Original-URL des Artikels: https://www.golem.de/news/security-nightmares-14-gaertnern-waere-vielleicht-nicht-so-schlecht-1401-103639.html    Veröffentlicht: 01.01.2014 12:56    Kurz-URL: https://glm.io/103639

Security Nightmares 14

"Gärtnern wäre vielleicht nicht so schlecht"

Normalerweise sind die alljährlichen Security Nightmares eine unterhaltsame, wachrüttelnde und zynische Veranstaltung. Doch dieses Mal war der Frust der Hacker kaum zu verbergen. Das Internet ist kaputt.

Als Frank Rieger und Ron ihren alljährlichen Rückblick auf die Security Nightmares auf dem 30C3 präsentierten, war etwas anders als in den Jahren zuvor. Resignation war zu spüren. Die Schadenfreude und das "I told you so"-Karma wurden wenig thematisiert und Rons typisches "Da geht noch was" kam während des Vortrags kaum auf. Die NSA-Enthüllungen waren vor allem hier spürbar und drückten die Stimmung.

Dabei hatten die beiden Hacker all das vorhergesehen. Sie lagen schon vor zehn Jahren auf dem 20C3 richtig - zu einer Zeit, in der viele die Hacker noch als paranoide Spinner abstempelten. Jetzt, wo die Realität sie eingeholt hat, können die beiden ihren Frust kaum verbergen. Gärtnern, Blumen züchten, irgendwas mit Holz könnte man tun, sagte Rieger, und Ron beschwerte sich "Das ist alles echt!" und meinte damit Szenen aus Hollywoodfilmen, über die in der Vergangenheit immer gelacht wurde.

Die NSA hat das Internet kaputtgemacht, darin waren sich die beiden Hacker einig. Und zwar für alle. Die NSA habe nicht nur in anderen Ländern Schaden angerichtet, sondern auch in den USA. Das Credo der Zukunft laute: Wenn die NSA dran war, dann könnte dort vielleicht eine Lücke vorhanden sein, die nun andere ausnutzen können, die gut dafür bezahlt werden. Eben auch in und gegen die USA. Warum die NSA so agierte, können sie sich nicht erklären.

Junges Publikum bei den Security Nightmares

Durch den Skandal hat sich auch das Publikum verändert. "Wer von euch ist Katastrophentourist?", fragte Ron süffisant. Die beiden freuten sich aber auch über das junge Publikum. Nicht wenige sahen zum ersten Mal die Security Nightmares, die am späten Nachmittag des letzten Kongresstages für so viel Kopfschütteln sorgten.

Vor allem die Vorhersagen der beiden CCC-Hacker vom 20C3 wurden wahr. Schon damals sagten sie ein WideopenSSH und -SSL voraus, in Anspielung auf Sicherheitslücken bei der Verschlüsselung. Dazu kam die Aussage, dass 1.024-Bit-RSA nicht mehr "State of the Art" sein würde. Sie wiesen zudem darauf hin, dass die NSA auch verschlüsselte Daten sammle - in der Hoffnung, dass diese irgendwann einmal geknackt werden könnten. Schlüssel sollten immer für den Zeitraum der Verschlüsselung gewählt und nicht als unendlich funktionierende Verschlüsselung angesehen werden.

Ein kontinentbasiertes Blinkenlights sagten sie ebenfalls vor zehn Jahren voraus. Mit anfälligen Scada-Systemen und dem seit 2007 aktiven Stuxnet lagen sie auch richtig. Die Voraussetzungen sind da. Nur ausgenutzt hat sie noch niemand.

Innovationen bei Schadsoftware

Bessere Schadroutinen kamen auch zum Einsatz. Rieger und Ron sahen sogar Innovationen: Ransomware, die den Anwender unter Zeitdruck dazu bringt, sich mit Bitcoins zu beschäftigen - zwecks Überweisung - und den Schadsoftware-Kundendienst, dem das Opfer versichern kann, dass es gerade Probleme damit hat, Western Union zu bedienen, gab es etwa im Jahr 2013.

Bei der Veröffentlichung von Exploits durch Forscher sahen Rieger und Ron hingegen nicht den zu erwartenden Fortschritt. Zwar stieg die Anzahl, doch das lag an dem Mehr an Software und Bugs. Beunruhigend fanden sie, dass Hersteller häufiger Schwachstellen durch Klagen beseitigen, statt die Probleme zu lösen. Bemerkenswert fanden sie für das Jahr 2013, dass sich Betriebssystem- und Browserhersteller dazu entschieden, gegen Java zu kämpfen.

Beim Bericht über Fortschritte im E-Government sahen sie in kleinen Teilen erfreuliche Entwicklungen. So ist nun etwa Java bei der elektronischen Steuererklärung verschwunden. Allerdings bemerkte ein anderes CCC-Mitglied, dass man bei Steuerklärungen auf der Webseite nun lieber keine Pause macht. Ein 30-Minuten-Timeout führt zur Löschung der Daten.

Fortschrittlich ist das E-Government 2013 bei der Entseuchung von Hardware mit Virenbefall geworden. Mitunter seien Rechner allerdings weltweit einfach verschrottet worden, kritisierten Rieger und Ron. Außerdem werteten Behörden im Zusammenhang mit Demonstrationen zunehmend Facebook- und Twitter-Daten aus.

Voraussagen für das Jahr 2014

Für das Jahr 2014 sehen die Hacker eine weitere Zunahme der Gefahr. Unsichere Hardware biete ein großes Angriffspotenzial, schließlich würden davon heutzutage mehrere 10.000 Einheiten in kurzer Zeit verbreitet und stünden plötzlich im Internet. Und das sei dann häufig auch gar nicht mehr richtige Hardware. Viele Funktionen würden in Software umgesetzt. Die Schadsoftwareindustrie könnte zudem neue Geschäftsfelder öffnen. Aus Firmeninsolvenzen ließen sich etwa Zertifikate erwerben, die anschließend für das Signieren von Schadsoftware verwendet werden. In einzelnen Fällen seien bereits Zertifikate von Firmen, die pleitegegangen sind, verwendet worden. Die Hacker sehen außerdem neue Jobs wie etwa den Phishingmail-Lektor oder den Erpressungstrojaner-Psychologen im Kommen. Als neue Trendsportart würden junge Leute statt Schmetterlingen mit dem Kescher Smartphones mit dem WLAN-AP eines Android-Tablets einfangen.

Ein paar Tipps gab es noch für Hacker, die in der Weihnachtszeit die Computer ihrer Lieben fixen: "Macht hinne!" rief Rieger und meinte damit, dass die immer noch genutzten Windows-XP-Systeme endlich ausgeschaltet werden müssten. Im Zweifel könnte ein Schraubenzieher helfen, der in den Rechner fällt: "Ups, kaputt!"

Und dann wünschten die beiden Hacker dem Publikum wieder einmal einen guten Rutsch ins Jahr 1984. 30 Jahre später war der Spruch wahrer denn je.  (ase)


Verwandte Artikel:
Security Nightmares 2012: Datenhygiene wird immer schwieriger   
(31.12.2011, https://glm.io/88727 )
Security Nightmares 2011: Public Private Censorship und ferngesteuerte Autos   
(31.12.2010, https://glm.io/80397 )
Verschlüsselung 2013: Das Jahr der Kryptokalypse   
(31.12.2013, https://glm.io/103617 )
ROBOT-Angriff: Arbeitsagentur nutzt uralte Cisco-Geräte   
(09.03.2018, https://glm.io/133258 )
LLVM 6.0: Clang bekommt Maßnahme gegen Spectre-Angriff   
(09.03.2018, https://glm.io/133241 )

© 1997–2019 Golem.de, https://www.golem.de/