Frag den Experten: „Watch Dogs“ und die Realität

Igor Soumenkov, einer der Kaspersky-Experten, die Ubisofts Computerspiel „Watch Dogs“ auf Realitätsnähe geprüft haben, erklärt im Interview, wie real das Spiel wirklich ist

Experto

Mit Rekordverkäufen von vier Millionen Kopien in der ersten Woche, zählt „Watch Dogs“ zu einem der erfolgreichsten Spiele – dank einnehmendem Gameplay und ungewöhnlichem Konzept. Das Spiel basiert auf dem Hacken der Geräte einer Smart City: Geldautomaten, Ampeln, Überwachungskameras. Nur damit kann der Spieler das Ziel erreichen. Die Entwickler von Ubisoft wollten dies so real wie möglich darstellen und dem Spieler nur Hacks ermöglichen, die in der Realität auch möglich wären. Darum hatte die Firma die Kaspersky-Experten gebeten, das Drehbuch und den Hacking-Aspekt des Spiels auf Realitätsnähe zu prüfen. Und jetzt, da das Spiel veröffentlicht ist, fragen sich viele Spieler, was die Entsprechungen der Spiel-Hacks im echten Leben sind und ob solche Hacker-Tricks wirklich existieren. Wir haben diese Fragen auf unserer Facebook-Seite gesammelt und den Kaspersky-Experten Igor Soumenkov gebeten, uns die Wahrheit über die Watch-Dogs-Hacks zu sagen.

Wie nahe ist die Realität der Fiktion des Spiels?

Auch wenn einige der Hacks echten Hacker-Angriffen sehr ähnlich sind, ist es natürlich dennoch ein Spiel, eine Simulation. Man muss verstehen, dass „Watch Dogs“ keinem das Hacking beibringt, aber man merkt, wie machtvoll ein Hacking-Tool sein kann.

Unter den Hacks, die im Spiel vorkommen, und die es auch im echten Leben gibt, sind zum Beispiel diese:

Ist es wirklich möglich, all diese Dinge nur mit einem Handy zu hacken?

Im echten Leben benötigen solche Hacks viel mehr Vorbereitung von Seite der Kriminellen – man kann nicht einfach auf seinem Smartphone herumtippen und fertige Exploits nutzen. Hacker-Angriffe auf Geldautomaten funktionieren zum Beispiel so: Die Kriminellen speichern einen Exploit oder ein Schadprogramm auf ein tragbares USB-Gerät. Dieses verbinden Sie mit dem Geldautomaten, der Exploit erlaubt den Angreifern, Systemprivilegien zu bekommen und das Schadprogramm zu starten. Dabei kann es sich zum Beispiel um eine Backdoor handeln, die das Betriebssystem des Geldautomaten kontrolliert. Nachdem der Automat gehackt wurde, müssen die Cyberkriminellen nur noch das Geld einsammeln. Und dieser letzte Schritt – den Geldautomaten dazu zu bringen, Banknoten auszuspucken – kann dann von einem Smartphone aus durchgeführt werden.

Denken Sie nicht, dass Cyberkriminelle das Spiel nutzen könnten, um Ideen für Hackings und die Kontrolle einer großen Stadt zu bekommen?

Wir hoffen eher, dass das Spiel die Menschen dazu bringt, über die Sicherheit zukünftiger Stadt-Betriebssysteme nachzudenken. Die Sicherheit muss dort sehr wichtig genommen werden. Das Spiel ist eine interessante Simulation, wie so etwas aussehen könnte, wenn das System missbraucht wird.

Können Sie einen echten Sicherheitsvorfall nennen, der als der angsteinflößendste angesehen werden kann?

Die meisten Hacks, die man im Spiel sieht, drehen sich um automatisierte Kontrollsysteme, die kompromittiert werden. Das ist ein neuer und zugleich der erschreckendste Trend der letzten Jahre, der mit dem Stuxnet-Wurm begann, der industrielle Kontrollsysteme angriff. Der Wurm und seine Nachfolger sind ein Beispiel dafür, wie Computerprogramme Dinge der echten Welt kaputt machen können. Und genau das wird auch im Spiel dargestellt – das wird mehr und mehr Realität.

Wie groß ist die Möglichkeit eines Cyberangriffs auf ein Online-Spiel?

Dieses Risiko existiert, richtet sich aber nach der Art von Spiel, das Sie spielen und auch danach, wie Sie sich im Spiel und im echten Leben verhalten. Seit über zehn Jahren können Trojaner zum Beispiel den virtuellen Besitz der Spielfigur eines Gamers stehlen. Heute sind Trojaner unglaublich flexibel, mit unzähligen Möglichkeiten, um verschiedene Bereiche Ihres digitalen Lebens anzugreifen: Sie können entscheiden, ob sie zum Beispiel Ihr Skype-Passwort stehlen wollen oder nicht, oder ob sie lieber die Passwörter für bestimmte Spiele haben möchten. Spiele-Passwörter helfen den Angreifern, Spielekonten zu hacken und zu übernehmen.

Und die Hacker zielen neben Spielen auch auf Spieleentwickler ab, allerdings mit einem anderen Ziel: dem Diebstahl geistigen Eigentums, um illegale Online-Gaming-Server einrichten zu können.

Wenn im Decryption-Multiplayer-Modus verschiedene Spieler nahe beieinander sind, geht die Entschlüsselung schneller. Ist das im echten Leben auch so? Ich habe gehört, dass man mehrere Geräte zusammenschließen kann, um deren Leistung zu addieren! Wie funktioniert das?

Das ist richtig. Es gibt Computerprozesse, die mit mehreren Geräten zusammen schneller erledigt werden können. Ein Passwortangriff ist so ein Prozess. Man kann so eine einzige Aufgabe zur simultanen Bearbeitung auf mehrere Geräte aufteilen. Es gibt Programme dafür, aber man kann auch ein eigenes Programm dafür entwickeln, das beim Aufteilen des Prozesses auf mehrere Geräte in einem drahtlosen Netzwerk hilft.

Experto 2

Was ist ihrer Meinung nach das größte Hindernis bei der Implementierung einer echten Smart City, wie man sie in „Watch Dogs“ sieht?

Die Hindernisse in der technischen Welt sind hierbei nicht so wichtig. Es läuft alles auf administrative Rechte hinaus. Im virtuellen Chicago von „Watch Dogs“ sind alle Ampeln, Gasleitungen, Geldautomaten, Überwachungssysteme und Klappbrücken über ein einziges Netzwerk miteinander verbunden. Das bedeutet, dass eine einzige Organisation für die komplette Infrastruktur verantwortlich ist und ein einziges Datenzentrum hat.

In „Watch Dogs“ ist eine einzige Organisation für die komplette Infrastruktur verantwortlich und hat ein einziges Datenzentrum. Im echten Leben ist das nicht der Fall.

Im echten Leben sind wir davon noch weit weg: All diese Systeme werden heute von verschiedenen Organisationen verwaltet. Nehmen Sie nur einmal Geldautomaten: Jede Bank hat ein eigenes Netzwerk von Geldautomaten. Das größte Hindernis im realen Leben wäre also wahrscheinlich, all diese verschiedenen Firmen und Organisationen unter einem Dach und in einem Datenzentrum zusammenzubringen.

Auf der anderen Seite liegt das Problem beim Zusammenführen all dieser Systeme im Preis eines Fehlers: Ein gehacktes System birgt ein höheres Risiko gravierender und negativer Konsequenzen. Gleichzeitig macht die Verbindung dieser Systeme es aber auch einfacher, sie zu schützen. Es gibt das Konzept der so genannten Angriffsoberfläche: Je weniger Firmen, je weniger Server beteiligt sind, desto kleiner ist die Angriffsoberfläche. Anders gesagt werden für den Schutz eines einzigen Datenzentrums weniger Ressourcen benötigt.

Gerüchten zufolge ist Hardware, die zum Hacken verwendet wird, heute nicht mehr teuer und kann sogar für das Hacken der Infrastruktur einer ganzen Stadt genutzt werden. Was können sie dazu sagen?

Wenn man über das Hacking „der Infrastruktur einer ganzen Stadt“ spricht, muss ich noch einmal sagen, dass es momentan keine Systeme gibt, die das komplette Leben in einer Stadt kontrollieren. Es gibt viele getrennte Infrastrukturen: ein Netzwerk von Radarfallen, ein Netzwerk mit Geldautoamten, und so weiter. Das macht es unmöglich, die gesamte Infrastruktur einer Stadt zu hacken. Die Frage zur Hardware ist in den meisten Fällen zweitrangig – ein Hacker kann sogar mit einem einfachen Anfänger-PC arbeiten, der nur 150 Euro kostet. Man braucht nur einen Monitor, eine Tastatur, ein Betriebssystem und einiges Wissen sowie die entsprechenden Programme. Die Programme findet man relativ leicht im Internet – als Freeware, kostenpflichtige Software oder in anderer Form.

Welches mobile Gerät ist zum Hacken am besten geeignet?

Manipulationen von der Art, wie sie in „Watch Dogs“ dargestellt werden, benötigen ein Smartphone mit speziellen Rechten für das Betriebssystem, entweder ein gerootetes Android-Handy oder ein Jailbreak-iPhone. Solche Geräte erlauben es unter anderem, die MAC-Adresse der SIM-Karte zu ändern, um auf einer tieferen Ebene des Netzwerks arbeiten zu können. Dabei ist die Art des Geräts aber nicht wichtig; wirklich wichtig sind die verwendeten Apps, und es gibt spezielle Apps für Android und iOS.

Denken sie, dass eine einzige Firma eine ganze Stadt kontrollieren kann und eine kleine Gruppe von Rebellen versuchen könnte, dieses System zu hacken?

Eine Firma, die die Kontrolle über eine Stadt übernimmt… klingt für mich nicht ganz so glaubhaft. Zumindest kollidiert das mit den Interessen der Wirtschaft: Jede Organisation will über ihren Bereich die Kontrolle haben und hat wenig Interesse an Monopolen. So ein futuristisches Chicago wie in „Watch Dogs“ ist also unrealistisch: Die Kontrolle über alles in der Stadt an eine Firma zu geben widerspricht immerhin den Regeln des gesunden Wettbewerbs. Es gibt also keinen Grund zu glauben, dass sich die Geschichte des Spiels bald im echten Leben abspielen wird. Wenn es allerdings um die so genannte „Smart City“ geht, muss man sagen, dass wir uns langsam in diese Richtung bewegen. Aber das ist trotzdem etwas anderes: Denn die Infrastruktur wird von verschiedenen Organisationen mit verschiedenen Verantwortungsbereichen verwaltet werden.

Haben sie Tipps für Spieler, die die Single-Player-Spiele anderer Spieler hacken möchten?

Wir waren nur für das Thema des Spiels im Zusammenhang mit der Sicherheit in der Realität verantwortlich – daher müssen Sie solche Fragen zum Spiel direkt an Ubisoft richten 🙂

Gibt es physikalische Hacking-Geräte? Etwa solche wie die Blue Boxes der späten 1970er Jahre.

Ja, und es gibt sogar viele davon. Nehmen Sie „Stromanschluss-Computer“, die die Größe eines Tablets oder alten Telefonladegeräts haben! Sie werden einfach in die Steckdose gesteckt und verbinden sich mit dem Internet. Es gibt eine ganze Familie solcher Geräte: Guru Plug, Dream Plug, usw. Sie alle sind kleine, funktionierende PCs, die zum Beispiel für Sicherheitstests von Netzwerken entwickelt wurden. Es gibt die so genannte „Pawn Plug“ – eine kleine Box, die das Netzwerk automatisch scannt, Sicherheitslücken findet und einen Bericht dazu erstellt.

Gibt es einen Unterschied zwischen dem Hacking eines PCs und dem Hacking zum Beispiel einer Klimaanlage oder einer Ampel?

