Das diesjährige Überthema war Power Cycles – System runterfahren, neu starten! Gemäss CCC umfasst das Thema neben dem offensichtlichen Neustart eines Computers, die anhaltende Selbstdemontage von Grossmächten und wo sie im Strudel zyklisch rotierender Weltordnungen stehen. Wir freuen uns euch in diesem Artikel einen Einblick in die Konferenz sowie einige Talk-Highlights zu geben.

Nach dem letztjährigen Besuch beim 38C3, stand das Abenteuer Chaos auch dieses Jahr fix im Kalender. Dieses Mal zusammen mit Yann Santschi, stürzten wir in das leuchtende, schrille und nerdige Abenteuer in Hamburg.

Talk-Highlights

Am 39C3 gab es eine Vielzahl an Talks in den unterschiedlichen Kategorien: Security, CCC & Community, Art & Beauty, Hardware, Science, Ethics, Society & Politics sowie Entertainment.
Besonders hat uns der zweite Kongresstag gefallen. Dieser war vollgepackt mit vielen guten Talks. Unsere Highlights wollen wir hier nochmals hervorheben.

Protecting the network data of one billion people: Breaking network crypto in popular Chinese mobile apps

In diesem Talk erzählte Mona Wang über den Einsatz von selbst gebastelter Verschlüsselung anstelle des Einsatzes von TLS. Heutzutage macht der Mobile Traffic rund doppelt so viel wie der ganze Web Traffic aus. Der Web Traffic geht heute je nach Region über 80% beziehungsweise sogar über 90% verschlüsselt über HTTPS.

Der Talk war in drei Themenbereiche unterteilt. Sie startete mit WeChat als grösste chinesische App anhand der Anzahl Benutzer, welches selbst entwickelte Verschlüsselung MMTLS einsetzt. Hierzu gibt es kaum öffentlich zugängliche Dokumente. Die Kommunikation der WeChat-App wird zweimal verschlüsselt, einmal auf dem Business Layer mittels AES-CBC und zusätzlich mit MMTLS (welches hierzu AES-GCM verwendet).

Der zweite Teil behandelte die Input Method Editor (IME) Apps, Tastaturen von Drittherstellern, welche sehr nützlich sind, um Chinesisch zu tippen. Viele dieser IME-Apps setzen auf cloudbasierte Vorschläge oder senden die Benutzereingaben aus einem anderen Anlass an ihre Server. Dazu werden oft selbst entwickelte Verschlüsselungen eingesetzt, welche von Mona und ihrem Team teilweise vollständig entschlüsselt werden konnten. In einem Nebensatz wurde erwähnt, dass es sich bei IME-Apps von Drittherstellern quasi um eine Art Keylogger handelt, weshalb damit mit Bedacht umgegangen werden sollte.

Anschliessend ging es im dritten Teil, um die Analyse von neun populären Protokollen zur Verschlüsselung, welche am häufigsten in den ca. 2’000 weitverbreitetsten chinesischen Apps aus dem Google Play Store und dem Xiaomi Store verwendet werden. Bei den Top 1’000 Apps aus dem Google Play Store konnte bei 12.9% der Apps unverschlüsselte Kommunikation und bei 3.5% der Einsatz von proprietärer Kryptographie festgestellt werden. Bei den Top 1’000 Apps aus dem Xiaomi Store im Jahr 2024 konnten bei 65.4% der Apps unverschlüsselter Datenverkehr und bei 47.6% der Apps der Einsatz von proprietärer Kryptographie identifiziert werden. Diese reduzierte sich in einer erneuten Prüfung im Jahr 2025 um etwa 9%, ist damit aber immer noch ein sehr hoher Anteil.

Offen bleibt die Vielzahl an weiteren selbst entwickelten Protokollen, welche detektiert aber nicht analysiert werden konnten. Die wichtigste Erkenntnis des Talks war: Setze nicht auf selbst entwickelte Verschlüsselung, sondern auf bekannte Standards wie TLS. Monas Talk wurde nicht aufgezeichnet, jedoch publizierte sie ihre verwendeten Folien.

Verlorene Domains, offene Türen – Was alte Behördendomains verraten

Tim Philipp Schäfers erzählte in seinem Talk was für Erkenntnisse er durch den Kauf einer ehemalig aktiven Behördendomain gewonnen hat und wieso der Einsatz von existierenden Domains, welche man selbst nicht besitzt, bei Testaccounts zum Verhängnis werden können.

Zu Beginn verrät er gerade seinen besten Hacking-Tipp: Lies die Dokumentation. Dort können sich URLs zu Test- und Produktivumgebung sowie mögliche Testbenutzer feststellen lassen. Daraus resultierend hat er die Domain testtraeger.de registriert. Das erlaubte ihm den Empfang von Emails, welche an die ehemals registrierten Benutzer versendet wurden. Es führte eins zum anderen und er konnte sich nach dem Zurücksetzen des Passworts für den Testaccount mit der Domain testtraeger.de, auf der Testumgebung der Benutzerverwaltung für Delegierte des Bundesamts für Migration und Flüchtlinge (BAMF) erfolgreich einloggen. Der Testbenutzer hatte sogar Administratorrechte. Ebenfalls zeigte sich, dass die Domain auch noch an anderen Stellen innerhalb des Bundes zum Testen eingesetzt wird.

Um dies zu vermeiden, sollten Testaccounts mit den dafür vorgesehen Top Level Domains (TLD) gemäss RFC2606 eingesetzt werden:

• .test
• .example
• .inavlid
• .localhost

Bei den Deutschen Bundesbehörden kommt es ab und zu Namensänderungen. Dies führt dazu, dass auch die Webseiten auf neue Domains migriert werden. Tim zeigte dies anhand vom Wechsel vom Bundesamt für die Anerkennung ausländischer Flüchtlinge (BAFL), welches nun Bundesamt für Migration und Flüchtlinge (BAMF) heisst. Die Domain bafl.de wurde nach einer gewissen Zeit nicht mehr verlängert und war somit wieder für alle registrierbar. Zuerst wurde die Domain für eine Webseite mit Verlinkungen auf online Casino Webseiten verwendet, bevor sie Tim ersteigern konnte. Als die Domain in seinem Besitz war, fing er an die DNS-Logs auszuwerten und fand dort eine Vielzahl von Anfragen auf Subdomains vom IP-Adressbereich des deutschen Staats. Ein kleiner Auszug davon:

• localhost.rznur.bafl.de
• jfrog-idea-plugin.rznur.bafl.de
• srvnurswvt12.rznur.bafl.de (möglicherweise Server Nürnberg Softwareverteilung 12)
• gg2.rznur.bafl.de / gg4.rznur.bafl.de (möglicherweise Genua Gateway 2/4)
• eris-persistence.rznur.bafl.de (Erstregistrierungsschnittelle Fachverfahren des BAMF)

Zudem war aus den Logs auch ersichtlich, dass versucht wurde Emails an bafl.de zuzustellen.

Nach der Meldung durch Tim, konnte er die Domains nach langem Warten dem BAMF zurücktransferieren. Dies da die Domain noch in sehr vielen veralteten Konfigurationen vorhanden ist, welche teilweise auch von externen Dienstleistern unterhalten werden.

Tim sprach in seinem Vortrag noch das Vertrauen in staatliche Domains an. Die meisten Staaten setzten auf eine gov.TLD-Domain, was es Bürgern einfach macht, eine URL dem jeweiligen Staat zuzuordnen. In Deutschland haben alle Ministerien verschiedene Domains mit auch unterschiedlichen Strukturen, teilweise Abkürzungen oder ausgeschrieben. Die Schweiz hat ebenfalls keine klassische gov-Domain, hier wird admin.ch eingesetzt, beziehungsweise leitet gov.ch darauf weiter.

Zusammen mit FragDenStaat veröffentlichte Tim eine Liste von über 2’500 Deutschen Behördendomains, um Licht ins Dunkle zu bringen.

When Vibe Scammers Met Vibe Hackers: Pwning PhaaS with Their Own Weapons

Mit einem sehr gut illustrierten Talk führte uns Chiao-Lin Yu (Steven Meow) vor wie er als Vibe Hacker Vibe Scammers in die Knie zwingt. Grob ging es in seiner Präsentation um die Aufdeckung der Verwendung von Scam-Frameworks, deren Aufbau, Funktionsumfang und deren Weiterentwicklung. Steven, wie er sich selbst nennt, verwendete hauptsächlich Claude 4.5, Gemini 2.5 Pro, HexStrike MCP und Strix für sein Vibe Hacking Abenteuer. Er selbst schrieb für das Hacken des Scam-Frameworks keinen eigenen Code, sondern liess diesen ausschliesslich durch LLMs erzeugen.

Anfangs geht er auf verschiedene Scam-Muster und deren Abläufe ein. Es wird häufig auf einen mehrstufigen Prozess gesetzt, dieser beginnt mit einer Werbung auf einem sozialen Netzwerk für ein kostenloses Produkt, bei welchem nur der Versand bezahlt werden muss. Damit werden potenzielle Opfer angesprochen beziehungsweise aussortiert, welche sich für einen späteren Scam eignen. Durch das Eintragen der Zahlungsinformationen für den Versand, kommen die Scammer an erste Daten des Opfers, welche zu einem späteren Zeitpunkt verwendet werden. Die Zahlungen selbst gehen bei diesem Schritt meist an eine Spendenorganisation. Nach der Zahlung des Versands wird auf eine Webseite der Scammer aufgrund von fehlender Identifikation weitergeleitet. Das Opfer wird dazu verleitet einen Fake Support zu kontaktieren. Der Fake Support verfügt über die zuvor eingegeben Informationen und verleitet das Opfer zu einer Überweisung an einen Account der Scammer für die vermeintliche Entsperrung seines Accounts.

Anschliessend sprach Steven über seine Vorgehensweise mit den zuvor genannten AI-Tools und auf was er dabei gestossen ist. Reconnaissance führte er mit Hilfe von Strix und HexStrike durch, dabei stiess er auf eine php.bak Datei. Diese reichte er weiter an Claude Code für ein Source Code Review. Das Resultat war eine SQL-Injection, diese wurde dann durch die AI mittels sqlmap genauer getestet. Die Ausnutzung funktionierte vorerst aber nicht. Nach manuellem Nachforschen sah Steven, dass die Applikation den Header User-Agent überprüft und ein mobiles Gerät erwartet, andernfalls mit einer Fehlermeldung antwortet. Nach dieser Erkenntnis funktionierte die Ausnutzung der SQL-Injection und Steven gelang an Zugangsdaten. Die Suche nach der Login-Seite für das Backend gestaltete sich etwas schwieriger, konnte jedoch mittels einer Target spezifischen Wordlist, generiert durch AI, entdeckt werden. Steven lobt die Verwendung von LLMs zur Generierung von spezifischen Wordlists von zuvor durchgeführten Scans. Danach bahnte er seinen Weg weiter bis zu lokalen Administratorrechten auf dem Server durch eine Privilege Escalation ebenfalls mit Hilfe von AI.

Mit dem erlangten Zugriff fing er an Informationen aus den Logs zu sammeln und auszuwerten. Er fand heraus, dass das Deployen einer neuen Phishing-Webseite nur vier Minuten dauert und das Wechseln der Domain sogar nur eine Minute. Im gefundenen Installationspacket fand er mit Hilfe von Claude Code über 20 Schwachstellen, darunter Fileupload Bypass, Zugangsdaten im Source Code und auch die zuvor gefundene SQL-Injection. Die im Installationspacket gefundene Telegram-Seite erstrahlte im bekannten vibe purple, ein Indigo, welches stark auf den Einsatz von AI zur Erstellung einer Webseite hinweist. Darin findet Steven eine Remote Code Execution Schwachstelle, welche er ebenfalls ausnutzen kann.

Durch die zusätzlich gefunden Telegram-Daten gelingt es ihm verschiedene Personen und dessen Zusammenhänge in der Scammer-Organisation einzuordnen. Er konnte weitere Phishing-Webseiten in unterschiedlichen Versionen feststellen, welche aber auf dem gleichen Fundament aufbauen. Die dadurch nachvollziehbare Evolution ist rasant, erzählt Steven, die Entwicklung geht immer mehr in Richtung Automatisierung und noch mehr Einsatz von AI.

Zum Schluss meint Steven: Wichtig sei es, sich mit den geltenden Gesetzten im eigenen Land vertraut zu machen, bevor man mit dem Untersuchen von Scam-Webseiten beginnt.

Bluetooth Headphone Jacking: A Key to Your Phone

Dennis Heinze und Frieder Steinmetz von ERNW haben für uns ein Highlight des Kongresses geliefert. Ihr Talk zeigte sehr eindrücklich, dass ein WhatsApp Account (oder auch andere Accounts, welche über eine Anrufverifikation verfügen) über die Verbindung zum Bluetooth-Kopfhörer des Opfers übernommen werden kann.

Im ersten Teil ihres Talks erklären sie ein paar Basics rund um Bluetooth. Sie zeigen dort, dass kein Pairing notwendig ist, um sich mit Bluetooth Low Energy (BLE) mit einem Bluetooth-Kopfhörer zu verbinden und so keine Authentication eingesetzt wird. Das erlaubt es einem Angreifer in Reichweite des Kopfhörers sich mit diesen zu verbinden, den Flash zu dumpen sowie mit dem Memory des Kopfhörers zu interagieren!

Das zeigen sie eindrücklich in einer Live-Demo, in welcher sie sich mit dem Kopfhörer ihres Kollegen verbinden und diverse Informationen auslesen können. Diese beinhalten neben den Kopfhörer Informationen aber auch beispielsweise Informationen zu der Musik die gehört wird. Dies geschieht während ihr Kollege weiterhin Musik hört. Er bemerkt nichts, da die Verbindung zu den Kopfhörern via Bluetooth Low Energy geschieht und nicht via Bluetooth Classic (welches die Musik streamt).

Ausserdem kann eine weitere Verbindung via Bluetooth Classic aufgebaut werden und anschliessend das Mikrophon ausgelesen werden. Dies erlaubt es das Gesprochene via Mikrophon zu hören, und dementsprechend Eavesdrop Attacken durchführen zu können.

Im zweiten Teil ihres Talks gehen sie auf die Authentication zwischen Kopfhörer und Telefon durch einen Link Key, sowie das Hands-Free Profile (HFP) ein, welches es erlaubt bestimmte Funktionen vom Kopfhörer aus auf dem Handy durchzuführen, beispielsweise ein Telefonat anzunehmen oder einen Voice Assistant zu starten.

Über diesen Link Key kann der Kopfhörer gegenüber dem Telefon imitiert werden. Sofern die Bluetooth Classic Adresse des Telefons und der Kopfhörer sowie der Bluetooth Link Key bekannt sind, werden die Kopfhörer nicht mehr für diesen Teil benötigt. Diese Informationen können durch den ersten Teil gewonnen werden. Durch eine Implementation des BTstacks erlaubt das einem Angreifer, wie in einer Live-Demo gezeigt, direkt mit Siri auf dem Telefon des Opfers kommunizieren zu können. In ihrer letzten Demo zeigen sie, wie damit ein WhatsApp Account oder auch ein Amazon Account eines Opfers übernommen werden kann.

Don’t look up: There are sensitive internal links in the clear on GEO satellites

Trotz technischer Probleme, lieferten Nadia Heninger und Annie Dai einen sehr interessanten Talk über unverschlüsselten Satellitenkommunikation.

Zu Beginn des Talks werden viele spannende Basics zu Geostationary (GEO) Satelliten und wie sie funktionieren erläutert. Hierbei handelt es sich um Satelliten, welche eine fixe Position auf dem Äquator einnehmen und einen definierten Bereich der Erde bedienen. Diese Satelliten sind im Kern eigentlich lediglich Repeater von Informationen. Sie erhalten von einem Terminal unterhalb des Satelliten (beispielsweise ein Flugzeug oder ein Kraftwerk) ein Signal und senden dieses als Broadcast (Versand an alle, jeder kann theoretisch diese Signale aufnehmen) an eine andere Stelle unterhalb des Satelliten weiter. Verschlüsselung wird lediglich vor der Versendung durch das Terminal eingesetzt.

Diese Satelliten sind sehr interessant, da sie einen wichtigen Teil in der Kommunikation von Legacy-Infrastruktur (beispielsweise Satelliten Fernsehen, Flugzeuge, Kraftwerke, militärische Kommunikation, etc.). Nadia und Annie zeigen wie sie mit einem selbst gebauten Empfänger solche Kommunikation empfangen können und in den Dumps dieser Daten bereits Administratorpasswörter im Klartext zu finden sind.

Die Daten darin sind speziell in der Verarbeitung von militärischen Daten durch das Security by Obscurity Prinzip “geschützt”. Hierbei werden übliche Protokolle vorsätzlich nicht normal implementiert. Im Talk wird aufgezeigt, wie sie diese nicht normale Implementierung aufschlüsseln konnten.
Sie konnten zeigen, dass Kommunikation aus Flugzeug-WiFi’s ausgelesen werden kann, dass Handy Kommunikation und auch Anrufe von weit entfernten Orten, wie in der Wüste mittels Satelliten, die ans Telefonnetz angebunden sind ausgelesen werden können, militärische Daten aus der Navy von Mexiko sowie der USA, welche die genauen Standortdaten von Helikoptern und Schiffen enthielt, und letztlich unverschlüsselte Kreditkartentransaktionen inklusive Kreditkartennummern und Kontostände.

Es ist wichtig zu erwähnen, dass die Verschlüsselung lediglich in GEO-Satelliten so schlecht ausfällt. In LEO (Low Earth Orbit, unteranderem Starlink) und MEO (Medium Earth Orbit) Satelliten wird der Traffic selbst ebenfalls verschlüsselt.

Was es am 39C3 zu Entdecken gab

Es gibt einen Grund warum alle, die schon etwas länger dabei waren, gesagt haben Die (meisten) Talks kannst du nachschauen, den Rest nicht. Das hat man wirklich gespürt. Wir haben uns das etwas zu wenig zu Herzen genommen und trotzdem sehr viel erleben können. So haben wir unser Löt-Repertoire beim Riesengrossen Dauerlötworkshop von Blinkyparts erweitert und dabei unterhaltsame Gespräche mit anderen Lötbegeisterten geführt. Wir haben die Welt der Retrogames erkundet und uns in Bomberman verliebt. Wir haben uns Hamburg und die rote Flora genauer ansehen können. Wir haben Tschunk entdeckt und die gesamte Mate Variation probiert. Wir haben verschiedene Kunstinstallationen angeschaut, teils waren diese sehr obszön aber auch sehr spannend. Wir konnten uns bei der digitalcourage einen Lichtbildausweis machen lassen, haben mit der Chaos Post Postkarten verschickt, haben sehr gute und spannende Gespräche mit anderen Creatures geführt. Wir haben das Engelsystem und generell die Bereitschaft der Leute für die freiwilligen Arbeit bestaunt. Zwischendurch besuchten wir die Coffee Nerds, wenn es wieder Zeit für einen Koffeinschub war. Wir haben an verschiedenen Assemblies und Self-organized Sessions teilgenommen, viele Tipps und Tricks erfahren und Neues dazu gelernt. Und trotz alledem haben wir auch so vieles verpasst und nicht gesehen!

Fazit

Insgesamt war es ein voller Erfolg! Jede Ecke hatte etwas Neues zu entdecken und zu erleben. Man kann sich mit so vielen spannenden Creatures zu den kuriosesten Themen austauschen und es wird nicht repetitiv oder langweilig. Es ist eine sehr erstaunliche Veranstaltung mit erstaunlichen Leuten. Wir konnten unseren Horizont technisch wie auch persönlich erweitern und nehmen das mit nach Hause und in die scip. Wir freuen uns auf die ganzen Talks, die wir noch nachholen können. Nächstes Jahr gerne wieder. Bis dahin sagen wir #DankeAI

Das erste Mal richtig mit dem Internet in Berührung kam ich im Jahr 1996, als ich an der Orbit in Basel endlich einen der von den Ausstellern zur Verfügung gestellten Internet-PCs für mich in Anspruch nehmen konnte. Mein Vater und ich standen wie gebannt vor einer Applikation, die sich später als Webbrowser – eine aus heutiger Sicht schon längst archaisch anmutende Version des Microsoft Internet Explorers – herausstellen sollten. Der Cursor blinkte herausfordernd, schon fast neckisch – Wir sollten also etwas in das Textfeld einer Webseite namens Yahoo schreiben. Gesagt getan. Als die ersten Suchresultate aufgelistet wurden, habe ich mich unweigerlich in das neue Medium verliebt. Es vergingen keine zwei Monate, bis ich dann endlich als Beta-Tester der damals brandneuen Kabel-Modems in der Schweiz einen Internet-Anschluss mein Eigen nennen konnte.

Ich war schon immer von Computern begeistert. In früher Kindheit, als ich noch keinen eigenen Computer besass, habe ich Basic-Programme auf meiner alten Schreibmaschine vorbereitet, um sie später auf dem 486er meines Vaters abtippen zu können. Neben Computerspielen und kleineren Simulationen (z.B. ein textbasiertes SimCity) hat mich stets die künstliche Intelligenz und das Entwickeln von Computerviren interessiert. Wie ist es nur möglich eine Anwendung zu schreiben, die sich selber reproduziert, sich selber verändert und im Hintergrund Arbeiten erledigt?

Mit dem Eintritt ins Internet eröffnete sich eine komplett neue bzw. erweiterte Welt für mich. Webseiten und Publikationen zu Computerviren gab es im Web wie Sand am Meer. Was ich früher in Büchereien nachschlagen musste, wurde mir multimedial ins Arbeitszimmer gebracht. Innert weniger Tage habe ich wohl jede Zeile zum Thema gelesen, die bis dato im Internet publiziert wurde. Beim Besuchen dieser Hacker-Seiten kam ich ebenfalls ein erstes Mal mit anderen Themengebieten der Computersicherheit in Berührung. Die Angriffsmöglichkeiten von TCP/IP oder die Sicherheit von Chipkarten waren die Dinge, die mich sofort in ihren Bann zogen. Der Gedanke, das letzte Bit eines Computers verstanden zu haben und mit ihm schier unmögliche Zaubertricks vollbringen zu können, hat mich mehr dennje begeistert.

Wie ich nunmal bin, habe ich nach dem Lesen entsprechender Fachartikel sofort daran gemacht, das neu erworbene Wissen auszuprobieren. Durch den Nachbau eines simplen Chipkarten-Terminals konnte ich mich so hautnah mit den physikalischen und logischen Gegebenheiten der kleinen Plastikkarten beschäftigen. Da ich der Meinung bin, dass “Forschungsarbeit” stets zum Allgemeinwohl dokumentiert werden sollte, habe ich schon sehr früh eine eigene Webseite zum Thema Chipkarten-Sicherheit umgesetzt. Das Projekt mit dem damaligen Namen phreak.chip.ms (eingestellter Fork des Projekts) war quasi der Vorläufer von computec.ch, denn vom Prinzip her sollte ebenfalls ein Archiv mit Publikationen aus dem Genre zusammengetragen und zum freien Download angeboten werden.

Die Webseite war klein und dennoch fein genug, um zu Beginn Tag für Tag ein paar Duzent Besucher anzulocken. In dieser vergangenen Zeit war das Internet noch eher ein kleines Dorf, in dem sich jeder kannte. Obschon ich damals nur einen Bruchteil der heutigen Besucherzahlen von computec.ch verbuchen konnte, erhielt ich ein Mehr an Zuschriften von interessierten Lesern. Immerwieder gab es Leute, die mir ihre Erfahrungen mitteilten, über Chipkarten und die Welt philosophieren wollten. Das Schreiben von Emails wurde so schnell zu einem ausfüllenden Hobby, in dem ich mich zu Hause fühlte.

Hacker-Vereinigungen

Selbstverständlich vergass ich beim Betreuen der Webseite und dem Schreiben von Emails nicht, ebenfalls das Internet nach neuen und interessanten Artikeln zu durchforsten. Damals spriessten Hacker-Seiten wie Pilze aus dem Boden. Keine Woche verging, ohne dass irgendeine neue Gruppierung gegründet wurde. Viele von diesen überlebten jedoch kein Jahr oder die mangelnde Qualität ihrer Publikationen machte ein Besuch nicht wirklich lohnenswert. Eine bestimmte Projekt-Gruppe war jedoch für Kontuinität und Qualität bekannt: Auf kryptocrew.de wurde ein umfassendes Archiv geschaffen, das eine Vielzahl an Artikeln aus den verschiedensten Themenbereichen der Computersicherheit zusammenfasste. Unzählige Stunden habe ich mit dem Verschlingen der dort abgedruckten Artikel verbracht – Selbst das Blinzeln mit meinen Augen habe ich als unnötige Verschwendung meiner Zeit betrachtet, so gebannt war ich durch die umfassende Darlegungen der Funktionsweise von polymorphen Dateiviren und erweiterten Blueboxing-Angriffen (dies ist eine klassische Disziplin des Phone Hackings).

Durch Neugierde getrieben wollte ich die neuen Dinge stets selber sehen. Nach dem Lesen einer Vielzahl an Publikationen zum Thema Firewalling habe ich bei meinem damaligen Lehr-Betrieb (ein internes Reisebüro der ABB) eine Möglichkeit gefunden, wie ich mit meinem Arbeitsplatzrechner das Internet nutzen konnte (ein falsch konfigurierter FTP-Proxy konnte mittels IP-Spoofing zur Weiterleitung überredet werden). Und dies, obschon unsere Abteilung, geschweige denn die Lehrlings-Rechner, überhaupt freigeschaltet waren. Nun konnte ich also auch während meinen Arbeitspausen die interessanten RFCs lesen oder in meinen Lieblingsforen vorbeischauen.

Die KryptoCrew war eine kleine Gruppe, bestehend aus etwa 5 Leuten, die zusammen die Webseite administrierten, Publikationen verfassten und Software entwickelten. Da ich den freien Dienst der Truppe sehr gut zu schätzen wusste, schrieb ich – einfach mal aus Spass – ein Email an den Seitenadministrator. In meinen Zeilen brachte ich meine Hochachtung vor ihrer Arbeit zum Ausdruck, verwies kurz auf mein eigenes Webseiten-Projekt und offerierte eher nebenbei eine Zusammenarbeit. Das Antwortschreiben, zwar relativ knapp aber dennoch ausserordentlich freundlich, kam für mich unerwartet. Ich dachte mir, dass ein solch grosses und etabliertes Projekt wohl kaum die Zeit finden wird, um auf meine unwichtigen Anfragen einzugehen. Man hat sich für das Lob bedankt und im Abschluss des Emails wurde darauf verwiesen, dass meine Webseite und Artikel durchaus Begriffe seien und ich mich doch mal über das offizielle Antrags-Formular um eine Mitgliedschaft bewerben solle.

Darum liess ich mich natürlich nicht zwei Mal bitten. In knappen Worten habe ich einen computer-bezogenen Lebenslauf zusammengestellt, kurz meine Möglichkeiten und Absichten geschildert. Rund eine Woche später erhielt ich dann tatsächlich die Zugangsdaten zum Mitgliederbereich und dem Webserver. Aus einem anonymen Projekt hat sich so für mich schnell eine Gruppe von Gleichgesinnten entwickelt, die Spass am Wissen haben wollten. Also genau nach meinem Geschmack!

Der Mensch rückte sodann eigentlich immer mehr in den Mittelpunkt. Es war irgendwann viel interessanter mit Leuten über Gott und die Welt zu philosophieren, weder nur immer irgendwelche C-Quelltexte auseinanderzunehmen. Ein Camping-Ausflug oder das alljährliche Treffen am Chaos Communication Congress in Berlin wurde schon fast zur gern umgesetzten Pflicht. Dass man an derlei Events noch viele weitere interessante Leute kennenlernen würde, war ein scheinbar ungeschriebenes Gesetz. Diese Treffen waren immer sehr chaotisch und dennoch familiär. Da diskutierte eine Gruppe die Neuerungen im jüngsten Linux-Kernel, zwei unterhielten sich über die Angriffsmöglichkeiten von stationären Satelliten und einige machten die ersten Gehversuche im Schlossöffnen (engl. lockpicking). Halt wie eine Party, nur mit Leuten, die etwas merkwürdige intellektuelle Neigungen mit sich brachten.

