Umarmte Hacker, bedrohte Sicherheit und transparente Zukunft
Unter dem Motto "Embrace the Hackers" hat die zehnte Swiss Cyber Storm Konferenz stattgefunden. In zahlreichen Referaten erfuhren die Besucher viel über unsicheres E-Voting, hinterhältige Android-Apps und nützliche Chatbots. Einige Eindrücke vom Tech Track.
Die zehnte Swiss Cyber Storm ist Geschichte. Unter dem Motto "Embrace the Hackers" traf sich die Schweizer IT-Security-Szene am 15. Oktober im Berner Kursaal. "Die Zeit ist reif", begründete Co-Organisator und Programmleiter Christian Folini den Slogan. Spätestens seit dem öffentlichen Intrusion Test des E-Voting-Systems der Schweizerischen Post seien Bug Bounty Programme auch hierzulande in den Fokus geraten, und Hacker werden gezielt eingeladen, zur Aufdeckung von Schwachstellen in Softwaresysteme einzubrechen.
Christian Folini, Co-Organisator und Programmleiter der Swiss Cyber Storm. (Source: zVg)
Dass Hacker durchaus aus gutem Willen handeln, wurde im Verlauf der Konferenz mehrfach wiederholt. So verglich Dave Lewis, Global Advisory CISO bei Cisco-Tochter Duo Security, die Hacker mit Haifischen: Haie tragen zu einem ausgeglichenen Ökosystem bei, halten die Ozeane sauber und inspirieren uns Menschen zu smartem Design. Kurz: Hacker und Haie helfen mit, die Welt besser zu machen. Dave Lewis plädierte dafür, aus vergangenen Fehlern zu lernen und in sichere, einfacher zugängliche Tools zu investieren. Schon in den 1960er-Jahren seien Passwörter geknackt worden. "Jetzt haben wir 2019 und noch immer das gleiche Problem", sagte er. Dabei gäbe es heute sichere, quelloffene Login-Standards, die jedoch kaum jemand nutze.
Dave Lewis, Global Advisory CISO bei Cisco-Tochter Duo Security. (Source: zVg)
Die Sache mit dem Abstimmen – digital und analog
"She really left her mark on Swiss Security", sagte Christian Folini über die wohl bekannteste Rednerin an der Swiss Cyber Storm: Sarah Jamie Lewis, Leiterin der Open Privacy Research Society, die im Frühling mehrere gravierende Schwachstellen des von der Schweizerischen Post betriebenen E-Voting-Systems öffentlich gemacht hatte, wie Sie hier nachlesen können.
Sie sei wegen eines Tweets auf den Intrusion Test aufmerksam geworden, erzählte sie in ihrem Vortrag, und schilderte den Gegenwind, der ihr Seitens Post und Scytl entgegen blies. Man habe ihr vorgeworfen, kryptographische Verfahren nicht zu verstehen. Und dann veranschaulichte sie, warum die universelle Verifizierbarkeit entgegen den Angaben des Herstellers nicht gewährleistet war. Eine Manipulation der abgegebenen Stimmen wäre möglich gewesen, ohne dass man dies hätte nachweisen können.
Sarah Jamie Lewis, Leiterin der Open Privacy Research Society. (Source: zVg)
Der Sarkasmus war unüberhörbar, als sie sagte: "Es gab tatsächlich ein Missverständnis mit den kryptographischen Algorithmen, aber es lag nicht bei mir, sondern beim Softwareanbieter". E-Voting-Systeme sollten quelloffen und öffentlich kontrollierbar sein, aber auch Berichte zu Sicherheits-Audits seien zu veröffentlichen: "Wir brauchen nicht nur Sicherheit, sondern auch Transparenz". Es wäre grossartig, eines Tages ein sicheres E-Voting-System zu haben, sagte sie zum Schluss. Derzeit fordert eine Initiative ein E-Voting-Moratorium in der Schweiz, wie Sie hier lesen können.
Aber wie steht es eigentlich um die Sicherheit des nicht-elektronischen Schweizerischen Abstimm- und Wahlsystems? Diese Fragen stellten Informatik-Doktorand Christian Killer und Melchior Limacher, Pentester mit ETH-Masterabschluss. Sie zeichneten den Weg eines klassischen Wahlumschlags, von der Behörde über den Wähler bis zur Veröffentlichung des Resultats, nach. Auf diesem Weg machten sie mehrere digitale und analoge Angriffspunkte aus. So werde mitunter die Adressliste der Wahlunterlagen in Form einer ungesicherten E-Mail übertragen.
Zumindest theoretisch liesse sich diese E-Mail abfangen und verändern. Auch bei den kantonalen Servern, auf denen die Stimmresultate der Gemeinden gesammelt werden, laufen möglicherweise veraltete und angreifbare Datenbanksysteme. Zu prüfen wäre aber auch, wo und wie die brieflich abgegebenen Stimmen aufbewahrt und vor manipulativem Zugriff geschützt sind. Das Schweizer Wahlsystem sei derzeit noch fragmentiert, berge viele Sicherheitsrisiken und basiere oft auf Vertrauen. Jede eingesetzte Komponente sollte einem Pentest unterzogen und Sicherheitsrisiken eliminiert werden.
Zu kleine Hinweise, zu enge Blicke
Wie einfach sich das Nutzervertrauen missbrauchen lässt, zeigte Enrique Serrano des israelischen Unternehmens Cymulate. Er führte vor, wie man einem Smartphone-Anwender eine harmlos aussehende Android-App unterjubelt, die dann, vom Nutzer unbemerkt, regelmässig Fotos schiesst und sie an einen Server schickt. Zwar schreibe das Android-System einen visuellen Hinweis vor, sobald eine App die Smartphone-Kamera verwendet. Den Hinweis könne man aber auch winzig klein (1x1 Pixel) und transparent darstellen, sagte Serrano. Es sei wichtig, sich auf Cyberangriffe vorzubereiten, sagte er. Im Unternehmen müsse man wissen, was im Ernstfall zu tun sei.
Enrique Serrano, IT-Security Expert, Cymulate. (Source: zVg)
Konkrete Beispiele mangelnder Unternehmenssicherheit nannte auch David Johansson, Sicherheitsberater bei Synopsis. Oft schienen viele Sicherheitsmassnahmen auf den ersten Blick tadellos umgesetzt, sagte er. Allerdings kämen gerade im Zusammenspiel der einzelnen Massnahmen gravierende Mängel ans Licht. Er schilderte etwa den Fall eines Unternehmens, welches sein Messaging-System grundsätzlich durch Nutzer-Authentifizierung abgesichert hatte – eine zweifellos gute Massnahme. Die verschickten Nachrichten wurden zusätzlich signiert, um ihren Absender verifizieren zu können – auch ein guter Schritt. Johanssons Untersuchungen zeigten aber, dass die beiden Mechanismen nicht miteinander verknüpft waren, so dass sich ein Nutzer anmelden, und im Namen eines anderen Nutzers eine signierte Nachricht versenden konnte. Es reiche oft nicht, nur ein bestimmtes Element abzusichern. Es brauche einen übergeordneten Blick, der den Zusammenhang aller Elemente herstelle. Ebenso riet er dem Publikum, bei jeder Änderung der Sicherheitssysteme alle anderen getroffenen Massnahmen zu überprüfen und von Zeit zu Zeit das gesamte Bedrohungsmodell zu überdenken.
"Fangt an!" Und: "Werdet Offen!"
Unter den Referaten fanden sich auch Präsentationen konkreter Lösungen für Security-Teams, Pentester und Hacker. Melanie Rieback stellte die gemäss eigenen Angaben erste Non-Profit-IT-Sicherheitsberatungsfirma vor. Radically Open Security hat in den Niederlanden seinen Hauptsitz, beschäftige aber ein internationales Team. Statt in Büros arbeitet man in Chat Rooms zusammen. Rieback führte vor, wie ein Chatbot nicht nur diverse administrative Aufgaben erledige, sondern auch praktische Arbeitsabläufe automatisiere. So könne durch einen einfachen, verständlichen Befehl im Chat Room eine Kundenabrechnung erstellt werden. Oder falls im Rahmen eines Pentests eine Phishing-Kampagne simuliert werde, informiere der Chat Bot das virtuelle Büro, sobald jemand angebissen habe.
Melanie Rieback habe immer ein mulmiges Gefühl gehabt, mit Sicherheitsfirmen zu arbeiten, die mit proprietären Lösungen arbeiteten. Bei ihrem
Unternehmen wird deshalb voll auf Open Source gesetzt. Auch den Chatbot könne jeder, der dies wolle, herunterladen und auf die eigenen Bedürfnisse anpassen. Ihre Forderung war klar: "Bringt offenheit und Transparenz in die Industrie, in die Sicherheits- und Pentesting-Prozesse".
Melanie Rieback, CEO, Radically Open Security. (Source: zVg)
Zum Schluss schilderte Jaya Baloo, wie sie während sieben Jahren als CISO die Sicherheitsabteilung des niederländischen Telekom-Unternehmens KPN aufbaute. Nachdem 2012 ein 15-jähriger in die Systeme des Anbieters eingebrochen war, entschied man sich zunächst fürs Null-Toleranz-Prinzip in Sachen Sicherheit. Und KPN fing an, nicht mehr nur reaktiv, sondern auch proaktiv zu handeln. Das Security-Team erhielt ein eigenes Operation Center und die Vollmacht, auch einmal ein System vom Netz zu nehmen, wenn eine Unregelmässigkeit festgestellt wurde. Jeder Mitarbeiter, nicht nur die Sicherheitsverantwortlichen, habe man auf diesen "Security Journey" mitgenommen. "Es
müssen nicht alle sämtliche Sicherheitsrichtlinien auswendig können. Aber alle müssen wissen, wo sie im Notfall zu finden sind."
Auch KPN stellt die Sicherheits-Policy offen ins Internet. Baloo, die vor wenigen Wochen von KPN zu Avast gewechselt war, riet den Anwesenden, keine Angst vor der Zukunft zu haben. Und nach ihrer wichtigsten Lektion gefragt, meinte sie schlicht: "Fangt einfach an!" Gerade hinsichtlich neuer Quantentechnologien stellen sich neue Bedrohungen, aber auch neue Möglichkeiten für CISOs. Man könne jetzt schon damit anfange, die Kryptographieschlüssel zu verlängern und die Sicherheit zu erhöhen.
Die Swiss Cyber Storm gewährte einen Einblick in die komplexe Welt der IT-Sicherheit. Die Referate zeigten eine interessante Mischung aus alten, scheinbar gleichbleibenden Problemen und stets neuen, vielschichtigeren Herausforderungen. Deutlich hörte man immer wieder den Ruf nach Offenheit und Transparenz. Nach dem Mut, altes Vorgehen zu überdenken und eben: Hacker zu umarmen.