Aktuelle Sicherheitsbedrohungen auf der Black Hat Conference

SicherheitSicherheitsmanagement

Diese Woche wird die Black-Hat-Konferenz in Las Vegas vorführen, welchen Bedrohungen wir durch Sicherheitslücken in allen IT-Bereichen ausgesetzt sind. Es geht um angreifbare Akkus, manipulierbare Finanzsysteme und Angriffe auf Android.

Auf der Ende dieses Monats (30. Juli – 4. August) stattfindenden Black-Hat-Konferenz wird es wie üblich Informationen im Überfluss geben, die einen nachdenklich stimmen werden. Und wie immer sind bereits vor Beginn der Veranstaltung Informationen zu den Sicherheitslücken an die Öffentlichkeit gedrungen, über die dort in allen Einzelheiten gesprochen werden wird.

Eine der merkwürdigsten Enthüllungen ist die Tatsache, dass Akkus, die mit integrierten Controllern ausgestattet sind, als Angriffsvektor genutzt werden können. Akkus auf Lithium-Basis sind hochentzündlich, wenn man ihnen übel mitspielt, doch heutzutage werden fest eingebaute Akkus immer häufiger gegenüber austauschbaren Akkus bevorzugt.

Der Akku wird gehackt

Wenn man seinen Abschluss als Diplom-Schrauber gemacht hat oder wenn man sich bestens mit dem Auseinandernehmen von verklebten Geräteteilen auskennt, kann man sich Zugang zum Akku verschaffen, aber das Öffnen eines Laptop-Gehäuses oder, noch komplizierter, eines iPhones oder iPods, ist nichts für Hasenfüße. Laut Charlie Miller, Chefberater bei Accuvant Labs, kann man den Akku-Controller so manipulieren, dass damit Schaden verursacht wird, auch wenn die Manipulation nicht direkt am Akku durchgeführt wird.

Er glaubt, dass es möglich ist, den Controller so umzuprogrammieren, dass er ferngesteuert Hardware in Brand setzen kann, allerdings scheint dies höchst unwahrscheinlich. Vor ein paar Jahren gingen eine Zeitlang Computer in Flammen auf, und es gab auch einige Vorfälle in der jüngeren Vergangenheit, aber heutzutage sind Akkus mit Sicherungen ausgestattet, die den Aufladevorgang unterbrechen, wenn die Stromzufuhr kontinuierlich ansteigt. Dadurch ist es unwahrscheinlich, dass ein iPhone Feuer fängt, aber Hacker können theoretisch Parameter verändern oder eine Backdoor ins System einbauen.

Der Hauptzweck des Controllers ist es, die technischen Daten des Akkus zu speichern. Das System greift auf den Controller zu, um den derzeitigen Ladezustand auszulesen, der dann auf dem Bildschirm des Laptops angezeigt wird. Der Controller regelt auch den Ladevorgang selbst, d.h. er schaltet den Lademechanismus ein oder aus, wenn das Laptop ans Stromnetz angeschlossen ist.

Man kann die Warnung so zusammenfassen: Es gibt mehrere Controller in einem Rechner, die unabhängig vom Hauptprozessor agieren, die aber trotzdem mit dem System verknüpft sind und auf diese Weise dazu verwendet werden können, Schadsoftware einzuschleusen oder wichtige Teile des Computersystems lahmzulegen, um so das Gerät betriebsunfähig zu machen.

Geschwindigkeit statt Sicherheit

Computer-Netzwerke in der Finanzbranche, die über keine Firewall verfügen – das ist das Thema, über das James Arlen, IT-Berater bei Push The Stack Consulting, sprechen wird. Die Rechnersysteme, die in Banken und anderen Finanzinstituten sowie bei Brokern zum Einsatz kommen, sind speziell auf den Einsatz in Umgebungen ausgelegt, in denen jede Nanosekunde zählt. Hinter den herkömmlichen Anwendungen zur Abwicklung der Börsengeschäfte stecken Computernetzwerke, die so schnell sind, dass Direktverbindungen zwischen den Rechensystemen geschaltet sind, mit deren Hilfe der Handelsvorgang automatisiert wird.

(Quelle kleines Bild oben: Yuri Arcurs – Fotolia.com)

Bei diesen algorithmischen Handelsnetzwerken wird auf Firewalls verzichtet, da diese Sicherheitssysteme Latenzprobleme verursachen würden. Gleiches gilt für Zugriffskontrolllisten (ACLs). Bei den Wertpapier-Handelsumgebungen spielen die Faktoren Risiko, Kosten und Gewinne die Hauptrolle, allerdings scheint die Risikominderung dabei am ehesten unter den Tisch zu fallen.

Arlen wird zeigen, welche Gefahren bestehen, wenn Entwicklern, die wahrscheinlich gleichzeitig an der Börse spekulieren, oder Erfüllungsgehilfen von Börsenspekulanten direkter Zugriff auf die Algorithmus-Engine im Produktionsbetrieb gewährt wird. Sie haben die Möglichkeit, im Handumdrehen Änderungen vorzunehmen, dadurch könnte sich eine neue Art von Skandalhändler herausbilden. Er wird darstellen, wie man mit einem Spekulanten (oder einem Administrator) umgeht, der den Zugang zu Netzwerken für Marktdaten oder Exchanges dazu missbraucht, das Börsengeschehen für andere Teilnehmer negativ zu beeinflussen. Einem Unternehmen kann dadurch innerhalb kürzester Zeit erheblicher Schaden entstehen.

Drive-by-Sicherheitslücken bei Android

Der Vortrag des Anti-Malware-Spezialisten Dasient hat die Sicherheitslücken bei Android-Smartphones zum Thema. Das Forschungsteam wird beschreiben, wie ein Drive-by-Angriff so gestaltet werden kann, dass damit auch Smartphones ins Visier genommen werden können statt der regulären Computersysteme, die in der Vergangenheit Ziel dieser Angriffe waren.

»Es ist möglich, den Code für einen Angriff so zu programmieren, dass der Angreifer dann über eine Hintertür Zugriff auf das Handy erhält, wenn der Benutzer einfach nur eine bestimmte Webseite auf einem Mobiltelefon öffnet«, sagt Neil Daswani, Chef-Technologe bei Dasient.
Die Mitglieder des Dasient-Teams werden ebenfalls die Ergebnisse einer Verhaltensanalyse vorstellen, die sie an über 10.000 Android Apps durchgeführt haben. Es hat sich herausgestellt, dass zirka 800 dieser Apps Geräte-IDs, Benutzernamen und Kontaktdaten übertragen haben.
Anders als bei früheren Berichten, die in der Presse zu lesen waren, handelt es sich dabei um keine Schadsoftware, sondern um normale Anwendungen, wie zum Beispiel SMS-Programme. Andere Apps übertragen private Daten, da ihre Programmierung Mängel aufweist – manchmal auch, weil die eingebauten Schutzmechanismen schlecht implementiert wurden.

Für diejenigen Konferenzteilnehmer, denen nach Interaktion zumute ist, wird es mehrere Wettbewerbe und Quiz-Veranstaltungen in der Ausstellungshalle geben. Für das Entschlüsseln einer Nachricht kann man bei Fidelis Security Systems beispielsweise ein Preisgeld von 1000 US-Dollar gewinnen. Der Wettbewerb »Decode This« wird zu Beginn der Briefing Days am 2. August starten. Das Unternehmen wird nach und nach eine Reihe von neun Lösungshinweisen bekanntgeben, bis ein Teilnehmer die Botschaft entschlüsselt hat.

Da für die meisten eine Reise nach Las Vegas aus finanziellen Gründen nicht in Frage kommen wird, stellt der Veranstalter die wichtigsten Inhalte der Black-Hat-USA-Konferenz über das Internet als Stream zur Verfügung, damit diejenigen, die zuhause bleiben müssen, zumindest einige der Präsentationen der Konferenz genießen können.