Wie auch im letzten Jahr, werden wir in diesem Artikel einen Rückblick in das vergangene Jahr vornehmen und einen Ausblick auf das kommende Jahr wagen.
Community Aktion & CTF
Wie im letzten Jahresrückblick angekündigt, wollten wir uns bei allen Begleitern aus der Community für die bisherige Unterstützung des Projektes Internetwache.org bedanken - aus diesem Grund haben wir an einem Wochenende im Februar ein “Capture The Flag” (CTF) veranstaltet. Die Teilnahme war überwältigend! Mit über 1500 registrierten Teams und 650 aktiv teilnehmenden Teams wurden unsere Erwartungen weit übertroffen. Wer sich genauer für die Statistiken interessiert, dem empfehlen wir einen Blick auf den damals verfassten Artikel dazu.
Als weitere kleine Community-Aktion haben wir unseren ersten Satz an Stickern erstellt und auf dem 33c3 (CCC-Congress) verteilt. Unserer Meinung nach sind die Sticker für den ersten Durchlauf ganz gut gelungen. Wenn ihr uns das nächste Mal trefft, dann bekommt ihr bestimmt auch welche.
Unsere Arbeit
Bereits im Ausblick auf 2016 haben wir geschrieben, dass wir uns näher mit Industrial Control Systems (ICS) und SCADA-Systemen beschäftigen wollen. Dieses Vorhaben wurde von uns umgesetzt und es ist uns sogar gelungen die Steuerung von 3 deutschen Wasserwerken im Internet ausfindig zu machen. Zudem wurden wir von einer Quelle darauf hingewiesen, dass sich mobile Ampelsysteme über das Internet abrufen und im schlimmsten Fall sogar steuern ließen. Die genannten und einige weitere Funde haben wir an das BSI (Bundesamt für Sicherheit für Informationstechnik) und CERTs weltweit gemeldet, sodass wir gemeinsam mit ihnen, den Herstellern und Betreibern Sicherheitslücken schließen und Netzwerke schützen konnten. Außerdem haben wir im September eine Analyse zu einem Kryptotrojaner durchgeführt und ein konkretes Beispiel dazu auf in einem Beitrag auf golem.de veröffentlicht.
Grundsätzlich sind wir immernoch im Rahmen von Bug Bounty Programmen aktiv, allerdings nicht mehr so stark wie früher. Uns fehlt schlichtweg die Zeit, da wir noch anderen Dingen nachgehen und zudem muss man offen zugeben, dass es mittlerweile deutlich mehr Security-Researcher gibt, die an Bug Bounty Programmen teilnehmen, als noch vor einiger Zeit. Generell sind wir allerdings immernoch auf Plattformen wie HackerOne oder Bugcrowd aktiv - meist in privaten Programmen.
Medienberichte
Sehr erfreulich war zudem, dass die Arbeit von Internetwache.org auch außerhalb der Fachwelt in der Medienberichterstattung zu finden war. So hat beispielsweise Spiegel sowohl online als auch im Print über unsere Wasserwerk-Funde berichtet. Zudem ist ein Artikel auf zeit.de und handelsblatt.de von uns veröffentlicht worden. Neben diesen Medien verfassen wir seit Beginn des Jahres hin und wieder Artikel für golem.de, um über unsere Funde zu berichten.
Neu in 2016 und daher recht ungewöhnlich für uns, war, dass es einige Video-Beiträge über unsere Arbeit gab. So haben wir beispielsweise gemeinsam mit Redakteueren der Deutschen Welle, dem Westdeutschem Rundfunk (WDR), der ARD und SpiegelTV (RTL) an Beiträgen gearbeitet. Um einen kleinen Eindruck davon zu geben, empfehlen wir folgende Videos.
Grundsätzlich möchten wir uns bei allen Journalistinnen und Journalisten für die Berichterstattung und auch teils kritische Anmerkungen zu unserer Arbeit bedanken. Auch zukünftig wird es uns ein Anliegen sein, die Auswirkungen von unsicheren informationstechnischen Systemen auf unsere vernetzte Gesellschaft zu beschreiben und einen Dialog darüber mit der Öffentlichkeit zu führen. Wir nehmen Anfragen, Anregungen und Kritik gern über Email entgegen.
Konferenzen
Im Jahr 2016 waren sowohl Sebastian als auch Tim auf einer Vielzahl von Konferenzen, worüber wir auch in einigen Blogbeiträgen berichtet haben. Tim war auf dem Security Analyst Summit 2016 und Sebastian auf der TROOPERS und der Alligatorcon. Außerdem ist es für uns mittlerweile fast “Tradition” am Ende des Jahres beim Chaos Computer Club auf dem Kongress (33c3) zu sein - in diesem Jahr sogar mit eigenem Assembly. Aus unserer Sicht bieten Konferenzen eine prima Möglichkeit neue Erfahrungen, Ideen und Ansätze zu sammeln - zudem haben wir immer wieder sehr nette Menschen kennenlernen dürfen. An dieser Stelle wollen wir uns für all die informativen und angenehmen Gespräche bedanken und freuen uns auch diese in Zukunft zu führen.
2016 in Zahlen
Nach der erfolgreichen Durchführung unseres CTF-Wettbewerbs im Februar und dem daraus resultierenden Anstieg an Followern, blieb diese Tendenz weiterhin bestehen. Damit können wir uns nun über mehr als 1600 Follower freuen. Falls noch einige dazu stoßen wollen - das hier ist unserer Account: @internetwache.
Der Traffic auf unserem Webblog hat sich im Vergleich zu 2015 verdoppelt. Wir zählen nun etwa 25.000 Besuche mit mehr als 45.000 Seitenansichten. Mit nur 8 neuen Artikel in diesem Jahr können sich diese Zahlen schon sehen lassen. Einen Hinweis dazu haben wir mittelweile im FAQ vermerkt, trotzdem führen wir das an dieser Stelle noch einmal kurz aus: Grundsätzlich schreiben wir lieber wenige, dafür aber gut durchdachte Artikel - anstatt sehr vielen die nur mittelmäßig sind. Da wir den Blog in Englisch und Deutsch betreiben und es auch weiterhin dabei bleiben soll, fällt pro Artikel fast die doppelte Arbeit an. Zudem gehen wir noch unseren normalen Berufen nach.
Julien ist seit Mitte des Jahres nicht mehr Mitglied im Team von Internetwache.org. Wir danken Julien für seine Mitarbeit und Unterstützung des Projektes und wünschen ihm viel Erfolg! Sehr gern verweisen wir an dieser Stelle auf seinen Security-Blog rcesecurity.com auf dem er seine Erfahrungen und Funde weiterhin teilt. Wir sind sicher, dass wir auch zukünftig noch Kontakt mit ihm haben werden und haben ihm als ehemaliges Mitglied des Teams einen Platz in unserer Hall of Fame verliehen.
Persönliche Erfolge
Sebastian schreibt weiter über persönlichen Research, welcher nicht unbedingt zum Thema Web gehört, auf dem Blog 0day.work. Im nächsten Jahr wird es dort noch einige weitere Ergebnisse und Blogposts geben. Des Weiteren wurde letztes Jahr häufiger an CTF-Wettbewerben mitgespielt - meistens jedoch als Teil des @ENOFLAG Teams. Sehr spannend war dabei das Finale vom RuCTF, welches in Jekaterinburg in Russland stattfand. Gemessen an der Menge des getrunkenen Vodkas ist ein 9. Platz trotzdem vorzeigbar. Die Qualifikation für das nächste Finale wurde mit einem 6. Platz auch zufriedenstellend abgeschlossen.
Ein weiterer Erfolg war die Organisation des Internetwache-CTF 2016. Wie im oben verlinkten Blogpost beschrieben, kam der CTF sehr gut an.
Tim schreibt seit Beginn 2016 nach Interesse über die Themen Informationssicherheit und Privatsphäre auf dem Web-Portal golem.de. Außerdem wurde im April sein erstes IT-Fachbuch zum Thema “Websicherheit” veröffentlicht, es trägt den Namen “Hacking im Web” und wurde innerhalb von 5 Monaten bereits über 1000-mal verkauft. Zu dem Thema Webhacking betreibt Tim auch einen Blog auf dem demnächst noch weitere Artikel folgen sollen. Neben seinem Studium hat er zudem eine IHK-Ausbildung erfolgreich abgeschlossen und 3 Monate in Barcelona gelebt. 2017 geht es in die finale Phase des dualen Studiums - außerdem hat er vor den ein oder anderen Blogpost (auf einem eigenem Blog) zu schreiben.
Ausblick auf 2017
Die meisten unserer Ziele für 2016 konnten wir erreichen. Wir versuchen hier ein weiteres Mal unsere Arbeit für das nächste Jahr vorauszusagen: Bisher steht auf unserem Plan, dass wir nächstes Jahr wieder einen Internetwache-CTF organisieren. Ideen dazu werden schon fleißig gesammelt, nur muss zur Umsetzung noch die nötige Zeit gefunden werden. Außerdem haben wir noch vor einige Nachforschungen im Bereich IT-Sicherheit anzustellen, aber dazu wollen wir noch nicht zu viel verraten. Die Medienarbeit macht uns generell Spaß und wir werden es uns weiterhin zur Aufgabe machen zu Fragen der Informations- und IT-Sicherheit in der Öffentlichkeit zu sprechen.
Wir werden von uns hören lassen - mit Sicherheit ;)
Sebastian Neef & Tim Philipp Schäfers
Das Team der Internetwache.org