An der Black Hat und Def Con präsentieren IT-Sicherheitsexperten bislang unbekannte Sicherheitslücken, die uns vor Augen führen, dass von der gewaltigen Chemieanlage bis zum kleinen Herzschrittmacher alles hackbar ist.
Jährlich lauschen daher tausende Hacker, IT-Forscher und IT-Sicherheitsbeauftragte von Unternehmen gebannt den Vorträgen, die ihre Branchenkollegen halten. In diesem Jahr sorgten primär die folgenden sieben Hacker-Demonstrationen für Schlagzeilen.
Bereits im Vorfeld der diesjährigen Hacker-Konferenzen Black Hat und Def Con veröffentlichte die BBC ein ziemlich beunruhigendes Video: Darin demonstriert der IT-Sicherheitsforscher Billy Rios, wie er die Kontrolle über ein Computerterminal übernimmt, das zur Programmierung von Herzschrittmachern genutzt wird. «Wir werden zeigen, wie man aus der Ferne die Kontrolle über dieses Gerät übernehmen kann, um damit Schadsoftware auf einen Herzschrittmacher zu spielen», sagt Rios im folgenden Video der britischen BBC.
Laut Rios habe man die Herstellerfirma Medtronic vor 18 Monaten über mehrere Sicherheitslücken in ihren Herzschrittmachern und Insulinpumpen informiert. Dem IT-Forscher ist es auch gelungen, die Kontrolle über die Insulinpumpen der Medizinal-Firma zu übernehmen und die Dosierung zu manipulieren.
Medtronic verzichtete bislang auf ein Sicherheits-Update. Mit der Veröffentlichung seiner Forschung setzt Rios die Firma nun unter gewaltigen Druck, die Lücke endlich zu schliessen. Das Problem: Während Firmen wie Apple, Google oder Microsoft inzwischen meist relativ schnell mit Updates auf Schwachstellen in ihrer Software reagieren, brauchen Firmen in anderen Branchen dafür viel zu lange oder sie verzichten ganz darauf.
Will ein Hacker Malware auf einem Mac installieren, müsste das Opfer zuerst ein Passwort eingeben oder die Installation per Klick auf einen Button bestätigen. Hacker haben aber schon früher Wege gefunden, diesen Schutz mittels synthetischer Klicks, sprich eines simulierten Mausklicks per Software, zu umgehen. Die Schadsoftware kann sich so die Nutzerbestätigung gleich selbst geben, um sich ohne Zutun des Opfers zu installieren.
Apple hat solche Angriffsmethoden per simulierten Klicks mit einem Sicherheits-Update einen Riegel geschoben, dabei aber offenbar «gepfuscht», wie der IT-Sicherheitsexperte Patrick Wardle an der Def Con sagte. Er hat einen neuen Weg gefunden, Apples Schutz vor Malware mit unsichtbaren Mausklicks auszuhebeln: «Eigentlich besteht ein synthetischer Klick aus den Programmierbefehlen ‹Down› und ‹Up›. Gibt man stattdessen den Befehl für ‹Down› zwei Mal ein, wird der Befehl vom Sicherheitssystem nicht geblockt, sondern als Eingabe gewertet», erklärt das Online-Portal Macwelt den Angriff.
From my @DefCon talk:
— patrick wardle (@patrickwardle) 13. August 2018
Apple's "User Assisted Kext Loading" is huge PITA for 3rd-party devs/breaks apps...but hackers can bypass trivially 😭
//0day bypass
// 2x 🐭⬇️ on 'Allow' btn
CGPostMouseEvent(point, true, 1, down);
CGPostMouseEvent(point, true, 1, down);
...blog soon📝 pic.twitter.com/PZESutEsaO
Intelligente Malware warte für den Angriff gar, bis sich das Display des Macs verdunkelt oder ausschaltet, um den synthetischen Klick vollständig vor den Augen des Opfers zu verbergen. Anfällig für diese Attacke seien alle Funktionen, die keine Passworteingabe, sondern nur das Anklicken eines Buttons erfordern – etwa der Schlüsselbund oder die Systemeinstellung «Sicherheit».
