Notizen zum 32C3
Kurze Notizen zu einigen Talks vom 32C3, die ich mir angesehen habe. Ich hoffe noch ein paar Talks von den beiden Tagen als Aufzeichnung sehen zu koennen. Ganz hoch auf der Liste steht hier der Talk zu DOCSIS, bei dem ich leider eine Kollision hatte.
Tag 1
Keynote
Thematisch gute Idee, zu aktuellem Geschehen und auch zum Congress-Thema Gated Communities. Kam leider nicht so richtig zum Punkt und haette inhaltlich eher in 15 Minuten abgehandelt werden koennen. Einzelne Punkte waren gut und wichtig, aber man haette die Zeit wohl besser investieren koennen.
Towards (reasonably) trustworthy x86 laptops
Interessantes Konzept kompletter Entkopplung der Firmware neuer Laptops von der Hardware selbst, so dass die Hardware nicht vertrauenswuerdig sein muss. Spannendes Konzept, aber wohl doch zu weltfremd fuer die Realitaet. Am Ende stellt sich auch die Frage der Realisierbarkeit, auch in anbetracht des anderen x86 Talks, der auch auf Bug-Fixing mit Hilfe von Microcode einging, wohl eher schwierig, wenn man das nicht mit der Hardware ausliefern kann.
rad1o++
Cooles Teil! Mangels Besuch des Camps im Sommer bisher nichts davon mitbekommen, aber kreative Idee ein SDR faehiges Board als Name-Badge fuer sowas zu verwenden. Ich haette gerne eins, auch weil die Hardware viel offener ist, als wenn man nur einen normalen DVB-T Stick fuer sein SDR-Rumgespiele verwendet. Uberhaupt will ich endlich mal noch mehr mit SDR machen um mal ein bisschen ueber den ganzen Funkkram zu lernen.
The Great Train Cyber Robbery
Guter Talk mit einigem Humor gespickt. Zeigt einige Angriffsvektoren auf Verbindung zwischen Zug und Stellwerk, sowohl auf Peripherie an der Strecke als auch Elemente in den Zuegen selbst. Fuegt sich in das allgemeine Bild, dass die Maschinenbauindustrie gut in Safety ist, aber miserabel in Security. Wenn ihr regelmaessig Zug fahrt mal angucken, vielleicht findet ihr bei der naechsten Reise ja eine neue Beschaeftigung euch das mal anzusehen. Aber bitte nur angucken, eventuelle Konsequenzen sind nicht virtuell.
Running your own 3G/3.5G network
Einfuehrung in den 3G Protokoll-Stack, was fuer lustige Ideen man beim Entwerfen der Protokolle hatte und welche Teile die Entwickler aus dem OpenBSC-Umfeld gerade implementieren. Ich vergesse immer wieder zu gerne, dass die ganzen Mobilfunk-Standards nicht viel gemeinsam haben, wer denkt er wuerde mit GSM ja schon alles kennen: Nein, das hier ist wieder anders.
When hardware must „just work“
Sehr spannend. Ein Ingenieur von AMD erzaehlt von der CPU-Entwicklung und wieso jeder noch so selten auftretende Fehler ein No-Go ist (Hint: Es gibt trotzdem einige). Ueber die Art und Weise wie auf welchen Ebenen getestet wird und wie man es schafft moeglichst wenig Iterationen der Entwicklung tatsaechlich in Hardware zu machen und wie man damit umgeht, wenn man von einem neuen Feature bereits Problem erwartet.
PQCHacks
Non-qantum crypto fuer eine Welt in der Quantencomputer existieren. Welche Verfahren muessen wie verwendet werden, um dem zu erwartenden Performance-Schub Widerstand leisten zu koennen. Und: Wir muessen das jetzt tun, da wir stets davon ausgehen muessen, dass unser Traffic bereits heute analysiert wird. IMO wichtiger Talk fuer jeden, der oeffentlich Dienste anbietet, deren Traffic vielleicht nicht jeder mitlesen muss.
Tag 2
Evolution of Brain-Computer Interfaces
Spannend! Will ich mehr drueber wissen und auch mal was mit machen. Hauptthema: Analyse von Hirnsignalen und auch trainieren des Gehirns, damit mit Hilfe gelesener Signale z.B. Aktionen ausgefuehrt werden koennen. Generell ist das Thema Dinge bewusst mit Gedanken steuern sehr interessant. Randaspekt: Privacy, welche Standards brauchen wir, damit die Informationen aus dem Kopf auch moeglichst an niemand anderen gelangen. War leider nur ein kurzer Uberblick, aber macht unbedingt Lust auf mehr.
(Un)Sicherheit von App-basierten TAN-Verfahren im Onlinebanking
Es gab viel zu lachen im Talk, mir war die schon fahrlaessige Variante des Online-Bankings von der Sparkasse nur auf einem Device bisher gar nicht bekannt. Anscheinend ist man dort auf die lustige Idee gekommen, dass man doch beide Komponenten der 2-Factor-Auth auf einem Geraet laufen lassen kann und sich die Apps sogar gegenseitig aufrufen und Daten austauschen. Wer das benutzt: Guckt euch den Talk an und hoert dann auf das zu benutzen. 2-Factor sollte auch immer 2-Device sein. Sonst koennt ihr es auch bleiben lassen.
