Sicherheitslücken

All posts tagged Sicherheitslücken

Das Internet kann gefährlich sein ...Ein moderner Laptop bzw. ein Netbook kommt mit eingebauter Webcam und Mikrofon daher. Dies ist praktisch für Videokonferenzschaltungen aber lässt sich auch zur illegalen Überwachung missbrauchen. Ob das Mikrofon gerade mitlauscht kann man gar nicht feststellen; die Aktivität der Webcam wird optisch durch eine Leuchtdiode angezeigt.
Leider beschäftigen sich unerfahrene Anwender kaum mit ihrer Hardware. Junge Menschen finden es anscheinend nicht verdächtig, wenn die Webcam dauernd eingeschaltet ist, wie die folgenden Überwachungsskandale zeigen.
In einem Fall hatte eine us-amerikanische Schule mit den Webcams der Schul-Laptops regelmäßig Screenshots angefertigt, um die Schüler zu überwachen. Bei einem anderen Fall hatte ein Hacker mehrere Schülerinnen über ihre Laptops ausspioniert.

Der folgende Filmausschnitt zeigt (natürlich hollywood-mäßig übertrieben) wie schnell man über die Webcam ausspioniert werden kann.

Webcam-Hack

Im Chat sollte man niemals unbekannten gegenüber persönliche Informationen geben. Inzwischen sollte es sich auch rumgesprochen haben, dass man seine Identität in einem Chat leicht verfälschen kann.

VideoüberwachungÜber die IP kann man den Standort auf die Stadt eingrenzen, wo sich der Surfer gerade aufhält. Dies wird von Google z.B. dafür genutzt, wenn man nach Pizza sucht nur Pizzalieferanten in der Umgebung anzuzeigen. Das ist praktisch. Wenn Kriminelle herausfinden, wo man wohnt nicht. Wie das geht mit der Lokalisierung von Internetnutzern zeigen zahlreiche Dienste im Web [1] [2] [3].
Beim Zugriff auf die Webseite wurden die beiden Teenager im Film wahrscheinlich mit einem Trojaner verseucht. Dieser ermöglicht den Zugriff auf den Rechner und aktiviert die Webcam und das Mikrofon. Ein Handy kann man auch zum Abhören umfunktionieren. Die Daten können dann schnell in Echtzeit rund um den Globus und über mobile Endgeräte überallhin verteilt werden.

Wie schützt man sich?

Webcam zukleben ...In diesem Fall ist der Schutz so einfach wie simpel. Immer wenn die Webcam nicht benutzt wird zukleben mit einem Stück einer Haftnotiz zum Beispiel. Wer gerne Selbstgespräche führt oder wichtige Unterhaltungen an seinem Notebook sollte auch den Mikrofoneingang überkleben.
Ansonsten hilft auch ein gesundes Misstrauen gegen merkwürdige Links, Fragen über die Privatsphäre und alle Dienste, die mehr Daten abfragen, als für ihren Betrieb notwendig sind …

28C3 - Einfahrender Zug ...Alles was über Software gesteuert wird kann man auch hacken. Unser Zugverkehr wird aus Kostengründen immer mehr auch über das Internet gesteuert. Es stellt sich also die Frage in wie weit die Systeme gegen Angriffe abgesichert sind und da die Technik überwiegend von Siemens kommt, ist dies durchaus ein Anlass zur Sorge.
Auf dem 28. Chaos Communication Congress „Behind Enemy Lines“ (#28C3 [1]) gab es dazu einen Vortrag von Stefan Katzenbeisser.
Continue Reading

In der neuen Dokumentation über Hacker habe ich eine der genialsten Definitionen eines Hacks gehört:

Definition Hack


Du willst eine Rauchen und lehnst an einer Hauswand. Dabei merkst du gar nicht, dass du an einer Balkontür lehnst. Auf einmal macht es „witschhhh“ und die Balkontür schwingt auf. Was passiert logischer Weise? Du fällst rein, wolltest das aber gar nicht. Ist das dann ein Einbruch?

So ist es wirklich und auch schon mir passiert (nicht das mit der Balkontür 😉 ). Die Server oder Webanwendungen im Internet sind überwiegend so ungenügend gesichert, dass man durch ganz normalen Zugriff plötzlich auf Content zugreifen kann, der nicht für die Öffentlichkeit bestimmt ist.

Beispiel Deep-Linking:
Als Deep-Linking bezeichnet man es, wenn man z. B. direkt auf einen Artikel einer Zeitungswebseite verlinkt, der nicht auf der Startseite ist. Die Anbieter wollen die Links nur auf der Starseite haben, weil die Nutzer sich von ihr aus durchklicken sollen. Dadurch bekommen sie mehr Klicks, was in der Statistik besser aussieht und sich vor den Werbekunden besser verkaufen lässt. Manchmal sind die Artikel auch kostenpflichtig, die nicht auf der Startseite sind. Jetzt sollte man doch denken, dass der Anbieter dafür verantwortlich ist, wenn man trotzdem auf Artikel per Deep-Linking verweisen kann, die kostenpflichtig sind. Der Anbieter müsste dies dann abweisen, wenn man kein zahlender Kunde ist. So ist es aber nicht. Es ist verboten Deep-Links anderen mitzuteilen! Kein Schutz, man fällt durch die offene Tür ins Haus und macht sich trotzdem strafbar. Eine verrückte Welt ist das.

Abgesehen von dieser genialen Definition (s. o.) macht die Dokumentation aber keinen besonders guten Eindruck. Man kann sich hier weiter über den Film informieren.

Wer den Film sehen möchte kann dies am 10. Dez. beim Attraktor in Hamburg (City Nord) tun.


Und ja ihr braucht mir nicht erklären, dass man unter hacking programmieren und Zugriff auf eine System unter Umgehung des Zugriffsschutz verstehen kann. Finde ich auch etwas blöd, dass das in dem Film vermischt wird. Die Definition oben bezieht sich natürlich nicht auf das reine programmieren…