Hacking auf der Black Hat Security Conference

Las Vegas am letzten Juli-Tag und dem ersten Tag im August. Ein römisch dekoriertes Hotel-Casino in der Mojave-Wüste war der Schauplatz für etwas, das General Keith Alexander, Director der National Security Agency (NSA), als höchste Konzentration technischer Experten auf dem ganzen Planeten bezeichnete. Mindestens zwei Zuhörer machten sich während seines angespannten Vortrags am letzten Mittwoch über das wenig subtile Anbiedern des Generals lustig und nannten ihn einen Lügner – nicht, weil die genannte Aussage falsch war, sondern weil er eine Agentur befehligt, die die Kommunikation amerikanischer Bürger sowie von Einwohnern anderer Länder mehr oder weniger willkürlich bespitzelt. Nebenbei gesagt, schien der NSA-Direktor zu behaupten, dass seine Agentur die Möglichkeit, aber nicht die Befugnis für so eine flächendeckende Datensammlung besitze. In der Vergangenheit haben hohe Offizielle dies den Amerikanern und dem amerikanischen Kongress gegenüber dementiert, die der NSA diese Befugnis immer wieder und sogar willentlich verliehen haben.

Auf der Black Hat Security Conference gibt es zwei gegensätzliche Realitäten: Auf der einen Seite ist die Veranstaltung durchwegs und unmissverständlich kommerziell. Vollgepackt mit den brillantesten, höchstbezahltesten und respektiertesten Computer-Experten und Security-Spezialisten der Welt. Die große Mehrheit der Vorträge sind Firmen-orientiert, doch glücklicherweise gab es in diesem Jahr auch einige Vorträge, die sich an private Anwender richteten.

Auf der anderen Seite ist die Black Hat voll mit Rowdys. Wenn Sie während der Black Hat einen Computer, ein Smartphone oder irgendetwas anderes Wertvolles in Las Vegas dabei haben (vor allem natürlich im Caesar’s Palace, dem Veranstaltunsort), befindet es sich am gefährlichsten Ort der westlichen Welt (das sind die, wenn auch etwas übertreibenden, Worte einer E-Mail, die ich vom Veranstalter der Konferenz erhalten habe). Drahtlose Netzwerke, Geldautomaten und eigentlich jeder, den Sie noch nie vorher getroffen haben, sind alle nicht vertrauenswürdig. Die Hacker, die bei der Black Hat dabei sind, machen sich einen Spaß daraus, andere zu demütigen und von ihnen zu stehlen. Das Pressezentrum ist ein Gewirr aus Netzwerkkabeln und der einzige Ort, an dem man geschützt ins Internet gehen kann. Dass wir bei einer der berühmtesten Technologie-Konferenzen der Welt komplett offline in den Vorträgen sitzen, weit weg vom sicheren Pressezentrum, ist schon etwas seltsam.

Noch seltsamer ist der alte Zwiespalt zwischen den Bastlern ohne formelle Ausbildung und den Forschern mit einem Doktor in Mathematik. Die Grenze zwischen Cyberkriminellen und Regierungsbeamten in Zivil ist erstaunlicherweise kaum auszumachen – vor allem, wenn man merkt, dass beide Gruppen etwas über die gleichen Angriffstechnologien erfahren möchten. Aber das sollte nicht darüber hinwegtäuschen, dass hier fast jeder ein Hacker ist, und Hacking eigentlich das einzige Thema ist, über das jeder spricht.

Menschen-Hacking

Leider verstarb Barnaby Jack eine Woche bevor er auf der Black Hat einen Vortrag mit dem Titel „Implantable Medical Devices: Hacking Humans“ halten sollte. Der geniale Sicherheitsforscher stand an der Spitze der Erforschung implantierbarer medizinischer Geräte (etwa Insulinpumpen oder Herzschrittmacher, die direkt in den Körper eines Patienten implantiert werden), ein Thema, das wir auch auf diesen Seiten bald genauer beleuchten wollen. Viele dieser Geräte übertragen Signale und können drahtlos mit Geräten außerhalb des Körpers kommunizieren. Diese Geräte sind offensichtlich immer leichter hackbar. Auch aus diesem Grund ist der Tod von Barnaby Jack sehr traurig. Der beliebte neuseeländische Hacker stellte vor ein paar Jahren zwei Geldautomaten in den Räumen der Black Hat auf. Während seines Vortrags saß er an seinem Laptop und kompromittierte die Geldautomaten auf jede denkbare Art und Weise. Er manipulierte ihre Bildschirme, brachte einen dazu, die in ihm enthaltenen 20-Dollar-Noten für 5-Dollar-Noten zu halten, und schloß seine Vorführung – natürlich – damit, einen der Automaten zu zwingen, Geld auszuspucken.

Haus-Hacking

In diesem Jahr gab es auf der Black Hat drei Vorträge zum Thema „Haus-Sicherheit“. In einem Vortrag, der wahrscheinlich der einfachste und direkteste der ganzen Veranstaltung war, demonstrierten die Forscher Drew Porter und Stephen Smith, wie unglaublich einfach Haus- und Büro-Sicherheitssysteme umgangen werden können. Alleine in den USA gibt es etwa 36 Millionen solcher unsicherer Systeme, die von den Forschern untersuchten enthielten drei elementare Komponenten: Tür- und Fenster-Sensoren, Bewegungssensoren und eine Tastatur. Wie sie sagten, ist die Tastatur das Gehirn des Ganzen. Die Tastatur schaltet die Systeme scharf und kommuniziert mit Dritten, wenn einer der Sensoren ausgelöst wird.

Porter und Smith zeigten, dass sie die Stromkreis-basierten Sensoren mit ganz billigen Dingen wie Magneten und Metallstreifen hereinlegen konnten. Stromkreis-basierte Sensoren erzeugen einen geschlossenen Stromkreis, wenn sich die beiden Seiten des Sensors berühren (geschlossener Stromkreis: gut). Wird der Stromkreis unterbrochen (offener Stromkreis: schlecht), etwa durch das Öffnen einer Tür oder eines Fensters, löst der Sensor Alarm aus und kommuniziert dies an die Tastatur. Die Tastatur informiert dann zum Beispiel den Wachdienst, dass ein Alarm ausgelöst wurde.

Der Bewegungssensor kann fast genau so einfach ausgetrickst werden. Die Forscher erklärten nicht warum (und mein Wissen des elektromagnetischen Spektrums ist begrenzt), doch aus irgendeinem Grund macht Infrarotlicht den Bewegungssensoren Ärger. Als die Forscher die Sensoren infrarotem Licht aussetzten, das ganz einfach durch das Anzünden eines Feuerzeugs erzeugt werden kann, gaben die Sensoren keinen Alarm. Sie konnten die Bewegungssensoren sogar auf noch viel einfachere Arten austricken. Sie haben sich mit einem Stück Pappe oder Styropor vor den Sensoren verborgen, und diese waren dann nicht mehr in der Lage, eine Bewegung festzustellen.

Richtig erschreckend ist, dass auch die Tastaturen angreifbar sind. Sie erhalten von den Sensoren elektrische Signale. Wird ein Sensor ausgelöst, teilt er dies der Tastatur mit, die die Nachricht dann an denjenigen weitergibt, der als Empfänger programmiert ist, etwa ein Sicherheitsdienst, die Polizei oder ein Smartphone. Die Tastaturen kommunizieren auf drei mögliche Arten: per Telefonkabel, Mobilfunk und Datenübertragung. Es ist natürlich möglich, all diese Übertragungsarten zu stören oder zu unterbrechen.

In einem anderen Vortrag diskutierten Daniel Crowley, David Bryan und Jennifer Savage die Risiken, die entstehen, wenn wir unsere Haushaltsgeräte, etwa Heizungen, Türschlösser oder sogar unsere Toiletten, an das Heimnetzwerk anschließen. Behrang Fouladi und Sahand Ghanoun demonstrierten einen Angriff auf Sicherheitslücken des Z-Wave-Automatisierungssystems. Das immer beliebter werdende Z-Wave-Protokoll kann HVAC-Systeme, Türschlösser, das Licht und noch viel mehr Dinge im Haus kontrollieren.

Die größte Sorge bei den meisten angreifbaren Heimsystemen ist, dass sie nicht so einfach wie ein Computer oder eine Software aktualisiert werden können. Wenn Microsoft einen Fehler entdeckt, wird ein Patch erstellt und am Patch-Dienstag ausgeliefert. Die meisten Sicherheits-Systeme haben aber keine automatische Update-Funktion für ihre Firmware, und um einen Fehler im Produkt zu beheben, muss ein Techniker vorbeikommen und das System aktualisieren oder reparieren. Das ist teuer und ärgerlich. In den meisten Fällen kümmert sich niemand um die Behebung solcher Fehler, sondern lässt das System lieber angreifbar. Wenn das System mit dem Internet verbunden ist, sollte man sicherstellen, dass irgendein Schutz vor Angriffen besteht und der Update-Prozess ebenfalls geschützt ist. Und es sollte vor Hacks geschützt werden. Viele Hersteller sind aber noch nicht so weit, in diesem Bereich etwas zu tun – das zeigt auch die folgende Geschichte.

Hacken wie ein Hollywood-Hacker

Der Sicherheitsforscher Craig Heffner demonstrierte, wie er Überwachungskameras für private Haushalte und Unternehmen Hollywood-reif hackte. Er behauptete, dass Tausende dieser Kameras – in Privathäusern, Firmen, Hotels, Casinos, Banken und sogar Gefängnissen, militärischen Gebäuden und Industrie-Einrichtungen – über das Internet erreicht werden können und vor solchen Attacken, wie man sie aus Filmen kennt, nicht sicher sind. Heffner entwickelte eine Proof-of-Concept-Attacke, über die er aus der Ferne Kameras manipulieren und abschalten konnte.

Telefon-Hacking

Zwei Vorträge hatten das Potenzial, das Vertrauen in das mobile Ökosystem zu erschüttern. Einer davon war von Karsten Nohl, einem deutschen Forscher der Security Research Labs, der eine SIM-Karten-Attacke vorstellte. Der andere Vortrag war „One Root to Own Them All“ von Jeff Forristal, der sich der bekannten Android-Master-Key-Sicherheitslücke widmete, zu der ich bald einen eigenen Artikel veröffentlichen werde.

Im Grunde ist die SIM-Karte ein sehr kleiner, aber voll funktionsfähiger Computer, mit dem das Speichern und die Übertragung von Daten über Mobilfunknetze gesichert werden soll. Nohl bemekrte, dass die SIM-Karten in bis zu einer Milliarde Smartphones Sicherheitslücken aufwiesen, da sie bei ihrer Kommunikation den Verschlüsselungs-Standard DES verwenden. DES war einst ein Standard, der von der National Security Agency propagiert wurde. Wie der Forscher mir gegenüber bei einer gemeinsamen Taxifahrt zum Flughafen betonte, wird DES gerne genutzt, da er wenig Speicher benötigt und schnell arbeitet. Leider ist er recht alt und leicht zu knacken. Anscheinend werden diese SIM-Karten hergestellt, damit die Mobilfunkanbieter und Service-Provider nach dem Verkauf an den Endanwender mit den Karten kommunizieren können. Diese Kommunikation ist notwendig, um Aktualisierungen ausliefern und Rechnungen erstellen zu können, und noch einige andere Dinge, wie dieser exzellente Artikel bechreibt. Die Kommunikation zwischen der SIM-Karte und dem Service-Provider läuft vor allem über SMS-Nachrichten, die nicht auf dem Telefon angezeigt werden, aber direkt von der SIM-Karte verarbeitet werden. Laut Nohl enthält weltweit fast jedes Telefon eine SIM-Karte mit der Fähigkeit, solche Nachrichten zu senden und zu empfangen, ohne dass der Anwender davon etwas mitbekommt. In den drei Jahren der Forschung hat Security Research Labs nur ein einziges Telefon gefunden, dass diese Over-The-Air-Kommunikation (OTA) komplett ablehnte.

Um diese Kommunikation zu schützen, werden die Nachrichten entweder verschlüsselt oder durch kryptographische Signaturen gesichert. Manchmal werden auch beide Techniken angewandt. Diese Maßnahmen machten für Nohl aber wenig unterschied, denn er knackte die Nachrichten, egal welcher Schutz genutzt wurde. Die Verschlüsselung basierte meist auf dem alten DES-Algorithmus. Der OTA-Server der Netzwerkbetreiber und die SIM-Karten selbst verwenden den gleichen Schlüssel – wahrscheinlich, um Platz auf den SIM-Karten zu sparen. Wenn man den Schlüssel herausfindet, kann man der SIM-Karte glauben machen, man sei der Netzwerkbetreiber. Nohls Demonstration enthielt viel Mathematisches, in das ich hier nicht einsteigen möchte, doch das Wichtige ist, dass er die Karten – sobald er ihnen weisgemacht hatte, er sei der OTA-Server des Netzwerkbetreibers – auf alle möglichen Arten ausnutzen konnte: Premium-SMS verschicken, die Weiterleitung von Anrufen kontrollieren, die Firmware der SIM-Karte aktualisieren und möglicherweise auch Daten von der Karte stehlen, etwa Passwörter von Zahlungs-Apps, die auf manchen SIM-Karten zu finden sind. Die gute Nachricht ist, dass viele Mobilfunkanbieter in den letzten Jahren begonnen haben, die sicherere SIM-Karten mit 3DES- oder AES-Verschlüsselung auszuliefern. Und nach der Veröffentlichung von Nohls Forschung haben einige der großen Telekommunikationsunternehmen schnell einige Aktualisierungen der Netzwerke vorgenommen.

Das Gesetz hacken

Marcia Hoffmann von der Electronic Frontier Foundation leitete einen Vortrag über die rechtlichen Fallen für Forscher, wenn sie Sicherheitslücken aufdecken. Dass das Internet immer noch so schwer zu schützen ist, liegt zum Teil auch daran, dass sich gutmeinende Hacker oft mit rechtlichem Ärger konfrontiert sehen, wenn sie angreifbare Systeme aufdecken. Der Vortrag drehte sich vor allem um spezifische Fälle, doch die generelle Botschaft war eine Warnung: Ungenaue Formulierung führt zu selektiver Vollstreckung. Damit meinte sie, dass viele der Gesetze, die zur Verfolgung mutmaßlicher Online-Vergehen genutzt werden, sehr veraltet sind und zu einer Zeit geschrieben wurden, als das Internet und Computer noch nicht so aussahen wie heute. Diese Gesetze müssten unbedingt angepasst werden, so Hoffmann.

Fernseh-Hacking

Es überraschte nicht, zu hören, dass so genannte Smart-TVs, die immer mehr wie normale Computer arbeiten, auch genau so angreifbar sind. Die Vorträge von SeungJin „Beist“ Lee und Aaron Grattafiori, sowie von Josh Yavor zeigten die vielen Möglichkeiten für potenzielle Angriffe auf diese oft noch recht teuren Geräte, die sich aber bereits jährlich millionenfach verkaufen.

Ich selbst konnte leider bei keinem dieser Vorträge dabei sein, war allerdings bei der Vorab-Zusammenfassung der Pressekonferenz. Grattafiori und Yavor entdeckten einige Sicherheitslücken in den Betriebssystemen dieser mit dem Internet verbundenen Fernseher. Sie behaupteten – und wollten das in ihrem Vortrag auch vorführen –, dass ein Angreifer verschiedene Geräte aus der Ferne übernehmen und die darauf gespeicherten Daten stehlen kann. Damit könnte Angreifern die Möglichkeit gegeben werden, die eingebauten Kameras und Mikrofone zu steuern, um die Besitzer zu überwachen. Zudem können die Fernseher als Sprungbrett ins lokale Netzwerk genutzt werden.

Auto-Hacking

Darauf müssen Sie noch etwas warten. Charlie Miller und Chris Valasek, die Vortragenden in diesem Bereich, waren zwar auch auf der Black Hat, werden ihren Auto-Hack aber auf der DEF CON vorstellen – der Hardcore-Hacker-Konferenz, die gleich nach der Black Hat stattfindet. Ich werde dort zwar nicht dabei sein, aber auf jeden Fall möglichst bald über ihre Demonstration schreiben. In der Zwischenzeit, können Sie Miller und Valasek zusehen, wie sie auf dem Rücksitz kichern, während der Forbes-Security-Reporter Andy Greenberg ein Auto fährt, das die beiden auseinander genommen haben und gerade hacken. Zudem können Sie in einem aktuellen Kaspersky-Artikel mehr über das Hacken von Autos lesen.

Internet-Hacking

Eine abstraktere, doch nicht weniger alarmierende Forschungsarbeit der Black Hat war eine Bewertung der aktuellen Fortschritte bei Computern und in der Mathematik, die dazu führen könnte, die momentane Verschlüsselungs- und Zertifikats-Infrastruktur des ganzen Internets in den nächsten zwei bis fünf Jahren auszuhebeln. Um das abzuwenden, muss fast jedes Unternehmen, das Internet-bezogene Produkte herstellt (egal ob Browser, Web-Server, Sicherheitskameras oder andere Dinge), jetzt die entsprechende Software aktualisieren und moderne Sicherheitsalgorithmen verwenden.

Wenn man von der Black Hat kommt, könnte man meinen, das Internet sei hoffnungslos kaputt, doch die optimistische Wahrheit ist, dass die große Mehrheit der unglaublich intelligenten Frauen und Männer, die bei der Konferenz als Sprecher oder Teilnehmer dabei waren, daran arbeiten, das Internet zu reparieren und all die wertvollen Dinge zu schützen, die damit verbunden sind. Sie sprechen zu hören zerstört das Ego, denn ihre Brillanz schrumpft das Bild der eigenen Intelligenz – allerdings ist es gleichzeitig auch inspirierend, denn sie könnten mit dem oft als unmöglich Bezeichneten wirklich Erfolg haben: eine sichere Online-Umgebung zu erschaffen, die die Privatsphäre achtet.