Las Vegas 2019 – Hacker Summer Camp

Es ist wieder so weit: das «Hacker Summer Camp» steht vor der Tür – die Bezeichnung für die verschiedenen Security- und Hacker-Konferenzen, die alljährlich im sommerlichen Las Vegas stattfinden. Zwar sind es durchschnittlich 40 Grad in der Stadt – bei Luftfeuchtigeit von 10% lässt sich die Hitze aber einigermassen aushalten. Inzwischen ist es nicht einfach, die Übersicht zu behalten – neben den eigentlichen Konferenzen finden noch weitere Training-Sessions, Workshops und «Kleinstkonferenzen» in Hotel-Suiten statt. Zu den Konferenzen zählen folgende:

BlackHat – obwohl die «bösen» Hacker als «black hats» bezeichnet werden, zählt die BlackHat Konferenz zu den bekanntesten Sicherheitskonferenzen weltweit. Ich habe die BlackHat in 2016 das erste und letzte Mal besucht und bevorzuge die gleichzeitig stattfindende Alternative «BSides Las Vegas», die wesentlich günstiger und viel weniger kommerziell ausgerichtet ist. Insbesondere die «vendor hall» ist sehr laut und marktschreierisch, die anwesenden Anbieter versuchen sich gegenseitig bezüglich Aufmerksamkeit der Teilnehmer zu übertrumpfen. Zudem erhält man nach der BlackHat dermassen viel «Werbe-Spam E-Mail» von besagten Anbietern – ein weiterer Grund, hier einen Bogen zu machen. Notabene zahlt man um die 600 USD, um nur die Vendor Hall besuchen zu können. Für die Konferenz (inkl. Vendor Hall), also 2 Tage lang Vorträge, werden ca. 1800 USD fällig – immerhin erhält man so die Möglichkeit, gleich ein Ticket für die DefCon Konferenz abzuholen, ohne an der berüchtigten «Schlange» am Donnerstag für das DefCon Ticket anstehen zu müssen. Inzwischen ist aber die DefCon sehr gut organisiert, so dass das früher stundenlange Anstehen auf wenige Minuten verkürzt ist. Dennoch lohnt es sich, sehr früh am Donnerstagmorgen das Ticket abzuholen – die meisten stehen anschliessend gleich in der nächsten (sehr lange – diesmal 2-3h) Schlange für den sogenannten «Swag» an – Mitbringsel wie Kleidung und sonstige Nützlichkeiten mit dem DefCon Logo. Während der DefCon findet seit inzwischen 4 Jahren die «Diana Initiative» Konferenz statt, die sich spezifisch auf Frauen in Informationssicherheit fokussiert (natürlich sind auch nicht-weibliche Geschlechter willkommen). Wer weniger grosse Konferenzen bevorzugt, ist bei BSides und Diana Initiative besser aufgehoben als z.B. DefCon mit rund 25’000 Teilnehmern. Die Logistik ist denn auch das grosse Problem bei der DefCon, die 4 Tage dauert zu einem Preis von USD 300 für den begehrten «DefCon Badge», wie das Ticket genannt wird. In der diesjährigen 27. Durchführung wurde die Konferenz auf 4 Hotels verteilt: Paris, Bally’s, Flamingo und Planet Hollywood – das bedeutet, dass man pro Tag problemlos mehrere Zehntausend Schritte und einige Kilometer zwischen den Vorträgen, «Hacking Villages» und Workshops hin und her läuft.

Die wichtigsten Erkenntnisse und Neuigkeiten aus den Konferenzen in Las Vegas 2019:

Amerikanische Wahlmaschinen sind weiterhin «hackable» – was in Amerika, wo nächstes Jahr die Präsidentenwahl ansteht, zu entsprechender medialer Beachtung führte. Zwar gab es schon letztes Jahr an der DefCon ein «Voting Machine Hacking Village», das medial grosse Beachtung fand, dieses Jahr war unter anderem CNN mit einem Beitrag präsent.

OMG Cable – das böse iPhone Ladekabel: Der Hacker «MG» präsentierte (und verkaufte vor Ort) das «O.MG Cable» – ein manipuliertes, authentisch aussehendes Ladekabel für iPhone, das für Angriffe umfunktioniert wurde – unbemerkt durch den Benutzer des Ladekabels. Die auf Sicherheits-Testgeräte spezialisierte Firma Hak5 hat verkündet, das Ladekabel in den offiziellen Verkauf aufzunehmen für rund 200 USD – die an der DefCon durch «MG» angebotenen Kabel waren innert kürzester Zeit vergriffen.

Verleihung der «Pwnie-Awards» – gute und weniger tolle Sicherheit wird an der BlackHat mit den «Pwnie-Awards» ausgezeichnet. Diese sind damit gleichzeitig «der Oscar für die Sicherheit» wie auch «goldene Himbeere für schlechte Sicherheit», je nach Kategorie. In der positiven Kategorie hat die WPA3-Lücke «Dragonblood» als «bester kryptographischer Angriff» gewonnen, während Journalisten der Bloomberg Businessweek und der frühere Sichherheitsspezialist John McAfee jeweils (schon zum zweiten Mal) einen Pwnie für zweifelhafte Produkte (BitFi crypto wallet) und «most over-hyped bug» erhielten.

Einen kleinen Skandal verursachte ein Sponsor-Talk für eine dubiose Verschlüsselung namens «Time AI» – da Sponsor-Talks nicht qualitätsgeprüft werden durch das für ihre hohen Anforderungen bekannte «Review Board», schaffte es ein Lösungsanbieter, einen Vortrag über skurrile (angebliche) Durchbrüche in der Kryptographie an die BlackHat zu schmuggeln. Anwesende Kryptologen zerstörten aber die schrägen Ausführungen des Geschäftsführers von «Time AI», Hohn und Spott auf twitter waren dem Unternehmen damit während Tagen sicher.

Besonders oft wurde in Vorträgen das MITRE ATT&CK™ Framework genannt – dieses dokumentiert Methoden und Taktiken von Angreifern basierend auf realen Beobachtungen und wird inzwischen durch viele Unternehmen eingesetzt.

Werde ich nächstes Jahr wieder an die DefCon gehen? Ist noch nicht entschieden. Die Aussicht, dass die 28. Durchführung der DefCon im neuen «Caesar’s Forum» Konferenzgebäude stattfinden wird – an nur einem Ort statt verteilt auf 4 Hotels – stimmt mich jedenfalls positiv.

Links: