24C3: Security Nightmares 2008 - Flash, Vista und das iPhone
Gewünschte "Security Nightmares" sollen eine gute Vorbereitung für das "told you so"-Karma sein. Im Nachhinein kann sich der Hacker hinstellen und darauf verweisen, dass er wusste, dass es passieren musste. 2006 und 2007 waren dies vor allem die Wahlcomputer, allerdings musste und muss der CCC hier sogar teils selbst Hand anlegen, um den eigenen Blick in die Glaskugel in eine Tatsache zu verwandeln: In den Niederlanden hat sich das Thema Nedap-Wahlcomputer wohl erledigt, der Hamburger Wahlstift liegt vorerst ebenfalls auf Eis und sogar in den USA sind Wahlcomputer im Abstieg.
Während im Ausland also das Wählen ohne Wahlcomputer wieder in Mode kommt, wird hierzulande weiter Richtung Wahlcomputer gearbeitet, bemängelten die Hacker. Das im letzten Jahr vorausgesagte "Wahlcomputer-Massaker" ist also nur zum Teil eingetreten. In einer anderen Veranstaltung wurde jedoch bereits angekündigt, dass man die kommende Wahl in Hessen genau beobachten will. Dort sollen die in die Kritik geratenen Nedap-Wahlcomputer eingesetzt werden.
Weitere Dinge, die eingetreten sind, sind Probleme mit dem E-Government und dem "Remote-Government". Mit Letzterem spielt man auf mutmaßlich chinesische Trojanische Pferde auf deutschen Regierungsrechnern an. Hier soll in Zukunft deutlich mehr passieren. Einen Vorgeschmack lieferte dabei der Vorreiter im E-Government Estland. Der kleine Staat wurde kurzerhand für einige Zeit lahm gelegt .
Bemängelt wurde außerdem, dass die Internetnutzer zu viele persönliche Daten in sozialen Netzwerken hinterlassen, gerade im Hinblick auf zu erwartende neue Angriffe auf derartige Portale, aber auch weil teilweise die falschen Personen die Einträge lesen. Frank Rieger referierte dabei unter anderem über Personen, die deswegen etwa einen Job nicht bekamen oder von den Eltern überrascht wurden, die plötzlich einen Internetanschluss besaßen.
Ein paar Änderungen wurden im Angriffsverhalten von Schadsoftware registriert. Hier erwartet man ebenfalls einen Trend: Zum einen tauchen vermehrt alte Lücken auf, die neue Virenscanner teils nicht (mehr) kennen, und zum anderen sei der Nutzer noch immer der beste "Angriffsvektor", der auf alles klickt, was man anklicken kann.
In Zukunft sollen auch mobile Geräte stärker mit Schadsoftware traktiert werden. Frank Rieger und Ron haben dies schon mehrfach vorausgesagt, doch die notwendige Plattform fehlte anscheinend. "Dieses Jahr hat uns Apple den Gefallen getan" , so Frank Rieger. Als Wegbereiter soll also das iPhone dienen. Endlich ist ein Gerät in ausreichender Stückzahl auf dem Markt, das genug Rechenleistung besitzt und dessen Nutzer vermutlich alles installieren würden, wenn sie könnten.
Ebenfalls erwartet werden die ersten größeren Löcher in Microsofts Windows Vista. Man zeigte eine gewisse Anerkennung, dass Microsoft doch einiges verbessert hat, außerdem besitzt Vista noch den Vorteil einer kleinen Installationsbasis. Wie man an MacOS X sieht, welches unter anderem aufgrund des geringen Marktanteils noch wenig Interesse zur Programmierung von Schadsoftware weckt, ist das Interesse doch sehr gering an Microsofts jungem Betriebssystem. Wie bei MacOS X haben die Hacker jedoch bereits einiges im Keller herumzuliegen, orakeln Rieger und Ron.
Das möglicherweise größte Problem entsteht vielleicht bei Adobes Flash-Plattform: "Flash wird ganz schön auseinander fallen" , so Frank Rieger zu dem Format. Der Vorteil des Formats sei die enorme Verbreitung, die selbst über Plattformen hinweg Angriffsmöglichkeiten biete.
Zu den befürchteten und damit wirklich nicht gewünschten Problemen des Jahres 2008 zählten Frank Rieger und Ron unter anderem die zunehmende Vernetzung in Bereichen, die zuvor relativ abgeschottet waren: "Roboter-Hacking". Statt der seriellen Schnittstelle findet sich in immer mehr Geräten nun eine RJ45-Buchse und der damit verbundene Netzwerkanschluss.
Zu diesen Gefahrengebieten zählen neben Industrieanlagen, die zunehmend auf Vernetzung setzen, auch medizinische Geräte wie Dosiergeräte für Medikamente oder Labore.
Dass diese Gefahr nicht von ungefähr ist, zeigte ein von Rieger geschildertes Beispiel. So soll ein Mitarbeiter einer Industriefertigungsanlage mit dem Industrierechner ein Java-Spiel im Internet gespielt haben. Ein Sicherheitsbewusstsein fehlt an solchen Stellen oftmals offenbar noch. Stattdessen vertraut man in sensitiven Bereichen der modernen Technik. Als nächster Schritt ist wohl zu erwarten, dass drahtlose Netzwerke auch dort verstärkt genutzt werden.
Mit einer kleinen Umfrage zu drahtlosen Netzwerken zeigte sich immerhin in diesem Bereich etwas Positives. Im Umfeld der Hacker sind offene WLAN zwar immer noch genauso vorhanden wie mit WEP "abgesicherte" Access Points, die einem Angriff nicht einmal eine Minute standhalten . Die Anzahl der WPA-geschützten Zugänge steigt jedoch. Auch die im letzten Jahr noch befürchteten Botnetze basierend auf WLAN-Routern mit Linux sind nicht aufgebaut worden.
Weitere Vorkommen des Jahres 2008, die erwartet werden: Verhaftungen, weil die Zeitzone eines Logrechners falsch eingestellt wurde, VoIP-Telefone, die teils auf alten Linux-Versionen basieren ( "Manche Leute nennen's auch Telefon" , Frank Rieger) und von wenig erfahrenen Linux-Entwicklern hergestellt werden, Barcodes ( "Da geht noch viel mehr" , so Ron) und eine höhere Dynamik im Markt für Sicherheitslücken.
Mehr Probleme erwartet man auch mit Flash-Speichern im Hinblick auf Flash-Forensik, da der Nutzer sich durch den intelligenten Controller zwischen Speicher und dem Nutzer nicht mehr sicher sein kann, dass entsprechende Daten tatsächlich überschrieben wurden. Um den Speicher zu schonen, werden die Speicherzellen anders beschrieben, als dies etwa vergleichsweise transparent bei Festplatten passiert.
"Datenhygiene" wird damit im Allgemeinen schwerer für den Nutzer, etwa bei GPS-Geräten, die ihre Informationen im Flashspeicher halten oder Freisprecheinrichtungen, die Kontakt zum Adressbuch hatten. Gerade Mietwagen könnten diesbezüglich interessante Angriffsszenarien bieten. Metadaten wie Exif-Daten tun ihr Übriges. Viele Nutzer wissen nicht, dass in einem Foto deutlich mehr stecken kann als nur das Bild.
Eine Hoffnung hat man 2008 für Spamversender. An das Publikum ging der Aufruf nachzuweisen, dass Terroristen ihre Nachrichten im Spam verstecken. Spammer könnte man dann – nicht ganz ernst gemeint – praktischerweise gleich nach Guantanamo schicken.
Zum Schluss machten die beiden Redner noch darauf aufmerksam, dass es im Bereich der Biometrie und anderen Systemen noch offene Fragen gibt, etwa durch das Ausnutzen von Fehlern bei den Lesegeräten. Mit einem zwinkernden Auge, aber die Richtung durchaus bestimmend, wurde spekuliert, ob sich mit einem aufgemalten Grinsen eventuell ein Buffer Overflow bei Gesichtserkennungen auslösen lasse oder bei Toll Collect mit Nummernschildern eine erfolgreiche SQL-Injection durchgeführt werden könnte.
Zum Abschluss ihres Vortrags wünschten Frank Rieger und Ron noch allen Teilnehmern einen guten Rutsch ins Jahr 1984.