Der Film verfolgt Deckard, ein Mitglieder der (meines Wissens nach) erfundenen Scene-Gruppe DMG und erläutert aus seiner Sicht nicht nur, wie die Gruppen aufgebaut sind, sondern auch was sie antreibt und wie sie sich untereinander das Leben schwer machen. Knapp 20 Minuten, die es wert sind.

Shadow.net from John Knowles on Vimeo.

Wer die HD-Version sehen will, der möge hier klicken.

Ähnliche Artikel

• Und nun: Musik (0)
• Fremder, kommst du in die USA – lösch dein Notebook (2)
• Windows Skydrive und Alternativen (1)
• Bin ich ein Nerd? (0)
• Achievement-Whoring, leicht gemacht (0)

Ähem. So. Nunja. Also eigentlich hatte mcih das Streak durchaus interessiert – allerdings finde ich es als Tablet und iPad-Alternative zu klein, eigentlich vor allem zu schmal. Noch dazu Android OS 1.6? Nein Danke. Leider. Da warte ich doch dann weiter auf das Palmpad – oder das WeTab, das übrigens im September in die (Media) Märkte kommen soll.

Ähnliche Artikel

• Optimus Maximus: OLED Tastatur erhältlich (1)
• iFixit – So nehmt ihr eure Gadgets auseinander (1)
• Android SDK für Screenshots installieren (7)
• Die 5 besten Gadgets für faule Nerds (2)
• Meinung: Opera Unite – Interessanter Ansatz aber kaum Revolution (2)

Trotzdem sind hier noch einige Links, die sich entweder direkt mit der Blackhat oder der Defcon beschäftigen oder besprochene Themen vertiefen:

Lauschangriff für Jedermann bei Spiegel Online, vom Kollegen Ries, der sich dankenswerterweise als Guide für Blackhat und Defcon zur Verfügung gestellt hat. Thema ist unter anderem der IMSI-Catcher von Chris Padget. (man beachte, dass der verdammte Speakergoon ne Ninja Badge hat. Und ich nicht. Damn)

Das Blog von Chiefmonkey (englisch), einem IT-Forensiker. Blackhat Tag 1, Barnaby Jacks ATM Hack, Blackhat Tag 2, Defcon Tag 1 und Defcon Tag 2. Oh, und die Tipps für Noobs.

Router-Zugang durch die Hintertür (Heise Security) Infos zu Craig Heffners Router Attacke

Rootkit für Android – ebenfalls HeiSec

Hacker Wonderland: Defcon 18 in Pictures (Wired.com) – Mehr Fotos von der Defcon von den Wired-Jungs.

Highlights from Blackhat and Defcon (ReadWriteWeb, englisch)

Ein bisschen Info rund um dieses seltsame Project Vigilant (da werd ich mich auch nochmal reinkniehen, das klingt alles sehr seltsam.)

wird (wahrscheinlich) fortgesetzt

Ähnliche Artikel

• ImageShack wird von Anti-Sec-Bewegung angegriffen (0)
• Video: Dell Streak Unboxing Porn (0)
• WordPress-Blogger: Bereitet auch auf 2.5 vor (0)
• Defcon, Tag 2 (0)
• Daten schöner sichern mit FBackup (1)

Ok, das war also meine erste Blackhat und meine erste Defcon. Ich bin immer noch ein wenig müd, aber würde ich wieder hinfahren? In jedem Fall.

Zuerst zur Blackhat: Das ist wohl eine der besten IT-Sicherheitskonferenzen, auf der ich bisher war. Gute Sprecher, gut organisiert, gutes Hotel – das Konferenzzentrum des Ceasars Palace ist zwar kleiner als das des Mandalay Bay, aber das ist auch auch nicht schlecht.

Dann die Defcon: Wow. Für die knapp 140 Dollar, die das kostet, wow. Klar, es ist ein wenig chaotischer, aber irgendwie auch deutlich familiärer. Die Talks sind sogar noch ein wenig technischer als auf der Blackhat – und die Hacker-Kultur ist deutlich stärker vertreten.  Es ist allerdings nahezu unmöglich, alle Vorträge, Contests, Events und Partys mitzunehmen. Wow. Klar, einige Vorträge waren extrem überfüllt, im Großen und Ganzen kam man aber recht gut rein. Zudem wars extrem friedlich und jeder, wirklich jeder, war nett, auskunftsfreudig und hilfsbereit.

Die Pwnie Awards: Sehr geeky, sehr witzig, aber nur, wenn man Sicherheitsthemen über das ganze Jahr folgt.

Die Badges: Während die Blackhat Badge noch ganz normal war, haben sie bei der Defcon-Badge aufgetrumpft: Elektronisch, mit Display und Hackbar. Noch eine Stufe höher war die Badge von Ninja Networks, diese setze auf ein Zigbee-Mesh, um ein Ninja-Kampf-MMO zu erstellen. Jeder Badge-Besitzer (ich hatte leider keine) konnte die anderen attackieren und so im Level aufsteigen.

Die Partys: Ich habe viel zu wenig mitgenommen, verdammter Jetlag, aber ich hab gehört, dass sie großartig waren. Die Ninja-Party ging wohl irgendwann um 8 sowas los und hörte irgendwann so 14 Stunden später auf. Nächstes Jahr.

Paranoia: Auf beiden Konferenzen bin ich nur über das gesicherte WLAN und aktiviertem VPN ins Web gegangen – alles andere ist auf einer Hackerkonferenz eher töricht. 3G war keine Option – ich habe keinen passenden Prepaid-Anbieter gefunden (Anregungen werden gerne genommen), zudem waren auch deren  Netzwerke wohl arg überlastet. Besonders cool war das WPA2 EAP gesicherte WiFi auf der Defcon, registrieren, anmelden, passt. Der Wall of Sheep war dieses Jahr dennoch gut gefüllt, vor allem 3rd-Party-Apps auf Handys (Twitter, Foursquare, Facebook) hauen scheinbar Zugangsdaten wie wild raus – siehe auch Bild.

Vegas im August: Freck. Heiß. Unglaublich. Ich hab diese extrem runtergekühlten Räume noch nie vertragen, aber in Kombination mit dieser extremen Hitze (hey, morgens 28 Grad. Im Schatten. Nicht, dass es hier viel Schatten gibt). Also, wer nach Vegas kommt, v.a. im Sommer: trinken, trinken, trinken. Und zwar Wasser, kein Bier. Nunja, andererseits ist das meiste Ami-Bier eh wie Wasser, das geht dann schon.

Praktische Tools: Everywhere HTTPS ist eine super Erweiterung für Firefox, die Seiten wie Facebook oder Twitter ständig zur HTTPS-Verschlüsselung zwingt.

Hotel Treasure Island: Meh. Nichts besonderes, weder positiv noch negativ. Natürlich kein kostenloses WiFi, aber weniger teuer verglichen mit dem Mandalay Bay.

Aufzeichnungen: Weils in den Kommentaren aufgetaucht ist: Die Videos der Defcon und Blackhat dauern wohl noch, bis sie online sind. Grund ist, dass sie zunächst verkauft werden.

Bilder, Bilder, Bilder (Achtung Feed-Reader: Ich weiß nicht, wie die Bilderstrecke im RSS aussieht, schauts euch lieber auf der Homepage an):

Ähnliche Artikel

• Anti-Spam-Maßnahme Captcha geknackt (0)
• Update: Virenattacken aufs iPhone – keine Panik (0)
• Veiled – ein browser-basiertes Darkweb (1)
• Einmal DNS-Server, ohne Zensur, bitte (2)
• Craxxxor oder Wie ich mein erstes Schloss knackte (0)

Und natürlich noch die EFF: Im Rahmen der Defcon (mit Party davor) wurden insgesamt mehr als 49.000 Dollar gespendet. Krass.

Ähnliche Artikel

• Update: Ständig erweiterter Eintrag zum 1. April 2010 (3)
• Linkliste zur Defcon und Blackhat (0)
• Wie bekomme ich eine qualifizierte elektronische Signatur? (0)
• ImageShack wird von Anti-Sec-Bewegung angegriffen (0)
• Veiled – ein browser-basiertes Darkweb (1)

Jackpotting ATMs: Was für ein cooler Vortrag, auch wenn er sich wohl wie bereits gedacht nur sehr schwer auf deutsche Geldautomaten anwenden lässt. Jack hatte sich auf einzeln stehende ATMs konzentriert, wie sie hier in den USA beispielsweise in Bars oder Läden stehen, nicht die “In-Wall-Version”. Während das Geld an sich gut geschützt ist, kommt man relativ einfach an das Mainboard (das u.a. USB-Ports und Cardreader hat) – die Hersteller haben genau einen Master-Schlüssel, mit dem sich alle Geräte öffnen lassen. Im Inneren arbeitet ein Windows CE, sobald er da eine Shell hatte, konnte er relativ einfach ein passendes Programm samt Rootkit schreiben, mit dem er die Maschine fernsteuern kann. Geld kann er “abheben”, indem er eine spezielle Karte durchzieht oder eine Tastenkombination drückt.

Was mich interessierte, war die Kamera. Schließlich sieht man regelmäßig in Krimis, wie die Agenten die Verdächtigen  mit gestochen scharfen Bildern aus Geldautomatenkameras überführen. Kein Problem, so Jack auf meine Nachfrage – mit installiertem Rootkit kann er die Kamera deaktivieren. Alternativ kann er die Bilder auch löschen – oder einfach austauschen. Definitv das Video des Talks anschauen.

Ein anderes großartiges  Briefing war von Chris Padget. Er zeigte, wie man mit relativ wenig Kostenaufwand (etwa 1500 Dollar plus ein Laptop) einen IMSI-Catcher erstellen kann. Im Grunde ist das eine gefakte GSM-Basisstation, mit der sich alle Handys im Umkreis verbinden. Laut Padget ist das auch relativ easy: Jedes GSM-Handy verbindet sich automatisch mit der stärksten Zelle. Geschützt ist das nur durch den Namen oder die ID des Providers und eine ausgestrahlte Landeskennung. Noch interessanter – ist das Handy mit der Basestation verbunden, kann der Angreifer etwa die Verschlüsselung abschalten oder andere Befehle an das Handy schicken.

Padget beschreibt GSM als das Telnet unter den Mobilfunksystemen – komplett unsicher. Eine gefakte Basisstation erkennt der Mobilfunkprovider im Normalfall nicht, sobald sich ein  Handy mit einer entsprechenden Zelle verbindet, geht der Provider davon aus, dass es abgeschalten ist – verschwindet es doch aus dem regulären Zellennetz. Der Angreifer kann sogar Man-in-the-Middle-Attacken ausführen, schließlich hat er komplette Kontrolle über das attackierte System.

Die Technik wird übrigens nicht nur von Hackern oder bösartigen Angreifern genutzt – der Konzern Rhode und Schwarz hat in Europa das Patent für solche IMSI-Catcher, die u.a. an Regierungen und Behörden verkauft werden. Laut The Grugq (vom Spoofing GSM Telefone) meinte, dass die beispielsweise auf den G20 Gipfel genutzt wurde.

Dazu kamen zahlreiche andere Vorträge und Pressekonferenzen, viel dabei rund um Android (inklusive ein Rootkit Proof of Concept), der Wall of Sheep, wie man sein Botnet mittels TOR schützen kann, das Social Engineering CTF und viele, viele Tools. Sobald mein Kopf wieder ein wenige leerer ist, gibts mehr.

Leider ist heute, Sonntag, der letzte Tag der Defcon – alles in allem ist das eine großartige, technisch unglaublich Tiefe Konferenz. Ich werde heute noch Bilder machen um ein paar mehr Impressionen zu kriegen.

Ähnliche Artikel

• Wie bekomme ich eine qualifizierte elektronische Signatur? (0)
• Wie man Sicherheitsmeldungen NICHT absetzt (0)
• Daten schöner sichern mit FBackup (1)
• ImageShack wird von Anti-Sec-Bewegung angegriffen (0)
• Fremder, kommst du in die USA – lösch dein Notebook (2)

Ähnliche Artikel

• Wie man Sicherheitsmeldungen NICHT absetzt (0)
• Defcon, Tag 2 (0)
• Defcon, Finale (0)
• Update: Ständig erweiterter Eintrag zum 1. April 2010 (3)
• Blackhat und Defcon: Fazit und Bilder (2)

Praktischerweise gibts auf der Defcon eine komplette Skybox, in der sich Toool festgesetzt hat. Dort gibts nicht nur Anfänger-Kits zu fairen Preisen, sondern auch massig Schlösser, Einführungen und Hilfen. Und wirklich, sobald man den Dreh mal raus hat, ist es gar nicht mehr so schwierig. Mein erstes Opfer war ein Samsonite Kofferschloss und ich habe etwa 20 Minuten gebraucht, dann war das Ding plötzlich offen. Sehr cooles Gefühl.

Jetzt weiter zum nächsten Vortrag.

Ähnliche Artikel

• Fremder, kommst du in die USA – lösch dein Notebook (2)
• Wie bekomme ich eine qualifizierte elektronische Signatur? (0)
• Defcon, Tag 2 (0)
• Safer Facebook: Schütz dich vor vermeintlich scharfen Ludern (0)
• BlackHat und Defcon (0)

Ich bin seit drei Tagen in Vegas, die BlackHat ist gestern offiziell zu Ende gegangen und die Defcon beginnt in diesen Minuten.

Die Konferenzen waren unglaublich gut, schön technisch und tiefgehend, perfekt. Ich war unter anderem bei The Grugq, der erklärt hat, wie man mit einem speziell geflashten Motorola-Handy GSM-Basestations angreifen und Nutzer aus dem Netz kegeln kann. Ebenfalls interessant war der Craig Heffner Vortrag, über die DNS Rebinding-Attacke gegen Router.

Barnaby Jacks Angriff auf ATMs habe ich leider verpasst (sollte ich hier auf der Defcon aber noch zu sehen kriegen), das Video sollte man sich hier ansehen, sehr cool. Allerdings denke ich nicht, dass sich die Attacke so 1:1 auf deutsche Automaten übertragen lässt – der Zugriff auf die Dinger ist bei uns deutlich schwerer, imho. Ich war stattdessen beim @TheSuggmeister, der einen recht guten Social Media  Blackop Vortrag gehalten hat. Danach hat er ein von Tony Hawk signiertes Skateboard auf der Blackhat versteckt, das yours truley gefunden hat. HA. Sehr gut war auch der Beitrag der Lookout-Jungs zum Thema Mobile App Attack, da werd ich in jedem Fall noch was größeres machen (wahrscheinlich dann bei einem richtigen Magazin :) )

Großartig waren auch die Partys bisher, ich war zumindest bei McAfee, habe aber zahlreiche andere verpasst (Mozilla hat Milch und Kekse verteilt!)

Tag 2 der Blackhat war deutlich schwerer – auch weil ich nur vier Stunden schlafen konnte, drecksjetlag.

Neben einer guten Keynote, ein General A.D. hat versucht, Cyber-Warfare zu definieren, war ich unter anderem beim oben erwähnten Craig Heffner, hab mir einen Vortrag zum Thema Penetration Testing von virtuellen Maschinen angeschaut und über GSM-Attacken zusätzliche Infos gehört.

Außerdem war ich bei Aruba, die stellen und verwalten das WLAN netzwerk auf der Blackhat. Dazu gehören auch zahlreiche Attacken, in erster Linie mit Rouge-Hotspots (sprich Kismet und Hotspotter). Neue Angriffe gab es nicht, da setze ich aber hier auf die Defcon, die ist ja ein wenig, hm, hackigerer.

Fazit der ersten Blackhat: Sehr cool, aber auch sehr erwachsen. Gut durchorganisiert, sauber gekleidete Sprecher, zahlreiche Sponsoren. Die Defcon soll eine Art Gegenteil sein. Hier noch das Bild der Defcon-Badge:

Bis dann.

Ähnliche Artikel

• Anti-Spam-Maßnahme Captcha geknackt (0)
• Safer Facebook: Schütz dich vor vermeintlich scharfen Ludern (0)
• Defcon, Tag 2 (0)
• Update: Ständig erweiterter Eintrag zum 1. April 2010 (3)
• Social Engineering ist noch immer so einfach (0)

“Der Versuch von Apple, RIM in Apples selbstgemachtes Debakel mit hineinzuziehen, ist nicht akzeptabel. Bei Apples Behauptungen über Produkte von RIM scheint es sich um einen bewussten Versuch zu handeln, die Öffentlichkeit über das Thema Antennen-Design irrezuführen und von der eigenen schwierigen Situation abzulenken. RIM ist weltweit führend im Antennen-Design und stellt seit über 20 Jahren effiziente und leistungsstarke Produkte zur kabellosen Datenübertragung her. In dieser Zeit hat RIM bewusst davon abgesehen, auf Designs zurückzugreifen, wie sie Apple im iPhone 4 genutzt hat, und stattdessen innovative Designs eingesetzt, die das Risiko von Verbindungsabbrüchen minimieren, besonders in Bereichen mit limitiertem Empfang. Eines ist sicher: Kunden von RIM brauchen keine zusätzliche Hülle für ihr BlackBerry Smartphone, um vernünftigen Empfang zu haben. Apple hat bewusst Design-Entscheidungen getroffen, für die das Unternehmen nun auch Verantwortung übernehmen sollte, statt zu versuchen, RIM und andere in eine Situation mit hineinzuziehen, die ausschließlich mit Apple zu tun hat.”

- Mike Lazaridis und Jim Balsillie (Quelle: Pressestelle RIM)

Was war passiert? Gestern gab Apple erstmals eine Pressekonferenz, in der sich der Konzern zum Empfangsproblem des iPhone 4 äußern will. Äußern hieß in diesem Fall überspitzt zusammengefasst: Habt euch nicht so, bei Samsung und RIM geht der Empfang auch runter, wenn man es auf eine bestimmte Weise hält. Apple ist es sogar nicht zu peinlich, eine eigene Website online zu stellen, die Nachweisen soll, dass das (angebliche) Empfangsproblem am Nutzer liegt.

Es wirkt fast, als fühle sich der Konzern aus Cupertino persönlich angegriffen, der Umgang mit dem Problem des neuen iPhone ist in jedem Fall alles andere als professionell. Zuerst wurde es abgestritten, dann war plötzlich ein Softwarefehler schuld, dann war es doch eine Hardwaresache, Steve Jobbs wollte kostenlose iPhone-Gummis verteilen und nun ist es plötzlich ein Problem, dass eigentlich gar keins ist, weil es ja überall vorkommen kann.

Natürlich mag das was dran sein – aber wenn die Affäre eins zeigt, dann dass Apple nicht damit umgehen kann, mögliche Probleme einzugestehen. Anstatt ein Austausch- oder Reparaturprogramm aufzusetzen, wie etwa Microsoft mit der Xbox und dem Red Ring of Death durchführt, wird eine Nebelkerze nach der nächsten gezündet. Klar, ein kompletter Rückruf wäre teuer, aber das ist doch nichts im Vergleich zu der Reputation, die man mit solchen kindischen Aktionen verliert. Und ich denke nicht, dass ein Austausch teurer wäre als diese seltsamen Versuche, ein offensichtliches Problem zu Kaschieren.

Oder liege ich da falsch?

-Mo

Ähnliche Artikel

• Update: Virenattacken aufs iPhone – keine Panik (0)
• 123Spoof: Call-ID Spoofing für das iPhone (5)
• Windows 7: Domänen-Anmeldedaten eingeben (3)
• ….und das Mysterium der nicht mehr erkannten USB-Geräte (0)
• Quake 3 auf dem iPhone (0)