Cyber Security – Wie sicher ist Ihr Computer, Tablet, Smartphone?

00 00 00 00

„Was können Sie sich unter dieser Ziffernfolge vorstellen?“

Mit dieser Frage holte der Referent Tobias Scheible die Zuhörer zum ersten Teil seines Vortrags ab. Das Entsetzen war in den Gesichtern der Zuhörer abzulesen, als Sie die Auflösung erfuhren: Es war der ehemalige Abschusscode für die Atomraketen der US-Streitkräfte und somit ein abschreckendes Beispiel für ein unsicheres Passwort. Um die Soldaten in der Stresssituation eines Abschusses nicht durch kryptische Zahlenkolonnen zu verwirren, wurde bewusst dieser simple Code gewählt.

Der nukleare Tod war nur acht Nullen weit entfernt!

89 > 19 > 1

Nach einem kurzen Ausflug in die Entwicklungsgeschichte von Schadsoftware und deren aktuellen Vorfälle zeigte Herr Scheible, wie unsicher manche Betreiber ihre Onlineshops gestalten. Mit einfachen Bordmitteln, die gängige Browser von Haus aus mitbringen, lässt sich die Website eines Onlineshops auf potentielle Fehler untersuchen und entsprechend manipulieren. So wurde im gewählten Onlineshop aus einer Motorradjacke, die ursprünglich 89,00 Euro kostete, ein Sonderangebot zu 19,00 Euro und wurde in den Warenkorb gelegt. Dem nicht genug, wurde die Artikelbezeichnung einer zweiten Motorradjacke in „Gutschrift“ geändert, der Preis auf -18,00 Euro gesetzt und das Ganze ebenfalls dem Warenkorb hinzugefügt. Heraus kam ein symbolischer Kaufpreis für die erste Motorradjacke zu 1,00 Euro. Hier brach Herr Scheible ab, denn würde man nun eine Bestellung auslösen, wäre dies eine Straftat. Dem hinzuzufügen wäre, dass der ausgewählte Onlineshop nur die Testumgebung eines real existierenden Onlineshops ist.

Der geklonte tekom-Kompetenzrahmen

Im Internet gibt es zahlreiche Dienste mit teilweise fragwürdigem Nutzen. So musste die tekom-Website zu Demonstrationszwecken für einen Dienst herhalten, mit dem es möglich ist, eine Website zu klonen. Aus dem „Kompetenzrahmen für die Technische Kommunikation“ auf tekom.de wurde ein Klon erstellt, der dem Original verblüffend ähnelte. Herr Scheible veränderte nur dessen Texte und tauschte einzelne Bilder aus. Dies ist dem Betrachter auf den ersten Blick nicht sofort ersichtlich, denn die im Browser eingeblendete URL schien zu stimmen, nur der neu hinzugefügte Teil der URL des Webdienstes war im hinteren Teil ausgeblendet. Der Webdienst kennzeichnete den Klon zusätzlich mit einem Werbebanner, das den unteren Teil der Website durchlief. Diese Demonstration zeigt, nicht immer dem gewohnten Verhaltensmuster zu folgen und auch einmal genauer hinzuschauen, wohin man surft.

Webcam, SMS und Brute Force

Zur allgemeinen Belustigung der Zuhörer führte die gezielte Suche nach Webcams, die eigentlich nicht für die Öffentlichkeit bestimmt sind. Hier ist jedem Nutzer eines solchen Geräts anzuraten, die Netzwerkfreigaben genau zu prüfen und tunlichst sämtliche Standardpasswörter, meist aufgeführt in der Bedienungsanleitung, zu ändern.

In Besorgnis versetzte den einen oder anderen Zuhörer und Nutzer des mTAN-Verfahrens die Erkenntnis, dass dieses Verfahren gar nicht so sicher ist. Das Protokoll, das den hierbei genutzten SMS zugrunde liegt, bietet nicht die notwendige Sicherheit. Mit wenig Aufwand können vermeintliche Absender, z. B. die eigene Hausbank, vorgetäuscht werden.

Brute Force ist ein Verfahren, um Passwörter zu „erraten“. Mit Rechenleistung wird Zeichen um Zeichen des Passworts durch schieres Durchprobieren ermittelt. Um diesen Prozess noch zu beschleunigen, werden dabei auch ganze Wörterbücher herangezogen. Ein Tipp von Herrn Scheible ist, das Passwort u. a. aus Wörtern in lokalen Dialekten zu generieren, die nicht in Wörterbüchern erfasst sind.Auf gut Deutsch: A badisch' Passwörtle isch sicher!

Vom Keylogger zum USB-Killer

Zum Schluss ging der Referent von der Software zur Hardware über und zeigte einige Geräte aus dem Umfeld von Cyber Crime. Ein Keylogger, kaum größer als ein USB-Stecker, zeichnet sämtliche Passwörter auf, die über die Tastatur eingegeben werden. Wird dieser unbemerkt zwischen Tastatur und Rechner platziert, können per WLAN wichtige Firmendaten abfließen. Daneben gibt es noch sogenannte BadUSB-Geräte, die neben ihrem eigentlichen Nutzen, z. B. als Tastaturbeleuchtung oder Ventilator, in dem betreffenden Computer Daten erspähen. Die drastischste Form aller Geräte ist wohl der USB-Killer, der aussieht wie ein gewöhnlicher USB-Stick, aber in seinem Inneren statt eines Speicherchips Kondensatoren enthält. Diese werden solange aufgeladen, bis eine ausreichend hohe Spannung erreicht ist, um das Motherboard des betreffenden Computers mit einem Stromstoß zu zerstören.

Fazit

Die abschließende Frage, wer denn nun seine Passwörter ändern werde, wurde von einigen Zuhörern bejaht. Somit zeigt sich, dass man sich im Umfeld der IT nicht in absoluter Sicherheit wiegen kann. Der technische Fortschritt zwingt uns, unsere eigene IT-Sicherheit immer wieder aufs Neue zu prüfen, zu überdenken und gegebenenfalls anzupassen.

Vortragsfolien

Die Vortragsfolien folgen in Kürze!

Referenteninformation

Tobias Scheible arbeitet als wissenschaftlicher Mitarbeiter an der Hochschule Albstadt-Sigmaringen. Dort ist er in den Bereichen IT-Security und IT-Forensik tätig. Darüber hinaus teilt er sein Wissen in seinem Blog und hält Vorträge und Workshops zu aktuellen Themen der IT-Sicherheit.

scheible.it