Bericht von der BlueHat IL

Bei sepago wird auf Austausch und Weiterbildung viel wert gelegt. Zusätzlich haben wir mit Microsoft einen Partner an der Seite, der uns diese direkten Möglichkeiten der Interaktion gewährt und fördert. So ergab es sich, dass ich in diesem Monat mit meinem Kollegen Alexander Benoit nach Israel fliegen konnte, um an einer der für uns bedeutendsten IT-Security-Konferenzen teilzunehmen: BlueHat IL.

Die BlueHat fand in Tel Aviv statt und war für mich eine der spannendsten IT-Konferenzen die ich je besucht habe, aber auch generell war die Reise eine sehr interessante, und Israel ein sehr besonderes Land.

Der Standort Tel Aviv ist sowohl als Startup-Paradies als auch als Cyber-Security-Mekka bekannt – zu bekannten Apps wie Waze, Viber, Outbrain oder Gett gesellen sich auch führende Unternehmen aus der Security-Branche wie Checkpoint, CyberArk und Minerva.

Auch das Windows Defender Advanced Threat Protection-Team von Microsoft ist dort ansässig, mit dem wir mittlerweile in enger Zusammenarbeit stehen. Ebenfalls an diesem Standort liegt auch der im vergangenen Jahr von Microsoft getätigte Zukauf Hexadite, dessen Integration der Produkte in Defender ATP wir in den nächsten Monaten erwarten.

Tel Aviv ist eine recht junge Stadt am Mittelmeer, die aber von der mittelalterlichen Stadt Jaffa im Süden gesäumt ist. Hier merkt man deutlich den Übergang vom Okzident in den Orient, was sich in der Architektur und dem Stadtbild widerspiegelt. Märkte mit Teppichen und Obst sind von alten Bruchbuden und Häusern im Bauhaus-Stil umringt. Beide stehen im Schatten von modernen Hochhäusern. Alt und neu sind wild gemischt.

Die Konferenz fand in einer eher kleinen Location statt, die aus mehreren Zelten und einer großen Halle bestand. Dieses wurde aber recht geschickt dekoriert, sodass es trotz wenig Platz eine coole Aufmachung ergab (jede Menge nerd-chic, wo Geeks wie wir uns wohlfühlen würden).

Rund um die Konferenz gab es einige witzige Details, Hacking Challenges, Spielautomaten, Flipper und verschiedene Workshops, bei denen mithilfe eines Raspberry Pi Angriffsszenarien (Car-Hacking, Kali-Linux) geübt wurden. Aber der Fokus jeder Konferenz sind natürlich die Talks.

Am ersten Tag gab es zunächst einige konzeptuelle Talks, z.B. zum menschlichen Confirmation Bias und der Tendenz, vor allem Meinungen, die der eigenen ähnlich sind, zu akzeptieren. Erzählt wurde auch ein hochinteressanter Krimi zum Thema threat attribution: Wer hat wen gehackt, und wie sieht der Fußabdruck aus, den der Hacker am Tatort hinterlassen hat? Am Nachmittag wurde es tief technisch und dabei vor allem aus Entwicklersicht beschrieben. Zum Beispiel: Wie funktioniert Reverse Engineering bei einer CPU? (Antwort: mit Säure und Laser!)

Auch wenn der erste Tag spannend war, waren die Themen des zweiten Tages nochmal näher an unserer täglichen Realität. Die Forscher, die die Meltdown- und Spectre-Attacken dokumentiert und nachgewiesen haben, erklärten in der Tiefe, wie diese Schwachstelle in unseren CPUs aussieht. Neben einigen bekannten Microsoft-Mitarbeitern (z.B. Dave Weston, der über Hardware-Security Neuerungen in Windows 10 gesprochen hat) waren auch viele hochkarätige Experten aus der Szene anwesend, die ihr Wissen geteilt haben: Matt Graeber hat über die (Un-)sicherheit von digitalen Signaturen gesprochen, Marina Simakov und Itay Grady über Angriffe auf Active Directory mithilfe von schlecht gesicherten Computeraccounts. James Forshaw von Google’s Project Zero zeigte einen erfolgreichen Exploit, um auf dem hoch gesicherten Windows 10 S beliebigen Code auszuführen. Auch wenn Microsoft diese Schwachstellen in der Regel zügig schließt, ist es doch beeindruckend, was die Entwickler hier wieder gezeigt haben.

Ein kleines Highlight für uns war der Talk von Vincent le Toux und Benjamin Delpy, die Entwickler von Pingcastle respektive Mimikatz – letzteres ist in der Windows-Security Szene seit Jahren als Standard bekannt, um auf Windows Post-Exploitation-Angriffe zu demonstrieren. Auch wir zeigen es gerne bei Kunden – oder zu sepago-internen Weiterbildungszwecken… 🙂

Vincent und Benjamin haben ein neues Mimikatz-Modul demonstriert, mit dessen Hilfe sich jeder beliebige Rechner als Domain-Controller ausgeben kann um somit die gesamte Domäne, mithilfe von Trust-Beziehungen auch mehrere verbundene Domänen, komplett zu kapern. Das war wirklich sehr eindrucksvoll, und wir werden uns in den kommenden Wochen damit auseinandersetzen, wie diese Attacke in der Praxis funktioniert und wie man sich davor schützen kann.

Generell hat uns dieses Event wieder gezeigt, dass die Rafinesse digitaler Attacken weiter zunimmt und uns auf diese Weise viel Arbeit bescheren wird, nach dem Motto: ALLES kann gehackt werden. Das wussten wir natürlich irgendwie schon, aber es ist dann doch etwas anderes, dies nochmal so eindrucksvoll demonstriert zu bekommen.

Es war ein großartiges Event und wir haben dort sowohl Beziehungen gepflegt, als auch den Kontakt zu führenden Köpfen aus der Szene aufbauen und neue Bekanntschaften machen können.

Der Standort Israel ist für unser Metier einzigartig, Alex war ja letztes Jahr auch schon dort – und ich kann mir vorstellen, dass wir noch einmal wiederkommen dürfen, nicht zuletzt dank unserer starken Partnerschaft mit Microsoft und dem Windows Defender Advanced Threat Protection-Team.

Von mir findet ihr weitere Bilder und Berichte zum Event auch auf Twitter.