35C3: Refreshing Memories

Obwohl dieses Jahr noch eine weitere Halle für Vorträge auf dem Messegelände hinzugenommen wurde, reichte der Platz leider nicht für alle Interessierten, sodass die Eintrittskarten im webbasierten Vorverkauf wieder ausverkauft waren.

Der Vorverkauf fand in drei Tranchen an verschiedenen Tagen im November statt. Für Kaufwillige galt es sich möglichst kurz nach Eröffnung der virtuellen Warteschlange anzustellen, um dann an der Reihe zu sein, bevor die Tickets der aktuellen Tranche ausverkauft waren. Auch die Tickets der dritten Vorverkaufstranche wurden restlos verkauft, sodass es wiederum keine Abendkasse vor Ort gegeben hat.

Der Ticketpreis wurde nach dem Prinzip pay-what-you-want mit einem Minimum von 120 € gestaltet. Der durchschnittliche Preis lag bei 146,99 €, was somit rund 2 € über dem Ziel von 145 € liegt, die nötig sein werden, um den Kongress wie gewünscht ausgestalten zu können. Drei Viertel der Käufer haben freiwillig mehr als 120 € beigetragen.

Dieses Jahr waren die schon aus dem letzten Jahr bekannten, vergünstigten Nahverkehrstickets im Ticket inkludiert. Wer seine eigene Unterkunft mitgebracht hatte, konnte sich auf einen Wohnmobilstellplatz auf dem Messegelände stellen. Wohl auch, weil die Hotels weitestgehend ausgebucht waren, hat der CCC dieses Jahr günstige (8 €/Nacht) Schlafplätze in verkehrsgünstig gelegenen Schulgebäuden der Stadt Leipzig organisiert.

Danke an alle ehrenamtlichen Helfer!

Die Vorträge in den vier Messehallen bzw. Konferenzsälen wurden simultan nach Deutsch beziehungsweise Englisch und teilweise auch nach Französisch oder Chinesisch übersetzt.

Wie jedes Jahr gab es wieder für alle, die nicht anwesend sein konnten, (als teilweisen Ersatz) eine Live-Übertragung ins Internet. Während der Vorträge konnten auch aus dem Internet via IRC Fragen gestellt werden, die genauso wie Vor-Ort-Fragen live am Ende der Vorträge beantwortet wurden.

Nun, nach dem Kongress, sind die Aufzeichnungen der Vorträge verfügbar: Beste 1080p-Qualität, Split-Screen mit Folien und Video, Untertitel und Übersetzungen wartet darauf angesehen zu werden. Gelegenheit zum Nachgucken bieten auch die Erinnerungstürchen des 35C3-Kalenders „Memory Lane“ mit den interessantesten Vorträgen der vergangenen Kongresse.

Vor Ort besuchte ich über 20 Vorträge und werde sicher noch viele weitere per Aufzeichnung ansehen. Von den vielen sehenswerten Vorträgen möchten meine Kollegen und ich besonders jene empfehlen:

