Black Hat 2013

PRISM wirft Schatten über Sicherheitskonferenz

07.08.2013 von Moritz Jäger
Anfang August treffen sich IT-Sicherheitsexperten in Las Vegas, um sich dort über die neuesten Schwachstellen und Bedrohungen auszutauschen. Dieses Jahr wurde die Konferenz aber nicht nur vom PRISM-Skandal überschattet - sondern auch von einem Todesfall.

von Moritz Jäger, freier Journalist aus München

Jeden Sommer zieht es ITler mit dem Schwerpunkt Sicherheit in die Wüste nach Las Vegas. Bei über 40 Grad Außentemperatur sitzen sie in den gut gekühlten Konferenzräumen der Black Hat-Konferenz und tauschen sich über die neuesten Erkenntnisse im Bereich der IT-Sicherheit aus. In diesem Jahr war natürlich auch die Datenüberwachung der US-Geheimdienste ein beherrschendes Thema. Das lag mitunter an der heiß erwarteten Eröffnungsansprache, die vom NSA-Leiter General Keith Alexander vorgetragen wurde. Statt des eigentlich versprochenen Klartextes gab es allerdings Pathos mit einigen wenigen Neuheiten. Trotz Beifalls nach der Rede zeigten sich vor allem ausländische Gäste der Black Hat enttäuscht. Passend fasste es Mikko Hypönnen, der CTO des Anti-Virus-Herstellers F-Secure, in einem Tweet zusammen: "Ich fühlte mich auf der Black Hat immer zu Hause. Als gestern im Vortrag das Publikum den Vortrag des NSA Direktor bejubelte, fühlte ich mich nicht sehr daheim."

Neben Prism lag noch ein weiterer Schatten über der Konferenz: Barnaby Jack, ein bekannter Hacker und regelmäßiger Redner auf der Konferenz, starb eine Woche zuvor überraschend. Barnaby Jack war unter anderem durch seine erfolgreiche Attacke auf Geldautomaten und seine Berichte über die Schwachstellen medizinischer Implantate bekannt geworden. Aus Respekt entschlossen sich die Organisatoren, seinen angesetzten Vortrag nicht zu ersetzen, sondern als einen Gedächtnistermin für Freunde und Familie zu verwandeln. Barnaby Jack war nicht nur eine Hacker, sondern auch ein ausgezeichneter Sprecher, sein Vortrag zum Hacking von Geldautomaten ist noch immer sehenswert (von der Relevanz seiner Themen ganz abgesehen).

Digitale Selbstverteidigung

Doch natürlich blieb die Black Hat in der aktuellen Auflage (die Konferenz findet seit 1997 jedes Jahr statt) ihrem Thema der "Digitalen Selbstverteidigung" auch diesmal treu. Die Forscher zeigten innerhalb der zwei Tage zahlreiche Attacken, Analysen, Schwachstellen und Tools.

So beschäftige sich etwa Ralf-Philipp Weinmann (einer der Autoren des iOS Hackers Handbuch) mit der Sicherheit von Blackberry OS 10. Sein Urteil fiel angenehm positiv für die Plattform aus, allerdings gab er zu bedenken, dass die komplette Sicherheitsarchitektur darauf aufsetzt, dass der Nutzer keinen Root-Zugriff auf dem System erhält (Blackberry Balance etwa separiert die Apps und Inhalte durch verschiedene Nutzer- und Gruppen-IDs. RIM scheint aber seine Arbeit ordentlich zu machen, Laut Weinmann wurden etwa im Update von Version 10 auf 10.1 einige mögliche Schwachstellen und Ansätze bereinigt. Weinmann fand noch weitere interessante Funktionen, darunter QUIP. Diese Funktion ist Teil jedes Blackberry, allerdings nicht allgemein zugänglich. Das System liefert zahlreiche Informationen, darunter etwa auch einen Mitschnitt des Netzwerkverkehrs. QUIP ist aber laut dem Blackberry Sprecher Adrian Stone standardmäßig deaktiviert (mehr dazu hier auf Threatpost).

Deutlich interessanter war der SCADA-Vortrag von Kyle Wilhoit. Der Trend-Micro-Mitarbeiter hatte Pumpenanlage virtuell nachgebaut (inklusive Steuerzentrale und SCADA-Controller) und diese als zwölf Honeypots in acht Ländern installiert. Wie viele andere SCADA-Anlagen waren die Verwaltungssysteme vom Internet aus erreichbar - Wilhoit ging es nicht um die Absicherung, sondern darum, Attacken zu zählen und zu untersuchen. Tatsächlich musste er nicht lange warten: Innerhalb kürzester konnte er 63 nicht-kritische Attacken (die nicht gezielt auf die Infrastruktur zugreifen wollten) sowie elf kritische Attacken beobachten. Die kritischen Attacken waren dabei besonders interessant: Neben dem Diebstahl von Daten versuchten sich mehrere Angreifer an der Manipulation des Pumpensystems, etwa indem der Druck verändert werden oder das Pumpensystem heruntergefahren werden sollte. SCADA-Systeme sind also, obwohl eigentlich seit Viren wie Stuxnet mehr Aufmerksamkeit herrscht, noch immer im Visier der Angreifer und die Forschung von Wilhoit zeigt, dass im Internet auffindbare Systeme auch attackiert werden.

Blackhat 2013
Black Hat 2013
General Keith Alexander ist der Chef der NSA.
Black Hat 2013
Was kann die Telefonüberwachung, was nicht? Zumindest Amerikaner, die keine IP-Telefonie nutzen, dürfen ein wohliges Gefühl der Sicherheit im Bauch kriegen.
Black Hat 2013
Wo wir Prism und Co einsetzen - solange keine US-Bürger im Fadenkreuz sind, ist das schon ok.
Black Hat 2013
Keith Alexander zeigt anschaulich, wie man Fragen mit Politikerfloskeln aussitzen kann.
Black Hat 2013
Ralf-Philipp Weinmann analysiert Blackberry OS 10 auf Schwachstellen.
Black Hat 2013
Brian Muirhead, unter anderem verantwortlich für das Mars-Programm der NASA, hielt die Keynote am zweiten Tag.
Black Hat 2013
Mario Vuksan und Tomislav Pericin präsentieren ihr Tool für die UEFI-Analyse

Attacken auf SIMs und Smart TVs

Viele der Vorträge wurden in diesem Jahr vorab bekannt. Dazu gehört beispielsweise die in SIM-Karten gefundene Schwachstelle, die der Forscher Karsten Nohl nutze, um Handys zu übernehmen. Mit ein Grund, warum diese Attacken überhaupt möglich sind, ist die teilweise aus den Siebziger Jahren stammende Verschlüsselung, die entsprechend alt und inzwischen relativ einfach zu knacken ist. Zahlreiche Provider hätten allerdings die Karten bereits ausgetauscht und SIMs mit stärkeren Verschlüsselungen ausgestattet. Ein weiteres Thema der Vorberichterstattung waren die zwei Hacks, die sich mit Smart-TVs von Samsung beschäftigten. Die Forscher waren zwar durchaus in der Lage, TVs zu attackieren, tatsächlich klappte das allerdings vor allem durch bösartige Apps, die der Nutzer installieren muss oder durch manipulierte Webseiten, die der Nutzer ansurfen muss.

Können die Angreifer einen TV übernehmen, so haben sie Zugriff auf alle gespeicherten Informationen (darunter etwa Facebook-Daten oder möglicherweise Zahlungsinformationen für Video-on-Demand-Dienste) sowie auf Kamera und Mikrofon, die vielfach inzwischen in moderne TVs verbaut sind. Die meisten Systeme setzen auf einen Linux-Unterbau, verzichten aber auf mögliche Sicherheitsfunktionen. Tatsächlich täten Hersteller gut daran, jetzt auf die Probleme eingehen - aktuell werden Apps oder der Browser nur von relativ wenigen Nutzern verwendet. Aaron Grattafiori und Josh Yavor gaben den Herstellern in ihrem Beitrag den Tipp, ein Cross-Plattform Security-Framework zu nutzen und beispielsweise die Sicherheitsarchitekturen aktueller Smartphone-Plattformen zu emulieren.

Doch es wurden nicht nur Attacken und Schwachstellen, sondern auch potentielle Lösungen demonstriert. Mario Vuksan und Tomislav Pericin beschäftigten sich in ihrem Beitrag mit dem UEFI-Bios und Secure Boot. Neben den möglichen Schwachstellen, zeigten sie ein Tool namens Rootkit Detection Framework for UEFI, kurz RDFU. Dieses lässt sich in den UEFI-Bootloader laden bringt dann eine ganze Reihe von Werkzeugen mit, über die infizierte UEFI-Systeme untersucht und möglicherweise bereinigt werden können. Die Forscher wollen damit Sicherheitsexperten und Analysten ein praktisches Werkzeug an die Hand geben.

Fazit

Die Ausrichtung der Black Hat wird zwar deutlich kommerzieller, allerdings sind viele der Beiträge noch immer technisch weit vor allen anderen Konferenzen. Die meisten Vorträge sind technisch immer noch fordernd und weit von den "Grundlageninformationen" oder Herstellerpräsentationen entfernt, mit denen andere Konferenzen ihr Programm auffüllen. Dazu kommt das Programm um die Konferenz: In den Tagen davor finden Schulungen und Weiterbildungen statt, die meist innerhalb kürzester Zeit ausverkauft sind. Sie reichen von Trainings für angehende Social Engineers und Penetration Tester über Malware-Analyse bis hin zu Krisenmanagement und Forensik.

Während der täglichen Schulungen zeigen verschiedene Anbieter zudem Tools und Vorgehensweise im sogenannten Arsenal-Bereich. In diesen Schulungen wird jeweils ein Programm hervorgehoben und von den Machern genauer vorgestellt. Alles in allem ist die Black Hat noch immer eine der besten Konferenzen für IT-Profis und Sicherheitsverantwortliche. Denn obwohl jedes Jahr mehrere tausend Besucher die Vorträge besuchen, so lassen sich Erfahrungen auf den Gängen, in Gesprächen nach den Vorträgen, auf mittäglichen oder abendlichen Veranstaltungen ohne Probleme mit anderen Besuchern austauschen, Kontakte knüpfen oder neue Einsichten gewinnen. (sh)