IT-Sicherheit
Black Hat 2013: PRISM wirft Schatten über Konferenz
Jeden Sommer zieht es ITler mit dem Schwerpunkt Sicherheit in die Wüste nach Las Vegas. Bei über 40 Grad Außentemperatur sitzen sie in den gut gekühlten Konferenzräumen der Black Hat-Konferenz und tauschen sich über die neuesten Erkenntnisse im Bereich der IT-Sicherheit aus. In diesem Jahr war natürlich auch die Datenüberwachung der US-Geheimdienste ein beherrschendes Thema. Das lag mitunter an der heiß erwarteten Eröffnungsansprache, die vom NSA-Leiter General Keith Alexander vorgetragen wurde.
Statt des eigentlich versprochenen Klartextes gab es allerdings Pathos mit einigen wenigen Neuheiten. Trotz Beifalls nach der Rede zeigten sich vor allem ausländische Gäste der Black Hat enttäuscht. Passend fasste es Mikko Hypönnen, der CTO des Anti-Virus-Herstellers F-Secure, in einem Tweet zusammen: "Ich fühlte mich auf der Black Hat immer zu Hause. Als gestern im Vortrag das Publikum den Vortrag des NSA Direktor bejubelte, fühlte ich mich nicht sehr daheim."
Neben Prism lag noch ein weiterer Schatten über der Konferenz: Barnaby Jack, ein bekannter Hacker und regelmäßiger Redner auf der Konferenz, starb eine Woche zuvor überraschend. Barnaby Jack war unter anderem durch seine erfolgreiche Attacke auf Geldautomaten und seine Berichte über die Schwachstellen medizinischer Implantate bekannt geworden. Aus Respekt entschlossen sich die Organisatoren, seinen angesetzten Vortrag nicht zu ersetzen, sondern als einen Gedächtnistermin für Freunde und Familie zu verwandeln. Barnaby Jack war nicht nur eine Hacker, sondern auch ein ausgezeichneter Sprecher, sein Vortrag zum Hacking von Geldautomaten ist noch immer sehenswert (von der Relevanz seiner Themen ganz abgesehen).
Digitale Selbstverteidigung
Doch natürlich blieb die Black Hat in der aktuellen Auflage (die Konferenz findet seit 1997 jedes Jahr statt) ihrem Thema der "Digitalen Selbstverteidigung" auch diesmal treu. Die Forscher zeigten innerhalb der zwei Tage zahlreiche Attacken, Analysen, Schwachstellen und ToolsTools. Alles zu Tools auf CIO.de
So beschäftige sich etwa Ralf-Philipp Weinmann (einer der Autoren des iOS Hackers Handbuch) mit der Sicherheit von BlackberryBlackberry OS 10. Sein Urteil fiel angenehm positiv für die Plattform aus, allerdings gab er zu bedenken, dass die komplette Sicherheitsarchitektur darauf aufsetzt, dass der Nutzer keinen Root-Zugriff auf dem System erhält (Blackberry Balance etwa separiert die Apps und Inhalte durch verschiedene Nutzer- und Gruppen-IDs. Alles zu Blackberry auf CIO.de
RIM scheint aber seine Arbeit ordentlich zu machen, Laut Weinmann wurden etwa im Update von Version 10 auf 10.1 einige mögliche Schwachstellen und Ansätze bereinigt. Weinmann fand noch weitere interessante Funktionen, darunter QUIP. Diese Funktion ist Teil jedes Blackberry, allerdings nicht allgemein zugänglich. Das System liefert zahlreiche Informationen, darunter etwa auch einen Mitschnitt des Netzwerkverkehrs. QUIP ist aber laut dem Blackberry Sprecher Adrian Stone standardmäßig deaktiviert (mehr dazu hier auf Threatpost).
- Black Hat 2013
General Keith Alexander ist der Chef der NSA. - Black Hat 2013
Was kann die Telefonüberwachung, was nicht? Zumindest Amerikaner, die keine IP-Telefonie nutzen, dürfen ein wohliges Gefühl der Sicherheit im Bauch kriegen. - Black Hat 2013
Wo wir Prism und Co einsetzen - solange keine US-Bürger im Fadenkreuz sind, ist das schon ok. - Black Hat 2013
Keith Alexander zeigt anschaulich, wie man Fragen mit Politikerfloskeln aussitzen kann. - Black Hat 2013
Ralf-Philipp Weinmann analysiert Blackberry OS 10 auf Schwachstellen. - Black Hat 2013
Brian Muirhead, unter anderem verantwortlich für das Mars-Programm der NASA, hielt die Keynote am zweiten Tag. - Black Hat 2013
Mario Vuksan und Tomislav Pericin präsentieren ihr Tool für die UEFI-Analyse
Deutlich interessanter war der SCADA-Vortrag von Kyle Wilhoit. Der Trend-Micro-Mitarbeiter hatte Pumpenanlage virtuell nachgebaut (inklusive Steuerzentrale und SCADA-Controller) und diese als zwölf Honeypots in acht Ländern installiert. Wie viele andere SCADA-Anlagen waren die Verwaltungssysteme vom Internet aus erreichbar - Wilhoit ging es nicht um die Absicherung, sondern darum, Attacken zu zählen und zu untersuchen. Tatsächlich musste er nicht lange warten: Innerhalb kürzester konnte er 63 nicht-kritische Attacken (die nicht gezielt auf die Infrastruktur zugreifen wollten) sowie elf kritische Attacken beobachten.
Die kritischen Attacken waren dabei besonders interessant: Neben dem Diebstahl von Daten versuchten sich mehrere Angreifer an der Manipulation des Pumpensystems, etwa indem der Druck verändert werden oder das Pumpensystem heruntergefahren werden sollte. SCADA-Systeme sind also, obwohl eigentlich seit Viren wie Stuxnet mehr Aufmerksamkeit herrscht, noch immer im Visier der Angreifer und die Forschung von Wilhoit zeigt, dass im Internet auffindbare Systeme auch attackiert werden.