Zum 35. Mal veranstaltete der Chaos Computer Club das grösste Hackertreffen Europas – den Chaos Communication Congress, kurz 35C3. Dieses Jahr lautete das Motto «Refreshing Memories», um an die vergangenen Jahrestreffen zu erinnern. Die Besucherzahl wächst von Jahr zu Jahr, sodass am diesjährigen Kongress in Leipzig rund 17’000 Gäste teilnahmen. Natürlich waren auch wir vom InfoGuard Red Team wieder Tag und Nacht vor Ort. In diesem Beitrag geben wir Ihnen einen Einblick in die faszinierende Welt des 35C3 und stellen Ihnen unsere Top 9 Talks vor.
Das Kongresseigene «Meme» durfte natürlich auch nicht fehlen. Im Verlaufe des ersten Tages tauchten nach und nach mehr Zettel auf mit der Aufschrift: «Birds aren’t real – Wake up 35C3» – Vögel sind nicht echt, wacht auf Leute, es handelt sich um staatliche Überwachungsdrohnen. Diese Anspielung auf Verschwörungstheorien betreffend staatlichen Überwachungsdrohnen eskalierte im Verlaufe der vier Tage und nahm dabei alle möglichen Formen an.
Mit über 160 Vorträgen, deckte der Kongress dieses Jahr ein sehr breites Spektrum ab. Von stark technischen Talks wie iOS Jailbreaking über Diskussionen zu ethischen und moralischen Themen rund um Hacking bis hin zu Cyber Poetry Slam. Viele Vorträge richteten sich dabei explizit an Einsteiger, um auch zukünftigen Infosec-Experten einen verständlichen Einblick in die Welt des Hackings zu ermöglichen. Natürlich konnten wir nicht alle Talks besuchen. Umso erfreulicher ist es, dass alle Vorträge aufgezeichnet und kostenlos im Internet nachgeschaut werden können. (Via Button gelangen Sie unten zum jeweiligen Video.) Unsere Favoriten möchten wir Ihnen natürlich nicht vorenthalten:
Ein Crashkurs über Operations Security (OpSec) und wie man vermeidet, als Hacker im Knast zu landen. Der Vortrag beleuchtete die Risiken des «Hackersports» und wie der Hackernachwuchs von den Fehlern anderer profitieren kann. Die Quintessenz: Lasst die Finger vom Cybercrime. Bitcoin ist eh im Keller.
Dieser Talk war komplementär zum OpSec Talk, was ihn umso spannender machte. Frank Rieger sprach über essentielle Fragen, die sich Hacker stellen sollten, wenn sie ihrer «Lieblingsbeschäftigung» nachgehen. Ein Talk, der definitiv zum Nachdenken anregt!
IoT (Internet of Things) ist Sicherheitsexperten weiterhin ein Dorn im Auge – und das zurecht, wie dieser Talk zeigte. Falls Sie denken, eine «smarte» Glühbirne sei harmlos, dann sollten Sie sich unbedingt diesen Talk ansehen.
Martin Vigo zeigte auf, dass Voicemail selbst nach 30 Jahren immer noch einen relevanten Angriffsvektor darstellt. Dabei demonstrierte er unter anderem, wie ein WhatsApp Account via Voicemail übernommen werden kann.
Ein Rückblick auf das netzpolitische Jahr 2018 in der Schweiz. Dabei wurden Themen wie Massenüberwachung, Netzsperren und natürlich E-Voting aufgegriffen. Weiter wurde diskutiert, welche Themen die Schweiz im Jahr 2019 beschäftigen werden.
«So sicher wie beim Online-Banking»: Die elektronische Patientenakte kommt – und zwar für alle. Anhand von fünf konkreten Beispielen wurde gezeigt, welch massiv fahrlässigen Entscheidungen von Online-Plattformen und Apps der Anbieter im Bereich Gesundheitsakten getroffen wurden und wie einfach der Massenzugriff auf vertrauliche Gesundheitsdaten ist.
Das Gute an Fehlern? Aus ihnen lernt man. Ein sehr humorvoller Vortrag über die (Fehl-)Entwicklungen und News des letzten Jahres.
Immer wieder hört man von mysteriösen «Zero-Days», wobei sich die wenigsten den Prozess dahinter vorstellen können. In diesem Talk erklärte die Firma Ret2 Systems anhand einer Case Study ihren Prozess des Zero-Day-Engineerings.
Die Spielidee des traditionellen Geländespiels «Capture the Flag» (CTF) ist bei Computerspielen – und natürlich auch in der Hackerszene – weit verbreitet. Dabei treten normalerweise mehrere Teams gegeneinander an und versuchen in einer vorgegebenen Zeit, das eigene Netzwerk zu verteidigen, wobei es sowohl für die erfolgreiche Abwehr als auch für erfolgreiche Angriffe Punkte gibt. Eine ausführlichere Erklärung von Capture the Flag und weshalb man sich in seiner Freizeit damit auseinandersetzen sollte, zeigte dieser Vortrag auf.
Für mich als Pentest-Neuling war es extrem beeindruckend zu sehen, wie riesig das Infosec-Gebiet ist und welche spannenden Themen rundherum existieren. Auch sehr schön war das respektvolle Miteinander. So wurde mir zum Beispiel ein «Trostkranich» (ein Origamivogel) offeriert, weil ich in einem vollbesetzten Saal leider keinen Platz mehr fand.
Ob wir nächstes Jahr wieder am Chaos Communication Congress teilnehmen? Auf jeden Fall! Aber dann definitiv mit Laptop, um an der internen CTF teilzunehmen und Fahnen zu erobern – es juckt mich schon jetzt in den Fingern.
Sie wollen keinen weiteren Beitrag verpassen? Dann abonnieren Sie unsere Blog Updates! Erhalten Sie wöchentlich die neusten Blogbeiträge von unseren Cyber Security-Experten bequem in ihr Postfach. Jetzt abonnieren!
Bildquellen:
Titelbild: Florian Kleiner, Flickr (http://bit.ly/2C8YrZB)
Bild 1: Yves Sorge, Flickr (http://bit.ly/2C8mh7W)
Bild 2: Waithamai, Flickr (http://bit.ly/2CenaM3)
Bild 3: Leah Oswald, Flickr (http://bit.ly/2Ca7dqh)