Kommentare zu etwas wichtigen und manchem eher "dummen"

Geschrieben von Carsten Eilers am Montag, 16. Juni 2014 um 11:14

Heute gibt es mit einer Ausnahme Kommentare zu Sachen, die in die Kategorie "Dumm (gelaufen)" gehören. Die Ausnahme ist dafür um so wichtiger:

Die US-Nachrichtenagentur "National Public Radio" (NPR) hat das "Project Eavesdrop" durchgeführt und ausprobiert, was sich bei der NSA-artigen Überwachung eines Home-Offices alles rausfinden lässt: "Project Eavesdrop: An Experiment At Monitoring My Home Office" (via Sophos Naked Security). Die Antwort: Viel zu viel. Ich wusste das zwar schon immer, aber ich bin ja auch berufsbedingt chronisch misstrauisch und suche überall erst mal das Negative. Für viele andere, die sich bisher von den Datensammeleien nicht betroffen fühlen, ist das Ergebnis hoffentlich ein Weckruf.

Dumme Smart-TVs

Smart-TVs sind oft gar nicht so besonders smart, zumindest wenn es um die Sicherheit geht. Damit haben die wenig bis nichts am Hut, was möglichen Angreifern das Spiel sehr erleichtert. Yossef Oren und Angelos D. Keromytis haben beschrieben, wie ein Angreifer die HTML-Fähigkeit der Smart-TVs nutzen kann, um über manipulierte Fernsehsignale von tausenden Smart-TVs gleichzeitig Webserver und andere mit dem Interner verbundene Geräte anzugreifen: "From the Aether to the Ethernet - Attacking the Internet using Broadcast Digital Television" (via ESET We Live Security). Ich fürchte, wenn die Hersteller nicht bald aufwachen, werden wir mit dem "Internet der Dinge" noch unser blaues Wunder erleben.

Dummer Geldautomaten-Betreiber

Wie werden 14-jährige zu extrem gefährlichen Hackern und Bankräubern? Indem sie im Internet nach der Bedienungsanleitung eines Geldautomaten suchen und das darin enthaltene Standardpasswort verwenden, um Geldautomaten auszuplündern. Zum Glück haben zwei junge Kanadier auf das ausplündern verzichtet und stattdessen die Benutzer des betroffenen Geräts und den Betreiber über die Sicherheitslücke informiert. Was aber gar nicht so einfach war: "Code-cracking teens hack into Grant Avenue ATM" (unter anderem via Fefe und Sophos Naked Security, wo auch auf den gleich erwähnten tatsächlichen Raub hingewiesen wird).

Das hat bei mir noch bevor ich vom Sophos-Text überhaupt wusste sofort ein "Ach, haben die Kanadier nichts von den Amis gelernt?" ausgelöst. Denn in den USA gab es das Problem der nicht geänderten Standardpasswörter für Geldautomaten bereits 2006, was ich im "Standpunkt Sicherheit" der KW 39/06 vom 25. September 2006 kommentiert habe. Da der Originaltext nicht mehr online ist und ich auf die Schnelle auch keine Kopie auf archive.org finde, hier der relevante Ausschnitt (die nicht mehr funktionsfähigen Original-Links habe ich durchgestrichen und soweit möglich Kopien auf archive.org angegeben):

"Das man Default-Passwörter bei der Installation sofort ersetzt sollte bekannt sein. Eine Bank in den USA hat dies bei mindestens einem ihrer Geldautomaten nicht getan und durfte dafür jetzt Lehrgeld bezahlen. Anscheinend (~~CNN-Video~~ (Kopie auf archive.org) auf YouTube, Bericht von ~~'The Virginian-Pilot'~~ (Kopie auf archive.org)) hat jemand einen Geldautomaten so manipuliert, das er die 20-Dollar-Scheine für 5-Dollar-Scheine hielt bzw. statt 5-Dollar-Scheinen 20-Dollar-Scheine ausgab, und danach mehrmals mit einer Pre-Paid Debit-Card (= vorausbezahlte Guthabenkarte) Geld abgehoben. Wie viel genau ist nicht bekannt, aber auf jedem Fall hat er 300% Gewinn gemacht. ~~Dave Goldsmith~~ (Kopie auf archive.org) hat berichtet, das der betroffene Geldautomat-Typ über das Tastenfeld (um-)konfiguriert werden kann und Default-Passwörter im Handbuch enthalten sind. Und diese Handbücher sind, oh Wunder, auch über z.B. Google zu finden, wie ~~Kevin Poulsen~~ und ~~Ryan Naraine~~ berichten."

