Hackerkongress Black Hat
Auf dem Hackerkongress Black Hat werden aktuelle Gefahren der IuK-Welt vorgestellt, analysiert und nach möglichen Abwehrmechanismen gesucht. Dieses Jahr fand die Tagung vom 28. bis zum 29. Juli in Las Vegas statt. Neben IT-Sicherheitsexperten bekannter Softwarefirmen, gewinnt der Kongress vor allem für Unternehmen, die sich zunehmender Industriespionage ausgesetzt sehen, an Bedeutung. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) räumt entsprechenden Hacker-Veranstaltungen eine wichtige Position ein. So wurde unmittelbar nach dem Vortrag des Sicherheitsexperten Craig Heffner, der die Möglichkeit aufzeigte, Router zu manipulieren, eine Sicherheitswarnung des BSI veröffentlicht. Die dazugehörige Angriffstechnik wird als so genanntes „Cross Site Request Forgery“ bezeichnet. Hierbei wird die Interpretation von Internetadressen im Domain Name System (DNS) so manipuliert, dass die Schutzmaßnahmen der Browser ausgehebelt werden. Bestehende Zugriffsbeschränkungen des Routers werden damit umgangen. Die einfache Logik: Wer einen Router übernimmt kontrolliert das dahinter liegende Netzwerk.
Gehackte Geldautomaten
Die Ergebnisse der Vorträge und Präsentationen wirken dabei amüsant bis hochgradig bedenklich. Beides wurde durch Barnaby Jack verdeutlich, der sich via telekommunikativen Mitteln in einen Geldautomaten einhackte. Nach erfolgreichem Hackerangriff spuckte dieser Geld wie ein Spielautomat. Ein entscheidendes Problem liegt nach McAfees Securityexperten Toralv Dirro in der Tatsache, dass hinter öffentlichen Maschinen oft völlig normale Computer mit gewöhnlichen Betriebssystemen ihre Arbeit verrichten. Diese Erfahrung konnte ich unlängst selbst (und sicherlich schon viele andere vor und nach mir) bei einer großen deutschen Bank machen. Anstatt nach der gewünschten Geldmenge zu fragen, teilte der Geldautomat höflich mit, dass Windows neu gestartet wird. Den Startvorgang konnte man am Bildschirm des Automaten mitverfolgen.
Netzwerke als Schwachstellen
Neben den vielen Vorteilen der Vernetzung von Systemen werden Hackerangriffe dadurch begünstigt, dass verschiedene Systeme, die ursprünglich nicht dafür vorgesehen waren, über Netzwerke verbunden werden. Damit sind auch diese potentiell von außen erreichbar. Ein Angriff auf die schwächste Stelle im Netzwerksystem kann damit auch einen Zugriff auf stärker gesicherte Bereiche bedeuten.
Im Vortrag von Jonathan Pollet wurde die Möglichkeit aufgezeigt, „Smart Meter“, also intelligente Stromzähler so zu manipulieren, dass Strom zu einem billigeren Preis bezogen werden könnte. Aber auch Messgeräte mit bekannten Sicherheitsmängeln werden von Elektrizitätsunternehmen eingebaut. Ein hackbares Stromnetz würde wahrscheinlich ein weitaus größeres Problem als die Manipulation eines einzelnen Stromzählers bedeuten.
Handylauschen zum Schleuderpreis
Im weiteren Zusammenhang ist auch die Möglichkeit des Abhörens von Handytelefonaten mit vergleichbar preiswertem Equipment zu nennen. Dies demonstrierte Chris Paget mit Hilfe frei verfügbarer, rund 1000 Dollar teuren Hardware sowie einer angepassten Linuxvariante. Durch den Gebrauch einer gefälschten Basisstation könnten so Handytelefonate vor der Weiterleitung belauscht und mitgeschnitten werden. Was bisher aus finanziellen und technischen Gründen strafverfolgenden Behörden sowie finanziell potenten Wirtschaftsspionen vorenthalten war, könnte damit auch von vielen Kleinkriminellen verwendet werden.
Die für die weltweit genutzten Mobilfunk-Standards verantwortliche GSM Association (GSMA) verweist auf Vorkehrungen, die einen solchen Angriff unmöglich machen sollen. Dafür müssen jedoch Handy und Funknetz über den neueren Mobilfunkstandard UMTS kommunizieren (3G-Standard). Doch auch dann besteht die Möglichkeit den Schutz zu umgehen.
Die gefälschte Basisstation gaukelt dem zu belauschendem Handy lediglich die Fähigkeit zur unverschlüsselten GSM-Verbindung vor. Eine Warnung der Mobiltelefone per Displayanzeige mit einem Verweis auf die fehlende Codierung ist prinzipiell möglich. Chris Paget vermutet jedoch, dass die Anzeige seitens der Hersteller verhindert wird, damit es in Ländern wie Indien, in denen die Codierung untersagt ist, nicht zu ständigen Warnmeldungen kommt. Dennoch ist die Billigvariante des Handylauschens nur bedingt einsetzbar. Die unmittelbare Entfernung sowie die begrenzten Kapazitäten von parallel belauschten Telefonaten spielen dabei eine wichtige Rolle.
Eine vernetzte Welt bietet vielen Menschen sicherlich eine Reihe von Vorteilen. Leider beinhaltet dies auch Vorteile krimineller Art.