Abo
  • Services:
Anzeige
Fingerabdrucksensoren eignen sich bestenfalls noch als Kindersicherung.
Fingerabdrucksensoren eignen sich bestenfalls noch als Kindersicherung. (Bild: Andreas Sebayang/Golem.de)

Keine Mobilen Bot-Netze, aber dafür die Cryptokalypse

Anzeige

Mit einigen Vorhersagen lagen die beiden Hacker allerdings daneben. Das mobile Bot-Netzwerk wird wohl noch auf sich warten lassen, obwohl Sicherheitsupdates für Smartphones häufig nicht installiert werden. Überrascht zeigten sich Rieger und Ron, dass das Zigbee-Protokoll, dessen Probleme sie vor zehn Jahren voraussagten, dem Großteil der 31C3-Besucher im Saal gar nicht bekannt war. Das ist insofern verwunderlich, weil es längst weit verbreitet ist, nicht nur in Industrieanlagen. Für ihr erwartetes stadtweites Blinkenlight müssten sich die Hacker Zigbee und ähnliche Protokolle jedoch genauer anschauen.

Kaputte SSH- und SSL-Implementierungen haben sich aber in erschreckendem Maße als wahr erwiesen. Den Zusammenbruch der Sicherheitsinfrastruktur sahen die Hacker schon vor einem Jahrzehnt voraus. Aber auch das sehen sie sportlich. "Üben, üben, üben", rieten sie süffisant und spielten damit auf das regelmäßige schnelle Austauschen von Passwörtern und Zertifikaten an.

In einem anderen Vortrag auf dem 31C3 gab übrigens Cloudfare an, dass die Infrastruktur für das massenhafte Zurückziehen von Zertifikaten überhaupt nicht vorbereitet ist. Im Prinzip hat Cloudfare mit seinem Austausch allein schon das Zertifikatssystem völlig überfordert.

Allgemein war das nun vergangene Jahr 2014 ein Jahr zahlreicher Katastrophen abseits der "Cryptokalypse", die Rieger und Ron schon fast langweilte. DNS-DDoS-Angriffe erreichen beispielsweise mittlerweile Bandbreiten von 500 GBit/s. Zehntausende Server standen mit ungepatchtem Management-Interface im Internet und bekanntgewordene Malware-Kampagnen sind nicht etwa nur Monate lang aktiv, sondern in einem Fall sogar schon über ein Jahrzehnt.

Verschlüsselung ist wichtiger geworden

Es gab aber auch gute Entwicklungen. So zitierten Rieger und Ron Statistiken, die besagen, dass die Anzahl der verschlüsselten Verbindungen sich in der EU vervierfacht hat. Allerdings auf einem niedrigen Niveau von 1,5 auf 6 Prozent. Zudem nutzen mittlerweile 24 Prozent der Deutschen einen Passwortmanager; eine Steigerung um 5 Prozentpunkte. Auch die Anzahl der Passwörter sei von 8 auf 9 gestiegen. Ein weiteres würde "für den Passwortmanager" benötigt, sagte Ron ironisch.

Bemerkenswerte Entwicklungen gab es im Jahr 2014 auch im Bereich der Hardware. Bei AVM hat es eine stark verbreitete Router-Familie mit einer gefährlichen Sicherheitslücke erwischt. Aber AVM reagierte vorbildlich auf die Sicherheitslücken und patchte selbst alte Router, wie Rieger und Ron anerkennend sagten. Und: Jetzt wissen alle, was ein Firmwareupdate ist. Embedded Devices, wie Synologys NAS-Systeme wurden außerdem zum Ziel von Angreifern. Und mit BadUSB ist eine eigentlich harmlose Schnittstelle zur Gefahr geworden. Rieger und Ron sprachen von Einmal-USB-Sticks, die künftig benötigt werden.

Angst haben die beiden vor Sicherheitsproblemen in Industrieanlagen und unterstützen den Hacker Eireann Leverett, der auf dem 31C3 mehr Sicherheit und Aufmerksamkeit der Hacker für solche Anlagen forderte. Im weitesten Sinne meinen sie damit auch Krankenhäuser. Rieger hatte nur kurz mal ein Notebook an ein Krankenhausnetz angeschlossen. Das, was er sah, gruselte ihn. Was man laut Rieger im Krankenhaus nicht tun sollte: Nmap verwenden. Ron fragte ins Publikum, warum die Hacker sich nicht auch um diesen Bereich kümmern? Leverett habe recht, so Ron. Geräte, die einem Dinge ins Blut spritzen, sollten seiner Meinung nach nicht zusammen mit Druckern in einem Netzwerk sein.

Eine interessante Diskussion gab es bezüglich eines Apple-Vorfalls. Die NTP-Sicherheitslücke wurde auf OS-X-Systemen gänzlich ohne Rückfrage gepatcht und die beiden Hacker wunderten sich, warum es deswegen keinen Shitstorm gab. CCC-Mitglied Constanze Kurz merkte aus dem Publikum noch an, dass das kostenlose U2-Album die Anwender viel mehr aufgeregt habe. Rieger und Ron sind mittlerweile trotzdem der Meinung, dass das automatische Patchen der richtige Weg ist. Der Endanwender versteht die Problematik längst nicht mehr, aber die Notwendigkeit des Patchens gefährlicher Sicherheitslücken ist nun einmal sehr wichtig. Für alle.

 Security Nightmares 0xF: Auf dem Weg zur Fingerabdrucknähmaschine

eye home zur Startseite
Atalanttore 15. Mär 2015

Ohne Worte.

M. 04. Jan 2015

Die Frage ist aber, wie schnell du dir bewusst wirst, dass dein Gerät wirklich verloren...

derdiedas 03. Jan 2015

Wenn Du mit dem Telefon bezahlen kannst schaut die Sache schon ganz anders aus...

derdiedas 03. Jan 2015

Und wo Sie recht haben - haben Sie recht. Biometrie funktioniert nur wenn nicht jeder...

m9898 03. Jan 2015

Aha, und wie kommt der Dieb dann an mein Bankkonto? Mehr als meinen Paypal-account...



Anzeige

Stellenmarkt
  1. powercloud GmbH, Achern, Karlsruhe, Köln, Ludwigshafen, Frankfurt
  2. Digital Performance GmbH, Berlin
  3. ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn
  4. Haufe Gruppe, Freiburg im Breisgau


Anzeige
Blu-ray-Angebote
  1. (u. a. Die Goonies, John Mick, Auf der Flucht, Last Man Standing)
  2. 18,00€ (ohne Prime bzw. unter 29€-Einkaufswert zzgl. 3€ Versand)
  3. 24,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mit digitalen Workflows Geschäftsprozesse agiler machen
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  3. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Delid Die Mate 2

    Prozessoren köpfen leichter gemacht

  2. Rückzieher

    Assange will nun doch nicht in die USA

  3. Oracle

    Critical-Patch-Update schließt 270 Sicherheitslücken

  4. Android 7.0

    Samsung verteilt Nougat-Update für S7-Modelle

  5. Forcepoint

    Carbanak nutzt Google-Dienste für Malware-Hosting

  6. Fabric

    Google kauft Twitters App-Werkzeuge mit Milliarden Nutzern

  7. D-Link

    Büro-Switch mit PoE-Passthrough - aber wenig Anschlüssen

  8. Flash und Reader

    Adobe liefert XSS-Lücke als Sicherheitsupdate

  9. GW4 und Mont-Blanc-Projekt

    In Europa entstehen zwei ARM-Supercomputer

  10. Kabelnetz

    Vodafone stellt Bayern auf 1 GBit/s um



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Glasfaser: Nun hängt die Kabel doch endlich auf!
Glasfaser
Nun hängt die Kabel doch endlich auf!
  1. Fake News Für Facebook wird es hässlich
  2. Nach Angriff auf Telekom Mit dem Strafrecht Router ins Terrorcamp schicken oder so
  3. Soziales Netzwerk Facebook wird auch Instagram kaputt machen

Western Digital Pidrive im Test: Festplatte am Raspberry Pi leicht gemacht
Western Digital Pidrive im Test
Festplatte am Raspberry Pi leicht gemacht
  1. Sopine A64 Weiterer Bastelrechner im Speicherriegel-Format erscheint
  2. Bootcode Freie Firmware für Raspberry Pi startet Linux-Kernel
  3. Raspberry Pi Compute Module 3 ist verfügbar

Autonomes Fahren: Wenn die Strecke dem Zug ein Telegramm schickt
Autonomes Fahren
Wenn die Strecke dem Zug ein Telegramm schickt
  1. Fahrgastverband "WLAN im Zug funktioniert ordentlich"
  2. Deutsche Bahn WLAN im ICE wird kostenlos
  3. Mobilfunk Telekom baut LTE an Regionalbahnstrecken aus

  1. Re: Mozilla und das offene Web: Erstmal EME...

    Vollbluthonk | 20:10

  2. From hero to zero

    WoainiLustig | 20:09

  3. Re: Wie ist das bei AMD?

    tg-- | 20:08

  4. Re: Bitte nicht mit Sandy Bridge CPUs verwenden !!

    ms (Golem.de) | 20:06

  5. Re: "Sentence Commuted" IST NICHT GLEICH PARDON

    VI | 20:05


  1. 18:28

  2. 18:07

  3. 17:51

  4. 16:55

  5. 16:19

  6. 15:57

  7. 15:31

  8. 15:21


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel