Wie auch in den letzten Jahren haben wir 2018 einiges erlebt und möchten unsere Erfahrungen gern in diesem Blogpost teilen.
Vorab: Leider haben wir immernoch weniger Bug Bounty Hunting gemacht, als in früheren Jahren. Auch auf dem Blog von Internetwache.org ist nicht so viel passiert wie geplant: Im letzten Jahr haben wir nur einen Blogpost veröffentlicht. Das hat mehrere Gründe: Zum einen sind wir sehr stark im Studium/Beruf eingebunden - zum anderen schreiben wir spannende Artikel seit einiger Zeit schon auf golem.de - mehr dazu etwas weiter unten.
In diesem Jahr haben wir aber mehr als in den Jahren an Meetings / Konferenzen teilgenommen und auch selbst einen Beitrag im Programm der ein oder anderen Veranstaltung geleistet. Internetwache.org ist zunehmend nicht mehr nur digital tätig, sondern auch in Diskussionsrunden oder auf Veranstaltungen anwesend.
Veröffentlichungen / Medienberichterstattung
Artikel auf golem.de
Wir haben unsere Zusammenarbeit der letzten Jahre auch dieses Jahr fortgesetzt und einige Artikel in Kooperation mit dem Technikportal veröffentlicht:
Im ersten Quartal des Jahres haben wir uns das .DS_Store-Dateiformat von Apple etwas genauer angeschaut bzw. dessen Verbreitung und Implikationen auf Webservern analysiert: Artikel auf Golem
Dazu haben wir auch eine Analyse der Alexa Top 1M auf Internetwache.org publiziert und Sebastian hat auf seinem Blog einige Details zu dem Dateiformat vorgestellt.
Im April sind wir auf die unsichere Steuerungsanlage einer Gondelbahn in Österreich aufmerksam geworden und haben den Fund an das CERT aus Österreich gemeldet. Einige Zeit später wurde der Fall in verschiedenen Medien aufgegriffen: Artikel auf Golem
Bei einer unserer Reisen durch Deutschland, konnten wir am Flughafen München einen Drucker vom Zoll im öffentlichen WLAN ausfindig machen. Das hatte einige Implikationen für die IT-Sicherheit, die wir in folgendem Beitrag beschrieben haben Artikel auf Golem
Das Jahr haben wir mit einer Untersuchung einer (SCADA-)Software von Klär- und Wasserwerken abgeschlossen. Da wir das Thema nicht im IT-Sicherheitsmeldungstrubel des 35c3 veröffentlichen wollten und es auch nicht erst 2019 veröfffentlichen wollten, gab es eine Veröffentlichtung kurz vor Weihnachten. Letzteres ist der Grund, weshalb diese recht intensive Untersuchung vermutlich kaum in anderen Medien aufgenommen wurde: Artikel auf Golem
Weitere Medienberichte:
Da wir im letzten Jahr beim Z2X einen der vorderen Plätze erreicht haben wurden wir fast ein Jahr später von dem Radiosender FluxFM interviewt, um die Community über den Status unseres Projektes auf dem neusten Stand zu halten.
Datenökonomie Debatte
Darüber hinaus haben wir an einer Big Data Debatte teilgenommen.
ARD Morgenmagazin
Anlässlich des Stadtwerke Kongresses gab es einen Beitrag im ARD Morgenmagazin zu unserer Nachforschung im Bereich Klär- und Wasserwerke.
Die Themen aus den oben angeführten Golem.de Berichten wurden von diversen anderen (teils fremdsprachigen) Medien aufgegriffen, die wir hier einmal kurz verlinken.
- Futurezone.at - Steuerung von Tiroler Seilbahn offen im Netz zugänglich
- krone.at - Seilbahn-Steuerung frei übers Internet zugänglich
- Det Standard - Hacker hatten Zugriff auf Steuerung von Tiroler Gondelbahn
- Bleedingcomputer.com - Ski Lift in Austria Left Control Panel Open on the Internet
- IlSoftware.it - Il pannello di controllo di un impianto sciistico in Austria gestibile da chiunque via Internet
- Websikkerhet - Kontrollpanelet til taubane var åpent tilgjengelig via internett
- Gesellschaft für Informatik - Mehr Anstrengung zur Absicherung sicherheitskritischer Infrastrukturen notwendig
Konferenzen und Vorträge
Wir haben in 2018 an einigen Konferenzen teilgenommen. So waren wir in diesem Jahr beispielsweise auf der DEF CON in Las Vegas (USA) und haben dort zum einen jede Menge Personen getroffen, die wir normalerweise nur von (Twitter)[https://twitter.com/internetwache] kennen. Hier geben wir einen kurzen Überblick zu den Events auf denen wir waren.
#SecNightBerlin
Wir wurden gefragt, ob wir an der #SecNightBerlin teilnehmen möchten und haben dort einen Vortrag zum Thema Bug Bounty Programme gehalten. Leider gibt es von dem Event keine Videoaufnahme.
LevelUp Bugcrowd
Bugcrowd organsiert seit einiger Zeit die virtuelle LevelUp Konferenz bei der Security Researcher und Bug Hunter aus der ganzen Welt sich in einem Livestream über Web- und Applikationssicherheit austauschen. In diesem Jahr haben wir dort auch einen 20-minütigen Vortrag mit dem Titel “Small Files And Big Bounties, Exploiting Sensitive Files” halten.
Code&Design Camp
Auf dem Code&Design Camp in Hannover hielten wir vor jungen Nachwuchsprogrammierern und -hackern einen Vortrag zu unserem Internetwache.org Projekt und wie wir damals den Einstieg in das Thema IT-Sicherheit und Hacking gefunden haben. Das Feedback war durchaus positiv und wir hoffen, den Nachwuchs für Responsible Disclosure begeistert haben zu können: Folien
SAPInsideTrack
Der SAPInsideTrack ist eine kleine Konferenz von SAP die in verschiedenen Städten stattfindet. Wir durften am InsideTrack in Berlin teilnehmen und unser Wissen zu Responsible Disclosure und Bug Bounties teilen: Folien
Z2X
Auf dem von Zeit Online organisierten Festival für alle 2X-jährige “Z2X” hielten wir gemeinsam mit Viktor und Tine einen Workshop zum Thema “5 Jahre nach Snowden: Privatsphäre und digitale Selbstverteidigung”. Der Raum war gut gefüllt und am Ende entstanden spannende Diskussionen zu verschiedenen Themen im Bereich der Privatsphäre und IT-Sicherheit.
code.talks
Die größte Entwicklerkonferenz Deutschlands, “code.talks”, in Hamburg bot uns eine Bühne um den Entwicklern von Bug Bounty Programmen und Responsible Disclosure Programmen zu erzählen, und warum diese wichtig sind. Der Talk wurde aufgezeichnet und kann auf Youtube geschaut werden.
Wir haben uns bewusst entschieden diesen Vortrag auf Deutsch zu halten, da es unserer Meinung nach in Deutschland immernoch zu wenig Informationen zu dem Thema gibt und kaum ein Unternehmen in Deutschland ein Bug Bounty Programm hat.
BlackHat
Kurz vor der DEF CON fand die BlackHat ebenso in Las Vegas statt. Sebastian erhielt dorthin freien Eintritt, weil Speaker ein bis zwei Nachwuchsstudenten ein entsprechendes Ticket vergeben können. Insgesamt ist die BlackHat eher eine Business-Konferenz, in der verschiedene Security-Unternehmen ihre Produkte anpreisen, haufenweise Swag verteilen und nebenbei in einigen Sälen interessante Vorträge gehalten.
DEF CON
In diesem Jahr haben wir uns einen großen Traum erfüllt und waren auf dem weltgrößten Hackercongress: der DEFCON in Las Vegas (USA). Für uns war das Ambiente und die Ausmaße etwas ungewohnt - trotzdem haben uns nach einiger Eingewöhnungszeit wohl gefühlt. Außerdem haben wir mit dem deutschen Team @Sauercl0ud am DEF CON CTF teilgenommen. Insgesamt ist das Team auf dem 5. Platz gelandet - womit wir sehr zufrieden waren.
In unserem CTF Team war auch @LiveOverflow der einige (aus unserer Sicht treffende) Videos zur DEF CON und dem DEF CON CTF gemacht hat:
H1-702
Zeitgleich zur DEF CON fand auch die H1-702 von HackerOne statt. Dabei handelt es sich um ein Veranstaltungsformat bei dem die besten Hacker von der Plattform HackerOne zusammenkommen und gezielt bei verschiedenen Programmen nach Sicherheitslücken suchen. Insgesamt war auch das eine sehr spannende Erfahrung, da man in direkten Austausch mit anderen Security Researchern gekommen ist und einige Tricks aus erster Hand lernen konnte.
35c3
Wie in den letzten Jahren waren wir auch auf dem 35c3. Dort haben wir zum einen ein paar Sticker verteilt und zum spannende Gespräche mit Leuten geführt, die wir einige Zeit nicht mehr gesehen haben. Sebastian hat außerdem einige Challenges für das Junior CTF bereitgestellt. Insgesamt war das für uns, wie jedes Jahr, ein angenehmer Jahresabschluss. Wer selbst nicht dort war, kann die Streams anschauen und eine Menge lernen.
Persönliches
Wie auch die letzten Jahre möchten wir kurz unsere persönlichen Erfolge und (erreichten) Ziele vorstellen.
Sebastian
Sebastian (@gehaxelt) ist 2018 endlich richtig mit seinem Masterstudium “Computer Science” an der TU Berlin angefangen und hat die bisherigen Module mit sehr guten Noten abgeschlossen.
Im Februar bis März war Sebastian auf dem von Security Research Labs organisierten HackTheBeach Event, bei dem er sich die vier Wochen lang auf Teneriffa mit mobilen Ticketsystemen auseinander setzte. Es gab einige interessante Funde, die allerdings bisher noch unter Verschluss sind und von dem/den Hersteller(n) behoben werden.
Im November hat Sebastian sich über die Universität für ein Auslandssemester in den USA beworben und erhielt Anfang Dezember auch eine Zusage seitens der TU. Mit etwas Glück, wird er kommendes Jahr für 4 Monate in den USA studieren dürfen.
Tim
Tim (@TimPhSchaefers) hat in diesem Jahr das Buch “WLAN Hacking” (gemeinsam mit Rico Walde) veröffentlicht.
Außerdem hat er sein erstes Buch “Hacking im Web” in die zweite Auflage gebracht.
Des Weiteren ist Tim nun an der Humboldt-Universität zu Berlin eingeschrieben und studiert dort Informatik.
2018 in Zahlen
In 2018 haben wir fast die 3.000 Follower auf Twitter geknackt. Insgesamt hatten wir Ende des Jahres rund 2.960 Follower auf unserem Twitter Account @internetwache gehabt. Die Besucherzahlen (24.606) und Seitenansichten (37.071) sind in 2018 im Gegensatz zum Vorjahr deutlich zurückgegangen. Letzteres ist vermutlich auf die wenigen Blogposts in diesem Jahr und einen verstärkten Fokus auf Vorträge und Konferenzen, sowie die Zusammenarbeit mit golem.de, zurückzuführen. Dass die Zahlen an der Stelle rückläufig sind finden wir nicht weiter schlimm, da wir über andere Kanäle viele Menschen erreichen können und uns die Wirkung von Internetwache.org wichtiger ist, als einen bekannten Blog zu betreiben.
Fazit
Insgesamt sind wir sehr zufrieden mit 2018 und hoffen, dass es 2019 so weitergeht. Die Arbeit von Internetwache.org hat sich mittlerweile mehr auf längerfristigen Research ausgedehnt und findet verstärkt nicht mehr nur im Internet, sondern auch auf Events statt.
Wir wünschen euch ein erfolgreiches Jahr 2019!
Tim & Sebastian Das Team der Internetwache.org