Black Hat und Defcon
Infizierte Droiden
Sieht man die bei den weltgrößten Hacker-Konferenzen Black Hat und Defcon diskutierten Themen als Barometer, dann stehen die Zeichen für Smartphone-Besitzer auf Sturm: Gut- wie bösartige Hacker nehmen insbesondere Googles Android ins Visier.Black Hat und Defcon locken alljährlich im August tausende IT-Sicherheitsfreaks für fünf Tage Vorträge, Austausch und Hacking nach Las Vegas - im Fall der Defcon zirka 14.000 Besucher. Ein Kernthema der mehreren hundert Vorträge waren Smartphones und deren Sicherheit. Insbesondere Google Android hat es den Sicherheitsforschern angetan. Im Gegensatz zum streng kontrollierten Apple-Umfeld geht es in der Android-Welt offen zu: Jeder kann beliebige Apps in verschiedene App-Stores hochladen, es findet kaum eine Qualitätskontrolle oder gar inhaltliche Zensur statt. Diese Offenheit ist aber auch eine Gefahr, da so zahlreiche bösartig manipulierte Apps ihren Weg auf Smartphones finden.
Nicht aktiv missbraucht, sondern verantwortungsbewusst an Google gemeldet wurde eine Schwachstelle, durch deren Missbrauch sich Login-Daten von beliebigen Anwendungen wie Facebook, Google Mail oder Amazon mitschneiden lassen. Nicholas Percoco und Sean Shulte von Trustwave haben die von ihnen entdeckte Lücke in Android präsentiert und bewiesen, dass sie nur durch Einsatz der herkömmlichen APIs eine Phishing-Seite anstelle der legitimen Login-Bildschirme beliebiger Android-Anwendungen anzeigen lassen können. Auf gleichem Weg könnte eine bösartige Anwendung Pop-up-Werbung oder andere Inhalte vor jegliche App legen. Der Eingriff wurde während der Demo nur durch ein kurzes Flackern des Bildschirms sichtbar, das die meisten Anwender wahrscheinlich nicht bemerken.
Auch Produkte von SAP und Siemens nimmt die Hacker-Gemeinde unter die Lupe. Der russischer Sicherheitsforscher Alexander Polyakov hat eine gravierende Schwachstelle in SAPs J2EE-Engine entdeckt. Sie lässt sich prinzipiell auch über das Web missbrauchen. Laut Polyakov sind 50 Prozent aller SAP-Installationen weltweit vom Bug in der J2EE-Engine von SAP Netweaver betroffen. Demonstriert hat er die Lücke, indem er per Google nach einem bestimmten String suchte, wie er für das Management-Portal von SAP-Systemen typisch ist. Anschließend übergab er die gefundene URL an ein von ihm geschriebenes Perl-Skript, das den eigentlichen Angriff in zwei Stufen ausführte. Dieses Skript erzeugt ohne weitere Authentisierung ein neues Admin-Konto im SAP-System. Dies funktioniert laut Polyakov auch, wenn die Zwei-Faktor-Authentisierung (Passwort plus geheimer Schlüssel) aktiviert ist. SAP hat inzwischen ein Update bereitgestellt. Das Skript will der Forscher drei Monate nach dem Update freigeben.
Im Fall von Siemens ging es einmal mehr um deren Scada-Technik. US-Hacker Dillon Beresford demonstrierte live, wie er in die PLCs (Programmable Logic Controller) Simatic S7-200, S7-300, S7-400 und S7-1200 eindringt und deren Einstellungen ändert. Zudem zeigte er eine vom anwesenden Siemens-Sprecher als "Debug-Funktion" bezeichnete Hintertür, bestehend aus aktivem Telnet- und HTTP-Server. Siemens hat inzwischen Firmware-Updates für eine ganze Reihe der Simatic-PLCs veröffentlicht. Laut Beresford stehen aber für die von ihm angegriffenen Geräte keine Updates bereit, sodass für alle demonstrierten Lücken noch Missbrauch möglich ist.
Mac OS X oder Windows?
Das Zeug zum Glaubenskrieg hat die Frage, ob Apples Mac OS X besser vor Angriffen schützt als Windows. Alex Stamos von ISEC Partners und seine Kollegen zeigten in ihrer Black-Hat-Präsentation eine ausführliche Analyse der Stärken und Schwächen der Betriebssysteme. Sie verglichen Mac OS X 10.7 (Lion) und Windows 7 und Windows Server 2008 R2, indem sie die für einen professionelle Cyber-Angriff typischen Schritte durchgingen. Das Ergebnis: Im frühen Stadium des Angriffs schlagen sich Mac OS X 10.7 und Windows 7 dank Mechanismen wie ASLR (Address Space Layer Randomization) gleich gut. Sollte es einem Angreifer aber gelingen, einen Mac mit Malware zu infizieren - wie leicht das geht, hat die Scareware Mac Defender kürzlich untermauert, sieht es insbesondere für die Sicherheit des Mac-OS-X-Servers schlecht aus. Laut Stamos lassen sich die meisten der Apple-Server-Protokolle wie mDNS (Bonjour) oder Apple Remote Desktop dazu zwingen, eine schwache Authentisierung zuzulassen.
Der Autor auf LANline.de: der_reisende
Lesen Sie mehr zum Thema
