zurück zur Übersicht

34C3: tuwat

Lasst uns etwas tun!

Der ehrenamtlich organisierte 34. Chaos Communication Congress (34C3) bot dieses Jahr unter dem Motto „tuwat“ am neuen, viel größeren Veranstaltungsort Messe Leipzig für circa 15.000 Besucher wieder Neuigkeiten und Austausch über die Themen das vergangenen und nächsten Jahres.

Das bisher genutzte Congress Center Hamburg (CCH) wurde ohnehin zu klein und stand dieses Jahr aufgrund von Umbauarbeiten auch gar nicht zur Verfügung. Bis zum 13. Mai sollte es aber dauern, bis bekanntgegeben wurde, wo die neue Heimat des C3 sein sollte.

Nicht nur Technik, sondern auch Gesellschaftspolitisches und Kunst bereitete vom 27. bis zum 30. Dezember 2017 ein wahres Feuerwerk zum Jahresabschluss der Hackerszene. iT-CUBE war auch dieses Jahr wieder vor Ort, um sich über die interessantesten Neuigkeiten im IT-Sicherheitsbereich zu informieren. Das Beste möchten wir hier mit unseren Lesern teilen.

Wat ging?!

Aus über 500 Einreichungen wurden die besten 160 Vortragsideen aus folgenden Bereichen ausgewählt:

  • Art & Culture
  • CCC
  • Entertainment
  • Ethics, Society & Politics
  • Hardware & Making
  • Resilience (dieses Jahr neu!)
  • Science
  • Security

Auf die vier Kongresstage verteilt, ergab dies dann den sogenannten „Fahrplan“ für die Vorträge. Hierbei wurde so gut als möglich vermieden, dass Vorträge zeitgleich stattfinden (Kollisionen), die jeweils viele Personen besuchen möchten. Über 4000 vorab abgegebene Besuchspräferenzen wurden hierzu mit dem Tool halfnarp automatisch ausgewertet.

Weiterhin luden

  • Self-Organized Sessions,
  • Lightning Talks und
  • Assemblies

zum offenen Austausch und Wiedersehen mit Gleichgesinnten ein.

Messe Leipzig restlos gefüllt

Seit 2012 fand der Kongress im Hamburger CCH, einem der größten deutschen Kongresszentren, statt. Auch in diesem Jahr – nun mit noch mehr Platz in der Messe Leipzig – reichten die Kapazitäten leider nicht für alle Interessierten, sodass es die Eintrittskarten für jedermann nur im webbasierten Vorverkauf gab.

Der Vorverkauf fand in drei Tranchen an verschiedenen Tagen im Oktober und November statt. Für Kaufwillige galt es sich möglichst kurz nach Eröffnung der virtuellen Warteschlange anzustellen, um an der Reihe zu sein, bevor die Tickets der aktuellen Tranche ausverkauft waren. Auch die Tickets der dritten Vorverkaufstranche wurden restlos verkauft, sodass es wiederum keine Abendkasse vor Ort gab.

Der Ticketpreis wurde nach dem Prinzip pay-what-you-want mit einem Minimum von 100 € gestaltet. Erreicht wurde ein durchschnittlicher Preis von 125,45 €, was somit rund 5 € über dem Ziel von 120 € liegt, die nötig waren, um den Kongress wie gewünscht ausgestalten zu können.

Als Besonderheit gab es dieses Jahr vergünstigte Nahverkehrstickets samt nächtlichen Spezialfahrplan der Straßenbahnen sowie Wohnmobilstellplätze.

Vorträge – congress everywhere

Die Vorträge in den vier Messehallen bzw. Konferenzsälen wurden simultan nach Deutsch beziehungsweise Englisch und teilweise auch nach Französisch, Spanisch und eine Gebärdensprache übersetzt.

Wie jedes Jahr gab es wieder für alle, die nicht anwesend sein konnten (als teilweisen Ersatz), eine Live-Übertragung ins Internet. Während der Vorträge konnten auch aus dem Internet via IRC Fragen gestellt werden, die genauso wie Vor-Ort-Fragen live am Ende der Vorträge beantwortet wurden.

Nun, nach dem Kongress, sind die Aufzeichnungen der Vorträge verfügbar: Beste 1080p-Qualität, Split-Screen mit Folien und Video, Untertitel und Übersetzungen wartet darauf angesehen zu werden.

