Security Nightmares X - Angriffe auf Clouds, ePA und Adobe
Die Mitglieder des Chaos Computer Clubs Frank Rieger und Ron fühlten sich langsam, wie die zwei alten Herren in der Muppet Show auf dem Plüschbalkon. Zum zehnten Mal präsentieren sie schon die Security Nighmares, die die Netzgemeinde im Jahr 2009 erreicht haben und 2010 erwarten.
Die vergangenen Probleme sind gut für das "Told you so"-Karma und kommende Probleme sorgen vielleicht für ein Umdenken der Verantwortlichen. Es sind aber auch Probleme dabei, wie Ron und Rieger befürchten, die sie eigentlich nicht gerne sehen würden. Aber: Vorgewarnt sein, heißt vorbereitet sein.
2009: Viele Befürchtungen sind wahr geworden
Bei den vergangenen Security Nightmares hatten die beiden Hacker in vielen Bereichen korrekte Vorhersagen geliefert . So ist der große Datenklau auch dieses Jahr wieder eingetreten. Die Bahn, die Deutsche Telekom und die Postbank haben als Staatsunternehmen Daten verloren. Daher fordern die Hacker des CCC weiterhin die persönliche Haftung bei Datenverbrechen. Andernfalls werde sich daran nichts ändern. Auch einen regelmäßigen Datenbrief sollte es geben, der den Bürger darüber informiert, welche Daten von einem Unternehmen gespeichert werden.
Auch Mobilfunknetzwerke wurden dieses Jahr mit einem Botnetz verseucht . Geliefert hat dieses lange erwartete Botnetz indirekt Apple mit dem iPhone. Rund 20.000 Telefone hat es erwischt. Allesamt wurden zuvor vom Nutzer mit Jailbreak bearbeitet. Die Nutzer hatten nicht daran gedacht, ihre Dienste und Default-Passwörter anzupassen. Das Besondere an dem Angriff: Am wirkungsvollsten war das Botnetz in Mobilfunknetzen, die den Telefonen eigene IP-Adressen zuwiesen. Hier dürfte mit IPv6 noch mehr möglich sein.
Auch GSM-Netze sind, wie vorhergesagt wurde, dieses Jahr geknackt worden. Bei der GSM Alliance soll zumindest etwas Unruhe eingetreten sein. Der CCC hat als Schlussfolgerung zu den entdeckten GSM-Schwächen, mittlerweile ein Handeln der beteiligten Unternehmen gefordert(öffnet im neuen Fenster) .
Kritik gab es an der "Lawful Interception"-Infrastruktur des Irans. Dabei betonten die Hacker, dass Kritik an dieser Infrastruktur gleichzeitig auch Kritik an der eigenen Infrastruktur ist. Denn solche Systeme(öffnet im neuen Fenster) werden auch außerhalb Irans eingesetzt und stammen von verschiedenen Herstellern.
Onlinedurchsuchungen waren dieses Jahr ebenfalls ein Thema, immerhin soll der Bundesnachrichtendienst insgesamt 90 Onlinedurchsuchungen im Ausland vorgenommen haben. Im Inland dürften es deutlich mehr gewesen sein, vermuten die Hacker. Dabei handelt es sich allerdings nicht um Durchsuchungen der Kriminalämter. Es handelt sich dabei um "dezentrales outsourcen von Inlandsüberwachung" , wie ein Teilnehmer des Kongresses durch den Saal rief. Gemeint sind damit Onlinedurchsuchungen anderer Regierungen. Diese archivierten immerhin Daten, die hierzulande vielleicht abhanden kommen könnten.
Sicherheitsprobleme, die noch kommen
Kritik gab es dieses Jahr am E-Government. E-Government erkennt man daran, dass viele Daten verloren gehen, unkten die Hacker. England ist da sehr weit vorn, aber auch hierzulande beginnt die Aufholjagd. Ron und Rieger gehen davon aus, dass demnächst die Datenbank mit Fingerabdrücken abhanden kommen wird. 2010 würden die Punkte E-Government und Datenverbrechen wohl zusammengelegt, da eine Unterscheidung nicht notwendig sei, so die Hacker.
Im nächsten Jahr werden auch Adobes Produkte wieder Probleme für die Nutzer bedeuten. Neben dem Adobe Reader ist auch mit weiteren Angriffen auf Adobes Flash-Player zu rechnen. Immerhin befindet sich mit dem Blitzableiter eine Lösung in Entwicklung. In der Zwischenzeit raten die Hacker, einen Adblocker einzusetzen. Wer sich Flashwerbung ansieht, setzt sich nämlich einem höheren Risiko aus.
Auch wer sich in sozialen Netzwerken bewegt, geht ein Risiko ein. Daten sind ohnehin das Müllproblem der Informationsgesellschaft. Alles, was aufgezeichnet wird, bleibt und alles, was bleibt, kommt auch weg. Ron fügte dem hinzu, dass es Parallelen zwischen Datenhygiene und der Real-Life-Hygiene gebe: "Ungeschützter Datenverkehr mit oft wechselnden Partnern ist gefährlich" Zudem muss damit gerechnet werden, dass die Daten, etwa in sozialen Netzwerken, in Zukunft gegen einen verwendet werden.
Was die Sicherheit von Heimroutern angeht, meint Ron auch dieses Jahr: "Da geht noch mehr." 2009 sollen 80.000 Router in Drohnen verwandelt worden sein. Da Router immer schnellere Prozessoren und auch mehr Arbeitsspeicher besitzen, empfehlen die Hacker einen Tor-Exit-Client als Payload für Angriffe.
Viele Schwierigkeiten sehen die Hacker beim "Cloud Computing". Scanning, Cracking und Botnet Command & Control gibt es in der Zukunft in der Cloud. Zudem soll es bereits Ansätze für das Überwinden von Hypervisors geben und so sogenanntes Slice Hopping, also der Sprung von einer zu einer anderen Maschine, soll möglich werden. Das sei zwar kompliziert, aber die Gerüchte verdichten sich, dass es bald soweit sein wird. Das Praktische dabei ist, dass Angreifer gleich hunderte Maschinen unter ihre Kontrolle bringen können und so aus neuen Blickwinkeln auf Daten der Nutzer zugreifen können. Außerdem befürchten die Hacker unsichere Standardeinstellungen in der Cloud. Immerhin entsteht dadurch "Plausible deniability".
Zum 27. Chaos Communication Congress wird zudem der elektronische Personalausweis (ePA) getoastet und frittiert. Er war bereits Gegenstand eines eigenen Vortrags beim 26C3 und musste dort viel Kritik einstecken. Ende 2010 wird überprüft, was Feldversuche ergeben haben. Voraussetzung ist allerdings, dass die Bundesregierung es schafft, im Zeitplan zu bleiben und den neuen Personalausweis, vom BSI auch nPA abgekürzt, noch 2010 auszuliefern.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.