Security Konferenzen 2018

Die einen reisen wegen der Workshops und Wettbewerbe (sog. Capture-the-flag, kurz CTF) nach Las Vegas, andere lösen wiederum kein Eintritts-Ticket und gehen hin, um alte Freunde zu treffen, und wieder andere möchten sich Vorträge und neuste Erkenntnisse zu verschiedenen Security-Themen anhören. Bezüglich Unterkunft ist in Las Vegas alles möglich – über Airbnb zu günstigen bis zu sehr teuren Hotel-Suiten. Was auch sehr beliebt ist bei den Hackern: die Vendor-Partys, wo Hersteller bzw. Anbieter von Security-Produkten und Dienstleistungen zu Partys laden, an denen berühmte DJs auflegen, viel gratis Alkohol fliesst und dies in dennoch ungezwungener Atmosphäre. Manche der Partys sind berühmt-berüchtigt und an Eintrittstickets zu kommen ist nicht einfach.

Die wichtigsten Security-Konferenzen

Inzwischen existiert in Las Vegas im Sommer ein interessantes und abwechslungsreiches Line-Up von Security-Konferenzen:

• BlackHat: eine der bekanntesten Security-Konferenzen, inzwischen mit Ablegern «BlackHat Europe« und «BlackHat Asia« auch in anderen Kontinenten vertreten. Ich war in 2016 das erste Mal an der BlackHat in Las Vegas – und obwohl die Vorträge teilweise interessant waren, finde ich das Preis-Leistungsverhältnis, verglichen mit den anderen Angeboten, nicht ansprechend. Für rund 1500 USD erhält man ein Ticket für zwei Tage Konferenz, beinhaltend Vorträge und «Verkaufsfläche«. Es ist allerdings so, dass einige der Vorträge, mehr oder weniger identisch (oft von den gleichen Rednern), später auch an der Defcon gehalten werden (die einiges günstiger ist). Zumal die «Verkaufsfläche« oder auf Englisch «vendor area« ein sehr lauter Bazar von den bekannten und weniger bekannten Herstellern von Security-Produkten und Dienstleistungen ist. Die letzten Jahre fand die BlackHat im Mandalay Bay Hotel statt, wobei in den letzten zwei Jahren (2017 und 2018) in das Konferenzzentrum des Mandalay Bay gewechselt wurde – die Keynote wird auf einer Bühne gehalten, von der man meint, in einem riesigen Rock-Konzert zu sein. Nicht so mein Ding – Security ist zwar ein wichtiges Thema, doch an der BlackHat hat es für meinen Geschmack etwas zu viel «Show-Komponente«. Genaue Besucherzahlen gibt es meines Wissens keine, es ist die Rede von 8000-10’000 Besuchern. Sehr beliebt sind die Trainings, die jeweils vier Tage vor der eigentlichen Konferenz stattfinden – diese sind rasch ausgebucht, trotz der horrenden Preise. Die Trainer sind weltberühmte Grössen und gemäss Berichten von Teilnehmern lohnt sich die Teilnahme – man muss allerdings mit Teilnahmekosten von rund 1000 USD pro Trainings-Tag rechnen, wobei die meisten Trainings auf zwei Tage angesetzt sind.
• Defcon: Mitgegründet von «the dark tangent«, im richtigen Leben Jeff Moss, der auch die BlackHat ins Leben gerufen hat, präsentiert sich unmittelbar nach der BlackHat die Defcon Konferenz. Die inzwischen auf eine Teilnehmerzahl von gut 25’000 Besuchern angewachsene Gross-Konferenz bietet – soweit es in dieser Grösse möglich ist – nach wie vor das «con-feeling« einer echten, nicht-kommerzialisierten Vereinigung von Hackern aus der ganzen Welt. Eine Besonderheit der Defcon ist, dass die Tickets vor Ort und nur gegen Bargeld erworben werden können – einen Vorverkauf sucht man vergebens. So begeben sich tausende Hacker am frühen Donnerstagmorgen (einige campieren bereits am Mittwochabend traditionell vor den Kassen) in die riesigen Hotel-Konferenzsäle und -Gänge, um mehrere hundert Meter Schlange hinter sich zu bringen. Durch eine hoch-parallelisierte Kassen-Infrastruktur kommt man so meist in unter einer Stunde an die begehrten Tickets zu einem Preis von 280 USD, für vier Tage Konferenz – im Vergleich mit kommerziellen Konferenzen ein sehr günstiger Preis! In 2016 war ich das erste Mal an der Defcon, die damals in den beiden nebeneinander (und miteinander verbundenen) Hotels Paris und Bally’s stattfand.Das Jahr danach wurde die Defcon im Caesar’s Palace durchgeführt, in 2018 zusätzlich noch im Flamingo – was logistisch anspruchsvoll war, da die Vorträge in beiden Hotels stattfanden. Aufgrund der Grösse müssen so locker 15 Minuten eingerechnet werden, um vom einen ins andere Hotel zu gelangen. Oft genug war man am Ziel dann überrascht, dass für einige Vorträge bereits mehrere Menschenschlangen bestanden – für besonders beliebte Redner oder Themen musste man bereits 1-2 Stunden vorher anstehen, um auf sicher einen Platz zu ergattern. In den Sky-Talks ist jegliche Aufnahme oder Gebrauch von elektronischen Geräten strikt untersagt – was auch gnadenlos überwacht wird durch die «Goons«, wie sich die freiwilligen Helfer nennen. Das ermöglicht den Rednern, hinter verschlossenen Türen gewisse Interna preiszugeben, die sonst aus Zurückhaltung und Sorge um rechtliche Gegenmassnahmen durch betroffene Hersteller von kritisierten Produkten nicht veröffentlicht würde. An der Defcon finden sich inzwischen unzählige Workshops zu verschiedensten Themen. Momentan prominent ist das «Hacking Village« mit Wahlmaschinen aus den USA, die auseinandergenommen werden sowie das hacken von «Medical Devices«, das in 2018 im grösseren Stil ausgeführt wurde. Im «Wireless Village« lohnt es sich, sämtlich Funk-Dienste der eigenen Geräte (WLAN, Bluetooth etc.) auszuschalten – generell gelten Hackerkonferenzen als «hostile networks« und jeder ist für die Schutz- und Sicherheitsmassnahmen der eigenen Geräte selber verantwortlich. Viele Besucher nehmen deshalb sogenannte «burner devices« mit; Hardware, die nicht im produktiven Einsatz steht – wegen des allgegenwärtigen Risikos, gehackt zu werden. Die Hotels pflegen übrigens eine Hassliebe zu den Hackerkonferenzen – zwar bringen die Konferenzen viele zahlende Besucher nach Las Vegas, diese speziellen Besucher machen sich aber jeweils einen Spass daraus, die Sicherheitsmassnahmen aller möglichen Gerätschaften – Lift-Steuerungssysteme, Geld-Automaten/Bankomaten und natürlich die Geldspiel-Automaten, zu testen. Jemandem gelang es sogar, sich über ein Aquarium im Hotel ins Netzwerk eines Casinos zu hacken, das mit dem Hotel-Netzwerk verbunden war.
• bsidesLV: Zur gleichen Zeit wie die BlackHat, also zwei Tage vor der Defcon, findet die sog. «bsides Las Vegas«, kurz bsidesLV Konferenz statt. Die bsides-Konferenzen bestehen weltweit in vielen Städten, seit drei Jahren auch in Zürich als bsidesZH, jeweils im September. Das Konzept der bsides-Konferenz ist es, Rednern zu ermöglichen, ihre Vorträge zu halten, die an den «grossen« Konferenzen erfolglos eingegeben wurden während des «CfP – Call for Papers». Deshalb können auf der bsides-Konferenz die «Seite B» zu Themen gehört werden, die es nicht an die berühmten Konferenzen geschafft haben – was die Vorträge allerdings nicht minder interessant macht! Die bsides-Konferenz ist traditionell kostenlos und funktioniert nach dem «first come, first serve» Prinzip – «es hät, solang’s hät». Die Tickets sind deshalb rasch vergriffen – eine Garantie auf Eintritt erhält man, wenn man als Sponsor eines der zahlungspflichtigen Angebote löst. Vom Konzept her ist die bsidesLV ähnlich wie die Defcon – um einige Faktoren kleiner und deshalb auch persönlicher. Ein besonderer Workshop-Raum widmet sich Einsteigern im Thema, wo mit Vorträgen und «Lebenslauf-Beratungs-Sitzungen» der Eintritt bzw. Übertritt in den Security-Arbeitsmarkt erleichtert werden soll.
• Last but not least: die «Diana Initiative» – eine Security Konferenz, die sich primär an weibliche Teilnehmerinnen richtet und entsprechend die Förderung von Frauen in der Security-Szene zum Ziel hat. Die Konferenz findet zeitgleich zur Defcon statt und wurde in 2016 das erste Mal (noch unter anderem Namen) durchgeführt. In einer grossen Suite im Caesars Palace finden im grossen Wohnzimmer, das mit Theaterbestuhlung zum Konferenzraum umgebaut wurde, Vorträge mit technischen und kulturellen Inhalten statt. In den Nebenräumen gibt es ebenfalls die beliebten Workshops, allen voran der beliebte «Lockpicking-Sport», wo mit Hilfe von mechanischen «lockpick-sets» versucht wird, verschiedene Schlösser (vornehmlich Bügel-Schlösser) zu knacken. Ein Sport, der viel Fingerspitzengefühl und Geduld erfordert und in der Hacker-Szene traditionell hohe Beliebtheit geniesst.

Es gibt weltweit inzwischen Dutzende von Hacker-Konferenzen, wobei der Schwerpunkt nach wie vor in Amerika liegt. Die kommerziellste Konferenz dieser Art ist wohl die RSA-Konferenz, ursprünglich in San Francisco, inzwischen auch als RSA-Europe sowie als RSA Asia-Pacific & Japan ausgeführt. Bisher habe ich es nicht an eine RSA-Konferenz geschafft, wobei meine Präferenz nach wie vor im besonderen Stil der «hacker-cons» liegt.

Praktisch vor unserer Türe liegt die grösste europäische Hacker-Konferenz vom Chaos Computer Club, der «Chaos Communication Congress», in Deutschland – der traditionell am 27.-30. Dezember stattfindet, in 2018 wie auch in 2017 in Leipzig. Hier werden ungefähr 12’000 Besucher erwartet. Der Kongress ist inzwischen bereits während des Vorverkauf ausgebucht. Dafür werden alle Inhalte – in einer hohen HD-Qualität und mit Simultan-Übersetzung und Untertitelung – jeweils live gestreamt und sind anschliessend auch als Archiv verfügbar, so dass man auch ohne Ticket von «zu Hause aus» teilnehmen kann.

Wenn Sie sich für das Thema Informationssicherheit, Hacker, Cybersecurity und die Risiken der sog. «Informationsgesellschaft» interessieren, besuchen Sie eine der erwähnten Konferenzen. Der Grundsatz ist: Jeder ist willkommen, vom Anfänger bis zum erfahrenen und berühmten Spezialisten! Vernetzen, lernen, ausprobieren – mit dieser Einstellung ist Sicherheit ein Thema, das von allen Interessierten angegangen werden kann!

Falls Sie sich wundern, was an solchen Konferenzen für Inhalte vorgetragen werden:

Das Programm der Defcon 26, 2018: https://www.Defcon.org/html/Defcon-26/dc-26-schedule.html
Das Programm der bsidesLV, 2018: https://www.bsideslv.org/schedule/
Die Diana-Initiative: https://www.dianainitiative.org/
Chaos Computer Congress: https://events.ccc.de/
Bsides weltweit: http://www.securitybsides.com/

Umberto Annino ist Präsident der Information Security Society Switzerland ISSS