24C3: Security Nightmares 2008 - Flash, Vista und das iPhone

Mit einer kleinen Umfrage zu drahtlosen Netzwerken zeigte sich immerhin in diesem Bereich etwas Positives. Im Umfeld der Hacker sind offene WLAN zwar immer noch genauso vorhanden wie mit WEP "abgesicherte" Access Points, die einem Angriff nicht einmal eine Minute standhalten. Die Anzahl der WPA-geschützten Zugänge steigt jedoch. Auch die im letzten Jahr noch befürchteten Botnetze basierend auf WLAN-Routern mit Linux sind nicht aufgebaut worden.

Stellenmarkt

1. OSRAM Opto Semiconductors Gesellschaft mit beschränkter Haftung, Regensburg
2. Universität Passau, Passau

Weitere Vorkommen des Jahres 2008, die erwartet werden: Verhaftungen, weil die Zeitzone eines Logrechners falsch eingestellt wurde, VoIP-Telefone, die teils auf alten Linux-Versionen basieren ("Manche Leute nennen's auch Telefon", Frank Rieger) und von wenig erfahrenen Linux-Entwicklern hergestellt werden, Barcodes ("Da geht noch viel mehr", so Ron) und eine höhere Dynamik im Markt für Sicherheitslücken.

Mehr Probleme erwartet man auch mit Flash-Speichern im Hinblick auf Flash-Forensik, da der Nutzer sich durch den intelligenten Controller zwischen Speicher und dem Nutzer nicht mehr sicher sein kann, dass entsprechende Daten tatsächlich überschrieben wurden. Um den Speicher zu schonen, werden die Speicherzellen anders beschrieben, als dies etwa vergleichsweise transparent bei Festplatten passiert.

"Datenhygiene" wird damit im Allgemeinen schwerer für den Nutzer, etwa bei GPS-Geräten, die ihre Informationen im Flashspeicher halten oder Freisprecheinrichtungen, die Kontakt zum Adressbuch hatten. Gerade Mietwagen könnten diesbezüglich interessante Angriffsszenarien bieten. Metadaten wie Exif-Daten tun ihr Übriges. Viele Nutzer wissen nicht, dass in einem Foto deutlich mehr stecken kann als nur das Bild.

Eine Hoffnung hat man 2008 für Spamversender. An das Publikum ging der Aufruf nachzuweisen, dass Terroristen ihre Nachrichten im Spam verstecken. Spammer könnte man dann - nicht ganz ernst gemeint - praktischerweise gleich nach Guantanamo schicken.

Zum Schluss machten die beiden Redner noch darauf aufmerksam, dass es im Bereich der Biometrie und anderen Systemen noch offene Fragen gibt, etwa durch das Ausnutzen von Fehlern bei den Lesegeräten. Mit einem zwinkernden Auge, aber die Richtung durchaus bestimmend, wurde spekuliert, ob sich mit einem aufgemalten Grinsen eventuell ein Buffer Overflow bei Gesichtserkennungen auslösen lasse oder bei Toll Collect mit Nummernschildern eine erfolgreiche SQL-Injection durchgeführt werden könnte.

Zum Abschluss ihres Vortrags wünschten Frank Rieger und Ron noch allen Teilnehmern einen guten Rutsch ins Jahr 1984.