Die SySS-Vortragsreisen 2019: Von Tübingen in die Welt

Vortragsreisen führten die Pentest Experts von Tübingen aus u.a. nach Finnland, Luxemburg, Polen, Österreich, in die Schweiz und in die USA

Seit 2013 gibt es bei der SySS GmbH ein eigenes Forschungs- und Entwicklungsprogramm, das kontinuierlich ausgebaut wird: die Abteilung Research & Development. Eine solche Abteilung zu betreiben, bedeutet bei der SySS: Die Firma stellt einerseits ein Zeitbudget in Personentagen zur Verfügung, das Mitarbeiterinnen und Mitarbeiter für Forschung verwenden können. Andererseits existiert ein Geldbudget für Anschaffungen, die für diese Forschungen benötigt werden, wie Testgegenstände, Werkzeuge, Softwaretools, Hardwaretools etc. Die Forschungsthemen sind frei wählbar und decken von neuesten Entwicklungen im Bereich der IT Security allgemein bis hin zu kunden- bzw. projektbezogenen Fragestellungen ein sehr großes Spektrum ab.

R&D-Abteilungsleiter Matthias Deeg und seine Kollegen präsentieren ihre neu gewonnenen Erkenntnisse regelmäßig auf internationalen Fachtagungen. 2019 führten Vortragsreisen die Pentest Experts von Tübingen aus u.a. nach Finnland, Luxemburg, Polen, Österreich, in die Schweiz und in die USA.

In Helsinki sprach Senior Expert IT Security Consultant Matthias Deeg auf der t2 infosec Conference über die Sicherheit drahtloser Eingabegeräte, auf der hack.lu in Luxemburg zeigte Senior IT Security Consultant Gerhard Klostermeier in einer Live-Demo Schwachstellen in drahtlosen Maus-Tastatur-Sets, auf den IT-Sicherheitskonferenzen Black Alps in Yverdon-les-Bains und CONFidence in Krakau präsentierte er „New Tales of Wireless Input Devices“ – in Krakau gemeinsam mit seinem Forschungskollegen Matthias Deeg. Las Vegas und Wien bereiste Senior IT Security Consultant Dr. Adrian Vollmer: Auf der Black Hat und der DeepSec stellte er sein „Lauschgerät 2.0“ vor, ein Man-in-the-Middle-Tool, um Datenverkehr auszuspionieren und zu modifizieren, TLS-Verbindungen aufzubrechen und den 802.1X-Standard zu umgehen.

Internationale Sichtbarkeit ist jedoch nicht die einzige Motivation, weshalb die SySS bei Fachtagungen weltweit präsent ist.

Warum Vortragsreisen?

Forschung entsteht meist aus Neugierde und aus der Lust, sich in ein Thema einzuarbeiten und Erkenntnisse zu gewinnen. Forschung soll einen Bedarf decken und bestenfalls Lücken schließen. Nicht weniger groß ist bei den Pentest Experts jedoch auch der Wunsch, diese Erkenntnisse mit der Fachwelt zu teilen. Der Wissensaustausch, der durch das Halten und Hören von Vorträgen, durch den Besuch von Workshops und den Ausbau eines Expertennetzwerks ermöglicht wird, ist der zentrale Antrieb für Vortragsreisen. Für Gerhard Klostermeier sind Konferenzen „Fortbildungsveranstaltungen“: „Ich komme schlauer und besser verknüpft zurück“. Täglich arbeitet Klostermeier mit einem Linux-System und Pentesting-Programmen. Vieles davon ist Open Source und frei verfügbar. Den Gewinn, den er als Penetrationstester davon hat, möchte er umgekehrt der Community zurückgeben, indem er die bei SySS entwickelten Tools und gefundenen Schwachstellen auf Tagungen vorstellt und Kolleginnen und Kollegen weltweit die Möglichkeit gibt, sich mithilfe seiner Erkenntnisse ihrerseits die Arbeit zu erleichtern. Ein Fachvortrag ist also ein sehr geeignetes Format, um neues Wissen zu multiplizieren.

Des Weiteren bieten Vortragsreisen, so Matthias Deeg, die Möglichkeit, sich intensiv mit Bereichen der Informationssicherheit auseinanderzusetzen, die nicht im Fokus der eigenen Forschung stehen. Beim Besuch von Konferenzen ist man am Puls der Zeit, Vorträge und Einzeldiskussionen bringen einen auf den aktuellen Stand des technischen Wissens und ermöglichen es, zuverlässig neue Trends und Entwicklungen abzuleiten.

