BRUCON 2014

Ich habe auch in diesem Jahr die BRUCON-Konferenz im schönen Städtchen Gent besucht. Leider war in diesem Jahr kein Budget für ein Training vorhanden, so daß ich nur von der Konferenz berichten kann.

Wie üblich gab es wieder Vorträge und (teilweise) parallel Workshops. Man konnte sich über eine Webseite einen eigenen Kalender zusammenstellen; allerdings wurde nicht deutlich, dass man sich so auch für die Workshops registriert hat. So hatte ich aber zumindest einen Platz in jedem gewünschten Workshop sicher…

Die Konferenz begann am Donnerstag mit einer Keynote von Jennifer Minella. Ihr Thema war, wie wir mehr Leute für IT Security begeistern können, um die Personalknappheit zu vermindern. Sie nutzte dazu Zitate aus Büchern von Dr. Seuss. Zwei Punkte haben mir besonders gut gefallen:

– Leadership bedeutet Leader zu erschaffen, nicht Follower

– Man begeistert Leute nicht für die IT Security, wenn man selber nur darüber spricht wie schlecht alles ist

Ich bin eigentlich kein Freund von Keynotes, fand diese aber gut.

Der nächste Vortrag von Matt Hastings und Ryan Kazanciyan hatte den Titel Investigating PowerShell Attacks. Die Beiden haben sehr schön aufgezeigt, welche neue Angriffsfläche durch PowerShell entstehen kann und wie sich PowerShell für Attacken nutzen lässt. Die Folien werde ich mir auf jeden Fall noch mal in Ruhe anschauen und einige Dinge in meine Beratung einfliessen lassen.

Danach gab es einen Vortrag von Aaron Lemasters mit dem Titel Windows Crash Dump Exploration Vehicles. In dem Talk wurde gezeigt, was bei einem Crash Dump passiert und wie sich das ausnutzen lässt, um z.B. bei einem Befall mit einem Rootkit der MBR ausgelesen werden kann. Keine leichte Kost, aber zu empfehlen.

Danach hatte ich die Auswahl zwischen drei Workshops. Leider habe ich mich in den falschen Workshop gesetzt…

Daniela Zapata und Wim Remes wollten einen vierstündigen Workshop zum Thema The dirty secrets of client-side exploitation and protection halten. Unglücklicherweise befanden sich die Hands-on Labs in dem Koffer, der nicht den Weg nach Gent gefunden hatte (merke: immer ein Backup haben). So ging Wim eine Stunden lang seine Folien durch, die aber für mich nicht viel Neues enthielten. Interessant war aber, dass er einige Freiwillige in die Stadt schickte mit dem Auftrag, von Wildfremden die Mailadressen und Telefonnummern zu bekommen. Und sie kamen nicht ohne Beute zurück…

Schade nur dass nicht gezeigt wurde, wie man mit diesen Informationen an weitere Informationen zur Vorbereitung eines Angriffs kommt.

Nun musste ich mich entscheiden, wie ich die Lücke füllen sollte. Ich entschied mich, in den Workshop Javascript for Pentesters with over 20 Challenges von Vivek Ramachandran zu gehen. Ursprünglich hatte Vivek für den Workshop vier Stunden vorgesehen, wurde aber wegen parallel laufender Workshops gebeten, seinen Workshop zwei Mal zu halten. Er musste seine Beispiele deswegen in 120 Minuten packen. Die hatten es dann aber in sich. Selbst ich als ziemlicher Javascript-Neuling konnte fast allen Beispielen folgen und ich war erstaunt, was damit so alles geht. Wirklich schade, dass es davon keine Videoaufzeichnung gibt.

Zu der Party sage ich nur so viel, dass keiner tanzte, die Musik aber trotzdem zu laut zum Unterhalten war. Ich plädiere hier für eine Rückkehr zu der Location von vor zwei Jahren.

Am nächsten Morgen haben wir uns kurzfristig für den Workshop Splinter the Rat Attack: Create your own Botnet to exploit the network von Solomon Sonya entschieden. Dieser Workshop war aufgrund von Änderungen am Ablauf in den ersten Slot geraten, was sich als Glück für uns herausstellte. Solomon zeigte uns in dem Workshop, wie man mit seinem Tool Splinter und einigen anderen Tools ein Botnetz aufbaut. Wir haben auch darüber diskutiert, wie man sich dann am besten vor Entdeckung schützt. Der Workshop war ein echter Gewinn und aufbauend auf seinen Tools kann man mal ein anderes Live-Hacking als das Übliche „hier ist die Shell“ aufbauen.

Danach ging es dann zu Willi Ballenthin und seinem Workshop „EID 1102 – The Audit Log was cleared“ wont stop me: Advanced Windows Event Log Forensics. Willi erklärte einige Internas zum Windows Event Log und erklärte die Unterschiede zwischen dem Prä-Vista Event Log und der neuen Version (ab Vista). Er stellte dann einige Tools vor, mit denen man auch dann noch Informationen aus dem System holen kann, wenn ein Angreifer das Event Log gelöscht hat. Ein sehr interessanter Wokshop von jemand, der weiß wovon er spricht.

Abschliessend gab es dann noch den Workshop Network Device Forensics von Didier Stevens. Es standen 20 CISCO-Geräte für die Teilnehmer zur Verfügung; leider bekam ich meine serielle Schnittstelle nicht zum Laufen, so daß ich auf die vorgefertigten Dumps zurückgreifen musste. Didier erzählte zuerst etwas über die Internas von CISCO IOS und zeigte dann, wie man einen Dump von einem IOS-Gerät macht. Er stellte dann ein paar seiner eigenen Tools vor, um diese Dumps zu analysieren. Wie praktisch, dass ich noch einen alten ISDN-Router zu Hause habe;-)

Auch dieser Workshop war sehr spannend und wer sich mit CISCO IOS beschäftigt, sollte mal einen Blick auf seine Tools werfen.

Nach diesem Workshop war dann Schluß für uns und wir haben uns auf den Heimweg gemacht.

Ich habe wieder viel gelernt, alte Freunde getroffen und neue Freunde gewonnen. Das macht für mich BRUCON aus.

In diesem Sinne: bis zum nächsten Jahr! (Und dann hoffentlich wieder mit dem Besuch eines Trainings)

PS: was ich gerne noch gesehen hätte:

– Michael Sikorski: Counterfeiting the pipes with Fakenet 2.0 (zumindest habe ich die Slides)

– Hal Pomeranz: Linux Forensics Workshop (ich habe zu spät gesehen, dass der Workshop Donnerstag Abend noch mal lief)

– Jake Valletta: Exploiting the bells and whistles: Uncovering OEM vulnerabilities in Android (auch hier habe ich aber die Materialien; der Workshop soll sehr gut gewesen sein)

Leave a reply

Your email address will not be published.

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>