Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

August 14 2013

“Internet der Dinge”: Hacker verschafft sich Zugriff auf Babykamera und beobachtet schlafendes Kleinkind

In Houston, im Bundesstaat Texas in den USA, wurden die Eltern einer zweijährigen Tochter aus dem Schlaf gerissen, als sie hörten wie jemand über die im Zimmer der Tochter installierten Babykamera mit ihre sprach. Ein Hacker hatte sich nach einem Bericht des regionalen Fernsehsenders WBTV Zugriff zu der am Internet angeschlossenen Babykamera verschafft, sodass er sie steuern konnte und über den eingebauten Lautsprecher kommunizieren konnte. So dramatisch dieses Erlebnis für die Eltern auch gewesen war (die Tochter schlief und bekam von der Aktion nichts mit), zeigt es doch ein Problem auf: Es werden immer mehr technische Geräte ans Internet angeschlossen, welche diesen Zugang gar nicht zwangsläufig benötigen und setzen sich damit selbst dem Risiko aus, Ziel eines Angriffs zu werden.

Ein weiteres Beispiel hierfür lieferte der Wissenschaftler Nitesh Dhanjani auf seinem Blog. Er beschreibt wie mit Hilfe von Malware das Lichtsystem Philips Hue gehackt werden kann. Philips Hue ist ein Lichtsystem welcher per App gesteuert werden kann, wozu die LED-Lampen mit einer „Bridge“ verbunden werden muss, welche ihrerseits ans Internet angeschlossen werden muss. Sicherlich ist Philips Hue zweifellos ein innovatives Produkt. Doch muss sich der Nutzer bewusst sein, welchen Preis er, abgesehen vom Kaufpreis, hierfür zahlt. Und das “Internet der Dinge” wächst stetig, auch mit Gegenständen wie Türschlössern, welche bei einem möglichen Missbrauch größeren Schaden anrichten können als Lampen.

Das Angriffe auf verwundbare Systeme zunehmen werden, je mehr dieser Systeme es gibt, liegt auf der Hand. Im März dieses Jahres berichtete arstechnica ausführlich über junge Hacker, welche sich mit Hilfe von Fernwartungssoftware Zugang zu Webcams verschafften und die Nutzer dieser Webcams als “Sklaven” hielten. Arstechnica berichtete damals von einem über 134 Seiten langen Thread im Hack Forums, indem die Hacker mit ihren “Ergebnissen” prahlten. Wie auch bei der gehackten Babykamera geht es den Eindringlingen nicht darum materiellen Schaden anzurichten oder sich selbst zu bereichern. Es geht ihnen einzig um den Spaß den sie dabei anscheinend empfinden. Doch macht das die Situation nicht unkomplizierter.

Spätestens dieses Beispiel zeigt auf, dass es eben nicht immer die Nutzer sind, welche die Verantwortung für solche Angriffe tragen. Der Nutzer einer Webcam kann diese, außer durch zukleben der Linse, nur schwer schützen. Vielmehr scheint man bei der Suche nach Verantwortung auf ein Henne-Ei-Problem zu stoßen. Einerseits bieten die Hersteller technische Geräte an, welche Funktionen zum Anschluss an das Internet bereitstellen. Als Nutzer geht man also davon aus, dass diese auch sicher sind. Andererseits wird niemand gezwungen diese Funktionen zu nutzen. Die Entscheidung liegt beim Nutzer. Ob das Anschließen einer Babykamera oder einer LED-Lampe ans Internet sinnvoll ist, ist dabei noch eine ganz andere Frage und wird vermutlich sehr unterschiedliche Antworten zu Tage fördern.

Dazu kommt in Zeiten von PRISM, Tempora, XKeyscore und Co. noch eine ganz andere Sorge: Was Hobbyhacker von zu Hause können, dass können die Geheimdienste schon lange. Je mehr technische Geräte ans Internet angeschlossen werden, seien es Kameras, Lampen oder Waschmaschinen, umso mehr Informationen sind potentiell abzugreifen. Hierbei geht es dann nicht um die spätere Analyse von Metadaten, sondern um die Informationsgewinn in Echtzeit. Ein Blick durch die Webcam verrät ob eine Person zu Hause. Ist sie nicht im Zimmer und die Waschmaschine läuft dennoch, ist die Wahrscheinlichkeit groß, dass sich die Person dennoch in der Wohnung aufhält. Und so weiter.

