Isn’t business continuity part of security?
Andrea Covello
Eines der Merkmale, dass die scip AG auszeichnet ist, dass unsere Mitarbeiter sich auch ausserhalb der Bürozeiten aktiv in der Infosec Landschaft bewegen. Marcs privates Blog, Computec, existiert seit 1997 und wird immer noch aktiv betreut. Unsere Labs Artikel, die wir hier an dieser Stelle auf scip.ch veröffentlichen, gründen oftmals auf persönlicher Initiative verschiedener unserer Teammitglieder. Auch Twitter sehen wir als wertvolle Ressource zur Kommunikation an, entsprechend oft trifft man verschiedene Exponenten der scip AG “privat” auch dort an.
Auch Konferenzen gehören zu unserem Alltag bis zu einem gewissen Masse dazu. Zum einen erlauben diese den direkten Austausch von Wissen, zum anderen dienen sie dem wichtigen Erschliessen von Kontakten zu Experten in den verschiedensten Spezialgebieten der Informationssicherheit. Seit längerem engagiere ich mich persönlich im Komittee der führenden Schweizer Sicherheitskonferenz hashdays, die dieses Jahr bereits zum dritten Mal in Luzern stattfindet.
Wer selber ein Auge auf die gängigen Konferenzkalender wirft wird schnell feststellen, dass die Anzahl verfügbarer Konferenzen sich in den letzten Jahren massiv erhöht hat. Umso wichtiger ist daher die Zusammenarbeit und Organisation unter den einzelnen Konferenzen, um ein möglichst solides, breites Spektrum an Themen ohne Terminkollisionen oder ähnlicher Unschönheiten anzubieten. Bei hashdays arbeiten wir sehr aktiv mit anderen europäischen Konferenzen wie z.B. Brucon zusammen und engagieren uns auch in aktiven Partnerschaften. Die BSidesLondon, die gestern in London (UK) stattfand, ist eine dieser Konferenzen.
Wir haben in der Vergangenheit schon über andere BSides Events gesprochen und ich kann an dieser Stelle nur wiederholen, dass die grundlegende Idee, technisches Wissen auf hohem Niveau kostenlos zur Verfügung zu stellen meines Erachtens eine sehr unterstützenswerte Sache ist. Mit hashdays ist dies aus logistischen Gründen (Kosten der Location, volle Deckung der Speaker-Spesen) nicht möglich, weshalb wir uns entschieden haben die BSidesLondon als “Grassroots-Sponsor” zu unterstützen. Eine Entscheidung, die wir heute, nach dem Event, nicht bereuen: Das Ergebnis war eine durchwegs solide Konferenz mit innovativen Themen und grossartiger Atmosphäre.
Den ersten Talk mit dem Titel “Breaking in to Security”, der eigentlich auf meiner Liste stand, hielt Robin Wood. Während ich wegen eines verspäteten Fluges leider noch nicht vor Ort war, sprach Robin über die Möglichkeiten im Bereich der Informationssicherheit Fuss zu fassen. Eine Thematik, die sicherlich auf regen Anklang stösst, erhalten wir bei der scip AG doch regelmässig Anfragen von Studienabgängern und Quereinsteigern, die wissen möchten welcher Pfad unserer Meinung nach der Beste ist, um in diesem Feld Fuss zu fassen. Wir werden den Talk, so wie alle anderen die in diesem Post genannt werden, an dieser Stelle verlinken sobald die Videos verfügbar sind.
Nachdem ich meinen Weg ins Innere von London etwas verspätet doch noch gefunden habe, sprach David Rook über die Sicherheit von Windows Phone 7. Während sich unser Fokus in den letzten Monaten eher auf iOS und Android Geräte verschoben hat, präsentierte David durchaus interessante Findings sowie ein paar nützliche Tools zur Analyse von Windows Phone 7 Applikationen.
Der nächste Talk, “Mapping The Penetration Tester’s Mind: 0 to Root in 60 Minutes”, fiel leider aufgrund ungeklärter Abwesenheit des Speakers aus, wurde aber kurzerhand durch eine Präsentation eines anwesenden Gasts zum Thema “Random Numbers” ersetzt. In knapp 50 Minuten ging es hier um gängige Fehler beim Generieren von Zufallszahlen, wie z.B. die Nutzung von Modulo-Funktionen oder Gleitkommaberechnungen. Was hier etwas trocken tönt, ist durchaus relevant und hat schon so manchen Applikationsentwickler mehr als nur Schweiss und Tränen gekostet. So wurde beispielsweise eine Lücke in einem Pokerportal, das an dieser Stelle ungenannt bleiben soll, demonstriert, bei dem die Zufallszahlen unter Zuhilfenahme des aktuellen Serverzeitstempels als Seed berechnet wurden. Mit ein wenig Kreativität und Geduld war es dadurch möglich, das komplette Kartendeck im Voraus zu berechnen. Und wer Poker spielt, der weiss dass die Kenntnis aller Karte doch einen kleinen Vorteil mit sich bringt…
Weiter ging es mit Robert McArdle Talk mit dem Titel “HTML5 – A Whole New Attack Vector”. Rob zeigte auf kurzweilige Art und Weise welche Neuerungen HTML5 bringt und was sich damit, im Hinblick auf Funktionalität, bewerkstelligen lässt. Während in diesem Teil primär neue Features demonstriert wurden, ging Rob anschliessend dazu über die Gefahren dieser Funktionen zu illustrieren. Während die Vektoren weitgehend bekannt sind, diente der Vortrag sicherlich vielen als guter Eyeopener, zumal HTML5 derzeit rasante Verbreitung findet.
Nach der Mittagspause referierte Dave Hartley zum Thema “SAP Slapping”. Hinter dem etwas obskuren Titel versteckte sich ein allgemeiner Talk zum Penetration Testing von SAP. Ich erlaube mir hier aufgrund der etwas trockenen Natur des Themas, auf Details zu verzichten, empfehle Interessierten aber die Lektüre der Slides sowie des Videos sobald dieses verfügbar ist.
Als Abschluss präsentierte Paul Marsh seine Erkenntnisse im Hinblick auf die Nutzung von Satelliten. Aus nachvollziehbaren Gründen wird dieser Talk nicht als Video verfügbar sein und ich werde aus denselben Gründen auch nicht auf Details eingehen. Wer aber gerne die Kommunikation somalischer Piraten abhören möchte, tut gut daran sich einmal näher mit dem Thema zu beschäftigen.
Als Abschluss gab es dann doch noch etwas Arbeit: Die von uns zur Verfügung gestellten Challenge-Preise wurden an die (hoffentlich) glücklichen Gewinner verteilt, danach verlagerte sich die Mehrheit der Anwesenden, wie sich das für London gehört, in ein angrenzendes Pub.
Ich für meinen Teil warte derzeit auf meinen Rückflug nach Zürich und kann auf einen durchwegs interessanten und aufschlussreichen Tag zurückblicken. Interessierten sei die Teilnahme im kommenden Jahr ans Herz gelegt. Wer nicht solange warten kann, kann natürlich derzeit auch günstig ein Ticket für die hashdays Ende Oktober erstehen.
Aus London, Stefan Friedli
Our experts will get in contact with you!
Andrea Covello
Michèle Trebo
Lucie Hoffmann
Yann Santschi
Our experts will get in contact with you!