Fast jeder kennt heutzutage die Security Konferenz des Chaos Computer Clubs (CCC), welche jährlich stattfindet und in den letzten Jahren enorm an Bedeutung und Reichweite gewonnen hat. In einem kleineren, aber technisch dem CCC nicht nachstehenden Format gibt es die Troopers-Konferenz welche in Heidelberg im selben Turnus angeboten wird.
In unterschiedlichen, teils parallelen, Tracks werden hier in drei Tagen von Spezialisten aus der Security- und Hacker-Szene Erfahrungen, Angriffsvektoren oder Erkenntnisse geteilt. Dabei geht es nicht um herstellerspezifisches «Marketing-Bla-Bla», sondern wirklich um technische Aspekte, wie das Mitigieren und mögliche Ausnutzen von Vulnerabilities, die Schaffung von Sicherheit, dem Austausch von Erfahrungen und nicht zuletzt um das Vernetzen und der Spass am Kampf gegen die «dunkle Macht».
Auch in diesem Jahr fanden über 40 verschiedene Vorträge an zwei Tagen statt, von denen man leider nur einen Teil besuchen konnte; interessante und tiefgründige Vorträge, von denen ich auszugsweise berichten möchte.
Ein Fallbeispiel zum Ausführen von Code mit höheren Privilegien unter macOS
Im Vortrag zum Thema «macOS – Gaining root with harmless AppStore apps» wurde live gezeigt, wie man ohne Admin-Rechte auf einem macOS beim Installieren von Apps aus dem Apple AppStore Befehle mit höheren Privilegien ausführen lassen kann. Hierzu wurde im Applikationsverzeichnis ein neuer (leerer) App-Container erstellt und entsprechende Skripte abgelegt, welche ausgeführt werden sollen. Wenn dann im Anschluss eine Applikation mit demselben Namen aus dem AppStore installiert wurde, konnten die Admin-Rechte, welche beim Installationsprozess benötigt werden, ausgenutzt werden um das entsprechende Skript ausführen zu lassen. Dabei konnte diese schädliche Datei so gestaltet werden, dass die Signatur als solches nicht beschädigt wird.
Wie sicher sind heute Autos und was haben diese mit der Security-Szene zu tun?
Bereits vor einigen Jahren griff eine deutsche Versicherung schon das Thema «Hacking Cars» auf und liess die Erkenntnisse in die Berechnung der Versicherungsbeiträge mit einfliessen. Erschreckend damals war, dass mittels Reverse-Engineering bereits in kurzer Zeit ebenfalls auf kritische Systeme verhältnismässig einfach Einfluss genommen werden konnte. Umso erfreulicher zu hören, dass die Hersteller dies zunehmend anerkennen. Im Track «Car Manufacturer meets Security Community – Impressions from Germany’s First Car BugHunting Event» wurde ein Erfahrungsbericht erörtert, welcher vom weltweit ersten in der Art stattgefundenen Event, zwischen einem Autohersteller und der Security-Szene berichtete.
Denn auch moderne Autos sind heute zunehmend ein Sammelsurium an IoT-Devices, welche für ihre Verwundbarkeit durchaus bekannt sind und in einem IP-vernetzten Umfeld aus dem Blickwinkel Security nicht zu vernachlässigen sein sollten. Es zeigte sich was zu vermuten war: während Waschmaschinen, Staubsauger, Medizingeräte oder Automobilhersteller über ein großes Wissen in der Entwicklung der Geräte Ihres Fachbereichs verfügen, ist der Schutz von diesen IP- vernetzten Geräten oft noch in den Kinderschuhen.
Eines der grössten Probleme ist dabei, dass zunehmend die Fachbereiche verschmelzen und eine interdisziplinarische Zusammenarbeit mehr und mehr an Bedeutung gewinnt. Traditionelle Konzepte und eine harte Trennung von Themen- oder Fachgebieten sind obsoleter als noch vor ein paar Jahren. Allen voran bei den Sicherheitskonzepten müssen die Erkenntnisse und Gegenmassnahmen bereits in den Entwicklungsprozessen mit einfliessen und berücksichtigt werden.
Wo endet die Freiheit des Einzelnen und wo beginnt der Schutz der Gesellschaft?
Nebst den technischen Faktoren verbirgt sich immer auch ein ethisches und moralisches Dilemma. Der Talk mit dem Titel “Practical Ethics for Security Practitioners” möchte dieses Dilemma strukturiert und auf der Grundlage gemeinsamer Ansätze und ethischer Werte angehen, um «vorbereitet zu sein, was da kommen kann» und wie man mit Situationen umgehen kann, sowohl aus der Sicht des Angreifers oder Geschädigten.
Denn Fragen wie «wie soll man mit einer entdeckten Vulnerability umgehen?», «welche Auswirkungen hat diese?», «für wen sind wir verantwortlich?» oder «wie geht man verantwortungsbewusst damit um?» sind nur einige, die sich hinter dem Ganzen verbergen.
Wohl sind dies Fragen die vielleicht nicht pauschal oder generell als richtig oder falsch beantwortet werden können, aber durchaus einem gesellschaftlichen Tenor unterliegen. Wann ist man auf der guten Seite, wann nicht? Wo endet die Freiheit des anderen, wo die Sicherheit und der Schutz der Gesellschaft? Ein Dilemma, welches wohl in den letzten Jahren durch Whistleblower wie Edward Snowden immer öfters alltäglich wurde.
Eine allgemeingütige Antwort kann wohl in den seltensten Fällen gegeben werden. Ein logisches, selbstbewusstes und selbstverantwortliches Verhalten sollte jedoch stets Motivation sein.
Roundtable – Ein Erfahrungsaustausch zum Thema Cloud-Strategie
Am dritten Tag fanden mehrere Roundtables statt, unter anderem der «Cloud & DevOps». An diesem haben sich verschiedene Teilnehmer über Erfahrungen und Strategien ausgetauscht. Neben Grössen wie SalesForce oder der Deutschen Bahn, waren noch viele kleinere Unternehmen vertreten.
Interessant ist, dass alle mehr oder minder dieselben Probleme haben, welche weniger technischer, denn viel mehr struktureller Natur sind. Wer eine Cloud-Strategie anstrebt hat zunehmend eine Vermischung zwischen Entwicklern, Betreibern und Security (DevOpsSec) und kann in traditionellen Strukturen diese Transformation nicht mehr abbilden. Es müssen interdisziplinäre Strukturen und Prozesse angedacht werden.
Security z.B. kann nicht mehr nur am Perimeter passieren und muss bereits von Beginn an mit einfliessen, darf im Umkehrschluss jedoch auch kein Verhinderer sein. Ein gesundes Baselining oder Riskmanagement sollte betrieben werden (wann ist eine Vulnerability so kritisch, dass ich jetzt handeln muss? Wann kann ich bis zu einem Wartungsfenster warten? Wann muss ich reporten?).
Auch der interdisziplinäre Austausch von Informationen und Erfahrungen ist zunehmend gefragt: interne Mails wurden von einigen Firmen bereits abgeschafft und durch eine zentrale informationsplattform abgelöst. Andere Firmen haben in den Teams einen Experten aus den anderen Bereich platziert oder eine offene Kultur geschaffen, dass man jederzeit auf den andern zugehen, diese sich proaktiv einbringen oder man diese als Ressource reservieren kann.
Resümee
Die stark technisch getriebene Welt von heute ist um einiges komplexer geworden, eine klare Trennung gibt es zunehmend nicht mehr. Verantwortungen und Zuständigkeiten verschmelzen zunehmend miteinander. Das sind nur einige der Herausforderung, die die Zukunft bereit hält. Klar ist uns bereits heute: Eine einzelne Person kann dies nicht mehr alleine abbilden. Die Komplexität und Vielfalt an Themen ist gewaltig. Obwohl diese Transformation bereits in allen Unternehmen bewusst oder unbewusst angefangen hat, sind viele der Herausforderung noch nicht gewachsen. Lassen Sie sich gerne überraschen oder sind Sie bereits dieser Problematik gewachsen?