Ich verlagerte meine Hauptinteressen auf das Schreiben von Artikeln zum Thema Computersicherheit. Zu dieser Zeit begann ich auch mit dem ersten Manuskript für ein Buch; manchmal habe ich in meiner Lehrzeit gar heimlich während des Schulunterrichts daran gearbeitet. Teile dieser Arbeiten flossen tatsächlich ein halbes Jahrzehnt in das im Data Becker-Verlag erschienene Buch Hacking Intern mit ein. Für mein erstes Anstellungsgespräch als IT Security Specialist brauchte ich keine Zeugnisse oder Zertifikate vorzuweisen – Meine Publikationen machten das ihrige.

Computerbenutzer, die sich an das Thema Sicherheit heranwagen wollten, beschäftigten sich als erstes mit zwei Themen: Computerviren und Desktop Firewalls. Letztere erfuhren einen wahren Hype, denn wer etwas auf sich hielt, der erweiterte sein System um diese Firewalling-Funktionalität. Unendliche Diskussionen, welches Produkt nun das höchste Mass an Sicherheit lieferte und ob diese durch eine solche Lösung überhaupt gewährleistet werden kann, waren an der Tagesordnung. Firewalling war nicht mehr nur ein Thema für Administratoren grosser Netzwerke – Firewalls waren nun ein Zubehör für jedermann.

Erste Schritte in der Professionalität

Neben kryptocrew.de habe ich natürlich meine private Webseite weitergeführt, unter anderem auf die offizielle Domain computec.ch gewechselt. Die KryptoCrew-Truppe, vorwiegend bestehend aus Deutschen und einigen wenigen Schweizern, war um keinen Spass verlegen – Durch Zusammenarbeit und den Austausch von Informationen konnten regelrechte Kunststücke erbracht werden, die einem ein bisschen aus dem grauen Alltag von Schule und Studium reissen vermochte. Hatte jemand eine tolle Idee, wurde sie diskutiert. Verworfen wurde nur, was wirklich unsinnig erschien. Eine Vielzahl der Projekte entpuppten sich aber als wahre Abenteuer. So wurde zum Beispiel „per Zufall“ eine unzureichend geschützte Datenbank des U.S. Amerikanischen Militärs entdeckt. Die schwache Authentisierung ermöglichte das Einsehen sämtlicher persönlicher Daten aller Mitglieder der Streitkräfte. Der Puls schnellte unweigerlich in die Höhe, als sich unser Bildschirm mit den Anschriften und Telefonnummern hochrangiger Militärs füllte.

Spätestens als der Kultfilm The Matrix im Jahr 1999 ins Kino kam, war der bis dato grösste “Hacker-Boom” zu verzeichnen. Kein Chat-Raum war mehr vorhanden, in dem nicht mindestens ein Halbstarker Neo, das Pseudonym der Hauptfigur des Films, als seinen Benutzernamen wählte. Meine Webseite und das KryptoCrew-Projekt konnten sich zwischenzeitlich über Jahre als gute deutschsprachige Quellen des Genres etablieren. Und es gab Tage, an denen wurde ich regelrecht mit Emails überschwemmt. In Höchstzeiten erreichten mich rund 40 Schreiben, in denen ich zu einem Thema befragt oder um etwas gebeten wurde (Mit welchem Algorithmus soll ich meine Festplatten verschlüsseln? Wo finde ich leere Chipkarten? Um was für einen Virus handelt es sich hier?). Eine aufregende und zugleich stressige Zeit, in der das Knüpfen von soliden Kontakten gerade wegen dieser grossen Quantität und der fehlenden Übersichtlichkeit nicht einfacher war.

Der Trend der Hacker-Gruppen setzte sich entsprechend fort, obschon ein merklicher Anstieg der Qualität der Projekte – vor allem die der alten Hasen – zu verzeichnen war. Durch Kooperationen, Affiliationen und Allianzen konnten starke Bande geknüpft werden und der Informationsaustausch funktionierte deshalb immer effizienter. Das Ziel war für uns stets das Weitergeben von Wissen. Wer nur nur nach einem Angriffstool für das Attackieren eines bestimmten Betriebssystems fragte, wurde höflichst mit dem Verweis auf ein Buch wie The Design and Implementation of the 4.4BSD Operating System abgespiesen.

Es wurden immer professionellere und umfassendere Scanning- und Angriffs-Tools entwickelt, mit denen sich nun teilweise sehr effizient Schwachstellen in Systemen entdecken liessen. Die Handhabung dieser Utilities war nicht immer einfach und so blieb das Nutzen derer doch vorerst einem elitär anmutenden Kreis vorbehalten. Es zählte nun nicht mehr nur die ausgefallene Idee, sondern auch die Umsetzung wollte effektiv gestaltet werden.

Firewalling war das erste wirtschaftlich (und technisch) ausgeschlachtete Gebiet der Computersicherheit. Die Erfolge der New Economy Zeit verlangten nach Mehr. Es bot sich entsprechend an einen Schritt weiter zu gehen und mit Intrusion Detection-Systemen (Abk. IDS) Angriffe frühzeitig erkennen zu können. In der Branche hiess es plötzlich, dass Firewalling nur ein kleiner Teil einer umfassenden Sicherheitslösung sei und wer etwas auf sich halte, der müsse zwingend IDS einsetzen. Der eine oder andere Kunde hat sich dazu – oftmals wirklich sehr gute Lösungen – überreden lassen. Übersehen wurde aber einmal mehr, dass bei derlei Lösungsansätzen das frühzeitige Umsetzen eines soliden Konzepts – wie auch schon beim Firewalling – unabdingbar ist. Eine weitere Schwierigkeit in der elektronischen Einbruchserkennung ist in der stetigen und kompetenten Betreuung einer IDS-Lösung gegeben. Ein solches System war nicht in der Lage autonom und selbstständig zu arbeiten. Fortwährend hätte ein Administrator die Protokolle auswerten und Anpassungen am Regelwerk vornehmen können. Ein Full Time Job, der in den wenigsten Unternehmungen, die sich ein Intrusion Detection-System haben integrieren lassen, gebilligt wurde.

Mittlerweile waren langsam alle Mitglieder der KryptoCrew mit der Entscheidung ihrer beruflichen Entwicklung konfrontiert. Eine Vielzahl entschied sich für das Studium in einem naturwissenschaftlichen Bereich, wobei der Gang Richtung Informatik oder Mathematik natürlich offensichtlich erschien. Andere wollten direkt in die Wirtschaft, liessen sich irgendwo als Administrator oder Security Consultant anstellen. Unter der Hand wurden einige Auftragsarbeiten, vorwiegend Penetration Tests, durchgeführt. Viele Firmen meldeten sich bei uns, weil sie die Sicherheit ihrer Systeme überprüft haben wollten und das umfassende Angebot unserer Webseiten eine gute Referenz darstellten. Dies ehrte natürlich, gleichzeitig war es die Möglichkeit, durch unser erworbenes Wissen ein bisschen Geld machen zu können. Eine Guppe von Freaks, die ihre Wochenenden vor den Bildschirmen verbracht haben, wurden nun plötzlich von namhaften Firmen engagiert – Die Anarchie, die ansonsten nur im Internet umgesetzt werden konnte, wurde nun plötzlich Realität und zu unserem Vorteil.

