IS4IT @ BlackHat – Teil I

Von 1. bis 4. November fand die Black Hat Europe in London statt. IS4IT war direkt vor Ort und hat immer wieder kurz via Twitter und Facebook darüber berichtet. In unseren nächsten beiden Blogbeiträgen wollen wir etwas näher ins Detail gehen.

 

Überblick

Wie bei Messen üblich gab es Ausstellerbereiche und verschiedene Räume für Vorträge. Der Ausstellerbereich war einfach und kostenlos über einen Business-Pass zugänglich, bot allerdings nicht den wirklichen Mehrwert der Black Hat.

Unser Interesse galt den Vorträgen, den Briefings. Diese sind – im Gegensatz zu anderen Messen – keine Werbevorstellungen der Hersteller, sondern liefern interessante Details und fundierte Einblicke in Themen, die sonst nur schwer bis gar nicht recherchiert werden können.

Im Folgenden erhalten Sie einen ersten Überblick über die Vorträge, die für uns informativ gewesen sind und in die Sie sich bei Interesse – zumindest teilweise – anhand der öffentlich zugänglichen Vortragsunterlagen selbst vertiefen können.

 

Chasing Foxes by the Numbers

Die Kollegen haben viel Arbeit investiert, um in einschlägigen Foren die Postings und Nutzer zu analysieren. Diese Analysen wurden dann einer Bewertung hinsichtlich des Verhaltens unterzogen: Wann war der Account besonders aktiv, wann eher nicht usw. Dabei konnten interessante Korrelationen zu den Arbeitszeiten der Hackergruppen festgestellt werden. Auch Hacking scheint mehr oder weniger ein 9-to-5-Job zu sein.

Bedeutsam war hier, dass aufgrund der Analysen Accounts gefunden wurden, die mit hoher Sicherheit ein und derselben Person zugeordnet werden können. Dieser Analyse zu entgehen ist sehr schwer, auch wenn man sich dessen bewusst ist. Das lässt interessante Analogien zu den laufenden Bestrebungen im Rahmen von Big Data zu. Hier finden Sie alle Infos und Unterlagen zum Vortrag (Externer Link).

 

Deconstructing Web Application Firewalls (WAF) by Automated Learning

Dieser Vortrag war aus meiner Sicht ein absolutes Highlight, zählte er doch zu den besten der gesamten Veranstaltung. Nach einer kurzen akademischen Einführung in Grammatiken, bei der sich mein schlechtes Gewissen ob der oft geschwänzten Vorlesung meldete, folgte der Schritt in die Praxis.

Grob vereinfacht ging es vor allem darum, den Ansatz von Injection-Angriffen direkt auf WAF-Systeme zu übertragen, die genau davor schützen sollen. Der Angriffsvektor lässt sich recht einfach und nachvollziehbar darstellen. Diese Art von Angriffen beruht im Wesentlichen darauf, dass der Parser zur Auswertung eines Kommandos auf dem Webserver fehlerhaft ist. Dem wird begegnet, indem ein System vor dem Webserver – die Web Application Firewall – die Anfrage parst. Ein Ansatz, den ich selbst in dieser Weise noch nicht in Erwägung gezogen hatte.

Der Angriff zielt darauf ab, der WAF ein Kommando zu präsentieren, das auf einer entsprechenden Grammatik beruht, und die Rückmeldung auszuwerten. Dem Ergebnis entsprechend wird die Grammatik dann weiter verfeinert oder verworfen. Mit dieser Vorgehensweise wurden bei diversen WAF-Systemen Schwächen identifiziert, die den Angriff wieder erlauben. Unnötig zu erwähnen, dass die entsprechende Software mittlerweile frei verfügbar ist. Hier finden Sie alle Infos und Unterlagen zum Vortrag (Externer Link).

Wir Berater müssen aufgrund dieser Ergebnisse überlegen, welche Investitionen wir einem Kunden guten Gewissens empfehlen können, wenn dieser sich tatsächlich schützen und nicht nur einen Punkt auf einer Compliance-Liste abhaken will.

 

Introducing the open Quantum Safe Software Project

Verschlüsselung wird immer wichtiger, das wissen wir spätestens seit Edward Snowden … Apple z.B. zwingt aktuell alle Anbieter, ihre Apps auf HTTPS basierend umzustellen. Bis zu 70% des Internet-Traffics laufen bereits auf HTTPS und die Zahl steigt weiter.

Warum sollte man sich also damit beschäftigen, gelten aktuelle Verschlüsselungen doch als sicher. Ja, jetzt! Das erwähnte Problem liegt in der Speicherung unserer aktuellen verschlüsselten Kommunikation und der künftigen Verfügbarkeit von Quantencomputern. Sobald diese bereitstehen, reichen unsere jetzigen Methoden bei weitem nicht mehr aus.

Zum Schutz entwickelt dieses Projekt eine „Quantumsafe“-Verschlüsselung und jeder ist herzlich eingeladen, sich daran zu beteiligen.

 

Cyber-Judo … irgendwas

Man kann es bereits am Titel ablesen – so richtig in Erinnerung geblieben ist dieser Vortrag nicht. Dabei waren wir zu zweit im Raum – und konnten beide nicht ganz folgen. Ich fasse kurz das zusammen, was wir verstanden haben.

  • Microsoft hat es bis Windows 10 nicht fertiggebracht, verschiedene von außen erreichbare AD-Dienste mit entsprechenden Zugriffsrechten zu versehen – ein Problem, das ausgenutzt werden konnte. Und das ist nicht gut.
  • Es gibt ein Tool, das den Weg bis zur Erlangung von Administratorrechten automatisch unterstützt. Das ist auch nicht gut.
  • Mit Windows 10 kann man jetzt Rechte vergeben. Das ist gut.
  • Das Tool funktioniert dann ebenfalls nicht mehr. Das ist auch gut.

Herauszufinden, was daran Cyber-Judo sein soll, bleibt dem geneigten Leser als Übungsaufgabe überlassen Hier finden Sie alle Infos und Unterlagen zum Vortrag (Externer Link).

Abends haben wir uns noch ein bisschen London angeschaut und uns dann ins Hotel verzogen.