• Folge Uns
    • Facebook
    • Twitter
    • Youtube
    • Flipboard
  • ENG
Mobilegeeks
  • Videos
  • Cars
  • Connected Life
  • IoT
  • Smartphones
  • Hardware
  • Tests
  • Podcast
  • Videos
  • Cars
  • Connected Life
  • IoT
  • Smartphones
  • Hardware
  • Tests
  • Podcast
Powered By GDATA
Powered By GDATA
Previous Story
Amazon Patent für fliegendes Kaufhaus als Drohnenb ...

von Mark Kreuzer

AMAZON AFC Drohnen Netzwerk
Next Story
Neue Lenovo Thinkpad Modelle mit Intel Kaby Lake & ...

von Carsten Drees

33c3: Mit Sicherheit neue Sicherheitslücken

Derzeit läuft der 33. Chaos Communication Congress - kurz 33c3 - in Hamburg und das Motto in diesem Jahr lautet „Works for me“. Und wie in jedem Jahr, erfährt man auch in diesem Jahr wieder einiges zu neuen und alten IT-Sicherheitsproblemen. 

von Carsten Dobschat am 28. Dezember 2016
  • Email
  • @dobschat

Wie immer wird man bei den Kollegen von Heise ganz gut darüber informiert, was auf dem 33c3 stattfindet, wobei man trotzdem bei etwa 200 Vorträgen nicht mehr als die Highlights erwarten kann. Wer mehr Zeit hat, der schaut sich natürlich direkt bei der Quelle alles selbst an. Aber zumindest was die vorgestellten Sicherheitsprobleme betrifft, will man möglicherweise auch gar nicht viel mehr erfahren – nichts von (möglichen) Problemen zu wissen mag diese zwar nicht beseitigen, aber der eine oder andere schläft unwissend einfach besser. Dabei kann man sich mit ein bisschen Phantasie richtig „schöne“ Szenarien aus den einzelnen Lücken zusammenstellen.

Wie wäre es mit folgendem Szenario: Man befindet sich im Urlaub, stellt dann plötzlich fest, dass das eigene Konto leer geräumt wurde, der Rückflug umgebucht wurde und wenn man dann endlich daheim ist, ist die Wohnung leer. Dazu braucht es gar nicht mal so viel Phantasie…

Reisebuchungssysteme

„Dafür ist nicht viel Hacking erforderlich“, „sehr weit entfernt selbst von Sicherheitsstandards der Vor-Internetzeit“ – so was möchte man eigentlich nicht im Zusammenhang mit irgendwelchen Systemen hören, die über das Internet erreichbar sind. So hat aber der Sicherheitsforscher Karsten Nohl das globale System für Flugbuchungen am Dienstag beim 33c3 beschrieben. Man mag es tatsächlich nicht glauben, wenn man die Zusammenfassung bei Heise liest. Sicherer Passwörter scheinen in dem System nicht vorgesehen zu sein:

Wollten sich professionelle Kunden wie Mitarbeiter in Reisebüros dort anmelden, bräuchten sie für lokal verfügbare Zugangslösungen nur Kennungen, die aus einer Nummer und schrecklich schlechten Passwörtern bestünden. Die beste Variante, die er und sein Team gefunden hätten, bestehe aus den Buchstaben WS für Webservice und dem Datum, an dem das Authentisierungsmerkmal kreiert worden sei.

Bei den Endkunden sieht es noch schlimmer aus: Hier braucht es in den Regel nur die Buchungsnummer und den Nachnamen des Fluggasts, Informationen die auf dem Ticket stehen. Genau dem Ticket, das manche so gerne online veröffentlichen. Das wurde dann auch direkt mal demonstriert. Mit dem Zugang erhält man nicht nur die verschiedenen Daten des Fluggastes, man kann bei flexiblen Flügen diese auch umbuchen oder sich zumindest mal die Meilen auf ein anderes Konto gutschreiben lassen. Auch eine Methode, zu kostenlosen Upgrades zu kommen…

Upgrades ohne Hack:
Wie ich im Jahr gut 20 Business-Class Upgrades bekomme – Update: Reisetage!

