelöst, andere bleiben weiterhin ungelöst.

Foto des Badges der Area41 2024

Zusammenfassungen der Talks

Im folgenden Abschnitt befinden sich die Impressionen und Zusammenfassungen der Talks, die beim scip-Team einen bleibenden Eindruck hinterlassen haben.

Paula Januszkiewicz: Keynote

Die Talks der Area41 2024 wurden mit der Keynote Hacker’s Perspective on New Risks: Revising the cybersecurity priorities for 2024 von Paula Januszkiewicz eröffnet. In ihrer Keynote präsentierte Paula AI als neue Bedrohung im IT-Bereich und ging aber auch darauf ein, dass klassische Angriffe weiterhin funktionieren. Dabei gehen die AI-Bedrohungen einerseits in Richtung Social Engineering, andererseits aber auch in die Entwicklung von bösartigen Tools mithilfe von AI. Beeindruckend war, wie sie in ihrer Keynote technische Demos unterbringen konnte, um die von ihr aufgebrachte Frage “Is hacking easy?” zu beantworten. Spoiler Alert: Gemäss Paula ist die Antwort Ja. Zusammenfassend empfiehlt sie die folgenden sechs Punkte als besonders relevant für die IT-Security im 2024:

Cyrill Brunschwiler: Switching 400’000 Volts with a TCP packet

In seinem Talk Switching 400’000 Volts with a TCP packet erklärte Cyrill Brunschwiler der Community die Grundlagen zum Schweizer Stromnetz, wichtige Komponenten, Protokolle wie IEC 61850 und IEC 60870-5-104 und wie Penetration Tests in diesem Umfeld aussehen. Cyrill blickte zurück auf vergangene Vorfälle, wie der Angriff auf das Stromnetz der Ukraine im Jahr 2015, welcher der Gruppe Sandworm zugeschrieben wird. Er nahm auch Bezug auf aktuelle IT-Angriffe im Ukraine-Krieg und schloss mit der Reflektion, dass im Krieg Raketenangriffe auf die Strominfrastruktur viel mehr Schaden anrichten, welche auch zu längeren Ausfällen führen.

Tommaso Gagliardoni: Shufflecake, AKA Truecrypt on Steroids for Linux

Tommaso Gagliardoni stellte mit dem Talk Shufflecake, AKA Truecrypt on Steroids for Linux die Verschlüsselungssoftware shufflecake vor. Sufflecake kann unter Linux mehrere versteckte Volumen erstellen und macht es sehr schwierig, die Anwesenheit von solchen Volumen überhaupt zu beweisen. Shufflecake ist eine Art Nachfolger von Truecrypt/Veracrypt, ist jedoch eine klare Verbesserung, da es nativ unter Linux läuft, verschiedene Dateisysteme und mehrere verschachtelte Volumen unterstützt. Tommaso präsentiere ein komplexes Thema auf eine einfache und klare Art, dass Neulinge in dem Bereich sowie Truecrypt-Veteranen gleichermassen unterhalten und informiert wurden.

Gian Demarmels: Automating Malware Development: A Red Teamer’s Journey

Am frühen Nachmittag präsentierte Gian Demarmels seine Entdeckungsreise zur automatisierten Erstellung von konfigurierbarer Malware und Implants durch sein eigenes Framework im Talk Automating Malware Development: A Red Teamer’s Journey. Dabei ging er durch die verschiedenen Etappen der Entwicklung und offenbarte kurze Einblicke in sein, aus offensichtlichen Gründen nicht veröffentlichten Frameworks, Darth-Evader. Unter anderem, dass er auf die Template Engine Jinja setzt, um den Source Code zu erstellen aus Gründen der Modularität, effizienterer Entwicklung und besserem Endergebnis.

Marco Preuss: New stories of money – Crypto, DeFi, Hacks & Attacks

New stories of money – Crypto, DeFi, Hacks & Attacks von Marco Preuss war ein sehr aufschlussreichen Vortrag über die verschiedenen Arten von Angriffen und Scams im Crypto-Bereich. Er behandelte nicht nur Angriffe, die direkt auf die Blockchain abzielen, sondern auch andere Ziele wie die Übernahme von Computern zum minen von Crypto, Crypto-Betrug, Crypto-Diebstahl und mehr. Marco besprach verschiedene Aspekte, darunter Bitcoin und andere Kryptowährungen, Businessscams, DeFi und NFTs. Er lieferte nicht nur einen allgemeinen Überblick über diese Angriffe und Scams, sondern teilte auch einige interessante Geschichten und Beispiele zu diesen Fällen. Während er auf diese Angriffe und Betrügereien hinwies, sprach er auch über einige Grundlagen der Crypto und deren Potenzial. Es war faszinierend, die verschiedenen Facetten der Crypto-Security-Space zu sehen.

