Original-URL des Artikels: https://www.golem.de/1112/88727.html    Veröffentlicht: 31.12.2011 16:30    Kurz-URL: https://glm.io/88727

Security Nightmares 2012

Datenhygiene wird immer schwieriger

Frank Rieger und Ron vom Chaos Computer Club schauen zum Jahresende wieder in eine düstere Zukunft. Es wird immer schwerer, Daten bei sich zu behalten, und im Internet gehen ebenfalls ständig Daten verloren.

Wie jedes Jahr haben Frank Rieger und Ron vom Chaos Computer Club die Sicherheitsprobleme des vergangenen Jahres und die Probleme der Zukunft beleuchtet, erstmals haben sie dabei auch geprüft, welche ihrer Prognosen aus dem Jahr 2001 eingetroffen sind. Unter anderem sagten sie damals Drucker mit Netzwerkschnittstellen voraus und den Internetkühlschrank. Ersteres wurde Wirklichkeit und in diesem Jahr zu einem praktischen Sicherheitsproblem. Für Letzteres gab es offenbar noch kein sinnvolles Einsatzgebiet. Die beiden Hacker waren entsprechend enttäuscht.

Lustig machten sie sich über die vor zehn Jahren gängige Annahme zu Bluetooth, dass die Funkwellen nach der spezifizierten Distanz einfach aufhören, nicht weiterkommen und deshalb sicher seien. Dass dies nicht zutrifft, wussten Rieger und Ron schon vor zehn Jahren und wurden darin schnell bestätigt.

Trojaner für Mobiltelefone von Nokia und Microsoft prophezeiten die beiden ebenfalls, sie rechneten aber vor zehn Jahren noch nicht damit, dass die beiden Konzerne so stark an Bedeutung verlieren würden. Trojaner in Smartphones sind allerdings bisher kein großes Problem. Eine Umfrage im Publikum zeigte einerseits, dass keiner der Smartphonebesitzer je einen Trojaner hatte und andererseits, dass ein Viertel der Hacker noch immer auf die Nutzung von Smartphones verzichtet.

Location Based Spam hat sich wider Erwarten auch nicht durchgesetzt. Ursprünglich dachten die Hacker, Bluetooth würde als Träger genutzt werden. Dem geben sie jetzt allerdings keine Chance mehr. Auch mit NFC-Spam rechnen sie nicht mehr.

Hacks im Internet sind jetzt Normalität

In ihrem sogenannten Internet-Normalitäts-Update betonen Ron und Rieger, wie billig es mittlerweile ist, jemandem zu schaden. Hacks von Webseiten kosten gerade einmal 9,99 US-Dollar. Auch in diesem Marktumfeld sind Schwellenpreise offenbar notwendig. Das Konto einer Person gibt es für 80 bis 700 Dollar und den Root-Zugang zu einem Regierungsserver für schlappe 499 US-Dollar.

Überrascht waren die beiden Hacker von einem neuen Berufsfeld, das sie in den vergangenen Security Nightmares nicht vorausgesagt hatten: Strohmänner im Internet. Ein Krimineller kauft nicht direkt in den Webshops mit seiner geklauten Kreditkartennummer ein, die er übrigens für 2 bis 99 US-Dollar bekommt, sondern lagert zum Verwischen der Spuren das Ganze zu einem Strohmann aus. Der Dienst ist auch recht günstig zu haben. Einen Internetstrohmann gibt es schon für 100 US-Dollar.

Zur "Internetnormalität" gehört auch die Verbreitung von Schadsoftware. In Deutschland soll es zwischen 350.000 und 500.000 sogenannter Zombie-PCs geben und fast jeder dritte EU-Bürger hatte im Jahr 2010 mit Schadsoftware zu kämpfen. Zudem wiesen Ron und Rieger darauf hin, dass es pro Woche eine erfolgreiche Behördenattacke gibt.

Welcher Webshop und welches Flirtportal wird als Nächstes gehackt?

Auch das Hacken von Diensten im Internet ist normal geworden. Zahlreiche Webshops hat es getroffen und sogar Flirtportale. Hacks dieser Portale sind besonders heikel, denn in den privaten Nachrichten stehen wirklich private Informationen, die den Betreibern schnell abhanden kommen können, wenn sie es mit der Sicherheit nicht ernst nehmen. Solche Dienste sind lukrative Ziele, da mehr und mehr Internetbewohner auf Flirtportale zugreifen und dort Informationen austauschen, die sie nicht einfach ins Internet stellen würden. Zudem ist den Nutzern das Risiko eines Hacks nicht unbedingt bewusst.

