Im August treffen sich in der Wüste von Las Vegas Hacker, IT-Spezialisten, Hardware-Gurus und Sicherheitsinteressierte zur 19. Auflage der Defcon. Im Gegensatz zur Blackhat einige Tage zuvor (COMPUTERWOCHE berichtete) bündelt die Defcon 19 Vorträge mit Workshops und Hackerwettbewerben aus Bereichen wie Schlösserknacken, Capture the Flag (Teams dringen in die Systeme anderer Spieler ein und versuchen gleichzeitig die eigne Infrastruktur zu verteidigen) oder Social Engineering. Zugleich wiederlegt die Defcon 19 das Klischee des antisozialen Einzelgängers: Die Verantwortlichen haben laut eigenen Angaben mehr als 10000 Zugangskarten verkauft, Abendveranstaltungen wie Ratespiele rund um Hacker-Themen sind gut besucht.
Auch wenn bei den Spielen, Wettbewerben oder Workshops insgesamt eine lockere Atmosphäre herrscht, so haben es die meisten Themen der Vorträge in sich. Anders als bei vergleichbaren Messen behandeln die Sprecher nicht nur theoretische Probleme, sondern zeigen Hacks auch als Live-Demo auf der Bühne. Im Visier der Forscher waren unter anderem mobile Betriebssysteme, allen voran Android von Google. Forscher demonstrierten unter anderem eine Möglichkeit, wie eine bösartige Anwendung die Login-Daten von anderen Apps wie Facebook, Foursquare oder E-Mail-Apps stehlen kann. Für diesen Angriff würden die offiziellen APIs und Softwarefunktionen komplett ausreichen, so die Forscher, ein Root-Zugriff auf dem Android-Smartphone sei nicht notwendig. Möglich sei eine solche Attacke vor allem, da Google die in den Marketplace eingereichten Anwendungen keiner Prüfung unterzieht, sondern direkt freigibt.
Die Probleme mobiler Plattformen sorgten zudem für einen Rekord. Eine erst zehn Jahre alte Hackerin namens CyFi zeigte im Rahmen der "DefCon Kids" ein von ihr gefundenes Zero-Day-Exploit, das zahlreiche Spiele unter Android und iOS betrifft. Die Zehnjährige erkannte, dass zahlreiche Spiele auf einen Zeitfaktor setzen, um bestimmte Vorgänge im Spiel zu definieren. Verändert man die interne Zeit des Smartphones oder Tablets kann sich der Spieler zahlreiche Vorteile verschaffen, da der eigentliche Spielablauf beschleunigt wird. Einige Spiele würden diese Art der Manipulation zwar erkennen, allerdings hat die Jungforscherin nach eigenen Angaben Wege gefunden, um diese Sicherheitsfunktionen zu umgehen.
Die Aufmerksamkeit der Hacker galt aber nicht nur mobilen Geräten, sondern auch herkömmlicher Infrastruktur. Ausführlich beschäftigte sich ein Experte beispielweise mit Multifunktionsgeräten wie Drucker. Diese Systeme werden gerne bei der Sicherheit, dem Patch Management oder Compliance-Richtlinien übersehen, können aber zahlreiche sensible Firmeninformationen wie Adressbücher oder Zugangsdaten verraten.
- Defcon 19
Die Defcon 19 lockt Hacker und IT-Sicherheitsexperten nach Las Vegas. - Defcon 19
Zwei Spanier zeigen Probleme bei der App-Virtualisierung. - Defcon 19
Das Panel zur Diskussion zu Hacktivism, das sich Themen wie Anonymous und Lulzsec diskutiert... - Defcon 19
... der vermeintliche anonyme Sprecher enttarnt sich später. - Defcon 19
Beeindruckend: Die Forscher bezweifeln, dass die aktuellen EMV-Karten wirklich sicher sind. - Defcon 19
Bastelei: Diese Kamera wird über eine handelsübliche Leuchtpistole verschossen, hängt an einem Fallschirm und kann Bilder übertragen. - Defcon 19
Auch der Spaß kam nicht zu kurz - hier backen zwei Hacker Waffeln um Geld für die Organisation EFF zu sammeln. - Defcon 19
Paranoia oder Spaß? Eine Teilnehmerin eines Vortrags rund um Privatsphäre trägt einen Hut aus Aluminium.