Es folgen Eindrücke direkt von der L33tcon in Hannover. Spannende Themen rund um die IT-Security erwarteten mich. Es sind Beiträge zu Pentesting, Darknet, aktuellen IT-Sicherheitsgesetzen und Weiterem angekündigt worden. Ich möchte gerne ein paar Highlights herausgreifen. Auch wenn ich geplant hatte, während der Beiträge zu bloggen, habe ich mich umentschieden, um die bisherige Qualität aufrechtzuerhalten. Entsprechend später erscheint der Post nicht bereits am 02./03.11. sondern erst jetzt.
Aktuell ist es noch recht leer, die Beiträge starten bald.
Ich berichte im Nachgang der Beiträge über die Inhalte.
(08:38 Uhr)
—
Hier der Trailer der Veranstaltung:
—
Wohl einer der spannendsten Beiträge war der von Timo Kasper zum Thema NFC- und RFID-Pentetsting. Unter Anderem hat er Schwachstellen in Türöffnungssystemen von Automobilherstellern, “Sicherheits-Systemen” unterschiedlicher Hersteller und Nahfeldkommunikationssystemen aufgedeckt und erläutert. Auch Mechanismen wie Keyloq wurden herausragend beschrieben und nahegebracht. Der Gag bei der Präsentation: Als Presenter verwendete Timo Kasper eine umprogrammierte Opel-KFZ-Fernbedienung. Bei der Präsentation kam eindeutig rum: Man benötigt oft nur eine Seitenkanalanalyse, um an notwendige Daten zu gelangen.
Zum Auslesen, Reverse-Engineering und zum Verändern von Code auf Nahkommunikationsmedien wie Zugangs- oder Guthabenkarten hat Timo Kasper mit seinem Kollegen David Oswald (siehe kasper-oswald.de) das nützliche Tool “ChaemaeleonMini” entwickelt, die Entwicklungsschritte und das nunmehr auf Github verfügbar gemachte Projekt vorgestellt. Dieses Tool – bereitgestellt, um die Entwicklung voranzutreiben – bietet eine eigene Firmware, die über eine verständliche CLI gesteuert werden kann. Somit ist das Auslesen und Verändern von Daten auf RFID-Chips möglich.
Es folgte ein Beitrag von Christian Schneider zum Thema “Toolbox eines Security Professionals”. Dabei wurden unter Anderem Nikto, SSL-TLS-Scan und OWASP ZAP, sowie Arachni vorgestellt und die Hintergründe für den Einsatz erläutert. Auch hier gilt natürlich: Der Einsatz ist nur legal, sofern das Zielsystem im eigenen Besitz des Testenden ist oder eine schriftliche Einwilligung des Auftraggebers vorliegt, wenn das System einem selbst nicht gehört. Dabei kann Christian Schneider viel aus dem Nähkästchen plaudern und auf eigene Erfahrungen zurückgreifen. Die meisten von ihm vorgestellten Tools sind als OpenSource klassifiziert und somit meist kostenfrei verfügbar.
Um mich mit dem Thema mehr zu befassen, habe ich mir gleich eines der ChameleonMinis gegriffen und bei einem netten Plausch mit dem Entwickler mit dem mitgelieferten Akku bestückt. Für nun 99€ kann man bei den Entwicklern fertige Boards erwerben – oder man ätzt sich die Platinen selbst, lötet und implementiert Code selbst. Alle notwendigen Informationen dazu sind auf Github bereitgestellt worden. Ich bin gespannt, welche Erkenntnisse ich daraus mit aktueller Firmware entnehmen kann. Sobald es mehr zu berichten gibt, werdet Ihr es – sofern es keinem schadet – in Folgeposts lesen. Das Tool wird über Micro-USB mit dem Computer verbunden und kann über die serielle Schnittstelle angesprochen werden.
Mehr zu dem Projekt findet Ihr auf GitHub: https://github.com/emsec/ChameleonMini
Ihr wollt mich und die Ausgaben für solches Equipment und kostspielige Events wie diese unterstützen? Dann tut das über Paypal.
Vielen Dank! Durch Eure Unterstützung sind Posts zu Events wie diesen und der Erfahrungsaustausch über die Funktion solcher Gadgets und möglicher Sicherheitslücken zu stemmen. daniel-lengies.de ist ein privat betriebener Blog, der aus Leidenschaft zur Technik und Berichterstattung betrieben wird.