Dipl.-Inform. Carsten Eilers

... hat der Hersteller die Sicherheit verpennt" könnte eine neue IT-Bauernregel für das "Internet der Dinge" werden, denn Proofpoint ist einem Botnet auf die Spur gekommen, dass mehrmals täglich in Wellen Spam- und Phishingmails versendet. Das ist erst mal nichts besonderes, so was machen Botnets ja des öfteren. Ungewöhnlich ist, dass laut Proofpoint das Botnet nicht aus normalen Rechnern besteht, sondern aus "household "smart" appliances wie SOHO-Routern, Multimedia-Centern, Fernsehern und mindestens einem Kühlschrank. Andererseits: Warum auch nicht?

Update 22.1.2014
Bruce Schneier war noch skeptischer als ich und hat sicherheitshalber nicht über Proofpoints Entdeckung geblogt. Stattdessen verweist er nun auf eine Analyse von Ars Technica, wo man ebenfalls sehr skeptisch ist. Beweise für die aufgestellten Behauptungen ist Proofpoint bisher nämlich schuldig geblieben.
Was auch etwas merkwürdig ist: Im eigenen Blog berichtet Proofpoint nicht über seine Entdeckung. Es gibt nur eine Presseerklärung. Ohne tatsächliche Fakten. Ich möchte meiner rhetorischen Frage "Warum auch nicht?" daher eine weitere hinzufügen: Aber warum sollten die Cyberkriminellen gerade "household "smart" appliances" angreifen, vor allem zig verschiedene mit wahrscheinlich unterschiedlichster Firmware? Das ist natürlich möglich, aber doch ziemlich aufwendig. Ob sich das lohnt? Eigentlich sind doch Windows-PCs viel einfachere Ziele, gefolgt von Mac OS X und Linux.
Ende des Updates

Ich hatte ja bereits geschrieben, dass es erst mal keinen Unterschied macht, auf was die von den Cyberkriminellen angegriffene Software läuft. Von daher sind Haushaltsgeräte doch harmlos. Mehr Sorgen würde ich mir machen, wenn die SCADA-Systeme in Chemiefabriken oder die Steuerrechner von Militärdrohnen anfangen würden zu spammen. Ach ja: Proofpoint bietet zufällig einen Cloud-basierten Schutz vor Cyberangriffen an. Im Fall des "Internet der Dinge" würde ich es aber vorziehen, die Dinge gar nicht erst mit dem Internet zu verbinden. Wozu muss der Kühlschrank im Internet surfen? Sucht der automatisch nach dem jeweils billigsten Nachschub? Das könnte dann schnell teuer werden, wenn er auf die falschen Seiten rein fällt.

Sicherheit im "Internet der Dinge" ist wichtig, Datenschutz wichtiger

Generell ist die Sicherheit des "Internet der Dinge" natürlich wichtig, wer will schon, dass sein Desktop-Rechner hinterrücks vom Heizungsthermostat gemeuchelt wird? Aber der Datenschutz, und darauf weist auch Rob Waugh von ESET hin, ist vielleicht noch viel wichtiger, denn das "Internet der Dinge" weiß viel zu viel über uns. Was Rob Waugh an einigen Beispielen auch gleich demonstriert. Darauf habe ich ja auch bereits hingewiesen. Im Grunde ist das "Internet der Dinge" ein ganzes Sensorennetzwerk der Hersteller und damit auch der Geheimdienste (die NSA und Co. hören da ganz sicher mit), das bis in unsere privateste Privatsphäre reicht.

Gegen das, was sich da abzeichnet, ist "1984" plötzlich gar keine Dystopie mehr, sondern fast schon eine Utopie. Was ist schon der eine "Big Brother" in "1984" mit seinen Kameras in allen Räumen gegen das, was sich bei uns abzeichnet? Mehrere "Big Brother" mit allem möglichen Arten von Sensoren sind doch deutlich bedrohlicher. Und zumindest die Geheimdienste werden wir nicht so einfach wieder los, wie Tante Jay es ganz richtig beschrieben hat.

