Original-URL des Artikels: https://www.golem.de/1012/80397.html    Veröffentlicht: 31.12.2010 13:33    Kurz-URL: https://glm.io/80397

Security Nightmares 2011

Public Private Censorship und ferngesteuerte Autos

Eigentlich ist die Vorstellung der Security Nightmares 2010 und 2011 eine witzige Veranstaltung. Doch manchmal bleibt dem Zuschauer das Lachen im Hals stecken, denn gut sieht die Zukunft in einer technikabhängigen Welt nicht aus.

Die beiden CCC-Mitglieder Frank Rieger und Ron haben das Jahr 2010 aus der Sicherheitsperspektive in dem Vortrag Security Nightmares 11 zusammengefasst. Wie immer geht es darum, vorbereitet zu sein, und um die Hoffnung, dass sich durch einige Sicherheitsprobleme einiges ändert. Ron sagte dieses Mal allerdings, dass er eigentlich dieses Jahr dasselbe wie im vergangenen Jahr sagen könnte - dieses Jahr allerdings schreiend.

E-Government und Public Private Censorship

Laut den Hackern haben sich die USA nun erstmals an die Spitze der Entwicklung zum E-Government gesetzt. Grund dafür: die Veröffentlichung der geheimen Botschaftsdepeschen. Schon letztes Jahr sagten die beiden: "Alles, was aufgezeichnet wird, bleibt. Alles, was bleibt, kommt weg." Die USA haben dies eindrucksvoll bewiesen. Enttäuscht zeigten sich die Hacker von der Pressereaktion. Die hat sich hierzulande auf "Gossip" konzentriert und ist mit dem Auswerten der Daten überfordert.

Fortschritte gibt es auch beim Public Private Censorship, eine Andeutung auf Public Private Partnership. Paypal und Co haben im Rahmen der Wikileaks-Veröffentlichungen vorgeführt, wie das aussehen kann. Ähnlich kritisch wird das Einknicken von Research In Motion gegenüber Indiens Abhörwünschen gesehen. Im gleichen Zug fragen sich Rieger und Ron allerdings, warum eigentlich die USA keinen Druck auf den Blackberry-Hersteller ausüben.

Der einstige Spitzenreiter beim Verlieren von Daten ist damit abgelöst: Großbritannien. Großbritannien hat es dafür geschafft, den ersten Bürger ins Gefängnis zu stecken, der sein Passwort nicht herausgeben wollte.

Cyberattacken und der Nato-Bündnisfall

Diskussionen über Cyberattacken, die einen Bündnisfall in der Nato auslösen können, zeigen, dass auch die Militärs elektronischer werden. Rieger und Ron fragten sich allerdings, wie die Pressefotografen über solche Fälle berichten würden. In Blut schwimmende Server oder qualmende Rechenzentren wären eine Möglichkeit, wie die beiden unkten.

Im Übrigen sind den Hackern Hinweise zugetragen worden, dass der Bundestrojaner wieder im Einsatz sein soll. Immerhin zweistellige Fallzahlen soll es geben. Den Hinweisen zufolge setzt das Zollkriminalamt den Trojaner ein, eine Behörde des Bundesministeriums der Finanzen, deren Leitung Wolfgang Schäuble hat.

Es gab aber auch Rückschläge im E-Government. Die Wahlcomputer in Indien sind wohl Geschichte, und man zeigt sich zuversichtlich, dass Wahlcomputer in Brasilien mit Fingerabdrucklesern auch kein Thema sein werden.

Normalitäten

Viele Sicherheitsprobleme werden wohl zur Normalität. "Homeview", als Anspielung auf Google Street View, beispielsweise, wenn Anti-Diebstahl- oder Schadsoftware etwa genutzt werden, um Webcams von Notebooks von Schülern anzusprechen.

Nutzer müssen sich zudem damit abfinden, dass mittlerweile 15 Prozent der Schadsoftware sogenannte Scareware ist, also Software, die behauptet, dass der Rechner infiziert ist und mit der getarnten Schadsoftware bereinigt werden sollte. Ron ist darüber traurig, der I-Love-You-Virus hatte eine "andere Message". Besorgt sind Ron und Rieger auch darüber, dass Verteiler von Schadsoftware eigentlich Opfer sind. Einen Adblocker sehen sie als Sicherheitsmaßnahme.

Korrekt vorhergesagt

Dass es eine Verbotsdiskussion rund um Drohnen geben wird, war Frank Rieger und Ron von Anfang an klar. Ron zeigte sich aber beeindruckt von der Verfügbarkeit solcher Drohnen. Nicht die billigen Bausätze erregen Aufmerksamkeit, sondern die noch günstigere Parrot A.R. Drone ist es, die die Aufmerksamkeit von Bundesverbraucherschutzministerin Ilse Aigner nach mehreren Monaten des Verkaufs auf sich zieht. Für Ron besitzt die Drohne alles, was man sich für dieses Geld wünschen kann.

Ron warnt allerdings davor, mit solchen Drohnen im Regierungsviertel herumzufliegen. Und verweist damit scherzhaft auf den Umstand, dass Politiker von den Drohnen somit auch nichts mitbekommen würden.

Auch dass der GSM-Standard regelrecht auseinandergenommen wird, bewahrheitete sich auf dem Kongress.

Das Embedded-Problem

Während sich der Abstand zwischen der Anzahl der Sicherheitslücken und Patches beim Desktop verbessert hat, sehen die beiden Hacker bei Embedded Hardware einen großen Patchability Gap, wie sie sagen. Ob nun Embedded Hardware in Autos, Handys, der Produktion oder Router: Es werden immer mehr Fehler gefunden, aber nicht gepatcht.

