Sicherheitskonferenz Black Hat Hacker verleihen Sony Negativ-Preis

"Most Epic Fail" - der Preis für Versagen auf ganzer Linie bei der IT-Sicherheit geht an Sony. Auf einer Hacker-Konferenz bekam der Konzern einen Negativ-Preis für das Playstation-Debakel. Für die kommenden Monate erwarten Hacker Sicherheitsprobleme bei Smartphones und Industrieanlagen.

aus Las Vegas berichtet Uli Ries

Uli Ries

Bei der Black-Hat-Konferenz im Casinohotel Caesars Palace in Las Vegas treffen sich einige tausend Menschen, die viel Zeit mit IT-Sicherheit verbringen. Deshalb ist das Publikum gemischt: steife Regierungsbeamte, alerte Manager und Rastazopf-bewehrte Netzaktivisten - alle sind vertreten. Entsprechend bunt ist auch die Themenmischung.

Es gab in diesem Jahr Vorträge über selbstgebastelte Drohnen, Sicherheitslücken in SAP-Systemen, De-Anonymisierung per Gesichtserkennung und Facebooks Datenbank, mögliche Bugs in Adobes "Reader X", die Standhaftigkeit von Mac OS X bei professionellen Cyber-Attacken, aus der Ferne manipulierbare Insulinpumpen oder Experimente mit den Sicherheitschips, die auf Kreditkarten, Sim-Karten sowie dem neuen Personalausweis untergebracht sind.

Auch wenn einige Vortragsthemen vielleicht etwas abgehoben erscheinen - sie dürften in kurzer Zeit relevant werden. Davon ist der Konferenzgründer Jeff Moss überzeugt: "Die Sprecher bei Black Hat und Defcon sind wie eine Kristallkugel. Sie sagen durch ihre Arbeit die Dinge voraus, die in sechs oder zwölf Monaten die ganze Industrie oder alle Internetnutzer betreffen werden. Dass dem so ist, dafür gab es in den vergangenen 15 Jahren reichlich Belege."

Hacker fürchten um die Smartphone-Sicherheit

Zwei Themenkreise stachen auf der Black Hat in Las Vegas hervor: Die Sicherheit von Smartphones und die von kritischer Infrastruktur. Letzteres ist seit dem Super-Wurm Stuxnet ein Dauerbrennerthema und die präsentierten Entdeckungen entsprechend besorgniserregend. Ersteres betrifft angesichts des Verkaufserfolgs von Apples iPhone oder der auf Googles Android-System basierenden Modellen ebenfalls viele Millionen Menschen weltweit - wenngleich Bugs in Smartphones sicherlich weniger fatale Folgen haben als Ausfälle in Kraftwerken oder Pipelines.

Dennoch müssen die multifunktionalen Mobiltelefone ordentlich abgesichert werden. Schließlich dienen sie schon heute als Werkzeug zum Online-Shopping und -Banking sowie in nicht allzu ferner Zukunft als Zahlungsmittel. Schadsoftware hätte ohne Schutzmaßnahmen leichtes Spiel, in Transaktionen einzugreifen. Für wie relevant der digitale Untergrund die schlauen Telefone hält, untermauert die Aussage des Sicherheitsexperten Kyle Osborn. Er berichtete, dass Informationen über Smartphone-Schwachstellen auf dem Online-Schwarzmarkt bis zu 30 Prozent mehr einbringen als Bugs in PC-Anwendungen.

Googles Web Store als mögliches Einfallstor für Schadcode

Osborne hat gemeinsam mit seinem Kollegen Matt Johansen Googles Chrome OS im Auftrag des Internetkonzerns unter die Lupe genommen. Das für ultramobile Notebooks wie das Chromebook konzipierte Betriebssystem kommt ohne lokal installierte Anwendungen aus. Fehlt eine Funktion, wird diese per Browser-Erweiterung hinzugefügt. Und genau da sehen die Experten ein riesiges Sicherheitsloch: Google prüft keine der Extensions, bevor diese in den Chrome Web Store aufgenommen werden.

So ist es für Kriminelle ein Leichtes, eine bösartig modifizierte und nur auf den ersten Blick harmlose Anwendung oder ein Spiel über den Web Store zu verteilen. Die Anwender installieren die Extension im guten Glauben. De facto infizieren sie aber ihr System. Vom gleichen Problem ist auch Googles Android-App-Market geplagt. Zahlreiche Untersuchungen, darunter eine aktuelle von Lookout Software, belegen, dass sich Schadsoftware beinahe ausschließlich über die App-Sammlungen verbreitet.

Infizierte Websites knacken unsichere Browser-Erweiterungen

Johansen und Osborne demonstrierten auch, welche Gefahr von legitimen, aber schludrig programmierten Extensions ausgeht. Eine bösartige Website kann die fehlerhafte Erweiterung - die Rede war beispielsweise von einem weitverbreiteten RSS-Reader - zum Steigbügelhalter machen und mit deren Hilfe beispielsweise das Adressbuch des Nutzers auslesen oder sogar dessen Sitzung bei Facebook oder dem Webmail-Konto übernehmen.

Diese Art von Angriffen, Cross Site Scripting (XSS) genannt, war bislang nur auf einzelnen, fehlerhaften Web-Seiten möglich. Der Aufbau von Chrome hingegen erlaubt Datenklau im größeren Ausmaß. Wobei Google hier die Hände gebunden sind. Die Verantwortung liegt einzig beim Entwickler der Chrome-Erweiterung.

Apples iPhone wurde hingegen ein gutes Zeugnis ausgestellt. Der Mac-Experte Dino Dai Zovi beschrieb die vorhandenen Sicherheitsmechanismen ausführlich und kam zu dem Fazit, dass Malware-Attacken auf Apples Smartphone nur mit immensem Aufwand zu stemmen sind. Das iPhone sei im - die Freiheit der Nutzer sehr einschränkenden - Originalzustand vergleichsweise sicher. Wenn Besitzer das Smartphone aber per Jailbreak von Apples Restriktionen befreien, sieht die Sache anders aus: "Nach dem Jailbreak ist das iPhone nur noch so sicher wie Google Android. Wer den Jailbreak in Betracht zieht, sollte sich besser gleich ein Android-Gerät kaufen", sagte Dai Zovi in seinem Vortrag.

Absolut ist diese Sicherheit aber nicht: Im Juli warnte zum Beispiel das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) vor kritischen Lücken im PDF-Modul des Apple-Betriebssystems iOS 4. Bereits das Anklicken eines manipulierten PDF-Dokuments oder der Aufruf einer Website mit eingebundenen, präparierten PDF-Dokumenten reiche aus, um iOS-Geräte wie das iPhone 4 oder das iPad 2 mit Schadsoftware zu infizieren, hieß es damals. Mögliche Angriffsszenarien für Cyber-Kriminelle laut BSI: Zugriff auf eingebaute Kameras, Abhören von Telefongesprächen, Ortung des Geräts, Auslesen vertraulicher Informationen (Passworte, Online-Banking-Daten, Terminkalender, E-Mails). Mittlerweile hat Apple diese Lücke mit einem Update geschlossen.

Negativ-Preis für Sony

Eine Institution während der Black Hat sind die Pwnie-Awards, eine Hacker-Preisverleihung. Das Wort "Pwnie" klingt ausgesprochen wie "Pony" und ist an das im Hacker-Slang verbreitete "pwn" angelegt, also "übernehmen", "unter Kontrolle bringen". Prämiert und mit kitschigen Ponys als Preis belohnt wurden die kompliziertesten Hacks des Jahres in verschiedenen Kategorien.

Aber es gab auch Pwnies für Unternehmen, die entweder im Problemfall grottenschlecht kommuniziert haben (Preisträger: RSA Security) oder einfach auf ganzer Linie versagten. Für diese Auszeichnung wurde der von zahlreichen Hacks überrannte Elektronikkonzern Sony gleich fünfmal nominiert und blieb damit einziger Kandidat - und somit Preisträger - in der Kategorie "Most Epic Fail".

Forum - Diskutieren Sie über diesen Artikel
insgesamt 4 Beiträge
Alle Kommentare öffnen
Seite 1
opar 06.08.2011
1. Ist doch toll, es gibt immer mehr selbsternannte und niemandem
verantworliche Gruppierungen, die immer mehr unser aller Leben sabotieren. Zuerst der Bankensektor, macht was er will und wenn es schiefgeht müssen die Bürger das Desaster bezahlen. Dann die Ratingagenturen, Privatfirmen, die mittlerweile mehr Macht zu haben scheinen als große Staaten. Jetzt kommen irgendwelche Hackerboys an und zeigen, dass auch unsere Computer nicht perfekt sind. Leute, das wissen wir. Ihr erinnert mich an Thaddäus aus der Sponge-Bob Serie. Immer mies drauf, immer genervt, hat nur Spaß, wenn es anderen richtig mies geht. Ihr seid nicht besser als die Islamisten: derentwegen wird das Fliegen mittlerweile zu einem Alptraum, euretwegen wird das Leben im internet immer nerviger: Immer gigantischere Passwörter werden zwingend verlangt, ständig soll man die wechseln, und meine Bank zwingt mich, ein Elektronikkästchen mitzuschleppen, um eine Online Überweisung zu machen. Das macht meine Kreditkartenfirma auch, und paypal, und mein Chef hat für mich auch so ein teil. Ich habe jetzt einen kleine Koffer voller Zahlengeneratoren und ähnlichen Elektronikschrotts. Danke liebe Hacker. Wenn ich könnte würde ich euch zusammen mit Bankern und Politikern auf den Mond schießen. Aber ohne internet Anschluss.
dongerdo 07.08.2011
2. -
Zitat von oparverantworliche Gruppierungen, die immer mehr unser aller Leben sabotieren. Zuerst der Bankensektor, macht was er will und wenn es schiefgeht müssen die Bürger das Desaster bezahlen. Dann die Ratingagenturen, Privatfirmen, die mittlerweile mehr Macht zu haben scheinen als große Staaten. Jetzt kommen irgendwelche Hackerboys an und zeigen, dass auch unsere Computer nicht perfekt sind. Leute, das wissen wir. Ihr erinnert mich an Thaddäus aus der Sponge-Bob Serie. Immer mies drauf, immer genervt, hat nur Spaß, wenn es anderen richtig mies geht. Ihr seid nicht besser als die Islamisten: derentwegen wird das Fliegen mittlerweile zu einem Alptraum, euretwegen wird das Leben im internet immer nerviger: Immer gigantischere Passwörter werden zwingend verlangt, ständig soll man die wechseln, und meine Bank zwingt mich, ein Elektronikkästchen mitzuschleppen, um eine Online Überweisung zu machen. Das macht meine Kreditkartenfirma auch, und paypal, und mein Chef hat für mich auch so ein teil. Ich habe jetzt einen kleine Koffer voller Zahlengeneratoren und ähnlichen Elektronikschrotts. Danke liebe Hacker. Wenn ich könnte würde ich euch zusammen mit Bankern und Politikern auf den Mond schießen. Aber ohne internet Anschluss.
Was ein Blödsinn! Der einzige Grund warum Sie einigermaßen sicher im Netz surfen können und Dinge wie Online Banking und Co überhaupt noch zugelassen sind ist einzig und alleine wegen solcher Hacker! Das aufdecken von Sicherheitslücken durch Konferenzen wie diese hat über die Jahre erschreckend viel Inkompentenz in den IT-Bereichen zahlreicher großer Firmen zu Tage gefördert. Die daraus resultierenden Anpassungen dienen unser aller Sicherheit.
opar 08.08.2011
3. Nein, das ist so ähnlich wie mit Atombomben
Zitat von dongerdoWas ein Blödsinn! Der einzige Grund warum Sie einigermaßen sicher im Netz surfen können und Dinge wie Online Banking und Co überhaupt noch zugelassen sind ist einzig und alleine wegen solcher Hacker! Das aufdecken von Sicherheitslücken durch Konferenzen wie diese hat über die Jahre erschreckend viel Inkompentenz in den IT-Bereichen zahlreicher großer Firmen zu Tage gefördert. Die daraus resultierenden Anpassungen dienen unser aller Sicherheit.
Die Oberschlauen, die alles, was machbar ist, auch unbedingt umsetzen müssen, um der Welt zu beweisen, wie schlau sie doch sind, müssen sich schon gefallen lassen, dass man ihnen genau das vorwirft. Es gibt ja nicht so viele wirklich geniale Hacker, deshalb werfe ich denen, die diese "Genialität" besitzen, vor, diese ganze Sippschaft an Elektronikschädlingen überhaupt erst auf die Menschheit losgelassen zu haben. Der durchschnittliche Betrüger, der sich dieser Mittel jetzt bedient, wäre bei weitem nicht so weit gekommen. Das geht nur, weil bestimmte Leute sich aus "intellektuellem" Interesse diese ganze Brut erst ausgedacht haben. Ist wie mit den Atombomben. Ohne die Physiker der USA und Russlands gäbe es bis heute vermutlich keine Atombomben, weil sich kaum jemand sonst dazu hätte aufraffen wollen, sich so lange und intensive mit diesem Thema zu beschäftigen. Und genau so mit der Nutzung dieser Schädlinge durch Verbrecher. 99% davon würden bis heute ec-Karten stehlen, aber es ist ja so einfach, sich für 2000 USD ein Hacker-Starterkit zu kaufen und los gehts. Dass sich Hacker jetzt hinstellen und sich als die wahren Sicherheitswächter aufspielen halte ich an Chuzpe für kaum noch zu überbieten. Interessant jedoch, wie viele auf diese Argumentation hereinfallen.
dongerdo 08.08.2011
4. -
Zitat von oparDie Oberschlauen, die alles, was machbar ist, auch unbedingt umsetzen müssen, um der Welt zu beweisen, wie schlau sie doch sind, müssen sich schon gefallen lassen, dass man ihnen genau das vorwirft. Es gibt ja nicht so viele wirklich geniale Hacker, deshalb werfe ich denen, die diese "Genialität" besitzen, vor, diese ganze Sippschaft an Elektronikschädlingen überhaupt erst auf die Menschheit losgelassen zu haben. Der durchschnittliche Betrüger, der sich dieser Mittel jetzt bedient, wäre bei weitem nicht so weit gekommen. Das geht nur, weil bestimmte Leute sich aus "intellektuellem" Interesse diese ganze Brut erst ausgedacht haben. Ist wie mit den Atombomben. Ohne die Physiker der USA und Russlands gäbe es bis heute vermutlich keine Atombomben, weil sich kaum jemand sonst dazu hätte aufraffen wollen, sich so lange und intensive mit diesem Thema zu beschäftigen. Und genau so mit der Nutzung dieser Schädlinge durch Verbrecher. 99% davon würden bis heute ec-Karten stehlen, aber es ist ja so einfach, sich für 2000 USD ein Hacker-Starterkit zu kaufen und los gehts. Dass sich Hacker jetzt hinstellen und sich als die wahren Sicherheitswächter aufspielen halte ich an Chuzpe für kaum noch zu überbieten. Interessant jedoch, wie viele auf diese Argumentation hereinfallen.
Bla - der Atombomben Vergleich ist vollkommen daneben. Was in irgenwelchen irc-Gruppen passiert, in den dunkelsten Ecken des Usenet existiert und ähnliches lässt sich wegen der Verschwiegenheit und dem Vorgang im Geheimen vielleicht noch in diese Richtung interpretieren. Aber wenn Sie die Black Hat Konferenz und ähnliche Veranstaltungen für Horte des Bösen halten die zukünftigen Hackern das nötige Werkzeug geben haben Sie diese Treffen nicht im geringsten verstanden. Alle Exploits und Sicherheitslöcher werden _veröffentlicht_. Das heisst die betroffenen Firmen erhalten die Chance ihr Versagen auszubügeln um eben jene "bösen" Hacker abzuwehren. Natürlich hacken diese Leute nicht nur aus Altruismus - da geht es vor allem um den Kick alle möglichen Sicherheitsvorrichtungen umgangen zu haben. Aber die Motive sind auch irrelevant: So lange die Exploits eben veröffentlicht werden nutzt es uns allen da die gepatchten Systeme somit sicherer sind als zuvor.... Das wäre wie wenn diese Leute z.B. Fahrräder verschiedener Marken einfach mal aus Spaß an die nächste Wand fahren und die Ergebnisse dieser "Crashtests" veröffentlichen. Sie würden das vielleicht für gestört und unnütz halten, jedoch würden diese Fahrräder, falls die Hersteller diese Ergebnisse zur Optimierung nutzen, vielleicht sicherer werden was uns allen wiederrum nutzt. Genau letzteres passiert auf diesen Konferenzen bez. Software. Aber wie schön dass Sie ohne jede Ahnung von der Materie nicht auf diese Argumentation "hereinfallen"... *sigh*
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2011
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.