Zum 35. Mal veranstaltete der Chaos Computer Club das grösste Hackertreffen Europas – den Chaos Communication Congress, kurz 35C3. Dieses Jahr lautete das Motto «Refreshing Memories», um an die vergangenen Jahrestreffen zu erinnern. Die Besucherzahl wächst von Jahr zu Jahr, sodass am diesjährigen Kongress in Leipzig rund 17’000 Gäste teilnahmen. Natürlich waren auch wir vom InfoGuard Red Team wieder Tag und Nacht vor Ort. In diesem Beitrag geben wir Ihnen einen Einblick in die faszinierende Welt des 35C3 und stellen Ihnen unsere Top 9 Talks vor.
Weit mehr als «nur» Vorträge ‒ der 35. Chaos Communication Congress
Nebst Vorträgen gab es auch dieses Jahr am 35C3 wieder eine riesige Halle voll mit sogenannten Assemblies. Das sind Stände, wo man jeweils Neues entdecken, lernen und herumexperimentieren kann. So konnte man sich beispielsweise am Schlösserknacken versuchen, sein eigenes Bier brauen oder einfach mal nach Lust und Laune drauflos löten. Komplettiert wurde die Hacking-Atmosphäre von beeindruckenden Lichtinstallationen, Projektoren und wachrüttelnder 8-Bit-Musik. Die grossen Kongress-Hallen bieten natürlich eine Unmenge an Platz, weshalb es auch verschiedenste Formen von Kunst zu bestaunen gab: Ein Roboterkäfer, der an einer Kette im Kreis stapfte und sich von Besuchern umprogrammieren liess, ein neurales Netzwerk, das auf Klang reagierte und leuchtend pulsierte oder auch Zelte, um sich auszuruhen und neue Energie zu tanken.
Einige Besucher hatten sogar ihre eigenen Elektrogefährte dabei, um möglichst schnell von A nach B zu gelangen (oder um die eigenen Batterien zu schonen). Mitunter waren Hoverboards, mit LEDs geschmückte Tretroller und sogar komplett selbstgebaute Gefährte wie etwa fahrende Sofas mit von der Partie. Die Fahrzeuge wurden überall abgestellt und nicht abgeschlossen, was auch nicht nötig war. Am 35C3 ist ein freundschaftliches und respektvolles Miteinander selbstverständlich.
Das Kongresseigene «Meme» durfte natürlich auch nicht fehlen. Im Verlaufe des ersten Tages tauchten nach und nach mehr Zettel auf mit der Aufschrift: «Birds aren’t real – Wake up 35C3» – Vögel sind nicht echt, wacht auf Leute, es handelt sich um staatliche Überwachungsdrohnen. Diese Anspielung auf Verschwörungstheorien betreffend staatlichen Überwachungsdrohnen eskalierte im Verlaufe der vier Tage und nahm dabei alle möglichen Formen an.
Die Top 9 Talks am 35C3
Mit über 160 Vorträgen, deckte der Kongress dieses Jahr ein sehr breites Spektrum ab. Von stark technischen Talks wie iOS Jailbreaking über Diskussionen zu ethischen und moralischen Themen rund um Hacking bis hin zu Cyber Poetry Slam. Viele Vorträge richteten sich dabei explizit an Einsteiger, um auch zukünftigen Infosec-Experten einen verständlichen Einblick in die Welt des Hackings zu ermöglichen. Natürlich konnten wir nicht alle Talks besuchen. Umso erfreulicher ist es, dass alle Vorträge aufgezeichnet und kostenlos im Internet nachgeschaut werden können. (Via Button gelangen Sie unten zum jeweiligen Video.) Unsere Favoriten möchten wir Ihnen natürlich nicht vorenthalten:
Du kannst alles hacken – du darfst dich nur nicht erwischen lassen
Ein Crashkurs über Operations Security (OpSec) und wie man vermeidet, als Hacker im Knast zu landen. Der Vortrag beleuchtete die Risiken des «Hackersports» und wie der Hackernachwuchs von den Fehlern anderer profitieren kann. Die Quintessenz: Lasst die Finger vom Cybercrime. Bitcoin ist eh im Keller.
