Nachlese zur Defcon
Nach 17 Jahren ist die Defcon weitaus weniger spektakulär als in ihren Anfängen. Ein Grund sei, dass die früheren Kiddie-Hacker erwachsen geworden seien und nun ihre eigenen Kinder mitbringen würden.
- Uli Ries
- Daniel Bachfeld
Trotz Wirtschaftskrise wächst die seit nunmehr 17 Jahren jährlich stattfindende Hackerkonferenz Defcon weiter: Mehr als 8000 IT-Freaks, Sicherheitsprofis und Behördenvertreter (das klassische Entdeckerspiel "Spot the Fed" findet inzwischen ganz Web-2.0-kompatibel per Twitter statt) strömten ins inzwischen viel zu kleine Konferenzzentrum. Spektakuläre Präsentationen von 0-Day-Attacken gab es jedoch keine: Die Organisatoren legten Wert darauf, dass alle Sprecher die betroffenen Hersteller vorab informierten. "Wenn ein Unternehmen darauf nicht reagiert? Pech gehabt, dann gibt es eben bei uns alle Infos zur Lücke."
Inzwischen sind die IT-Unternehmen aber aufgewacht und nehmen die Hinweise aus der Hacker-Szene weitgehend ernst, so Jeff Moss, Gründer der Defcon und ihrer kommerziellen Schwesterveranstaltung Black Hat. Moss gibt zu, dass die Defcon weitaus weniger spektakulär ist als noch vor wenigen Jahren. Das liegt zum einen daran, möglichst wenig Ärger mit betroffenen Unternehmen zu bekommen. Dazu Moss: "Es ist für keinen der Beteiligten ein Spaß, wenn hier plötzlich zehn Polizisten reinkommen und einen der Referenten auf der Bühne festnehmen. So aufregend es klingt, wir verzichten gerne auf die Aufregung durch die Schlagzeilen."
Zwar kam es auch in diesem Jahr zu Verhaftungen, allerdings wegen eher artfremder Vergehen wie dem unerlaubten Waffenbesitz oder dem Versuch eines Abenteuerlustigen, sich durch Knacken eines Türschlosses zum Dach des Hotels aufzumachen, um von dort per Bungee-Seil in die Tiefe – und wahrscheinlich auch in die Intensivstation – zu springen.
Zum anderen sind die Gemeinden der Hacker und die der Unternehmen laut Defcon-Gründervater Moss gemeinsam erwachsen geworden. "Die Kids, die hier vor zehn Jahren noch wüste Hacks präsentiert haben und sich mit jedem anlegen wollten, bringen heute ihre eigenen Kinder mit. Entsprechend vernünftig geht es inzwischen auch zu", erzählt Moss. Außerdem sei IT-Sicherheit inzwischen ein Mainstream-Thema geworden, sodass Veranstaltungen wie die Defcon nichts Besonderes mehr seien.
Auf die feindlich gesinnte Gruppe der "Anti-Sec"-Cracker angesprochen, die kurz vor Beginn der Black Hat durch Einbrüche bei prominenten Hackern von sich reden machte, sagte Moss: "Das sind meiner Meinung nach nur 10 bis 20 weltweit versprengte, bösartige Hacker. Sie sind Ewiggestrige, die nicht erkennen wollen, dass es ohne Zusammenarbeit zwischen Industrie und Hackern nicht geht." Anti-Sec prangert die Offenlegung an, weil sie nur dazu diene, Schreckenszenarien zu malen, um Leute zum Kauf einer Firewall, Antiviren-Software und der Beauftragung von Auditing-Dienstleitstungen zu bringen.
Eines der Opfer der Anti-Sec-Gruppe war Dan Kaminsky. Er rätselt nach wie vor, was die Motivation der Cracker ist, seine privaten Dokumente zu veröffentlichen: "Um die Demonstration ihrer technischen Fähigkeiten kann es denen nicht gegangen sein. Andernfalls hätten sie sich kaum über meine Dating-Gewohnheiten hergemacht", sagte Kaminsky gegenüber heise Security.
Der Promi-Hacker ist einer der glühenden Verfechter des verantwortungsvollen Veröffentlichens (responsible disclosure) von Sicherheitslücken: "Wenn wir Hacker die Unternehmen ein ums andere Mal ins offene Messer laufen lassen und die entdeckten Lücken für uns behalten, dann hat davon niemand etwas. Die Produkte werden sicher nicht besser, wenn Firmen unter gewaltigem Druck nachbessern müssen. Außerdem würde über kurz oder lang der Gesetzgeber auf den Plan gerufen, wenn Produkte über lange Zeit große Schäden verursachen. Die Zusammenarbeit der Hacker mit der Industrie verhindert meiner Meinung nach eine Regulierung des Internets durch Bürokraten", meinte Kaminsky.
Außergewöhnlich offen gegenüber den Black Hats zeigte sich der durch seine Google-Hacking-Bücher bekannt gewordene Johnny Long. Long gründete mit Hackers for Charity die erste gemeinnützige Organisation, die ihre Spenden größtenteils aus der Hacker-Szene bezieht. Das Projekt finanziert damit PC-Schulungsräume in Uganda und sichert dortigen Waisenkindern eine Unterbringung samt Ausbildung im Heim.
Long wohnt inzwischen selbst in Uganda und lebt von Spenden. Im Gespräch mit heise security erzählt Long, dass er auch Geld von Black Hats annimmt: "Uns wurde schon öfter Geld angeboten, das mit dem Verkauf von 0-Day-Exploits erlöst wurde. Wir haben da keine Berührungsängste und nehmen das Geld an. Den Hack können wir eh nicht mehr verhindern, und besser, das Geld finanziert das Überleben von Kindern als den Konsumrausch eines Black-Hat-Hackers."
Siehe dazu auch:
(Uli Ries) / (dab)