Immerhin gibt es Anzeichen für Verbesserungen, was die Sicherheit angeht. Das nennen die beiden Hacker "E-Government-Rückschritte". Wahlcomputer in Österreich sind erst einmal hinfällig. Auch das Elena-Verfahren und der Staatstrojaner sind nach Meinung der Hacker gescheitert.

Zu den Gewinnern bei den "E-Governmet-Fortschritten", also dem Potenzial, besonders viele Daten zu verlieren, gehört Israel. Dem Land ist gleich das gesamte Einwohnermelderegister abhanden gekommen. Auch der Einsatz von Wahlcomputern in Russland gehört dazu. Die Hacker wunderten sich aber, dass die Prüfer der Wahl ausgerechnet bei den Wahlcomputern nichts zu beanstanden hatten.

2012 wird nicht besser

Für das kommende Jahr ist einiges zu befürchten, da grundlegende Infrastruktursysteme als kaputt eingestuft werden können, wie GSM und die Datenverbrechen rund um SSL-Zertifikate, vor denen lange gewarnt wurde. Dass SSL wirklich kaputt ist, erkannten viele erst, nachdem der Iran die Schwachstellen des Systems ausgenutzt hatte. Die Hacker nennen das "Broken by Design" und fragen sich, welche Infrastruktur als Nächstes kaputtgehen wird.

Für 2012 erwarten sie unter anderem die IPv4 NATokaloypse, wenn langsam die Adressen ausgehen. Hier soll es zu "interessanten Verwerfungen" kommen. Entweder wird alles "zu Tode geNATet", oder es gibt eine große Enteignung von Class-A-Netzen. "IP-Adresse-Kommunismus" nennen Ron und Rieger das.

Außerdem fragen sie sich, wie die zu erwartenden Cloud Wars aussehen werden und wer eigentlich gewinnen wird, wenn jemand mit Amazon-Cloud-Diensten einen Angriff gegen Google-Cloud-Dienste durchführt. Dass Cloud-Kriege nicht ganz unrealistisch sind, zeigte sich auf dem Kongress selbst. Der 28C3 wurde über die Amazon-Cloud angegriffen.

Cloud-Angriffe seien zwar teurer als Angriffe mit Bot-Netzen, allerdings gebe es dafür Amazon-Qualität mit Support, frotzelten die Hacker.

In den Bereich "Da geht noch was" fallen auch Schließsysteme. Längst als unsicher geltende Systeme wie Mifare-Classic werden noch immer verkauft und finden sich in Türschlössern von Wohnungen und Büros wieder.

Drucker als besonders einfache Möglichkeit, Firmen auszuspionieren

Gewarnt wurde auch vor den aufkommenden Sicherheitslücken in Druckern. In einem anderen Vortrag auf dem Chaos Communication Congress nannte der Entdecker der Sicherheitslücke in HP-Druckern neue Zahlen. Ang Cui von der Columbia University in New York berichtete über 75.000 Laserjets, die über das Internet direkt angreifbar sind. Ein reines Druckkommando reicht, um die Firmware zu aktualisieren. Eine Authentifizierung ist nicht vorgesehen. 43 dieser Drucker stehen obendrein in staatlichen Stellen, 16 davon in den USA. Acht dieser Drucker haben zudem den Namen "Payroll". Solche Drucker würden schnell und einfach Auskunft über die Gehälter der Mitarbeiter bieten, erklärte Ang Cui.

Solche Drucker mit Schadsoftware zu infiltrieren, ist lohnenswert. Den Hackern zeigte Ang Cui unter anderem, wie er einen HP Laserjet 2055DN so manipuliert, dass dieser beim normalen Drucken eine Druckkopie an eine weitere IP schickt. Zudem übernahm er mit dem manipulierten Drucker einen Windows-Rechner gleich mit.