Es sei noch einmal deutlich gesagt. Für diese Entwicklung ist nicht der Nutzer alleine verantwortlich, sondern ebenso die Hersteller, welche ihre Geräte teilweise nicht genug gegen Hackerangriffe absichern. Mehrere Berichte aus diesem Jahr zeigen allerdings auf, wie angreifbar teilweise sogar kritische Infrastrukturen im Internet sind, indem sie nicht sorgfältig installiert werden. In 9 Monaten haben zwei Forscher alleine in den USA eine Liste mit 7200 Geräten und Servern erstellt, von denen die meisten einen Login mit Standardpasswort über ein Webinterface erlaubten. Im April diesen Jahres veröffentlichte Technology Revieweinen Bericht, wonach HD Moore, Forschungsleiter bei Rapid7, in einem Experiment in seinem eigenen Keller über 114.000 unsichere Geräte im Internet fand, welche ebenfalls durch Standardpasswörter gesichert waren (13.000 erlaubten den Login ganz ohne Passwort). Und auf der diesjährigen OHM wurde eine Druckauftrag gestartet, welcher von rund 100.000 Druckern rund um die Welt verarbeitet wurde. Die Drucker waren in der Regeln nicht über einen Router, sondern direkt mit dem Internet verbunden.

Was muss hieraus folgen? Einerseits müssen die Nutzer sensibilisiert werden. Ihnen müssen die Konsequenzen ihres Handelns, also des Anschlusses ihrer Geräte ans Internet, aufgezeigt werden. Wie bereits gesagt sind die Entwicklungen an sich nichts Negatives. Sie sind innovativ und können das Leben in einigen Bereichen sicherlich bereichern. Die Nutzern muss aber bewusst sein, worauf sie sich einlassen. Gleichzeitig müssen aber auch die Unternehmen die Verantwortung anerkennen, welche sie mit der Produktion solcher Geräte tragen. Sie müssen dafür Sorge tragen, dass sie ausreichend gegen Angriffe gesichert sind und somit nicht die Privatsphäre der Nutzer gefährden. Die Entscheidung zur Nutzung solcher technische Geräte bleibt letztlich jedem selbst überlassen. Einige freuen sich ihr Arsenal an technischen Spielzeugen weiter ausbauen zu können, während andere so langsam anfangen sich vor lauter Überwachungspotential zu gruseln.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 08 2013

Amazon: Nachlässigkeiten bei der Kennwortabfrage

amazon_gains_cloud_security

Quelle: SecurityProNews

Wie heise online heute berichtet gibt es wohl einige Unstimmigkeiten bei Amazons Kennwortabfrage. So können sich manche Benutzer erfolgreich einloggen, indem sie ihr Passwort zweimal zusammenhängend eintippen. Das Phänomen tritt wohl vor allem bei älteren Passwörtern oder Passwörtern auf, die exakt 8 Zeichen lang sind. So konnten sich manche heise online Redakteure auch einloggen, obwohl sie an ihr Passwort zusätzlich “123″ angehängt hatten. Bisher wurden folgende Szenarien identifiziert:

  • Kennwort mit 8 Zeichen: Testen, ob man sich auch durch anhängen beliebiger zusätzlicher Zeichen (z.B. “123″) einloggen kann.
  • Älteres Passwort mit mehr als 8 Zeichen: Evtl. kann man sich auch durch die Eingabe der ersten 8 Zeichen einloggen.

Betroffene Benutzer sollten umgehend ihr Kennwort ändern. Von Amazon gibt es diesbezüglich bisher noch keine Stellungnahme. Schon in der Vergangenheit gab es Unregelmäßigkeiten bei der Authentifizierung. So hatte heise online schon 2011 aufgedeckt, dass die Kennwortabfrage nicht zwischen Groß- und Kleinschreibung unterschied.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 05 2013

Tor Browser Bundle: Sicherheitslücke in Firefox 17 gefährdet Anonymität im Tor-Netzwerk

Tor-logo-2011-flatAm Wochenende machte die Nachricht die Runde, dass Eric Eoin Marques, einer “der größten Vermittler von Kinderpornografie auf dem Planeten” vom FBI verhaftet wurde. Marques ist Gründungsmitglied des Internet-Hosters Tor Freedom Hosting, der Webspace anbietet, welcher sich für “Hidden Services” im Tor-Netzwerk nutzen lässt. Marques wird nun vorgeworfen, die Verbreitung von Kinderpornographie über diese “Hidden Services” wissentlich begünstigt zu haben, da er sie verschlüssele und verschleiere. Seit Sonntag mehren sich nun die Indizien, dass das FBI nach der Verhaftung von Marques die Server von Freedom Hosting kompromittierte um eine aktive Sicherheitslücke im Tor Browser Bundle aus zu nutzten. Durch das Ausnutzen dieser Sicherheitslücke in Firefox 17, welches im aktuellen Tor Browser Bundle eingesetzte wird, ist es scheinbar möglich, die echte Internetverbindung eines Nutzers und somit auch den Nutzer an sich zu identifizieren.

“phobos” vom Tor Project schreibt dazu im Tor Blog:

The current news indicates that someone has exploited the software behind Freedom Hosting. From what is known so far, the breach was used to configure the server in a way that it injects some sort of javascript exploit in the web pages delivered to users. This exploit is used to load a malware payload to infect user’s computers. The malware payload could be trying to exploit potential bugs in Firefox 17 ESR, on which our Tor Browser is based.


Nach ersten Erkenntnissen wurde Schadcode auf die Server von Freedom Hosting eingeschleust, welcher beim Aufruf der Server im Browser ausgeführt wurde. Ofir David, Nachrichtenchef der israelischen Internetsicherheitsfirma Cyberhat, sagte gegenüber Brian Krebs, dass die Schadsoftware überprüfe welchen Browser ein Nutzer einsetze. Sollte es sich im Firefox 17 handeln, würde der Nutzer heimlich weitergeleitet und eine sogenannte UUID würde erzeugt.

Ironically, all [the malicious code] does is perform a GET request to a new domain, which is hosted outside of the Tor network, while transferring the same UUID,” David said. “That way, whoever is running this exploit can match any Tor user to his true Internet address, and therefore track down the Tor user.

Der Sicherheitsforscher Vlad Tsrklevich hat mittlerweile mit Hilfe von Reverse-Engeneering Teile des Schadcodes konstruiert.

Er kommt zu den gleichen Ergebnissen wie Ofir David und schlussfolgert:

Because this payload does not download or execute any secondary backdoor or commands it’s very likely that this is being operated by an LEA [law enforcement agency] and not by blackhats.

Wie Dan Veditz gegenüber Brian Krebs angab, sind zur Zeit zwar alle Firefox Versionen unterhalb der Version 21 von der Sicherheitslücke betroffen. Der Schadcode auf den Servern von Freedom Hosting ziele jedoch explizit auf Version 17, wie sie im Tor Browser Bundle verwendet wird, ab:

“The vulnerability being exploited by this attack was fixed in Firefox 22 and Firefox ESR 17.0.7. The vulnerability used is MFSA 2013-53

People who are on the latest supported versions of Firefox are not at risk.

Although the vulnerability affects users of Firefox 21 and below the exploit targets only ESR-17 users. Since this attack was found on Tor hidden services presumably that is because the Tor Browser Bundle (TBB) is based on Firefox ESR-17. Users running the most recent TBB have all the fixes that were applied to Firefox ESR 17.0.7 and were also not at risk from this attack.”

Mittlerweile hat Mozilla einen Bugreport geöffnet um den Schadcode zu analysieren und die Sicherheitslücke in Firefox 17 zu schließen.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl