zurück zur Übersicht

Troopers 18 — welcome to hacker’s sanctuary city!

Die Troopers 18 als Besucher

Am 14. und 15. März 2018 hatte ich Gelegenheit, die 11. Troopers zu besuchen. Die Veranstaltung richtet sich an Hacker und Sicherheitsfachleute und hebt sich angenehm von anderen Zusammenkünften ab, bei denen die Security-Hersteller (sprich: Vertriebsleute) den Ton angeben (die aber natürlich trotzdem ihre Daseinsberechtigung haben). Das zeigt sich schon dadurch, dass man den ein oder anderen Besucher aus der Industrie sowohl auf unserer Detect&Defend als auch auf der Troopers getroffen hat.

Ich war das erste Mal auf der Troopers und war höchst beeindruckt, welch riesigen Aufwand man in die Konferenz und das Rahmenprogramm gesteckt hat. Diverse Challenges vom Löten über das Finden versteckter Radiostationen bis zu den „Packet Wars“ für die Hardcore-Hacker hielten die Teilnehmer bei Laune.

Keynote von Mike Ossmann: Nieder mit Patenten!

Die Keynote kam vom bekannten Security-Resercher Mike Ossmann, der sich unter anderem für die Abschaffung von Patenten aussprach. Seiner Meinung nach behindern Patente die schnelle Weiterentwicklung und Verbreitung technischer Ideen. Ein Problem der Hackerszene ist laut Ossmann, dass Hacker nicht gerne ihre „Forschungsergebnisse“ dokumentierten. In der Wissenschaft dagegen ist das anders: kein wissenschaftliches Papier kommt ohne lange Liste von Herleitungen und Zitaten aus und wird ohne diese erst gar nicht allgemein angenommen. Mike Ossmann plädierte dafür, dass Hacker mehr Methoden aus der Wissenschaft annehmen sollten: ordentliche Zitate und Referenzen, reproduzierbar beschriebene Forschungsergebnisse und allgemein mehr Sorgfalt bei der Dokumentation von Sicherheitslücken. Dies diente der allgemeinen Akzeptanz als Forschungsgebiet. Im Gegenzug sollten Ergebnisse der Wissenschaft mehr der Allgemeinheit zugänglich werden und keinesfalls hinter Paywalls versteckt werden.

Nach der Keynote ging es mit den Vorträgen los — und wie so oft bei mehreren Tracks auf solchen Veranstaltungen hat man die Qual der Wahl: Angriffstechniken, Verteidigungsstrategien oder SAP-Sicherheit? Letztlich bin ich beim „Defense & Management“-Track gelandet, werde mir aber die (hoffentlich aufgezeichneten) anderen Vorträge bei Gelegenheit auch ansehen.

Guerilla-Methoden & die Zuordnung von Hackerangriffen

Los ging es mit zwei Vorträgen zu Security Automation: wie können dutzende oder hunderte Container automatisiert bereitgestellt werden? Welche Ausbruchsmöglichkeiten gibt es bei Docker-Containern? Interessanterweise ist es relativ einfach, aus einem Container auszubrechen, wenn der Docker-Socket nicht abgesichert wurde. Der neue Trend beim Ausrollen von Diensten wirft die Frage auf: wie wird man der Komplexität Herr, ohne die Sicherheit zu gefährden?

Ein sehr spannender Vortrag drehte sich um Threat Hunting in der Microsoft Azure Cloud. Ein für die Sicherheit von Azure verantwortlicher Mitarbeiter von Microsoft berichtete am Beispiel von einer NoSQL-Datenbank, WannaCry und NotPetya, wie er eine Methode entwickelt hat, um in kürzester Zeit durch 1,6 Mio. aktive IPs zu scannen, um verwundbare Dienste zu finden. Bei den Nutzern von Cloud-Diensten herrscht offenbar das weit verbreitete Missverständnis, dass der Cloud-Dienstleister für die Sicherheit der VMs zuständig wäre — dem ist aber nicht so.  Die User verlassen sich darauf, dass die auf den großen Cloud-Plattformen verfügbaren Images schon sicher sind — aber die Hersteller stellen unsichere Images bereit, mit sehr großzügigen Firewall-Freischaltungen und Default-Passwörtern ohne Zwang zur Änderung. Die Situation ist dabei bei allen Cloud-Providern ähnlich schlecht. Dabei ist zudem vielen Benutzern nicht klar, dass jede VM grundsätzlich direkt aus dem Internet erreichbar ist — die Situation gleicht der von früher, als es noch kaum Firewalls gab und jeder offizielle Adressen bekam. Noch gefährlicher ist die Situation, wenn man Private Clouds einsetzt, die mit Techniken wie ExpressRoute und Direct Connect angebunden sind. Hier muss man ganz besonderes darauf achten, dass man keine ungewünschten Brücken aus dem Internet ins eigene LAN baut.

