Las Vegas 2012: Teil 2 - DEFCON 20, BSidesLV

Las Vegas 2012: Teil 2

DEFCON 20, BSidesLV

Stefan Friedli
by Stefan Friedli
time to read: 6 minutes

Las Vegas

Wenn die Opt-Out Rate am McCarran Airport in Las Vegas schlagartig in die Höhe schiesst, dann heisst das meistens eines: Es ist Sommer, Zeit für die alljährlichen Sicherheitskonferenzen Blackhat, BSides Las Vegas und DEFCON. Für unsere Branche sind die Events, sowohl aus inhaltlicher Sicht wie auch im Hinblick auf Networking, von essentieller Bedeutung. Naheliegenderweise hat es sich die scip AG auch dieses Jahr nicht nehmen lassen, vor Ort zu sein. Stefan Friedli, der selber schon in Vegas präsentieren durfte, fasst seine Erlebnisse in diesem Artikel zusammen. Den ersten Teil, der sich mit der BlackHat Security Conference beschäftigt, finden Sie hier  

Es ist schon eine interessante Konstellation, die die drei Konferenzen zur Sommerzeit in Las Vegas bilden: Die BlackHat, die mit ihren relativ hohen Ticketpreisen ein eher business-orientiertes Publikum anzieht bietet meistens exklusiven Inhalt, wirkt aber relativ emotionsfrei. Man bemüht sich, Professionalität zu emphasieren und in der Sponsor Hall bemühen sich diverse Hersteller und Sponsoren darum, möglichst viele Besucher auf die eigenen Produkte aufmerksam zu machen, in der Hoffnung den einen oder anderen grossen Lead an Land zu ziehen. Die BSidesLV versucht seit Jahren, ein kostenloses Alternativprogramm für all jene zu bieten, denen die BlackHat entweder zu teuer oder zu kommerziell/untechnisch geworden ist. Mit Erfolg, denn auch dieses Jahr war das Artisan Hotel, das bereits letztes Jahr als Kulisse für die BSides diente, prall gefüllt.

Und trotz der non-kommerziellen Natur konnte die BSides auch dieses Jahr wieder mit hochqualitativen Inhalt punkten: HD Moore präsentierte einen Talk mit dem klangvollen Titel “Empirical Exploitation” sowie einen weiteren mit dem nicht weniger poetischen Namen “Global Loot”. Ian Amit, der bereits letzte Woche Erwähnung für seinen vielbeachteten BlackHat Talk fand, präsentierte denselben Inhalt, in leicht Zielgruppen-optimierter Form. Aber auch sonst präsentierte sich ein durchaus attraktives, abgerundetes Programm im Artisan. Die Schedule sowie Informationen zu den Talks sind auf der offiziellen Webseite der BSides Las Vegas einsehbar.

Am meisten Aufmerksamkeit dürfte dieses Jahr allerdings mit Abstand die grösste der drei Konferenzen abgestaubt haben: Die DEFCON feierte ihr 20-jähriges Bestehen und zog zu diesem Anlass natürlich auch alle Register. So warteten fünf prall gefüllte Tracks auf die Besucher, die bereits lange vor Türöffnung Schlange standen, um einen der begehrten elektronischen Badges zu ergattern, nachdem die Verfügbarkeit der “regulären” Badges in vergangenen Jahren öfters mal bereits nach kurzer Zeit zur Neige ging.

Besonders viel Beachtung erhielt zu Anfang der Konferenz der Direktor der NSA, General Keith B. Alexander, der in seinem Talk mit dem Titel “Shared Values, Shared Responsibility” um die Gunst der Anwesenden buhlte und dabei auf überraschend viel Zuspruch stiess. In Jeans und T-Shirt erschienen, erläuterte Alexander die Aktivitäten des Geheimdienstes und forderte die Hackercommunity zur Mitarbeit auf. Die Reaktionen waren, wie zu erwarten war, gemischt, trotzdem dürfte das öffentliche Auftreten eines Geheimdienstlers, das in der 20-jährigen Existenz der DEFCON eine Premiere darstellt, einen Meilenstein in deren Geschichte darstellen.

Ein anderer Talk, der vor allem in unserem Feld durchaus einiges an Beachtung erhalten dürfte, kam von Moxie Marlinspike, der demonstrierte wie PPTP VPN Authentisierungen via MS-CHAPv2 binnen absehbarer Frist gecrackt werden können, sofern ein Mitschnitt des Traffics vorliegt. Gerade viele kleinere Firmen, die auch heute noch PPTP einsetzen, dürften hier mittelfristig auf Probleme stossen, sobald entsprechende Tools auch für weniger versierte Angreifer frei zugänglich sind. Entsprechende Proof of Concepts kursierten bereits kurz nach der Präsentation in den üblichen Kanälen.

Während meine Auflistung in diesem Rahmen bei weitem nicht alle erwähnenswerten Talks abzudecken vermag, so komme nicht darum herum kurz auf Felix “FX” Lindner’s Talk zu verweisen. Unter dem Titel “Hacking [redacted] Routers” enthüllte FX verschiedene Probleme, die vor allem SOHO-Router des massiven chinesischen Herstellers betreffen. Was durchaus amüsant und interessant präsentierte wurde, ist hoffentlich ein Wake-up Call für den Grosslieferanten: Weder ein Kontakt für Sicherheitsfragen ist vorhanden, noch hat der Konzern jemals ein Sicherheitsadvisory veröffentlicht. Huawei hat inzwischen reagiert und angekündigt, man würde gemeinsam mit der britischen Regierung an der Sicherheit der Produkte arbeiten. Inwiefern dies ein Trost für all jene ist, die bereits mit entsprechenden Produkten arbeiten und unter der mangelhaften Qualität leiden, das bleibt offen.

Zurück zur DEFCON als solches: Neben den Präsentationen gab es natürlich, wie jedes Jahr, auch viele andere Dinge zu sehen. So gab es auch dieses Jahr ein Lockpicking- und ein Hardware-Hacking Village und in der Vendor Area boten diverse Händler ihre Waren – T-Shirts, Hardware, Lockpicks, … – feil. Und dann gab es da natürlich auch noch die zahlreichen Social Events, die nach den langen Konferenztagen auch noch für entsprechende lange Nächte sorgten. Unvergessen ist die Performance der israelischen Psy-Trance-Electro Band “Infected Mushroom”, die im Rahmen der IOActive Freakshow ein unglaublich stimmungsvolles Set ablieferten.

So verging auch diese Woche in Vegas überraschend schnell und bald trat ich den langen Rückflug via Toronto nach Zürich an um dann direkt für eine Woche in die Schweizer Alpen zu fahren, quasi als Kompensation für die Reizüberflutung der bunten und blinkenden Stadt in der Wüste Nevadas. Eine Stadt, in die ich jederzeit gerne reise, solange ich sie nach einiger Zeit auch wieder verlassen kann.

About the Author

Stefan Friedli

Stefan Friedli is a well-known face among the Infosec Community. As a speaker at international conferences, co-founder of the Penetration Testing Execution Standard (PTES) as well as a board member of the Swiss DEFCON groups chapters, he still contributes to push the community and the industry forward.

Links

You want to evaluate or develop an AI?

Our experts will get in contact with you!

×
Active Directory certificate services

Active Directory certificate services

Eric Maurer

Specific Criticism of CVSS4

Specific Criticism of CVSS4

Marc Ruef

The new NIST Cybersecurity Framework

The new NIST Cybersecurity Framework

Tomaso Vasella

Ways of attacking Generative AI

Ways of attacking Generative AI

Andrea Hauser

You want more?

Further articles available here

You need support in such a project?

Our experts will get in contact with you!

You want more?

Further articles available here