Suche

HomeINSIDERS blog

INSIDER's Blog

Die besten Talks des 30c3

30c3 Chaos Communication Congress 2013

Wir haben die spannendsten Vorträge des diesjährigen Chaos Communication Congress zusammengestellt. Neben interessanten technischen Themen, standen dieses Jahr die Veröffentlichungen von Edward Snowden im Vordergrund. Neben der Keynote, die von Glenn Greenwald via Videozuschaltung gehalten wurde, beschäftigten sich viele Vorträge mit der Methodik der NSA und anderen Geheimdiensten. Es ist daher nicht wenig überraschend, dass es Beiträge den Schutz der Privatsphäre im Internet und ins Besondere Tor behandelten.

Wir haben versucht die Vorträge in zwei Kategorien zu unterteilen: Technische Beiträge und politische Beiträge. Beides lässt sich nicht hundertprozentig voneinander trennen, da Themen wie Tor oder Privatsphäre technische wie auch gesellschaftliche Aspekte erfüllen

Politische Beiträge

  • 30c3 Keynote
    Die Keynote dieses Jahr wurde von Reporter Glenn Greenwald über Videozuschaltung gehalten. In einem sehr beeindruckenden Beitrag berichtete Greenwald über seine Zusammenarbeit mit Edward Snowden und welche Rolle Kryptographie dabei für ihn spielte

  • The Tor Network
    Jacob Appelbaum und Roger Dingledine ziehen ihre Jahresbilanz 2013 für das Tor Projekt. Nicht nur im Bezug auf Edward Snowden diskutieren die Beiden technische und gesellschaftliche Herausforderungen sowie die Darstellung ihres Projekts in der Öffentlichkeit. Zentral steht die Frage, ob die durch Tor mögliche Anonymität kriminellen eine Möglichkeit zur Verschleierung bietet oder einen wichtigeren Beitrag zum demokratischen Austausch bietet. Ein entscheidendes Argument ist, dass Tor als Werkzeug zur Gewährleistung der Meinungsfreiheit nur schwer zu ersetzen ist, Kriminelle jedoch auf Grund ihrer anderen Ansprüche leichter Alternativen finden würden

  • Seeing the Secret State - Six Landscapes
    Fotokünstler Trevor Paglen hat einen spannenden Vortrag über seine Sichtweise auf US-Geheimdienste und Militär gehalten. MIt investigativen Methoden erschafft er Bilder von Geheimgefängnissen, Militärstützpunkten und geheimen Satellitenprogrammen

  • To Protect and Infect
    Jacob Appelbaum stellte die jüngsten Leaks von NSA Dokumenten vor. Der Spiegel veröffentlichte zeitgleich eine Reihe von Artikeln dazu. Die Dokumente zeigen mit welchen Methoden die NSA im Stande ist das gesamte Internet zu kontrollieren und sich in jede Verbindung einzumischen. Die Realität, die sich hier abzeichnet stellt sich als schlimmer dar, als es die meisten Hacker befürchtet hätten. Bereits bei dem Versandt von Hardware versucht die NSA Postpakete abzufangen, um physische Hintertüren in Computern, Festplatten, Servern und anderen Geräten zu installieren. Die Folien zeigen auch, dass die NSA über funktionierende Hintertüren für Computer-BIOS verfügt. Die Gerüchte über BadBIOS könnten sich also tatsächlich bestätigen.

Technische Beiträge

  • CounterStrike [MP4]
    Der deutsche Hacker FX hat dieses Jahr mehrere Standards und Implementierungen von staatlichen Überwachungsmethoden beschrieben. Gegen Ende des Vortrags geht er auch auf die Erkennung von Überwachungssystemen durch den überwachten selbst ein

  • Script your car
    Der bisher beste Beitrag zum Thema "Car Hacking", den wir bisher gesehen haben, stammt von Felix Domke. Neben dem eigentlichen Projekt, Python auf dem im Auto integrierten Bluetooth-Telefon zu installieren, werden viele Grundlagen zu Protokollen wie CAN und BAP erklärt

  • The Year in Crypto
    Nadia Heninger, D.J. Bernstein und Tanja Lange boten einen spannenden Jahresrückblick 2013 aus der Perspektive dreier Kryptologen. Zu den Themen gehörten unter Anderem: Hintertüren in Zufallszahlengeneratoren, mögliche zukünftige Bedrohungen in bekannten Krypto-Algorithmen und die Notwendigkeit von Forward-Security Lösungen nach Bekanntwerden des Lavabit-Falls.

  • Security Nightmares
    Auch dieses Jahr haben Frank Rieger und "Ron" einen IT-Sicherheits Jahresrückblick zusammengestellt. Ihre Prognose für das nächste Jahr: Gezielte Angriffe auf das GSM Baseband.

Low hanging fruit - Wenn der Mensch zur größten Sicherheitslücke wird

Low hanging fruit - Wenn der Mensch zur größten Sicherheitslücke wird

Internetanschluss einrichten, Status Quo

Der Anschluss eines neuen Telekom Routers ist eine sehr interessant gestaltete Aufgabe. Als Nutzer ist man mit einigen Hürden konfrontiert, die unter Anderem der Sicherheit dienen. Packung auf, Router an den Telefonanschluss anstecken, mit dem Laptop verbinden. Ein WLAN ist bei der Telekom voreingestellt: SSID lautet WLAN-9F91A1, Passwort ist eine 16 stellige Zahlenkombination die zufällig generiert erscheint und für jedes Gerät einzigartig ist. Will man sich in die Einstellungsmaske des Routers einwählen, braucht man ein weiteres Passwort, 9-stellig, Zahlenreihenfolge. (Diese Daten finden sich auf der Rückseite des Routers)

Fehlende Daten mit Social Engineering einholen

Nach dem Login beginnt die Suche nach den Einwahldaten, die von der Telekom in einem separaten Umschlag zugeschickt werden, bei einer Anschlussänderung bleiben alte Daten bestehen. In diesem Fall war der Brief verschwunden. Ein erster Anruf bei der Telekom-Hotline bringt kein Ergebnis, die Aussage: "Wir können Ihnen die Daten nicht geben, Sie brauchen den Brief"

Nach verzweifelter Suche dann ein zweiter Anruf bei der Telekom Hotline, diesmal mit der Aussage: "Natürlich können wir Ihnen neue Daten zuschicken, machen wir gerne auch per E-Mail."

Die Daten kommen in einem verschlüsselten pdf Anhang per E-Mail an, ein Schlüssel wird separat per SMS an ein Telefon verschickt. Der Schlüssel enthält 15 Zeichen, Groß- und Kleinbuchstaben und Zahlen.

Typische Router Symbole
Typische Router Symbole Quelle: Clive Darra

Zwischenfazit: Alle hier beschriebenen Maßnahmen zeugen von hohen Sicherheitsstandards, die Telekom setzt keinen Fernzugriff auf den Router oder Standardpasswörter ein, alle vertraulichen Daten sind verschlüsselt und werden über verschiedene Medien übermittelt. Diese Maßnahmen scheinen sehr vorbildlich.

Die EINE Lücke

Ich bin nicht der Halter des Accounts. Ich habe mich auch nie am Telefon als der Halter des Accounts ausgewiesen. Lediglich mit der Angabe der Kundennummer (Die auf jedem Brief der Telekom zu finden ist und auch im T-Online Account) wurde "meine" Identität verifiziert. Die Angabe der Telefonnummer für die SMS, sowie die Angabe der E-Mailadresse für die neuen Kundendaten erfolgen ohne Nachfrage. Mit einfachem Social Engineering, also einer selbstbewussten Stimme habe ich alle notwendigen Daten des Anschlusses geschickt bekommen, auf mein privates Handy, obwohl ich nur eine, für Angreifer leicht zu findende, Kundennummer angegeben habe.

Szenario

Ein Angreifer nutzt den Zugang zu T-Online E-Mail Accounts seines Opfers, die er aus einer Datenbank oder per Phishing beschaffen konnte, und kann nun telefonisch alle Daten anfordern, die er braucht um einen Internetanschluss zu übernehmen, dem Opfer das Internet abzustellen oder Ähnliches. Fälle hierzu gibt es genügend Auch finanzieller Schaden kann entstehen, wenn der Angreifer den Anschluss hochsetzt, damit kostenpflichtige Angebote nutzt oder Zugänge zum Internet in Geschäftszeiten abschaltet.

Fazit

Wie auch schon im Fall Mat Honan ist die Lücke, die ein Angreifer in einem gut gesicherten System suchen muss, meist der Mensch. Auch bei der Telekom wird auf Sicherheit gesetzt, wenn ein Angreifer jedoch mit den richtigen Daten einen Anruf tätigt, steht ihm potentiell die Identität jedes Kunden zur Verfügung. Selbst aussagen wie "Was ist denn Ihr Geburtsdatum?", die man als Angreifer mit "Dass muss ich schnell bei Wikipedia nachschauen" beantwortet, werden lachend angenommen und der Zugang wird umgestellt.

