Dynamische Analyse von Android Apps
Ralph Meier
Meine Erfahrungen vom 38C3
Meine Anreise habe ich aufgrund mehrerer Weihnachtsfeiern auf Tag 1 des Kongresses gelegt. Als der 38C3 Fahrplan aufgeschaltet wurde, war mir bereits klar, dass ich wohl nebst der Eröffnungszeremonie den ersten Talk auf meiner Liste ACE up the sleeve: Hacking into Apple’s new USB-C Controller verpassen werde.
Zeitlich sah es zwar gar nicht mal so schlecht aus, als ich mein Gepäck bei meiner Unterkunft abgegeben hatte, und mich mit dem Hamburger Nahverkehr zum Congress Center Hamburg (CCH) aufmachte. Zu diesem Zeitpunkt war mir nicht bewusst, wie lange die Schlange beim Eingang des Kongresses sein würde, wo ich auch mein Ticket gegen das Kongressarmband eintauschen konnte. Es standen etwa 200-300 Leute an. Ich wurde im Vorhinein jedoch von einem alten CCC-Hasen auf die langen Wartezeiten hingewiesen. Zum Glück wurden fast alle Talks aufgezeichnet, und ich konnte diese im Medienarchiv jederzeit nachschauen. Den einen Talk, den ich unbedingt live mitverfolgen wollte, konnte ich demnach nachträglich im Medienarchiv nachschauen. Als ich dann endlich mein Kongressarmband erhalten hatte und das CCH, welches sich über vier Stöcke erstreckte (und über eine beeindruckende Gesamtfläche von 36’000 Quadratmeter verfügt) betreten konnte, musste ich mich zuerst einmal zurecht finden.
So kam es, dass ich zuerst im Saal ZIGZAG landete und dort den Talk Police 2.0: Peaceful activism is terrorism and fakenews are facts von Frank van der Linde und Lori Roussey zu Ende hören konnte. Anschliessend nahm ich an der Präsentation Liberating Wi-Fi on the ESP32 von Simon Neuenhausen und Jasper Devreker teil. Dabei erzählten die Präsentatoren, wie sie ihr Verständnis über den Wifi Stack durch Reverse Engineering und dynamischer Analyse mit Hilfe eines faradayschen Käfigs ausgebaut hatten, und den Wifi Stack anschliessend erweitern konnten. Der Bau eines faradayschen Käfigs war eine Herausforderung für sich, da der ESP32 für ihre Zwecke innerhalb des Käfigs Strom und eine Internetverbindung benötigte. Für eine entsprechende Verbindung im faradayschen Käfig kam ein Glasfaserkabel zum Einsatz, und die Stromversorgung lösten sie mit Hilfe von Akkus. Online wurde auch auf den Einsatz einer Mikrowelle hingewiesen. Dies haben die Präsentatoren jedoch nicht empfohlen, da Anrufe oder Wifi-Signale trotzdem nach aussen, beziehungsweise nach innen dringen konnten. Im Inneren einer Mikrowelle wurden somit auch Signale von Fremdgeräten aufgezeichnet. Eine der präsentierten Erweiterungen war Ferris-on-Air ein asynchroner IEEE 802.11 Stack programmiert in Rust.
Der nächste Talk, dem ich von Anbeginn beiwohnen konnte, handelte über die kommende elektronische Patientenakte (ePA). Das Thema war übrigens, wie es sich später im Verlaufe der gesamten Konferenz herausstellte, durchaus beliebt in verschiedenen Talks. Die Keynote „Konnte bisher noch nie gehackt werden”: Die elektronische Patientenakte kommt – jetzt für alle!, wurde von Bianca Kastl und Martin Tschirsich gehalten. Beide konnten schon mehrmals am Chaos Communication Congress ihr Wissen weitergeben. Die ePA soll Mitte Februar 2025 deutschlandweit eingeführt werden, und zwar in einem Opt-Out-Verfahren. Wer also nichts unternimmt, erhält automatisch eine elektronische Patientenakte. Zuerst gab es einen Rückblick über die entdeckten Schwachstellen in den letzten Jahren, welche gemeldet und behoben wurden. Darunter waren SQL-Injections, aber auch sehr kuriose Schwachstellen. Als Beispiel wurde das Jahr 2020 erwähnt, wo Konnektoren in Praxen falsch herum angeschlossen wurden. Somit wäre ein Vollzugriff vom Internet auf die ePAs der betroffenen Leistungserbringer möglich gewesen. Im Jahr 2022 kam eine Identifizierung per Videoident hinzu, welcher jedoch ebenfalls mehrmals umgangen wurde. Anschliessend erläuterten beide den aktuellen Stand hinsichtlich Kartenherausgeberportalen, welche von SQL-Injections betroffen waren. Diese führten zu einem Vollzugriff auf ePAs. Kartenleser konnten auf Ebay Kleinanzeigen erworben werden, teilweise sogar mit Karten, welche noch gültige Zertifikate, und somit Zugriff auf Patientendaten der jeweiligen Praxis ermöglichten (und war somit quasi eine Restverwertung der Zertifikate). Die Praxis-IT war in grossem Stil verwundbar.
Meine nächste Keynote war What the PHUZZ?! Finding 0-days in Web Applications with Coverage-guided Fuzzing. Darin erzählte Sebastian Neef über das Suchen von Schwachstellen in PHP-Webapplikationen mit teils vorgegebenem Fuzzing. Es gibt viel Research zu Fuzzing von binären Applikationen, jedoch kaum zu Webapplikationen. Dies liegt unter anderem daran, dass die Resultate schwer zum Fuzzer zurückzuführen sind. Aus seiner Recherche entstand der Fuzzer PHUZZ, welcher aus mehreren Docker-Container bestand, unter anderem auch einem Browser, einem Crawler, einem oder mehreren Fuzzer selbst, sowie einem Webserver mit der PHP-Webapplikation. Um also PHUZZ einzusetzen ist der Source Code der Webapplikation notwendig. Zudem muss der Benutzer manuell die zu testenden Endpunkte sowie die zu injizierbaren Parameter als HAR-Datei dem Fuzzer übergeben. PHUZZ führt dann zufällige Manipulationen auf Byte-Level durch. Hierbei wurde extra Byte-Level ausgewählt, da auf Bit-Level die Fehlerquote aufgrund von nicht darstellbaren Zeichen zu gross ausgefallen wäre. Sebastian zeigte, dass PHUZZ gegenüber von vergleichbaren Produkten mit Scan- und Fuzzing-Funktion wie BurpSuite, ZAP, Wapiti und WFuzz klar besser auf Basis verschiedener verwundbaren Webapplikationen abschneidet. Beim Testen auf der Grundlage der 183 populärsten WordPress Plugins auf 0-Day Schwachstellen schnitt PHUZZ auf einem vergleichbaren Niveau wie BurpSuite Pro ab, bis auf die Kategorie Path Traversal. Hierbei übertraf PHUZZ den Scanner von BurpSuite Pro bei weitem. PHUZZ hat definitiv meine Neugier geweckt und ich bin gespannt, wie es sich in Zukunft noch weiterentwickeln wird.
Vor dem Abendessen blieb ich noch einmal im Saal ZIGZAG sitzen und hörte mir den Talk From fault injection to RCE: Analyzing a Bluetooth tracker von Nicolas Oberli, einem Security Researcher aus der Schweiz, an. In seiner Keynote ging es um die Analyse und das Ausnutzen von Schwachstellen des Bluetooth-Trackers Chipolo ONE. Durch Fault-Injections-Techniken wie Spannungsschwankungen und Fault Injections im elektromagnetischen Bereich konnten Instruktionen im Bootprozess übersprungen werden. Dadurch konnte der Arbeitsspeicher gedumpt und später analysiert werden. Leider ist der Chip des ersten Testobjekts nach einigen fehlerhaften Versuchen kaputt gegangen. Dies kann beim sogenannten Glitching durchaus passieren. Ebenfalls kann dies zu einem Reset des Geräts führen. Bei zu wenig Glitching passiert gar nichts. Anschliessend hat Nicolas Oberli noch über die Analyse der Firmware und die Suche nach Schwachstellen gesprochen. Durch das Hinzufügen einer eigenen Melodie auf den Bluetooth Tracker konnte er eine Buffer-Overflow-Schwachstelle aufdecken und ausnutzen.
Nach einer einstündigen Pause ging es für mich in Saal 1 weiter, und zwar mit dem Thema BioTerrorism Will Save Your Life with the 4 Thieves Vinegar Collective von Dr. Mixæl Swan Laufer. Hierbei ging es um das “Hacken” und Herstellen von erschwinglichen Medikamenten wie zum Beispiel Epinephrin-Autoinjektor, Narcan (einem Medikament zur Verhinderung von Überdosierung von Opioiden), Nitroglycerin (gegen Herzinfarkte) und weiteren. Zudem wurden Methoden vorgestellt, mit welchen man auf einfache Art und Weise Grundstoffe mit einem Testkit auf dessen Korrektheit prüfen, oder mögliche gefährliche Stoffe ausschliessen konnte. Anschliessend wurden mehrere Defragmentierungen durchgeführt. Eine Defragmentierung funktioniert so, dass alle Personen in einer Sitzreihe in die Mitte rutschen, die äusseren Plätze so frei werden und bestehende Lücken in der Reihe gefüllt werden können. Als Saal 1 danach bis auf den letzten Platz voll belegt war, wurde der Talk Der Thüring-Test für Wahlsoftware von Linus Neumann und Thorsten Schröder eingeleitet. In ihrem Talk haben beide den Thüring-Test für Wahlsoftware definiert, welcher aus den folgenden sieben Anforderungen besteht:
Diese folgenden Schwachstellen wurden alle in der Wahl-Software PC-Wahl im Jahr 2017 entdeckt.
In diesem Jahr gab es bei diversen Wahlen mehrere Pannen, auch aufgrund fehlerhafter Software und Bedienung. Der CCC erhielt eine Softwarespende der betroffenen Wahlerfassungssoftware, welche von der Vote Group entwickelt wurde. Die Wahlerfassungssoftware wird per USB-Stick an jeden Computer verteilt. Sie umfasst unter anderem eine eigene Version von Libre Office sowie einen eigenen Chromium Browser. Die Wahlerfassungssoftware glänzt mit unsignierten Konfigurationen, viel Einsatz von Base64 in der Signatur-Funktion und geteilten Passwörtern im Klartext. Mit etwas Glück war jedoch keine ausnutzbare Code Injection vorhanden. Das Endresultat des Thüring-Tests von der Wahlerfassungssoftware im Jahr 2024 fiel schlussendlich so aus:
Frisch gestärkt mit einem Mate ging es für mich dann weiter mit dem Talk Wir wissen wo dein Auto steht – Volksdaten von Volkswagen von Flüpke und Michael Kreil. Ein grosser Teil der betroffenen Fahrzeuge basiert auf dem modularen E-Antriebs-Baukasten und gehören zu den Marken VW, Audi, Seat und Skoda. Die Datensuche begann mit dem Tool Subfinder, dann ging es weiter mit einer Directory Enumeration durch Gobuster. Dabei wurde ein Backend mit Java Spring entdeckt, bei welchem der Actuactor nicht deaktiviert war. Genauer gesagt war bei VW der Endpunkt /actuator/heapdump
via Browser ohne Passwort abrufbar. Mittels VisualVM konnten AWS-Zugangsdaten herausgelesen werden. Mit Hilfe des Tools strings konnten im Heapdump zusätzlich noch client_id und client_secret herausgelesen werden. Mit diesem Zugriff konnten folgende Daten eingesehen werden:
Anscheinend sollte es wie folgt zur Fehlkonfiguration gekommen sein:
Es fehlte der Review Prozess!
Die Pyramide mit Beginn der offenen Feldschlacht, welche sehr aktuell zum Zeitpunkt des 38C3 war, kam noch des Öfteren in Vorträgen vor und erfreute die Gemüter des Publikums. Während des Talks wurden anschliessend die gefundenen Daten noch auf künstlerische Art und Weise visualisiert. Es handelte sich dabei um 15 Millionen Enrollment-Daten: Fahrgestellnummer, Modell, Baujahr, Land und Nutzer-ID sowie 600’000 Benutzerdaten: Nutzer-ID, Name, Email und teilweise Geburtsdatum, Mobilnummer und Adresse sowie 9.5TB Eventdaten: Statusmeldungen inklusive Geokoordinaten. Von den Geokoordinaten sind 807’357 Fahrzeuge betroffen, davon mehr als die Hälfte Fahrzeuge von Volkswagen und Seat, welche eine Genauigkeit von 10cm aufweisen, bei Audi und Skoda waren es eine Genauigkeit von 10km. Hier kann man sich den ganzen Talk anschauen.
