Sicherheitslücken haben Saison

Eine Schwachstelle bei Autoschlüsseln hat weltweit für Schlagzeilen gesorgt. Das ist bloss eine Lücke von vielen, die in diesen Tagen an mehreren Konferenzen zum Thema Sicherheit diskutiert wurden. Dabei zeigt sich: Technologie ist nicht das einzige Problem.

Audio A1 in einer Fabrik in China

Bildlegende: Audi A1: Auch die Fernbedienung dieses Modells ist betroffen. Reuters

Jeden Sommer finden gleich mehrere grosse Konferenzen statt, an denen sich Informatikerinnen und Sicherheitspezialisten über neue Risiken austauschen.

An der Sicherheitskonferenz USENIX erklärten Forscher der Universität Birmingham zusammen mit Spezialisten der deutschen Firma Kasper & Oswald, wie es ihnen gelungen ist, Funkfernbedienungen für Autos zu knacken. Die Tüftler aus England und Deutschland bauten dazu einen Sender nach, der die Fernbedienung imitiert. Kosten: Rund 40 Dollar. Das war der einfachere Teil.

Weit schwieriger war es, aus der Elektronik im Fahrzeug den geheimen Schlüssel zu extrahieren. Wie ihnen das gelang, wollten die Forscher nicht offenlegen. Denn von der Sicherheitslücke sind aktuell Fahrzeuge von 15 verschiedenen Herstellern betroffen, geschätzte 100 Millionen Autos.

Die Kontrolle eines LKWs übernehmen

Das mag die betroffenen Autobesitzer beunruhigen. Doch im Vergleich zu den Sicherheitslücken, die in letzter Zeit sonst noch an Konferenzen wie der USENIX thematisiert wurden, gehören die unsicheren Autoschlüssel eher zu den harmloseren Dingen.

Forscherinnen und Forscher der Universität Michigan berichteten ebenfalls an der USENIX, dass sie sich in das Netzwerk von grossen Nutzfahrzeugen hacken und wie sie einen Bus in voller Fahrt manipulieren konnten: Gas geben oder die Bremsen blockieren – alles kein Problem, wie dieses Video vorführt:

Video Truck Hacking

Noch musste das Team dazu einen Laptop über ein Kabel mit dem Fahrzeug verbinden. Doch die Forscher sind beunruhigt, dass ein solcher Eingriff in Zukunft auch über ein drahtloses Netzwerk möglich sein könnte. Und zwar über eine gängige Schwachstelle in den Fahrzeugen: die Unterhaltungselektronik.

Wenn die Glühbirne Spam-Mails verschickt

Im digitalen Zeitalter sind Autos nicht die einzigen Geräte, die über das Netzwerk gesteuert werden. Auch moderne Beleuchtungssysteme für Büro oder Wohnungen nutzen diese Technologie – und sind entsprechend anfällig.

Gruppe junger Männder im Halbdunkel an einem Tisch mit verschiedenen Computern.

Bildlegende: Technik auf Schwächen abklopfen: Hacker knöpfen sich das Beleuchtungssystem Philips Hue vor. Hack Camp - Philips Hue

Colin O'Flynn knöpfte sich das Beleuchtungssystem Philips Hue vor. An der Sicherheitskonferenz Black Hat erzählte er, wie es ihm gelang, in das Netzwerk einzudringen und die Kontrolle über die angeschlossenen Lampen zu übernehmen.

Sein Kollege Eyal Ronen, ein Student aus Israel, wählte einen anderen Weg. Statt ins Netzwerk einzudringen, brachte er die Philips-Lampen dazu, sich seinem WLAN anzuschliessen. Da das nur auf kurze Distanzen funktioniert, liess er eine Drohne vor einem Bürogebäude aufsteigen und übernahm dann die Kontrolle der Beleuchtung. Pikantes Detail: Es handelte sich dabei um die Räumlichkeiten der Firma RSA, die auf Sicherheits- und Verschlüsselungstechnologien spezialisiert ist, wie das PC Magazine berichtet.

