Stelldichein der schwarzen Hüte

Einmal im Jahr verwandelt sich Las Vegas von einer Spiel- in eine Hacker-Höhle: Während der IT-Sicherheitsveranstaltungen «Defcon» und «Black Hat». Auf diesen werden mehr oder weniger legale Methoden gezeigt, um in Systeme einzubrechen und an Daten zu gelangen. Ebenfalls Tradition hat die Jagd auf Bundespolizisten, die sich unter die Hacker mischen. Heuer allerdings machten nicht enttarnte V-Leute, sondern die New Yorker TV-Journalistin Michelle Madigan von sich reden. Madigan wollte an der Defcon Hacker mit versteckter Kamera filmen - was bei den Security-bewussten Kongressteilnehmern schnell aufflog und in einem Spiessrutenlauf endete.

Abseits dieser Spielchen wurde in Sachen Sicherheit jede Menge Nützliches präsentiert. So zeigte Websense mit «Honeyjax» ein System, das Web-2.0-Attacken aufdecken kann. Honeyjax verhütet demnach Angriffe auf Webseiten der jüngsten Generation mit ihren interaktiven Features wie Blogs und Wikis. Laut Dan Hubbard von Websense funktioniert das System analog zu einem Honigtopf (Honeypot), mit dem konventionelle Angreifer angelockt werden.

Ganz generell wurde an den Konferenzen vor einer «Ajaxifizierung» des Webs gewarnt. Wer WWW-Auftritte nachträglich mit Ajax-Funktionen (Asynchronous Javascript and XML) aufpeppe, laufe Gefahr, das Opfer von Angriffen zu werden, demonstrierten Bryan Sullivan und Billy Hoffman von der Sicherheitsfirma SPI Labs. Beim Ajax-Facelift müsse daher darauf geachtet werden, dass so wenig wie möglich der heiklen Applikationslogik an den Client übergeben werde. Nur wenn diese auf dem Server bleibe, sei sie besser abschottbar.

Aber auch handfeste Hacks wurden gezeigt. So demonstrierte ein Teilnehmer mit dem Pseudonym Zac Franken mit «Gecko» ein Elektronikteil, das auf dem Wiegand-Protokoll basierende Zutrittskontrollsysteme an Bürotüren aushebeln kann.