Man wird langsam Erwachsen

Aus derlei Spass-Arbeiten wurde dann dennoch ernst. Dies bedeutet, dass wir es irgendwann auch leid waren, uns unter der Hand verkaufen zu müssen. Hobby-Arbeiten dieser Art wurden aus Mangel an Zeit und Interesse ausgeschlagen. Viele von uns arbeiteten nämlich schon vollberuflich im Metier und Nebenberuflich auch noch vor dem Rechner zu sitzen, das wird selbst dem härtesten Freak irgendwann zu viel. Es gibt schliesslich auch noch andere Dinge, weder Modems und Computer.

Dieser Umstand führt ebenso eine gewisse Lustlosigkeit im Betreuen der Inhalte der Webseite herbei. Wer des Abends von der Arbeit als Administrator oder Webmaster nach Hause kam, der wollte nicht noch bis spät in die Nacht irgendwelchen HTML-Code pflegen oder Textdokumente kategorisieren. Es kam wie es kommen musste und die Ära kryptocrew.de ging langsam zu Ende. Die zu dieser Zeit geknüpften Freundschaften halten aber grösstenteils bis heute an. Obschon, ich gebe es gerne zu, man nicht mehr nur über Computer und Telefone redet. Einige sind mittlerweile verheiratet, andere haben Kinder. Es soll aber dennoch immer noch solche geben, die mal den einen oder anderen Hack anstreben…

Genauso wie wir erwachsen wurden, wurde die IT-Security Branche ansich erwachsen. Zum einen ist das Bewusstsein für die sichere Umsetzung von Software und Implementierungen bei den Entwicklern und Administratoren enorm gestiegen. Zum anderen hat der Kapitalismus in seiner reinsten Form Einzug ins Gebiet gehalten. Sicherheit ist ein Geschäft und als solches wird es auch behandelt.

Wo Geld fliesst, sind in einem Rechtsstaat Anwälte nicht weit und so drohen viele Firmen heute lieber zuerst mit einer einstweiligen Verfügung, weder sich technisch mit einem Problem in ihren Produkten auseinanderzusetzen. Beispiele von Antiviren-Herstellern, die den Finder von Schwachstellen in ihrem Produkt vor Gericht gezerrt haben, liest man alle paar Monate auf den einschlägigen News-Seiten. Früher war man stolz darauf, wenn man eine neue Sicherheitslücke gefunden hat. Heute fragt man sich als erstes, welche rechtlichen Konsequenzen eine solche Suche mit sich ziehen könnte. Ein wunderschönes Genre, das ursprünglich durch kindliche Neugierde vorangetrieben wurde, hat seine Unschuld endgültig verloren und wurde dadurch aus dem Paradies vertrieben.

Die Angst vor dem Neuen wird aber längerfristig keine Vorteile bringen. Schwachstellen müssen nach wie vor so früh wie möglich gefunden werden, um ebenso rasch Gegenmassnahmen umsetzen zu können; bevor die Fehler durch bösartige Indivduen für ihre Zwecke ausgenutzt werden. Vor allem bei Systemen, von denen eine Vielzahl an Leuten abhängig ist, ist eine solche Vorgehensweise wünschenswert. Durch das Verschrecken dieser Suchenden wird die Qualität der Produkte leiden. In einem ersten Augenblick können Hersteller so ihre Weste weiss halten – Bis zu jenem Augenblick, wenn ein wütendes Kind es wirklich wagt, Pandoras Box zu öffnen. Dann verlieren unweigerlich alle Beteiligten!

Die Zukunft bringt aber nicht nur Schlechtes

Die Entwicklungen im Bereich der Computersicherheit gingen in einer Zeit, die als New Economy in die Geschichte eingehen wird, rasant voran. Eine Vielzahl an kreativen Ideen und innovativen Umsetzungen ist mit dem Boom des Internets einhergegangen. Eine wichtige Entwicklung dabei war das Etablieren einer gewissen Professionalität im Sicherheits-Bereich. Sicherheit ist nicht mehr nur ein Geschäft von einigen Freaks, die mit Neugierde und Elan nach neuen Möglichkeiten suchen. Durch ein kalkuliertes Geschäft und die messbar höheren Anforderungen ist Sicherheit immer mehr im Begriff eine Art Wissenschaft zu werden. Umfassende Risikoanalysen, durchdachte Konzepte, intensive Spezialschulungen – All das wäre vor 10 Jahren noch Fiktion gewesen. Heutzutage sieht sich aber jeder Programmierer früher oder später mit den Tücken von “bösartigen Anwendern”, die eine Schwachstelle zu ihrem Vorteil ausnutzen wollen, konfrontiert. Und die meisten Internet-Benutzer wissen, was ein Computervirus ist und wo sie eine freie Personal Firewall herunterladen können.

Diese Verbesserung des Verständnisses für Sicherheit wird sich auch in Zukunft weiterziehen. Die Steigerung ist zwar nicht mehr so überproportional wie vor wenigen Jahren. Doch mit einer beharrlichen Konstanz werden Entwickler, Administratoren und Anwender ihr Verständnis für die alltäglichen Gefahren einer technokratischen Gesellschaft festigen und verbessern können.

In zweierlei Hinsicht werden ihnen Hindernisse, die jedoch durchaus überwindbar sind, in den Weg gestellt. Zum einen führt die wirtschaftliche Entwicklung der Branche dazu, dass sich die Politik einschalten will und muss. Das Politisieren birgt immer die Gefahr einer Verblendung in sich. Wenn denn nun ungeschulte Politiker über biometrische Authentifizierungen, den Sinn von Softwarepatenten oder das Strafmass für Computerdelikte diskutieren, hat dies immer etwas propagierendes ansich. Lobbyismus, eine der wichtigsten Waffen in einem demokratischen System, hat auch hier längst Einzug gehalten, wie man sehr schön an den unendlichen Disputen bezüglich der Patentierbarkeit von computerbasierender Entwicklungen sehen kann. Der Mensch muss also mehr denn je lernen, kritisch mit Informationen und den Medien umzugehen. Ein Medium wie das Fernsehen oder das Internet ist nur für die Übertragung und Aufbereitung von Informationen zuständig. Das Zusammentragen und Auswerten dieser bleibt nach wie vor den Menschen überlassen.

Die andere Gefahr ist die zunehmende Komplexität heutiger Computersysteme. Ein Rechner war vor 20 Jahren ein einfaches Gerät, das mit simplen Kommandos gefüttert werden wollte. Heutzutage gibt es tausend Möglichkeiten, wie ein System programmiert werden kann. Und entsprechend gibt es eine Million Möglichkeiten, wie dies falsch umgesetzt werden kann. Und da wir heute keinen Schritt mehr ohne technische Hilfsmittel machen können, sind wir stets der Gefahr einer solchen Fehlnutzung ausgesetzt. Betrachtet man die Wichtigkeit von Computern in unsererer Gesellschaft, dann wird einem zwangsweise das existierende Risiko dieser Abhängigkeit bewusst.

Fazit

Die IT-Branche hat in den letzten Jahren unheimlich turbulente Zeiten erlebt. Der Boom des Internets und das Zeitalter von New Economy machte Computer endgültig zu einem festen Bestandteil der modernen Gesellschaft.

Mit dem Nutzen einer Technologie kommen jedoch auch immer Gefahren im Umgang mit dieser einher. Sicherheitslücken in Software-Lösungen können dazu führen, dass die Sicherheit gesamter Systeme und somit die sich dahinter befindlichen Menschen gefährdet sind.

