Dipl.-Inform. Carsten Eilers

Rauchen Sie? Das gefährdet zwar ihre Gesundheit und die ihrer Mitmenschen, Ihr Rechner wird aber höchstens eingesaut. Anders sieht es aus, wenn Sie "dampfen". Ob das die Menschen in der Umgebung gefährdet weiß man noch nicht so genau, dafür ist ihr Rechner unter Umständen konkret gefährdet: Angeblich wurde die erste E-Zigarette entdeckt, die beim Laden über USB Schadsoftware installiert. Ob das wirklich stimmt, ist nicht sicher. Möglich ist es auf jeden Fall.

Also ich würde ja nicht einfach irgend ein x-beliebiges Gerät an einen USB-Port stöpseln, nur weil es geladen werden muss. Erstens habe ich davon sowieso immer zu wenig, und so lange es keine wirklich zuverlässigen USB3-Hubs gibt muss ich mit den vorhandenen Ports sparsam umgehen. Zweitens hätte ich viel zu viel Angst, dass mir das Gerät den Port oder den ganzen Rechner schrottet, weil es zu viel Strom zieht. Da braucht es drittens gar nicht mehr: Seit BadUSB ist jedes USB-Gerät verdächtig, und verdächtige Geräte verbinde ich nicht mal eben so mit meinem Arbeitsplatzrechner. Und den Testrechner werde ich bestimmt nicht einschalten, nur weil irgend ein Gerät geladen werden muss. Dafür habe ich genug USB-Ladegeräte rum liegen.

Angriffsziel IoT

Es gibt mal wieder schlechte Nachrichten zum Internet of Things. Ich habe gerade einen Artikel für den Windows Developer zum Thema "Sicherheit im IoT" geschrieben und in der Mail zum Abliefern noch gewitzelt, dass das so viel Material ist, dass es für ein Loseblattsammlung mit monatlichen Aktualisierungen reicht. Ich glaube, das reicht sogar für wöchentliche Aktualisierungen, denn das IoT ist chronisch unsicher, sowohl was die Konfiguration als auch alle anderen möglichen Schwachstellen betrifft. Aktuell hat es die digitalen Videorecorder (DVR) von Hikvision und sehr viele Überwachungskameras erwischt.

In den DVR von Hikvision wurde eine Reihe von Schwachstellen gefunden, über die sich die Geräte kompromittieren lassen. Außerdem gibt es mal wieder einen Default-Admin-Benutzer mit bekannten Passwort. Aber das ist bei IoT-Geräten ja quasi ein Default-Fehler. Dem auch immer wieder viele Webcams und Überwachungskameras zum Opfer fallen. Ach so: Die Hikvision-Geräte werden im Allgemeinen auch zur Aufzeichnung der Aufnahmen von Überwachungskameras eingesetzt. Wenn das beides keine perfekte Verbindung zum nächsten Punkt ist weiß ich auch nichts besseres:

Die Website Insecam.com listet öffentlich zugängliche Kameras auf. Die lassen sich auch mit Google oder Shodan finden, aber so eine Übersicht ist natürlich viel komfortabler. Wie, Sie möchten nicht, dass die Bilder ihrer Kamera da erscheinen? Na, dann verwenden Sie doch einfach ein sicheres Passwort! Aber speichern Sie das besser nicht in einem Passwortmanger. Warum nicht? Deshalb:

Angriffsziel Passwortmanager

Wie halten Sie es denn mit den Passwörtern? Verwenden Sie überall das gleiche? Das sollten Sie nicht tun. Sicher sind nur lange, komplexe Passwörter, und zwar für jeden einzelnen Einsatzzweck ein eigenes. Aber was macht man mit den vielen Passwörtern? Aufschreiben ist nicht die schlechteste Idee, so lange man es nicht auf dem Whiteboard im Büro macht oder ein PostIt mit den wichtigsten Passwörtern an den Bildschirmrand klebt. Komfortabler aber sind Passwortmanager. Das haben sich auch die Cyberkriminellen gedacht. Sie kennen bestimmt den Spruch "Was ist ein Einbruch in eine Bank gegen die Gründung einer Bank?" von Bertolt Brecht? Nun, im Fall der Cyberkriminellen wird daraus "Was ist das Ausspähen eines Passworts im Vergleich zum Ausspähen des ganzen Passwortsafes?" Nur das der (für die Cyberkriminellen ärgerlicherweise) auch wieder von einem Passwort geschützt wird. Kein Problem, dann muss man das eben auch noch ausspähen - auf ein Passwort mehr oder weniger kommt es dann ja nun wirklich nicht an. Das haben sich jedenfalls einige Nutzer des Trojaners "Citadel" gedacht. Denn der späht seit neuesten das Masterpasswort für verschiedene Passwortmananger aus.

Früher oder später musste es ja dazu kommen. Ich wundere mich nur, dass das erst jetzt passiert. Eigentlich ist es doch viel einfacher, dass Passwort für den Passwortmanager plus der Datei mit den verschlüsselten Passwörtern aus zu spähen als alle möglichen Passwörter einzeln. Die, die man als zum Beispiel cyberkrimineller Bankräuber nicht braucht, zum Beispiel für Social Networks oder Onlinespiele, kann man ja an die lieben Kollegen weiter verkaufen. Oder gegen die Onlinebanking-Zugangsdaten eintauschen, die bei denen als "Beifang" angefallen sind.

Carsten Eilers