BSides und DefCon – welcher IT-Narr kennt sie nicht. Die beiden Hacker-Konferenzen sind weltweit bekannt und die Tickets entsprechend heiss begehrt. Nicht nur Vorträge, sondern auch Hacker-Contests sowie Workshops werden geboten – und natürlich kommt auch Networking nicht zu kurz. Klar – an solchen Anlässen darf InfoGuard nicht fehlen! Umberto Annino, Principal Cyber Security Consultant bei InfoGuard, besuchte Ende Juli 2017 beide Konferenzen in Las Vegas und hat sechs spannende Tage erlebt. Interessiert, die neuesten Trends von der BSides zu erfahren? In diesem Beitrag berichtet er über die Highlights und plaudert für Sie aus dem Cyber-Nähkästchen.
Nach einem angenehmen Direktflug von Zürich nach Las Vegas war erstmal schlafen angesagt, denn die neun Stunden Zeitverschiebung machten mir doch mehr zu schaffen als gedacht. So wurde der erste Tag genutzt, um die innere Uhr auf Pacific Standard Time zu synchronisieren und den Hotelpool zu inspizieren, anstatt wie geplant Las Vegas zu erkunden. Im Nachhinein eine gute Entscheidung, denn in den nächsten Tagen würde Schlaf eindeutig zu kurz kommen! Es erwartete mich eine geballte Ladung an IT- und Cyber Security News. Sie fragen sich bestimmt, welche Erwartungen ich hatte? Nun, mich interessierte vor allem, welche Themen aktuell die Hacker-Szene beschäftigen. Denn nur wer diese versteht, kann entsprechend agieren und somit auf dem Markt erfolgreich sein. Nebenbei war ich persönlich natürlich auch voller Vorfreude, meinen Wissensdurst etwas stillen zu können – wenn auch nur kurzfristig, wie das in unserer Branche so üblich ist.
Die Teilnahme am BSides ist generell kostenlos – und die Tickets somit heiss begehrt. Als Spender erhielt ich jedoch einen Badge, inklusive einer ganzen Menge «swag» wie T-Shirt, Abziehbilder etc. Die Vorträge waren aufgeteilt in Mottos und entsprechend kreative betitelte Räume wie beispielsweise «Breaking Ground» zu aktueller Forschung, «Ground1234!» zu Passwort-Sicherheit, «Hire Ground» rund um Rekrutierung und Bewerbung oder «I Am The Cavalry» zu IoT-Sicherheit. Geboten wurde eine ganze Menge – über 150 Veranstaltungen innerhalb von zwei Tagen! Nicht ganz einfach, sich bei diesem Angebot zu entscheiden.
An Tag eins besuchte ich als erstes den offensichtlich sehr beliebten Vortrag «Something wicked: defensible social architecture in the context of big data behavioral econ, bot hives, and bad actors», wo es um erfolgsrelevante technologische und betriebswirtschaftliche Aspekte sowie um die Abhängigkeit von unzuverlässigen Dingen ging. Die Kernaussage war «If you can’t afford to protect it, you can’t afford to connect it» und beschreibt treffend, dass das Thema Informationssicherheit in der IoT-Industrie leider immer noch zu wenig Beachtung erhält. Absolut korrekt, wie auch ich persönlich finde.
Weiter ging es zum Vortrag «Banking on insecurity: the ongoing fairytale of securing financial institutions», wo ein Überblick über grosse und bekannte APT-Angriff gegeben wurde. Auf Twitter und weiteren News-Kanälen wurde der Vortrag bereits im Vorfeld oft referenziert, so dass der Raum bereits eine halbe Stunde vor Beginn rappelvoll war. Übrigens durfte weder gefilmt noch fotografiert werden. Entsprechend glücklich war ich, dabei gewesen zu sein. Denn eines kann ich Ihnen verraten: Es hat sich definitiv gelohnt. Das Credo lautete, dass sich die «Guten» in Zukunft stärker austauschen müssen, um den Vorsprung der «Bösen» zu kontrollieren und einzuholen. Es ist offensichtlich, dass wir seit Jahren dieselben Fehler machen, ohne viel aus der Vergangenheit gelernt zu haben. Diese Erkenntnis ist nicht neu, aber es tut sich auf jeden Fall etwas in diese Richtung.
Nach einem kurzen – glücklicherweise falschen – Feueralarm war Networking mit anderen Schweizer Cyber-Kollegen angesagt. Das Essen kam aufgrund der langen Warteschlangen während des Tages ohnehin zu kurz. Aber keine Sorge – verhungert bin ich trotzdem nicht.
Der Abschluss des Tages bildete ein vielfältiges Programm für angehende Sicherheitsspezialisten. Unter anderem mit Vorträgen und Lebenslauf-Gestaltungs-Tipps. Dort wurden diese ermutigt und informiert, wie sich zukünftige Cyber Security Cracks am besten auf dem Arbeitsmarkt positionieren können, wobei natürlich auch viele Unternehmen vor Ort nach Talenten Ausschau hielten. Auf meinem Plan stand eigentlich noch ein Vortrag von Ayoub Elaassal zum Thema «Mainframe hacking», auf den ich mich sehr gefreut hatte. Leider wurde Elaassal aufgrund seines marokkanischen Passes und der aktuellen Einschränkungen an der Einreise gehindert, was mich natürlich ein wenig betrübte.