Zum Schluss des ersten Tages sass ich noch im Talk We’ve not been trained for this: life after the Newag DRM disclosure von Michał Kowalczyk, Serge Bazański und Jakub Stepniewicz. Dabei ging es um das Jahr nach der Veröffentlichung von identifizierten Mechanismen in der Zugsoftware der polnischen Züge Newag Impuls, welche die Fahrfunktion komplett unterbindet hatten. Die Veröffentlichung wurde während des 37C3 präsentiert. Es lohnt sich sehr, sich den Talk genauer anzuschauen: Breaking DRM in Polish trains. Im Jahr nach der Veröffentlichung sahen die Betroffenen sich mit parlamentarischen Workgroups, Strafverfahren, zivilrechtlichen Klagen und einer TV-Dokumentation konfrontiert. Der Talk hat grossen Unterhaltungswert und stellte für mich persönlich ein ideales Ende für Tag 1 dar.
Mit einem lauten moin startete mein erster Talk: Erpressung aus dem Internet – auf den Spuren der Cybermafia von Svea Eckert und Ciljeta Bajrami. Der Talk fing mit einem echten Sextortion-Fall an, der auf der Dating-Plattform Bumble begann. Dabei ging es um einen Erpressungsversuch von 2’000 Dollar. Im Verlauf des Talks wurde die Geschichte über die Verschleppung von Neo in eine im Talk erwähnte Betrugsfabrik erzählt, seinen dortigen Aufstieg und die anschliessende Flucht, sowie die Offenlegung der gschmuggelten Dokumente und Fotos thematisiert. In der Betrugsfabrik wurden viele verschleppte Personen zu Scammern ausgebildet, um im grossen Stil Leute per Telefon oder via Internet um ihr Geld zu bringen.
Die anschliessende Präsentation From Pegasus to Predator – The evolution of Commercial Spyware on iOS war leider bereits voll. Ich konnte mir diese jedoch im Medienarchiv anschauen.
In der nächsten Präsentation MacOS Location Privacy Red Pill: A Rabbit Hole Resulting in 24 CVEs im Saal GLITCH von Adam M. hatte es dann zum Glück wieder mehr Kapazität. In diesem Vortrag erzählte Adam über sein Vorgehen zur Identifizierung von mehreren Schwachstellen in MacOS Apps, meist beim Umgang mit Standortdaten.
Um 16:00 sollte der Der CCC-Jahresrückblick von erdgeist, Matthias Marx, khaleesi, Linus Neumann und Constanze Kurz starten, jedoch wurde der Talk zuerst durch vier vermummte Personen mit dem Banner Betroffenen Glauben aufgehalten. Diese waren anscheinend mit einem getroffenen Entscheid der Schiedsstelle (bzw. damit, dass der angebliche Täter nicht von CCC-Veranstaltungen ausgeschlossen wurde), nicht einverstanden. Nach einem Einsatz der CrewCrew konnte der geplante Talk dann doch noch fortgeführt werden. Dieser behandelte unter anderem den politischen Rechtsrutsch in Deutschland, die Einführung eines biometrischen Passes für Kinder ab 4 Jahren und die Einführung der Analysesoftware VeRA von Palantir. Die elektrische Patientenakte war ebenfalls Thema, sowie ein Ausblick auf das kommende Jahr hinsichtlich Einsatz von Wahlsoftware in 2025.
Ich nahm anschliessend an einer selbstorganisierten Session teil, genauer gesagt war es ein Beer-Tasting im Erdgeschoss der FoodHackingBase. Die Auswahl an Bieren war gigantisch! Wir starteten mit dem Degustieren von Bieren, die nach dem deutschen Reinheitsgebot gebraut werden. Dann ging es weiter über Weizenbier, Indian Pale Ale, New England Pale Ale bis hin zu Weihnachts- und Rauchbieren. Das Tasting war sehr informativ und abwechslungsreich. Witzigerweise habe ich dort noch Stök ein schwedischer Hacker und Youtuber getroffen. Seine Videos habe ich bei meinem Einstieg in die IT Security selbst oft geschaut. Neben ihm hatte es noch weitere sehr spannende Leute dabei.
