Cyber-News von der dunklen Seite – 26. Juli 2014.

Ein ferngesteuertes Auto – Ihr Auto, während Sie es fahren…

Nachrichten über Hacker-Angriffe, zielgerichtete Attacken und Virenepidemien langweilen die meisten Menschen mittlerweile. Immerhin ist all das nichts Neues mehr und auch nicht mehr außergewöhnlich. Gar nicht langweilig finden die meisten Menschen dagegen ein etwas ungewöhnlicheres Thema: Dinge, von denen man nicht einmal im Traum annehmen würde, dass man sie hacken kann… und die trotzdem gehackt werden.

Ein Bericht aus China zeigt, wie Hacker in das System eines Tesla-Fahrzeugs eindringen konnten – das Ganze war Teil eines Wettbewerbs auf einer Hacker-Konferenz. Aber warum ein Tesla? Was ist so toll am Tesla? Nun, das liegt wohl daran, dass es ein Elektroauto ist und so randvoll mit „smarter“ Elektronik, dass es weniger einem Auto und mehr einem Supercomputer gleicht. Was hat Tesla auch erwartet? Jede neue Funktion – vor allem jene, die ohne Konsultation von Sicherheitsexperten entwickelt wurden – bringt unausweichlich neue Bedrohungen durch Sicherheitslücken. Und genau diese haben die Hacker auf der Konferenz in China gefunden.

1

Der Hack zeigte Folgendes: Ein Hacker kann die Bremsen, die Lichter und noch einiges mehr kontrollieren – während das Auto fährt. Das sind die Watch Dogs im echten Leben! Es wurden keine genauen Angaben dazu gemacht, wie der Hack möglich ist (und das ist auch gut so). Die Details dazu wurden (angeblich) ganz verantwortungsbewusst direkt an Tesla geschickt, so dass die Lücken beseitigt werden können.

Hmmm, warten wir mal ab, ob sich herausstellt, dass das wirklich gemacht wurde… Immerhin gab es so etwas schon oft genug – und dann stellte sich heraus, dass der „Hack“ gar nicht möglich ist, oder nur unter komplett unrealistischen Bedingungen. Aber es würde mich nicht wundern, wenn die Tesla-Sicherheitslücke echt wäre: Wir haben erst kürzlich eine recht interessante Forschung zu den „smarten“ Teilen eines neuen BMW durchgeführt. Kurz, das Potenzial für Hacks ist endlos.

Boomerang

Kommen wir zu den Cyber-News über Passworte.

Ein Journalist des Wall Street Journal hat sich selbst als Versuchskaninchen verwendet, um die Nutzlosigkeit von Passwörtern zu beweisen (wir nutzen höher entwickelten Technologien der Multi-Faktoren-Authentifizierung, inklusive Einmal-Passwörter per SMS!).

Ich habe nichts gegen die Zwei-Faktoren-Authentifizierung: sie ist toll (selbst, wenn Cyberkriminelle mittlerweile wissen, wie man sie umgehen kann)! Allerdings hat das Experiment nicht so ganz funktioniert: Der Journalist veröffentlichte sein Twitter-Passwort, nachdem er die automatische Login-Konfirmationen eingeschaltet hat, so dass diese an sein Handy geschickt werden. Das Twitter-Konto wurde zwar nicht gehackt, allerdings musst er das Experiment recht bald abbrechen – denn die Menschen, die seine Theorie der Nutzlosigkeit von Passwörtern widerlegen wollten, waren so zahlreich und das Handy des Journalisten „explodierte“ mit SMS-Anfragen!

tweet

Gefährlicher Ratschlag.

Passwörter sind ein heißes Thema. Hier ein weiteres Kleinod aus diesem Bereich der Cyber-Landschaft:

Wie viele Internetdienst nutzen Sie? Und wie viele Passwörter verwenden Sie? Die große Mehrheit hat eines der Letztgenannten – ganz egal, wie viele sie vom Erstgenannten haben. Ja, wir nutzen das gleiche Passwort für so ziemlich alles; und noch schlimmer ist, dass das nicht nur für das Internet gilt, sondern auch für den Zugriff auf Firmennetzwerke. Aber das ist ganz natürlich: Sich Dutzende von Passwörtern merken zu müssen ist für die meisten von uns einfach nicht möglich.

Was kann man also tun?

