25C3: Security Nightmares 2009 - noch mehr Datenklau
Wie schon im vergangenen Jahr und mittlerweile zum neunten Mal fassen die CCC-Mitglieder Frank Rieger und Ron das Jahr 2008 zusammen und wagen einen Blick in die Glaskugel der IT-Sicherheit für das Jahr 2009. Diese Veranstaltung markiert, gefolgt vom Abschlussvortrag, traditionell das Ende des Chaos Communication Congress.
Den beiden Hackern Frank Rieger und Ron war eigentlich klar, dass es zu den Datenskandalen 2008 kommen musste. Unternehmen und Staat sammeln immer mehr Daten – und verlieren diese natürlich. Vorreiter sind die Deutsche Telekom und die Verwaltung in Großbritannien . Großbritannien verliert die gesammelten Daten am schnellsten, glauben die Hacker.
Für sie bedeutet E-Government daher vor allem: Alle können Daten von allen haben. In den USA wurden den Hackern zufolge 127 Millionen Bürger im Jahr 2008 Opfer von Datenverbrechen. Sechsmal mehr, als im Jahr zuvor. Das sind nicht die einzigen steigenden Werte: Schon 2007 gab es fünfmal so viele Viren wie 2006. "Das sieht sogar auf Logarithmuspapier logarithmisch aus" , so Ron.
Jede zweite Malware ausliefernde Webseite ist zudem gehackt und Social Engineering wird immer bedeutender. Es ist nicht mehr nötig, Schwachstellen auszunutzen, wenn Nutzer auf normale E-Mails reagieren, die sie in eine Falle locken.
Gegen derartige Angriffe werden Virenscanner im Jahr 2009 kaum noch helfen. Schon 2008 wurden die erfolgreichsten Schadprogramme von Virenscannern selten entdeckt. Bessere Antivirenlösungen in Form von Heuristiken gibt es nach Angaben der Hacker schon, doch sie gefährden das Abomodell, mit dem die Firmen ihr Geld verdienen. Aber auch Antivirussoftware bietet einen Angriffspunkt. Wenn der Virenscanner das Betriebssystem nicht selbst auseinandernimmt, dann passiert das über Schadsoftware, die sich des Scanners annimmt.
2009 wird zudem das Jahr der gezielten Angriffe sein. Für das Ziel angepasste Trojaner werden zunehmen, befürchten die Hacker. Hier helfen auch Daten aus sozialen Netzwerken und Zero-Day-Exploits. Die so gesammelten Daten nahmen zudem schon im Jahr 2008 massiv an Qualität zu. Für kriminelle Elemente wird es offenbar immer wichtiger, vollständige Daten zu erhalten.
Der elektronische Personalausweis , der allerdings erst 2010 kommt, wird eine Qualitätskontrolle wohl nicht brauchen. Mit seiner Internetidentität dürfte er der qualitativ hochwertigste Cookie in der Geschichte sein, so Rieger und Ron. Damit wird der elektronische Personalausweis wohl auch kriminelle Elemente anziehen, die bisher kein Interesse an Personalausweisen hatten.
Daten werden sich auch über Adobes Flash im Jahr 2009 erfassen lassen, nicht zuletzt durch die integrierte Kameraunterstützung. Die Rechnung ist einfach: Adobe Flash + Webcam + ... = Profit. Ein gutes Feld auch für den Bundestrojaner 3.0.
Eigentlich ein Running Gag: Auch für 2009 erwarten die beiden Hacker, dass es Angriffe auf den Mobilfunkbereich geben wird. "GSM hat wohl kein Jahr mehr" , so die Hacker und verweisen darauf, wie leicht es ist, ein Mobilfunknetz vorzutäuschen . Positiv sehen die beiden, dass es mittlerweile Mobilfunkteilnehmer gibt, die ihr Telefon regelmäßig auf den neuesten Stand bringen. Immer noch zu wenige: Von einem nicht genannten Telekommunikationsanbieter erfuhren die Hacker zudem, dass im Jahr weniger Telefone aktualisiert als pro Tag ausgeliefert werden.
Nur iPhone-Nutzer aktualisieren ihr Mobiltelefon häufiger. Apple schafft es allerdings, durch neue Funktionen die Nutzer zu Updates zu bewegen, die zugleich auch Sicherheitsupdates beinhalten. Dies sei aber kein Freispruch für Apple. Die Firma reagiere auf Sicherheitslücken immer noch zu langsam und einige Lücken erinnern an die Firma Microsoft im Jahre 1999. Die Hacker unkten zudem, dass Apple sich große Funktionserweiterungen für wichtige Sicherheitsupdates reserviert. Copy & Paste werde es im iPhone wohl erst geben, wenn eine Sicherheitslücke wirklich schnell gestopft werden muss.
Einen Vorgeschmack, was auf Mobiltelefonen schon mit einfachsten Mitteln möglich ist, bot bereits die 'Curse Of Silence'-Kurznachricht auf dem 25C3.
Auch Politiker nutzen das Mobiltelefon und regieren das Land per SMS: "Da geht noch was" , so Ron. Die Politik ist für die Hacker ein gutes Experimentierfeld. Sie fordern, dass Politiker als Betatester herhalten sollten: Nacktscanner in den Bundestag und der Test der öffentlichen Vorratsdatenspeicherung. Denn eine Qualitätskontrolle sei wichtig.
Bei den Security Nightmares malen die Hacker natürlich ein sehr düsteres Bild. Vieles davon wird nicht wahr, zumindest nicht sofort. Einiges braucht Zeit, wie etwa die Datenskandale, die zwar schon früh aufkamen, aber erst 2008 in der Öffentlichkeit wahrgenommen wurden. Die bereits für das Jahr 2007 angekündigten Angriffe auf die sogenannten Plastikrouter sind etwa erst dieses Jahr aufgetaucht.
- Anzeige Hier geht es zur AVM Fritzbox 7590 AX bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.