G’scheitern
Bin nur aus Faulheit in Saal 2 sitzengeblieben. Hat sich aber sehr gelohnt. Guter Talk um mal den Tag etwas aufzulockern und aus einer anderen Perspektive aufzuzeigen wie man mit dem umgehen koennte, was andere Vorlegen. Am Beispiel von Improv-Theater. Wuerde ich zwar vermutlich nie machen, aber auf jeden Fall ansehen und auf jeden Fall Danke fuer die neuen Sichtweisen.
Let's Encrypt -- What launching a free CA looks like
Recap zum Launch von Let's Encrypt. Uebersicht ueber Statistiken und Ziele von Let's Encrypt. Nichts weltbewegend neues, aber nette Infos. Muss man wohl nicht nochmal ansehen.
Logjam: Diffie-Hellman, discrete logs, the NSA, and you
Recap zu Logjam mit detailliertem Aufzeigen wie Logjam funktioniert und was man dagegen tun kann. Und wieso RSA statt DH eventuell doch eine gute Idee ist, vor allem die anschliessende lange Fragerunde war recht ergiebig. Der Talk selbst wird nicht viel neues ergeben, wenn man mit dem Thema vertraut ist.
Iridium Update
Satellitenkommunikation! Habe ich im Detail keine Ahnung von, aber sec und schneider haben sich Iridium mal naeher angesehen und auch so einige interessante Infos dazu. Als Fazit bleibt fuer mich vor allem: Cool das es auch Leute mit Know-How gibt, um zu so geschlossenen und vor allem teuren Systemen wie Satelliten Zugang und vor allem Einblicke zu bekommen.
Fnord-Jahresrückblick
Muss ich nicht wirklich was zu sagen, grandios wie jedes Jahr, guter recap aus den Wirren der Nachrichtenwelt. Dieses Jahr gab es als Bonus ein Anti-Terror-Bingo dazu, das zu sehr grosser Freude und vielen Bingos im Publikum fuehrte.
Tag 3
Neither Snow Nor Rain Nor MITM… The State of Email Security in 2015
War mehr oder weniger eine Praesentation der Status Quo fuer E-Mailsicherheit mit vielen Stats vor allem von Gmail (die Partner in dem Projekt sind/waren). Sollte sich jeder, der einen Mailserver betreibt, mal ansehen. Auf die zahlreichen Fragen wieso denn nicht DNSSEC bei den grossen Providern ausgerollt wird, kam allerdings leider nicht viel bei rum, so dass die aktuellen Vorschlaege immer noch nur eher halbgar wirken.
Vehicle2Vehicle Communication based on IEEE 802.11p
Hm. Eigentlich spannendes Thema, hat aber glaube ich einfach unter dem Vortragenden etwas gelitten bzw. das der Talk auf Englisch war. Bin nach etwa der Haelfte der Zeit raus, klang auch viel nach Corporate, wenn man sich schon vom BSI empfehlen lassen muss keine NIST Curves fuer ECC zu nutzen.
Ten years after ‚We Lost The War‘
Rop und frank wagen einen Rueckblick auf ihren Talk vor 10 Jahren: We Lost The War. Der Talk stand vor allem auch im Zusammenhang mit neuem Aufwind fuer staatliche Ueberwachung nach 9/11 etc. Aussagen werden ueberprueft und neue Prognosen gewagt. Zwischenfazit: Wir sind auf dem Abstieg in eine weniger freie Welt und niemand kann den Tiefpunkt des Abstiegs vorhersehen. Der Talk ist eine Empfehlung, wenn die Gesellschaft nicht vollkommen an euch vorbeigeht, auch wenn er latent schlechte Laune erzeugen kann. Kernaussage: Es wird schwerer aber seht es als Herausforderung und beherzigt das Congress-Motto um den Widerstand diversifizierter zu gestalten.
The plain simple reality of entropy
Fuer mich persoenlich kam wenig Neues dabei rum und ich fand den Talk selbst auch eher anstrengend. Darueber hinaus wurde man das Gefuehl nicht los, dass vor allem die Realitaet von Cloudflare (wo der Speaker arbeitet) gemeint zu sein scheint. Probleme mit zu wenig Entropie zur Boot-Zeit wurden mehr oder weniger nur kurz behandelt und man koenne ja Entropie vor dem Shutdown speichern. Stateless gibt es in der Welt wohl nicht. Nunja. Wer den Unterschied zwischen /dev/random und /dev/urandom nicht kennt, koennte es sich wohl trotzdem mal ansehen.