Am Abend habe ich mich noch in den Talk BlinkenCity: Radio-Controlling Street Lamps and Power Plants von Fabian Bräunlein und Luca Melette gesetzt. In diesem erzählten sie von der Entdeckung von funkgesteuerten Strassenlampen, die anschliessende Recherche zu Funksteuerung von Strassenbeleuchtung und den eingesetzten Frequenzen in Europa und dem EFR-Ökosystem. Die EFR ist eine GmbH, welche Energiemanagement-Lösungen in Deutschland und Mitteleuropa anbietet, die für die Steuerung von Beleuchtungssystemen, Lademanagement für E-Mobilität, Laststeuerung verantwortlich ist. Anschliessend ging es um einen Angriff auf ein ganzes Beleuchtungssystem einer Grossstadt, wie sie diesen angegangen sind und verschiedene sogenannte “Telegrams” in einem selbst gebauten Lab ausprobiert haben. Sie setzten sich auch mit dem Adressieren von Strassenbeleuchtung auseinander und zeigten zudem ein Demovideo zur Abschaltung einer privaten Photovoltaik-Anlage mit einem Flipper Zero. Weiter ging es dann mit einem möglichen Angriff auf einen Solarpark, um in Spitzenzeiten abgeschaltete Leistung zu aktivieren, und so eine Netzinstabilität und einen möglichen eventuell europaweiten Stromausfall herbeizuführen. Die Feststellungen haben sie gegenüber der EFR GmbH offengelegt.
In meinem letzten Talk an diesem Tag lernte ich noch Wie fliegt man eigentlich Flugzeuge? von Christian Lölkes und kleinsophie. Der Vortrag war sehr unterhaltsam gestaltet, gespickt mit lustigen Anekdoten aus dem Leben einer Pilotin und eines Ingenieurs bei der Flugsicherung. Sie erklärten, wieso ein Flugzeug überhaupt fliegt, und was ein Briefing mit allen möglichen Informationen zu verschiedenen Flugzonen und Flughäfen auf einer Flugroute beinhaltet.
Anschliessend probierte ich meinen ersten Tschunk, ein Drink aus Rum, Mate, Rohrzucker, Limette und etwas Eis. Als grosser Mate-Fan war ich natürlich sofort begeistert. Beim Quizshow-Klassiker 0, 1 oder 2 – Hackerei und Cyberbrei erfuhr ich unter anderem, dass beim Logistik-Team des CCCs noch nie ein 2 Meter grosses Styropor-Ei mit Betonkern verloren ging, dafür aber ein 7.5 Tonnen schwerer LKW. Wobei dieser am Ende doch noch zurückgegeben wurde. Zudem lernte ich, dass Kaspersky mit dem Threat de Toilette mal ein Parfüm herausgegeben hat.
Das Wetter blieb auch an Tag drei wie bereits an den letzten beiden Tagen ziemlich grau. Perfekt also, um einen weiteren Tag im CCH zu verbringen. Ich startete den Tag mit einer ausgiebigen Lockpicking Session. Danach habe ich mir die Keynote TETRA Algorithm set B – Can glue mend the burst? von Wouter Bokslag und Jos Wetzels angehört. Dabei sprachen sie über die Änderungen in Terrestrial Trunked Radio (TETRA), einem europäischen Standard für Richtfunk, welcher weltweit von verschiedenen Behörden, Polizei, Militär sowie kritischen Infrastrukturen eingesetzt wird. Bereits im vorherigen Jahr haben sie in ihrem Talk die eingesetzte und bis dahin geheime, proprietäre Verschlüsselung reverse engineered und verschiedene Schwachstellen aufgezeigt. Dieses Jahr haben sie das TEA Algorithmus Set B (TEA5-TEA7) analysiert und sich darin befindende Probleme aufgezeigt. Der Talk ging technisch tief und war sehr interessant.