Ein bisschen wurde hier inzwischen nachgebessert, mit Captchas und IP-Begrenzungen, aber das alles findet nur halbherzig statt. Einerseits möglicherweise wegen der eingesetzten Technik im Hintergrund, die teils auf die 70er Jahre zurückgeht, andererseits gibt es die Vermutung, dass der eine oder andere rechtswidrige Zugriff sogar gewollt ist und gar nicht erkannt werden soll:

Sonst gängige Logverfahren haben die Airlines dem Fachmann zufolge nicht in Betrieb. So sollten offenbar Beweise dafür vermieden werden, dass man großzügigerweise und möglicherweise rechtswidrig Sicherheitsbehörden und anderen Regierungsstellen Zugang zu den PNR gegeben habe.

Smarte Schlösser

Das Smart Home ist immer wieder Thema, wenn es um die Sicherheit oder eher Unsicherheit von Systemen geht. Man mag gehackte LED-Lampen, die sich ungewollt ein- und ausschalten noch für harmlos halten, aber spätestens, wenn es um Türschlösser geht, wird es kritisch. Dabei klingt es doch eigentlich verlockend: Die Tür öffnet sich automatisch, wenn man davor steht, einfach per „Ok Google“- oder „Hey Siri“-Kommando die Wohnungstür öffnen lassen, ohne die Einkaufstaschen abstellen zu müssen oder von unterwegs aus dem Nachbarn schnell Zugang gewähren, um nachzuschauen, ob die Herdplatte wirklich ausgeschaltet ist. Praktisch und komfortabel.

Aber bei smarten Schlössern und dem CCC kommen zwei Dinge zusammen, die traditionell zusammengehören: Lockpicking gehört einfach zu einem CCC dazu. Bei den smarten Schlössern gibt es neben den üblichen Attacken mit diversem Werkzeug noch die Möglichkeit des Angriffs per Software. Gezeigt wurden beide Varianten.

Ein Vorhängeschloss von Dog&Bone wurde einfach mit Hilfe eines dünne Blechs geöffnet, eine Methode, die man bei Schlössern in der Preisklasse unter 5 Euro erwartet, von denen niemand wirklich erwartet, einen möglichen Einbrecher damit vor eine ernsthafte Hürde zu stellen. Eine kurze Google-Suche zeigt, aber, dass sich die Schlösser von Dog&Bone in der Preisklasse ab 50 Euro bewegen – da sollte man doch erwarten können, dass ein Einbrecher ein bisschen mehr mitbringen muss, als ein dünnes Blech. Ein Schloss von Master Lock liess sich noch einfacher öffnen: Einfach einen Magneten dran halten und ein bisschen drehen, bis es sich dann öffnet.

Das Schloss von Noke wies zumindest keine offensichtlichen mechanischen Schwächen auf, dafür war aber die Kommunikation zum Öffnen des Schloss leicht abzuhören und auf der Basis liess sich auch dieses Schloss schnellend einfach öffnen. Übrigens wäre es hier auch einem temporären Nutzer möglich, den entsprechenden Key auszulesen und über die vorgesehene Zeit hinaus zu nutzen, bis der Eigentümer wieder vor Ort ist und die Keys komplett neu setzt.

Die Hersteller haben hier noch einiges zu tun, die Aufforderung, nicht nur smart zu tun, sondern es zu sein, ist gerechtfertigt. Ansonsten gilt auch für solche Schlösser, was für Verschlüsselung schon lange gesagt wird:

Eine nicht offengelegte Verschlüsselungssequenz sei keine Methode, ein Schloss zu sichern – wer seine Algorithmen nicht offenlegen wolle, sei im Gegenteil wohl nicht davon überzeugt, dass seine Lösung tauge.

Konten

Von der reinen Online-Bank N26 dürften fast alle schon mal gehört haben. Dort schickt man sich an, die Branche durcheinander zu würfeln, durchaus mit Erfolg. Rund 200.000 Kunden in rund einem Jahr konnte man gewinnen, was sicher auch damit zusammen hängt, dass das Onlinebanking hier natürlich sehr komfortabel ist. Dies ging zumindest eine gewisse Zeit lang auf Kosten der Sicherheit. Es lohnt sich auf jeden Fall, den Vortrag anzuschauen, aber Vorsicht, möglicherweise habt ihr danach eine Delle in eurem Schreibtisch, weil euch die Kinnlade runterklappt.

Zwar sind die hier angesprochenen Lücken inzwischen geschlossen, aber diese Lücken waren so schwer und so grundlegend, dass wir hier noch einen genaueren Blick darauf werfen werden. Nur so als Stichworte: Man-In-The-Middle-Attacke, geschwätzige API, Lücken bei der Nutzung von Siri – es war möglich 200 Überweisungen von Kleinstbeträgen durchzuführen und 33.000 Kunden zu identifizieren und das alles, ohne dass eine der Attacken erkannt oder abgewehrt wurde.

 

Wir sind gespannt, was für Lücken der 33c3 noch so ans  Licht (zurück) bringt. Spannend, wie jedes Jahr.

Trending Cars
  • Tesla Model 3
  • Opel Ampera-e
  • Tesla Model X
  • Porsche Mission E
Automarken
  • Mercedes-Benz
  • Tesla
  • Audi
  • Volkswagen – VW
  • BMW
  • Ford
  • Porsche
  • Opel
Related Video
video
Microsoft Family Safety – Kindersicherung jetzt auch von Microsoft
Die IT-Sicherheitsprognosen für 2017
Security
Ähnliche Artikel
Online-Transkriptionen von Gesprächen können in falsche Hände gelangen
18. Februar 2022
Online-Transkriptionen von Gesprächen können in falsche Hände gelangen
Farbige Menschen werden durch Überwachungsmaßnahmen öfter benachteiligt
16. Februar 2022
Farbige Menschen werden durch Überwachungsmaßnahmen öfter benachteiligt
Eure Grafikkarte könnte in Zukunft über angezeigte Werbung entscheiden
3. Februar 2022
Eure Grafikkarte könnte in Zukunft über angezeigte Werbung entscheiden
Olympische Spiele: Chinesische Begleitapp versendet ungesichert Daten
21. Januar 2022
Olympische Spiele: Chinesische Begleitapp versendet ungesichert Daten
Neueste Tests
8.7
Insgesamt bekommt man für den Preis wirklich gut funktionierendes und zuverlässiges Sicherheitssyste ...
Smartes Sicherheits-Set – Egardia und Philips Hue im Test
2. Juli 2018
Smartes Sicherheits-Set – Egardia und Philips Hue im Test
9.1
Für den persönlichen Gebrauch ist Lima Ultra eine hervorragende Lösung, um jederzeit Zugriff auf die ...
Lima Ultra – persönlicher Cloud-Speicher im Test
6. März 2017
Lima Ultra – persönlicher Cloud-Speicher im Test

Fernweh

Wir beschäftigen uns mit den Themen und der Technik von Morgen und Übermorgen - Von Smartcities über Sharing-Economy bishin zur Mobilität der Zukunft

Hubs
  • Laptops
  • Magazin
  • Smart Cars
  • Smartphone
  • Tablets
  • Wearables
Weitere Themen
  • OnePlus 5
  • Samsung Galaxy S8
  • LG G6
  • Microsoft Surface Laptop
  • Amazon Blitzangebote
  • Adblock Plus
  • Testberichte (Archiv)
  • ASUS
  • Microsoft
  • Apple
  • Sitemap
Intern
  • Sponsoring und Werbung
  • Über uns
  • Sponsorenübersicht
  • Impressum
  • Datenschutzerklärung
FOLGE UNS
Copyright © 2022 Mobilegeeks.de, Alle Rechte vorbehalten
 Tweet
 Teilen
 Tweet
 Teilen
 Tweet
 Teilen
 Xing