All diese Geräte – wobei ich bei der Klimaanlage nicht ganz sicher bin – sind irgendwie online verbunden. Und ich spreche von Ampeln, Türen, Klappbrücken. Sie sind mit Computern oder Controllern verbunden, die wiederum von Operatoren verwaltet werden. Das bedeutet, dass man für das Hacking von Ampeln den PC des Operators hacken muss. Das ist die sinnvollste Vorgehensweise und sie wird im Grunde auch in „Watch Dogs“ angewandt – es geht um das Hacking der Computer des Operators oder der Management-Organisation.

Gibt es interessante Hacks, die aus dem Spiel gelöscht wurden – und wenn ja, warum?

Da wir spezialisiert sind auf das Blockieren von Cyber-Bedrohungen sowie Leuten, die Hyper-Connectivity/IT-Systeme manipulieren und missbrauchen wollen, konnten wir für die theoretischen Szenarien im Spiel technische Beartung und Tipps geben – für den Spielverlauf, aber auch für die Entwicklung der Spielfigur und der Geschichte. Wir haben das Drehbuch geprüft und Vorschläge gemacht, wenn wir etwas für akkurat hielten oder wenn etwas verbessert, umgeschrieben oder geändert werden sollte, um das Spiel und die Geschichte (technisch) authentischer zu machen.

Wir haben dabei nichts aus dem Szenario gelöscht. Als wir das Drehbuch bekommen haben, waren bereits einige Hacks eingebaut. Wir haben diese studiert, manche davon verbessert, manche korrigiert, aber wir haben keine gelöscht. Aber wir können natürlich nur für uns, nicht für Ubisoft sprechen.

Wie fühlt sich das an, professionelles Wissen über alle aktuellen und potenziellen Cyberbedrohungen zu haben? Können sie noch gut schlafen?

Ja, ich kann ganz gut schlafen. Natürlich wissen wir, dass es keine komplett sicheren Systeme geben kann. Das bedeutet, dass ein Hack nur eine Frage der Zeit, des Budgets und des Willens ist. Es wird immer Sicherheitslücken geben. Man kann einfach nicht in allen Bereichen Gewissheit haben: nicht bei PCs, nicht bei Routern, nicht bei Firmennetzwerken, nicht bei WLAN-Netzen, nicht einmal bei Fernsehern! Aber wir wissen, was zu tun ist, wenn man gehackt wurde oder meint, gehackt zu werden. Das macht uns selbstsicherer.

Gibt es eine Datenbank, die einfach Informationen zu Personen gibt, wie man sie im Spiel sieht? Oder wird so eine Datenbank innerhalb der nächsten zehn Jahre entwickelt werden?

Es gibt mehrere solcher Datenbanken, und Sie kennen sie bereits: Sie heißen zum Beispiel Facebook, LinkedIn und Vkontakte. Man braucht nur eine entsprechende Technologie, um eine Person mit dieser Datenbank in Verbindung zu bringen. Man muss dazu auch nicht für den Geheimdienst arbeiten. Es gibt Open-Source-Spionagefirmen, die öffentliche Daten analysieren. Sie erstellen virtuelle Konten auf Sozialen Netzwerken, bringen Menschen dazu, ihre Freunde zu werden, und haben dann mit den Tausenden von Freunden, Zugriff auf alle verfügbaren Profile, da man meist auch auf die Profile der Freunde von Freunden zugreifen kann. Wenn man mehrere Freunde mit Tausenden Verbindungen hat, kann man im Grunde die komplette Bevölkerung eines Sozialen Netzwerks abdecken.

Wie Sie vielleicht wissen, gibt es die Theorie, dass man zwei zufällig aussgewählte Menschen auf der Erde über sechs Handschläge verbinden kann. Das bedeutet, es würde nur ein paar Freunde benötigen, um jede Person in dem Netzwerk zu finden – dann muss man die entdeckten Informationen nur noch mit der echten Welt in Zusammenhang bringen. Es gibt viele Methoden, die jeder ganz einfach nutzen kann: Geolocation, Gesichtserkennung, Stimmerkennung, usw. Zusammen genutzt sind sie recht effizient und können unwichtige Informationen ausfiltern, eine Person finden und sie über ihr Profil identifizieren.

Tipps