Und was die ganzen Datensammelnden Unternehmen betrifft: Auch die werden wir so schnell nicht los. Selbst wenn die Pleite gehen, bleiben die Daten erhalten. Und sind oft das einzige, was sich verwerten lässt. Nehmen wir mal als Beispiel Facebook (oder jedes andere Social Network) - was gibt es dann da wertvolles zu holen? Die schon kurz nach ihrem Kauf bereits veralteten Server? Wohl kaum. Das einzig Wertvolle sind die Daten, und dafür findet sich im Zweifelsfall sicher ein Käufer.

Kommen wir noch kurz zu einem anderen Beispiel aus der vorigen Woche: Lee Munson von Sophos hat einen interessanten Artikel über das Sammeln von Standortdaten durch Automobilindustrie und GPS-Hersteller veröffentlich. Interessant, aber wohl nicht anders zu erwarten: Die Datensammler geben gegenüber dem US Government Accountability Office (GAO) offen zu, dass sie Daten sammeln, formulieren dass aber anscheinend so, dass sie sich alle Möglichkeiten zu deren Verwertung Sorry, Verwendung natürlich, offen halten. Andererseits: Warum sammeln die denn die Daten, wenn sie sie nicht auf jeden geldbringenden Weg einsetzen wollen? Etwas anderes kann man wohl kaum erwarten. Ob aber der Staat so besonders gut geeignet ist, die Daten zu schützen, wie es laut dem Artikel gefordert wird, wage ich angesichts der NSA-Enthüllungen zu bezweifeln. Der sammelt doch im Zweifelsfall lieber selbst.

Helfen Dialekte gegen die NSA?

Um noch mal kurz zur NSA zu kommen: Die sammelt haufenweise SMS, man könnte sie ja mal gebrauchen. Wie sieht es eigentlich mit der automatischen Übersetzung von exotischen Sprachen und Dialekten aus? Klappt die, oder muss sowas "von Hand" übersetzt werden? Wenn zum Beispiel ein Bayer seine SMS in lautmalerischem Plattdeutsch schreibt dürfte die automatische Übersetzung doch schnell die weiße Fahne schwenken, oder? Vielleicht sollte man den Schnüfflern mal ein bisschen was zu tun geben, damit sie nicht auf noch mehr dumme Ideen kommen.

Neugierige Geschäfte

Im Artikel über Spy Phones für das Mobile Technology 1.2014 habe ich bereits darüber berichtet, das manche Geschäfte die Suche von Smartphones nach WiFi-Netzen nutzen, um ihre Kunden zu tracken. Jetzt gibt es einen weiteren aktuellen Fall: Lisa Vaas von Sophos verweist auf einen Artikel im Wall Street Journal, dem zu Folge ein Unternehmen in Toronto ein ganzes Netzwerk entsprechender Sensoren aufgebaut hat und die Smartphones nicht nur in einem Geschäft trackt, sondern gleich in mehreren. Wem das nicht passt, der hat halt Pech gehabt. Zum Glück gibt es Abhilfe: Einfach WLAN im Smartphone ausschalten, wenn es nicht gebraucht wird. Dann sucht das Gerät auch nicht nach WLAN Access Points und kann damit auch nicht getrackt werden.

Erfasst werden die Opfer nur als anonymisierte Nummern. Jedenfalls die meisten. Oder besser: Die, die nicht erkannt werden konnten. Nebenbei betreibt der Datenkrake nämlich noch einen freien WiFi-Dienst, und wer den nutzt der ist dann komplett verraten und verkauft. Denn dann werden auch Name, Alter, Geschlecht und Social-Media-Profile beim Einloggen bei Facebook gesammelt. Nett. Noch einer, der gerne ein bisschen Big Brother spielt. Genau das, was uns schon immer gefehlt hat.

Wenn Kriminelle Krimis gucken...

... läuft das wohl unter dem Oberbegriff "Bildungsfernsehen". Sie kennen das ja aus den US-Krimis: Jemand vom FBI etc. bindet sich neben dem Auto eines Verdächtigen die Schuhe zu und packt dabei einen Sender an den Unterboden des Autos, über den das dann verfolgt werden kann. Was kann ein Krimineller daraus lernen? Dass er den Unterbodenschutz seines Autos besser etwas dicker aufträgt, damit der Magnet eines Senders keinen Halt findet? Das wäre eine Möglichkeit. Er könnte den Fahrzeugboden auch zusätzlich mit Zimmerit beschichten, was gegen Haftminen wirkt, wirkt bestimmt auch gegen Sender.

Eine andere mögliche Lektion wäre, dass man sowas ja auch mal selbst machen könnte. Aber irgendwie ist das doch alles etwas altmodisch: Ein Sender mit blinkender LED, dazu ein Empfänger mit Bildschirm, der die die Richtung angibt - das ist doch längst veraltet. Da gibt es doch inzwischen was viel besseres. Zum Beispiel die Software, die besorgte Eltern auf dem Smartphone des lieben Nachwuchs installieren, um immer zu wissen, wo die lieben Kleinen sich denn gerade rum treiben. Wenn man so eine Software auf ein Smartphone installiert und das dann unter ein Auto klebt, weiß man immer, wo das Auto gerade ist. Toll, oder?

Und wenn Sie jetzt denken, dass ich mir das doch bestimmt nur ausgedacht habe, haben Sie nur zum Teil Recht. Das mit dem Zimmerit ist ausgedacht, das Zeug dürfte auch nur noch schwer zu bekommen sein. Das mit dem Smartphone ist leider Realität: In den USA wurde ein Grundbesitzer entführt und ermordet, und am Boden seines Auto wurde ein Smartphone entdeckt, mit dem vermutlich dessen Bewegungen verfolgt wurden (Artikel gefunden via Bruce Schneiers Blog).

Was Kriminelle können, kann jeder andere auch, der wissen möchte, wo jemand anders denn so hin fährt. Was man dagegen machen kann? Vielleicht einfach mal irgend eine Holperstrecke fahren, nach 1 km Kopfsteinpflaster ist das Smartphone ja vielleicht weg.

"Microsoft patcht 0-Day-Schwachstelle"

Keine Angst, es geht nicht schon wieder los mit den 0-Day-Schwachstellen. Microsoft hat nur den Patch für die seit Ende November 2013 bekannte Privilegieneskalations-Schwachstelle in Windows XP und Server 2003 behoben. Eigentlich hätte die Schwachstelle ja sowieso nie ein Problem sein dürfen, denn sie wurde ja nur in Verbindung mit einer bereits behobenen Schwachstelle im Adobe Reader ausgenutzt. Wer seine Software aktuell hält, war also nie gefährdet.

2014 sind bisher keine 0-Day-Schwachstellen bekannt geworden. Es wurden auch weder an Oracles noch an Adobes noch an Microsofts Patchday mehr oder weniger stillschweigend Schwachstellen behoben, die zuvor bereits ausgenutzt wurden (und die damit 0-Day-Schwachstellen waren, was die Hersteller dabei gerne unter den Tisch fallen lassen).

Angriffe auf HTML5 in Sicht?

Den Jahreswechsel nutzen die Antivirenhersteller (und viele andere) ja immer für Voraussagen, was uns denn im neuen Jahr so alles erwartet. Laut McAfee sind das unter anderem Angriffe und und über HTML5. Egal ob diese Voraussage eintrifft oder nicht, Webanwendungen dürfen bekanntlich nie Schwachstellen enthalten. Ganz egal, ob die nun (schon) ausgenutzt werden oder (noch) nicht. Früher oder später findet sie im Zweifelsfall garantiert jemand, der sie dann ausnutzt. Daher an dieser Stelle mal etwas Werbung für mein auf deutsch und englisch erhältliches eBook "HTML5 Security". Außerdem gibt es hier im Block einige Artikel zum Thema, los geht es hier.

Carsten Eilers