Sicherheitskonferenz Black Hat Funk-Angriff auf Handys, Kartenspiele für Hacker

Das könnte noch gefährlich werden: Ein US-Computerexperte hat auf der Black Hat gezeigt, wie man die Sicherheitsmechanismen der NFC-Funktechnik aushebeln kann. Außerdem wurden in Las Vegas ein Hacker-Kartenspiel vorgestellt und die übelsten Sicherheitslücken prämiert.

SPIEGEL ONLINE

Aus Las Vegas berichtet


NFC ist das nächste große Ding für Handys. Der Kurzstreckenfunkstandard (Near Field Communication) soll Handys zu digitalen Geldbörsen machen, den Austausch von Fotos, Musik, Filmen oder Visitenkarten erleichtert. Doch auf der Black-Hat-Sicherheitskonferenz in Las Vegas wurde der viel versprechenden Technik jetzt ein dicker Knüppel in den Weg gelegt als der Sicherheitsspezialist Charlie Miller zeigte, wie er die tolle Technik benutzen kann, um unbemerkt Schadcode auf verschiedene Handys zu übertragen.

Miller, der fünf Jahre lang bei der amerikanischen National Security Agency (NSA) Netzwerkeinbrüche analysierte, hat monatelang das Verhalten der NFC-Funktechnik bei unterschiedlichen Anwendungen beobachtet. Das Ergebnis dieser Arbeit ist eine perfide Angriffstechnik, die offenbar alle Sicherheitsmaßnahmen aktueller Handy-Betriebssysteme aushebelt. Ein etwa briefmarkengroßer sogenannter NFC-Tag reicht aus, um Kontakt zu NFC-tauglichen Handys herzustellen und ihnen Malware unterzuschieben. In der Praxis wäre es denkbar, einen solchen Tag etwa unauffällig an einer Ladenkasse anzubringen, so das die Übertragung beginnt, sobald jemand per NFC an eben jener Kasse zu bezahlen versucht.

Im Rahmen seines Vortrags zeigte Miller, dass er mit dem diesem Trick die Kontrolle über Android-Handys übernehmen kann. In einer weitere Vorführung demonstrierte er, dass es mit einer modifizierten Variante seiner Technik auch möglich ist, ein Nokia-Smartphone zu infizieren. Allerdings gelang ihm der Trick nur mit einem Nokia N9, auf dem das Linux-Betriebssystem MeeGo installiert war. Dieses Modell ist nicht sehr weit verbreitet.

Control-Alt-Hack

Einen spielerischen Zugang zum komplexen Thema Computersicherheit stellten zwei Wissenschaftler der University of Washington vor. Tadayoshi Konno und Tamara Denning haben mit Hilfe des Sicherheitsexperten Adam Shostack, der bereits vor zwei Jahren an der Entwicklung eines Kartenspiels für Microsoft beteiligt war, das Kartenspiel "Control-Alt-Hack" entwickelt.

Jeder Mitspieler wird dabei zum White Hat Hacker und muss verschiedene Missionen ausführen, für die er jeweils bestimmte Hacker-Fähigkeiten braucht. 20 Jahre nach Erscheinen des Kartenspiels "Hacker" soll das neue Spiel bei Schülern und Studenten das Interesse am Thema wecken. Begriffe und Tricks sollen am Spieltisch statt am Rechner vermittelt werden.

"Die Leute sollen lernen, dass Computersicherheit Spaß machen kann", sagt Tamara Denning. Als Nebeneffekt könne das Spiel das Image der Hacker verbessern, die in der Öffentlichkeit immer noch einen schlechten Ruf hätten. So soll gegen Stereotype angegangen werden: "Wir haben sechs ganz unterschiedliche Charaktere entworfen, drei männliche und drei weibliche". Ein Satz, bei dem so mancher im Publikum grinsen muss, ist doch die überwältigende Mehrheit der Besucher und Vortragenden auf der Konferenz männlich. Erste Exemplare des Spiels wurden vor Ort verteilt, alle anderen Interessierten müssen sich gedulden, das Spiel soll im Herbst erscheinen.

Pwnie Awards

Mit den sogenannten Pwnie Awards werden auf der Black Hat besonders beeindruckende Bugs und peinliches Versagen auf dem Sicherheitssektor prämiert. Der Name stammt vom Jargon-Begriff "to pwn" (eine Abwandlung von to own), was im Hackerjargon so viel heißt wie kontrollieren, übernehmen oder auch gefährden. Die Preisverleihung ist in erster Linie eine Spaßveranstaltung, als Trophäre werden goldene Spielzeugponys verliehen - auch wenn die Veranstalter die meisten wieder mitnehmen konnten, weil sie, wie zu erwarten, von niemandem entgegengenommen wurden.

So gewannen in der Kategorie "Epic 0wnage" in diesem Jahr die Macher des Flame-Virus. "Sind die im Raum?", witzelte der Moderator, und obwohl im amüsierten Publikum gleich mehrere aufeinander zeigten, blieb die Trophäe im Haus. Im vergangenen Jahr hatte in der gleichen Kategorie der Computerwurm Stuxnet gewonnen. Der ungeliebte Negativ-Award in der Kategorie "Most Epic Fail" ging in diesem Jahr für eine große Sicherheitslücke an F5 Networks, im letzte Jahr hatte Sony den Award gewonnen. Die Gewinner des Jahres in allen Kategorien finden sich hier.

Malware und der arabische Frühling

Neben den ausführlichen Vorträgen und Workshops bot die Black Hat auch sogenannte "Turbo Talks", kurzen Präsentation, mit denen Themen angerissen und Denkanstöße in verschiedene Richtungen gegeben wurden. Einen von diesen Quickies hielt Morgan Marquis-Boire über die Problematik von Malware im arabischen Frühling.

Viel sei diskutiert worden über den Einfluss von Internet, sozialen Netzwerken und Smartphones auf die Aufstände im Nahen Osten. Allerdings mache die verbesserte Vernetzung politischer Aktivisten sie auch immer angreifbar - egal in welchem Teil der Welt: "Sobald eine Plattform eine kritische Masse von Aktivisten anzieht, wird sie benutzt, um sie zum Ziel zu machen", so Marquis-Boire.

Er meint Phishing-Attacken, bei denen zum Beispiel die Facebook-Benutzeroberfläche nachgeahmt wird oder den Skype-Nutzern unter den Aktivisten "nützliche Tools" per E- Mail angeboten werden. Gerade scheinbar wichtige oder exklusive Nachrichten verleiten die Nutzer, darauf anzuspringen, so Marquis-Boire. Zum Beispiel als jemand behauptete, das Versteck Gaddafis zu kennen und sein Wissen "teilen" zu wollen. Marquis-Boires Aufruf nach seinem Mini-Vortrag: Es sei wichtig, das Problem möglichst bekannt zu machen und bekannt zu halten, um potenzielle Opfer aufzuklären und zu warnen.

Mitarbeit: Matthias Kremp

Mehr zum Thema


Forum - Diskutieren Sie über diesen Artikel
zum Forum...
Sagen Sie Ihre Meinung!

© SPIEGEL ONLINE 2012
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.