Die IT SecX – IT Security Community Exchange –  ist eine jährlich stattfindende Konferenz zum Thema IT Sicherheit an der FH St.Pölten. Dieses Jahr habe ich mich zum ersten Mal auch in das Geschehen hinein geworfen und mir einige interessante Vorträge angesehen:

• The Dark Web – can fraudsters stay anonymous? – Martin Köb, MSc | Raiffeisen Bank International
• upribox – Zeroconfig Adblocking – Dr. Markus Huber | FH St. Pölten
• Workshop: iOS Forensic – Unlocking iPhone Secrets – DDI Christoph Lang-Muhr, BSc | FH St. Pölten
• Gamifying Security Awareness (30 min) – Erik Rusek | Awarity Training Solutions GmbH
• Moderne Honigtöpfe im Zeitalter scheiternder Prävention – Bernhard Schildendorfer | SEC Consult
• Jahresrückblick – DI Daniel Haslinger & DI Bernhard Fischer | FH St. Pölten

Das genaue Programm der Veranstaltung ist aber unter https://itsecx.fhstp.ac.at/ abrufbar.
Durchwegs waren alle Beiträge sehr interessant. Wenn auch der ein oder andere Vortrag als Werbeveranstaltung getarnt war. Mein Hauptinteresse galt allerdings dem iOS Workshop. Da dies am besten zu meiner Fachrichtung/meinen Interessen passt. Leider war dieser Workshop nicht das was ich mir erhofft habe. Viel Theorie um Versionen und Hardwarekomponenten der verschiedenen iDevices und wenig Praxis „zum Mitnehmen“. Aus diesem Grund möchte ich alternativ einen kleinen Einblick in den für mich interessantesten Vortrag auf der IT SecX 2015 geben:  The Dark Web.
Da dieser Vortrag Teil einer Veranstaltung zu IT Security war, geht es dabei hauptsächlich um… IT Security. Wer hätte das gedacht. Somit fallen manchmal IT spezifische Wörter auf die ich aber nicht näher eingehen werde. Google ist dein Freund und Helfer in dieser Situation.

Im Vortrag ging es darum, in wie weit man sich im Dark Web wirklich anonym bewegen kann, und was es im Dark Web überhaupt alles zu haben gibt. Vorerst sollte man zwischen dem Deep und dem Dark Web unterscheiden, diese Unterscheidung ist aber keine klare Trennung, die Grenze verschwimmt oft sehr stark. Das Deep Web beinhaltet hauptsächlich „not indexed or searchable Content“. Über Google oder ähnliche Suchmaschinen lässt sich also eher selten ein Eintrag aus dem Deep Web finden. Die Einträge selbst im Deep Web sind allerdings über einen DNS verfügbar. Das Dark Web hingegen funktioniert ohne DNS. Einträge aus dem Dark Web sind nur über sogenannte .onion Adressen verfügbar. Diese Adressen sind nur mittels TOR auffindbar. Mit einem „TOR to Web  Gate“ wie AHMIA.FI können .onion Einträge gefunden werden.

Diese speziellen Adressen funktionieren mit einer Public/Private Key Kombination. Befindet man sich einmal im Dark Web, findet man sehr dubiose Einträge. Angefangen bei Medikamentenhandel bis hin zur Seite für gefälschte Pässe oder sogar „Murder for hire“ Aufträge. Auch als Laie sieht man aber schnell, dass manche dieser Offerten nicht realistisch sind bzw. einige zum Opfer von Hackern wurden. Die eigentlich interessanteste Frage ist aber: Wie werden solche Einträge von Exekutiven gefunden und deren Urheber ausgeforscht und aus dem Verkehr gezogen? Hier gibt es einige Methoden:

• Der Betreiber/Urheber der Webseite im Dark Web ist zu viel im „normalen Internet“ unterwegs, zum Beispiel mit normalen E-Mail Benutzerkonten etc.
• SQL Injections
• Bitcoin Deanonymization
• Der TOR Knoten wurde beschlagnahmt
• Die Webseite wurde mit Malware kompromittiert, welche eine Backdoor für die Exekutive darstellt

Als praktisches Beispiel gibt es unter anderem Silk Road 2, ein Hidden Service Portal welches im November 2014 endgültig abgeschalten wurde. Laut dem Vortagenden Martin Köb war dem FBI, welches damals gegen Silk Road ermittelte aufgrund der IP Adresse bereits der physische Standpunkt des Servers bekannt auf dem der Hidden Service lief. Es wurde veranlasst, ein Image von dem Server zu ziehen was die Maschine viel Leistung kostet – der Webservice auf dem Server funktioniert nur noch langsam bis gar nicht mehr. Daraufhin hat der Betreiber des Hidden Service den Provider via E-Mail kontaktiert. Die E-Mail Adresse war jetzt also bekannt. Über einen Hack im E-Mail Konto des Betreibers von Silk Road bekam das FBI also auch Zugang zu weiteren E-Mails welche die Tatsache, dass dies der Betreiber von Silk Road ist auch noch mit einigen Beweisen über andere kriminelle Machenschaften bestätigte. In den E-Mail Account wurde zuletzt in einem Hotel eingelogged. Somit war die IP Adresse und der aktuelle Standort des Silk Road Betreibers auch bekannt. Über die Methode der Bitcoin Deanonymization konnte mittels der IP Adresse herausgefunden werden, das sich der Silk Road Betreiber mittels Bitcoins ein neues Auto gekauft hat. Über den Kauf des Auto war schließlich auch der Name aus dem Kaufvertrag bekannt und der Betreiber Blake Benthall konnte festgenommen werden. Dies ist natürlich eine sehr verkürzte Darstellung von einer Beschlagnahmung eines Hidden Services, welche aber zeigen soll, das es trotz vieler Vorkehrungen sehr schwierig ist, anonym zu bleiben – selbst im Dark Web.

Als Fazit ist zu sagen, das die IT SecX eine wirklich interessante Veranstaltung ist – nicht nur für IT Sicherheitsexperten. Auch Web Developer & Co finden passende und spannende Vorträge die mindestens zur Erweiterung des Allgemeinwissen beitragen.