• „Locked up science“ (Claudia Frick): Wenn Wissenschaft der Gesellschaft nützlich ist, dann sollte auch jeder darauf zugreifen und nutzen können. Aktuell verhindern Paywalls der Verlage der wissenschaftlichen Zeitschriften, in denen üblicherweise veröffentlicht wird, freien Zugriff. Die Gewinnmargen dieser Verlage sind sogar höher als jene von Google oder Apple. Eine Lösung sind Open Access Journals. Wichtig sei aber, dass der Peer Review beibehalten wird. Claudia stellt auch Project DEAL vor, welches versucht Vereinbarungen mit den großen Verlagen Springer, Wiley und Elsevier auszuhandeln, dass Teilnehmer der Vereinbarung nur noch eine einzige Gebühr für Lesezugriff und Veröffentlichungsmöglichkeit zahlen, statt wie bisher zig Gebühren.[Fahrplan; Aufzeichnung]
• „Attacking end-to-end email encryption“ (Sebastian Schinzel): Wieso brauchen wir Ende-zu-Ende-Verschlüsselung bei E-Mail? TLS ist nicht überall und vor allem nicht unterbrechungsfrei bis zum Benutzer. Der Vortrag beginnt mit den Basics der Mailverschlüsselung (S/MIME und OpenPGP) und stellt anschließend die verschiedenen(!) unter „Efail“ zusammengefassten Lücken im E-Mail-Verschlüsselungsprozess dar. Ausdrücklich ist hier auch der User als defekt zu betrachten, da sein leicht unvorsichtiges Verhalten zur Preisgabe von Klartext führen kann. Tipp: Wenn es wirklich darauf ankommt, sollte Mailverschlüsselung per manuellem Copy & Paste ins Verschlüsselungstool gemacht werden.[Fahrplan; Aufzeichnung]
• „What The Fax?!“ (Yaniv Balmas; Eyal Itkin): Eine alte, aber immer noch weit verbreitete Technologie – besonders in bestimmten Branchen. Die Basis sind immer noch die alten Standards aus dem letzten Jahrtausend. Heutzutage werden Faxe oft von (netzwerkfähigen) Multifunktionsdruckern entgegengenommen. Einige der weitverbreitetsten (HP Office Jet) werden im Vortrag angegriffen.
  Firmwareanalyse über Firmwareupdate-Datei vom Hersteller zeigt das amüsante Detail, dass ein obskurer Kompressionsalgorithmus verwendet wird, der aus dem 1990er Computerspiel Commander Keen entstammt. Letztendlich führte der Weg zu Codeexecution über eine Lücke in der vom Webserver des Druckers verwendeten Library gSOAP (ein signed integer underflow). Über diese Lücke wurde ein eigens erstellter Debugger ausgeführt, mit dem dann die Firmware dynamisch analysiert werden konnte.
  Schließlich wurde eine Lücke beim Empfang von Faxen gefunden: ein stackbased buffer overflow, weil eine Längenangabe im JPEG-Header von empfangenen Farb-Faxen nicht geprüft werden. Über den nun voll kontrollierbaren Drucker könnte sich ein Angreifer nun im internen Netzwerk weiterhangeln und andere Geräte angreifen.
  Fazit: Jeder HP Officejet ist angreifbar! Patchen und faxfähige Geräte von anderen Geräten im Netzwerk segmentieren/isolieren![Fahrplan; Aufzeichnung]
• „Modchips of the State“ (Trammell Hudson): Der Vortrag geht der Bloomberg-Businesweek-Story über Hardwareimplantate auf Motherboards von Supermicro nach. Direkt nach der Veröffentlichung von Bloomberg dementierten die darin genannten Quellen Amazon und Apple öffentlich. Zusätzlich legte Supermicro in einem öffentlichen Brief dar, dass das beschriebene so im Herstellungsprozess(!) nicht stattfinden könne, weil es eine Reihe von Maßnahmen in der Supply Chain gäbe, um die Fertigung der Boards durch die Zulieferer zu überwachen. Tatsächlich sind bei der Produktion auch immer Mitarbeiter von Supermicro selbst anwesend, damit kein Diebstahl von Originalteilen oder Ersatz derer durch Fälschungen oder Gebrauchtteile stattfindet. Zudem müsste eine Modifizierung mehrerer Prozessschritte durchgeführt werden. Der Vortragende führt übliche Qualitätstests (z.B. Röntgen der fertigen Boards) auf. Diese Tests würden Boardmodifikationen erkennen – sofern eben keine Modifizierung der Tests bzw. deren Referenz durch den Angreifer stattfand.
  Plausibler sei, dass fertige Boards in der Lieferung abgefangen und modifiziert werden. Es ist bekannt, dass Geheimdienste dies tun. Ganz praktisch hat es aber auch der Vortragende selbst am Baseboard Management Controller (BMC) eines Supermicro-Board ausprobiert: Er modifizierte lediglich einen Widerstand auf der Datenleitung zwischen BMC-Flash-Speicher (das Pinout ist öffentlich) und BMC SOC. Damit kann man zwar lediglich 1-en zu 0-en modifizieren, aber das reicht aus, um unseren Schadcode zu speichern, denn das verwendete JFFS2-Dateisystem speichert leeren Platz als 1-en, wodurch viele auf dem Flash vorhanden sind. Der BMC führt standardmäßig beim Boot Scripte aus, die auf dem Flash gespeichert sind, wodurch auch der Schadcode ausgeführt werden kann. Dank der standardmäßigen weitreichenden Zugriffsmöglichkeiten ist diese Modifikation funktional, zudem relativ einfach durchzuführen und schwer erkennbar (z. B. übliches Neuprogrammieren oder Inhaltsprüfung des Flashs).
  Was also tun? Der Vortragende empfiehlt die Geheimhaltung der Hardwarespezifikationen zu beenden und stattdessen es so wie die Unterstützer des Open Compute Project zu machen: Jegliche Spezifikationen der Hardware sind offengelegt. Jeder Interessierte könnte das Board-Layout und Funktion prüfen.
  Fand die von Bloomberg beschriebene Modifikation statt? Das wissen wir nicht, aber wir wissen nun, welche technischen Modifikationsmöglichkeiten bestehen.[Fahrplan; Aufzeichnung]
• „Venenerkennung hacken“ (starbug; Julian): Die genaue Ausprägung unserer Venen in Hand und Arm ist nicht genetisch bedingt, sondern ein Zufallsprodukt – das macht sie als biometrisches Merkmal geeignet. Die lesende Verarbeitung funktioniert ähnlich wie bei Fingerabdrücken beispielsweise anhand der Minutienpositionen. Wie sind Venenmuster fälschbar? Die Modell-Beschaffung ist mit einer üblichen Kamera (sogar RasPi Cam) möglich. Die Reproduktion kann mit einem Laserdrucker und einem simpel gefertigtem Bienenwachsmodell erfolgen.[Fahrplan; Aufzeichnung]
• „All Your Gesundheitsakten Are Belong To Us“ (Martin Tschirsich): Aktuell angebotene elektronische Gesundheitsakten sind eine sicherheitstechnische Katastrophe – und sind von unseren Krankenkassen finanziert. Vierstellige numerische PIN, eine bruteforcebare Zweifaktorauthentifizierung sind nur zwei der vielen technischen Probleme, die Martin aufzeigt. Die gesellschaftlichen Fragestellungen zu solcherlei Dienste sind noch zu diskutieren, was besonders relevant ist, da der Wert von Gesundheitsdaten, anders als beispielsweise Finanzdaten, keinem größeren Wertverlust über die Zeit unterliegt.[Fahrplan; Aufzeichnung]
• „Du kannst alles hacken – du darfst dich nur nicht erwischen lassen.“ (Linus Neumann; Thorsten Schröder): Der Vortrag beginnt mit Beispielen von identifizierten „Hackern“ und erklärt anhand dieser Beispiele, wie sie dies mit besserer Operational Security hätten verhindern können. Weiterhin gibt der Vortrag Vorschläge und Gedanken genereller Natur, denen man im Vorfeld nachgehen sollte. Außerdem gab es den einen oder anderen Lacher am Rande. Sehr kurzweiliger Vortrag.[Fahrplan; Aufzeichnung]
• „The year in post-quantum crypto“ (djb; Tanja Lange): Originell vorgetragene Übersicht über die noch im Postquantum-Wettbewerb des NIST verbliebenen Kandidaten und welche Kryptodesignprobleme bei den bereits Gebrochenen auftauchten. Zudem wird eine von den Vortragenden mitentwickelte API (libpqcrypto) vorgestellt, die viele der aktuellen PQ-Algorithmen einheitlich und leicht verwendbar macht. Schließlich wird das von Tanja mitentwickelte Verfahren CSIDH vorgestellt, welches im Vergleich zu vielen anderen PQ-Algorithmen sehr kleine Schlüsselgrößen (64 Byte bei AES-128-Sicherheitsniveau) aufweist und ein Ersatz für den klassischen (EC)DH-Schlüsselaustausch wäre.[Fahrplan; Aufzeichnung]
• „Self-encrypting deception“ (Carlo Meijer): Eine Analyse der hardware full-disk encryption von mehreren Self-Encrypting Drives (SEDs) von Samsung und Crucial. Schaut man sich die Versprechen genauer an, kommt man zu dem Schluss, dass diese Verschlüsselungsart bestenfalls genauso gut wie Software-Verschlüsselung ist. „Bestenfalls“, weil man eben üblicherweise nicht die Firmware auf Bugs analysieren kann, was besonders bei Open-Source-Softwarelösungen möglich ist. Carlo schaut sich per Reverse Engineering die Firmware der SEDs der beiden großen Hersteller an und entdeckt dabei viele mögliche Implementierungsprobleme. Beispielsweise bieten die Crucial MX100 und MX200 nur eine trivial überwindbare Sicherheit. Bei einer externen Samsung T3 SSD hängt die ganze Sicherheit nur an einem if-Statement in der Firmware – nicht aber in der Verschlüsselung, wie es beworben wird („AES 256-bit hardware encryption“).[Fahrplan; Aufzeichnung]
• „Web-based Cryptojacking in the Wild“ (Marius Musch): Der Vorteil von Cryptojacking gegenüber anderen Angriffsarten ist, dass man die Zielsysteme nicht kompromittieren muss. Auch legitime Einsatzszenarien, als eine Art Bezahlung nach Zustimmung durch den User, sind denkbar. Die Performance des Miners im Browser ist für die Währung Monero sogar konkurrenzfähig, da es keine Vorteile durch Berechnung via GPU/APU gibt. Des Weiteren helfen Technologien wie WebAssembly, WebWorker und WebSocket dabei die Performance eines Miners im Browser zu erhöhen, sodass er 2/3 der Performance eines nativen Programms erreichen kann. Ein Check der Top 1 Millionen Alexa Websites ergab eine Quote von 1/500 Cryptojacker, welche überschlagen (Stand Mai 2018) $180 bis $5 pro Tag Einnahmen erzielten. Stand heute nach den Kurseinbrüchen sind jedoch maximal $1 pro Tag möglich, was auch die Hauptursache sein sollte, wieso viele Seiten kein Cryptojacking mehr betreiben.[Fahrplan; Aufzeichnung]
• „Provable Security“ (FJW; Lukas): Dieser Vortrag steigt ziemlich tief ein, weshalb Vorwissen eindeutig von Vorteil ist. Zum Verständnis der Kernaussagen ist dies aber nicht zwingend erforderlich. Diese ist wie so oft: „Don’t roll your own crypto“. Besonders interessant war jedoch die Erkenntnis, dass ein ROM (Random Oracle Model) lediglich als Heuristik für Protokolle, nicht jedoch als Beweis gesehen werden kann, da man ein triviales, unsicheres Protokoll designen kann, welches vom ROM als sicher klassifiziert wird. Eine weitere Kernaussage war die, dass zur Überprüfbarkeit von Protokollen Annahmen getroffen werden. Ein Protokoll gilt dann solange als sicher, bis diese Annahme widerlegt wird. Wichtig ist beim Einsatz eines Protokolls jedoch immer die Annahmen zu berücksichtigen, sodass man ein eigentlich sicheres Protokoll nicht außerhalb seines Einsatzzweckes bzw. nicht im Bereich seiner Limitierungen verwendet.[Fahrplan; Aufzeichnung]