Internet Cube
Gute Idee, ich weiss aber nicht, ob man sich den Talk ansehen muss. Die Webseite ist schon ausreichend informativ. Aber es war gut das Projekt vorzustellen, das Benutzer von Einschraenkungen des eigenen Providers erloesen soll, indem es raustunnelt. Und das mit einer fertigen Box, die man nur einstecken muss. Zumal die Hardware einfach laeuft, endlich auch mal etwas, das fuer normale Benutzer zugaenglich sein duerfte. Webseite: http://internetcu.be/
Building and Breaking Wireless Security
Wenn es auch etwas hardware-lastiger sein darf, ist der Talk sicher was fuer euch. Es geht tatsaechlich um Sicherheit direkt im Medium (nicht auf den Protokollen oder sogar noch weiter oben im Stack). Angriffe und auch Moieglichkeiten zur Absicherung werden besprochen. U.A. erhellend fand ich Angriffsvektoren wie Sprache bei Telefonie mithoeren, wenn das Smartphone zeitgleich auch im WLAN sendet und man die Sprache aus dem zusaetzlichen Noise extrahieren kann.
Maritime Robotics
Endlich richtige Roboter. Gute Einfuehrung fuer schwimmende Roboter, welche Bauformen es so gibt und worauf bei der Konstruktion zu achten ist. Salzwasser ist nochmal mehr toxisch als sonstige Umgebungen fuer Bots, vor allem eben die Elektronik. Wenn ihr auch nur annaehernd mit dem Gedanken spielt mal etwas autonom schwimmen zu lassen, koennte das eine gute Einfuehrung sein.
Tag 4
Crypto Wars Part II
Kurt Opsahl von der Electronic Frontier Foundation fuehrt in die Neuauflage der Crypto Wars ein. Kurzer Recap ueber die alten Crypto Wars (schwache Crypto fuer den Export) und im Anschluss der Uebergang zu den den neuen Crypto Wars. Hauptthema: Gezielte Schwaechung von Crypto, sei es durch Backdoors oder das Forcieren schwaecherer Methoden in Standardisierungsprozessen. Eine insgesamt gute Uebersicht, auch wenn viele Einzelstuecke sicher schon bekannt waren, so formt sich doch ein gesamtes Bild. Abschliessend gibt einen Aufruf dazu generell mehr Crypto zu verwenden und nicht so fachlich versierten Bekannten dies ebenso nahezulegen, um den Aufwand fuer die Thee-Letter-Agencies zu erhoehen.
DDoS mitigation EPIC FAIL collection
Der Speaker kommt aus der Pentesting Praxis und hat sich dort viel mit DDoS beschaeftigt. Der Vortrag besteht aus einer Top 10 der schlechtesten Mechanismen um DDoS-Angriffe abzuwehren. Oft endet dies darin, dass Services auch noch lange nach dem Ende des Angriffs nicht erreichbar bleiben, oft aufgrund von Ueber- oder Fehlreaktionen. Wer in der Praxis mit Hosting zu tun hat und selber Mechanismen implementiert hat, findet hier sicher eine gute Resource von Dingen, die einem gut auf die Fuesse fallen koennen.
Breaking Honeypots for Fun and Profit
Aufgrund spontaner Muedigkeitsanfaelle habe ich leider nur die Haelfte mitbekommen, daher hier vermutlich eher eine unvollstaendige Liste. Es geht generell um die Erkennung von Honerpots bzw an welchen Merkmalen ein Angreifer einen Honeypot als solchen identifizieren kann. Es drehte sich viel um bestimmte Verhaltensmuster, die fehlerhafte oder unvollstaenduge Implentierungen abbilden. Ich bin jedenfalls nicht wegen des Talks eingeschlafen, sonder aus Schlafmangel. Wer sich also mit Angriffen auseinandersetzen moechte, der findet hier vielleicht doch einige Hints.
Predicting Crime in a Big Data World
Interessanter Talk aus einer Welt, mit der man sonst so gar nicht in Beruehrung kommt, einfach weil es nur Behoerden wirklich nutzt. Vorgestellt werden bestehende Werkzeuge, auf welcher Datenbasis diese arbeiten und nach welchen Kriterien Profile bestimmter Personen analysiert und auch bewertet werden. Festgestellt wird auf jeden Fall, dass Loesungen bisher nur Hinweise oder Empfehlungen geben koennen, sei es fuer Regionen oder Einzelpersonen, aber keine wirkliche Vorhersage fuer zukuenftige Verbrechen geben koennen. Guter Ausblick in diese fremde Welt, die man bisher nur aus SF Filmen kennt.
Security Nightmares 0x10
Die jaehrliche Ausgabe der Security Nightmares, wieder einmal hoch amuesant und trotzdem mit einigem ernst gemeintem Input. Auch wenn manche Themen vielleicht noch nicht bei jedem angekommen sind, lohnt sich auf jeden Fall, denn wenigstens einen nicht gepatchten Router hat fast jeder zu hause. Quasi Pflichtprogramm, auch wenn sich unter Umstaenden ein Bier zeitgleich empfiehlt. Wir bleiben gespannt wie viele der Vorhersagen eintreten. Von alten Vorhersagen ist ja leider so einiges eingetroffen. Auch wenn wir dann doch immer noch nicht unser Essverhalten vor dem Kuehlschrank verbergen muessen.