Die Etablierung, Pflege und Erweiterung von Netzwerken ist ein weiterer wichtiger Antrieb. Bei sehr großen Veranstaltungen wie der Black Hat kommt die besondere Strahlkraft des Events hinzu: Die Black Hat ist die größte Konferenz ihrer Art. Viele Schwachstellen, die einen besonders starken Impact haben, sind dort erstmals vorgestellt worden. In Las Vegas vorzutragen ist also nicht zuletzt persönlich ein sehr beeindruckendes Erlebnis.

Wir wollen dabei sein! Was ist zu tun?

Für die Teilnahme an renommierten Konferenzen ist in der Regel ein Bewerbungs- und Auswahlverfahren zu durchlaufen: Mal mit, mal ohne definierten Themenschwerpunkt veröffentlichen die Organisatoren Calls for Papers bzw. Calls for Contributions, in denen sie zur Einreichung von Bewerbungen aufrufen. Die Pentest Experts geben ihre Vorschläge in Form von Abstracts ab, ein Expertenkomitee aus dem Bereich IT Security sichtet das Material und wählt daraus die innovativsten Ideen aus. Hilfreich ist freilich immer eine bereits gut gefüllte Publikations- und Vortragsliste: Durch qualitativ hochwertige Vorträge empfiehlt man sich selbst. Entsprechend besteht eine der größten Ehren darin, sich um die Tagungsteilnahme nicht aktiv bewerben zu müssen, sondern eingeladen oder zur Bewerbung aufgefordert zu werden – die Freude bei der SySS ist jedes Mal groß!

Auf Vortragsreise

Angekommen in Luxemburg, erwartet Klostermeier mit der hack.lu eine kleine Konferenz mit eher familiärem Charakter und vielen Gelegenheiten zum intensiven Austausch: Das Verhältnis von Vortragenden zu Besuchern liegt bei etwa 1:8. In Las Vegas erlebt Dr. Adrian Vollmer das Gegenteil: Die Black Hat ist ein Mega-Event in Dimension und Ausstattung, das Programm reicht von höchstspezifischen Fachvorträgen bis hin zu Recruitung-Maßnahmen und Ausstelleraktivitäten in der sog. Business Hall, die einer klassischen Messe entspricht. In den USA hat Vollmer auch Hacker-Stars wie Sean Metcalf und Will Schroeder alias Harmj0y live erleben dürfen.

Insgesamt, so berichten die SySS-Forscher, seien Unterscheide bei den verschiedenen Konferenzen weniger in den unterschiedlichen Mentalitäten, sondern vielmehr in der Ausrichtung der Konferenz festzustellen – auch wenn in Krakau beim Speakers’ Dinner der Wodka natürlich nicht fehlen durfte und in Yverdon-les Bain ca. 1/3 der Vorträge auf Französisch gehalten wurden.

Fachtagungen zu IT Security richten sich in der Regel an IT Security Professionals, d.h. die Vortragenden und das Publikum sind Dienstleister auf diesem Gebiet, Interessenten aus dem Bereich Softwareentwicklung, Betreiber von IT-Infrastruktur u.Ä.

Am Beispiel der IT-Sicherheitskonferenz Black Alps lässt sich anschaulich zeigen, wie eine solche Veranstaltung aufgebaut sein kann: Die Tagung in der Schweiz hat zwei Vortragstracks, wovon einer die Angreiferperspektive und der andere die Verteidigungsperspektive einnimmt. Die Fachvorträge auf dem ,Angreifer‘track präsentieren neue Werkzeuge, innovative Ideen zur Übernahme von Systemen sowie Forschungsarbeiten zu IT-Sicherheitsvorfällen. Auf der Verteidigerseite werden unter dem Titel „Lessons Learned“ Werkzeuge, um sich vor Angreifern zu schützen, sowie Analysen und Aufarbeitungsmöglichkeiten von Sicherheitsvorfällen vorgestellt. Viele Vortragende bei der Black Alps hatten einen IT Security-Hintergrund: manche als aktive Pentester, die Angriffe durchführen, manche als Entwickler von Systemen, die solche Angriffe erkennen. Durch die unterschiedlichen Perspektiven der Penetrationstester, Administratoren, Security-Analysten und Forensiker können, so Klostermeier, bei einer solchen Tagung die drängenden Fragen der IT-Sicherheit umfassend erschlossen und facettenreich diskutiert werden.