• „Off-the-Record protocol version 4“ (Sofia Celi; Jurre van Bergen): Vorstellung der neuesten Version des Off-the-Record-Protokolls (OTR) zur Absicherung von Chatkommunikation. Der Vortrag gibt eine Motivation für sichere Kommunikationsprotokolle und deren Soll-Eigenschaften. Ein Hauptanliegen von OTR ist nicht nur die Sicherung der Vertraulichkeit, sondern auch der Abstreitbarkeit. Prinzipiell ist OTR ähnlich zu OMEMO oder dem Signal-Protokoll (Ratchet-Algorithmus). Anders als OMEMO ist OTR aber transportprotokollagnostisch und würde theoretisch beispielsweise sogar via E-Mail funktionieren. Der Vortrag bietet interessante Featurevergleiche der verschiedenen Systeme (OTRv3, OTR4, Signal, OMEMO, OLM, Telegram). Gegenüber der OTR-Vorgängerversion sind vor allem neu: Zeitgemäße kryptografische Primitive und Offline-Unterhaltungen (für Forward Secrecy benötigt man aber einen Prekey-Server). Implementierungen sind noch ausstehend.[Fahrplan; Aufzeichnung]
• „Internet of Dongs“ (Werner Schober): Eine weitere Episode im Universum der smarten Dinge. Heute: mit Smartphone steuerbares Sexspielzeug. Werner fand beispielsweise Benutzernamen und Passwörter in einem Config-File für einen öffentlichen Webserver mit Userinhalten und -passwörtern (natürlich im Klartext). Weitere Sicherheitsprobleme entdeckt er sowohl in der Gerät-App-Kommunikation via Bluetooth (kein Pairing, keine Verschlüsselung oder Authentifizierung) als auch in der App-Server-Kommunikation.[Fahrplan; Aufzeichnung]
• „Dissecting Broadcom Bluetooth“ (jiska; mantz): Eine Sicherheitsanalyse von Broadcoms Bluetooth-Firmware. Ratschlag: Schalte Bluetooth besser aus – besonders wenn es ein Gerät mit Broadcom-Chip ist. Problem: Alte Geräte werden keine Firmwareupdates mehr bekommen. Eine der Reaktionen des Herstellers auf die Benachrichtigung über die Sicherheitslücken: „your exploit is not standard-compliant!“ [sinngemäß] Das will schon viel sagen.[Fahrplan; Aufzeichnung]
• „Die verborgene Seite des Mobilfunks“ (Peter Schmidt): Eine Einführung in den Uplink des Mobilfunks – und welche Auswirkungen Störungen haben (diesmal ganz ohne Betrachtung von Sicherheitsproblemen abseits der Verfügbarkeit). Der Vortrag beginnt mit den Basics des Mobilfunks, sodass ein Einstieg leicht fällt. Deutlich werden die großen Unterschiede in Möglichkeiten zur Signalverarbeitung, Antennenaufbau und natürlich Sendeleistung beim Vergleich von Basisstation zu Mobilgerät. Der Aufbau eines Uplinkkanals ist bei der mobilen Gesprächsentgegennahme schwierig, weil das Mobilgerät nur in einer Zelle eingebucht ist. Bei der Gesprächsinitiierung auf Mobilseite hingegen kann das Mobilgerät andere Zellen ausprobieren, wenn die erste Zelle nicht erreichbar ist. Der Vortrag endet einer Übersicht von Störquellen und den Möglichkeiten der Mobilfunkbetreiber sie aufzuspüren.[Fahrplan; Aufzeichnung]
• „ `The´ Social Credit System“ (Toni): Die chinesische Regierung testete seit einigen Jahren verschiedene Ausgestaltungen von Social Credit Systemen (SCS) zur Verbesserung des menschlichen Verhaltens in einzelnen Großstädten. Hingegen kennen Einwohner, die nicht in den Pilotstädten wohnen, die SCS nicht gut. Übliche Ausgestaltungen der SCS sind, dass eine schlechte Bewertung einfach das Leben unangenehm macht (keine Flugreisen oder Zugverbindungen buchbar, Schulbesuch an guten Schulen nicht möglich). Im Jahr 2020 soll ein SCS dann landesweit eingeführt werden. Toni stellt ihre agentenbasierten wissenschaftlichen Simulationen vor, mit der sie das Verhalten von echten Wirtschaftssubjekten in einem SCS simulierte.[Fahrplan; Aufzeichnung]
• „Introduction to Deep Learning“ (teubi): Eine kurzweilige Einführung; beispielsweise werden die beiden Trainingsergebnisse Overfitting and Underfitting anschaulich erklärt. Hauptschwierigkeit beim Lernen ist, dass man sehr, sehr viele Trainingsdaten benötigt.[Fahrplan; Aufzeichnung]
• „Hackerethik – eine Einführung“ (frank): Öffentliche Daten nutzen, private Daten schützen! Der Vortrag fasst die Schlüsselelemente der Hacker Ethik mit Anekdoten verziert in einem ansprechenden Vortrag zusammen.[Fahrplan; Aufzeichnung]
• „In Sowjet Russia Smart Card Hacks You“ (Eric Sesterhenn): Diverse Bugs existieren in üblichen Smartcard Libraries, die sich mit bösartigen Smartcards ausnutzen lassen. Beispielsweise stürzt ein mit Smartcard gesicherter Linuxlogin ab – und der Angreifer ist auch direkt schon root. Klassische Implementierungsverwechslungen treten auch auf: In einem Fall sollte eine Authentifizierung durch Nonce-Signatur implementiert werden. Ungünstigerweise wurde aber die Nonce generiert, indem die Smartcard selbst in einem vorherigen Schritt danach gefragt wurde …[Fahrplan; Aufzeichnung]
• „SD-WAN a New Hop“ (Sergey Gordeychik): Vorstellung von software-defined WAN den unterstützenden Virtual Appliances. Sergey nimmt einige dieser Produkte genauer unter die Lupe und findet einen Haufen Sicherheitslücken: fest gespeicherte Passwörter im Dateisysteme, jeder User darf sudo, Verwechslung von serverseitigem und clientseitigem JavaScript und schwache Krypto für Web-Adminzugänge.[Fahrplan; Aufzeichnung]
• „Smart Home – Smart Hack“ (Michael Steigerwald): Ein stellvertretender Bericht über einen (laut eigenen Angaben) sehr großen Hersteller von Smart Devices (Glühbirnen, …), der jedermann anbietet, selbst ein Vertreiber von smarten Glühbirne zu werden. Eine individuell gebrandete Smartphone-App gibt es für den Kunden im Paket mit dazu. Inklusive gibt es für die Enduser nicht-abschaltbare Datensammelei großen Ausmaßes. Weiterhin können die Leuchtmittel dank ungesicherter Updatefunktion durch den Hersteller (oder auch einen MITM) zu einem Trojaner umfunktioniert werden. Die Übertragung von Daten (wie Anschaltzustand) über das Internet ist zudem (fast) nicht abgesichert.[Fahrplan; Aufzeichnung]
• „Russia vs. Telegram: technical notes on the battle“ (Leonid Evdokimov): Zeitlicher Ablauf mit technischen Details der (weitestgehend vergeblichen) Versuche der russischen Regierung den Messengerdienst Telegram zu blocken. Neben viel Kollateralschaden wurde durch die Regierung nicht viel des Beabsichtigten erreicht. In der nächsten „Runde“ führt die Regierung staatliches Equipment direkt beim ISP ein – wir sind gespannt.[Fahrplan; Aufzeichnung]

Aus den Self-Organized Sessions empfehle ich:

• „Sparen am Aktienmarkt – Eine Zeitserienanalyse mit Python“ (Franz): Über Investments in Wertpapiere mit den einhergehenden Chancen und Risiken. Zum Verständnis tragen die berechneten Renditedreiecke und Zeitserien der Aktienkurse bei. Verwendet wird Python und Jupyter-Notebooks.[Ankündigung; Vortragsmaterial: Jupyter notebook, html; demnächst dann inklusive Readme-File auf github zu finden.]