 Welcome to the... Willkommen bei den Translation Angels. Sorry für das englische Intro gerade. Wir kommen da schnell durcheinander. Wir freuen uns über Feedback auf dem Hashtag C3T, I think. Ich bin Sirin Sangen und es geht, glaube ich, jetzt auch gleich los. Mit dem seltsamen Argument für Wir haben den Titel geändert. Der merkwürdige Fall des Umfangs in Cyber-Sicherheit. Original, das Argument für den Umfang, den Ausmaß in Cyber-Sicherheit. Mein Background ist technisch gewesen. Heute rede ich über ein Trend, den wir so ein bisschen voreinnehmen und in dem wir nicht so richtig nicht so richtig umfassen. Das damit meine ich Cloudscale, das Ausmaß der Cloud. Und das ist, damit meine ich, die Möglichkeit, große Anzahl von Daten auszuwerten. Und das hat in großer Rolle gespielt in unserer Industrie, in der letzten Dekade oder so was. Bevor ich darüber rede, ist, glaube ich, in manchen Kontexten wichtig. Ich habe vor 15 Jahren angefangen und sogar auf dem Kongress war es viel kleiner. Die Community-Gemeinschaft war in einer Nische. Und dann um 2010 herum ist was passiert. Die Leute haben gemerkt, dass es mehr von Staaten gesponserte Angriffe gibt. Im Mandiant-Report wurde das zum Beispiel gesagt. Zeig wurde das China, die Infrastruktur der sogenannten westlichen Welt mit IT-Angreifen hekt. Und das hat für die Industrie viel geändert. Da waren zwei signifilkante Änderungen wegen dieser ganzen Aufmerksamkeit. Erst mal Berüchtigkeit, Bekanntheit. Und Cybersecurity wurde eine Sache, auf die alle geredet haben. In allen Zeitungen gibt es immer irgendwas über Cybersecurity. Alle reden über Cybersecurity. Und als ich angefangen habe, gab es Cybersecurity nicht. Das nannten wir Infosec. Und jetzt wissen nur noch wenige, was Infosec über bedeutet. Bekanntheit ist eine Sache, aber nicht die einzige Sache, die sich geändert hat. Was sich auch geändert hat, ist, wie viel Geld in den Sektor geschoben wird. In 2004, je nachdem, wem du da vertraust, wurden 3,5 bis 4 Milliarden Dollar ausgegeben. Jetzt sind wir über 120. Das ist nicht ganz exponential. Aber die Ausgaben kommen mit einer sehr großen Änderung der Player, die jetzt in der Industrie sind. Die Verkäufer, die Sicherheitssoftware verkauft haben, sind jetzt verschwunden. Und jetzt gibt es zwei Sorten Spieler, die großen Technik, Riesen, Google Amazon usw. die Sicherheit jetzt mehr ernst nehmen, Geld damit machen. Oder als Logon benutzen, um F-Telefone zu verkaufen. Die andere Entität sind große Cloud-Sicherheitshändlerinnen. Und das sind, die benutzen mehr Cloud-Ressourcen, um Sicherheitsprobleme anzugreifen. Und was ich diskutieren will, ist, aus einer technischen Perspektive, dass Umfang Größe einen großen Einstack hat, wie wir diese Probleme angreifen und was wir Problemen jetzt auch haben. Jetzt gebe ich ein paar Beispiele über die Veränderungen, durch die wir durchgegangen sind. Eine der wichtigen Sachen, an denen wir überdenken müssen, ist, was der Umfang die Skala gemacht hat. Das hat der Verteidigung einen Vorteil über den Angriff gegeben. Das ist ein wichtiger Trend, den wir manchmal übersehen. Ich fange mit Endpoint Security an. In den 80ern haben viele Leute mit IDS-Systemen angefangen, nachzudenken, dass die Ideen da sehr einfach sind. Ihr habt so eine Baseline-Basis auf einer Maschine. Und wenn die Maschine sich anomal verhält, dann wird die halt irgendwie als Schadhaft geflaggt. Und das Problem mit den hostbasierten IDS-Systemen, hat das Commissars-Produkt nicht ganz so eingeschlagen. Da gab es zwei Gründe zu. Das erste ist, dass es sehr schwierig war, die Resultate zu interpretieren. Zwar hat