Die IT-Branche hat die Gefahren erkannt und wollte diese in erster Linie kommerziell ausschlachten. Dass sich Sicherheit aber nur bedingt durch ein Produkt realisieren lässt, ist spätestens bei den Marketing-Hypes zu Themen wie Intrusion Detection-Systeme und PKIs klar geworden.

Das Interesse an den neuen Technologien, kindliche Neugierde und Spieltrieb hat ganze Generationen an Jugendlichen dazu getrieben, sich intensiver und kritisch mit den technischen Gegebenheiten unserer Zeit auseinanderzusetzen. Dabei sind viele wunderschöne Entwicklungen und Erfahrungen gemacht worden, die sowohl die IT-Branche als auch die Nutzer entsprechender Systeme nachhaltig geprägt haben. Der rasante Fortschritt der Technik wird es auch weiterhin wichtig und richtig machen, dass sich interessierte Leute mit dem Thema auseinandersetzen, um dieses immerwährend zu verbessern.

Die Area41 ist eine technische Information-Security-Konferenz in der Schweiz, die vom lokalen DEFCON Group Chapter DC4131 organisiert wird. Sie wurde im Jahre 2010 (damals schon mit aktiver Beteiligung der scip AG) erstmals unter dem Namen Hash Days (#days) ausgerichtet. Die diesjährige Area41 wurde (wieder) im Komplex457 in Zürich abgehalten. Ein scip-Team war vor Ort teilt einige Impressionen der Konferenz.

Einführung

Am Eingang direkt zu Beginn haben wir den ersten Swag des Tages erhalten. Im diesjährige Badge verstecken sich viele verschiedene Überraschungen. Einige der Überraschungen wurden nach der Konferenz aufgelöst, andere bleiben weiterhin ungelöst.

Zusammenfassungen der Talks

Im folgenden Abschnitt befinden sich die Impressionen und Zusammenfassungen der Talks, die beim scip-Team einen bleibenden Eindruck hinterlassen haben.

Paula Januszkiewicz: Keynote

Die Talks der Area41 2024 wurden mit der Keynote Hacker’s Perspective on New Risks: Revising the cybersecurity priorities for 2024 von Paula Januszkiewicz eröffnet. In ihrer Keynote präsentierte Paula AI als neue Bedrohung im IT-Bereich und ging aber auch darauf ein, dass klassische Angriffe weiterhin funktionieren. Dabei gehen die AI-Bedrohungen einerseits in Richtung Social Engineering, andererseits aber auch in die Entwicklung von bösartigen Tools mithilfe von AI. Beeindruckend war, wie sie in ihrer Keynote technische Demos unterbringen konnte, um die von ihr aufgebrachte Frage “Is hacking easy?” zu beantworten. Spoiler Alert: Gemäss Paula ist die Antwort Ja. Zusammenfassend empfiehlt sie die folgenden sechs Punkte als besonders relevant für die IT-Security im 2024:

• Invest in the human factor
• Check for legacy configuration or misconfiguration
• Absence of Insight: Look for persistence
• Build threat hunting skills
• Define incident response readiness
• Support yourself with AI

Cyrill Brunschwiler: Switching 400’000 Volts with a TCP packet

In seinem Talk Switching 400’000 Volts with a TCP packet erklärte Cyrill Brunschwiler der Community die Grundlagen zum Schweizer Stromnetz, wichtige Komponenten, Protokolle wie IEC 61850 und IEC 60870-5-104 und wie Penetration Tests in diesem Umfeld aussehen. Cyrill blickte zurück auf vergangene Vorfälle, wie der Angriff auf das Stromnetz der Ukraine im Jahr 2015, welcher der Gruppe Sandworm zugeschrieben wird. Er nahm auch Bezug auf aktuelle IT-Angriffe im Ukraine-Krieg und schloss mit der Reflektion, dass im Krieg Raketenangriffe auf die Strominfrastruktur viel mehr Schaden anrichten, welche auch zu längeren Ausfällen führen.

Tommaso Gagliardoni: Shufflecake, AKA Truecrypt on Steroids for Linux

Tommaso Gagliardoni stellte mit dem Talk Shufflecake, AKA Truecrypt on Steroids for Linux die Verschlüsselungssoftware shufflecake vor. Sufflecake kann unter Linux mehrere versteckte Volumen erstellen und macht es sehr schwierig, die Anwesenheit von solchen Volumen überhaupt zu beweisen. Shufflecake ist eine Art Nachfolger von Truecrypt/Veracrypt, ist jedoch eine klare Verbesserung, da es nativ unter Linux läuft, verschiedene Dateisysteme und mehrere verschachtelte Volumen unterstützt. Tommaso präsentiere ein komplexes Thema auf eine einfache und klare Art, dass Neulinge in dem Bereich sowie Truecrypt-Veteranen gleichermassen unterhalten und informiert wurden.

Gian Demarmels: Automating Malware Development: A Red Teamer’s Journey

Am frühen Nachmittag präsentierte Gian Demarmels seine Entdeckungsreise zur automatisierten Erstellung von konfigurierbarer Malware und Implants durch sein eigenes Framework im Talk Automating Malware Development: A Red Teamer’s Journey. Dabei ging er durch die verschiedenen Etappen der Entwicklung und offenbarte kurze Einblicke in sein, aus offensichtlichen Gründen nicht veröffentlichten Frameworks, Darth-Evader. Unter anderem, dass er auf die Template Engine Jinja setzt, um den Source Code zu erstellen aus Gründen der Modularität, effizienterer Entwicklung und besserem Endergebnis.

Marco Preuss: New stories of money – Crypto, DeFi, Hacks & Attacks

New stories of money – Crypto, DeFi, Hacks & Attacks von Marco Preuss war ein sehr aufschlussreichen Vortrag über die verschiedenen Arten von Angriffen und Scams im Crypto-Bereich. Er behandelte nicht nur Angriffe, die direkt auf die Blockchain abzielen, sondern auch andere Ziele wie die Übernahme von Computern zum minen von Crypto, Crypto-Betrug, Crypto-Diebstahl und mehr. Marco besprach verschiedene Aspekte, darunter Bitcoin und andere Kryptowährungen, Businessscams, DeFi und NFTs. Er lieferte nicht nur einen allgemeinen Überblick über diese Angriffe und Scams, sondern teilte auch einige interessante Geschichten und Beispiele zu diesen Fällen. Während er auf diese Angriffe und Betrügereien hinwies, sprach er auch über einige Grundlagen der Crypto und deren Potenzial. Es war faszinierend, die verschiedenen Facetten der Crypto-Security-Space zu sehen.

Jam (Vie) Polintan: The CTF to Career Pipeline

In ihrem Vortrag The CTF to Career Pipeline zeigte Jam (Vie) Polintan, wie man in die Informationssicherheitsindustrie einsteigen und Fuss fassen kann, indem man mit CTFs beginnt. Mit ihrem Team Maple Mallard Magistrates konnte sie das Def Con CTF gewinnen. Ihre Geschichte, von ihrem künstlerischen Hintergrund über das Studium von Spieldesign und Mathematik an der University of British Columbia bis hin zu den ersten Schritten mit CTFs im UBC CTF Team Maple Bacon, war inspirierend. Jetzt arbeitet sie in der Industrie bei Google. Sie zeigte ausserdem wie man Abstraktionen von Techniken, die in einem Bereich des Lebens oder der Informationssicherheit gelernt wurden, nutzen kann um in einem völlig anderen Umfeld anzuwenden und so Innovation schaffen kann.