Jam (Vie) Polintan: The CTF to Career Pipeline

In ihrem Vortrag The CTF to Career Pipeline zeigte Jam (Vie) Polintan, wie man in die Informationssicherheitsindustrie einsteigen und Fuss fassen kann, indem man mit CTFs beginnt. Mit ihrem Team Maple Mallard Magistrates konnte sie das Def Con CTF gewinnen. Ihre Geschichte, von ihrem künstlerischen Hintergrund über das Studium von Spieldesign und Mathematik an der University of British Columbia bis hin zu den ersten Schritten mit CTFs im UBC CTF Team Maple Bacon, war inspirierend. Jetzt arbeitet sie in der Industrie bei Google. Sie zeigte ausserdem wie man Abstraktionen von Techniken, die in einem Bereich des Lebens oder der Informationssicherheit gelernt wurden, nutzen kann um in einem völlig anderen Umfeld anzuwenden und so Innovation schaffen kann.

Michael Imfeld: Shells at Midnight – Turning a Spam Filter Against Itself

Michael präsentierte eine spannende Befehlsinjektion in Email-Adressen, die von der Spam-Filter-Appliance MailCleaner behandelt werden, die zu einer Reverse Shell führt. Der Angriff zeigt, wie schwierig es ist, Email-Adressen zu verwalten, aufgrund ihrer grossen Flexibilität bei den zulässigen Zeichen. Nach einigen Recherchen über Datenquellen und -Senken im Code der Open-Source-Spamfilter-Appliance MailCleaner fanden sie heraus, dass ein Cron-Job regelmässig einen Systemaufruf ausführt, der die Empfänger-Email-Adresse einer Spam-Mail als Eingabe verwendet. Mit Hilfe von Email sub-addressing, um einen gültigen Empfänger zu haben, und shell parameter expansion, um fehlende Zeichen zu erhalten, die für RCE notwendig sind, bahnten sie sich ihren Weg durch das Setzen einer gültigen Empfänger-Email, die einen Befehl enthält, um eine Reverse Shell auf dem System auszulösen, auf dem MailCleaner läuft. Der Vortrag endete mit einer sauberen und sehr zufriedenstellenden Demo, bei der erfolgreich eine Shell als root auf dem System geöffnet wurde.

Dirk-jan Mollema: Phishing the Phishing Resistant – Phishing for Primary Refresh Tokens in Microsoft Entra

Der Talk Phishing the Phishing Resistant – Phishing for Primary Refresh Tokens in Microsoft Entra von Dirk-jan Mollema befasste sich mit den OAuth-Token von Microsoft Entra ID. Dirk-jan’s Blogartikel Phishing for Primary Refresh Tokens and Windows Hello keys bildete die Basis für den Talk. Er demonstrierte, dass es durch das Ausnutzen von OAuth-Flows mit Angriffen wie Credential Phishing und Device Code Phishing möglich ist, Primary Refresh Tokens (PRT) zu erlangen und falls MFA bei der Authentisierung verwendet wurde, es auch möglich ist Zugangsdaten für Windows Hello For Business (WHFB) zu hinterlegen, um Persistenz auf einem Gerät zu erlangen. Als Gegenmassnahme schlug Dirk-jan vor, verwaltete Geräte via Mobile Device Management (MDM) über eine Conditional-Access-Richtlinie zu forcieren und die Logs für den Device Code Flow zu überwachen.

Timo Schmid: Technical Deep Dive into the XZ backdoor

Die Betonung bei der Vorstellung des Talks Technical Deep Dive into the XZ backdoor von Timo Schmid lag auf dem Wort Technical und Timo erfüllte dies vollkommen. Er präsentiere seine Erkenntnisse der Untersuchung der XZ-Backdoor und zeigte auf, mit welcher Komplexität die Backdoor entwickelt und mit verschiedenen Obfuscation-Techniken versteckt wurde. Er wies aber auch darauf hin, dass wohl gerade die Summe an Obfuscation-Techniken dafür verantwortlich war, dass die Backdoor entdeckt wurde, da die Performance eines Systems dadurch kurzzeitig signifikant beeinträchtigt wurde.

Der Lockpicking Wettbewerb (Impressionen von Yann)

Ich hatte sehr viel Spass bei diesem Wettbewerb. Vor einigen Monaten habe ich ein Lockpicking-Set gekauft, aber leider kam ich noch nicht dazu, mich diesem zu widmen. Deshalb war ich begeistert, endlich einige Lockpicking-Techniken und das Öffnen von Handschellen am ersten Tag zu lernen. Es hat mir so viel Spass gemacht, dass ich mich für den Lockpicking-Wettbewerb angemeldet habe. Am zweiten Tag kehrte ich zurück, um weiter zu üben und die Feinheiten des Lockpickings besser zu verstehen.

