Tobias Neitzel präsentiert Open-Source-Tool auf der Black Hat USA 2021

4. August 2021

Tobias Neitzel, Managing Consultant IT Security im usd HeroLab, präsentiert am 05. August sein Tool “remote-method-guesser: A Java RMI Vulnerability Scanner” auf der Black Hat USA 2021.

Die internationale Sicherheitskonferenz zählt zu den größten Veranstaltungen für IT-Sicherheitsexperten und Sicherheitsverantwortliche weltweit. Vortragende und Teilnehmer*innen aus aller Welt kommen dazu jährlich in Las Vegas zusammen, um sich zu neuen Sicherheitslücken, Verteidigungsmechanismen und Trends in der IT-Sicherheitsbranche auszutauschen. Dieses Jahr findet die Black Hat Main Conference am 04. und 05. August als hybrides Event statt.

Wir haben uns mit Tobias Neitzel zu seinem Vortrag unterhalten:

Tobias, was ist es für ein Gefühl auf der Black Hat zu präsentieren?

Tobias Neitzel: Es ist einfach ein unglaublich gutes Gefühl bei einem so großen Event präsentieren zu dürfen. Die Black Hat ist eine der wichtigsten Konferenzen für IT-Sicherheitsexperten und ein Teil davon zu sein, ist für mich eine große Ehre. Vor zwei Jahren waren wir bereits als Teilnehmer vor Ort in Las Vegas. Nun sogar als Speaker daran teilzunehmen - damit erfüllt sich ein großer Traum.

Worum geht es in deiner Präsentation?

TN: Meine Präsentation ist im Black Hat Themengebiet “Arsenal“ eingeordnet. Dort werden die neusten Open-Source-Tools und –Produkte vorgestellt. In meinem Vortrag stelle ich der Community mein Tool „remote-method-guesser (rmg)“ vor: einen Java RMI Schwachstellen Scanner der nach Fehlkonfigurationen bei Java RMI Endpunkten sucht. Er kombiniert bekannte Techniken zur Identifikation von RMI Schwachstellen mit weniger bekannten Angriffsvektoren, die oft übersehen werden. Neben der Erkennung von RMI Schwachstellen kann der remote-method-guesser für jeden unterstützten Schwachstellentyp Angriffsoperationen durchführen.

Warum denkst du wurde ausgerechnet dein Tool ausgewählt?

TN: Java RMI hat eine lange Historie an bekannten Schwachstellen, von denen leider nur wenige im Detail dokumentiert sind. Für Endanwender ist es daher schwierig nachzuvollziehen, gegen welche Schwachstellen die eigenen Komponenten eventuell verwundbar sind und welche Auswirkung dies hat. Für manche Schwachstellen existieren bereits Tools, aber diese fokussieren sich meist auf die Ausnutzung einer bestimmten Schwachstelle und eignen sich weniger zur gezielten Identifikation von Verwundbarkeiten. Der remote-method-guesser ermöglicht Analysten und Benutzern ihre RMI Endpunkte einfach und effizient auf gängige Schwachstellen hin zu untersuchen. Dies bringt einen echten Mehrwert für die IT-Sicherheit.

Du präsentierst virtuell aus Deutschland statt live in Las Vegas. Wie können wir uns das vorstellen?

TN: Alle Vorträge finden auf einer Virtual Event Plattform statt. Zur angekündigten Zeit steht den Teilnehmer*innen dort meine Präsentation in Form eines voraufgezeichneten Videos zur Verfügung. Jede*r Interessierte kann sich die Präsentation on demand in eigenem Tempo anschauen. Parallel stehe ich der Community in einem Live-Chat für Fragen zur Verfügung.

Warum sollte man deine Präsentation auf keinen Fall verpassen?

TN: Obwohl das zentrale Thema der Präsentation natürlich das Tool remote-method-guesser ist, habe ich den Vortrag vor allem auf Java RMI Schwachstellen ausgerichtet. Schwachstellen zu identifizieren ist wichtig, sie zu verstehen ist aber weitaus wichtiger. Die Teilnehmer*innen lernen während meines Vortrags die Grundlagen von Java RMI sowie die wichtigsten RMI bezogenen Schwachstellen kennen. Wer selbst Java RMI Endpunkte betreibt oder regelmäßig testet, wird dieses Wissen gut anwenden können.


Für alle, die sich den Vortrag nicht live auf der Black Hat USA 2021 anschauen konnten, hier die Aufzeichnung zum Nachschauen.

Auch interessant:

PCI DSS v4.0: INFI Worksheet eingestellt

PCI DSS v4.0: INFI Worksheet eingestellt

Das Payment Card Industry Security Standards Council (PCI SSC) hat die Einstellung des Worksheets "Items Noted for Improvement" (INFI) verkündet. INFI, eine Vorlage zur Dokumentation von verbesserungswürdigen Bereichen, war mit PCI DSS v4.0 eingeführt worden. Ab...

mehr lesen

Kategorien

Kategorien