Mit ‘Awareness’ getaggte Beiträge

„◾Vom heut’gen Tag, von heut’ger Nacht verlange nichts, als was die gestrigen gebracht.“ – J.W. v Goethe

Zusammen mit einem Freund kam ich in den Genuss die Netwars-Präsentation in Berlin besuchen zu dürfen.
Nach Anfahrt von 4 Stunden und einer Präsentation von ca. 2 Stunden, sowie 3,5 Stunden Rückfahrt bleibt ein
eher ernüchterndes Ergebnis. Um nicht zu sagen: aus dem Osten nichts Neues!

Als IT-Security’ler und -wie mein Kumpel sagen würde- „Kenner der Materie“, kann ich nur feststellen es gab nichts an Information, was mich vom Hocker gehauen hätte.

Vielleicht waren die Erwartungen ganz einfach zu hoch gesteckt? Weder war der „Salesman“ Nikolai Kinski anwesend, wie ursprünglich suggeriert wurde, noch der hoch gelobte Hacker „FX“.

Netwars-Berlin

So wurde leider auch in der Talkrunde um Prof. Volker Roth (FU Berlin), Frank Boldewin (IT-Experte) und Eberhard Öhler (Stadtwerke Ettlingen) kein Thema wirklich bis zu einem (für uns) interessanten Punkt vertieft.

Wie z.B. lief der „Hack“ der Stadtwerke ab? Da hätte ich mir mal Beispiele aus der Praxis gewünscht.

Z.B. in diese Richtung (wie es wohl tatsächlich gelaufen ist kann man hier lesen):

„…über eine Suche innerhalb der Suchmaschine Shodan haben wir unser Ziel (Stadtwerke Ettlingen) ausfindig gemacht und auf mögliche Angriffoptionen gecheckt. Anschließend, bewaffnet mit diesen ersten Daten, wurden dann mögliche Exploits unter Verwendung des Metasploit-Framework angewendet, um uns Zugriff zu verschaffen….“

DAS wäre mal Info gewesen. So etwas hat mir über den ganzen Abend hinweg gefehlt! Es muss nicht zu sehr ins fachliche oder technische abdriften, dennoch hätte es einen tieferen Blick offenbart. Zu wenig wurde thematisiert, wie man sich Informationen über ein Ziel beschafft (siehe OSINT) und wie wir alle davon „getroffen“ werden können.

Das man u.U. leicht Opfer wird (besonders wenn man sich mit IT-Sicherheit nicht beschäftigt) und womöglich stillschweigend Teil eines global operierenden Botnetzes mit seinem Rechner wird, dass haben viele schon gehört.
Was so ein Bot mit dem eigenen Rechner anstellen kann, ist den wenigsten jedoch wirklich klar.

Netwars-Talk

Die Lesung aus „Netwars“ war interessant und das Buch ist durchaus auf den ersten Blick eine Kaufempfehlung wert.
Die App werde ich mir persönlich nicht ansehen. Das geht mir zu sehr in die Kommerz und Taschenbuch-Comic Ecke ;-P

Es bleibt abzuwarten wie ernst (und weniger auf Kommerz getrimmt) dieses Projekt weitergeführt wird.
Es spricht nichts dagegen mit diesem ohne Frage genialen Projekt Geld zu verdienen. Aber dann muss auch auf solchen Veranstaltungen der Hammer kreisen und man mit neuen und spannenden Informationen ums Eck kommen.

Wie wäre es mit einem „Live-Hack“? Ein verwundbares System aufsetzen in einer VM, dann einen Angriff simulieren mit den gängigen Hackertools (auf GUI-Ebene natürlich ;-)  und die Besucher staunen lassen.

Wenn Snowden schon mit seinen leaked-Documents es kaum schafft, die Massen nachhaltig zu mobilisieren und wirklich aufzurütteln, dann kann man mit einem „ja, es ist grundsätzlich alles möglich und Passwörter sollten sicher sein“ heute schlichtweg keinen Preis mehr gewinnen.

Da müssen harte visuelle Fakten auf den Tisch! Zeigt den Normalo-Usern doch mal, was man über sie bei Facebook, Twitter und Co. finden könnte! Wo ist der aktuelle Verzweig auf die von Glenn Greenwald vor wenigen Tagen öffentlich abrufbar gestellten NSA-Dokumente?

NSA-Leaked Documents

Ich möchte das Projekt nicht zerreden oder schlecht machen, denn dafür bin ich den Machern viel zu dankbar, die Thematik überhaupt in Angriff genommen zu haben. Das Netwars-Project ist eine Bereicherung, aber es muss eben auch m.E. berechtigte konstruktive Kritik erlaubt sein.

IT-Security Awareness lebt davon visualisiert zu werden. Bilder und konkrete Beispiele bleiben viel länger im Gedächtnis.

Das dieses Projekt selbst auf Seiten der Homepage mit kleineren Problemchen zu kämpfen hatte, wäre auch als netter Hinweis gut angekommen. Was vielleicht als PR-Killer von vielen Firmen angesehen wird (eigene Verwundbarkeit), hätte in diesem Fall sogar als zusätzliches positives PR-Mittel dienen können.Hätte es doch unterstrichen, dass auch die Spezialisten von Netwars nicht frei von Überraschungen sind.

Das Netz ist eben ein tückisches „kleines“ Ding ;-)

 

Weiterführende Quelle zum Thema: Zeit.de
Empfehlungslink zum Thema SHODAN & SCADA/ICS