Jedes Jahr pilgern Sicherheitsforscher und Hacker im August nach Las Vegas zu einer Art Sicherheits-Sommercamp, das aus der Black Hat und anderen Konferenzen wie der DEF CON und der B-Sides besteht. Die Black Hat ist traditionell vor allem eine Business-Sicherheitskonferenz, allerdings geht es auch hier immer mehr um Endanwender, und die Vorträge drehen sich immer häufiger um Angriffe auf Smart-Häuser, kritische Infrastrukturen, mobile Geräte und andere Online-Dinge.
Wobei, ganz ehrlich: Es gab keinen Vortrag zum Hacken von Zügen.
Der Kasperky-Experte Roel Schouwenberg untersuchte in einem Artikel auf Securelist die Möglichkeit einer Black Hat in der Nach-PC-Ära. Und Mike Mimoso von Threatpost stellte in seinem Artikel etwas Ähnliches fest: „Firmware ist für Hacker auf einmal interessant, und alles von USB-Sticks über Router bis zu Autos ist für Exploits, Datendiebstahl und die Aufweichung der Privatsphäre anfällig.“ Für einen Konferenzteilnehmer wie mich ist das auf der einen Seite eine gute Nachricht: Ddenn es bedeutet, dass weniger (oder vielleicht auch die gleiche Menge) Vorträge stattfinden, in denen es um Fehler in wenig bekannten Software-Plattformen geht, die vor allem von Firmen genutzt werden, und stattdessen mehr über Sicherheitslücken in Systemen, die uns in unserem täglichen Leben näher stehen. Auf der anderen Seite, sind diese Änderungen der Black Hat auch ein alarmierendes Zeichen für einen aktuellen Trend: Sicherheitslücken kommen immer mehr in unser tägliches, echtes Leben.
Der Keynote-Vortrag
Der diesjährige Keynote-Vortrag kam von dem renommierten Sicherheitsforscher Dan Geer. Anders als im letzten Jahr, als der frühere NSA-Direktor General Keith Alexander die Keynote hielt, waren diesmal keine bewaffneten Wachen, Zwischenrufer oder Zuhörer mit versteckten Eierkartons anwesend. Dafür hörte die aufmerksame Menge dem fast 60 Minuten langen Vortrag gespannt zu, in dem Geer, der Chief Information Security Officer von In-Q-Tel (der Venture-Capital-Firma der CIA), seine zehn triftigen Sicherheitsgebote darlegte.
Zu den Höhepunkten dieser Gebote gehörten: dass die USA den Markt für Sicherheitslücken in die Enge treiben sollten, indem sie das Zehnfache für angebotene Fehler oder Sicherheitslücken zahlen und dann die Informationen zur Sicherheitslücke öffentlich machen, so dass die Firmen alle Fehler ausbessern können und damit den „Vorrat für Cyberwaffen verringern“; dass wir bei der Wahl zwischen Sicherheit, Freiheit und Bequemlichkeit immer nur zwei dieser Dinge wählen können; dass Religion und Software die einzigen Dinge sind, bei denen es keine Produkthaftung gibt; und dass Internet-Service-Anbieter ihre Gebühren frei wählen können, basierend auf den Inhalten, vorausgesetzt, sie übernehmen für die Inhalte die Verantwortung oder unterstützen Netzneutralität und geniessen allgemeinen Anbieterschutz. „Wählen Sie klug“, sagte Geer. „ISPs sollten eines davon wählen, nicht beides.“
Das Hacken von Menschen und Krankenhäusern
Zurück zur Sicherheit, die unser tägliches Leben betrifft: In einer Diskussion zur Sicherheit medizinischer Geräte, ging es um Sicherheitslücken, die wir in unserem Körper tragen. Viel verbreiteter und gefährlicher für viel mehr Menschen sind allerdings die medizinischen Geräte in Krankenhäusern, als die Geräte, die in Patienten implantiert werden. Es ist nur eine Frage der Zeit, bis eine In-The-Wild-Attacke auftaucht, die eines oder mehrere solcher Geräte angreift. Die gute Nachricht ist aber, dass die Geräte selbst sehr sicher sind. Eine automatische, implantierte Insulinpumpe ist weit besser beim Regeln und Korrigieren des Insulinspiegels als ein Mensch mit einem Blutzuckermessgerät und einem Monatsvorrat an Insulinspritzen.
