Es wird Herbst und ich habe es wieder getan, ich bin auf der BruCON 0x05. Gent ist eine wunderbare Stadt und auf jeden Fall auch ohne BruCON eine Reise wert. Ich habe mir ein bisschen Zeit zum Sightseeing genommen, für Poffertjes und Gentse stoverij und natürlich für belgische Bierspezialitäten. Aber jetzt zum Eigentlichen:

Die erste Keynote hält Amelia Andersdotter von der schwedischen Piratenpartei. Sie spricht netterweise nicht über die NSA, sondern über Identity Management im eGovernment der verschiedenen EU-Mitgliedsstaaten, wobei Deutschland nach ihrer Meinung ein gutes, positives Beispiel ist. Danach habe ich mir HTTP Time Bandit von Vaagn Toukharian angehört. Website Performance Messungen mal anders. Transfer Zeiten werden mit Serverlast korreliert, und wenn ich so die wirklich lasterzeugenden Verbindungen identifizieren kann, kann ich auch mit wenigen Anfragen leistungsstarke Server an ihre Grenzen führen, ohne viel Geld für eine Million russische get Requests auszugeben. Ein absolut interessantes Thema, den Vortrag muss ich mir noch einmal in Ruhe ansehen. Weiter geht es mit einem Vortrag von Erin Jacobs und Zack Fasel zum Thema PCI-DSS. Gut vorgetragen, aber nicht so wirklich mein Thema.

Nach dem Mittagessen geht es für mich dann nicht mit Vorträgen weiter, sondern mit einem Workshop. Die erste Hälfte ist eigentlich kein richtiger Workshop, sondern ein langer Vortrag, danach folgt aber das Hands-On bei Ioannis Koniaris Analyzing Internet Attacks with Honeypots. Ein guter Überblick und ein paar echte Anregungen für die kommende Woche. Verpasst habe ich allerdings den spontanen lightning talk der Frau, die hier sonst die Drinks an der Bar serviert. Ich wäre gerne dabei gewesen, wenn alle „Hit me Baby one more time“ singen und sie dazu den Text tanzt. Leider habe ich danach nur Handyfotos gesehen.

Den Abschluss macht die zweite Keynote Back in Black von David Mortman. Patch Management ist hart aber nicht sexy, das ist nichts Neues, aber sein Vortrag erinnert daran, das ganze mehr vor einem produktiven Hintergrund zu sehen. Dein Server ist nicht Dein Haustier, mach ihn nicht individuell und lass ihn sterben, wenn es soweit ist. Firmen wie Facebook patchen gar nicht mehr, sie installieren standardisierte neue Server und löschen dann die alten. Die BruCON Party findet in diesem Jahr im Cirque Central statt und ist wie immer sehr gelungen und mit meinem Doctor Who T-Shirt habe ich dann gleich auch ein paar interessante Diskussionen zu Star Trek und anderen Sci-Fi Serien.

Den Auftakt am 2. Tag macht Dan Guido mit EIP Revisited. Zwei Gedanken nehme ich hier mit: Zum einen ist es wichtiger die IT-Abteilung zu schulen als die Nutzer, denn wenn ein einzelner gekaperter PC die ganze Firma übernehmen kann, habe ich kein Problem mit dessen Nutzer, sondern ein technisches Problem. Zum anderen muss ich mich bei meinen Überlegungen zu Angriffen wieder mehr darauf konzentrieren, was passiert und nicht was passieren könnte, und was passiert kommt primär von exploit kiddies. Das, was passiert, zeigt dann auch der nächste Vortrag Paint by Numbers vs. Monet von Russ Gideon. Zum Teil geht er in die gleiche Richtung wie das Buch Blackhatonomics, das ich gerade lese, zeigt aber auch, wie erschreckend wenig Mühe sich Angreifer bei ihren exploits geben, und damit ist nicht gemeint, dass sie nur das tun, was notwendig ist, um ein Ziel zu erreichen.

Aus der Podiumsdiskussion zu DevOPS and Security nehme ich mit, dass Dev, OPS und Security mehr Bier zusammen trinken sollten, und das ist durchaus ernst gemeint. Der anschließende Vortrag Data-plane Networking von Robert Graham zeigt zwar nicht wirklich ein neues Konzept, aber ein vorbildliches Beispiel dafür, wie BIND verborgen im Hintergrund seien ganzen Features ausspielt und im Vordergrund für alle Angreifer sichtbar ein simplerer und 100 mal schnellerer DNS-Server (hier robdns) steht. Aus dem Netzwerk kenne ich so etwas als fast-path und slow-path und BIND oder Apache positioniert Graham im slow-path, wo Tomcat bei mir schon lange steht.

Die BruCON ist gemeinnützig und darf somit auch kein Vermögen aufbauen. Mit 5by5 konnten sich verschiedene Ideen und Projekte im vergangenen Jahr um dieses Geld bewerben. Die Vorträge der Gewinner habe ich mir angehört, bevor es an den undankbaren letzten Slot geht, der wieder ein Highlight für mich ist: Geolocation of GSM Mobile devices, even if they do not want to be found von David Perez und Jose Pico. Ein wirklich Cooles und beeindruckendes Projekt von echten Bastlern, die es nach vielen Hochs und Tiefs geschafft haben, mit ihrer Fake GSM Base Station ein Mobiltelefon doch erstaunlich gut zu orten.

Ich freue mich schon auf das nächste Mal, am 25. und 26. September 2014 zur sechsten BruCON, wieder in der Aula der Uni Gent. Bis dann und tausend Dank an alle!