CST Chef auf DEF CON 27 – der Rückblick

usd AG News, Security Research, usd HeroLab

Unsere Heroes Ralf Almon und Sebastian Puttkammer, Managing Consultants des usd HeroLabs, haben einen kurzen Moment gefunden, uns von den beiden Veranstaltungen DEF CON und Black Hat zu berichten.

Es liegen mehr als 24 Stunden Flug und 6 Tage Konferenz hinter Euch. Was waren Eure Highlights der Black Hat und DEF CON?

Ralf Almon: Mein persönliches Highlight war der Vortrag über Http Desync-Angriffe von James Kettler. Die beschriebene Sicherheitslücke hat wieder einmal gezeigt, wie verschiedene Parser die gleiche Anfrage unterschiedlich behandeln.

Sebastian Puttkammer: Der Vortrag gehört definitiv auch zu meinen Highlights. Außerdem fand ich den Vortrag von Tsai Orange noch sehr gut. Er schaffte Bewusstsein dafür, dass Angriffe mit simplen Techniken gravierende Auswirkungen haben können. Das abendliche Networking gehörte selbstverständlich auch zu den Höhepunkten der beiden Konferenzen.

Auf der DEF CON durftet ihr im Demo Lab mit dem CSTC eine Eurer in-house Entwicklungen zur Pentest-Unterstützung vorstellen. Welches Feedback habt ihr bekommen?

SP: Wir haben sehr positives Feedback und Anregungen zur Weiterentwicklung erhalten, wie zum Beispiel im CST Chef „Kochrezepte“ zur Verfügung zu stellen, die in einem „Rezeptbuch“ abgespeichert werden können. Die Idee finden wir super und überlegen uns, wie wir das Kochbuch umsetzen können.

RA: Außerdem wurde der Wunsch geäußert, den CSTC direkt in den Burpsuite App Store zu integrieren. Dadurch kann das Plugin direkt in der Burp Suite heruntergeladen werden. Hier sind wir schon an der Umsetzung dran.

Wie kann denn der Rest der Welt den CST Chef kennenlernen?

RA: In unserem Beitrag auf der usd HeroLab Webseite gibt es mehr Infos zur Funktionsweise des CST Chefs. Auf der Open-Source-Plattform GitHub haben wir unter github.com/usdAG/cstc eine detaillierte Anleitung zur Installation bereitgestellt. Für Feedback sind wir immer offen.

SP: Wir haben uns genau aus diesem Grund dafür entschieden, das Tool auf die Open-Source-Plattform zu laden. Somit kann jeder, der an der Weiterentwicklung mitwirken möchte, sehr gerne Feedback einreichen.