Nach dem Abendessen ging es für mich weiter mit Knäste hacken von Lilith Wittmann. Der Talk begann mit unterschiedlichen Möglichkeiten, damit Häftlinge mit Personen ausserhalb der Mauern kommunizieren konnten. Kommunikationsregeln sind von Gefängnis zu Gefängnis im übrigen ziemlich unterschiedlich. Es gibt zum Beispiel Haftanstalten mit Flurtelefonen, Haftraumtelefonen oder Haftraummediensysteme (HamSy). Telefonate aus dem Gefängnis sind im Vergleich zu regulären Handytarifen ziemlich teuer. 2013 kosteten diese teilweise bis zu 70 Cent pro Minute, wenn man auf ein Mobiltelefon anrief. Seit 2023 hat sich dies jedoch gebessert: Mittlerweile bezahlt man etwa 2-3 Cent. Im Jahr 2023 kaufte telio den anderen Anbieter von Haftraumtelekommunikation in Deutschland auf, und hat seither eine Quasi-Monopolstellung in diesem Bereich. Bei der Auseinandersetzung mit dem im Internet erreichbaren Komponenten vom telio-System fand Lilith die Möglichkeit, wie Verwandte für ihre Insassen Geld auf ihr Telefonkonto einzahlen konnten, und konnte im gleichen Zug die damit verwendete 7-stellige ID eruieren. Mit Hilfe eines Scripts konnte sie diverse echte IDs enumerieren und so Name, Telefonguthaben und weitere Details über diese API einsehen.
Anhand von Informationen aus den Certificate Transparency Logs fand sie ausserdem heraus, dass jede Justizvollzugsanstalt (JVA) eine eigene Webadresse hat. Über die jeweiligen JVA-Webadressen kann man von aussen Videotelefonie-Anfragen mit der zuvor entdeckten 7-stelligen ID tätigen. Beim Abwickeln dieser Anfragen werden im Hintergrund WebSockets ausgelöst, worüber man auch den Namen des Insassen, dessen interne Buchungsnummer und weitere Details aus dem System einsehen kann. Es folgte die Entdeckung eines GraphQL-Endpunkts, über welchen weitere Daten von Häftlingen wie die aktuelle Station, das genaue Gefängnis, Anruflogs inklusive der Beziehung zum Gesprächspartner etc. eingesehen werden konnten. Nach der durchgeführten Disclosure bei den betroffenen Stellen wurden die Schwachstellen innert wenigen Tagen behoben oder der Dienst abgeschaltet, und es folgten Pressemitteilungen. Interessant war zudem, dass Lilith in Finnland ein Modell eines Smart Prison gefunden hat, welches die gleiche Software einsetzt, aber komplett ohne identifizierte Sicherheitslücken.
In einem weiteren Teil des Talks ging es um die Verwaltungssoftware für Jugendknäste VauZettchenNet. Die Updates dieser Software können öffentlich heruntergeladen werden. Die Software wurde von einem Mitarbeiter der JVA Remscheid entwickelt und beinhaltet kuriose Sachen, wie zum Beispiel die Auswahlmöglichkeiten bei der Religionszugehörigkeit. Da die Software ohne linked libraries ausgeliefert wird, dauerte es etwa zwei Wochen, diese aufzutreiben und lauffähig hinzukriegen. Danach war Lilith bereit, eine Jugendstrafanstalt zu eröffnen. Aus dem Source Code von VauZettchenNet wurden noch ein paar Schwachstellen präsentiert, dazu weitere skurrile Sachen wie beispielsweise die Knackikopp-Datei. Die Behörden meinten jedoch, dass die Software bald komplett abgelöst werde. Zum Schluss wurde noch das Knastarchiv vorgestellt: Eine breite Sammlung von verschiedenen Knastzeitungen, welche online einsehbar ist.
Mein nächster Talk, den ich besuchte, war Das IFG ist tot – Best of Informationsfreiheit, Gefangenenbefreiung & Machtübernahmen vom Leiter von FragDenStaat Arne Semsrott. Arne machte einen Jahresrückblick von den verschiedenen Anfragen an den Staat und den damit verbundenen Geschichten, Verfahren und notwendigen Klagen. Das FrageDenStaat Druckerzeugnis erschien noch ein letztes Mal, da dieses Jahr das Bundesverwaltungsgericht urteilte, dass Online-Medien auch Presserechte besitzen.
Anschliessend ging es gleich weiter mit 5 Jahre nach Ibiza von Julian Hessenthaler. Dabei ging es um die politische Entwicklung in Österreich nach der Veröffentlichung von Ausschnitten des Ibiza-Videos vom Mai 2019. Im Video ging es um eine Besprechung zwischen dem damaligen Vizekanzler und Bundesparteiobmann der FPÖ Heinz-Christian Strache, Johann Gudenus (der damals Nationalratsabgeordneter und geschäftsführender Klubobmann der FPÖ), sowie eine angebliche Nichte eines russischen Oligarchen. In der Besprechung wurden folgende Dinge offenbart: Bereitschaft zur Korruption, die Umgehung von Gesetzen zur Parteifinanzierung und laut Wikipedia eine verdeckte Übernahme der Kontrolle über parteiunabhängige Medien. Die Veröffentlichung führte zum Ende der Regierungskoalition der beiden Parteien FPÖ und ÖVP. Genauere Details stehen im Wikipedia-Artikel. Danach kam Julian Hessenthaler auf die aktuelle politische Situation in Österreich zu sprechen. Er zog vergleiche zur politischen Situation in Deutschland und gab einen Einblick zum russischen Einfluss in Österreich.
Als letzter Vortrag des Tages, wobei es meines Erachtens gleichzeitig auch eine Show war, nahm ich an der Keynote Pyrotechnik – ist doch kein Verbrechen!? teil, welche von Felix und Bijan durchgeführt wurde. Am Vortag in der Quizzshow 0, 1 oder 2 – Hackerei und Cyberbrei bekam ich bereits mit, dass Pyrotechnik in Saal 1 erlaubt war, und somit wurde auch davon gebraucht gemacht. Die beiden Vortragenden erzählten von der Entstehung von Pyrotechnik, über deren Geschichte bis hin zu verschieden Eigenschaften von Feuerwerkbestandteilen, dem Effekt von Dämmung und weiteren Dingen. Am Ende des Talks gab es noch eine coole Feuerwerksshow. Davon gibt es leider keine Aufzeichnung.
Der vierte und gleichzeitig letzte Tag des Chaos Communication Congress begann für mich im obersten Stock bei den Coffee Nerds. Nebst einer grossen Auswahl an Kaffeebohnen konnte man sich einen Kaffee zubereiten, entweder mit einer Aeropress oder einen Pour Over Coffee. Gleich daneben war das House of Tea für alle Tee-Fans. Anschliessend schaute ich noch einmal bei der Chaos-Post vorbei. Dort hatte man die Gelegenheit, Postkarten während des Kongresses zu versenden. Ich schaute mir danach noch weitere Assemblies in den unteren Hallen etwas genauer an.
Ich setzte mich dann in den Talk identity theft, credit card fraud and cloaking services – how state-sponsored propaganda makes use of the cyber criminal toolbox von Alexej Hock und Max Bernhard. Dabei ging es um die russische Doppelgänger-Kampagne, einer Desinformationskampagne, welche nun ins dritte Jahr geht. Im Rahmen der Kampagne werden verschiedene deutsche, französische und amerikanische Fake-News Webseiten erstellt. Im Talk sprachen die Redner über die notwendige Infrastruktur für das Hosten von gefälschten Webseiten, Ads-Kampagnen, eine Verkettung von Weiterleitungen und darin enthaltenen Filterungen. Durch ihre Entdeckungen und das Melden an verschiedene Services konnten sie die Ausbreitung etwas eindämmen und die Kampagne damit verlangsamen.
Anschliessend blieb ich im Saal 1 sitzen und hörte mir den Talk Find My * 101 von Henryk Plötz an. Hierbei erzählte Henryk über die Technologie von verschiedenen Bluetooth-Trackern mit Fokus auf Android und iOS Find My-Netzwerken. Er begann mit einem Zeitstrahl über die Veröffentlichung verschiedener Geräte und Technologien. Darauf erklärte er die Funktionsweise der beiden Find My-Netzwerke etwas genauer, und schlussendlich sprach er über Möglichkeiten, um Bluetooth-Sniffing zu betreiben. Mir war vor dem Talk nicht klar, dass Bluetooth Low Energy Geräte öfters Signale senden statt empfangen, da dies weniger Energie benötigt.
