Konferenz für Hacker, Bastler und Schlossknacker

Def Con 20: Hacking im Wüstensand

Mittwoch den 01.08.2012 um 10:51 Uhr

von Moritz Jäger

Def Con 20
Vergrößern Def Con 20
© Moritz Jäger
Zum zwanzigsten Mal zelebriert die Def Con die Hackkultur. In Las Vegas treffen sich Hacker aus aller Welt um Vorträgen zu lauschen, gegeneinander anzutreten, zu feiern und die nächste Generation der Hacker Kids zu unterstützen.
Die Def Con startete vor 20 Jahren als Abschiedsparty der Sicherheitskonferenz Blackhat. Seitdem treffen sich Hacker und Sicherheitsexperten jedes Jahr im Anschluss an die Blackhat zu einer Konferenz der etwas anderen Art. Teilweise treten zwar dieselben Sprecher auf, die schon auf der Blackhat gesprochen haben. Dennoch könnten die Konferenzen unterschiedlicher nicht sein: Wo die Blackhat eine „erwachsene“ Veranstaltung ist, die sich in erster Linie an Unternehmen richtet, zelebriert die Def Con die Hackerkultur und spielt mit den Grenzüberschreitungen im IT-Bereich. Viele Vorträge demonstrieren Schwachstellen in aktuellen Systemen, für die es noch keine Updates gibt. Das ist eigentlich ein Tabu, denn normalerweise warten Sicherheitsexperten mit der Veröffentlichung ihres Wissens, bis der Hersteller ein Update fertig hat.

Andere Sprecher widmen sich Techniken, die zwar lange im Markt erhältlich, aber der aktuellen Sicherheitslage eigentlich nicht mehr entsprechen. Dazu gehört der Vortrag von Moxie Marlinspike und David Hulton. Die beiden Forscher haben sich das CHAPv2-Protokoll von Microsoft vorgenommen, das in PPTP-VPN-Verbindungen oder bei WPA2 Enterprise-Verschlüsselungen zum Einsatz kommt. Moxie demonstrierte, wie sich der Hash des verwendeten Passwortes extrahieren und mithilfe einer speziellen Hardware entschlüsseln lies. Dies dauerte maximal einen Tag, die selbst gebaute Hardware wurde vom Forscher an einen Cloud-Dienst angeschlossen und steht nun jedermann zur Verfügung.

Ein anderer Talk beschäftigte sich mit der Sicherheit von Kreditkarten mit NFC-Funktion. Mit Hilfe eines selbst geschriebenen Tools  und einem Android-Handy konnte der Sprecher eine NFC-basierte Kreditkarte auslesen, die Daten an ein anderes Android-Gerät schicken und dieses anschließend für die Bezahlung nutzen. Kriminelle könnten so beispielsweise Kartendaten bei einer Großveranstaltung abgreifen und im gleichen Moment für Zahlungen irgendwo anders auf der Welt nutzen. 

Renderman spricht über die Sicherheit der
Flugsicherung
Vergrößern Renderman spricht über die Sicherheit der Flugsicherung
© Moritz Jäger

Wieder ein anderer Sprecher, Renderman, nahm sich die kommende Weiterentwicklung des Flugzeug-Kontrollsystems vor. Dieses System überwacht ständig die Position jedes Flugzeugs und sendet die Informationen über Funk an ein Netz aus Bodenstationen. Das Problem dabei ist, dass die komplette Übertragung unverschlüsselt erfolgt. Das liegt daran, dass die Ingenieure das System möglichst simpel und robust entwickeln wollen, es birgt aber einen klaren Nachteil: Jeder, der über eine entsprechende Ausstattung verfügt, kann die Daten abgreifen und so jedes Flugzeug im Detail verfolgen. Noch schlimmer ist, dass dieses System auch einen Rückkanal bietet, es lassen sich also mit relativ simplen Aufwand Daten in die Flugzeuge oder die Bodenkontrolle einspielen. Damit könnte man, so Renderman, Chaos auslösen, indem man etwa plötzlich einen Luftraum mit 50 zusätzlichen Fliegern bevölkert. Seinem Vortrag ging die klare Ansage voraus, dass jeder Eingriff in den Luftraum illegal ist und bestraft wird. Dennoch war es ihm wichtig, seine noch nicht abgeschlossene Forschung zu veröffentlichen, damit bei den Verantwortlichen ein Umdenken einsetzt und das System insgesamt sicherer wird.

Diese drei Vorträge sind gute Beispiele für die Einstellung der Hacker: Ihnen ist im Grunde nichts heilig und sie sind der Meinung, dass „Security through Obscurity“ (Sicherheit durch Verschleierung) nicht funktioniert. Anstatt sich auf die Beteuerungen der Hersteller zu verlassen, wollen sie diese dazu zwingen, ihre Systeme zu überdenken. Denn wie es Renderman so schön ausdrückt: „Wenn ich auf diese Dinge komme, dann kommen die Bösen auch darauf.“

Kinect ist nicht nur ein Spielzeug, man kann es auch für
die Attacke auf IT-Systeme nutzen.
Vergrößern Kinect ist nicht nur ein Spielzeug, man kann es auch für die Attacke auf IT-Systeme nutzen.
© Moritz Jäger

Neben diesen Beträgen rund um Attacken und Hacks beschäftigt sich die Konferenz aber auch mit der ethischen Seite der Digitalisierung. Mehrere Vorträge beschäftigten sich mit Themen rund um die Privatsphäre, eine der Gesprächsrunden nahm sich die rechtliche Seite der Verhaftung von Kim DotCom und der Schließung von Megaupload vor. Daneben stellten sich Beamte von verschiedenen Behörden dem Gespräch mit Hackern, eine der Keynotes wurde gar von General Keith Alexander, dem Commander des US Cyber Command und Direktor der NSA, gehalten. Das zeigt, dass die Konferenz im zwanzigsten Jahr weit mehr ist als ein Treffen von Hackern und Freaks.

Mittwoch den 01.08.2012 um 10:51 Uhr

von Moritz Jäger

Kommentieren Kommentare zu diesem Artikel (0)
1535572