Microsoft hat ein verlässliches mathematisches Modell entworfen, um alle Konten mit nur ein paar Passwörtern verwalten zu können. Dabei teilen Sie alle Web-Services, die Sie nutzen, nach ihrer Wichtigkeit in Gruppen mit ihrem eigenen Passwort auf – je wichtiger die Services, desto stärker das Passwort. Es gibt noch eine wichtige Bedingung: Das Modell wird nicht für Online-Banking oder andere Dienste empfohlen, bei denen es um Zahlungen oder Geldtransfers geht (eine nicht gerade unwichtige Bedingung, aber ich will nicht darauf herumreiten… 🙂 ).

2Wenn Sie von dieser Methode nicht so ganz überzeugt sind („wenn es mein Online-Banking nicht schützen kann, was bringt es dann bei meinen E-Mails??!!“), gbit es eine viel einfachere (und zuverlässigere) Lösung – einen Passwort-Manager.

Ich weiß, was Dein OPC in diesem Sommer macht.

Es geht wieder einmal um die Sicherheit industrieller Kontrollsysteme (Industrial Control Systems – ICS).

Ich mache in diesem Bereich des Cyber-Walds manchmal Vorhersagen und leider werden diese manchmal wahr. Darunter war auch die Vorhersage von Schadprogrammen für ICS, darum sehe ich dieses Kassandratum mit Vorsicht. Allerdings erzeugt jede Nachricht aus dieser Ecke des Cyber-Walds entweder einen riesiegen Facepalm oder Gänsehaut – oder beides.

Schadprogramme kommen ICS gefährlich nahe. Hier noch ein weiterer Beweis: Ein kürzlich entdecktes Modul des Havex-Trojaners scannt OPC-Server (die „Übersetzer“ zwischen speicherprogrammierbaren Steuerungen und dem Kontrollsystem). Das heißt, dass Havex in ein Firmennetzwerk eindringen kann (zum Beispiel über den Computer des Buchhalters), und die Hacker dann alles über die industriellen Prozesse herausfinden können.

3

Die gute Nachricht: es scheint als wäre dieses Modul von Havex nichts anderes als ein Schadprogrammkonzept. Bisher wurde es zumindest nicht im Kampfmodus entdeckt. Allerdings besteht kein Zweifel an der Funktionsfähigkeit des Moduls. Und im Sicherheitsbereich ist es nur ein kleiner Schritt zwischen Theorie und Praxis.

Another One Bites The Dust.

Ein weiteres Botnet: beseitigt. Zusammen mit Europol, dem FBI, GCHQ und anderen haben wir Shylock zerschlagen. Shylock ist nicht mehr. Die komplexe Operation benötigte viel Planung und in ihrem Verlauf wurden Tonnen von Informationen gesammelt und anaylisiert. Sie wurde in vielen Ländern gleichzeitig durchgeführt. Doch das beste daran ist, dass es funktioniert hat – und das bedeutet, dass auch die internationale Kooperation funktioniert, die ich schon seit Jahren predige!

Vor gerade einmal vier Jahren wurden solche gemeinsamen Aktionen kaum durchgeführt und von lauten, bürokratischen Missfallensrufen begleitet. Vor zehn Jahren war das noch komplett unrealistisch, denn damals gab es noch keine Cyber-Polizei und kaum Ressourcen – inklusive Mitarbeiter.

Java – ist es den Ärger wert?

Das gleiche alte Lied, ich weiß. Java ist überall; es ist kaum möglich, ihm zu entkommen; viele Dienste funktionieren ohne Java einfach nicht. Und deshalb machen die Vielzahl der Java-Sicherheitslücken sowie -Fehler und die daraus resultierenden Plattform-spezifischen Schadprogramme und Hacker-Angriffe das Ganze für uns alle noch unangenehmer. Das paradoxe daran: Java wurde als – unglaublich aber wahr – sichereste Plattform der Welt geplant! Heute ist es natürlich vor allem für eines bekannt: dafür, unsicher zu sein! Es scheint, als hätte Oracle das Problem nicht niederringen können. Man bekommt eher den Eindruck, dass die Sicherheit von Java nach dem Kauf von Sun Microsystems auf Eis gelegt wurde.

Ich frage mich, wer von Ihnen Java in seinem Browser ausgeschaltet hat?

Umfrage von @e_kaspersky: Wer hat Java in seinen Browsern ausgeschaltet?Tweet

Allen, die Java nicht ausgeschaltet haben, empfehle ich, es möglichst bald zu aktualisieren!

Kommentare lesen 0
Hinterlassen Sie eine Nachricht.