CyberCompare

DEF CON 2021: Hacker zeigen Schwachstellen bei IoT Geräten auf

Nach einer Reihe verheerender Cyberangriffe in diesem Jahr ist das Thema Cyber Security für Unternehmen und Einzelpersonen auf der ganzen Welt zum Brennpunkt geworden.

Aus diesem Grund hat die diesjährige Hacker und IT-Sicherheits-Konferenzen DEF CON in der letzten Woche eine Fülle von Themen aus der Welt der Sicherheit präsentiert, die relevanter sind denn je.

Die DEF CON ist die weltweit größte Hackermesse, die jährlich in Las Vegas stattfindet. In diesem Jahr wurde sie als hybrides Event konzipiert. Wer wollte, konnte vergangenes Wochenende live in Vegas dabei sein. Alternativ konnten Interessierte aus aller Welt aber auch bequem via Twitch, YouTube und Discord Talks und Diskussionen verfolgen – kostenlos und ohne Registrierung.

Zu den Besuchern der DEF CON gehören heute nicht „nur“ Berufshacker und Studierende, sondern auch Computersicherheitsexperten, Journalisten, Anwälte, Regierungsangestellte und Sicherheitsforscher.

Ein Hauptthema auf der diesjährigen DEF CON: Die IoT-Security und damit das Hacken von IoT-Geräten

Dennis Giese hat Roboterstaubsauger gerootet. Gieses Hack ermöglichte es den Besitzern, ihre Geräte sicher mit Open-Source-Heimautomatisierung zu nutzen und dabei eingebaute Funktionen zu umgehen, die automatisch Daten in die Cloud hochluden. Der Hacker Joseph Gabay präsentierte seine Forschungen über das Hacken von Einkaufswagen-Wegfahrsperren, ein Thema, mit dem er sich im Grunde aus Liebe zu einer technischen Herausforderung und zum Schlosserhandwerk befasst hat.

Mehr Mainstream und durch das vermehrte Arbeiten von zu Hause brandaktuell: der Vortrag von Hacker Matthew Bryant. Bryant präsentierte seine Ergebnisse über die Verwendung von Apps Script zum Ausnutzen von G Suite (auch bekannt als Google Workspace)

App Script Payloads können entwickelt werden, um Schutzmechanismen wie U2F und OAuth App-Zulassungslisten zu umgehen. App-Skripte laufen auf der Infrastruktur von Google und bieten daher eine Möglichkeit, kompromittierte Konten durch die Hintertür zu öffnen, selbst wenn die Zielperson ihren Computer wechselt.

Und schließlich zeigte Checkpoint-Forscher Slava Makkaveev, wie er den Kindle E-Reader eines Opfers über ein infiziertes E-Book übernehmen konnte.

Der von Amazon hergestellte Kindle ermöglicht es Benutzern, Bücher und andere Dokumente auf ein tragbares Gerät herunterzuladen.

Makkaveev präsentierte, wie es ihm gelang, ein mit Malware infiziertes Buch zu erstellen, das in jeder virtuellen Bibliothek, einschließlich des offiziellen Kindle Store, veröffentlicht und frei zugänglich gemacht oder über Amazon-Dienste direkt an das Gerät des Endbenutzers gesendet werden konnte.

Wenn ein Kindle-Benutzer das E-Book auf seinem Gerät öffnet, wird ein versteckter Code ausgeführt, der über Root-Rechte verfügt.

„Von diesem Moment an haben Sie Ihren E-Reader, Ihr Konto und vieles mehr verloren“, kommentiert der Forscher.

Ein Angreifer könnte möglicherweise das Amazon-Konto eines Opfers stehlen, Bücher löschen, den Kindle in einen Bot umwandeln, um andere Geräte anzugreifen, oder das Gerät einfach nur zerstören und damit unbrauchbar machen.

KI gestütztes Social Engeneering

In einem zukunftsweisenden Vortrag auf der DEF CON wurde eine mögliche Zukunft des KI-gestützten Social Engineering skizziert.

Produkte für künstliche Intelligenz als Dienstleistung (AIaaS) wie die GPT-3-API von OpenAI haben fortschrittliche Technologien zu bescheidenen Kosten leichter verfügbar gemacht.

Drei Forscher aus Singapur waren in der Lage, AIaaS-Produkte zur Persönlichkeitsanalyse einzusetzen, um überzeugende Phishing-E-Mails zu generieren, die auf dem Social-Media-Profil der Zielperson basieren. Bei dieser Aufgabe wurden die Stärken der natürlichen Sprachgeneratoren genutzt, die in AIaaS-Produkten enthalten sind.

Bei gezielten Massen-Phishing-E-Mails führten von Menschen erstellte Inhalte zu mehr Interaktion. Bei gezielten Spear-Phishing-Übungen, die im Rahmen von autorisierten Penentration Tests durchgeführt wurden, waren die Reaktionen auf KI-generierte Phishing-E-Mails jedoch höher.

Das sind nicht nur schlechte Nachrichten: Die Forscher skizzieren Techniken, die zur Erkennung synthetischer Texte eingesetzt werden können, sowie Governance-Grundsätze, die AIaaS-Anbieter berücksichtigen sollten.

Schwachstellen im KI Algorithmus gefunden

Um den Problemen des eigenen Algorithmus auf den Grund zu gehen, hat Twitter die erste Algorithmic Bias Bounty Challenge auf der DEF CON gestartet. Solche Challenges sind besonders in der Hacker-Szene etabliert, um beispielsweise Sicherheitslücken in den Systemen von großen Konzernen zu finden.

Ausgeschrieben waren Preisgelder in Höhe von 3.500 US-Dollar für den ersten Platz, 1.000 US-Dollar für den zweiten Platz und 500 US-Dollar für den dritten Platz.

Das Problem des Twitter-Algorithmus

Besonders problematisch ist laut Twitter, dass „Unternehmen von unbeabsichtigten ethischen Schäden erst nach der Veröffentlichung erfahren“. Vorab sei es besonders schwierig, Vorurteile in KI zu finden.

Twitter will nun mit seiner Challenge an die Erfolge der Hacker-Challenge anknüpfen: „Wir sind davon inspiriert, wie die Forscher- und Hacker-Community dem Sicherheitsbereich geholfen hat, Best Practices für die Identifizierung und Minderung von Schwachstellen zu entwickeln, um die Öffentlichkeit zu schützen“.

Umgehen von biometrischen Scannern mit 3D-gedruckten Fingerabdrücken

Auf der virtuellen Sicherheitskonferenz DEFCON am 8. August erläuterte die Sicherheitsforscherin Yamila Levalle von Dreamlab Technologies, wie sie die biometrische Authentifizierung für eine Reihe verschiedener Arten von Fingerabdruckscannern umgehen konnte. Während ihres Vortrags erläuterte Levalle verschiedene Umgehungsmethoden, darunter die Verwendung eines preiswerten 3D-Druckers, die zu positiven Ergebnissen führten. Angriffe auf biometrische Systeme sind nicht hypothetisch, sondern kommen in der realen Welt vor, was Levalle zu ihrer Forschung inspirierte. In ihrem Heimatland Argentinien wurden 2019 sechs Mitarbeiter der Fluggesellschaft Aerolineas Argentinas erwischt, weil sie die Anwesenheit bei der Arbeit gefälscht hatten. Die Mitarbeiter der Fluggesellschaft verwendeten angeblich Fingerabdrücke aus Silikon, um andere Personen einzuchecken, die nicht bei der Arbeit waren.

Schwachstellen in der globalen Lebensmittelversorgungskette

Am 8. August beschrieb ein australischer Forscher, der nur unter dem Namen „Sick Codes“ bekannt ist, auf der DEF CON 29-Konferenz eine „Traktorladung an Schwachstellen“, die, wenn sie von einem Angreifer ausgenutzt würden, schwerwiegende Folgen für die weltweite Lebensmittelversorgungskette hätten. Der Forscher erklärte, dass moderne landwirtschaftliche Geräte zunehmend automatisiert werden, wobei die Geräte von einer zentralen Konsole aus gesteuert werden, die Zugriff auf viele verschiedene Betriebe haben könnte.

Der Forscher führte eine ganze Reihe katastrophaler Möglichkeiten auf, die sich ergeben könnten, wenn sich ein Angreifer Zugang zu den angeschlossenen Farmen verschaffen könnte. So könnte ein Hacker beispielsweise anordnen, dass chemische Behandlungen übermäßig versprüht werden, wodurch fruchtbares Land in unfruchtbares Land verwandelt wird, das über Generationen hinweg nicht genutzt werden kann. Bei einem Denial-of-Service-Angriff könnte die Fähigkeit eines Landwirts, zu einem kritischen Zeitpunkt Saatgut auszubringen, beeinträchtigt werden, so dass der Landwirt keine Ernte mehr einfahren kann. Ein weiteres großes Risiko bestünde darin, dass ein Angreifer die Kontrolle über ein landwirtschaftliches Gerät wie einen Traktor erlangt und ihn an den falschen Ort schickt oder ihn sogar vom Hof auf eine Autobahn fährt.

Der Forscher stellte fest, dass heute fast jeder einzelne Bauernhof mit einer Vielzahl verschiedener Technologien verbunden ist, darunter Mobilfunk mit 4G und 5G sowie Wi-Fi und GPS. Landwirtschaftsgeräte nutzen jetzt auch zunehmend das LoRa-Protokoll sowie NTRIP, das zu einer genauen Positionierung beiträgt.

Im Fall des Landmaschinenherstellers John Deere entdeckte Sick Codes, dass Informationen und Steuerung aus der Ferne über das John Deere Operations Center erfolgen können, in das er und seine Kollegen eindringen konnten.

Er entdeckte mehrere Schwachstellen, darunter auch ein grundlegendes Problem bei der Aufzählung von Benutzernamen, wie er es nannte. Mit dieser Schwachstelle war es ihm leicht möglich, die Benutzernamen der Gerätebesitzer zu ermitteln. Außerdem gab es eine Cross-Site-Scripting-Schwachstelle (XSS), die es dem Forscher ermöglichte, noch mehr Informationen zu erhalten.

„XSS ist natürlich eine sehr einfache Schwachstelle, aber sie zeigt, dass grundlegende Schwachstellen nicht berücksichtigt werden“, so der Forscher.

Wie sich herausstellte, war die XSS-Schwachstelle nur das geringste der Probleme. Sick Codes beschrieb, wie er sich Zugang zu einem Remote-System verschaffen konnte, das ihm im Wesentlichen die Kontrolle über einige angeschlossene landwirtschaftliche Geräte gab, auf die das John Deere Operations Center Zugriff hatte.

„Wir konnten buchstäblich alles mit dem John Deere Operations Center machen, was wir wollten, Punkt“, sagte er.

Der Forscher stellte fest, dass alle Informationen über die Schwachstellen an John Deere weitergegeben wurden, aber das Unternehmen nicht sofort reagierte. Der Forscher schaltete dann auch die Cybersecurity and Infrastructure Security Agency (CISA) der US-Regierung ein, die bei der Behebung der Probleme half.

Sie denken über Cyber-Sicherheitsmaßnahmen nach? CyberCompare hat geprüfte Anbieter im Portfolio und liefert Ihnen als unabhängiger Marktteilnehmer kostenfreie und unverbindliche Vergleichsangebote. Sprechen Sie uns an (Mail an uns) oder testen Sie Ihr Cyberrisikoprofil mit unserer Diagnostik.

Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.

Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.