{"id":4486,"date":"2013-10-08T07:55:31","date_gmt":"2013-10-08T05:55:31","guid":{"rendered":"http:\/\/security-planet.de\/?p=4486"},"modified":"2013-10-08T07:55:31","modified_gmt":"2013-10-08T05:55:31","slug":"hacker-halted-2013","status":"publish","type":"post","link":"https:\/\/cyber-fi.net\/index.php\/2013\/10\/08\/hacker-halted-2013\/","title":{"rendered":"Hacker Halted 2013"},"content":{"rendered":"

\"hacker-halted\"Dieses Jahr war ich wieder auf der Hacker-Halted Konferenz, die im September in Atlanta stattfand. Vor drei Jahren<\/a> war ich zumindest von dem EC-Council-Training alles andere als begeistert, aber eine zweite Chance wollte ich der Veranstaltung dennoch geben. Das galt insbesondere f\u00fcr das Angebot, den Hotelaufenthalt zum Training und der Konferenz kostenlos zu bekommen. Mein erster Gedanke war zwar “na, kriegen die ihre Veranstaltung nicht voll”, aber die Gelegenheit habe ich doch genutzt.
\nAls Training habe ich mir den 3-Tages-Kurs “CAST-615: Cryptography Deep Dive” bzw. “Hacking Encryption and Countermesures” ausgesucht, da mich das Thema sehr interessiert. Die Einleitung zum Kurs klang auf jeden Fall gut:<\/p>\n

Perhaps you already know SSL\/TLS in depth, you can setup a VPN in your sleep, and you have been using TruCrypt for years. Maybe your middle name is AES (John AES Smith), but do you know enough? This course will teach you the major algorithms in depth, allowing you to understand proper implementation and exploitation. For example can you crack hard drive encryption? How likely is it to be able to break a given RSA implementation? This course does not assume you have a strong math background, it will teach you enough number theory to understand cryptography.<\/p><\/blockquote>\n

Auch wollte ich nach den Erfahrungen von 2010 keinen Kurs besuchen, der zu einer Zertifizierung f\u00fchrt. Aber manchmal kommt es doch anders \u2026<\/p>\n

Unter den Voraussetzungen zum Kurs wurde extra erw\u00e4hnt, dass keine besonderen mathematischen Vorkenntnisse vorhanden sein m\u00fcssen. Die Mathematik ist der Bereich, bei dem ich selbst in exzellenten B\u00fcchern wie z.B. Practical Cryptography aussteige.<\/p>\n

Der Kurs bestand aus verschiedenen Bl\u00f6cken: Mathematische Grundlagen, historische Mechanismen, moderne Kryptographie, Steganographie und Cryptoanalyse.<\/p>\n

Gleich zu Anfang des ersten Tages hatte der Trainer Chuck Easttom auch herausgestellt, f\u00fcr wie schlecht er alle bekannten mathematischen Erkl\u00e4rungen h\u00e4lt und dass er eine eigene Methode hat, die notwendige Mathematik verst\u00e4ndlich zu erkl\u00e4ren. Nun, das war dann auch nur eine zusammenhanglose Aneinanderreihung mathematischer Begriffe; zu einem Verst\u00e4ndnis dieser hat das allerdings auch nicht gef\u00fchrt. Das war, nun ja \u2026
\nDie historischen Verfahren haben in meinen Augen viel zu viel Platz eingenommen, Steganographie halte ich f\u00fcr \u00fcberbewertet und muss sich in so einem Kurs sicher nicht \u00fcber einen halben Tag erstrecken. Kryptoanalyse war das, worauf ich am meisten gespannt war. Dort habe ich dann doch erwartet, aktuelles zu lernen, z. B., wie kryptografische Verfahren gebrochen werden. Effektiv war das eine \u00dcbersicht von Methoden, wie known-plaintext-attacks, choosen-plaintext-attacks oder die Wichtigkeit, Kryptografie mit Cipher-Block-Chaining anstelle Electronic-Code-Book zu implementieren. Irgendwie habe ich mich um zehn Jahre zur\u00fcckversetzt gef\u00fchlt, als ich den (damals sehr guten) Cisco-Kurs VPBAV (IPSec) gegeben habe. Dort bestand der erste Tag ungef\u00e4hr aus dem Stoff, den wir in diesen drei Tagen durchgenommen haben (ok, ohne die Mathematik und ohne Erkl\u00e4rung von AES, der Standard war zu der Zeit als der Kurs entwickelt wurde noch nicht vorhanden. Auch Steganographie kam nat\u00fcrlich nicht drin vor). Zusammengestrichen ist der Kurs dann auch das, was ich in meinem IPSec-Workshop am ersten Vormittag mache. Als Anregung nehme ich aber dann doch mit, die Arbeitsweise von AES in meinen Workshop zu integrieren.<\/p>\n

Eine schlimme Vorahnung \u00fcberkam mich, als angek\u00fcndigt wurde, dass es einen anderen EC-Council-Kurs g\u00e4be, der zur Zertifizierung zum E|CES (EC-Council Certified Encryption Specialist) f\u00fchrt und mit diesem Kurs fast deckungsgleich sei. Und da sowohl unser, als auch das Zertifizierungstraining und die Pr\u00fcfung vom selben Trainer entwickelt wurde, war auf einmal auch dieses Training ein reines Zertifizierungs-Training. In diesem ging es dann auch haupts\u00e4chlich darum, das zu lernen, was man f\u00fcr die Pr\u00fcfung ben\u00f6tigt, anstatt tiefergehendes Wissen zu vermitteln. Dieses Training war leider kein Deep-Dive und auch um “Hacking Encryption” oder Countermeasures ging es eher nicht. Es war das, was ich als minimale Grundlagen der Kryptographie f\u00fcr jeden Security-Professional bezeichnen w\u00fcrde. Zudem waren es Grundlagen ohne praktische Anwendung, auf die man dann h\u00e4tte aufbauen k\u00f6nnen.<\/p>\n

Die Kursunterlagen sollte man nat\u00fcrlich auch nicht vergessen (Kostprobe unter https:\/\/www.eccouncil.org\/Certification\/ec-council-certified-encryption-specialist<\/a>). Die gedruckten Slides wirkten so, als h\u00e4tte ein Kind zum ersten Mal die Powerpoint Cliparts entdeckt und diese mussten jetzt unbedingt allesamt in den Slides dargestellt werden. Ein Resultat daraus war, dass die Schrift so klein wurde, dass man sie fast nicht mehr lesen konnte.<\/p>\n

\"eces\"Im Nebenraum lief auch wieder eine CEH-Schulung (Certified Ethical Hacker). In den Pausen habe ich h\u00e4ufiger kurz durch die ge\u00f6ffnete T\u00fcr geschaut. Was wurde dort meistens gemacht? Lediglich das sture Lernen von Pr\u00fcfungsfragen. Das best\u00e4tigt meine Meinung, die ich schon in meinem ersten Hacker-Halted-Beitrag geschrieben habe, dass der CEH noch weniger wert als wertlos ist \u2026 Ach ja, E|CES (EC-Council Certified Encryption Specialist) bin ich jetzt auch. Und auch diese Zertifizierung ist mehr als wertlos. Als Kursteilnehmer bei EC-Council kann man quasi nicht durchfallen und vom Anspruch ist sie auch eher rudiment\u00e4r.
\nApropos Pr\u00fcfung \u2026 Die Exam-Seite, auf der man sich einloggt, seine Pr\u00fcfungen verwaltet und auch die Pr\u00fcfung ablegt, arbeitet mit HTTP anstelle HTTPS (bzw. es gibt ein Zertifikat, aber das ist f\u00fcr einen anderen FQDN). Und nach der Registrierung bekommt man seinen Usernamen und das Password im Klartext zugesendet. Zumindest wenn die E-Mail ankommt, das ist sie bei mir n\u00e4mlich nicht direkt:<\/p>\n

MTA helo: zeus.atlas.eccouncil.org, MTA hostname: 67.221.176.34.static.nyinternet.net[67.221.176.34]<\/p>\n

Die darauf folgenden knapp drei Konferenztage waren dann aber doch sehr gut. Es gab etliche sehr gute Vortr\u00e4ge, die neue Informationen lieferten oder aber zum Nachdenken anregten. U.a. berichtete Charlie Miller \u00fcber den Stand der Mobile Security. Es ging weiterhin um Unicode und Security, bei dem ich mich h\u00e4ufiger gefragt habe, ob der Normalizer in den Cisco IPS-Appliances das auch erkennen kann oder um den Security-Zustand der Industrial Control Systems (ICS). Bei letzterem wird einem dann doch sehr mulmig. Die Security in diesen Systemen ist irgendwie vergleichbar mit dem fr\u00fchen Internet. Es gibt einfach keine Security \u2026<\/p>\n

\"DragonDaySlider2\"Am Abend des ersten Tages gab es dann die Preview von Dragon Day<\/a>, einem Independent Hacker Film, bei dem die USA durch einen Cyber-Angriff in die elektronische Steinzeit zur\u00fcckgeworfen werden. Das war zwar kein gro\u00dfes Kino, aber trotzdem gut gemacht und gelungene Unterhaltung. Und Popcorn gab es auch!<\/p>\n

Am zweiten Tag waren diverse kurze Sessions \u00e0 40 Minuten vorgesehen. Z.B. Angriffe auf SSL-Implementierungen. Sowas h\u00e4tte ich mir auch in dem “Encryption Deep-Dive” gew\u00fcnscht. Auch die weiteren Sessions waren fast alle sehr interessant. Am dritten Tag gab es dann nur vier Sessions am Vormittag. Bis auf eine waren auch die gut. Aber die letzte hatte es wirklich in sich. Durch komplette Ignoranz wie IT-Systeme und Netzwerke funktionieren, wurde unter abenteuerlichen Annahmen ein theoretischer Angriff pr\u00e4sentiert, der dann hypothetisch mit Mechanismen abgewehrt wurde, die bekannterma\u00dfen nicht wirklich funktionieren (n\u00e4mlich Security by Obscurity). Oh, war das schlecht …<\/p>\n

Und damit ist es mal wieder Zeit f\u00fcr eine Zusammenfassung: Die EC-Council-Zertifizierungs-Trainings sind in meinen Augen die wohl schlechtesten Trainings am Markt (und ich besuche viele Trainings). Wenn man in einem Kurs-Thema schon Grundlagen hat, dann sollte man das entsprechende ec-council-Training eher nicht besuchen, es sei denn, man ist nur an der Zertifizierung interessiert. Etwas neues lernen wird man vermutlich nicht. Wenn man ein Thema noch nicht kennt, kann es durchaus lohnen, d\u00fcmmer wird man sicher auch nicht. Und da der Konferenz-Teil durchweg gut war, kann ich mir bei einem \u00e4hnlich guten Angebot durchaus vorstellen, im n\u00e4chsten Jahr wieder bei der Hacker-Halted dabei zu sein und dann z.B. das “Digital Forensic” Training zu besuchen. Oder noch besser das Training zum Thema “Securing Windows”. Dazu gibt es keine Pr\u00fcfung und Teilnehmer dieses Trainings haben mir gesagt, dass es richtig gut gewesen sein soll.<\/p>\n","protected":false},"excerpt":{"rendered":"

Dieses Jahr war ich wieder auf der Hacker-Halted Konferenz, die im September in Atlanta stattfand. Vor drei Jahren war ich zumindest von dem EC-Council-Training alles andere als begeistert, aber eine zweite Chance wollte ich der Veranstaltung dennoch geben. Das galt insbesondere f\u00fcr das Angebot, den Hotelaufenthalt zum Training und der Konferenz kostenlos zu bekommen. Mein <\/p>\n

continue reading<\/a><\/div>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"twitterCardType":"","cardImageID":0,"cardImage":"","cardTitle":"","cardDesc":"","cardImageAlt":"","cardPlayer":"","cardPlayerWidth":0,"cardPlayerHeight":0,"cardPlayerStream":"","cardPlayerCodec":"","footnotes":""},"categories":[15],"tags":[132,214,215,270],"class_list":["post-4486","post","type-post","status-publish","format-standard","hentry","category-security","tag-ceh","tag-eccouncil","tag-eces","tag-hacker-halted"],"_links":{"self":[{"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/posts\/4486","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/comments?post=4486"}],"version-history":[{"count":0,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/posts\/4486\/revisions"}],"wp:attachment":[{"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/media?parent=4486"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/categories?post=4486"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/tags?post=4486"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}