In großer Gefahr sind auch Drucker in internen Netzen, denn über manipulierte Dokumente lassen sich die Drucker mit Schadsoftware aktualisieren. Cui hat dies mit einer Postscript-Datei bereits erfolgreich praktiziert. So schickt ein Angreifer etwa eine Bewerbung zum Opfer. Dort wird der Lebenslauf ausgedruckt. Der Druckauftrag dauert rund 90 Sekunden, die Hälfte der Zeit ist der Drucker gar nicht erreichbar. Ein normaler Anwender wird diesen Angriff nicht erkennen, denn das Dokument wird wie gewünscht ausgedruckt. Dabei wird hinter dem Dokument, also nach der Ansage beim Druck "End of Job", das Firmwareupdate gestartet. HP-Drucker interpretieren End of Job nicht als Ende eines Druckauftrages, sondern können danach ein Firmwareupdate folgen lassen, das intern wie ein Druckauftrag behandelt wird. Firmwareupdates können nämlich per LPR-Befehl an den Drucker geschickt werden.

Solch manipulierte Firmware kann der Angegriffene weder entdecken noch loswerden, wenn der Angreifer es richtig anstellt. Nur ein neuer Drucker hilft dagegen. Cui forderte die Hacker auf, alle ihre Bekannten darauf aufmerksam zu machen, dass sie ihre HP-Drucker aktualisieren müssen. Vermutlich gibt es solche Schwachstellen auch in anderen Druckern, zumindest würde sich Cui nicht darüber wundern. Erste Hinweise, dass Xerox-Drucker ein ähnliches Problem haben, hat er bereits erhalten.

Eines versicherte Cui aber noch: Es ist unmöglich, mittels der Schwachstelle einen Drucker in Flammen aufgehen zu lassen. Das hat er bereits bewiesen. Cui ist über die Berichterstattung sehr unzufrieden, die eine gefährliche Sicherheitslücke auf in Flammen aufgehende Drucker reduzierte. Unabhängig von der Unmöglichkeit eines Feuerangriffs sei den Drucker zu zerstören das Letzte, was ein Angreifer machen würde, denn dazu sei er für Spionageangriffe viel zu wertvoll, argumentierte Cui. Aber auch die Reaktion von HP, das die Gefährdung herunterspielte, hielt er für unpassend, denn die Gefahr sei sehr groß.

Immerhin gibt es schon ein Firmwareupdate für Laserjets, das jetzt jeder einspielen sollte. 2012 sind sonst Firmengeheimnisse sehr leicht zu extrahieren.

Datensparsamkeit wird zu einem Problem

Für 2012 wird es laut Ron und Rieger sehr viel schwerer, auf Datenhygiene zu achten. Das zeigte nicht nur der Carrier-IQ-Vorfall, der Millionen von Anwender betraf. Immer mehr Geräte speichern Daten, ohne den Anwender darauf hinzuweisen. Auch wird die Technik zur Datenerhebung immer ausgereifter. Die Sensoren in Mobiltelefonen werden beispielsweise immer besser und Apples Vorfall zeigte, dass Firmen durchaus Daten auch mal länger ungefragt speichern als notwendig und für Angreifer leicht auslesbar.

Mit den Sensoren, so fürchtet Ron, ließe sich beispielsweise eine Unterzuckerung nach dem Aufstehen erkennen, nur anhand des Zitterns des Nutzers. Googles Android-4.0-Geräte erlauben das Einloggen per Gesichtserkennung, wozu die Kamera aktiv sein muss, auch hier könnte gespeichert werden. Eine Spracherkennung, die immer arbeitet, (Always on speech recognition, AOSR) wird ebenfalls befürchtet. Auch diese Daten ließen sich dauerhaft speichern und dürften Begehrlichkeiten wecken. Die kurzen Akkulaufzeiten von Smartphones sehen die Hacker deswegen durchaus als positive Eigenschaft. So können die Entwickler von Smartphonehard- und -software vieles noch nicht implementieren, was dauerhaft auf Nutzerdaten warten könnte.  (ase)


Verwandte Artikel:
HDMI-Hacking: NeTV schleust Daten in verschlüsselte HDMI-Signale ein   
(29.12.2011, https://glm.io/88707 )
Security Nightmares 2011: Public Private Censorship und ferngesteuerte Autos   
(31.12.2010, https://glm.io/80397 )
Bundesrechtsanwaltskammer: Anwälte sollen BeA sofort deinstallieren   
(26.01.2018, https://glm.io/132421 )
Government Hack: Hack on German Government via E-Learning Software Ilias   
(08.03.2018, https://glm.io/133231 )
Bundeshack: Hack auf Bundesregierung erfolgte über Lernplattform Ilias   
(08.03.2018, https://glm.io/133227 )

© 1997–2021 Golem.de, https://www.golem.de/