Der Chaos Communication Congress fand zwischen dem 27.12. und 30.12.2014 zum 31. Mal statt. Das „grösste jährliche Hackertreffen in der freien Welt“ wird vom Chaos Computer Club (CCC) organisiert und zog rund 10000 Besucher ins Congress Center Hamburg. Christian Fasnacht blickt für uns auf das 31c3 zurück.
Der Chaos Communication Congress kommt im Gegensatz zu anderen Hacker- und Informatikkongressen ganz ohne Sponsoren aus. Dies unterstreicht den Communitysinn und sozialen Aspekt des Chaos Computer Clubs und verleiht dem Anlass ein besonderes Flair. Das vielseitige Programm spricht ein breites Publikum an. Für eine technisch fokussierte Veranstaltung fällt der hohe Frauenanteil auf.
Talks, Workshops und mehr
Zu sehen gibt es einiges: Neben den drei parallelen Talk-Tracks, die während der ganzen Veranstaltung stattfinden, kann man auch eine grosse Anzahl Workshops besuchen, welche in der Regel kostenlos sind. Programmieren, Löten, Hardware, Origamis, Kaffee und Kochen sind nur eine kleine Auswahl der Themen, mit denen man sich beschäftigen kann.
Im ganzen Gebäude findet man rund im die Uhr Leute, die an ihren Projekten arbeiten und diese auch gerne erklären. Zu sehen gibt es eine Sammelsurium an Maschinen und Hardware, darunter 3D-Drucker, Lasercutter, Computer-gesteuerte Stickmaschinen, Siebdruck-Maschinen, Cocktailautomaten, Flipperkästen, alte Spielkonsolen und noch vieles mehr. Durch das ganze Gebäude führt eine selbst gebaute Rohrpost, die sogenannte Seidenstrasse.
Die Talks drehten sich vor allem um die Themen Technik, Kultur und Gesellschaft. Vorgetragen wurden auch ein Theaterstück und weitere andere künstlerische Beiträge.
Meine persönlichen Highlights
Biometrie: Ich sehe, also bin ich … Du
Dem Hacker Starbug ist es gelungen mit normalen Fotoaufnahmen einen Fingerabdruck der deutschen Ministerin für Verteidigung zu rekonstruieren und eine sehr detaillierte Aufnahme der Iris der deutschen Bundeskanzlerin Angela Merkel zu machen. Dies belegt einmal mehr die vom CCC vertretene Meinung, dass Biometrie zu Sicherheitszwecken unbrauchbar ist, da biometrische Merkmale sich nicht ändern lassen.
Thunderbolt: Thunderstrike
Der Thunderstrike Angriff ermöglicht es, durch eine EFI Schwachstelle und physikalischen Zugriff auf den Thunderbolt Port eine modifizierte Firmware einzuspielen. Diese kann auch durch eine Neuinstallation nicht entfernt werden. Nach einem erfolgreichen Angriff kann der Angreifer Backdoors in den Kernel einbauen und sämtliche Tastatureingaben mithören.
Mobile Security: SS7 – Locate, Track, Manipulate
Präsentation diverser Schwachstellen im Mobile Routing Protokoll SS7. Über diese Schwachstellen kann jede Person getrackt werden, wenn man die Telefonnummer kennt. Weiter sind Man-in-the-Middle Angriffe und das Mithören von Anrufen und Nachrichten möglich. Weiter kann man herausfinden, was für Mobile-Nummern sich in der Umgebung befinden.
Web Security: The Perl Jam – Exploiting a 20 Year old Vulnerability
Präsentation einfacher und schwerwiegender Exploits (User Verification Bypass, Remote Code Execution, Arbitrary File Upload, SQL Injection) im CGI modul von Perl. Betroffen sind Bugzilla, Twiki, Moveabletype und wohl noch einige mehr.
Banking Security: Lecture: Practical EMV PIN interception and fraud detection
Präsentation von bekannten Sicherheitslücken im EMV System, von Europay, MasterCard, VISA die kombiniert eine Bankkarten Transaktion fast komplett umgehen können.
Fazit war, dass Kreditkarten und Bankkarten mit Chip unsicher sind und diese Angriffe auch schon aktiv eingesetzt werden.
NSA Skandal
Eine weitere Hiobsbotschaft kam von neuen Folien von Edward Snowden, die belegen, dass die NSA SSL, TLS, SSH, PPTP und IPsec geknackt hat und nur OTR und PGP noch nicht gebrochen sind.
Weiterführende Links
Weitere Themen des 31c3 finden Sie auf der Heise Themenseite. Auf der Website des CCC gibt es zudem eine Übersicht über alle Talks. Wer sich im Nachhinein noch einen Talk anschauen möchte, findet diese im Media-Bereich der CCC-Website.