38C3 Tag 4: Sicherheitsalbträume, übernommene Tenants, kuriose Zahlen & Schluss
Der 38C3 endete mit einem Blick auf die Sicherheitsalbträume des ausklingenden Jahres und vielen kuriosen Fakten rund um den Hackerkongress selbst.
Aufbruchstimmung: Viele Teilnehmende brachten ihr Reisegepäck am letzten Tag des Chaos Communication Congress mit ins CCH.
(Bild: heise security / cku)
- Keywan Tonekaboni
- Dr. Christopher Kunz
- Kathrin Stoll
Der letzte Tag auf dem Chaos Communication Congress: Die Gesichter waren länger, die Augenringe größer und das Schlafdefizit erreichte seinen Peak. Doch bevor der 38C3 am frühen Abend endete, standen noch etliche Vorträge auf dem Programm – darunter ein paar alljährliche Klassiker wie die Security Nightmares. Doch schon der Vormittag war gespickt mit weiteren Talks zu Sicherheitsthemen. So boten beispielsweise Florian Adamsky, Martin Heckel und Daniel Gruss eine Retrospektive auf zehn Jahre Rowhammer – die Angriffstechnik, welche Arbeitsspeicher ins Visier nimmt.
Aus Versehen Tenant übernommen
Der niederländische Sicherheitsforscher Vaisha Bernard wollte für seine Kunden einen Phishing-Test durchführen. Um die Test-Mails an den Spam- und Phishingfiltern von Microsofts Exchange Online vorbeizuschleusen, musste er jedoch bei mehreren "Tenants", also Kundeninstanzen, umfangreiche Allow-Listen einpflegen. Das ging wegen verschiedener Fehler in Microsofts APIs nicht automatisch per PowerShell, daher machte der Tüftler sich daran, einen anderen Weg zu finden.
Was er fand, verwirrte und beunruhigte ihn. Seine Bitten um technische Unterstützung wurden von einem chinesischen Callcenter mit dem obskuren Firmennamen "Wicresoft" beantwortet und schlimmer noch: Plötzlich modifizierte sein selbst gebautes Powershell-Skript die Allow-Listen fremder Tenants. Und mehr noch: Deren Daten wie E-Mails, Teams-Nachrichten oder Dateien auf OneDrive hätte der Hacker frei durchsuchen und über eine Export-Funktion sogar stehlen können. Dem Microsoft Security Response Center (MSRC) war das immerhin eine fünfstellige Belohnung wert, die Sicherheitslücken sind seit etwa einem Jahr geschlossen.
Auch 2024 hielt Sicherheitsalbträume bereit
Im nicht ganz ernst gemeinten IT-Sicherheitsalptraum-Rückblick, den Security Nightmares, haben Constanze Kurz und Ron einen Blick auf das vergangene Jahr durch die IT-Sicherheitsbrille geworfen. Die Informatikerin und CCC-Sprecherin und der internetsüchtige Ron, der eine irrationale Angst vor Rasenmäherrobotern hat, haben dabei versucht, aus allen CVE-Meldungen von 2024, die sie – natürlich – alle gelesen haben, anhand der Incidents Security-Trends des Jahres zu erahnen. Daraus haben sie waghalsig abgeleitet, wie es nächstes Jahr weitergehen könnte.
Rückblickend sei es schon vor zehn Jahren um die Sicherheit von Cloud-Services gegangen, aber jetzt gebe es ja Passkeys. Außerdem sprachen beide über autonome Fahrzeuge, AirPods, generative KI und das traumatisierende Design des Duolingo-App-Icons im Kontext von Nudging. Es ging um Staatstrojaner-Pläne der Bundesregierung und US-Sanktionen gegen Anbieter solcher Software. Des Weiteren thematisieren die Sprecher die xz-Backdoor, den Crowdstrike-Ausfall, das US-Kapersky-Verbot und Microsofts Recall-Debakel. Zahlen haben die Beiden auch mitgebracht: Etwa, dass US-Amerikaner 2024 5,6 Milliarden US-Dollar in Cryptoscams verloren hätten.