Trotz enttäuschendem Abschluss am vorherigen Tag startete ich freudig in den zweiten. Dieser begann mit dem Vortrag «Hacking is easy, hiring is hard». Das Thema Motivation und Rekrutierung von Fachspezialisten liegt mir persönlich besonders am Herzen. Einerseits freue ich mich, diese «soft skills»-Themen an einer Hacker-Konferenz anzutreffen. Andererseits ist das Management von Mitarbeitenden bei akutem Mangel an entsprechendem Personal ein strategisches Thema für jedes Unternehmen in der Informationssicherheit.
Eine der Aussagen war, dass es nicht nur Line Management-Karrieren gibt und für Fachspezialisten zwingend passende Karriere-Pfade angeboten werden müssen. Nicht jeder – insbesondere jene, die aus rein technischem Interesse diesen Beruf gewählt haben – ist motiviert und geeignet für People Management. Viele Mitarbeitende mögen zudem keine Meetings. Diese seien jedoch, gemäss dem Referenten, das wichtigste Management-Instrument. Das Kernelement von Sitzungen ist dabei der Konflikt. Ein Meeting, bei dem alle zustimmend nicken und keine wirkliche Debatte stattfindet, sei nicht zielführend.
Später stand der Vortrag «Baby got hack back» auf dem Programm – und nein, das hat nichts mit Babys zu tun. «Hack back» meint ein aktiver Gegenangriff auf eine Attacke, während «baby got back» eine Anspielung auf einen Song ist. Sie merken: Hacker sind ganz schön kreativ! Inhaltlich ging es um die genaue Bedeutung eines «hack backs», den Unterschied zu «active defense» sowie die rechtlichen Aspekte, was zu einer kontroversen Diskussion führte. Natürlich sind diese nicht auf das europäische und schweizerische Recht anwendbar.
Weiter ging es – wiederum hungrig – zu einem Referat mit Karriere-Tipps von einem ehemaligen NSA-Mitarbeitenden. Sein Rat: Man solle unbedingt die heutigen Möglichkeiten der Wissensgewinnung nutzen, denn nie war autodidaktisches Lernen durch Bücher und Internet einfacher als heute – man muss es nur tun.
Der Abschluss des Tages bildete der Vortrag «Improvised physical security tools for improvised situations», auf den ich besonders gespannt war. Der Vortrag begann mit einem ausführlichen und humorvollen Disclaimer: «When working with tools, be careful – especially when cutting metal, wear gloves. Don't cut your fingers off – fingers are important!». Der Vortragende führt verschiedene Gründe auf, Werkzeuge selber herzustellen. Begonnen wurde relativ einfach mit einem Werkzeug, um Türen zu öffnen. Im Wesentlichen eine Drahtschlinge, die unter dem Türspalt durchgeführt wird. Der Schwierigkeitsgrad wurde mit den weiteren Werkzeugen stetig gesteigert. Hier zeigte sich einmal mehr, dass amerikanische Tür-/Schliesssysteme in der Regel nicht mit unserem Standard zu vergleichen sind. Dennoch lassen sich mit günstigen Mitteln verschiedene Einbruchwerkzeuge herstellen – selbstverständlich nur für den kommerziellen, legalen Gebrauch wie beispielsweise bei physischen Pentests.
Rückblickend war die BSides-Konferenz 2017 sehr interessant. Jedoch gab es für mich inhaltlich keine wirklich neuen Erkenntnisse. Das liegt einerseits sicherlich am fortschreitenden Alter und meiner langjährigen Erfahrung, aber auch an der Auswahl der Vorträge. Es ist nicht einfach, anhand der Titel und Abstracts die passende Auswahl zu treffen. Die Vorträge und Diskussionen bestätigten mich jedoch in meinen Überlegungen, die ich mir tagtäglich mache. Für angehende Cyber Security-Spezialisten mit wenig Erfahrung war das BSides aber auf jeden Fall eine sehr gute Möglichkeit, sich von erfahrenen Profis Inputs zu holen und sich auszutauschen. Deshalb meine Empfehlung an alle zukünftigen Experten: Besuchen Sie die BSides 2018 und planen Sie Ihre Karriere sorgfältig.
So viel fürs Erste zur BSides. Nun aber zur DefCon, und die hatte es definitiv in sich! Wenn Sie wissen wollen, was ich an den folgenden vier Tagen an der DefCon 2017 erlebt habe, dann verpassen Sie auf keinen Fall den zweiten Teil meines Las Vegas-Tagebuchs. In wenigen Tagen geht’s bereits weiter! Deshalb dürfen Sie den nächsten Blog-Artikel auf keinen Fall verpassen. Am besten abonnieren Sie gleich unser Blog-Update. So erhalten Sie wöchentlich neue und spannende Artikel rund um Cyber Security & Cyber Defence bequem in Ihrem Posteingang!