zu verstehen, hier ist eine Anomalie und hier ist warum diese Anomalie ein Sicherheitsproblem sein könnte. Und es gab viele falsche Positive. Und es war sehr schwer zu gucken, was auf dieser Maschine anomal ist und was nicht, weil es sehr viele unterschiedliche Maschinen gab. Darum waren wir so ein bisschen stuck mit den Händlern, der Antivirus-Händlern, die wir kennen. Und dann kam der AVT-1-Report. Und viele Firmen haben zugegeben, dass Antivirus nicht so viel hilft. Und dann gab es dann Newkit on the Block, ein Newcomer, sozusagen. Wenn du Ideal-from-Marketing-Zeug wegnimmst, dann ist es quasi das Hostbasate-True-Detective-System in einem größeren Umfallen. Der Cloud-Offang hat diese IDS-Systeme jetzt möglich gemacht und zwei Möglichkeiten, weil du jetzt große Datensets hast mit vielen Maschinen, da kann man auf vielen Maschinen Detectionen üben und können bessere Detectionen üben, weil einfach mehr Maschinen da sind. Und das andere ist das Idea-Verkäufer und Firmen, die das selber haben, dass die dann eine Economy of Scale haben. Das heißt, Sie haben einige Experten, Analysten, die diese Detections interpretieren können und du kannst Datamining betreiben um das zu analysieren. Und das ist eine ziemlich interessante Entwicklung, weil wir jetzt von Signaturen weg sind zu was, was viel besser funktioniert gegen weitere, viele weitere Angriffe. Aber ein Side-Effect, ein Nimm-Effect ist das Data-Sharing-Problem. Wenn ihr wisst ja vielleicht, dass es viele Versuche gab, irgendwie all den Ergebnisse miteinander zu teilen und das hat nicht so richtig funktioniert und es wurde halt versucht, die Leute zu zwingen, diese Daten zu erheben. Aber jetzt sind die Handler einfach diese dritte Partei, die erstmal vertraut wird und die kann dann halt ihre Sicherheitssysteme auf alle Systeme verteilen, nicht nur auf eine Maschine. Und die Implikation hier ist das Memen, dass der Angreifer nur einmal richtig liegen muss und wir die ganze Zeit, die Verteidiger, das stimmt nicht mehr, weil wenn du eine angreifende Infrastruktur hattest, wie Server, Exploit-Ketten, dann konntest du die ganz oft mehrmals verwenden. Das bist du nur, das alles ein bisschen mutieren und dann würdest du durch die ganze Protection durch. Aber heute stimmt das nicht mehr, in den meisten Fällen, wenn du auf einer Maschine detected wirst, muss die ganze offensive Infrastruktur halt verschrottet werden und neu gebaut werden. Das ist das erste Beispiel und das ist schon mal sehr signifikant, finde ich. Das zweite, was ich dort reden will, ist... Das nächste, was ich dazu über das Thema geben möchte, ist Fuzzing. Da gibt es uns einen Blick, wie die Zukunft sein wird. Also, falls ihr das noch nicht gemacht habt, Fuzzing, ist schon seit einer Weile in unserem Arsenal gesichert. Aber in den letzten Jahren gab es so eine Art Renaissance von Fuzzing. Es gab ein paar Änderungen. Das erste, was es gibt, ist, dass wir eine bessere Art und Weise die Fitness eines bestimmten Samples finden können für den Fuzzer. Und das statt, dass wir Codecoverage benutzt haben, um den Fuzzer zu leiten, haben wir pad-based Fuzzing gemacht. Aber es gibt noch ein paar andere Änderungen, die Fuzzing stark geändert haben. Bei Fuzzing ist Geschwindigkeit wichtiger als intelligente Sachen. Und wenn man sich AFL anschaut, dann ist das ein ziemlich dummer Fuzzer. Es macht spitflipping, es macht sehr einfache Strategien für Permutation. Aber es ist ein sehr optimierter C-Code, dieses AFL. Das heißt, wenn wir einen richtig guten Server haben, dann kann es sehr komplizierte Dateiformate synthesieren. Und was ich toll finde, das