Maarten van Horenbeeck hat sich in seinem Vortrag “Crouching Powerpoint, hidden trojan” mit “professionellen” Anriffen beschäftigt, also nicht den 98%, die durch die üblichen Versuche des Abgreifens von Bankdaten und sonstigen Passwörtern entstehen. Dabei ist er relativ detailliert auf die technischen Tricks eingegangen. Ein wichtiges Ziel derartiger Attacken ist es natürlich, nicht aufzufallen. Deshalb wird versucht, möglichst unaufällig zu bleiben. Insbesondere werden Änderungen des DNS genutzt, um Attacken relativ unauffällig zu aktivieren oder deaktivieren. Sollen keine Informationen an das Zielsystem übermittelt werden, löst der Domänenname auf localhost auf. Neuerdings nutzt man auch Schalter, um bei gewissen aufgelösten IP-Adressen (64.63.64.63 oder so war das Beispiel) keine Infos zu übertragen. Löst der Hostname auf eine andere IP auf, werden Informationen übertragen. Aus Sicht des Sysadmins ist es relativ schwierig, dies nachzuvollziehen, da kaum jemand DNS-Queries loggt und im Nachhinein Änderungen am DNS nicht besonders gut nachvollzogen werden können.

Allerdings gibt es gewisse Institutionen, die die DNS-Historie aufgelöster Domänennamen loggen (eine deutsche Uni wurde genannt) und mit deren Hilfe kann man Änderungen nachvollziehen. Dabei ist für eine Attacke herausgekommen, dass sie im Abstand weniger Tage mehrmals gestartet und wieder gestoppt wurde.

Ein Wort zur Atmosphäre hier: Wie ich es nicht anders erwartet hätte, ist der Nerdfaktor ziemlich hoch. Gestern hat jemand im Saal 1 während eines Vortrages erstmal irgendwelche Umfangreichen Turnübungen gemacht (Joga?). Das Catering ist ziemlich gut. Den Burger für 4 Euro finde ich ziemlich gelungen. Die Pizza fand ich allerdings ein wenig pappig. Dieses Jahr habe ich auch den lokalen Dunkin Donuts Laden gefunden, von dem ich letztes Jahr nur die leeren Schachteln gefunden habe. Die WLAN-Verbindung stockt ziemlich. Heute morgen hat alles problemlos funktioniert, gestern und jetzt scheint gar nichts zu gehen.

Mehr zu den Vorträgen von heute gibts dann später…

Einige weitere Vorträge habe ich mir auch angehört. Dazu zählte der TOR-Vortrag durch Mitglieder des CCC. Der CCC betreibt zwei TOR-Exit-Nodes und einen JAP-Exit-Node. Dazu hat der CCC eine Abuse Hotline eingerichtet, die per Mail, Fax und Telefon erreichbar ist. Ansprechpartner ist dort ein Rechtsanwalt des CCC – dies erleichtert die Kommunikation mit Ermittlungsbehörden, Staatsanwaltschaften etc. Bisher gab es keinerlei Repressalien durch die Ermittler. Allerdings erscheint mir dies auch einfacher, wenn man der CCC ist statt eine normale Privatperson.

Danach war ich auf dem Vortrag von Anne Roth zum Thema “What is terrorism?”. Annes Lebensgefährte wurde auf Basis einer Textanalyse im Internet verdächtigt, Mitglied der “Militanten Gruppe” zu sein und daraufhin auf allerlei Kanälen überwacht. Anne berichtete von den Erlebnissen von zwei Hausdurchsuchungen, dem Leben mit der – immer noch andauernden – Überwachung und allerlei Gegebenheiten rund um die weitere Entwicklung des Falles. Es war teilweise erschreckend, teilweise zum Lachen, aber immer sehr eindrucksvoll. Nach dem Ende des Vortrages gab es stehende Ovationen. Ich kann Euch allen Empfehlen, den Mitschnitt später anzuschauen.

Ich war noch bei einem Vortrag zu einem anonymen Zugriffkontrollsystem. Ich bin jetzt nicht der große Krypto-Experte, aber nachdem die von Ihrem selbstentworfenen Verschlüsselungsalgorithmus gesprochen haben, wurden sie durch die anschließenden Fragen m.E. doch ziemlich an die Wand genagelt.

Einen weiteren Vortrag gab es zum “Virus Underground“, der mich auch ziemlich enttäuscht hat. Ich bin zwar nach der Hälfte gegangen, aber alles was bis dahin erzählt wurde, hätte ich mir auch selbst denken können und es schien nicht den Eindruck zu machen, dass es wesentlich tiefgründiger werden würde. Leider habe ich dadurch einen Teil des Vortrages von Dan Kaminski verpasst (DNS Rebinding and more Packet Tricks), der relativ kurzfristig verschoben wurde. Circa die Hälfte des Vortrages konnte ich noch mitnehmen und werde ihn mir in Gänze nochmal auf Video ansehen.

Jetzt gehts erstmal zu den Lightning Talks – einer Veranstaltung, wo Vortragende jeweils 5 Minuten Zeit bekommen, um über ein Thema zu berichten. Mal sehen wie das wird. Anschließend berichte ich noch über die restlichen Vorträge von gestern und das allgemeine Flair hier.

Mal ein erster Zwischenbericht. Ich war am ersten Tag leider etwas verspätet angekommen, aber ich hab noch einen Teil des Bundestrojaner Vortrags anhören können. 6 Leute des CCC waren bei der Anhörung des Bundesgerichtshofes in Karlsruhe und haben dort Ihre Sicht der Dinge dargestellt. Dabei kamen wohl technisch sachverständige Rückfragen durch die zuständigen Bundesrichter. Weniger gut abgeschnitten haben dort vor Ort anscheinend die Freunde von den Strafverfolgern.

Das Fazit der Vortragenden bzgl. der Lobbyarbeit bei MdBs war jedoch, dass rationale Argumente nicht geholfen haben. Im Endeffekt haben sich die meisten Abgeordneten auf ihre Fraktionspflicht zurückgezogen.

Was noch fehlt sind sind plastische Darstellungen der Konsequenzen der Online-Durchsuchung, damit der “gemeine Bürger” auch die nagativen Konsequenzen versteht.

Für mich ganz interessant war, dass tatsächlich aus dem Publikum die Frage kam, warum BKA & Co. nicht einfach EnCase FIM von Guidance Software nutzen. Das ist eine Remote Forensic Software (woher kommt wohl auf einmal dieser Begriff in den Medien?!), die ziemlich genau die benötigte Funktionalität bereitstellt. Für Privatpersonen nennt sich das dann EnCase Enterprise. Die CCC-Leute meinten jedoch, dass es sich um eine Eigenentwicklung der Behörden handelt.