Ausblick

Passwörter sind unbequem, aber es scheint auch bei einer telefonischen Verifizierung einer Identität müssen von Unternehmen und Dienstleistern mehr Maßnahmen getroffen werden, um Kunden zu schützen und deren Identit nachzuweisen. Die versendeten, vertraulichen Daten können noch so gut geschützt sein, wenn ein Angreifer den Empfang aller Daten steuern kann, ohne Befugnisse dafür zu haben. Reicht eine oft kommunizierte Kundennummer, eine Kreditkartennummer oder ein Geburtsdatum aus um eine Identität zu verifizieren? Ich glaube nicht.

Seite 2 von 8

INSIDERSKNOWLEDGE Nachrichten

INSIDERSKNOWLEDGE Nachrichten abonnieren

14. Oktober 2014

Unsere Nachrichten sind Umgezogen! Aktuelle IT-Sicherheits News finden Sie nun auf IKSec.de. Von Anfang an war Aktualität für uns ein entscheidender Faktor, um unseren Kunden stets optimal beraten zu können. Zu diesem Zweck begannen wir täglich die wichtigsten Ereignisse und Veröffentlichungen aus dem Bereich IT-Sicherheit zusammenzutragen und – zunächst – als internen Newsletter zu dokumentieren.

Das positive Feedback führte dazu, dass wir die “Nachrichten” Kategorie auf unserer Webseite einführten und seit Mitte 2012 dort veröffentlichten. Dieser Bereich wurde schnell der beliebteste und meist aufgerufene Bereich unserer Webseite und stellt bis heute eine der besten deutschsprachigen Übersichten zum Thema IT-Sicherheit dar.

Spätestens seit dem NSA-Skandal hat das Thema IT-Sicherheit ein so breites Interesse erfahren, dass wir uns entschieden haben die INSIDERSKNOWLEDGE Nachrichten auf ein eigenes Portal auszulagern. IKSec.de ist ein neues Experiment für uns, mit dem wir hoffen, eine bereite Zielgruppe zu diesem wichtigen Thema erreichen zu können

13. Oktober 2014

Neue Dokumente aus den Leaks von Edward Snowden belegen, dass die NSA auch innerhalb deutscher und anderer europäischer Unternehmen Agenten platziert hat. Unter dem Namen TAREX (Target Exploitation) wird ein Programm beschrieben dass mittels eigener oder angeworbener Agenten langfristige Spionage und Sabotage Aktionen in nicht US-Unternehmen ermöglichen soll. Die Dokumente verdeutlichen damit, wie wichtig es dem amerikanischen Geheimdienst ist, Verschlüsselungen umgehen zu können und die Möglichkeit zu haben, gezielte Hintertüren in Soft- und Hardware zu platzieren. Aus den Dokumenten geht außerdem hervor, dass diese Operationen unter einer Geheimhaltungsstufe über "Top Secret" laufen. Top Secret galt bisher als die höchste bekannte Geheimhaltungsklassifizierung
Link zur Quelle

Aus einem BBC Interview mit dem Leiter des Europol Cybercrime Centre, Troels Oerting, geht hervor, dass die Polizei einen Großteil aller Cybercrime Fälle auf rund 100 Hintermänner zurückführt. Zu den größten Herausforderungen gehören laut Troels, dass die meisten Kriminellen aus dem russischsprachigen Ausland heraus agieren und daher nur schwer verfolgt werden können
Link zur Quelle

Ein Hackerangriff auf den Dienst SnapSaved führte offenbar zur Veröffentlichung der Bilder von hundert tausenden SnapChat Nutzern. Nach Angaben von SnapChat wurde das Unternehmen von dem Hackerangriff nicht betroffenen sondern lediglich ein - mittlerweile eingestellter - externer Dienst. SnapChat erlaubt es Bilder zu versenden, die nach kurzer Anzeige gelöscht werden. Aus diesem Grund wird der Dienst häufig zum "Sexting" unter jugendlichen Verwendet. Der Großteil der Zielgruppe von SnapChat ist zwischen 13 und 17 Jahren alt. Dieser junge Altersdurchschnitt sorgte angeblich auch dafür, dass die Bilder auf 4Chan und anderen Seiten nicht intensiv verbreitet wurden
Link zur Quelle

Die Electronic Frontier Foundation weißt in einem neuen Artikel darauf hin, dass es nicht möglich ist eine kryptografische Hintertür zu entwickeln, die nur von Strafverfolgungsbehörden und nicht von kriminellen benutzt werden kann. Die EFF geht damit auf einen Artikel in der Washington Post ein, der eine Schwächung der Verschlüsselung von iOS 8 und Android Geräten gefordert hatte
Link zur Quelle