«Ich habe Apple tonnenweise Fehler gemeldet, aber es scheint nicht so, als ob sie daraus viel lernen würden», sagte Apple-Experte Wardle dem Techportal Wired. Er spielt auf eine Reihe ähnlicher Fehler in mac OS an, die es Angreifern beispielsweise erlaubten, lediglich mit dem Benutzernamen «root» in jeden Mac zu gelangen. Ein ebenfalls sehr ähnlicher Fehler enthüllte das Passwort des Benutzers, wenn man eigentlich den Passworthinweis abfragte.
Theoretisch ist Wardles neuer Angriff höchst brisant, da Hacker so die volle Kontrolle über den Mac erlangen könnten. Grund zur Panik besteht trotzdem nicht, da sich die Lücke mit einem Update leicht schliessen lässt. Wie immer gilt: Wer Sicherheits-Updates schnell installiert, ist im Vorteil.
Zahlreiche Android-Geräte haben von Haus aus Software-Fehler, die es Hackern ermöglichen könnten, Screenshots zu erstellen, Textnachrichten zu lesen und sogar das Mikrofon des Handys zu aktivieren. Betroffen sind Geräte von Asus, LG, Essential, ZTE und weiteren Herstellern. Zu diesem Schluss kommt eine Studie der IT-Sicherheitsfirma Kryptowire, die während der Black-Hat-Konferenz präsentiert wurde.
Es handelt sich um tief im Gerät liegende Firmware-Fehler, die von den Geräte-Herstellern und den Telekomfirmen selbstverschuldet sind. Hacker könnten so über manipulierte Apps die Kontrolle über das Handy übernehmen, ohne dass der Nutzer der App den Zugriff auf das Mikrofon etc. erlauben muss.
Das «Problem»: Am Open-Source-Betriebssystem Android kann nicht nur Android-Entwickler Google Änderungen vornehmen, sondern auch Geräte-Hersteller wie Samsung, Nokia oder Netzbetreiber wie Swisscom und Sunrise. Das ist so gewollt und per se nichts Schlechtes. Die beteiligten Firmen können die Geräte mit ihren Änderungen verbessern bzw. um Funktionen erweitern, im schlimmsten Fall die Nutzer aber auch unnötigen Gefahren aussetzen. Bei den nun aufgedeckten Schwachstellen handelt es sich also nicht um Fehler in Android, sondern um Fehler im Code, der von Drittfirmen stammt.
Um als Handy-Nutzer sein Risiko zu minimieren, kann man ein Gerät kaufen, das Googles Original-Android-Betriebssystem nutzt.
Die präsentierten Schwachstellen sind brisant, aber auch hier besteht kein Grund zur Panik: Für die Angriffe müssten Hacker dem Opfer zuerst eine infizierte App unterschieben. Wer ausschliesslich seriöse Apps aus Googles offiziellem Play Store installiert, ist auf der sicheren Seite, auch wenn es eine 100-prozentige Sicherheit natürlich nie gibt. Gefährdet sind insbesondere Nutzer in Asien, die Apps fast immer aus App-Stores von Drittanbietern installieren. Die meisten betroffenen Hersteller haben die Lücken inzwischen gestopft, aber Kryptowire hat bereits neue Enthüllungen angekündigt ...
An der Hackerkonferenz Black Hat zeigten zwei IT-Sicherheitsexperten, wie sie fabrikneue Mac-Computer vollständig übernehmen können. Der hierfür notwendige Man-in-the-Middle-Angriff läuft über Apples Mobile-Device-Management-Plattform (MDM), die von IT-Administratoren in Firmen genutzt wird, um neue Macs zu konfigurieren. Die beiden Forscher fanden in Apples MDM-Software eine Schwachstelle, die das Einschleusen und Ausführen von Schadcode erlaubt, sobald sich der Mac zum ersten Mal mit dem WLAN verbindet und versucht, aus dem Mac App Store Software nachzuladen.
«Sobald Sie sich einloggen und den Desktop sehen, ist der Computer bereits kompromittiert», wird einer der Sicherheitsexperten von Wired zitiert. Dass das Gerät bereits unmittelbar nach dem Einschalten infiziert ist, macht den Angriff besonders gefährlich. Über diese Schwachstelle eingeschleuste Schadsoftware könnte nicht nur Werkzeuge wie Tastatur-Logger und Bildschirm-Recorder enthalten, sondern auch Tools, die im gesamten Unternehmensnetzwerk nach weiteren Schwachstellen suchen.
Die Attacke ist komplex und daher in der Praxis nur für Geheimdienste und Organisationen mit erheblichen Ressourcen interessant. Da sich der Angriff gegen Macs in Unternehmen richtet, könnte die Attacke für Wirtschaftsspionage genutzt werden. Apple hat die Lücke im Juli mit einem Update geschlossen, in der Praxis dürften aber noch über längere Zeit viele farbrikneue Firmen-Macs betroffen sein, schreibt Wired. Dies, da auch alle Drittanbieter von Mobile-Device-Management-Software die Lücke schliessen und die Firmen die Updates installieren müssten – was natürlich längst nicht immer passiert.
Private Mac-Nutzer sind davon ausdrücklich nicht betroffen, aber IT-Administratoren in Firmen geht die Arbeit so schnell nicht aus.
Smart-Lautsprecher, die als digitale Assistenten in der Wohnung dienen, sind der neuste Hoffnungsträger von Amazon, Google und neuerdings auch Apple und Samsung. Amazons Lautsprecher heisst Echo: Er erlaubt es den Nutzern per Sprachbefehl Musik abzuspielen, Suchanfragen zu stellen, ihr vernetztes Heim zu steuern (Licht, Temperatur etc.) oder Bestellungen beim Online-Versandhaus zu tätigen. Chinesischen Sicherheitsforschern von Tencent ist es es nun gelungen über Amazons Echo Gespräche abzuhören.
Der Hack ist zumindest theoretisch brisant, weil das Mikrofon im Smartspeaker, im Gegensatz zu Smartphones, auch entfernte Geräusche aufzeichnet. Ein gehackter Smartspeaker ist die perfekte Wanze.
In der Praxis gibt es jedoch wenig Grund, seinen Echo gleich aus dem Fenster zu werfen: Amazon hat die Schwachstelle bereits per Update behoben. Zudem waren die Hürden für den Angriff extrem hoch, so dass im Alltag kaum Gefahr bestand, dass massenhaft Menschen ausgehorcht wurden. Die Hacker mussten das Gerät zunächst in den eigenen Händen halten, um es zu manipulieren. Für den Lauschangriff mussten sie sich zudem im gleichen WLAN wie der Echo-Lautsprecher befinden. Der Angriff eignete sich aufgrund seiner hohen Komplexität eigentlich nur für gezielte Lauschangriffe gegen hochrangige Politiker oder Wirtschaftsführer.
Sicherheitsexperten machen darauf aufmerksam, dass es für Hacker einfacher und lohnenswerter ist ihre Opfer über Lücken bzw. eingeschleuste Trojaner in Computern, Smartphones oder Tablets auszuspionieren. Auf diesen Geräten können oft dutzende Apps ungehindert Nutzerdaten abgreifen, sofern der Nutzer irgendwann mal eine Popup-Meldung zu schnell weggeklickt hat.
Smartspeaker seien für Hacker die weit höhere Hürde als schlecht bis gar nicht gesicherte Billig-Produkte aus China (Puppen, Baby-Phones etc.), die mit einer Internet-Verbindung, Mikrofon oder gar Kamera zum leichten Angriffsziel für Hacker werden.
An der diesjährigen Def Con durften auch Kinder und Jugendliche im Alter von acht bis 16 Jahren ihr Können unter Beweis stellen. Ihre Aufgabe: Nachbildungen der Wahlwebseiten von so genannten Swing States, bei denen ein knappes Wahlresultat erwartet wird, infiltrieren. Der 11-jährige Emmet Brewer aus Austin, Texas, hätte binnen zehn Minuten Daten einsehen und Wahlergebnisse ändern können, erklärten die Def-Con-Organisatoren. Nicht nur Emmet, auch anderen Teilnehmern des Hacker-Workshops gelang es demnach Stimmenzahlen, Namen von Kandidaten und Parteien sowie Gesamtergebnisse abzuändern.
I think I won the Florida midterms. @r00tzasylum @VotingVillageDC pic.twitter.com/55wLaQHfEF
— p0wnyb0y (@p0wnyb0y) 10. August 2018
Die Def-Con-Organisatoren wollen mit der Aktion auf die Anfälligkeit vieler US-Abstimmungssysteme hinweisen. Die betroffenen US-Saaten weisen die Vorwürfe allerdings zurück, ihre Websites seien unsicher. Die Angriffe hätten nicht unter realistischen Bedingungen stattgefunden und die echten Wahlsysteme seien viel komplexer. «Die infiltrierte Website mag eine Nachbildung sein, aber die Schwachstellen, die diese Kinder ausnutzten, waren keine Nachbildungen», erwidern die Organisatoren des Hacker-Contests.
Es stimmt natürlich, dass die Jugendlichen nicht das eigentliche US-Wahlsystem gehackt haben, aber mächtige Hacker-Organisationen, die von Staaten finanziert werden, haben auch ganz andere Ressourcen zur Verfügung als ein 11-Jähriger. Mit extrem aufwändigen Angriffen, Stichwort Stuxnet, könnten gar Wahlmaschinen manipuliert werden, die nicht mit dem Internet verbunden sind, warnen IT-Sicherheitsexperten.
Im November stehen in den USA Zwischenwahlen an. Die Behörden wollen dabei für einen kleinen Personenkreis den Einsatz der Wahl-App Voatz testen. Die App-Wähler müssen sich laut Spiegel Online per Gesichtserkennungssoftware identifizieren, bevor die Wahl per Smartphone-App startet. In der Schweiz plant der Bundesrat ebenfalls die Einführung des E-Votings.
Die IT-Sicherheitsforscher John Seymour und Azeem Aqil haben an der Def Con eine mit Machine Learning erzeugte künstliche Stimme präsentiert, die so authentisch klingt, dass Stimmerkennungsverfahren keinen Verdacht schöpften. «Basis des Angriffs ist das Verfahren Text to Speech (TTS), das beliebige Texteingaben in möglichst natürlich klingende Sprachausgabe verwandelt», erklärt das deutsche Techportal Heise die Attacke. Das Ganze wird zur Gefahr, wenn die Stimme als Passwortersatz genutzt wird, wie dies laut Heise die US-Bank Schwab anbietet.
Können Hacker also das Bankkonto von Menschen leerräumen, die sich per Stimmerkennung identifizieren? Bislang lautete die Antwort: eher nein. Denn damit man «beliebige Texte mit der Stimme eines bestimmten Menschen ausgeben kann, müssen grosse Mengen an Sprachaufzeichnungen des Betreffenden vorliegen. «Ideal sind 24 Stunden in möglichst hoher Audioqualität», schreibt Heise. Die beiden Hacker haben nun aber einen Weg gefunden, mit nur gut zehn Minuten an Sprachproben eine künstliche Computerstimme zu generieren, die sogar für Menschen beinahe wie die Original-Stimme klingt.
Auch Siri und Microsofts Spracherkennung liessen sich davon täuschen. Wenn Firmen also künftig vorschlagen, die Stimme als Passwort zu nutzen, ist dies praktisch, aber eben auch nicht zu 100 Prozent sicher.
Generell gibt es die White Hat Hacker, welche z.B im Auftrag von Firmen ihre Systeme auf Schwachstellen überprüfen und somit ihre Sicherheit erhöhen.
Das Gegenteil sind die Black Hat Hacker, welche mit krimineller Absicht Angriffe auf Systeme ausführen.