Die Nachmittage waren bei der Black Alps u.a. für Workshops reserviert, sodass die Teilnehmerinnen und Teilnehmer die Möglichkeit hatten, sich aktiv mit neuen Techniken und Tools vertraut zu machen. Das Speakers’ Dinner oder – in größerem Rahmen – das Networking Dinner wiederum sind Angebote, die bewusst dem Austausch der Besucher untereinander dienen sollen. Speziell auf die Tagungsbesucher aus dem Management war der Themenabend des ersten Konferenztags ausgerichtet: Hier ging es um Strategien im Umgang mit IT Sicherheit(sproblemen) bei Smart Trains.

Einen noch höheren Anteil an Managern und Entscheidern aus der Infosec-Industrie hat die Black Hat in Las Vegas: Diese informieren sich auf der Konferenz über aktuelle Schwachstellen und Tools, aber auch über unternehmensspezifische Themen wie Social Engineering und Mitarbeiter-Awareness – und sie werden, nicht zuletzt, von den Herstellern entsprechender Produkte bzw. den Anbietern passender Dienstleistungen intensiv umworben.

Zurück bei SySS

Zurück in Tübingen stellt sich die Frage nach der Nachhaltigkeit der Forschung und den Möglichkeiten zum Wissenstransfer. Für Nachhaltigkeit ist in erster Linie Dokumentation wichtig. Die Forschungsergebnisse werden in der Regel sowohl von den Vortragenden selbst als auch von den Organisatoren der jeweiligen Konferenzen durch Publikationen sowie häufig auch durch Videomitschnitte – z.B. auf YouTube – dokumentiert. Kleinere Funde werden als Security Advisories veröffentlicht (bei der SySS GmbH in der entsprechenden Rubrik hier im Pentest Blog), größere Forschungsarbeiten werden als Paper und/oder Foliensätze zugänglich gemacht (bei der SySS in ihrer Pentest Library). Auch Twitter und Slide Sharing-Plattformen stehen für den Austausch solcher Informationen in IT Security-Kreisen hoch im Kurs. Neben der Nachvollziehbarkeit ist auch die Anwendbarkeit des Wissens wesentlich. Um diese zu gewährleisten, werden meist auch die Tools selbst veröffentlicht – freilich nur, wenn davon auszugehen ist, dass dadurch kein Schaden entsteht und sichergestellt ist, dass geltende Gesetze eingehalten werden. Bzgl. der drahtlosen Eingabegeräte haben Gerhard Klostermeier und Matthias Deeg sehr positives Feedback von Kollegen erhalten, die die SySS-Tools erfolgreich einsetzen konnten.

Auch für den normalen Arbeitsalltag als Penetrationstester bei der SySS GmbH ist die Forschung relevant: Nicht selten ergibt sich ein konkreter Anwendungsbezug. Als Leiter des Hardware-Teams kann Klostermeier Forschung und Projektarbeit häufig verbinden – mit Synergieeffekten für beide Seiten. Bei Matthias Deeg fließen seine Forschungstätigkeiten und das operative Geschäft als IT Security Consultant insbesondere bei Produktanalysen zusammen, der Projektart, die er am häufigsten durchführt. Denn durch Forschung kann die generelle Testmethodik verbessert werden. Nicht weniger bedeutend aber ist die Entwicklung: Dass bei SySS Softwaretools, die für Analysen gebraucht werden, inhouse entwickelt bzw. bestehende Tools erweitert werden, hat einen großen Vorteil: SySS IT Security Consultants können nicht nur fertige, frei verfügbare Tools bedienen, sondern sind auch in der Lage, die Funktionsweise der Tools zu verstehen und sie den eigenen Bedürfnissen anzupassen bzw. ihnen neue Features und Fähigkeiten beizubringen und diese zu integrieren.

Und was macht ein Vortragsreisender noch? Selbst eine Konferenz organisieren! R&D-Abteilungsleiter Matthias Deeg ist Mitorganisator der IT-Sicherheitskonferenz ITG Workshop on IT Security (ITSec), die am 2. und 3. April 2020 an der Universität Tübingen stattfinden und von der SySS gesponsert wird. Deeg ist Mitglied des Auswahlgremiums für die Beiträge und ruft hiermit alle willigen Vortragsreisenden zur Bewerbung auf!


Termine

03.03.2020
Hack7: Sicherheit und Einfallstore bei Webapplikationen

10.03.2020
Secu2: Incident Response

17.03.2020
Hack3: Angriffe auf Windows-basierte Netzwerke

24.03.2020
Hack4: Angriffe gegen VoIP-Infrastrukturen