Black Hat und Defcon, Las Vegas

Das Hacken der Dinge

14. August 2014, 5:28 Uhr | Uli Ries/wg

Die Zeiten, in denen sich Hacker ausschließlich auf Betriebssysteme und (Web-) Anwendungen stürzten, sind endgültig vorbei: Während der Sicherheitskonferenzen Black Hat und Defcon präsentierten die Experten Angriffe auf vernetzte Systeme jeglicher Art - vom Auto über den Kühlschrank bis hin zum Raumthermostat.

Die Konferenzen Black Hat und Defcon in Las Vegas sind das jährliche Stelldichein der internationalen Hacker- und IT-Sicherheitsgemeinde. Über 10.000 Teilnehmer besuchten Anfang August allein die etwas anarchischere Defcon. Wie viele es genau waren, weiß keiner: Das Konferenz-Badge – eine batteriebetriebene Platine, die zum Hacken und Rätsellösen einlädt – bekommt man nur gegen Bargeld an der Registrierung. Daten wie Namen oder E-Mail-Adressen werden aus Prinzip nicht abgefragt.

Eines hatten die weit über hundert Präsentationen gemeinsam, die im Rahmen der Konferenzen gehalten wurden: dass sie wenig gemeinsam hatten. Denn das Themenspektrum, mit dem sich die internationale Hackerszene beschäftigt, ist immens breit geworden: angefangen bei öffentlichkeitswirksamen Themen wie dem Hacking von Fahrzeugnetzwerken in Autos über spannende Angriffe auf Bezahlsysteme bis hin zu weniger weltläufigen – aber für die Betroffenen natürlich dennoch relevanten – Aspekten wie Sicherheitslücken in SAP-Systemen oder Industriesteuerungsanlagen.

Insbesondere die diversen Vorträge zum Themenfeld „Internet der Dinge“ machten eines deutlich: Die massenhaft auf den Markt geworfenen vernetzten Produkte wie Raumthermostate – Googles Nest wurde ebenso gehackt wie weniger bekannte Produkte ähnlicher Bauart –, Smart-TVs, Baby-Überwachungskameras, Unterhaltungselektronikgeräte oder Kühlschränke sind durch die Bank angreifbar.

Experten wie Jeff Moss, Gründer der beiden Konferenzen und ehemaliger Berater des amerikanischen Department of Homeland Security (DHS), sehen mangelndes Wissen rund um das Schreiben sicherer Software als Grund für die desolate Lage: Hersteller, die bislang nichts mit vernetzten Produkten oder gar Softwareentwicklung zu tun hatten, tummelten sich plötzlich in diesem Umfeld.

Die Lage dürfte sich in den kommenden Jahren auch eher verschlechtern als verbessern: Die Hacker werden weiterhin mit Wucht daran arbeiten, all die neuen, netzwerkfähigen Gerätschaften unter die Lupe zu nehmen. Beinahe jede Präsentation zum Thema Internet der Dinge endete mit dem Hinweis, dass man weiter forschen und hacken wolle.

Dazu kommt, dass die Hersteller oftmals keinen nutzerfreundlichen Update-Mechanismus anbieten können und Kunden somit umständlich per USB-Stick – wie im Fall eines Jeep-Modells – oder per SD-Karte Firmware-Updates auf die eigentlich mit dem Internet verbundenen Geräte schicken müssen. Selbst wenn die Lücken also bekannt und durch Updates behoben werden: Die Produkte bleiben mangels Installation des Updates verwundbar.

Weniger dramatisch sieht die Situation den Hackern zufolge glücklicherweise bei Autos und Flugzeugen aus: Charlie Miller und Chris Valasek nahmen die Netzwerkarchitekturen moderner Fahrzeuge unter die Lupe und bescheinigten den meisten Herstellern im Rahmen ihrer Präsentation eine halbwegs sichere Konzeption.

Wichtig sei, dass von angreifbaren Komponenten wie Radios und Navigationssystemen aus kein Zugriff auf kritische Systeme wie Lenkung und Bremsen möglich ist. Dies sei bei vielen Fahrzeugen, darunter auch Modelle von Audi und BMW, durchaus gegeben. Außerdem seien Angriffe auf die Fahrzeuge bislang nur mit physischem Zugriff möglich, also durch das Aufspielen einer bösartig modifizierten Firmware per USB-Stick. Trotz reichlich Netzwerkverbindungen – moderne Autos kommunizieren per Bluetooth, WLAN und Mobilfunk – sei den Experten keine Angriffsweg bekannt, bei dem der Hacker aus der Ferne agieren kann.

Auch der Sicherheit im Flugverkehr nahmen sich die Sicherheitsexperten an. Nachdem im vergangen Jahr und während der Black Hat 2014 Hacker vermeintliche Lücken in den Kommunikationssystemen der Luftfahrbranche ausmachten, deren Missbrauch die Sicherheit im Flugverkehr gefährden solle, schafften zwei Flugprofis den Großteil dieser Konstruktionen aus der Welt: Dr. Phil Polstra und seine Captain Polly genannte Kollegin, beide erfahrene Piloten und Technikexperten, erläuterten einem mit Zuhörern vollgepackten Defcon-Vortragsraum, warum Kriminelle kaum eine Chance haben, nur mit Laptop und Hacking-Tools bewaffnet ein Flugzeug zu manipulieren.

Einer der Gründe: Die verwendeten Protokolle haben nichts mit TCP/IP und der Verkabelungsstandard kaum etwas mit Ethernet zu tun. Der wohl wichtigste Grund: Kritische Systeme sind immer redundant ausgelegt – mit einer mechanischen Version aller Kabelstränge und Instrumente als letzter Instanz. Und spätestens daran beißen sich die in der digitalen Welt beheimateten Angreifer die Zähne aus.

Mehr zum Thema:

Defcon: Sicherheitslücken im CPE-Management der Netzbetreiber

Fortinet warnt vor Ransomware-Angriffen auf Mobilgeräte

Norman: Verschlüsselungs-Malware auf dem Vormarsch

Proofpoint: Phisher haben Hochsaison

Imperva-Report: Warum Hacker es auf Facebook-Daten abgesehen haben

Angriffe über Web-Anwendungen sind bei Hackern besonders beliebt

Das Konferenz-Badge der Defcon: eine batteriebetriebene Platine, die zum Hacken und Rätsellösen einlädt. Bild: Uli Ries

Bei der Black Hat (Bild) und der etwas anarchischeren Defcon präsentierten Hacker ihre neuesten Erkenntnisse über Angriffsvektoren auf die IT und das "Internet der Dinge". Bild: Uli Ries

Die Konferenz Black Hat lockte auch dieses Jahr wieder zahlreiche Security-Spezialisten nach Las Vegas. Bild: Uli Ries

Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Bloom Energy

Weitere Artikel zu Oblong

Weitere Artikel zu ZEITLAUF GmbH antriebstechnik & Co. KG

Matchmaker+