Flackernde Lampen im Büro oder zu Hause sind zwar lästig, aber keine ernsthafte Bedrohung. Doch Colin O'Flynn ist besorgt, denn er kann nicht ausschliessen, dass Angreifer Schadsoftware in das System einschleusen. Auf diese Weise könnten Kriminelle das Beleuchtungssystem dazu bringen, etwa illegale Werbemails zu verschicken – hinter dem Rücken seiner ahnungslosen Bewohner.

Der USB-Stick auf dem Parkplatz – eine moderne Sage?

Ein solcher Eingriff ist nicht trivial, denn Philips hat vorgebeugt, betont Colin O'Flynn. Das System des holländischen Konzerns akzeptiert nur signierte Software. Diesen Mechanismus auszuhebeln, ist anspruchsvoll.

Es gibt jedoch auch einfachere Methoden, um Schadsoftware in ein System einzuschleusen, zum Beispiel über einen verseuchten USB-Stick. Das gilt in Sicherheitskreisen als Schreckensszenario, vor dem immer wieder gewarnt wird: Angreifer legen im Freien einen USB-Stick als Köder aus und warten, bis jemand das Gerät ins Büro mitnimmt und dort einsteckt – und so seinen Computer mit der fremden Schadsoftware verseucht. So weit die Theorie. Doch funktioniert dieser Trick tatsächlich oder ist das bloss eine Urban Legend?

Dieser Frage ging Elie Bursztein in einem Experiment nach. Der Google Sicherheitsexperte legte auf dem Campus der University of Illionis 297 präparierte USB-Sticks aus und wartete dann gespannt, wie die Leute darauf reagieren.

Das Resultat ist viel deutlicher als erwartet: 98 Prozent der Geräte wurden aufgelesen und mitgenommen. Damit noch nicht genug: Die Hälfte dieser USB-Sticks wurden tatsächlich auch an einen Computer angeschlossen. Spätestens ab da muss jeder damit rechnen, dass sein Computer oder das ganze Netzwerk mit Schadsoftware verseucht ist.

Wir sind unseres Glückes eigener Schmid

Angesichts dieser Unbedarftheit erstaunt es nicht, dass für viele Sicherheitsexperten das grösste Risiko nicht die Technik, sondern der Mensch darstellt. Kriminelle nützen diese Schwächen gezielt mit sogenanntem Social Engineering aus.

«Voice Phishing» funktioniert nach diesem Prinzip. Dabei versucht ein Angreifer über einen Telefonanruf jemanden dazu zubringen, ihm brisante Information zu verraten – auch ein Thema an der diesjährigen Black Hat Konferenz. In ihrem Vortrag zeigte Aude Marzuoli, wie verbreitet diese Art des Angriffes ist. Über verschiedene Telefonnummern, die sie als Köder ausgelegt hatte (sogenannte «Honey Pots»), ist es der Forscherin in kurzer Zeit gelungen, hunderttausende von Voice-Phishing-Anrufe aufzuzeichnen.

Mit Hilfe von Machine-Learning-Algorithmen hat sie die Anrufe analysiert und so 150 verschiedene Merkmale herausgearbeitet, etwa: Welche Charakteristiken hat die Stimme? Welche Filter wurden darauf angewandt? Und welche Eigenart weisen die Datenpakete des Anrufes auf? Aus diesen Erkenntnissen entwickelte die Forscherin ein System, das mit hoher Zuverlässigkeit Voice-Phishing-Anrufe von Normalen unterscheiden kann. Diese Software wird nun für Firmen angeboten.

Bloss: Um sich vor Voice Phishing zu schützen, reicht auch gesunder Menschenverstand. Denn keine seriöse Firma auf der Welt ruft einen Kunden an, um ein Passwort in Erfahrung zu bringen.