Black-Hat-Teilnehmer blicken in die Zukunft Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


25.08.2011 Edmund E. Lindau

Black-Hat-Teilnehmer blicken in die Zukunft

Auf der Black Hat in Las Vegas traf sich die Elite der IT-Security-Industrie und demonstrierte, was hackbar ist.

Rund 4.000 sogenannte »ethische Hacker« trafen sich Anfang August auf der Black-Hat-Konferenz in Las Vegas, um Sicherheitslücken aufzudecken und diese in Zusammenarbeit mit Herstellern, aber auch mit Regierungen und anderen Stellen, zu schließen.IT-Sicherheitsspezialisten, Hacker und universitäre Forscher haben auch in diesem Jahr zahlreiche prominente Firmen ins Visier genommen und zeigten gnadenlos die Schwachstellen auf. Eine der gravierendsten, mit noch nicht abschätzbaren weltweiten Folgen, betrifft eine Sicherheitslücke in den Industriesteuerungs-Anlagen (Supervisory Control and Data Acquisition, SCADA) vom Typ Siemens Simatic S7.

Dillon Beresford, Security Researcher bei NSS Labs demonstrierte, wie einfach das Industriesystem S7 von Siemens auszuhebeln ist. Ein Vortrag wenige Monate zuvor wurde unter anderem durch das Department of Homeland-Security verhindert. Auf der Black Hat durfte Dillon Beresford seine jüngsten Ergebnisse über die Sicherheit von SCADA-Software nun vorstellen.

Trotz Passwortschutz von Seiten der Techniker konnte er Daten im Speicher lesen und schreiben. Im Falle von fertigenden Betrieben könnten somit theoretisch alle Prozessschritte nachvollzogen werden. Der Nachbau wäre so ein Leichtes. In der S7 300 fand Beresford eine von Siemens-Entwicklern zurückgelassene Konsole, die diesen Zugriff erst möglich macht. Nach einigem Probieren ist es Beresford dann gelungen, einen Benutzernamen und ein Passwort herauszufinden, dass ihm weitere Schritte erlaubte. Tanzende Äffchen als Easter Egg in der Firmware beweisen zwar den Humor der Siemens-Mitarbeiter, aber anhand der Brisanz einer solchen Lücke dürfte wohl einigen das Lachen vergangen sein.

Neben Apples iOS war auch das Cloud-Betriebssystem Chrome OS von Google Thema. Die Forscher Matt Johansen und Kyle Osborn haben das System detailliert untersucht. Chrome OS ist demnach zwar an sich sicher, allerdings gilt das nicht für viele Anwendungen, die als Erweiterungen installiert werden. Viele davon arbeiten im Grunde wie Webdienste und sind daher anfällig für gängige Attacken wie Cross-Site-Scripting oder SQL-Einspeisungen. Das Fatale daran: Da Chrome OS im Grunde komplett auf den Browser Chrome setzt, ist die Arbeit mit diesen Erweiterungen eine unbedingt notwendige Voraussetzung. Da sich diese noch dazu zahlreiche Berechtigungen einräumen, können Angreifer über weit verbreitete Schwachstellen etwa die Kontakte aus den Google-Accounts stehlen oder einen Wurm programmieren, der sich an alle Kontakte verschickt. Johansen und Osborn betonen, dass die Schuld dafür nicht bei Google, sondern bei schlampig oder falsch programmierten Erweiterungen zu suchen sei. Allerdings weisen sie auch darauf hin, dass es bei Google keinen ernstzunehmenden Review-Prozess gebe, selbst offensichtlich bösartige Anwendungen konnten die Forscher im offiziellen Marktplatz unterbringen.

Auch die Verschlüsselung von Windows hat ein Sicherheitsleck, wie Sicherheitsforscher Elli Burszstein auf der Konferenz verkündete. Während einer Präsentation zeigte Bursztein, wie sich ein Laptop-Dieb den Zugang zu Passwörtern verschaffen kann, etwa für Web-Accounts von Amazon, Google, Yahoo, Facebook oder beliebigen anderen. Eigentlich sollten solche Passwörter durch die in Windows integrierte Verschlüsselung geschützt sein.

Ebenso bekam SAP sein Fett ab. Der IT-Sicherheitsexperte Alexander Polyakov entdeckte eine Schwachstelle in der von SAP bereitgestellten Fernwartungs-Software. Er konnte eine Google-Suchanfrage stellen, die potenziell verwundbare SAP-Systeme identifiziert und anschließend über »fiktive Benutzerkonten« gezielt den eigentlichen Angriff durchführt und Zugriff auf sensible Firmendaten erhält.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • catWorkX GmbH

    catWorkX GmbH mehr
  • SNP AUSTRIA GmbH

    SNP AUSTRIA GmbH Qualitätssicherung, Kaufmännische Software (ERP), Tools, Programmiersprachen, Datenkonvertierung, Übernahme von Softwareprojekten, Systempflege- und Wartung,... mehr
  • NAVAX Unternehmensgruppe

    NAVAX Unternehmensgruppe Wasser- und Energieversorgung, Vereine und Verbände, Öffentliche Verwaltung, Medizin und Gesundheitswesen, Maschinen- und Anlagenbau, Konsumgüterindustrie, Immobilien,... mehr
  • Bechtle IT-Systemhaus Österreich

    Bechtle IT-Systemhaus Österreich WLAN-Systeme, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management, Server-Betriebssysteme, Verschlüsselungs- und Kryptografie Software, Security Audits, Notfalls-Rechenzentren,... mehr

Hosted by:    Security Monitoring by: