The DeepSec experience

In het pittoreske Wenen vindt jaarlijks DeepSec plaats, een in-depth cybersecurity conferentie die van overal cybersecurity professionals, academici, en de hackers community aantrekt. Zowel lokale als internationale sprekers behandelen een breed scala aan onderwerpen.

Ik had het geluk aanwezig te kunnen zijn bij de uitverkochte editie van 2023. Gehouden in het Renaissance Wien hotel, heeft de conferentie twee tracks, wat betekende dat er moeilijke keuzes moesten worden gemaakt over welke presentaties bij te wonen.

We begonnen de eerste dag met een minder technische, maar zeer interessante presentatie: Putin's Shadow War, gepresenteerd door de Zweedse journaliste Maria Georgieva.

Ze legde uit hoe OSINT werd gebruikt om bewijs te verzamelen dat Rusland spionageactiviteiten uitvoerde met als doel kritieke infrastructuren in kaart te brengen.

Vervolgens sprak Scott Shapiro, die eindelijk de langverwachte waarheid onthulde over hoe de telefoon van Paris Hilton werd gehackt. Onverwacht was dit niet het verhaal van een geavanceerde cyberaanval, uitgevoerd door het exploiteren van deep-rooted technical flaws. Maar eerder hoe een tienerjongen eenvoudig Paris Hilton's telefoonnummer aan zichzelf kon toewijzen, alleen met behulp van de T-Mobile-website. In hun haast om een van de eerste versies van de smartphone te bouwen, lijkt het erop dat T-Mobile geen aandacht heeft besteed aan process security in hun blueprints. Een kostbare les.

In de presentatie voor de lunch sprak Andreas Wiegenstein over SAP als een cyberwapen. Een onderwerp dat nieuw was voor mij. Het behandelde voornamelijk de verschillende manieren waarop de SAP-infrastructuur van een bedrijf kan worden misbruikt in een post-compromise scenario. Aangezien de ontwikkeling, QA en productieomgevingen van een bedrijf vaak met elkaar verbonden zijn, kan een aanvaller die erin slaagt om een slecht beveiligde development machine binnen te dringen, zich naar de productieomgeving verplaatsen. Hij legde ook uit hoe de programmeertaal van SAP (ABAP) kan worden gebruikt om malware-implants te maken die extreem moeilijk te detecteren zijn.

De laatste presentatie van de eerste dag werd gebracht door Moritz Abrell. Hij onthulde meerdere kwetsbaarheden in de zero-touch provisioning-functionaliteit van Zoom voor IP-/desktelefoons, zoals hardgecodeerde secret keys, het ontbreken van immutable trust en de afwezigheid van ownership verification. Door deze fouten te combineren, konden de IP-telefoons volledig worden gecompromitteerd, soms zelfs op afstand!

Kunstmatige intelligentie lijkt tegenwoordig overal te zijn, zelfs in phishing-campagnes! Alexander Hurbean & Wolfgang Ettlinger gaven een diepgaand inzicht in hun phishing-methoden, die zijn gecreëerd en geautomatiseerd met behulp van verschillende AI-tools. Zowel de offensieve als defensieve aspecten werden behandeld in hun presentatie, die ook meerdere zeer overtuigende "deepfakes" bevatte, die kunnen worden gebruikt in (stem)phishing of soortgelijke social engineering attacks.

Een interessant alternatief voor een uitgebreide pentest door een red team kan worden gevonden in (geautomatiseerde) micro attack simulations. Christian Schneider toonde aan hoe deze simulaties kunnen worden gebruikt om de mogelijke zwakke punten in een cyber kill-chain te bepalen, en hoe deze tools kunnen worden gebruikt om te verifiëren dat de geïmplementeerde defences correct werken. Dit kan worden vergeleken met een white box pentest-benadering, waarbij toegang tot een werknemerslaptop wordt verleend en de aanvaller elk stapje van initiële exploitatie tot volledige netwerk compromise stap voor stap uitvoert.