Das wird sich 2011 noch verstärken. Der Trend wird durch das Zusammenspiel verschiedener Hersteller noch begünstigt. Am Beispiel eines Handys zählen sie die Abhängigkeiten untereinander auf. Baseband-Prozessor und Application-Prozessor kommen von unterschiedlichen Herstellern. Beide haben ihr eigenes Betriebssystem, und ein Baseband-Fix für das Echtzeitbetriebssystem hat einen langen Weg zum eigentlichen Hersteller des Handys vor sich.

Gerade bei Baseband-Prozessoren wird befürchtet, dass Würmer verbreitet werden, die vom Nutzer gar nicht erkannt werden können.

Immerhin ist die befürchtete Plastikrouter-Wurmwelle 2010 ausgeblieben. Es gab zwar einige Angriffe, doch die Routerindustrie macht es potenziellen Angreifern schwer. Zum einen sind die Prozessoren nicht schnell genug, um kriminelle Elemente anzuziehen, und zum anderen wechselt die Industrie viel zu häufig die Plattform. Heterogenität ist kein begünstigender Faktor für Routerwürmer. Das entspricht nicht den Wünschen der Angreifer, so Rieger.

Besorgt zeigten sich Frank Rieger und Ron über das Einbinden von anfälliger GSM-Hardware in Kraftfahrzeuge mit direkter Anbindung an den Datenbus. Aufgrund des Kostendrucks werden Sicherheitsfunktionen und Unterhaltungsfunktionen im System nur unzureichend getrennt. Sie rechnen mit Sicherheitsupdates in der Automobilindustrie. Ron fragte dann auch in die Runde, wer denn alles schon sein Auto gepatcht hat und zeigte sich überrascht, als einige Meldungen zu sehen waren.

Für Rieger ist das Thema GSM vom Standpunkt der Sicherheitsforschung durch. Der Standard ist "kleingehackt, frittiert und erledigt".

Bemerkenswertes

Erstaunt zeigten sich die beiden Hacker über das EC-Kartenchip-Problem Anfang des Jahres. Ein Patchmechanismus im Geldautomaten für die Karten wirft Fragen auf: Wieso geht das eigentlich? Mit welcher Berechtigung geht das? Gibt es eine Onlineverbindung? "Da gehen Dinge, die... naja...", sagte Ron und brach ab. Im Übrigen wird auf Änderungen bei EC- und Kreditkarten hingewiesen. Es sollen zum Jahreswechsel Haftungsänderungen passieren. Jeder Besitzer einer solchen Karte sollte bei seiner Bank anrufen und sich informieren.

Überrascht waren die beiden auch über den 16-Jährigen, der mal eben in 17 Bankenwebsites XSS-Lücken entdeckte. "Wenn man mal einen Moment nicht hinschaut", sagten die Hacker und wiesen darauf hin, dass offenbar auch Banken immer mal wieder kontrolliert werden müssen.

Sicherheitsglaskugel für das Jahr 2011

Dass intelligente Stromzähler als neue Möglichkeit für Blinkenlights genutzt werden, hoffen die beiden Hacker immer noch. Im Angesicht des Plastikrouterproblems fürchten sie aber, dass die Rechenleistung der intelligenten Stromzähler nicht attraktiv genug ist.

Nacktscanner können ein neues Feld in der Sicherheitsforschung werden. Rieger und Ron rechnen damit, dass die Geräte vernetzt werden - für Firmwareupdates über das Internet. Außerdem fragen sie sich, ob es für die bereits veröffentlichten Nacktbilder aus Scannern schon Special-Interest-Portale gibt.

Besorgt zeigten sich die beiden über eine mögliche Zunahme von "0wned Source Repositories". Die Konzentration auf Sourceforge, Github & Co macht es Angreifern zu einfach, von Projekt zu Projekt zu springen. Einmal drin im System, können sie so viele Projekte mit einer Backdoor versehen.

Bei der IPv6-Einführung muss aufgepasst werden

Aufpassen müssen Anwender laut den Hackern bei der Einführung von IPv6. Sie befürchten, dass es personalisierte Prefixes bei den IP-Adressen geben könnte.

In Zukunft erwarten die beiden zudem eine neue PDF-Angriffswelle. Sie zeigten sich erstaunt darüber, dass ein Angreifer mit einem PDF-Dokument in der Lage ist, den Drucker zu einem Netzwerkscan zu überreden.

Auch GSM wird wieder ein Thema, allerdings auf anderer Ebene. Telefone kann der Anwender bald selbst bauen. Warum das getan werden sollte? "Das telefoniert dann nur, wenn du willst!", sagte Ron.  (ase)


Verwandte Artikel:
Neue Medien 2050: Der Journalist als Datenkumpel   
(31.12.2010, https://glm.io/80401 )
Security Nightmares X - Angriffe auf Clouds, ePA und Adobe   
(31.12.2009, https://glm.io/72133 )
We come in peace: Ausverkaufter Hackerkongress 27C3 im Stream   
(27.12.2010, https://glm.io/80333 )
Zertifikate: Trustico verwundbar für Root-Code-Injection   
(01.03.2018, https://glm.io/133089 )
PTI und IBRS: FreeBSD erhält Patches gegen Meltdown und Spectre   
(19.02.2018, https://glm.io/132856 )

© 1997–2020 Golem.de, https://www.golem.de/