Für 2025 sehen sie Gefahren im Energiehunger von KI, diskutieren die Idee eines Cyber-Wehrdienstes für Informatikstudiernde und beschwören den Trend zum On-Premise-Hosting.
Zahlen und kuriose Fakten zum 38C3
Zahlen und Fakten zum Congress dokumentierten die unterschiedlichen Teams des 38C3 im Infrastructure Review: von Stromverbrauch, über genutzte Netzwerk-Bandbreite, Lkw-Tonnagen bis hin zur Anzahl der geschmierten Brötchen (7.000!) für die vielen helfenden Hände, genannt Engel. Der Trend dieses Jahr war, dass mehrere Teams ihre Präsentationen für den Infrastructure Review im Marketingsprech von börsennotierten Unternehmen gehalten haben.
Für die nötige Energie sorgten die selbst ernannten "c3Stadtwerke", wofür sie über 22.000 Meter Kabel verlegten. Insgesamt verbrauchte der 38C3 ganze sechs MWh an Strom. Das entspräche dem Verbrauch von 230 Haushalten oder fünf Bitcoin-Transaktionen, feixten die Vortragenden. Das NOC (Network Operation Center) hatte zwischenzeitlich mit "IPv6 Madness" zu kämpfen, konnte aber schon vor Congress-Beginn Netzwerk und WLAN bereitstellen. Der Congress hatte eine Internetanbindung mit einer Bandbreite von insgesamt 300 GBits/s, von denen aber das 38C3-Publikum "nur" gut 40 GBits/s nutzte. Das Phone Operation Center (POC) bespielte mit 56 DECT-Antennen das Telefonnetz des Congress, wo 4200 DECT-Handtelefone angemeldet waren (3.500 davon zeitgleich). Dieses Jahr gab es neben DECT und SIP auch ISDN – wer Netzwerk oder WLAN nicht über den Weg traute, konnte sich auch per PPP einwählen, BTX nutzen oder auf eine der 29 BBS-Mailboxen zugreifen.
Für das Videoteam (VOC) war die erste Herausforderung, die benötigte Technik überhaupt nach Hamburg ins CCH zu bekommen – sieben Logistik-Unternehmen stornierten den Lieferauftrag wieder. Vor Ort hakelte das Zusammenspiel mit der im Gebäude vorhandenen Tontechnik. Zwar konnten VOC und CCH-Team die Probleme zunächst rechtzeitig vor der Eröffnung fixen, aber ab der ersten Nacht knackste es regelmäßig auf der Audiospur. Das führte zu einem Rückstand bei den Veröffentlichungen der Vorträge auf media.ccc.de. Mehr als 720 Arbeitsstunden investierte das VOC, um mit 22 Kameras die Vorträge abzufilmen und das Material aufzubereiten, wobei 260 Videoengel im Einsatz waren. Apropos Engel: Der Himmel, das Hauptquartier der Freiwilligen, berichtete, dass mehr als 3.400 Engel mindestens eine Zwei-Stunden-Schicht leisteten. Es gab über 6.600 Schichten, was in Summe einer Arbeitszeit von 4 Jahren entspricht.
Humor haben nicht nur die Organisationskomitees des 38C3 gezeigt, sondern auch etliche Projekte in den Assemblies. So hat etwa das Hackwerk Aalen die schwäbische Alltagskultur in die norddeutsche Hansestadt gebracht, wie das folgende Video zeigt.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
38C3 zu Ende – Inhalte und Themen bleiben
Der 38C3 enthielt eine Menge kritischen Input, bunte Assemblies und viele Katzenohren. Nach vier Tagen war es Zeit, von "Illegal Instructions" zurück zu "Legal Constructions" zu kehren. Der Congress ist zwar zu Ende, die meisten Vorträge können Interessierte dennoch anschauen: In der Mediathek der Congress-Website werden sie als Aufzeichnungen angeboten.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(cku)