Später machte ich noch eine letzte Runde durch die vielen verschiedenen Assemblies, bevor ich mich in den Security Nightmares Talk von Ron und Constanze Kurz setzte. Dabei schauten sie auf das vergangene Jahr in Bezug auf Security Albträume zurück und wagten Prognosen für die kommenden Jahre. Diese Prognosen waren meist mit einer Prise Humor zu verstehen, zum Beispiel sagten die beiden, dass wohl bald die ISO 27001 Zertifizierungen mit KI ausgefüllt werden. Ein grosser Endgegner dieses Jahr war ../
, was eine Directory-Traversal-Schwachstelle verdeutlichen soll. Sie machten auch einen Rückblick von vor zehn Jahren, also gegenüber dem 31C3. Im Jahr 2023 wurden etwa 15% mehr CVEs vergeben als im Jahr davor. Der Anteil von Computer in Haushalten stagniert nun bei 92%, viele im Publikum wollen die PCs bei Verwandten ganz abschaffen. Dann kam folgende Aussage: Die Generation Z ist gegenüber den Boomern dreimal anfälliger für Cyber. Weniger als 30% aller Ransomware-Opfer zahlen, die Tendenz ist sinkend. Ebenfalls fiel die Aussage: Das war also das schlimmste Jahr oder das schlimmste Jahr, bis jetzt! Ansonsten waren da noch die xz-Backdoor in SSH, der Recall der Windows 11 Recall-Funktion, und die weltweiten Ausfälle verursacht durch Crowdstrike. Danach ging es weiter mit einem Ausblick: Kommt nach dem Hardware-Mindesthaltbarkeitsdatum die TÜV-Plakette? Muss man dann den Router zum TÜV bringen? Ein kommendes Geschäftsfeld im Jahr 2025 könnten Datacenter-Influencer sein, für einen noch grösseren On-Premise Hype. Es gibt vielleicht bald Wartelisten für Ransom/Backup/Cryptowallet-Entschlüsselung, sowie einen möglichen Cyber-Dienst für Informatik-Studierende bei einer erneuten Wehrdienstpflicht in Deutschland.
Zu guter Letzt wurde noch der Schlusstalk 38C3: Return to legal constructions von Gabriela Bogk und Aline Blankertz abgehalten. Sie haben zusammen eine grobe Zusammenfassung gegeben, was alles am Kongress geschehen ist. Über den via DECT gesteuerten Roboterstaubsauger, diverse Assemblies, alle getragenen Katzenohren, das mechanische Piano und das während des Kongresses betriebene Sozialnetzwerk GeheimVZ. Während des Talks wurde noch die Chaos-Post direkt auf die Bühne ausgeliefert. Das DECT-System bildet nach wie vor das Rückgrat des Kongresses, die für die Kommunikation unter den Angels benötigt wurde. Ebenfalls gibt es wohl inzwischen sehr wenige mit einer funktionsfähigen ISDN-Installation. Dieses Jahr gab es das erste mal Blind DECT, Blinddating über DECT. Auch ausserhalb des Kongresses war viel los. Beispielsweise wurde in Hamburg gegen die biometrische Überwachung demonstriert. Die wichtigsten Take-Aways sind: Meet new people, learn something new. Its about trying and not succeding. Insgesamt nahmen 15’000 Teilnehmer am 38C3 teil. 400 davon waren Jugendliche zwischen 12-18 Jahren. Sogar etwa 800 Kinder unter 12 Jahren waren mit dabei. Total wurden 6635 Schichten während des Kongresses von den 3481 Angels absolviert. Ohne diese grosse Unterstützung von Freiwilligen wäre der Kongress nicht durchführbar gewesen.
Damit war das Programm des Kongresses am Ende angelangt, und das grosse Aufräumen und die anschliessende Heimreise nahm ihren Lauf.
Für mich als C3-Neuling war der Kongress zuerst einmal eine totale Reizüberflutung. Überall liefen Personen mit Katzenohren oder Haifisch-Plüschtieren umher, in den unteren Hallen blinkte es an jeder Ecke. Nach dem Angewöhnen und Zurechtfinden fühlte ich mich aber sehr wohl und konnte den Kongress in vollen Zügen geniessen. Nach einem ausgiebigen Mate-Konsum in diesen vier Tagen resultiert mein Mate-Rating wie folgt: Flora Mate, CLUB-MATE und Kolle Mate. Dies war leider auch die Reihenfolge, in der die Getränke dann auch ausgingen.
Der enorme Drive am Kongress ist extrem ansteckend. Die nur für die vier Tage erbaute Infrastruktur, ein DECT-System im ganzen CCH, ein eigenes Mobilfunknetz, eine Chaos-Post, und die interessanten Gespräche, Talks, Assemblies und Projekte haben mich sehr beeindruckt und mitgerissen.
Unsere Spezialisten kontaktieren Sie gern!
Ralph Meier
Ralph Meier
Ralph Meier
Ralph Meier
Unsere Spezialisten kontaktieren Sie gern!