Erfahrungsgemäß ist der freundliche Hinweis im Handbuch oder wo auch immer, dass die Standardpasswörter zu ändern sind, vergebliche Liebesmüh. Wenn das Installationsprogramm nicht den Wechsel des Passworts erzwingt, wird es immer einige Installateure geben, die es sich einfach machen und das Passwort nicht ändern. Dann müssen sie es sich nämlich auch nicht merken, bei Bedarf steht es ja im Handbuch.

Dumme Idee?

Es gibt noch Leute, die bisher niemals ein Paket mit DHL, Hermes, UPS, ... bekommen haben. Denn anders kann ich mir folgende auf den zweiten Blick eher dumme Idee von Forschern der Rutgers University (via ESET We Live Security) nicht erklären: Das Zeichnen einer "Signatur" auf dem Touchscreen soll die Passwortabfrage ersetzen.

Prinzipiell gilt dabei "You can create any shape, using any number of fingers, and in any size or location on the screen", aber man muss sich die "Signatur" auch merken (können). Wie viele Benutzer machen es sich dann wohl einfach und verwenden ihre normale Unterschrift (oder besser: Das Krickelkrackel, das man mit Finger oder Stift erzeugt, wenn man versucht, seine Unterschrift damit nachzuahmen) als "Signatur"? Genau die, die sie ständig bei DHL, Hermes, ... hinterlassen?

Wie lange es dann wohl dauert, bis jemand die Server der Paketdienste hackt und sich die dort gespeicherten Daten unter den Nagel reißt? Und die dann an Smartphone-Diebe und Geheimdienste verkauft? Ach nein, ich vergaß: Die Geheimdienste fordern die Daten dann natürlich direkt bei den Paketdiensten an. Die sind ja wohl alle auch in den USA aktiv und müssen springen, wenn die NSA "Hüpf" ruft.

Während meines Studiums hat einer der Doktoranden mal die Frage aufgeworfen, ob es wirklich so eine gute Idee ist, seine handschriftliche Unterschrift von UPS (die waren doch damals in den 1990ern die ersten, die das einführten?) digitalisieren zu lassen. Damals fand ich seine Befürchtungen übertrieben, denn was ich das hinkrakele, sieht nie im Leben wie meine Unterschrift aus. Eine auf Grundlage dieser Daten gefälschte Unterschrift würde wohl nur einen Blinden überzeugen. Wenn es aber darum geht, das Gekrickel mit einem anderen Gekrickel zu vergleichen, sieht die Sache ganz anders aus.

Aber vielleicht sehe ich auch nur zu schwarz und die Benutzer nehmen alle so was wie das Haus vom Nikolaus als "Signatur". Obwohl: Also ich kann mir nie merken, wie ich das Ding beim letzen Mal gezeichnet habe. Dafür gibt es einfach zu viele mögliche Lösungen. Aber wie ich "Eilers" hinschmieren muss, weiß ich genau. Und den meisten anderen Leuten wird es mit ihrem Namen ebenso gehen. Jedenfalls sofern der auf den Touchscreen passt. Andernfalls muss man eben kürzen.

Dummer Verteidiger?

In den USA ist ein Räuber verurteilt worden, weil das Foto einer Überwachungskamera digital mit den vorhandenen Fahndungsfoto verglichen wurde und in seinem Fall die größte Übereinstimmung festgestellt wurde: "Armed robber, identified by facial recognition technology, gets 22 years" (via ESET We Live Security).

Wenn das alle Beweise waren wäre das gar nicht gut. Ist der Anwalt nicht auf die Idee gekommen, Leute zu suchen, die dem Angeklagten ähnlich sehen? Vielleicht hätte die Auswertungssoftware ja noch mehr Verdächtige geliefert. Obwohl: Es ging da um zwei Raubüberfälle, womöglich wären dann zwei Leute eingebuchtet worden, denn die Software kann sich ja nicht irren...

Hoffen wir also mal, dass es noch mehr Beweise gab. Das Zeugen den Verurteilten erkannt haben überzeugt mich nicht unbedingt. Wenn die gewusst haben, dass der Computer ihn bereits identifiziert hat und es hinreichende Unterschiede zu den Alternativpersonen gab können die durchaus dem bekanntlich unfehlbaren Computer gefolgt sein.

Andererseits hat der Räuber sich selbst für schuldig bekannt, zumindest diesmal hat es also keinen Unschuldigen getroffen.

Carsten Eilers

Trackbacks

Trackback-URL für diesen Eintrag

Keine Trackbacks

Mo	Di	Mi	Do	Fr	Sa	So
← Zurück	April '24
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30