Michael Imfeld: Shells at Midnight – Turning a Spam Filter Against Itself

Michael präsentierte eine spannende Befehlsinjektion in Email-Adressen, die von der Spam-Filter-Appliance MailCleaner behandelt werden, die zu einer Reverse Shell führt. Der Angriff zeigt, wie schwierig es ist, Email-Adressen zu verwalten, aufgrund ihrer grossen Flexibilität bei den zulässigen Zeichen.
Nach einigen Recherchen über Datenquellen und -Senken im Code der Open-Source-Spamfilter-Appliance MailCleaner fanden sie heraus, dass ein Cron-Job regelmässig einen Systemaufruf ausführt, der die Empfänger-Email-Adresse einer Spam-Mail als Eingabe verwendet. Mit Hilfe von Email sub-addressing, um einen gültigen Empfänger zu haben, und shell parameter expansion, um fehlende Zeichen zu erhalten, die für RCE notwendig sind, bahnten sie sich ihren Weg durch das Setzen einer gültigen Empfänger-Email, die einen Befehl enthält, um eine Reverse Shell auf dem System auszulösen, auf dem MailCleaner läuft. Der Vortrag endete mit einer sauberen und sehr zufriedenstellenden Demo, bei der erfolgreich eine Shell als root auf dem System geöffnet wurde.

Dirk-jan Mollema: Phishing the Phishing Resistant – Phishing for Primary Refresh Tokens in Microsoft Entra

Der Talk Phishing the Phishing Resistant – Phishing for Primary Refresh Tokens in Microsoft Entra von Dirk-jan Mollema befasste sich mit den OAuth-Token von Microsoft Entra ID. Dirk-jan’s Blogartikel Phishing for Primary Refresh Tokens and Windows Hello keys bildete die Basis für den Talk. Er demonstrierte, dass es durch das Ausnutzen von OAuth-Flows mit Angriffen wie Credential Phishing und Device Code Phishing möglich ist, Primary Refresh Tokens (PRT) zu erlangen und falls MFA bei der Authentisierung verwendet wurde, es auch möglich ist Zugangsdaten für Windows Hello For Business (WHFB) zu hinterlegen, um Persistenz auf einem Gerät zu erlangen. Als Gegenmassnahme schlug Dirk-jan vor, verwaltete Geräte via Mobile Device Management (MDM) über eine Conditional-Access-Richtlinie zu forcieren und die Logs für den Device Code Flow zu überwachen.

Timo Schmid: Technical Deep Dive into the XZ backdoor

Die Betonung bei der Vorstellung des Talks Technical Deep Dive into the XZ backdoor von Timo Schmid lag auf dem Wort Technical und Timo erfüllte dies vollkommen. Er präsentiere seine Erkenntnisse der Untersuchung der XZ-Backdoor und zeigte auf, mit welcher Komplexität die Backdoor entwickelt und mit verschiedenen Obfuscation-Techniken versteckt wurde. Er wies aber auch darauf hin, dass wohl gerade die Summe an Obfuscation-Techniken dafür verantwortlich war, dass die Backdoor entdeckt wurde, da die Performance eines Systems dadurch kurzzeitig signifikant beeinträchtigt wurde.

Der Lockpicking Wettbewerb (Impressionen von Yann)

Ich hatte sehr viel Spass bei diesem Wettbewerb. Vor einigen Monaten habe ich ein Lockpicking-Set gekauft, aber leider kam ich noch nicht dazu, mich diesem zu widmen. Deshalb war ich begeistert, endlich einige Lockpicking-Techniken und das Öffnen von Handschellen am ersten Tag zu lernen. Es hat mir so viel Spass gemacht, dass ich mich für den Lockpicking-Wettbewerb angemeldet habe. Am zweiten Tag kehrte ich zurück, um weiter zu üben und die Feinheiten des Lockpickings besser zu verstehen.

Der Wettbewerb fand am zweiten Tag auf der Hauptbühne statt. Er folgte einem 1v1-Duell-Format in einem K.O.-System. Die Herausforderung bestand darin, aus den Handschellen zu entkommen, ein Schloss an einem Behälter zu knacken, in dem sich eine Spielzeugpistole befindet. Diese musste benutzt werden, um den Gegner zu “erschiessen”. Die erste Person, die ihren Gegner “erschiesst”, rückte in die nächste Runde vor.

Als ich an der Reihe war, hatte ich Schwierigkeiten mit den Handschellen und war nicht schnell genug. Ich sah, wie sich mein Gegner sehr schnell befreite. Obwohl ich es schaffte, meine Handschellen abzunehmen und ein bisschen schneller im Schlossknacken war, hatte er mehr Zeit. Leider wurde ich “erschossen”, während ich versuchte, die Spielzeugpistole aus dem Behälter zu holen, und verlor in der ersten Runde. Immerhin belegte mein Gegner am Ende den zweiten Platz. Trotz der Niederlage hatte ich grossen Spass am Wettbewerb und glaube, ein neues Hobby für mich entdeckt zu haben.

Abschliessende Bemerkungen

Wie bei jeder Durchführung der Area41 fanden wir, dass der Event sehr gelungen war. Im Vergleich zum letzten Mal war die Verpflegung sogar noch besser und schneller erhältlich. Das Wetter spielte beim Barbecue wunderbar mit und konnte auf der Terrasse des Komplex457 genossen werden. Wie immer konnten wir viel mitnehmen und an diesen zwei Tagen unsere Netzwerke erweitern. Wir sagen Danke an das Organisationsteam!

• Backing up Spotify (annas-archive.org)
• The party’s AI: How China’s new AI systems are reshaping human rights – ASPI (aspi.org.au)
• Redditors share 6 giveaways that something was written by AI (mashable.com)
• Creative Commons announces tentative support for AI ‘pay-to-crawl’ systems (techcrunch.com)
• Security for AI Can Address Shadow AI, Platform Risks, and Data Leakage (tenable.com)
• The Washington Post’s AI Generated Podcasts Are Already an Error-Laden Disaster (futurism.com)
• Cybersecurity Snapshot: OWASP Ranks Top Agentic AI App Risks, as CISA Lists Most Dangerous Software Flaws (tenable.com)
• Smart Contracts (red.anthropic.com)
• Study: AI Chatbots Choose Friends Just Like Humans Do (singularityhub.com)
• Criminals Using Altered Proof-of-Life Media to Extort Victims in Virtual Kidnapping for Ransom Scams (ic3.gov)
• Scammers harvesting Facebook photos to stage fake kidnappings, warns FBI (malwarebytes.com)
• Humans are built for nature not modern life (sciencedaily.com)
• The “impossible” LED breakthrough that changes everything (sciencedaily.com)
• One of Google’s biggest AI advantages is what it already knows about you (techcrunch.com)
• Agentic AI Security: Stop Cyber Hygiene Failures from Becoming a Global Breach (tenable.com)
• Lawmakers Want to Ban VPNs – And They Have No Idea What They’re Doing (eff.org)
• Are Animals and AI Conscious? Scientists Devise New Theories for How to Test This (singularityhub.com)