Hackerethik – eine Einführung
Dieser Talk war komplementär zum OpSec Talk, was ihn umso spannender machte. Frank Rieger sprach über essentielle Fragen, die sich Hacker stellen sollten, wenn sie ihrer «Lieblingsbeschäftigung» nachgehen. Ein Talk, der definitiv zum Nachdenken anregt!
Smart Home – Smart Hack
IoT (Internet of Things) ist Sicherheitsexperten weiterhin ein Dorn im Auge – und das zurecht, wie dieser Talk zeigte. Falls Sie denken, eine «smarte» Glühbirne sei harmlos, dann sollten Sie sich unbedingt diesen Talk ansehen.
Compromising online accounts by cracking voicemail systems
Martin Vigo zeigte auf, dass Voicemail selbst nach 30 Jahren immer noch einen relevanten Angriffsvektor darstellt. Dabei demonstrierte er unter anderem, wie ein WhatsApp Account via Voicemail übernommen werden kann.
Schweiz: Netzpolitik zwischen Bodensee und Matterhorn
Ein Rückblick auf das netzpolitische Jahr 2018 in der Schweiz. Dabei wurden Themen wie Massenüberwachung, Netzsperren und natürlich E-Voting aufgegriffen. Weiter wurde diskutiert, welche Themen die Schweiz im Jahr 2019 beschäftigen werden.
All Your Gesundheitsakten Are Belong To Us
«So sicher wie beim Online-Banking»: Die elektronische Patientenakte kommt – und zwar für alle. Anhand von fünf konkreten Beispielen wurde gezeigt, welch massiv fahrlässigen Entscheidungen von Online-Plattformen und Apps der Anbieter im Bereich Gesundheitsakten getroffen wurden und wie einfach der Massenzugriff auf vertrauliche Gesundheitsdaten ist.
Security Nightmares 0×13
Das Gute an Fehlern? Aus ihnen lernt man. Ein sehr humorvoller Vortrag über die (Fehl-)Entwicklungen und News des letzten Jahres.
The Layman’s Guide to Zero-Day Engineering
Immer wieder hört man von mysteriösen «Zero-Days», wobei sich die wenigsten den Prozess dahinter vorstellen können. In diesem Talk erklärte die Firma Ret2 Systems anhand einer Case Study ihren Prozess des Zero-Day-Engineerings.
What the flag is CTF?
Die Spielidee des traditionellen Geländespiels «Capture the Flag» (CTF) ist bei Computerspielen – und natürlich auch in der Hackerszene – weit verbreitet. Dabei treten normalerweise mehrere Teams gegeneinander an und versuchen in einer vorgegebenen Zeit, das eigene Netzwerk zu verteidigen, wobei es sowohl für die erfolgreiche Abwehr als auch für erfolgreiche Angriffe Punkte gibt. Eine ausführlichere Erklärung von Capture the Flag und weshalb man sich in seiner Freizeit damit auseinandersetzen sollte, zeigte dieser Vortrag auf.
35C3 – die vier schönsten Hacker-Tage im Rückblick
Für mich als Pentest-Neuling war es extrem beeindruckend zu sehen, wie riesig das Infosec-Gebiet ist und welche spannenden Themen rundherum existieren. Auch sehr schön war das respektvolle Miteinander. So wurde mir zum Beispiel ein «Trostkranich» (ein Origamivogel) offeriert, weil ich in einem vollbesetzten Saal leider keinen Platz mehr fand.
Ob wir nächstes Jahr wieder am Chaos Communication Congress teilnehmen? Auf jeden Fall! Aber dann definitiv mit Laptop, um an der internen CTF teilzunehmen und Fahnen zu erobern – es juckt mich schon jetzt in den Fingern.
Bleiben Sie immer up-to-date!
Sie wollen keinen weiteren Beitrag verpassen? Dann abonnieren Sie unsere Blog Updates! Erhalten Sie wöchentlich die neusten Blogbeiträge von unseren Cyber Security-Experten bequem in ihr Postfach. Jetzt abonnieren!
Bildquellen:
Titelbild: Florian Kleiner, Flickr (http://bit.ly/2C8YrZB)
Bild 1: Yves Sorge, Flickr (http://bit.ly/2C8mh7W)
Bild 2: Waithamai, Flickr (http://bit.ly/2CenaM3)
Bild 3: Leah Oswald, Flickr (http://bit.ly/2Ca7dqh)