Die Sicherheitslücken liegen jedoch in der Art, wie diese Geräte miteinander und in vielen Fällen auch mit Geräten außerhalb kommunizieren, egal ob diese unter der Kontrolle des Patienten oder des Arztes stehen. Lassen Sie mich eines klarstellen: Die Wahrscheinlichkeit, dass ein Attentäter einen Laptop nutzt, um über einen implantierten Herzschrittmachen einen tödlichen Schock auszulösen, ist lächerlich gering. Denn auch wenn es vielleicht grauenvoll klingt, muss man sagen, dass es viel einfachere Möglichkeiten gibt, jemanden umzubringen. Die wahren Risiken in diesem Bereich sind viel langweiliger als es Ihnen die Medien glauben machen wollen.
Wer ist für die Entwicklung von Patches für medizinische Geräte verantwortlich? Wer ist für die Installation dieser Patches verantwortlich? Und wer muss dafür bezahlen? Leider ist die Antwort auf diese Fragen eine unscharfe Mischung aus den Geräteherstellern, den Krankenhäusern und den Anwendern selbst. Und wenn wir den Begriff „medizinisches Gerät“ verwenden, geht es nicht nur um Herzschrittmacher und Insulinpumpen; wir sprechen von Kernspintomographen, Echokardiogrammen, Röntgengeräten, das Tablet, das Ihr Arzt verwendet, und sogar die Computer (oft noch Windows-XP-Rechner), die eine ganze Menge vertraulicher Patientendaten verwalten.
Deshalb kam die Diskussionsrunde zu dem Schluss, dass die versehentliche oder absichtliche Manipulation von Patientenakten, die zu falscher Medikamentendosierung oder Behandlung führen kann, die wahrscheinlichere Gefahr ist, der wir in der schönen neuen Welt der miteinander verbundenen medizinischen Geräte gegenüberstehen.
Um diesen Abschnitt aber mit einer guten Nachricht zu beenden, muss man sagen, dass es ein gutes Zeichen ist, dass über diese Probleme gesprochen wird, bevor es zu spät ist. Und das ist im High-Tech-Bereich ungewöhnlich.
Yahoo will alle Mails verschlüsseln
Yahoo wurde unter anderem immer wieder dafür kritisiert, dass das Unternehmen seine Webmails nicht verschlüsselt. Doch nun hat die Firma eine Reihe von Änderungen angekündigt, die in den nächsten Monaten und Jahren eingeführt werden sollen. Die wichtigste davon ist die Verschlüsselung aller Webmails, und zwar vom Absender bis zum Empfänger. Damit zieht das Unternehmen mit Google gleich. Mehr dazu finden Sie in unserem Blog-Beitrag oder bei Threatpost.
Auto-Hacking aus der Ferne
Ich wünschte, ich würde darüber berichten, wie zwei Forscher ein ferngesteuertes Spielzeugauto gehackt haben. Doch leider spreche ich über zwei Forscher, die immer besser darin werden, echte Autos zu hacken und diese in tonnenschwere ferngesteuerte Autos verwandeln. Wir haben hier schon öfter über das Hacken von Autos berichtet und werden damit wohl auch nicht so bald aufhören. Der Grund dafür ist, dass Autos immer mehr online und miteinander verbunden sein werden. Derzeit ist das Hacken eines Autos noch schwere Arbeit. Man braucht Spezialwissen ganz besonderer Übertragungsprotokolle, die normalerweise nur in Autos angewendet werden.
Allerdings werden Autos bald ihre eigenen, proprietären Betriebssysteme, ihre eigenen App-Stores und Apps haben, und schließlich ist es möglich, dass sie auch ihre eigenen Web-Browser haben werden. Betriebssysteme, Apps und Browser sind drei Dinge, von denen Angreifer wissen, wie sie sie ausnutzen können. Zudem gibt es, wie bei medizinischen Geräten, das Problem der Patches für Sicherheitslücken. Muss der Kunde das Auto zum Händler bringen, um ein Update installieren zu lassen? Wenn ja, wie viele Menschen bringen bei so einem Rückruf ihr Auto in die Werkstatt? Oder werden die Hersteller eine Art Fern-Update-Mechanismus entwickeln? Und was passiert in diesem Fall, wenn ein Update die Funktionalität stört oder – noch schlimmer – von einem Angreifer abgefangen und gefälscht wird?
Die gute Nachricht hier ist, dass die beiden Forscher, Charlie Miller von Twitter und Chris Valasek von IOActive, auch eine Art Antivirus-Lösung entwickelt haben, die bemerkt, wenn jemand versucht, die Kommunikation zwischen den verschiedenen Sensoren und Computern des Autos zu manipulieren und schädliche Daten blockiert.
BadUSB – Nehmen Sie einfach an, dass sie alle schlecht sind
Karsten Nohl (siehe Bilder oben) hat einen Exploit entwickelt, der die Tatsache ausnutzt, dass fast jeder Privat- und Firmencomputer weltweit USB-Sticks annimmt. Nohl, Chief Scientist bei Security Research Labs, nennt den Angriff BadUSB. Dabei hat er im Grunde die Firmware solcher Geräte überschrieben und sie dazu gebracht, heimlich eine Liste schädlicher Aktionen durchzuführen, inklusive der Injektion schädlichen Codes auf die Computer und dem Umleiten von Datenverkehr.
„USB ist entworfen worden, so zu funktionieren; niemand hat etwas falsch gemacht“, so Nohl. „Und es gibt keine Möglichkeit, das zu verbessern. So lange wir USB haben, können wir USB-Geräte als andere Geräte tarnen. Das ist ein Problem der Struktur.“
Da die Attacke die Universalität von USB ausnutzt, ist es möglich, dass Milliarden von Computern dafür anfällig sind. Nohl sorgt sich auch, dass die allgegenwärtige Natur des Fehlers und dessen potenzieller Exploits das Vertrauen aufweichen und das Misstrauen stärken könnten, denn „es gibt kein Reinigungs-Tool, das schädliche Firmware entfernt oder diese überschreibt. Das macht Infizierungen einfacher und das Entdecken solcher Infizierungen schwerer.“ Nohl erfuhr von dieser Attacke durch den mittlerweile berüchtigten Hacking-Tool-Katalog der NSA.
Die höfliche CryptoLocker-Bande
Die Arbeitsgruppe, die die CryptoLocker-Ransomware zerschlagen hat, war ebenfalls auf der Black Hat. In ihrem Vortrag zeigte sie die E-Mail eines CryptoLocker-Opfers an die Betrügerbande. Das Opfer, eine alleinerziehende Mutter, die das Lösegeld nicht zahlen konnte, bat die Cyberkriminellen darum, ihren Computer zu entsperren, da sie ihn für ihre Arbeit benötigte.
Geschichten wie diese brachten die Arbeitsgruppe zusammen und zerstörten CryptoLocker. Interessanterweise stand die CryptoLocker-Bande zu ihrem Wort. Wir haben immer wieder betont, dass man das Lösegeld für gesperrte Daten nicht zahlen soll, denn es gibt keine Garantie, dass die Daten nach der Zahlung wirklich wieder hergestellt werden. Die Cyberkriminellen hinter CryptoLocker waren dabei aber ehrlich und gaben die Daten wieder frei.
Am Ende des Vortrags erklärte die Arbeitsgruppe, dass der bösartige und sehr erfolgreiche CryptoLocker-Betrug offensichtlich nur Geld für weitere kriminelle Aktionen einbringen sollte. Leider wurde dieser Punkt aber nicht weiter ausgeführt.
Überwachungs-Software auf Abwegen
Der Kaspersky-Experte (und regelmäßige Blog-Autor) Vitaly Kamluk und der Cubica-Labs-Mitgründer und Sicherheitsforscher Anibal Sacco präsentierten neue Informationen zu einer Sicherheitslücke in einer fast allgegenwärtigen Software, über die wir schon früher berichtet haben: Computrace, entwickelt von Absolute Software, ist eine Diebstahlsicherung, die von Hardware-Herstellern verwendet wird und bei den meisten Antivirus-Firmen auf der Weißliste steht. Warum auch nicht? Es handelt sich schließlich um ein legitimes Programm.
Allerdings ist Computrace auch etwas mysteriös. Aus großteils unbekannten Gründen ist Computrace auf Millionen von Computern weltweit standardmäßig eingeschaltet. Laut Absolute Software sollte das eigentlich nicht der Fall sein. Die Firma erklärt, dass Computrace so entwickelt wurde, dass es vom Nutzer oder einer IT-Abteilung in einer Firma eingeschaltet werden muss. Ist Computrace einmal aktiviert, ist die Software sehr hartnäckig, übersteht auch das Zurücksetzen des Geräts auf die Fabrikeinstellungen und startet sich selbst bei jedem neuen Start des Computers.
Zudem enthält das Produkt Sicherheitslücken – wobei Absolute Software über solche Einschätzungen nur spottet, gleichzeitig aber zusagt, bekannte Probleme zu lösen. Die Lücken machen das Programm für Man-in-the-Middle-Attacken anfällig, über die ein betroffener Rechner komplett übernommen werden könnte.
Gib den Satelliten die Schuld
Reuben Santamarta, Sicherheitsforscher bei IOActive, hat entdeckt, dass fast alle Geräte im Bereich der Satellitenkommunikation (SATCOM) Sicherheitslücken enthalten, unter anderem Backdoors, fest programmierte Anmeldedaten, unsichere Protokolle und/oder schwache Verschlüsselung. Laut Santamarta könnten diese Sicherheitslücken unautorisierten Angreifern die Möglichkeit geben, die betroffenen Produkte komplett zu kompromittieren.
SATCOM spielt in der globalen Telekommunikations-Infrastruktur eine kritische Rolle. Allerdings sollen die genannten Angriffe auch Schiffe, Flugzeuge, Militäreinrichtungen, Notfalldienste, Medienservices und Industrieanlagen wie etwa Ölbohrplattformen, Gasleitungen und Wasseraufbereitungsanlagen betreffen.
In aller Kürze
Übertragungskontrollen, die gefälscht werden können, geben Anbietern und potenziellen Angreifern tiefgreifende Kontrolle mobiler und anderer Geräte. Ein kritischer Android-Fehler könnte es einem Angreifer ermöglichen, fast jede eigentlich vertrauenswürdige App nachzumachen. Mobile Breitband-Modems oder Datenkarten sind ein einfaches Angriffsziel.
Leider bot die Black Hat auch in diesem Jahr wieder so viele großartige Vorträge und wie immer konnte ich mich nicht teilen, zudem verbrachte ich wieder zu viel Zeit im Medienraum, um herauszufinden, worüber all die Forscher sprechen (siehe Bild oben). Wenn Sie mehr über die Black Hat erfahren möchten, finden Sie Podcasts von den Threatpost-Autoren Dennis Fisher und Mike Mimoso, sowie von mir zum ersten und zweiten Tag der Konferenz. Fisher und Mimoso haben zudem einen Podcast mit Rückblick auf die ganze Konferenz veröffentlicht und besprechen auch kurz die DEF CON, die gleich nach der Black Hat startete.
Und abgesehen von unseren Artikeln und denen bei Threatpost, gibt es viele interessante Berichte zur Black Hat von anderen Medien, die auf der Presseseite der Black-Hat-Webseite aufgelistet sind. Unter dem Hashtag #blackhat finden Sie ebenfalls viel zur Konferenz. Und vielleicht suchen Sie auch einmal bei Google nach Begriffen wie „Haus-Sicherheit“ und „Angriffe auf Smart-Häuser“.
Ein Rückblick auf die Themen der #Sicherheit und #Privatsphäre der diesjährigen #BlackHat mit @TheBrianDonohue:
Tweet