„Hast du schon gehört, wir dürfen den CSTC wieder auf der Black Hat präsentieren?!“ – So oder so ähnlich begann ein Plausch an der Kaffeemaschine zwischen Matthias Göhring aus dem usd HeroLab und Mareike Clemens von der CST Academy vor ein paar Wochen.
Seitdem ist viel passiert: Unsere Pentester Florian Haag und Matthias Göhring werden den Cyber Security Transformation Chef (CSTC), ihre in-house entwickelte BurpSuite Extension, nicht nur auf der Black Hat USA 2024 sondern auch auf der DEF CON 32 vorstellen. Ganz im Sinne unserer Mission: Wissensaustausch mit der Community.
Heute trafen wir die beiden wieder an der Kaffeemaschine. Diesen letzten Plausch vor ihrer Abreise nach Las Vegas haben wir genutzt, um sie mit unseren Fragen zu löchern:
Black Hat und DEF CON – das sind ja wirklich DIE Conventions der Security Community. Auf welche der beiden freut ihr euch besonders?
Matthias: Das in einem Satz zu beantworten, ist gar nicht so einfach. Die Black Hat gibt uns immer gute Einblicke in Trends und Entwicklungen der Cyber-Security-Branche. Welche Software-Lösungen gibt es und was kommt auf uns als Pentester*innen zu? Die Aussteller und viele der Besucher sind aus diesem Grund hauptsächlich Repräsentant*innen von Unternehmen. Die DEF CON ist ganz anders: Als Hacker-Konferenz geht es hier viel mehr um die reine Technik, Schwachstellen, Tools und vor allem das gegenseitige Lernen. Es geht dort mehr um den Hacker als Menschen und das spürt man dort auch.
Ihr bringt euren CSTC genau wie letztes Jahr wieder mit nach Las Vegas. Könnt ihr uns noch einmal in einem Satz zusammenfassen, was das Tool kann?
Florian: Salopp gesagt: Der CSTC ist dafür da, seinen Nutzer*innen das Leben zu erleichtern. Man hat einen Zeitgewinn durch die Automatisierung mit dem CSTC – komplett ohne die Notwendigkeit, selbst Code zu schreiben. Zusätzlich kann man die Rezepte einfach im Team teilen und jede*r kann, im Gegensatz zu Skripten, einfach nachvollziehen, wie ein Rezept aufgebaut ist und funktioniert.
Der CSTC ist mittlerweile 5 Jahre alt – ist er damit nicht ein alter Hut für die Community?
Florian: Auf keinen Fall. Damit der CSTC für die Expert*innen für Webanwendungen hilfreich sein kann, muss er sich – genau wie wir als Pentester*innen – immer weiterentwickeln und sich dem aktuellen Stand der Technik anpassen. Über die letzten Jahre, auch aus Las Vegas 2023, haben wir tolles Feedback und Feature-Requests aus der Community erhalten, die wir nun vorstellen können. Zudem enthält der CSTC nun neue Operationen, die in Rezepten verwendet werden können, und die Codebasis wurde komplett überarbeitet, um sich an Änderungen in der BurpSuite anzupassen. Mein Highlight: Zusammen mit dem CSTC werden wir ein neues öffentliches Repository mit Rezepten einführen, die wir in unserer täglichen Arbeit als nützlich empfunden haben.
In welchem Rahmen stellt ihr den CSTC vor und wie laufen eure Vorbereitungen?
Florian: Dieses Jahr sind wir im Arsenal Lab der Black Hat vertreten – und zwar nicht nur mit einer Station, wo wir unser Tool in Dauerschleife präsentieren, ob mit Publikum oder ohne (lacht). Stattdessen geben wir dieses Jahr einer Gruppe von Teilnehmer*innen hands-on Einblicke in unser Tool. Dazu bin ich gerade bei den letzten Vorbereitungen und kann schon einmal eins verraten: Es wird interaktiv und spannend.
Matthias: In den DemoLabs und im AppSecVillage der DEF CON geht es dann tief ins Eingemachte: Dort interessieren sich andere Hacker für die Tiefen des Tools, die Features, die Rezepte. Da müssen wir uns ehrlicherweise eher fokussieren, was wir alles zeigen wollen, denn wir sind natürlich stolz auf alles.
Und die wichtigste Frage zum Schluss: Was macht ihr, wenn der offizielle Teil vorbei ist?
Matthias: Wir sind eine Woche in Las Vegas, ich denke das beantwortet deine Frage (lacht). Scherz beiseite, abends geht das Treffen von alten und neuen Bekannten auf den Partys rund um die Black Hat und DEF CON weiter.
Danke euch beiden für eure Antworten, einen guten Flug und viel Erfolg und Spaß. Wir freuen uns auf Bilder und Berichte live aus Las Vegas nächste Woche!