Wie immer wird man bei den Kollegen von Heise ganz gut darüber informiert, was auf dem 33c3 stattfindet, wobei man trotzdem bei etwa 200 Vorträgen nicht mehr als die Highlights erwarten kann. Wer mehr Zeit hat, der schaut sich natürlich direkt bei der Quelle alles selbst an. Aber zumindest was die vorgestellten Sicherheitsprobleme betrifft, will man möglicherweise auch gar nicht viel mehr erfahren – nichts von (möglichen) Problemen zu wissen mag diese zwar nicht beseitigen, aber der eine oder andere schläft unwissend einfach besser. Dabei kann man sich mit ein bisschen Phantasie richtig „schöne“ Szenarien aus den einzelnen Lücken zusammenstellen.
Wie wäre es mit folgendem Szenario: Man befindet sich im Urlaub, stellt dann plötzlich fest, dass das eigene Konto leer geräumt wurde, der Rückflug umgebucht wurde und wenn man dann endlich daheim ist, ist die Wohnung leer. Dazu braucht es gar nicht mal so viel Phantasie…
Reisebuchungssysteme
„Dafür ist nicht viel Hacking erforderlich“, „sehr weit entfernt selbst von Sicherheitsstandards der Vor-Internetzeit“ – so was möchte man eigentlich nicht im Zusammenhang mit irgendwelchen Systemen hören, die über das Internet erreichbar sind. So hat aber der Sicherheitsforscher Karsten Nohl das globale System für Flugbuchungen am Dienstag beim 33c3 beschrieben. Man mag es tatsächlich nicht glauben, wenn man die Zusammenfassung bei Heise liest. Sicherer Passwörter scheinen in dem System nicht vorgesehen zu sein:
Wollten sich professionelle Kunden wie Mitarbeiter in Reisebüros dort anmelden, bräuchten sie für lokal verfügbare Zugangslösungen nur Kennungen, die aus einer Nummer und schrecklich schlechten Passwörtern bestünden. Die beste Variante, die er und sein Team gefunden hätten, bestehe aus den Buchstaben WS für Webservice und dem Datum, an dem das Authentisierungsmerkmal kreiert worden sei.
Bei den Endkunden sieht es noch schlimmer aus: Hier braucht es in den Regel nur die Buchungsnummer und den Nachnamen des Fluggasts, Informationen die auf dem Ticket stehen. Genau dem Ticket, das manche so gerne online veröffentlichen. Das wurde dann auch direkt mal demonstriert. Mit dem Zugang erhält man nicht nur die verschiedenen Daten des Fluggastes, man kann bei flexiblen Flügen diese auch umbuchen oder sich zumindest mal die Meilen auf ein anderes Konto gutschreiben lassen. Auch eine Methode, zu kostenlosen Upgrades zu kommen…
Upgrades ohne Hack:
Wie ich im Jahr gut 20 Business-Class Upgrades bekomme – Update: Reisetage!
Ein bisschen wurde hier inzwischen nachgebessert, mit Captchas und IP-Begrenzungen, aber das alles findet nur halbherzig statt. Einerseits möglicherweise wegen der eingesetzten Technik im Hintergrund, die teils auf die 70er Jahre zurückgeht, andererseits gibt es die Vermutung, dass der eine oder andere rechtswidrige Zugriff sogar gewollt ist und gar nicht erkannt werden soll:
Sonst gängige Logverfahren haben die Airlines dem Fachmann zufolge nicht in Betrieb. So sollten offenbar Beweise dafür vermieden werden, dass man großzügigerweise und möglicherweise rechtswidrig Sicherheitsbehörden und anderen Regierungsstellen Zugang zu den PNR gegeben habe.
Smarte Schlösser
Das Smart Home ist immer wieder Thema, wenn es um die Sicherheit oder eher Unsicherheit von Systemen geht. Man mag gehackte LED-Lampen, die sich ungewollt ein- und ausschalten noch für harmlos halten, aber spätestens, wenn es um Türschlösser geht, wird es kritisch. Dabei klingt es doch eigentlich verlockend: Die Tür öffnet sich automatisch, wenn man davor steht, einfach per „Ok Google“- oder „Hey Siri“-Kommando die Wohnungstür öffnen lassen, ohne die Einkaufstaschen abstellen zu müssen oder von unterwegs aus dem Nachbarn schnell Zugang gewähren, um nachzuschauen, ob die Herdplatte wirklich ausgeschaltet ist. Praktisch und komfortabel.
Aber bei smarten Schlössern und dem CCC kommen zwei Dinge zusammen, die traditionell zusammengehören: Lockpicking gehört einfach zu einem CCC dazu. Bei den smarten Schlössern gibt es neben den üblichen Attacken mit diversem Werkzeug noch die Möglichkeit des Angriffs per Software. Gezeigt wurden beide Varianten.
Ein Vorhängeschloss von Dog&Bone wurde einfach mit Hilfe eines dünne Blechs geöffnet, eine Methode, die man bei Schlössern in der Preisklasse unter 5 Euro erwartet, von denen niemand wirklich erwartet, einen möglichen Einbrecher damit vor eine ernsthafte Hürde zu stellen. Eine kurze Google-Suche zeigt, aber, dass sich die Schlösser von Dog&Bone in der Preisklasse ab 50 Euro bewegen – da sollte man doch erwarten können, dass ein Einbrecher ein bisschen mehr mitbringen muss, als ein dünnes Blech. Ein Schloss von Master Lock liess sich noch einfacher öffnen: Einfach einen Magneten dran halten und ein bisschen drehen, bis es sich dann öffnet.
Das Schloss von Noke wies zumindest keine offensichtlichen mechanischen Schwächen auf, dafür war aber die Kommunikation zum Öffnen des Schloss leicht abzuhören und auf der Basis liess sich auch dieses Schloss schnellend einfach öffnen. Übrigens wäre es hier auch einem temporären Nutzer möglich, den entsprechenden Key auszulesen und über die vorgesehene Zeit hinaus zu nutzen, bis der Eigentümer wieder vor Ort ist und die Keys komplett neu setzt.
Die Hersteller haben hier noch einiges zu tun, die Aufforderung, nicht nur smart zu tun, sondern es zu sein, ist gerechtfertigt. Ansonsten gilt auch für solche Schlösser, was für Verschlüsselung schon lange gesagt wird:
Eine nicht offengelegte Verschlüsselungssequenz sei keine Methode, ein Schloss zu sichern – wer seine Algorithmen nicht offenlegen wolle, sei im Gegenteil wohl nicht davon überzeugt, dass seine Lösung tauge.
Konten
Von der reinen Online-Bank N26 dürften fast alle schon mal gehört haben. Dort schickt man sich an, die Branche durcheinander zu würfeln, durchaus mit Erfolg. Rund 200.000 Kunden in rund einem Jahr konnte man gewinnen, was sicher auch damit zusammen hängt, dass das Onlinebanking hier natürlich sehr komfortabel ist. Dies ging zumindest eine gewisse Zeit lang auf Kosten der Sicherheit. Es lohnt sich auf jeden Fall, den Vortrag anzuschauen, aber Vorsicht, möglicherweise habt ihr danach eine Delle in eurem Schreibtisch, weil euch die Kinnlade runterklappt.
Zwar sind die hier angesprochenen Lücken inzwischen geschlossen, aber diese Lücken waren so schwer und so grundlegend, dass wir hier noch einen genaueren Blick darauf werfen werden. Nur so als Stichworte: Man-In-The-Middle-Attacke, geschwätzige API, Lücken bei der Nutzung von Siri – es war möglich 200 Überweisungen von Kleinstbeträgen durchzuführen und 33.000 Kunden zu identifizieren und das alles, ohne dass eine der Attacken erkannt oder abgewehrt wurde.
Wir sind gespannt, was für Lücken der 33c3 noch so ans Licht (zurück) bringt. Spannend, wie jedes Jahr.