Defcon 19

Spielplatz für Hacker aller Couleur

07.08.2011 | von 
Moritz Jäger
Moritz Jäger ist freier Autor und Journalist in München. Ihn faszinieren besonders die Themen IT-Sicherheit, Mobile und die aufstrebende Maker-Kultur rund um 3D-Druck und selbst basteln. Wenn er nicht gerade für Computerwoche, TecChannel, Heise oder ZDNet.com schreibt, findet man ihn wahlweise versunken in den Tiefen des Internets, in einem der Biergärten seiner Heimatstadt München, mit einem guten (e-)Buch in der Hand oder auf Reisen durch die Weltgeschichte.
Email:
Hacker, IT-Sicherheitsexperten und Undercover-Agenten reisen einmal im Jahr nach Las Vegas, um ein Wochenende im Ausnahmezustand zu verbringen: Sie besuchen die Defcon, einer der etablierten Kongresse für Hacker und Sicherheit in der IT, der in diesem Jahr seine 19. Auflage feiert.

Im August treffen sich in der Wüste von Las Vegas Hacker, IT-Spezialisten, Hardware-Gurus und Sicherheitsinteressierte zur 19. Auflage der Defcon. Im Gegensatz zur Blackhat einige Tage zuvor (COMPUTERWOCHE berichtete) bündelt die Defcon 19 Vorträge mit Workshops und Hackerwettbewerben aus Bereichen wie Schlösserknacken, Capture the Flag (Teams dringen in die Systeme anderer Spieler ein und versuchen gleichzeitig die eigne Infrastruktur zu verteidigen) oder Social Engineering. Zugleich wiederlegt die Defcon 19 das Klischee des antisozialen Einzelgängers: Die Verantwortlichen haben laut eigenen Angaben mehr als 10000 Zugangskarten verkauft, Abendveranstaltungen wie Ratespiele rund um Hacker-Themen sind gut besucht.

Auch wenn bei den Spielen, Wettbewerben oder Workshops insgesamt eine lockere Atmosphäre herrscht, so haben es die meisten Themen der Vorträge in sich. Anders als bei vergleichbaren Messen behandeln die Sprecher nicht nur theoretische Probleme, sondern zeigen Hacks auch als Live-Demo auf der Bühne. Im Visier der Forscher waren unter anderem mobile Betriebssysteme, allen voran Android von Google. Forscher demonstrierten unter anderem eine Möglichkeit, wie eine bösartige Anwendung die Login-Daten von anderen Apps wie Facebook, Foursquare oder E-Mail-Apps stehlen kann. Für diesen Angriff würden die offiziellen APIs und Softwarefunktionen komplett ausreichen, so die Forscher, ein Root-Zugriff auf dem Android-Smartphone sei nicht notwendig. Möglich sei eine solche Attacke vor allem, da Google die in den Marketplace eingereichten Anwendungen keiner Prüfung unterzieht, sondern direkt freigibt.

Die Probleme mobiler Plattformen sorgten zudem für einen Rekord. Eine erst zehn Jahre alte Hackerin namens CyFi zeigte im Rahmen der "DefCon Kids" ein von ihr gefundenes Zero-Day-Exploit, das zahlreiche Spiele unter Android und iOS betrifft. Die Zehnjährige erkannte, dass zahlreiche Spiele auf einen Zeitfaktor setzen, um bestimmte Vorgänge im Spiel zu definieren. Verändert man die interne Zeit des Smartphones oder Tablets kann sich der Spieler zahlreiche Vorteile verschaffen, da der eigentliche Spielablauf beschleunigt wird. Einige Spiele würden diese Art der Manipulation zwar erkennen, allerdings hat die Jungforscherin nach eigenen Angaben Wege gefunden, um diese Sicherheitsfunktionen zu umgehen.

Die Aufmerksamkeit der Hacker galt aber nicht nur mobilen Geräten, sondern auch herkömmlicher Infrastruktur. Ausführlich beschäftigte sich ein Experte beispielweise mit Multifunktionsgeräten wie Drucker. Diese Systeme werden gerne bei der Sicherheit, dem Patch Management oder Compliance-Richtlinien übersehen, können aber zahlreiche sensible Firmeninformationen wie Adressbücher oder Zugangsdaten verraten.

Newsletter 'CP Business-Tipps' bestellen!