Häufig wird auf Nachrichtenwebsites von Geschichten über Computerfehler und Sicherheitslücken, mit deren Hilfe anspruchsvolle großangelegte Angriffe, wie WannaCry und NotPetya im Vorjahr, verübt werden, berichtet. Experten wissen jedoch, dass die meisten erfolgreichen Hacks und Cracks das Ergebnis von sehr einfachen Fehlern sind, die oftmals von Systementwicklern oder Installateuren begangen werden.
Falsch konfigurierte Systeme gibt es wie Sand am Meer und meist brauchen Hacker nur wenig Zeit, um ein solches System ausfindig zu machen. Auf dem Security Analyst Summit 2018 nannte der israelische Forscher Inbar Raz eine Reihe von Beispielen, die diese traurige Tatsache bestätigen.
Gratis Kaffee
Viele Café-Kundenkarten funktionieren wie folgt: Der Kunde erhält eine Karte, füllt sie wie eine Bankkarte mit Guthaben auf und verwendet sie dann, um im Café zu bezahlen und Bonusse für große oder häufige Einkäufe zu erhalten. Der Kunde kann das Guthaben dann problemlos auf der Website der Café-Kette durch die Eingabe der Kartennummer überprüfen.
Nachdem sich auch Inbar Raz eine solche Karte angeschafft hatte, wurde er darauf aufmerksam, dass die Website die Nutzer dazu befähigte, Karten mit einer beliebigen Nummer nach Lust und Laune ohne Einschränkungen zu überprüfen. Mit einem winzigen Programm, das er innerhalb einer halben Stunde schrieb, ging Raz eine Reihe verschiedener Kartennummern durch und identifizierte diejenigen, die reichlich Guthaben enthielten.
Nachdem er den Magnetstreifen seiner Karte mit einem kostengünstigen USB-Lesegerät gelesen hatte, stellte Raz fest, dass die Nummer in unverschlüsselter Form auf die Karte geschrieben worden war; die einzige Sicherheitsstufe bildete ein Steuerbit, das ziemlich einfach zu berechnen war. Die Nummer auf dem Magnetstreifen der Karte durch eine der im vorherigen Schritt gefundenen Nummern zu ersetzen und das Guthaben anderer zu verwenden war folglicherweise ein Kinderspiel.
Raz bewies seinen Ansatz in der Praxis, indem er eine andere Karte kaufte, diese mit ausreichend Guthaben auffüllte und ihre Nummer auf die erste Karte schrieb. Es funktionierte. Theoretisch könnte ein besonders aufmerksamer Café-Angestellter den Täuschungsversuch dennoch erkennen, indem er die auf der Karte aufgedruckte Nummer mit der auf dem Beleg angegebenen Nummer vergleicht. In der Praxis wird das allerdings wahrscheinlich nicht passieren. Für den Hacker bedeuetet das: kostenloser Kaffee bis zum Umfallen (ab und zu ist vielleicht auch ein Muffin drin).
Auf dem diesjährigen #TheSAS2018 zeigte @inbarraz, wie er es geschafft hat, das Kundenkartenprogramm einer Café-Kette, einen Taxi-Dienst und den primären Router eines Flughafens zu knacken.
Tweet
Verfolgung im Uber-Style
Vor einiger Zeit wurde ein Uber-Skandal bekannt, in dem Behauptungen angestellt wurden, dass Mitarbeiter die mobile App missbraucht hätten, um hochrangige Passagiere zu verfolgen.
Nun ja: Andere Taxidienste lassen einen genau das tun, ohne überhaupt für sie arbeiten zu müssen. Inbar Raz stellte fest, dass der Status eines Taxis (Standort, usw.) bei Online-Buchungen über die Kontakttelefonnummer verfolgt werden kann – und wie auch im zuvor beschriebenen Fall gibt es hierbei keinen Schutz vor Brute-Force-Methoden.
Raz schrieb mit wenig Aufwand ein kleines Programm und in seinen Händen landete eine handliche Landkarte, auf der die Adressen aller Taxibestellungen, die in der letzten Zeit gemacht wurden, angezeigt wurden.
(Un)Sicherheit am Flughafen
Auch kostenloses WLAN bietet des Öfteren versteckte Überraschungen. In der Business-Lounge eines osteuropäischen Flughafens entschloss Inbar Raz, die Konfiguration des lokalen Zugangspunktes zu überprüfen.
Die Router-Einstellungen, die er fand, konnten unter der Standard-Web-Adresse ohne ein Administrator-Passwort geöffnet werden. Nachdem er einen genaueren Blick auf die Einstellungen geworfen hatte, erkannte Raz, dass es sich nicht um den Zugangspunkt für Gäste handelte, sondern um den Hauptrouter des Flughafens mit dem ebenfalls wichtige Versand- und Sicherheitssysteme verbunden waren. Diese Dienste könnten kinderleicht von jedem mit einem Laptop oder sogar einem Smartphone deaktiviert werden.
An alle Programmierer und Systemadministratoren da draußen: Gehen Sie nicht davon aus, dass es sich bei Ihrem kleinen Café (Taxi-Dienst oder Flughafen) um ein Nischenprodukt für Hacker handelt. Standardeinstellungen, einfache Passwörter wie „admin“ oder „12345“ und die fehlende Verwendung von CAPTCHA oder anderen Maßnahmen gegen automatisierte Angriffe sind die häufigsten Sicherheitsfehler und leichte Beute für Eindringlinge. Selbst unerfahrene Hacker können derartige Sicherheitslücken ausnutzen. Und Leute wie Inbar Raz – die Ihnen Schwachstellen verantwortungsvoll offenlegen, anstatt sie für ihren eigenen Profit zu nutzen – gibt es leider nicht besonders oft.