Der Wettbewerb fand am zweiten Tag auf der Hauptbühne statt. Er folgte einem 1v1-Duell-Format in einem K.O.-System. Die Herausforderung bestand darin, aus den Handschellen zu entkommen, ein Schloss an einem Behälter zu knacken, in dem sich eine Spielzeugpistole befindet. Diese musste benutzt werden, um den Gegner zu “erschiessen”. Die erste Person, die ihren Gegner “erschiesst”, rückte in die nächste Runde vor.

Als ich an der Reihe war, hatte ich Schwierigkeiten mit den Handschellen und war nicht schnell genug. Ich sah, wie sich mein Gegner sehr schnell befreite. Obwohl ich es schaffte, meine Handschellen abzunehmen und ein bisschen schneller im Schlossknacken war, hatte er mehr Zeit. Leider wurde ich “erschossen”, während ich versuchte, die Spielzeugpistole aus dem Behälter zu holen, und verlor in der ersten Runde. Immerhin belegte mein Gegner am Ende den zweiten Platz. Trotz der Niederlage hatte ich grossen Spass am Wettbewerb und glaube, ein neues Hobby für mich entdeckt zu haben.

Abschliessende Bemerkungen

Wie bei jeder Durchführung der Area41 fanden wir, dass der Event sehr gelungen war. Im Vergleich zum letzten Mal war die Verpflegung sogar noch besser und schneller erhältlich. Das Wetter spielte beim Barbecue wunderbar mit und konnte auf der Terrasse des Komplex457 genossen werden. Wie immer konnten wir viel mitnehmen und an diesen zwei Tagen unsere Netzwerke erweitern. Wir sagen Danke an das Organisationsteam!

Über die Autoren

Michael Schneider

Michael Schneider arbeitet seit dem Jahr 2000 in der IT. Im Jahr 2010 hat er sich auf die Informationssicherheit spezialisiert. Zu seinen Aufgaben gehören das Penetration Testing, Hardening und das Aufspüren von Schwachstellen in Betriebssystemen. Er ist bekannt für eine Vielzahl in PowerShell geschriebener Tools zum Finden, Ausnutzen und Beheben von Schwachstellen. (ORCID 0000-0003-0772-9761)

Ralph Meier

Ralph Meier hat eine Lehre als Applikationsentwickler, Fokus Webentwicklung mit Java, bei einer Schweizer Grossbank absolviert und danach einen Bachelor of Science ZFH in Informatik an der ZHAW School of Engineering abgeschlossen. Er fokussiert sich auf die sicherheitstechnische Untersuchung von Webapplikationen. (ORCID 0000-0002-3997-8482)

Andrea Hauser

Andrea Hauser hat ihren Bachelor of Science FHO in Informatik an der Hochschule für Technik Rapperswil abgeschlossen. Sie setzt sich im offensiven Bereich in erster Linie mit Web Application Security Testing und der Umsetzung von Social Engineering Kampagnen auseinander. Zudem ist sie in der Forschung zum Thema Deepfakes tätig. (ORCID 0000-0002-5161-8658)

Yann Santschi

Yann Santschi hat eine Systemtechnikerlehre bei SIX abgeschlossen und danach bei einer der Big Four Consulting Firmen als Cyber Security Consultant gearbeitet. Er macht gegenwärtig seinen Bachelor in Information and Cyber Security mit dem Major in Attack Specialist and Penetration Testing an der HSLU. Sein Fokus liegt auf Webapplikationen, Netzwerksicherheit und Social Engineering.

Lucie Hoffmann

Lucie Hoffmann hat einen Bachelor in Informations- und Kommunikationssystemen an der EPFL abgeschlossen, um danach einen Master in Cybersecurity an der EPFL und der ETH zu absolvieren. Während ihrer Masterarbeit konnte sie Erfahrungen mit der neuen Netzwerkarchitektur SCION sammeln. Heute konzentriert sie sich als Analystin auf die Sicherheit von Webapplikationen.

Links

Sie wollen eine KI evaluieren oder entwickeln?

Unsere Spezialisten kontaktieren Sie gern!

×
Wie ich meine InfoSec-Reise begann

Wie ich meine InfoSec-Reise begann

Yann Santschi

Prompt Injection

Prompt Injection

Andrea Hauser

Dynamische Analyse von Android Apps

Dynamische Analyse von Android Apps

Ralph Meier

Angriffsmöglichkeiten gegen Generative AI

Angriffsmöglichkeiten gegen Generative AI

Andrea Hauser

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv