IS4IT @ BlackHat – Teil II
Im 2. Teil unserer Rückschau auf die Black Hat Europe, die von 1. bis 4. November in London (https://www.blackhat.com/eu-16/) stattgefunden hat, möchten wir Ihnen weitere, für uns interessante Vorträge vorstellen.
EGO Market; When greed for fame benefits large scale botnets
Ein sehr schöner Vortrag über die Analyse des Botnets Moose. Erläutert wurde auch, warum es Moose genannt wird und warum das falsch sein kann. Besprochen wurde zunächst, warum und wer sich Fake-Likes und -Followers auf Social-Media-Plattformen beschafft und wo man am meisten dafür bezahlt. Instagram ist übrigens am günstigsten.
Moose selbst installiert sich auf IoT und fängt dann kräftig zu arbeiten an. Im Rahmen der Präsentation wurde natürlich auch diskutiert, welche Schritte vom Algorithmus unternommen werden, damit der Betreiber der Plattform nicht darauf aufmerksam wird, und warum die Likes 2 bis 3 Wochen später dann doch wieder verschwinden.
Im Durchschnitt verdient man mit einem derartigen Bot wohl um die 13 $/Monat. Unser Vorschlag, dies als Geschäftsidee auszubauen, stieß aber auf wenig Gegenliebe.
(Hier geht’s direkt zu den Infos bei blackhat)
Attacks on 4G
Oha, Telco – weder mein Kollege noch ich sind hier Spezialisten, aber der Vortrag war richtig gut. Es gab eine schöne, kurze Einführung in das Thema. Dabei ging man nicht besonders auf die Netzarchitektur der Betreiber ein, sondern fokussierte auf Interconnect IPX, das Konstrukt, das dafür sorgt, dass man z.B. SMS zwischen Telekom und O2 verschicken kann.
Ausgangspunkt dafür war wohl ein Verbund von Telco-Providern im Norden der Welt, die sich gegenseitig vertrauten. Das war 1981 – das Basisprotokoll SS/ hat man später noch mit ein wenig Security erweitert, aber schon die Wortwahl zeigt, dass das nicht sehr effektiv war.
Fun Fact: Das NIST empfiehlt, SMS nicht mehr für eine Authentisierung bzw. für sicherheitsrelevante Dienste zu nutzen. Ich denke, wir haben bereits gehört, warum.
Nun sollte man ja annehmen, mit neueren Standards und Protokollen wie Diameter für LTE (4G) hat sich hier etwas getan. Aber auch bei den Telcos stellt sich das Problem, dass man abwärtskompatibel bleiben möchte. Damit möglichst viele teilnehmen können, will man die Anforderungen nicht auf einmal so hoch ansetzen. Dementsprechend sieht der Diameter aus.
Damit stehen die Telco-Provider vor der gleichen Situation wie die ausgereifte IT (Herzlich Willkommen btw.!) und man probiert jetzt Ansätze wie „Erkennung“, „Mitigierung“ usw. aus. Das kennen wir alles aus der IT – man bekommt fast Lust, die Konzepte, die vor 10 Jahren diskutiert worden sind, aus den Schubladen zu kramen und dort anzubieten.
(Hier geht’s direkt zu den Infos bei blackhat)
Randomization can’t stop BPF JIT Spray
Das war der „Nerd“-Vortrag. Wenig besucht, sehr, sehr spezifisch, voller Informationen und auch gut präsentiert. Ich habe mir während des Vortrags so meine Gedanken zu dem Thema gemacht.
Ein wirklich sehr interessanter Vortrag und tolle Folien, wenn auch für ein recht überschaubares Publikum.
Hier geht’s zu den Infos direkt bei blackhat
BREAKING BIG DATA: EVADING ANALYSIS OF THE METADATA OF YOUR LIFE
Big Data, schon wieder?
In diesen Vortrag bin ich ohne große Erwartungen hineingegangen. Big Data? Kennt doch jeder, oder? Daten sammeln wir ja schon seit Anbeginn der IT, mit Big Data können wir diese endlich auch sinnvoll (?) auswerten. Kommt da noch etwas? Für mich drehte sich der Vortrag aufgrund der Beispiele eher um die Thematik Datenschutz und Big Brother …
Warum? Nun ja, welche Daten fallen in unserem täglichen Leben an? GPS / Handy-Bewegungsdaten; Zahlungsverkehr, z.B. im Restaurant oder am Geldautomaten; WiFi- bzw. Internetnutzung, welche Hotspots nutze ich, welche Seiten besuche ich? Das klingt im Einzelnen vielleicht noch sehr nüchtern, zusammengenommen ergibt das aber ganz schnell eine Geschichte, die ein Mann seiner Frau vielleicht doch nicht erzählen mag (so das Beispiel).
Aber auch die Polizei könnte es interessieren, dass ich nachts um 2 Uhr mit meiner Karte in der Bar 6 Drinks bezahlt habe und um 06:30 Uhr wieder in die Arbeit gefahren bin …
Ein Vortrag zum Anfassen und Nachdenken! Denn alle Daten sind für irgendjemanden in irgendeinem Kontext interessant!
Hier geht’s zu den Infos direkt bei Blackhat
DRAMA – How your DRAM becomes a security problem
Der beste Vortrag auf der diesjährigen #BHEU. Im Wesentlichen wurde hier gezeigt, dass der Zugriff auf den Speicher erheblich weniger geschützt ist, als man annimmt. Der Grund dafür ist die Architektur, bei der mehrere Speicherseiten auf eine Bank geschrieben, aber Bänke immer nur als Ganzes ausgelesen werden.
Fordere ich also etwas aus dem Speicher an, wird dies in den Rowbuffer geladen. Ein Zugriff auf einen Speicherbereich, der bereits im Rowbuffer liegt, ist schneller, als den Speicherbereich erst in den Rowbuffer zu laden. Das kann man messen.
Das geht natürlich wesentlich weiter, als hier in aller Kürze beschrieben werden kann. In jedem Fall konnte gezeigt werden, dass sich Informationen auf das Hostsystem einer VM übertragen lassen. Genau das sollte aber nicht möglich sein, ohne dass es explizit so gewollt ist. Damit kann man auch Tastatureingaben mitlesen. Mit dem z.B. dafür notwendigen Reverse Engineering vom Mapping Algorithmus der CPU bis zum fertigen Programm war es eine immense Arbeit.
Hier geht’s zu den Infos direkt bei Blackhat
Ein lohnender Trip
Alles in allem war die Black Hat Europe eine gelungene Veranstaltung und sehr informativ. Sie bietet uns – und vielleicht Ihnen – einiges zum Nachlesen, Nachrecherchieren und Umsetzen.
Wir sind nächstes Jahr sicher wieder mit dabei und werden berichten.