Die sehr spannende IT-Sicherheitskonferenz IT-Defense, zum zehnten Mal ausgerichtet vom Heilbronner Security-Spezialisten Cirosec, war mit 200 Besuchern ausgebucht. Zu den hochkarätigen Referenten zählten Bruce Schneier, Kevin Mitnick, Mikko Hypponen, Barnaby Jack und Gunter Dueck.

 

Das Programm der IT-Defense kombinierte technisch tiefgehende Vorträge mit Präsentationen, die einen Blick über den Tellerrand boten. Zum Auftakt erzählte Kevin Mitnick aus seinem Leben – vom Teenager, der Gratis-Busfahrten ergaunert, über das Hacking der McDonald’s-Drive-Through-Kommunikation und den Diebstahl des DEC-VMS-Source-Codes bis zum landesweit gesuchten Hacker – und stellte dabei auch gleich seine Autobiografie „Ghost in the Wire“ vor. Abgesehen von der teils selbstironischen Promotion der Buchautoren Mitnick, Schneier und Dueck war die IT-Defense angenehmerweise werbefrei und rein am Thema orientiert.
 
Ein Highlight: Security-Vordenker Bruce Schneier diskutierte IT-Bedrohungen, die von anderer Quelle als klassischen Kriminellen ausgehen. Bedrohung Nr. 1 seien die „Big Data“-Konzerne, allen voran Apple, Amazon, Facebook und Google. Computer würden immer mehr zu reinen Terminals, da viele Anwender die Dauerverfügbarkeit ihrer Daten in der Cloud schätzten. Doch dies habe seinen Preis: Facebook zum Beispiel hält gelöschte Bilder noch jahrelang online vor.
 
Als zweite Bedrohungsquelle nannte Schneier staatliche Regulierungen mit dem Ziel, Internet-Kriminalität zu bekämpfen. Diese schlecht durchdachten Interventionen drohten, das Internet zu schädigen. Schneier erwartet zunehmende Einmischung der Gesetzgeber in die Internet-Infrastruktur – und damit abnehmende Sicherheit. Als dritte Bedrohung stufte er das Wettrüsten für einen möglichen Cyber-Krieg ein, derzeit vor allem zwischen den USA und China. Ein Wettrüsten sei naturbedingt instabil und damit „potenziell sehr gefährlich“. Auch die letzthin heftig diskutierten APTs (Advanced Persistent Threats, langanhaltende gezielte Angriffe) rechnet er diesem Kontext zu. Es sei praktisch unmöglich, sich gegen APTs zu schützen, da relative Sicherheit (besser geschützt zu sein als der Nachbar) hier nicht helfe. „Ich kenne Leute, die Pen-Tests durchführen, und die kommen praktisch immer ans Ziel“, so Schneier (siehe auch Kastentext).
 
Barnaby Jack, der schon auf der Black Hat 2010 einen Geldautomaten-Hack präsentiert hatte, zeigte, dass es möglich ist, Insulinpumpen des Herstellers Medtronic per Funk fernzusteuern und beliebig viel Insulin zu verabreichen – bis zur gesamten und damit tödlichen Dosis. Er entwickelte dazu eine kleine Windows-Software, komplett mit den üblichen Popups („Sind Sie sicher, dass Sie…?“). Als Bedrohungsszenario sieht der McAfee-Forscher gezielte Angriffe auf prominente Diabetiker.
 
White Hat Hacking
 
Justine Osborne von Isec Partners tauchte in die Bits und Bytes des Blackbox-Pen-Testings für Android ein, Adam Laurie von Aperture Labs warnte vor Unzulänglichkeiten bei der Sicherheit von 3G- und Metering-Lösungen. Michael Ossman präsentierte das Ergebnis von „Project Ubertooth“ („Uber“: US-Schreibweise der deutschen Vorsilbe „Über“): einen selbst entwickelten Bluetooth-Adapter, der passives Echtzeit-Monitoring unterstützt. Timo Kasper von der Ruhr-Universität Bochum legte den Stand der Forschung zur Anfälligkeit von Wireless-Tokens dar: Per Seitenkanalangriff (Analyse des Stromverbrauchs) war es möglich, vollen Zugriff auf ältere Smartcards der Baureihe Mifare Desfire zu erlangen, wie sie als Hoteltürschlüssel oder Bezahlkarten in Cafeterias zum Einsatz kommen.
 
Andrea Barisani, Daniele Bianco und Adam Laurie präsentierten PIN-Harvesting von EMV-Chipkarten (Europay, Mastercard, Visa): Sie zeigten Man-in-the-Middle-Angriffe mittels gefälschter PIN-Pads auf POS-Zahlgeräten (Point-of-Sales) und so genannter „Yes-Cards“ (die Karte antwortet auf Abfragen immer „ja“). Das EMV-Verfahren eigne sich nicht zum Schutz von Offline-Transaktionen – die in der EU allerdings selten sind. Außerdem zeigten Barisani und Co., dass man die Sicherheitsmechanismen der Bankkarten durch die Manipulation der hinterlegten Action Codes umgehen kann. Die Codes legen fest, wie eine Transaktion verlaufen soll, wenn die Authentifizierung fehlschlägt. Durch diesen Hack lasse sich die PIN immer auslesen, bei alten SDA- wie auch bei den neueren DDA-Chipkarten.
 
Blick auf die Gegenseite
 
Mikko Hypponen, Chefforscher bei F-Secure, stellte Trends der Angreiferszene vor: Diese umfasse heute Kriminelle, Hacktivists und Regierungsstellen, künftig eventuell auch Extremisten oder Terroristen. Hypponen warnte vor international operierenden kriminellen Organisationen, die mit aufwändigen Mitteln die Alarme von Threat-Detection-Lösungen umgehen. So zielten Kriminelle heute auf User in bestimmten Ländern, bestellten dort mit deren gestohlenen Kreditkarten Waren in lokalen Online-Stores und ließen die Ware zu „Packet Mules“ (Warenweiterleitern) schicken, die ebenfalls im Land sitzen – damit entstehen scheinbar unauffällige Transaktionen. Erst aufwändiges Nachverfolgen der Warenwege zeige dann, wo die Hintermänner sitzen, im Beispielsfall war es Moskau.
 
Mit Blick auf Hacktivists riet Hypponen: „Machen Sie sich nicht zur Zielscheibe, wenn es nicht sein muss.“ Sony sei durch sein Vorgehen gegen einen Playstation-Hacker ins Visier von Anonymous geraten, während Apple so schlau gewesen sei, einen Jailbreak-Programmierer einfach selbst anzuheuern. Cyber-Spionage und -Sabotage wiederum, so der F-Secure-Mann, seien vor fünf Jahren noch Stoff für Hollywood gewesen, heutige APT-Angriffe aber seien offensichtlich staatsgesteuert. Hypponen geht zum Beispiel davon aus, dass RSA nur gehackt wurde, damit die Angreifer Firmengeheimnisse von Lockheed-Martin und anderer Zulieferer des US-Militärs erlangen konnten.
 
IDS-Engine der nächsten Generation
 
Matthew Jonkman von der Open Information Security Foundation (OISF) berichtete von der Arbeit an der Open-Source-IDS-Engine (Intrusion Detection System) Suricata. Heutige IDS-Geräte seien oft überfordert, da sie nur mit Single-Thread-Engines arbeiteten und auch SSL-Verkehr nicht analysierten. Es berichtete von der Arbeit der OISF an einer Open-Source-IDS/IPS-Engine der nächsten Generation mit dem Namen Suricata: Die Multi-Threaded-IDS-Engine glänzt laut Jonkman mit automatisierter Protokollerkennung und Support für native Hardwarebeschleunigung, Dateiidentifizierung und -extraktion, IPv6-Reassemblierung sowie SSL-Extraktion, -Analyse und -Logging. Die Engine biete eine Snort-ähnliche Regelsyntax, Traffic-Anomalieerkennung sei in Arbeit.
 
Erhobener Zeigefinger
 
Den juristischen Mahner gab Prof. Thomas Hoeren: Laut Europäischem Gerichtshof für Menschenrechte müsse Whistleblowing möglich sein, aber nach deutschem Verständnis gebe es Whistleblowing nicht. Hacking hingegen sei im Prinzip erlaubt – solange man keine Softwaremechanismen wie Lizenzschlüssel umgehe. Für manche Berufsgruppen wie Ärzte oder Anwälte (Paragraph 203 StGB) gelte: Outsourcing ist nur möglich, wenn alle Kunden einwilligen – ein Anwalt dürfe also nicht einmal sein Notebook zur Reparatur bringen, wenn Mandanten-E-Mails auf der Festplatte liegen. Vor Verträgen mit US-Cloud-Providern warnte Hoeren: „Die Cloud ist nach deutschem Recht unzulässig.“
 
Ex-IBM-Vordenker Gunter Dueck diskutierte die Industrialisierung des Dienstleistungssektors. Schlecht bezahlten Angelernten am unteren Ende des Service-Spektrums stehe der Bedarf an zunehmender Professionalität am oberen Ende gegenüber. Neben Expertentum seien zahlreiche weitere Kompetenzen gefragt, darunter Management-, Team- und Selbstdarstellungsfähigkeit.
 
Die Begrenzung der Teilnehmerzahl auf 200 begründete Cirosec-Geschäftsführer Stefan Strobel damit, dass man das Hackertreff-Ambiente bewahren wolle. Deshalb gab es auch nur einen Vortrags-Track – ein sehr gut durchdachtes Konzept, ein perfekt organisiertes Event und ein Gewinn für die deutsche Security-Landschaft. Die nächste IT-Defense findet vom 30.1. bis 1.2.2013 in Berlin statt.
 
Der Autor auf LANline.de: wgreiner                

White-Hat-Hacker Barnaby Jack demonstrierte auf der IT-Defense 2012 potenziell tödliche Angriffe auf Insulinpumpen. Bild: Dr. Wilhelm Greiner

LANline.