Blackberry-Hack erweist sich als weitgehend harmlos
Ein auf der Defcon-Sicherheitskonferenz vorgestellter Blackberry-Hack namens "BB Proxy" soll Angreifern den Zugang zu Firmennetzen ermöglichen. Dies gelingt jedoch nur mit Fehlkonfigurationen und reichlich Nutzerinteraktion.
Auf der Sicherheitskonferenz Defcon hat Jesse D'Aguanno einen Blackberry-Hack vorgestellt, der Angreifern den Zugriff auf das interne Firmennetz ermöglichen soll. Die Financial Times Deutschland berichtete bezugnehmend auf einen Artikel in Wired darüber und löste damit Verunsicherung bei Blackberry-Nutzern aus.
Der BBProxy genannte Hack baut auf das Vetrauensverhältnis zwischen Blackberry und dem Firmennetzwerk, um über den verschlüsselten Tunnel zwischen den Geräten in das Firmennetz einzudringen. Dazu stellt BBProxy eine Internetverbindung zu dem Rechner des Angreifers her. Dieser erhält in Folge über den Blackberry Zugriff auf im Firmennetz erreichbare Rechner. Intrusion-Detection-Systeme schlagen für gewöhnlich keinen Alarm, da die Netzwerkgrenze aus ihrer Sicht nicht verletzt wird. D'Aguanno schränkt jedoch ein, dass der Hack keinen Erfolg hat, wenn der Blackberry-Enterprise-Server (BES) beziehungsweise das Mailsystem vom restlichen Firmennetz entkoppelt ist.
Die verwundbare Konfiguration ist in etwa mit einem Firmennetzwerk vergleichbar, in dem alle Benutzer auf ihrem Arbeitsplatzrechner Administratorrechte erhalten. In einem unter Berücksichtigung gängiger Sicherheitsrichtlinien konfigurierten Netz ist der BBProxy-Hack jedoch nicht durchführbar. Zwar erlauben Blackberry-Handhelds in der Standardeinstellung, nach Rückfrage beim Benutzer Anwendungen zu installieren. In Firmen, die einen BES einsetzen, verhindern jedoch üblicherweise die vom Administrator eingerichteten Sicherheitsrichtlinien die Installation. Zusätzlich müssen Anwendungen für zu nutzende Kommunikationskanäle, wozu auch der Zugang zum Firmennetz gehört, explizit freigeschaltet werden.
Der BBProxy stellt nur dann eine Gefahr dar, wenn es der BES-Administrator versäumt hat, die von RIM in der Dokumentation empfohlenen Sicherheitsrichtlinien umzusetzen oder Ausnahmen definiert – so bestehen in zahlreichen Firmen einige Mitarbeiter doch häufig auf die vermeintlich statusträchtige Möglichkeit, selbst Software einspielen zu können. Auch dann muss der Benutzer noch die Software erst einmal installieren und den Netzzugang dafür komplett freischalten. BES-Administratoren sollten ihre Konfiguration gegebenenfalls noch einmal überprüfen. (dmk)