ist nicht nur für Dateiformate, sondern auch für viel komplizierte Zustandsmaschinen. Worüber ich jetzt noch reden möchte, ist ClusterFuzz. Das wird von den Chrome-Team benutzt, um Chrome-Bugs zu finden. Und das gibt es jetzt schon seit sechs Jahren. Und in ClusterFuzz hat 16.000 Bugs in Chrome gefunden und auch noch 11.000 in ein paar anderen Open Source-Projekten. Wenn wir ClusterFuzz vergleichen mit dem zweit erfolgreichsten Fuzzer, dann haben wir diesen JS-Form-Fuzz und der hat 6.000 Bugs gefunden in acht Jahren. Wenn man sich den Code anschaut, dann ist der Unterschied nicht die Mutations-Engine, sondern ClusterFuzz macht nicht irgendwie was Tolles, sondern es skalliert einfach viel besser. Man kann es viel besser im großen Umfang laufen lassen. Mit Fuzzing sind wir jetzt so groß, dass dadurch, dass wir so viele Bugs finden, dann ist es jetzt viel schneller, Bugs zu fixen, anstatt Exploitschains zu bauen. Vor ein paar Monaten hat das Tag-Team von Google eine Angriff, die sie gefunden haben. Und das wurde vom chinesischen Regierung genutzt. Da sind sie dann auf das Infizierte-Gerät gegangen und haben geschaut, wie ist dieses Gerät infiziert worden. Da haben wir wieder ein Beispiel, wie die Verteidigung einen großen Vorteil gegenüber dem Angriff hat, weil wir so einen großen Maßstab in so großem Umfang machen. Es ist nicht so, dass Sicherheit besser geworden ist, einfacher geworden ist, weil wir besser geworden sind, sondern weil wir größere Massen von Daten uns anschauen können. Wir haben mehr Rechen-Ressourcen usw. Was wir noch merken müssen, ist, dass das Problem im großen Umfang ganz anders aussieht, als das Problem im kleineren Umfang. Hier ist mal ein kleines Beispiel, um den Punkt zu verdeutlichen. Hier wollen wir mal Bucks in der Funktion, falls ihr nicht euch mit CE-Code auskennt, dann gibt es hier so ein Overflow oder Underflow von dem Buffer, indem man für Paws eine zufällige Wert reinpasst in die Funktion. Falls ihr diese Funktion euch, falls ihr die verifizieren sollt, dann könnt ihr Tools dafür benutzen, da könnt ihr den Faser benutzen, man könnte statische Analyse machen. Und viele Lösungen, die für diese Funktion gut funktionieren, sind komplett nutzlos für diese Funktion, die eine riesige Zustandsmaschine ist. Und es ist komplett unmöglich, weil es so viele Schritte braucht, um zum Bug zu kommen. Und hier haben wir quasi wieder das gleiche Problem. Das Problem im großen Umfang ist anders als das im kleinen Umfang. Das heißt, was wir brauchen, sind Engineering-Fähigkeiten, nicht Sicherheitsfähigkeiten. Denn wenn man AFL hat oder IDA-Tools hat, dann braucht man da keine Sicherheits-Expertise, sondern es geht hauptsächlich darum, Systeme zu bauen, die gut hochskalieren, die auch im großen Umfang gut funktionieren. Und all das hat eigentlich nicht viel mit traditioneller Sicherheit zu tun. Und wenn man diese beiden Dinge kombiniert, dann gibt es viel Forschung, die in einer anderen Welt passiert. Zum Beispiel vor sechs Jahren habe ich einen Vortrag gehalten. Und was ich da gesagt habe, war, falls die Forschung an etwas Forschung möchte, was für die Realität relevant ist, dann müssen sie sich ein Vorbild an anderen Plätzen, an anderen Orten nehmen. Zum Beispiel denke ich das an sowas wie beim CCC oder in der Realität. Da passiert auch echte Forschung, weil die haben große Mengen an Daten auf diese Zugreifen können. Und jetzt ist die Frage, sind wir in einem neuen Zeitalter der Sicherheit? Und wenn wir jetzt uns das anschauen, dann sind wir jetzt aus dem Handwerk Zeitalter raus. Und jetzt sind wir irgendwo, wo wir mehr Ingenieursleistungen brauchen. Aber jetzt ist die Frage, sind wir jetzt angekommen, ist das das letzte Zeitalter? Ich bin mir sicher, darüber kann man keine Voraussagen treffen, die sind sowieso mal falsch. Aber wenn wir jetzt mal die Parallelen ziehen, dann schauen wir uns mal Machine Learning an. Und der hat mal einen Aufsatz geschrieben, die bittere Wahrheit. Und dort schaut er sich Jahrzehnte von Machine Learning angeschaut. Und am Ende war es nicht intelligentere Systeme, die gebraucht wurden, sondern einfach Systeme mit mehr Ressourcen für Rechenleistungen, Speicher usw. Und wenn man sich jetzt sowas wie AlphaGo anschaut, dann funktioniert es nicht, weil es viel Go-Wissen hat, sondern weil es sehr viel Rechenpower hat. Es hat sehr viel Daten, auf denen sich trainieren kann, es hat sehr viel CPU-Lust, die es benutzen kann. Und ist das jetzt ähnlich in der Sicherheitsindustrie? Naja, es ist hier vielleicht ein bisschen anders. Wir sind bloß an der Spitze des ASBX, aber vielleicht können wir eine neue Ära der Automatisierung erreichen, wo Sicherheitswissen nicht so wichtig ist. Und wenn wir uns jetzt noch mal AFL anschauen, dann ist es so ähnlich wie ein Reinforcement Learning Fuzzer. Was es tut, ist, ein JPEG-Datei nimmt und dann über 12.000 Permutationen durch ein... Anders, es geht von einem zuverlägenden Datei aus und generiert innerhalb von 12.000 Iterationen eine valide JPEG-Datei. So, was ist noch ein anderes Beispiel? Hier gab es eine Cyber Grant Challenge und die Frage war, kann man automatisch Exploits generieren? Kann man automatisch Patches für die Exploits generieren? Und Sie haben das natürlich in einem Spiel-Environment gemacht. Aber wenn man heute Leute in der Industrie fragt, dann denken Sie, dass wir vielleicht höchstens fünf Jahre davon entfernt sind, echte Exploits zu generieren. Und das ist toll, weil vor Kurzem hat mir gesagt, das würde nie passieren. Das nächste, was wir uns anschauen, ist Amazon Macy. Was es tut, ist, Machine Learning benutzen, um persönliche Daten oder Intellectual Properties zu finden und zeigt dir dann an, was mit diesen Daten passiert. Das ist ein Gebiet, wo Sicherheitswissen nicht so wichtig ist, Hauptsache, man hat ein bisschen Ingenieureswissen. Und soweit, dass alles positiv, eine positive Entwicklung, ein positives Argument für die Vergrößerung des Umfangs. Aber was anderes, was wir reden sollen, besonders für dieses Publikum, was hier besonders wichtig ist, die andere Seite ist Umfang, stellt Zentralisierung her. Was ich vorher gesagt habe, wo passiert die Forschung, wo ist die Real-World-Forschung? Das passiert größtenteils bei Amazon, Google, großen oder großen Sicherheitsverkäufern oder Sicherheitsagenturen, Geheimdiensten. Und ich habe vorher gesagt, dass ich vor 15 Jahren in die Industrie gegangen bin. Damals war ich noch in High School. Und was cool war in der Industrie für mich, wenn du einigermaßen Intellect-Verwendung hast und ein Laptop, konntest du zum obersten Punkt Industrie beitragen. Und du konntest Forschung machen, die relevant war für die Industrie. Heute kann das gleiche 15, 16 Jahre, als die Kinder das nicht machen. Harvard hätte es da echt schwer, da relevant beizutragen. Und weil Scale-Umpfang, Zentralisierung herstellt, ist es halt sehr schwierig, wenn du bei Security mitmachen willst, wirst du durch viele Stande diese pfade gehen müssen. Du studierst Computerwurst, schaffst und dann gehst du zu einer Technikfirma. Und das ist nicht unbedingt positiv. Also, ich glaube, der Umfangs für Größer hat wichtige positive Dinge gemacht, aber auch negative. Wenn wir einst davon mitnehmen wollen von diesem Talk, möchte ich, dass ihr drüber nachdenkt, denkt, wie dieses mundäne Ding, das wir so für normal halten, die Industrie veranfeinert hat und wie das in der nächsten Phase der Industrie beitragen wird. Nicht nur vom Angruchssektor, sondern auch von den Defensiven und von den Leuten, die der Industrie beitragen. Das ist alles, was ich habe. Vielen Dank fürs Zuhören. Vielen Dank. Wir haben Zeit für Fragen. Wenn ihr Fragen habt, stellt euch bitte da vorne bei den Mikrofonen hin. Und ich gebe euch hier Signale, die ihr fragen dürft. Wir haben auch unsere Signalengel. Unsere wundervollen Signalengel, die aufs Internet gucken und schauen, ob Fragen von Mastodon oder ASC kommen. Das Mikrofon 9. Es gibt leider noch keine Fragen auf dem Internet. Es muss doch Leute geben, die brauchen Fragen haben. Sonst irgendwie einen Ratschlag hast für Leute, die in Security anwollen. Naja, ich denke, dass viel interessante Forschung jetzt bei den großen Firmen funktioniert. Also sehr, es mir wehtut. Entweder findet ihr irgendwie einen anderen Weg, an große Daten heranzukommen. Oder ihr geht einfach zu einer von diesen Firmen. Wir haben jetzt tatsächlich Questions und an Mikrofonen Fragen. Vielen Dank für den tollen Vortrag. Es ist ein bisschen schwierig, herauszufinden, weil die Daten alle biased sind. Weil die Leute, die die erstellen, was Bestimmtes war, herausfahren wollen. Aber wenn man guckt, wie viel Zeit Leute brauchen, um Attacken abzuwehren, dann ist es ein bisschen schwierig. Es ist ein bisschen schwierig herauszufinden, weil die Daten alle biased sind. Aber wenn man guckt, wie viel Zeit Leute brauchen, um Attacken abzuwehren, hat die Zeit sich statistisch sehr verringert, soweit wie die anderen Beispiele, wie Sphasing usw. gehen. Ich glaube nicht, dass da richtige Studien passiert sind. Wir haben so den Ort erreicht, wo Defensive besser funktioniert als Offensive. Aber es gibt, wenn man mit Leuten redet, die mehr offensives Sicherheitswissen haben oder im Angriff arbeiten, dass Feedback ist, dass es viel schwerer wird, Backchains am Leben zu erhalten für eine lange Zeit. Das ist nicht wirklich wegen der Countermeasures. Die Gegenangriffe sind das dichtes Ding. Es gibt nicht viel statistische Beweise. Aber von dem, was ich weiß, scheint das der Fall zu sein. Eine Frage noch. Meine Frage geht in die Direktion der Zentralisation. Die Hyperscalers convertieren, das ist für uns eine Community. Es gibt etwas für die Community, was sie machen können. Es gibt Offensives Tools, die es möglich machen, Daten zu sammeln. Das Problem mit diesen Übungen ist, dass es nicht die Frage ist, wie wir die Daten sammeln, sondern das, was wir sammeln und wie wir es behalten. Wenn ihr guckt, wie die meisten Spieler da arbeiten, ist es an die sehr viel Rechenpower. Es gibt keine einfache Lösung dafür. Ihr könnt sehr billige Provider benutzen. Aber die Ausgaben, die ihr da leistet, ist immer noch eine Magnetüte größer als früher. Vielleicht kann man das umgehen, aber ich bin mir nicht sicher. Wir haben eine Frage aus der Internet. Wenn du eine andere Frage für Wincenzo. Die Internet fragt, du hast viel über Fuzzing geredet. Gibt es noch außer OSS Fuzz? Es ist publicly available. Öffentlich zugänglich eher nicht. Die Teilnehmer der ZAPPA Challenge haben sehr viel CPU benutzt. Ich weiß nicht, ob es da eine Plug-and-Play-Fuzzing-Infrastruktur gibt. Aber da gibt es viel, soweit ich weiß, alle die Fuzzing machen und damit Geld verdienen. Die haben effektante Ressourcen. Und versuchen Fuzzing-Institustruktur auch vom Maßstab her zu vergrößern. Dann haben wir einen großen Applaus.