Vor Ort besuchte ich 32 Vorträge und werde sicher noch viele weitere per Aufzeichnung ansehen. Von den vielen sehenswerten Vorträgen möchte ich besonders jene empfehlen:

  • „Lobby-Schlacht um die ePrivacy-Verordnung“ (Ingo Dachwitz): Zurzeit wird in der EU die (die DSGVO ergänzende) ePrivacy-Verordnung verhandeltWie die DSGVO wäre sie eine Verordnung, die ebenso unmittelbar wirksam wäre. Ablösen würde sie die ePrivacy-Richtlinie von 2002. Der Vortag stellt die wichtigsten Artikel und Meta-Besonderheiten vor. Beispielsweise lobbyierte eine imposante Anzahl an großen (Medien-/Kommunikations-) Unternehmen dafür, besser gar keine ePrivacy-Verordnung zu erstellen. Im Oktober wurde die aktuelle Vorlage aber dann doch vom Parlament beschlossen. Nun steht noch der Beschluss durch den Ministerrat – voraussichtlich im Juni 2018 – bevor. [Fahrplan; Aufzeichnung]
  • „Unleash your smart-home devices: Vacuum Cleaning Robot Hacking“ (Dennis Giese; DanielAW): Wie man seinen Roboterstaubsauger von der gesprächigen Hersteller-Cloud befreit … Die Vortragenden nahmen ein Xiaomi-Gerät auseinander und kamen so sogar an die per LIDAR erstellten Karten der eigenen Wohnung. Hacking-Möglichkeiten gibt es bei dem mit Ubuntu laufenden Staubsauger viele.
    [Fahrplan; Aufzeichnung]
  • „Der PC-Wahl-Hack“ (Linus Neumann; Martin Tschirsich; Thorsten Schröder): Eine Vorstellung der gefundenen haarsträubenden Schwachstellen in „PC-Wahl“, die in Wahllokalen in mehreren Bundesländern zur Ergebnisauswertung- und Übertragung (auch für die Bundestagswahl) verwendet wird. Der Bericht über die Reaktionen des Herstellers und eines Wahlleiters sind nicht minder schockierend. [Fahrplan; Aufzeichnung]
  • „Defeating (Not)Petya’s Cryptography“ (Sebastian Eschweiler): Aus der Kategorie „do not roll your own crypto“ – was die Malwareautoren glücklicherweise nicht befolgten. Sebastian stellt gefundene Schwachstellen in der Malware-Implementierung des Salsa20-Algorithmus vor und zeigt, wie diese zur Entschlüsselung befallener Datenträger verwendet werden können. [Fahrplan; Aufzeichnung]
  • „KRACKing WPA2 by Forcing Nonce Reuse“ (Mathy Vanhoef): Anschauliche Vorstellung der Basics des WPA2-4-way-Handshakes und darauf aufbauend die Funktionsweise des KRACK-Angriffs samt Vorstellung der Gegenmaßnahmen. Der Angriff führt bei verwundbaren Client-Implementierungen dazu, dass Daten vom Angreifer entschlüsselt und wiedereingespielt werden können. Wird statt AES-CCMP der ältere TKIP-Algorithmus verwendet, dann können Pakete auch gefälscht (Client als vorgeblicher Absender) werden. Zusätzlich sind noch zwei weitere Handshakes betroffen, die eine Korrektur im Access Point erfordern. Durch bestimmte Verhaltensweise können Access Points auch verwundbare Clients schützen, aber dies ist unabhängig vom üblichen KRACK-„Patch“ des Herstellers [Fahrplan; Aufzeichnung]
  • We should share our secrets“ (Daan Sprenkels): Daan stellt seine Implementierung des altbekannten Shamirs Secret Sharing vor. Mittels Secret Sharing können Geheimnisse (z.B. Passwörter für das Bitcoin-Wallet) angemessen gebackupt werden: Geheimnisse werden auf mehrere Teile verteilt, wobei mindestens eine bestimmte Anzahl Teile nötig ist, um das Geheimnis wiederherzustellen. Dies schützt die Vertraulichkeit (ein Teil wird kompromittiert) und Verfügbarkeit (ein Teil fällt beispielsweise durch Feuer aus) des Geheimnisses. [Fahrplan; Aufzeichnung]
  • „The Snowden Refugees under Surveillance in Hong Kong“ (Robert Tibbo; Edward Snowden): Ein Bericht über die Situation der Personen, die Edward Snowden auf seiner Flucht in Hong Kong Unterschlupf und Schutz vor den Geheimdiensten der Welt gewährten. Wie letztes Jahr auch war Edward selbst wieder live zugeschaltet. [Fahrplan; Aufzeichnung]
  • „Holography of Wi-Fi radiation“ (Friedemann Reinhard): Ein Bericht wie wir mittels der omnipräsenten Wi-Fi-Strahlung auch durch Wände „sehen“ können. Grundprinzip ist, dass aus physischer Sicht die Wi-Fi-Strahlung auch nur – wie Licht – elektromagnetische Wellen sind, die aufgefangenen werden können. Ein experimenteller Aufbau zeigt praktische Ergebnisse. Konkrete Privatsphärengefährdung gibt es aber dadurch zurzeit eher nicht, da die benötigten Gerätschaften groß sind und viel Zeit nötig ist. [Fahrplan; Aufzeichnung]
  • „Squeezing a key through a carry bit“ (Filippo Valsorda): Eine anschauliche Vorstellung eines Implementierungsfehlers in einer Krypto-Bibliothek für Elliptische-Kurven-Verschlüsselung (NIST P-256 curve), der mit Rechenleistung für 65 USD zur vollständigen Kompromittierung des privaten Schlüssels führen kann. [Fahrplan; Aufzeichnung]
  • „Ladeinfrastruktur für Elektroautos: Ausbau statt Sicherheit“ (Mathias Dalheimer): Mehrere Ladenetzwerke benutzen ein Verfahren zur Abrechnung von Ladevorgängen von Elektroautos, bei dem mehrere Sicherheitslücken bestehen: Zur Authentifizierung lediglich ein 20-Buchstaben-String benutzt, der wahrscheinlich oft sogar fortlaufend an die Kunden vergeben wird. Jener String ist die öffentlich auslesbare Kartenidentifikationsnummer der Abrechnungs-NFC-Karte. Die NFC-Karte basiert auf der seit Jahren als unsicher geltenden MIFARE Classic. Zusätzlich bestehen diverse physisch-basierte Angriffsmöglichkeiten auf die Ladestationen und deren interne Kommunikation. Dieser Vortrag beschreibt diese Lücken und wie sie gefunden wurden. Hierbei wurde auch ein selbstgebauter Adapter eingesetzt, der gegenüber der Ladestation ein Elektroauto simuliert und so Tests beschleunigt … und den Betrieb eines Waffeleisens mit „kostenlosem“ Strom ermöglicht. [Fahrplan; Aufzeichnung]

 

Bemerkenswerte Infrastrukturdienste vor Ort

Einige imposante Zahlen über die vom NOC-Team mithilfe mehrerer Sponsoren für alle Kongressteilnehmer bereitgestellten Netzwerkservices:

  • In Summe 400 Gb/s Uplink ins Internet mit mehrfacher Ausfallsicherheit über verschiedene Carrier; davon in Spitze jeweils 42,2 Gb/s Upstream verwendet.
  • LAN in den diversen Räumlichkeiten, wobei die vorhandene Glasfaserinfrastruktur der Messegebäude verwendet werden konnte.
  • WLAN mit 179 Access Points und in Spitze 7673 Benutzern.

Wie üblich wurden auch jene (teil-)insularen Dienste wieder betrieben:

  • DECT-Netz: Zum Nutzen des DECT-Netzes musste lediglich ein GAP-kompatibles Mobilteil mitgebracht werden. Das Übertragen der Vortragsübersetzungen klappte dieses Jahr allerdings über DECT nicht zuverlässig, sodass über WLAN zugegriffen werden musste.
  • GSM/UMTS-Netz: Das interne Mobilfunk-Netz wurde dieses Jahr am zweiten Tag mit 7 Basisstationen für GSM und (neu!) 5 für UMTS funktionsfähig, wobei UMTS nicht sprachübertragungsfähig war. Circa 2500 SIM-Karten wurden neu verkauft. Wer noch eine aus den letzten Jahren hatte, konnte diese verwenden. 901 Registrierungen der SIM-Karten wurden durchgeführt, wodurch auch externe Gespräche geführt werden konnten.
  • Seidenstraße: Auch das experimentelle Rohrpostsystem aus den charakteristischen gelben Riffelkunststoffrohren wurde in Leipzig wieder (deutlich kleiner) aufgebaut.

Informationsdrehscheibe

Das 34C3-Wiki verweist auf alle weiteren Detailinformationen zum Kongress. Besondere Ankündigungen sind weiterhin im Event-Blog zu finden.

Danke!

Danke an alle Organisatoren und „Engel“, die den Kongress in dieser Form mit ihrer ehrenamtlichen Arbeit erst möglich machen.

iT-CUBE an vorderster Front

Wir nehmen regelmäßig an großen Hacker-Kongressen teil, um uns über die neusten Innovationen, Trends, Hintergründe, Schwachstellen und Absicherungsansätze zu informieren. Auch auf dem Jahreskongress des CCC sind wir regelmäßig mit dabei und bleiben an der vordersten Front, wenn es darum geht, die Security weiter zu treiben. Auch im letzten Jahr („Chaos Computer Christmas“) und im Jahr davor („Ordnung aus dem Chaos“) waren wir schon beim Kongress vertreten.

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer