Def Con und Black Hat: Hacker und Geheimdienste treffen sich in Las Vegas

So ziemlich jeder hat drüber berichtet – NSA General Keith Alexanders Keynote zum Start der Black Hat 2013 in Las Vegas. Im ersten Moment mag man denken, dass das Timing nicht hätte besser schlechter sein können – nur wenige Stunden zuvor hatte Glenn Greenwald neue Folien zu XKeyscore veröffentlicht, die darlegen, dass die Amerikaner wesentlich mehr abhören, als sie bisher zugaben. So müsste es doch ein Spießrutenlauf gewesen sein, wenn der NSA General vor einer Meute Hacker sitzt und über das größte Überwachungsprogramm in der Geschichte der Menschheit redet!? Nicht wirklich. Zum einen saßen im Raum vor allem professionelle, meist auf die ein oder andere Art und Weise vom Staat bezahlte, Sicherheits-Experte und -analysten. Somit war es für Gen. Keith Alexander eher wie ein Heimspiel – kein „Fort Meade Heimspiel“, aber zumindest recht nah dran.

Im Gegensatz zur Def Con ist die Black Hat eher die Recruiting-Platform für Geheim- und Sicherheitsdienst. So ist es auch verständlich, dass es Keith Alexander recht leicht fällt, den Diskurs zu verschieben. Dies Ausgangslage: Die NSA überwacht massenhaft und verdachtsunabhängig alle Menschen – einschlielich US Amerikaner. Nachdem Gen. Keith Alexander die Bühne verlässt: Jeder einzelne NSA-Analyst gibt sein Bestes für die Sicherheit des Landes und den Gleichzeitigen Schutz der Privatsphäre des Einzelnen. Wie hat er das geschafft?

1. Geheimdienstmitarbeiter setzen ihr Leben aufs Spiel, um die US Streitkräfte mit wichtigen Informationen zu versorgen.

I believe these are the most noble people we have in this country.

2. FISA Court hat die Aufsicht über jede Abhörmaßnahme und mit den Richtern ist nicht zu spaßen.

I’ve heard the court is a rubber stamp. I’m on the other end of that table, against that table of judges that don’t take any—I’m trying to think of a word here—from even a four-star general. They want to make sure what we’re doing comports with the constitution and the law, I can tell you from the wire brushings I’ve received, they are not a rubber  stamp.

3. Bisher gab es die wildesten Anschuldigungen, aber wenn die NSA mal wirklich überprüft wurde, wurde nie etwas gefunden.

But when people check what the NSA is doing, they’ve found zero times that’s happened. And that’s no bullshit. Those are the facts.

4. Das System ist bei weitem nicht perfekt, aber zur Zeit das beste, was es gibt. Die NSA ist auf die Hilfe der Community angewiesen, um es stetig zu verbessern.

The whole reason I came here was to ask you to help you to help us make it better. And if you disagree with what we’re doing, you should help us twice as much.

Mit diesen argumentativen Schritten hatte es Gen. Keith Alexander relativ souverän geschafft, den Diskurs zu verschieben. Es geht nicht mehr um grundsätzliche Fragen bzgl. Überwachungsstaat und Freiheit, sondern es geht darum, dass gerade Kritiker helfen sollten das System zu verbessern, da es Leben rettet. Zweifel an der Notwendigkeit und Rechtmäßigkeit dieses Überwachungssystems wurden somit beiseite geschoben und im Fokus steht nur noch: Wie können wir es besser machen? Mit der Rede im Hinterkopf ist es nicht mehr so verwunderlich, dass Jeff Moss – (ehemailder) Gründer der Black Hat und Def Con – dieses Jahr die Geheimdienstbehörden gebeten hat, von der Def Con wegzubleiben.

Zum Glück gab und gibt es auf beiden Konferenzen allerdings mehr zu sehen und zu berichten, als nur Keith Alexanders Rede. Ein paar der „Highlights„:

• Brandon Wiley, Mitbegründer der Freenet-Platform und derzeitiger Entwickler beim Tor-Projekt, hat ein Tool entwickelt, das das Muster von Datenverkehr beliebig verändern kann. Jegliche Art von Datenverkehr hat bestimmte Muster. So sieht Mail-Verkehr „anders aus“, als ein Video-Stream oder Bit-Torrent. Deep packet Inspection analysiert u.a. diese Muster, um SSL-Verkehr, VPN-Tunnel oder Bit-Torrent zu blockieren. Mittels Wileys Tool namens ‚Dust‘ ist es nun möglich das Muster z.B. eines VPN-Tunnels vor dem Versenden zu ändern, um von Deep Packet Inspection nicht erkannt zu werden. Das würde z.B. Menschen in authoritären Regimen ermöglichen sicher und verschlüsselt zu kommunizieren, selbst wenn DPI-Equipment eingesetzt wird.
• Industrial Control Systems (IES) bezeichnet Steuercomputer z.B. in Heiz- oder Wasserkraftwerken, Atomkraftwerken und vielem mehr. Es war lange bekannt, dass diese Systeme oft nur unterdurchschnittlich gesichert sind. So gab es auf der Black Hat gleich 3 Präsentation, die Sicherheitslücken in diesen Systemen aufgedeckt haben.

One demonstration today will spray the audience with water from a replica water plant component forced to overpressurize. Another will show how wireless sensors commonly used to monitor temperatures and pressures of oil pipelines and other industrial equipment could be made to give false readings that trick automatic controllers or human operators into taking damaging action. A third talk will detail flaws in wireless technology used in 50 million energy meters across Europe that make it possible to spy on home or corporate energy use and even impose blackouts.

•  Distributed Denial-of-Service (DDoS) Attacks über simple Werbe-Netzwerke. Ein anderer Vortrag auf der Black Hat hat gezeigt, wie Javascript Ads genutzt werden können, um einen Webserver in die Knie zu zwingen. Durch einen manipulierten Werbebanner haben es die Sicherheitsexperten geschafft ein bestimmtes Bild auf einem Test-Webserver so oft von 100.000 Besuchern laden zu lassen, dass der Webserver schlichtweg zusammengebrochen ist. Effektv wäre es einer Botnet-Attacke gleichzusetzen. Allerdings ist fraglich, wie effektiv diese Attacke gegen Websites ist, die DDoS Mitigation-Tools einsetzen.
• Außerdem gab es noch gehackte iPhone-Ladegeräte, die root-Zugriff ermöglichten oder Sicherheitslücken in medizinischen Geräten, wie Herzschrittmacher u.ä.

Leider wird es von den wenigsten Präsentationen Streams geben. Letztlich sind Def Con und Black Hat aber, wie jedes Jahr, zu gleichen Teil Spielplatz, Hype-Maschine und „the place to be.„