no one is safe ...

Bye bye 25C3

Auch der letzte Tag des 25C3 war wieder voll gepackt mit spannenden Vorträgen.

Gestartet haben wir den letzten Tag mit einem Vortrag des Entdeckers der SSL Schwachstelle auf Debian Systemen. Dieser Vortrag trumpfte zwar nicht mit vielen neuen Informationen, konnte aber so einige interessante Details und weitere Infos aufzeigen. Und er stellte noch einmal einen Teil des katastrophalen (Anti-) Sicherheitsjahres 2008 dar. ;)

Anschließend wurde Wikileaks vorgestellt. Bei Wikileaks handelt es sich um ein ähnliches System wie die weit bekannte Wikipedia, allerdings mit erheblich brisanteren Informationen! Hier werden Informationen gesammelt die eigentlich nicht unbedingt für die Öffentlichkeit bestimmt sind, allerdings für die allgemeine Meinungsbildung unerlässlich sind!


Unser primäres Interesse liegt auf den durch Unterdrückung geprägten Regimen wie China, Russland, dem zentralen Eurasien, dem Nahen Osten und dem Afrika südlich der Sahara. Aber wir sind auch Ansprechpartner für diejenigen, die unethisches Verhalten in ihren eigenen Regierungen und Unternehmen enthüllen wollen. Source: http://wikileaks.org/wiki/Wikileaks/de

Die Vortragenden stellten sehr ausführlich dar mit welchen Problemen sie zu kämpfen haben, welche Technologien ihnen und den Autoren die Arbeit erleichtern und wie man dieses Projekt unterstützen kann, soll und eigentlich auch muss!

MD5 considered harmful today

MD5 is broken hieß es bereits bei den letzten CCC Veranstaltungen, die bisherigen Angriffe waren allerdings theoretischer Natur und konnten bisher noch nicht in reale Angriffe umgesetzt werden. Heute wurde demonstriert wie ca. 30% aller verwendeter SSL Zertifikate mit einer Man in the Middle Attacke kompromittiert werden können!

Um den betroffenen CA's Zeit für die Umstellung zu geben, wurden genaue Details bisher noch geheim gehalten. Eine Veröffentlichung wird dann geschehen wenn es aus Sicht der Entdecker keine weitere Gefahr darstellt. Allerdings schätzen Sie, dass sich nun weitere Sicherheitsexperten damit beschäftigen werden und dadurch wohl ein Zeitfenster von ca. 1 Monat herrschen wird bevor es zur Veröffentlichung von weiteren Details kommt. Erste Informationen gibt es bereits hier und hier. Man kann davon ausgehen, dass sich eine Menge weiterer Forscher, Techniker und natürlich Kriminelle nun auf diese Informationen stürzen werden.

Die Informationen zu dieser Schwachstelle passen perfekt zum Ausklang dieses Jahres ;) Es gibt richtig viel zu tun

Security Nightmares

Noch besser zum aktuellen Stand der Sicherheitstechnologien und deren Umsetzung passten allerdings die Security Nightmares. Diese Abschlussveranstaltung führt jedes Jahr die schlimmsten aufgedeckten Sicherheits- und Informationslücken auf. In kompakter Form und mit viel (Galgen-) Humor aufbereitet brachten sie viel Spaß und Gelächter mit sich ... ohne diesem Humor betrachtet muss man sich allerdings fragen wie schlimm kann es denn noch werden?!?
Um den aktuellen Zustand noch zu unterstreichen wurde noch ein einfacher Exploit für Nokia Handys vorgeführt. Der Hersteller hatte laut den Aussagen der Vortragenden bereits 7 Wochen Zeit zu handeln! Geschehen ist bisher allerdings noch nichts!

Bye bye ... till next year

Eine sehr gelungene Veranstaltung mit sehr vielen Interessenten. Der BCC platzte aus allen Nähten und ich hoffe der CCC wird für nächstes Jahr eine größere Lokation finden! Am Programm, an den Vortragenden und an den dargestellten Sicherheitslücken/Problembereichen ist eindeutig erkennbar, dass sich diese Veranstaltung etabliert hat und auch die Großen im Business anlockt (beispielsweise MD5-CA Bug, Dan Kaminsky, Microsoft, Cisco IOS Exploit, DECT Hacking, Storm Botnet Hacking uvm.)

Weiter so! Mir bleibt wieder nur der gute Vorsatz, dass ich nächstes Jahr dem Münchner CCC beitreten werde ... wie schon so oft ;)

Happy New Year! :)