Dass das nicht so einfach ist glaub ich schon, und das ist ja eigentlich auch grad der Punkt dran. Die Tricks und Kniffs die in Security-Kreisen angewendet werden sind oft eher etwas wo man sich denkt 'Hmm, döh, stimmt eigentlich', und weniger 'Naja eh klar'. Dementsprechend wenn man der Meinung ist, dass das eigene System sicher ist und man alle Lücken gefunden hat, dann ist die Wahrscheinlichkeit sehr groß, dass es trotzdem noch Lücken gibt, aber man sie einfach nicht kennt.
Kaum jemand (außer der NSA und Friends) baut
absichtlich Löcher in sein System rein, aber dennoch sind die Nachrichten ständig voll von Meldungen über neue kritische Löcher oder wichtige Updates, selbst Zero-Days sind fast Tagesordnung.
Heute z.B.: Ein Weg um
SCADA-Steuerungssysteme übers Internet anzugreifen, mit Opensource software.
Oder: Android Geräte per RemoteAdmin software einfach
mit selbsterstellten Zertifikaten komplett übernehmen
Oder derzeit grad recht aktuell:
Stagefright, ein Bug in Adroid (mal wieder..), wo man per Video potentiell Schadcode reinladen kann..
Oder gestern, besonders nett fand ich vorgestern oder so die Meldung, dass manche Handies mit Fingerabdrucksensoren den Zugriff auf die Raw-Daten vom Sensor erlauben. Hab jetz grad den Link nicht zur Hand, aber im Whitepaper von der Blackhat stand dann drin dass bei einem HTC der gescannte Fingerabdruck einfach als world-readable Datei in /tmp/ landet, und dort auch bei jedem scan aktualisiert wird.. das ist natürlich besondere Unfähigkeit und braucht nicht mal besondere Techniken zum Angreifen. Alles was ein Angreifer also tun muss ist per App/Webseite/Exploit/Videodatei.. die Datei in /tmp/ zu lesen und bei sich mit dem User-Account zu verknüpfen. Damit kann er eine Datenbank mit Fingerabdrücken zu User-Accounts automatisiert aufbaun, und damit in weiterer Folge potentiell alles entsperren, was mit mit Fingerabdruck von diesen Usern gesichert ist.. vom Lock-Screen angefangen bis hin zu Bank-Transaktionen. Auf manch anderen Handies ist es zwar etwas schwerer an den Scan ranzukommen, aber auch nicht unmöglich. Und den Fingerabdruck (oder das Gesicht) kann man jetzt einfach mal so ändern wie ein Passwort
Die Idee, dass man irgendwas vernetzt, und das ist dann in irgendeiner Form sicher vor Angriffen oder einfach auch nur vor Fehlern, ist nur naiv bis dumm. Drum muss man sich bei so was immer die Frage stellen, was sind die möglichen negativen Konsequenzen, und ist es einem das wert.
Wenn einem der Hersteller remote das Auto abdrehn kann, dann kann das auch wer anderer (Z.B indem man über diesen SCADA Hack von heut in dem sein Netzwerk reinkommt..weil beim Firmennetz ist dann ja auch üblicherweise alles vernetzt). Das fängt schon mal mit dem Leasing-verkäufer an, der einem das Auto am nächsten Parkplatz abdreht wenn mal eine Überweisung schiefgeht..
Man darf sich das aber auch nicht mehr so vorstellen, dass da irgendwer wie diese Security-Experten allein in ihrem Keller sitzen und versuchen, zum Spaß irgendwelche Programme zu hacken um dann damit Schabernack zu treiben, diese Zeiten sind vorbei. Die Szene ist mittlerweile auch schon komplett kommerzialisiert, mit Anbietern, Resellern und Providern. Die Datenbank mit den Fingerabdrücken z.B. wird dann nicht von dem Sammler selber und nur von ihm verwendet, sondern verkauft und
jeder Angreifer kann da dann drauf zugreifen, auf alle Ewigkeit, für welchen Zweck auch immer. Damit bleibt von biometrischen Verfahren eigentlich nur mehr verbrannte Erde.
Wenn mans nicht grad mit Industriespionage/-sabotage oder dem was die Geheimdienste treiben zu tun hat, läuft das eher so ab, dass es Teams gibt, die einfach nur Exploits basteln (also Methoden, um Systemen Schadcode unterzujubeln), und die dann verkaufen. Die Exploits werden dann nicht direkt verwendet, sondern zu Exploitkits mit Frontends gepackaged. Man kann sich dann so ein Exploitkit Tage/wochen/..weise mieten, lädt per Webfrontend seinen Schadcode (Payload) rauf, und der Betreiber vom Exploitkit kümmert sich drum, dass die Payload möglichst oft wo ankommt, sprich, dass er immer die neuesten (und bestehenden) Exploits in seinem Kit drin hat, dass er die Infrastruktur am laufen hält um die Exploits und Payload zu hosten und zu verteilen, ..
Der Benutzer bekommt dann einen Link, den er halt irgendwie unters Volk bringen muss, der dann auf die Server vom Exploitkit-Betreiber zeigt und wo dann der Javascript/Flash/.. code liegt der versucht das Exploit zu laden. Der Link landet dann entweder in Spam-Mails, oder noch einfacher in Werbe-Ads oder Youtube-Videos (wie bei dem Stagefright-Bug), oder verwendet gute alte Search-Engine-Optimization (also Sinnlos-Seiten die voller autogeneriertem Text, wahllos zusammenkopierten Artikeln und Links sind, kennt wohl auch jeder). Bei Werbe-Ads hat man früher die Adserver gehackt, mittlerweile schalten die Angreifer einfach ganz 'legal' eigene Werbung auf hochfrequentierten Seiten, ist einfacher und letztlich wohl sogar billiger. Wenn man dann auf Amazon irgendwelche Ads für russische Produkte sieht oder sich hinter dem vielversprechenden Google-Link eine eher seltsame Seite wiederfindet, ist die Chance hoch dass grad irgendein Javascript code das eigene Betriebssystem auf Schwachstellen abklopft
Diese verdammten Flash- und Javascript-Ads legen einem daher nicht nur den Rechner lahm, sondern sind auch die perfekten Virenschleudern. Ein Grund mehr per AdBlock die Werbefuzzis wieder zum guten alten Gif zurückzuzwingen.
Die Payload, also die Funktionalität, ist sehr vielfältig, und wird oft auch gleich in Form von Kits als Komplettpacket mit Exploitkit als Crackkits von Resellern bereitgestellt. Das kann ein Spam/Virenschleuder-Dienst sein (hatte ich auch schon mal auf meinem Linux-Server), ein Botnetz-Node (von solchen Bots seh ich täglich und kontinuierlich Versuche in den Logs, mein SSH-Passwort zu erraten), ein Dienst der im Hintergrund ständig Ads klickt um dem Betreiber Ad-Einnahmen zu erzeugen (gab grad ne Studie, dass es da ein paar tausend Apps im Playstore gibt die das machen). Root-kit installationen die einem den Server komplett übernehmen sind quasi die Königsklasse, aber anscheinend recht selten im Umlauf, weil man mit der vollen Kontrolle vom Server eh nicht viel anfängt wenn man einfach nur Spam schleudern will. Banken-Trojaner sind etwas üblicher, aber anscheinend eher schon das Revier von organisierten Verbrechen als Script-Kiddies, weil man das Geld erst mal waschen muss, da braucht man schon etwas mehr dazu.
Sehr beliebt sind derzeit allerdings Viren, die einem die Platte verschlüsseln, um dann damit Geld zu erpressen. Der "Vorteil" ist, dass das relativ sicheres Geld ist, weil da viele doch bereit sind, auch mal einen größeren Betrag zu zahlen.
Es kann sich jetzt jeder selbst überlegen, was passiert, wenn Exploits um Autos komplett zu übernehmen in den Kits auch erst verfügbar sind. Nachdem die Vernetzung meist zentral über den Hersteller läuft, braucht man in dem Fall nicht mal jedes Auto-Entertainment-System einzeln auf eine Exploit-Seite locken, es reicht vollkommen den Hersteller einmal zu hacken, um möglichst vielen Autos was unterzujubeln. Sony z.B. kann ja ein Lied davon singen, wie schnell das gehn kann
Wenn der Benutzer der Exploit-Kits das dann nutzen kann, um dann auch nur bei 5% der Autos Meldungen ala 'Geben Sie hier ihre Kontonummer und PIN ein, um die Features 'Motor Starten' und 'Bremsen' wieder freizuschalten' zu bringen, tippe ich drauf dass es da ziemlich schnell finanziellen Anreiz gibt um das mal umzusetzen..
(Bei den Desktop/Phone Exploits sind Erfolgsraten von so 10-20% anscheinend üblich, also jeder 5. bis 10. der einen Link verfolgt, 'freiwillig' durch anklicken oder unfreiwillig, bekommt erfolgreich die Payload drauf). Es würd mich nicht mal im Geringsten überraschen, wenn man dann grad die Cryptochips, die dann die Hersteller auf ihre Motorcontroller drauflöten erst recht dazu verwenden kann, um das Auto auch gegenüber dem Hersteller erfolgreich zu bricken..
Normalerweise dauert es zwischen einer halben Stunde bis ein paar Stunden vom Bekanntwerden einer Sicherheitslücke bis ein funktionierender Exploit dafür in den Kits eingebaut ist. Die Exploit-Teams liefern sich da schließlich regelrechte Rennen, wer als erster den Hack am Laufen hat; da gehts letztlich um Street-Cred und Kundenservice. Insofern wunderts mich nur, dass es bisher anscheinend noch keine Angriffe auf Autos in freier Wildbahn gab, aber ich vermute das ist wohl eine Sache der Verbreitung, so wie früher nur Windows und jetzt zunehmend Android und iOS angegriffen wird.. das kommt erst wenn diese "Smartcars" mehr Verbreitung finden.
Letztlich ist das alles nur eine Frage des Geldes.. Und der Endnutzer dieser Crimeware muss nicht mal programmieren können. Aber wie es so schön heißt: Es gibt bis jetzt keinen Virus, der über ein abgestecktes Kabel drüberkommt und das Passwort von einem Papierzettel liest
I find your lack of platform support disturbing.