In eine völlig andere, nicht-technische Richtung ging der folgende Vortrag um „Advanced Analysis“, der sich um die „Attribution“, also die Zuordnung von Vorfällen zu einer Hackergruppe oder einem Staat drehte. Die Präsentatorin ist der Meinung, dass bei Analysen von Incidents zu oft nicht zu Ende analysiert wird. Die eigentliche Motivation bleibt im Dunkeln — handelt es sich um einen „State Actor“ oder um Kriminelle, die Geld herausschlagen wollen? Nicht jeder Incident liefert einen Anlass, tiefgehende Nachforschungen über deren Herkunft zu machen, aber wenn eine Attribution gemacht wird, dann sollte dies mit der angemessenen Rigorosität erfolgen. Hersteller und Security-Industrie machen es sich oft zu einfach. Entsprechend kann in politischen Gremien kein Druck auf andere Länder aufgebaut werden, weil es keine belastbaren Nachweise für staatlich organisierte Kampagnen gibt.

ERNW selbst stellte eine Analyse diverser kommerzieller Security Appliances vor. Dabei teilten sie die Hersteller in zwei Lager: diejenigen, die auf eigenentwickelte Software setzen und die, die von Dritten hergestellte nutzen. Jedes Modell hat Vor- und Nachteile. Entsprechend zeigen auch auf Appliances oft gravierende Sicherheitslücken. Neu entwickelte Absicherungsmethoden wie ASLR (Address Space Layout Randomization) werden oft gar nicht eingesetzt, obwohl dies auf Standardbetriebssystemen längst Standard ist. Bedauerlicherweise reagieren die Hersteller zudem häufig sehr langsam auf die Meldungen zu entdeckten Lücken. ERNW ist inzwischen bekannt dafür, die Systeme großer Hersteller „auseinander zu nehmen“ und taucht immer wieder in den Security Advisiories als Urheber auf.

In der anschließenden Präsentation wurde dafür plädiert, den „Layer 8“ (also den Anwender) besser als Waffe für die IT-Sicherheit zu nutzen. Sicherheitsverantwortliche sollten sich kreative Lösungen für ihre Anwender ausdenken, denn diese wollen sich nicht um Sicherheit kümmern, was auch verständlich ist, denn sie verdienen kein Geld damit. Virus-Scan-Terminals im Eingangsbereich der Firma helfen beispielsweise dabei, verseuchte USB-Sticks vom Firmenrechner fernzuhalten. Für Phishing-Mails könnte ein Button eingerichtet werden, um dem Benutzer etwas „zum Klicken“ zu geben. Eine sehr interessante Idee war es, bei einem sogenannten CEO-Fraud den Angreifer in die Falle zu locken und ihm eine Fake-Seite vorzusetzen, auf der er seine Bank-Daten eingeben kann — die dann natürlich an die Banken gemeldet und gesperrt werden können.

RFID-Datenklau im Vorbeigehen

Der Entwickler eines Android-basierten RFID-Empfängers demonstrierte, wie einfach es ist, buchstäblich im „Vorbeigehen“ mit einem Gerät in einer Laptop-Tasche RFID-basierte Zutrittskarten auszulesen und zu klonen.

Am zweiten Tag der Konferenz stand statt SAP-Sicherheit die Absicherung von Active Directory und Microsoft-Umgebungen im Allgemein auf dem Plan. Häufig entstehen Sicherheitslücken nicht durch fehlerhafte Software, sondern durch zu großzügig vergebene Rechte. Viele Programme zwingen einen dazu, bestimmte Benutzerkonten mit sehr weitrechenden Rechten auszustatten.

In einem anderen Vortrag wurde die richtige Kommunikation von Sicherheitsproblemen an Nicht-Techniker besprochen. Die teilweise sehr aggressive Sprache, mit der diese beschrieben werden, macht außerhalb der IT-Welt häufig unnötigerweise Angst und stiftet Verwirrung, ohne den eigentlichen Kern der Sache verständlich zu machen. Hier sollten sich Sicherheitsfachleute gelegenlich etwas zurückhalten und leichter verdauliche Formulierungen verwenden.

Fazit

Zusammenfassend war bei der Konferenz für jeden etwas dabei, sowohl für den Bastler und „Bit-Pfriemler“, als auch für IT-Verantwortliche in großen Unternehmen.  Es war ein Querschnitt über viele Themen und zeigte, welche Bandbreite die IT-Sicherheit inzwischen abdecken muss. Der Besuch hat sich sicherlich für alle gelohnt.

Die Troopers 18 als Präsentator

Auch auf der Präsentationsseite waren wir diesmal bei der Troopers vertreten. Security Analyst Antonin hielt einen Workshop über Reverse-Engineering. Hier sein Bericht:

Ich bin zurück von der Troopers 18, einer IT-Sicherheitskonferenz, die in Heidelberg stattfand, wo ich einen 2-tägigen Workshop über das Reverse-Engineering eines MMORPG gehalten habe. Während das hacken eines Videospiels für einige Sicherheitsexperten nicht interessant erscheint, ähneln die behandelten Techniken und Methoden dem, was wir in einem Penetrationstest einer Client-Server-Anwendung sehen. Im Folgenden finden Sie eine Zusammenfassung dessen, was behandelt wurde:

In dem Workshop lernten die Zuhörer, wie man ein benutzerdefiniertes Binärprotokoll analysiert und eine ausführbare Binärdatei rückübersetzt. Die manipulierte Anwendung ist ein absichtlich verwundbares MMORPG, das 2015 von Vector35 für den Shmoocon CTF entwickelt wurde (Ghost in the Shellcode). Über genauere Inhalte wurde hier bereits berichtet.

Das Training fand an den ersten beiden Tagen der Konferenz statt. Am ersten Tag umfasste das Training die Netzwerkanalyse. Die erste Phase bestand darin, das benutzerdefinierte binäre Netzwerkprotokoll, das zwischen dem Client und dem Server verwendet wurde, zu erfassen und umzukehren. Einmal – teilweise – umgekehrt, wurde ein Wireshark-Dissektor (in Lua) entwickelt, um die Kommunikation auf verständliche Weise zu visualisieren und mögliche Schwachstellen zu identifizieren. Das Publikum hat die Chance das Spiel zu spielen und somit zu identifizieren, was in der Netzwerkkommunikation interessant zu abfangen und zu verändern wäre. Der nächste Schritt bestand darin, ein benutzerdefiniertes Python-Skript zu erstellen, um die Netzwerkkommunikation abzufangen und zu manipulieren. Mit diesem Skript konnten sie an beliebigen Orten spawnen, neue Elemente im Spiel erstellen und entfernte Objekte aufnehmen.

Der zweite Tag behandelte den binären Analyseteil. Die Karte von Pwnie Island (Insel, auf der das Spiel stattfindet) ist riesig und die Quests sind auf der ganzen Insel verstreut. Daher bestand die erste Übung darin, die Funktion (en) in Bezug auf die Bewegungsgeschwindigkeit zu identifizieren und die Fähigkeit des Spielers zu erhöhen. Dazu verwenden die Studenten einen Disassembler, um den Offset in der Binärdatei zu identifizieren, der sich auf die Bewegungsgeschwindigkeit bezieht, und entwickeln dann ein benutzerdefiniertes Python-Skript, um die Binärdatei zu patchen, um die Sprintgeschwindigkeit zu erhöhen. Das nächste Kapitel ging zwei Quests an, die unmöglich erscheinen. Man verlangte vom Schüler, eine Funktion vollständig umzukehren, um zu enthüllen, welche spezifische Sequenz von Aktionen ausgelöst werden muss, um sie zu entsperren, während die andere die Identifizierung und die Ausnutzung von zwei aufeinanderfolgenden Integer-Überläufen benötigte. Schließlich wurde im letzten Kapitel in C ++ – unter Verwendung von LD_PRELOAD – ein Hook entwickelt, um das Spiel im laufenden Betrieb zu hacken (die Gehgeschwindigkeit ändern, irgendwohin teleportieren, höher springen usw.). Die Teilnehmer hatten alle Werkzeuge in der Hand, um zu spielen, alle Aufgaben zu beenden und die Hacks zu verbessern, um # 1 im PvP-Modus zu erreichen.

Schreibe einen Kommentar