23C3: DVB - "Ein großer Pufferüberlauf"
Eigentlich sollte das Konferenzprogramm des 23C3 auf vier Kanälen im gesamten Bereich des Berliner Congress Center (BCC) und die unmittelbare Umgebung über DVB-T empfangbar sein. Für den 23C3 wurde extra eine Lizenz bei der Bundesnetzagentur beschafft (Kanal 22), die immerhin 450 Euro gekostet haben soll und das BCC und den Alexanderplatz abdecken kann. Aufgrund von technischen Schwierigkeiten sendet der Sender jedoch nur mit einem Watt. Die Bundesnetzagentur genehmigte immerhin fünf Watt vom Dach des BCCs. Dass es sich hierbei um einen selbstgebauten Sender handelte, störte die Behörde nicht.
In einem Vortrag über das DVB-T-Projekt(öffnet im neuen Fenster) erörterten Thomas Kleffel und Christian Daniel das Projekt. Der Sender selbst ist erst knapp vor dem Kongress fertiggestellt worden. Während der Entwicklung des Homebrew-Transmitters wurden sie auf einige Sicherheitsprobleme aufmerksam und bezeichneten DVB als einen großen Pufferüberlauf. Während des Testens gelang es den Entwicklern eine Set-Top-Box soweit außer Gefecht zu bringen, dass nur noch die Trennung der Stromversorgung das Gerät wieder erwachen ließ. Ein normaler Neustart hatte dagegen nicht geholfen.
Die Vortragenden gehen davon aus, dass auf dem nächsten Kongress DVB-Hacking ein Thema wird. Damit würde eine Technik zum Ziel von Experimenten, die eine hohe Verbreitung hier zu Lande hat und über dessen Sicherheitsprobleme sich die wenigsten bewusst sein dürften. Bis sich ein unliebsamer Zeitgenosse via DVB-T an des Nachbars Set-Top-Box zu schaffen macht, dürfte jedoch noch etwas Zeit vergehen. Der genutzte Prototyp ist noch nicht komplett fertig gestellt und soll dann für unter 1000,- Euro verfügbar sein. Für die Zukunft ist geplant den Sender unter anderem noch um DAB, DMB und DVB-H zu erweitern.
Auch an der Bluetooth-Technik gab es dieses Jahr wieder einige Kritik. Aufbauend auf Entdeckungen der Vergangenheit, machte der Vortrag von Thierry Zoller(öffnet im neuen Fenster) auf die Probleme des Bluetooth-Standards 1.2 aufmerksam und veröffentlichte begleitend dazu neue Hacker-Tools. Zoller übte Kritik an der mangelnden Transparenz für den Anwender, die sich im übrigen auch im Publikum zeigte: Auf die Frage wer denn im gefüllten Saal 1 des BCC wüsste, welche Version des Bluetooth-Stacks sich auf dem Rechner, befinde wusste keiner zu antworten.
Anwender mit einem Widcomm-Stack würden schon vor Probleme gestellt werden nur die Versionsnummer geschweige denn den verantwortlichen Hersteller des Stacks herauszufinden. Da etwa neue Versionen des Widcomm-Bluetooth-Stacks über das Windowsupdate nicht eingespielt werden, dürfte die Anzahl der angreifbaren Systeme auch bei lange bekannten Lücken noch recht hoch sein. Daher empfahl Zoller gleich zu beginn seines Vortrags Bluetooth prinzipiell abzuschalten.
Auf dem Vortrag führte Zoller das Ausnutzen von Sicherheitslücken auf einem ungepatchten Mac vor und verschaffte sich so vollständigen Zugang zum System, die demonstrierte Lücke war gut ein Jahr alt und ist bereits geschlossen worden.
Auf der Protokollebene hat Bluetooth noch viel gravierendere Fehler: Der Pairingprozess zwischen zwei Geräten, der etwa eine achtstellige PIN benutzt hält laut Zoller gegen einen Angriff eines Dual-Core 2,4 GHz Rechner keine 10 Minuten stand. Bei einem vierstelligen PIN lässt sich schon fast von einer Echtzeitauswertung sprechen. Die PIN hat jedoch kaum eine Bedeutung - zumindest aus der Sicht eines Hackers. Viel einfacher ist es sich den so genannten Link-Key zu erarbeiten, mit dem sich das Pairing umgehen lässt.
Mit BTCrack(öffnet im neuen Fenster) ( Flash-Demonstration von BTCrack und Sniffer-Programm(öffnet im neuen Fenster) ) lassen sich sowohl PIN als auch Linkkey anhand der beigelegten Sniffer-Ergebnisse errechnen. Zudem benötigt man auch die die 48 Bit lange Bluetooth-Device-Adresse, die für einen Hacker effektiv nur 8 Bit lang ist. Die restlichen Bits lassen sich durch Abfragen herausfinden, wie Zöller ausführte. Der Quellcode des Tools wird erst später veröffentlicht. Wer sich das Archiv etwas genauer anschaut weiß immerhin, dass eine lautstarke Person des Saals den Quellcode bereits am Ende des Vortrages abholen durfte.
"Die grundsätzliche Annahme, dass der Angriff [nur] theoretisch möglich ist und das PINs mit sechs Ziffern einen guten Schutz darstellen ist nun praktisch widerlegt [worden]" , wie der auf Penetrationstest spezialisierte Zöller im Vorfeld des 23C3 in seinem Blog schrieb(öffnet im neuen Fenster) .
Mit dem Tool hidattack (Quellcode)(öffnet im neuen Fenster) ist es schließlich möglich einen HID-Server anzugreifen. Das zu kompilierende Beispiel soll auf HID-Keyboards abzielen können.
Abschließend empfahl Zoller noch wie man mit dem Problem umgehen könnte: Für das Pairing empfiehlt er unter anderem Bluetooth 2.0 und Simple Pairing. Zudem sollte man sich während des Pairings in einem sicheren Bereich aufhalten damit dieser Teil der Kommunikation nicht belauscht und dann etwa in BTCrack benutzt werden kann. Zudem sollten vorhandene Pairings gelöscht werden. Angesichts der vielen Lücken spricht er sich insbesondere in Firmen gegen den Einsatz von Bluetooth aus.
Das Einzige was wirklich noch fehlt sei ein bezahlbarer Bluetooth-Sniffer, so Zoller auffordernd zum Publikum. Diese sind aufgrund der vorgesehenen Frequenzwechsel während der Kommunikation von Bluetooth-Geräten nicht ganz einfach zu realisieren. Selbst bei eBay sollen die Sniffer nicht unter 1.000,- US-Dollar zu bekommen sein und in der Regel das Zehnfache kosten.