Vor kurzem war Tim auf dem Security Analyst Summit von Kaspersky Labs (#TheSAS2016) eingeladen, welcher dieses Jahr im Februar auf Teneriffa (Kanarische Inseln) stattfand. In diesem Beitrag möchte er seine Eindrücke schildern und einen kleinen Überblick darüber geben, was (aus Sicht der Security-Community) die spannensten Beiträge waren.
TL;DR #TheSAS2016 war eine großartige Erfahrung und Tim hat sehr viel gelernt, da jeder Tag mit vielen Erlebnissen und dem Lernen und Erfahren neuer Dinge einherging. Die Örtlichkeiten waren beeindruckend, die Atmosphäre war etwas besonderes, die Leute waren allesamt sehr nett - alles zusammen war es ein super Erlebnis!
Zunächst einmal für alle die nicht den #TheSAS2016 in ihrer Twitter-Timeline und keine Berichte in den Medien gesehen haben oder einfach nicht wissen, worum es bei SAS geht: SAS steht für “Security Analyst Summit” und ist eine invite-only Sicherheitskonferenz organisiert von Kaspersky . In diesem Jahr wurde die Konferenz auf Teneriffa (Kanarische Inseln) abgehalten.
Ready for #TheSAS2016 pic.twitter.com/ClHu3yYzt0
— Tim Philipp Schäfers (@TimPhSchaefers) 6. Februar 2016
Personen aus der Security-Community, von Strafverfolgungsbehörden und CERTs kommen zusammen, um ihre Ideen zu teilen und darüber zu debattieren, wie man auch zukünftig die Cyberwelt sichert und Cyberkriminalität effektiv bekämpfen kann. Dieses Jahr waren es insgesamt über 330 Teilnehmer. Die Themen der Vorträge gehen von Cyberspionage, über Webhacking, Security/Safety, Malware Analyse bis hin zu ICS Hacking.
In diesem Jahr wurde die Eröffnungsrede von John Lambert @JohnLaTwC gehalten. Er ist Leiter des Threat Intelligence Centers bei Microsoft und sein Vortrag handelte über neue Möglichkeiten im Bereich der Verteidigung (“Changing the Physics of Defense”). Da wir (bei Internetwache.org) meistens die Position eines Angreifers einnehmen und Sicherheitslücken bei Unternehmen offenlegen, war dieser Vortrag tatsächlich sehr erkenntnisreich. Auf der einen Seite zeigte er wie schwer es sein kann Systeme zu sichern, wenn man sich auf traditionelle Verfahren verlässt, zeigte aber auf der anderen Seite wie gut man mit modernen Methoden dafür sorgen kann, dass Systeme und Anwendungen sicherer werden.
Modern defenders vs traditional: think about adversaries not incidents, by @johnlatwc #TheSAS2016 pic.twitter.com/gss5MITuO1
— Eugene Kaspersky (@e_kaspersky) 8. Februar 2016
John hat seine Folien nach dem Vortrag in seinem Onedrive online gestellt. Jeder der daran Interesse hat zu erfahren, wie moderne Sicherheitskonzepte aussehen sollten oder wie Microsoft mit seinem Vorgehen erfolgreich Zero-Day Lücken schließt, dem empfehlen wir ausdrücklich die Lektüre der Folien.
Neben einigen spannenden Vorträgen über offensive und defensive Sicherheitsmaßnahmen gab es auch einige “Enthüllungen” über APTs (advanced persistent threats) oder die Tools von Cyberkriminellen, etwa der “Poseidon APT”, “Adwind” und viele mehr. Hier führen wir nur einige Beispiele auf, sollte tiefergehendes Interesse an einigen Voträgen bestehen, so kann man sich auf securelist.com einige Artikel mit dem #TheSAS2016 durchlesen. Auch die Kollegen von Kaspersky DACH haben einige Artikel online gestellt.
Peoseidon APT
Sicherheitsforscher des Kaspersky GREAT Team haben eine vermutlich portugiesisch-sprechende Gruppe von Cyberkriminellen ausmachen können, die seit circa einer Dekade für Unruhe sorgen. Die Angreifer gehen dabei allerdings sehr geschickt vor und agieren meist unauffällig, um Spuren zu verwischen. Zwischenzeitlich nutzten sie sogar die Infrastruktur von Unternehmen, nur um damit andere Unternehmen anzugreifen. Dem Namen “Poseidon” haben sie erhalten, da es der Gruppe zwischendurch gelang der Satelieten-Kommunikation, welche eigentlich Schiffen vorbehalten war, habhaft zu werden. In einigen Fällen nutzten die Angreifer das alte “wri”-Dateiformat (Windows Write Document) um damit Sicherheitsvorkehrungen zu umgehen und mittels sozialer Manipulation Angreife durchzuführen. Die Gruppe ist vermutlich immernoch aktiv. Tim hat den ersten deutschsprachigen Artikel zu der Gruppe auf golem.de veröffentlicht.
Adwind
Malware-as-a-service scheint für Online-Kriminelle ein sehr lukratives Geschäft zu sein. Mit “Adwind” wurde von den Sicherheitsexperten von Kaspersky ein multi-Plattform RAT (Fernwartungsprogramm) entdeckt. Es ist komplett in Java entwickelt und läuft daher auf viele verschiedenen Systemen (z.B. Windows, Linux, Mac, etc). Die Forscher fanden heraus, dass es dort eine Art Online-Abonnement-Modell für dieses Tool gibt. Das ist der Grund warum diese Malware in verschiedenen APT und Spamkampagnen genutzt werden.
Es gab sehr viele weitere gute Vorträge - zum Beispiel über:
- Krankenhäuser hacken von @61ack1ynx
- Event-Visualisierung nutzen, um mehr Informationen über Sicherheitsvorfälle zu bekommen von @raffaelmarty von Pixlcloud
- Moderne Banküberfälle
I'm not going to try to summarize this. Basically look for patterns. @raffaelmarty #TheSAS2016 pic.twitter.com/OFCKsqr6zA
— Chris Eng (@chriseng) 9. Februar 2016
Dieser Blogpost würde zu keinem Ende kommen, falls Tim alle guten Vorträge und die hervoragende Arbeit dahinter aufzählen würde - Entschuldigung dafür!
Am zweiten Tag war Tim besonders an den Voträgen von Kymberlee Price @Kym_Possible von @bugcrowd und Katie Moussouris @k8em0 von HackerOne.
Als Hintergrundinfo, warum Tim so interessiert an den Vorträgen war (für alle die unsere Arbeit noch nicht besonders lange verfolgen): Wir (bei Internetwache) beteiligen uns seit 2012 an Bug Bounty Programmen - damals gab es nur eine handvoll Unternehmen, welche überhaupt ein solches Programm hatten (in Europa gab es - gefühlt - gar keine Unternehmen). Aus diesem Grund haben wir uns damals sehr gefreut, dass es Unternehmen wie Bugcrowd oder HackerOne gab, welche Sicherheitsforschern, wie uns, halfen und Prozesse zur Offenlegung von Sicherheitslücken entwarfen. Wir waren auf beiden Plattformen von Beginn an sehr aktiv: @Internetwache auf Bugcrowd und @Internetwache auf HackerOne . Das wir von Beginn an als Team gearbeitet haben ist auch recht außergewöhnlich, bis heute sind die meisten Teilnehmer Einzelgänger.
Zurück zum eigentlichen Thema: #TheSAS2016 Vorträge:
In ihrem Votrag hob Kymberlee hervor, dass nicht die Prozesse zur Offenlegung von Sicherheitslücken ein Problem seien (diese sind oft gut durchdacht), sondern vielmehr das fehlende Vertrauen zwischen der Security-Community und den Unternehmen. Wir glauben ebenfalls, dass “Vertrauen” essenziell für jede Art von Bug Bounty Programm ist. Oftmals haben Sicherheitsforscher mehr Vertrauen zu den Firmen als umgekehrt. Wir alle müssen an diesem Vertrauen arbeiten - vielleicht schreiben wir dazu bald noch einmal einen Blogartikel.
Sie nutzte eine sehr schöne Folie von David Lenoe um hervorzuheben, dass man sich gegenseitig Respekt zollen sollte und zusammenhalten sollte:
"No one in the security community is evil … at least the ones who actually communicate with you." @Kym_Possible of @bugcrowd #TheSAS2016
— Internetwache (@internetwache) 9. Februar 2016
Katie @k8em0 hob ebenfalls hervor, dass Hacker wichtig für Gesellschaften und Unternehmen seien - “Die Welt braucht Hacker” (englisch: “the world needs hackers”).
"The world needs Hackers" @k8em0 of @Hacker0x01 #TheSAS2016 pic.twitter.com/svkOkbQ0N7
— Tim Philipp Schäfers (@TimPhSchaefers) 9. Februar 2016
Ihr Vortrag war über Exportkontrollen und moderne Sicherheit. Für Sicherheitsforscher und -unternehmen stellt sich ein Problem dar, dass mit dem Wissen (wie 0days) zusammenhängt. Das “Wassenaar Arrangement” macht es schwer mit solchen Informationen zu reisen, denn “intrusion software” (Hackingtools, etc) stehen beispielsweise auf der Liste von zu überwachenden Waren - Katie möchte, dass das “Wassenaar Arrangement” geändert wird, denn Ausnahmen für Sicherheitsexperten sind laut ihrer Ansicht nicht ausreichend um sicherzustellen, dass die betroffenen Personen und Unternehmen in ihrer Arbeitsgestaltung frei sind.
Der letzte Tag der #TheSAS2016 war ein Entertainment-Tag. Wir machten eine Safaritour, besuchten den Teide Nationalpark und das Teide-Observatorium und entspannt uns ein wenig … Sowohl die Landschaft während der Auffahrt, als auch der Ausblick vom Teide waren wirklich eindrucksvoll.
In diesem Blogpost haben wir einige andere tolle Ereignisse auf dem #TheSAS2016, wie z.B. das Gala-Dinner oder interessante Gespräche, die Tim hatte, ausgelassen - aber das war erstmal alles für heute. Wenn du mehr über #TheSAS2016 herausfinden willst, dann solltest du einen Blick auf den Blog von Eugene Kasperky oder seine Bilder auf Flickr werfen.
Insgesamt war es für Tim sehr interessant einige der Menschen zu treffen, die man sonst nur aus dem Internet oder von Twitter kennt, um deren Ideen über Sicherheit zu erfahren. Leider gab auch eine traurige Sache: Einige Vorträge, denen Monate oder Jahre lange Nachforschung vorausging, mussten teilweise innerhalb von 30 Minuten vorgestellt werden - In manchen Fällen hätte man gerne die komplette Geschichte gehört. Nichtsdestotrotz war das Event großartig! Es würde sogar noch besser sein, wenn mehr Forscher aus der Security-Community dort wären - solltest du also jemals eine Einladung zum SAS kriegen, dann solltest du nicht zweimal darüber nachdenken, ob du diese besondere Gelegenheit wahrnimmst.
Vielleicht sehen wir uns ja auf #TheSAS2017 :)
Das Team der Internetwache.org
That was #TheSAS2016 - lets move on!
— Tim Philipp Schäfers (@TimPhSchaefers) 11. Februar 2016
Thanks for the great time :) @kaspersky @e_kaspersky @ryanaraine @JacobyDavid pic.twitter.com/P4TvQ7oXUE