Wie in jedem Jahr wurde auch die 15. Black Hat Sicherheitskonferenz vom Gründer Jeff Moss eingeleitet. Er gab erneut einen Besucherrekord bekannt – etwas, das ihn nach eigenen Angaben jedes Jahr wieder überrascht. Als er die Black Hat 1997 ins Leben rief, hätte er sich nicht träumen lassen, dass die Themen rund um IT-Security einmal so viele Interessierte ins sommerliche Las Vegas locken könnte. Bei Außentemperaturen um die 40 Grad fällt der Aufenthalt im moderat temperierten Konferenzzentrum aber durchaus angenehm.
Auf Jeff Moss folgt der Keynote-Sprecher Shawn Henry, der 24 Jahre bei der amerikanischen Bundesbehörde FBI verbracht hat, zuletzt als Executive Assistant Director. Henry ist nun mit einer neuen Beratungsfirma im IT-Bereich unterwegs und will nach eigenen Angaben Lektionen und Methoden aus der herkömmlichen Verbrechensbekämpfung in die IT-Sicherheit übertragen. Dazu gehört vor allem, dass die Verantwortlichen von der Reaktion in einen proaktiven Ansatz übergehen. Sie müssten mehr Informationen sammeln, austauschen und Attacken idealerweise abfangen, bevor sie die Systeme treffen. Dazu gehört beispielsweise auch, dass man das eigene Netzwerk für Angreifer so bösartig wie möglich gestaltet, falsche Fährten legt oder den Angreifern unwichtige und gefälschte Informationen zuspielt.
Im Anschluss blickten fünf Legenden der IT-Welt auf die letzten 15 Jahre zurück. Im Panel unterhielten sich Jeff Moss (inzwischen bei der ICANN), Adam Shostack (Microsoft), Marcus Ranum (Tenable Network Security) und Bruce Schneier (BT), moderiert von Jennifer Granick (Electronic Frontier Foundation), über die Änderungen der letzten Jahre und die Zukunft der IT-Sicherheit. Insgesamt blieben die Experten vorsichtig optimistisch, Probleme wie Spam seien inzwischen gut im Griff. Allerdings besteht noch Nachholbedarf in anderen Bereichen, etwa beim Sicherheitsdenken der Nutzer oder mit mobilen Geräten.
Ein wichtiges Thema der diesjährigen Black Hat ist wieder mobile Kommunikation. Laut Shawn Moyer, einem der Organisatoren der Talks rund um Mobile, wollten die Macher aber keine einzelnen Betriebssysteme oder Apps hervorheben, sondern vielmehr die unterliegenden Probleme und Forschungsergebnisse zeigen. Dazu passen beispielsweise die Forschungsergebnisse von Ralf-Phillip Weinmann, der sich mit Angriffsvektoren auf GPS-Chipsätze und A-GPS beschäftigt. Die Forschung in diesem Bereich ist zwar noch am Anfang, Weinmann konnte allerdings einige (aktuell noch arg theoretische) Ansätze für mögliche Attacken finden. Eher als „Abfallprodukt“ konnte er feststellen, dass sich bei Android relativ einfach ein Bewegungsprofil der Nutzer erstellen lässt, allerdings muss sich das Smartphone dazu mit einem manipulierten WLAN-Hotspot verbinden. Dass die Sicherheitsbedenken bei mobilen Netzwerken teilweise zu Wünschen übrig lassen, zeigte Collin Mulliner. Der Forscher der Technischen Universität Berlin konnte mit relativ simplen Portscans zahlreiche M2M-Geräte, etwa Fahrzeugtracker, Kameras, Smartmeter oder iOS-Geräte, finden, die zwar per GPRS, UMTS oder HSDPA funken, allerdings über das Internet direkt erreichbar sind. Da die Sicherheit oftmals schwach ist, tun sich hier zahlreiche potentielle Sicherheitslücken auf.
Die Black Hat dauert bis zum 26. Juli, anschließend folgt die Def Con 20. Letztere gilt als etwas lockere Fortführung der Blackhat, hier liegt der Fokus nicht nur auf Vorträgen, sondern stellt auch die Hackerkultur in den Vordergrund. PC-Welt berichtet für Sie von beiden Konferenzen.