17C3: Wovon Hacker mit Sicherheit schlecht träumen
Kurz vor dem Roboter-Sumo erstellten die Chaosjünger zum Abschluss ihres Jahrestreffens noch eine Liste mit den im nächsten Jahr bevorstehenden Sicherheits-Albträumen.
Das sich zum Ende neigende Jahr war reich gesegnet mit Sicherheitsdesastern: Schon zu Beginn mussten kommerzielle Webdienstleister wie Amazon.com, eBay, oder Yahoo sich gegen eine Welle von Distributed-Denial-of-Service-Attacken (DDoS) erwehren, im Mai erwischte dann ILOVEYOU viele klickfreudige Surfer kalt. Laptops blieben reihenweise in Taxis liegen oder wurden an Flughäfen geklaut. Back Orifice schlich sich auf zahlreiche weitere PCs ein – auf 20 bis 30 Prozent der vernetzten Windows-Rechner ist der Trojaner nach Meinung von Experten aus der Hackerszene inzwischen installiert. Der bei Network Associates ausgeheckte Einbau von "Additional Decryption Keys" (ADKs) in PGP verwandelte sich vom Feature zum Bug, da sich die automatisierte Generierung von Nachschlüsseln nicht auf geschlossene Firmenumgebungen einschränken ließ. Und die Filmindustrie musste sich über "Entschlüsselungssoftware" ärgern, die DVDs auch Linux-kompatibel machte.
Eine Trendwende fürs nächste Jahr ist nicht in Sicht. Eher dürfte alles noch schlimmer kommen. Schon warnen die Crackerjäger vom FBI vor DDoS-Angriffe großen Stils am verlängerten Neujahrswochenende. Doch das ist alles noch nichts gegen die Szenarien, die im Kreis der kritisch-schöpferischen Sicherheitsexperten auf dem 17. Chaos Communication Congress mit wohligem Gruseln und einem Schuss Schadenfreude gewälzt wurden.
Viren stehen als Verursacher neuer Security-Debakel ganz weit oben auf der Liste der Hacker. ILOVEYOU sei ja nicht so schlimm gewesen, amüsiert sich das Hamburger CCC-Mitglied Ron. Schließlich hätte ein solches Virus ja nicht nur MP3-Dateien umbenennen, sondern ganze Excel-Dateien Spalte für Spalte verändern können. "Eine Wiederholung ist jederzeit möglich", glaubt Ron, "da die Otto-Normal-Verbraucher sicher den Update-Button bei ihrer Anti-Virensoftware nicht finden – wenn sie denn eine haben."
Viel Spaß erhoffen sich die kreativen Computerforscher auch von der stärkeren Verbreitung drahtloser Netzwerke, so genannter Wireless LANs. Auf dem Congress waren die insgesamt 2342 Besucher in diesem Jahr selbst das erste Mal von mobilen Datenströmen umgeben, in die sie sich mit ihren "recht teuren Laptops" permanent im gesamten Haus am Köllnischen Park und Umgebung einloggen konnten.
Die Datenreisenden hoffen nun auf die weitere Verbreitung von Wireless LANs in Firmen, damit sie bald auch bei der Fortbewegung durch die Stadt oder im Café ständig "drin" sind. Wie einfach der "Hack" solcher Netzwerke ist, hatte ein Mitglied des Chaos Computer Clubs schon im Sommer bewiesen, als die über WaveLAN gesteuerten Bots im Themenpark der Expo plötzlich nach seiner Pfeife tanzten.
Für die ein oder andere Überraschung dürften nach Meinung der Hacker auch die Versuche von Regierungen und Unternehmen führen, Public-Key-Infrastrukturen (PKIs) um jeden Preis einzuführen. "Immer mehr Computer unterschreiben dann auf Anweisung, doch was genau da unterzeichnet wird, weiß keiner", zitiert Ron den Kryptoexperten Bruce Schneier. Denn letztlich könne keiner dafür garantieren, dass das auf dem Bildschirm Präsentierte auch mit dem signierten Dokument übereinstimme. "Der Kunde wird dann im Ernstfall beweisen müssen, dass er einen Vertrag gar nicht abgeschlossen habe", ärgert sich Ron, der ähnliche Haftungsdiskussionen wie nach der Durchsetzung der EC-Karte befürchtet.
Da auch biometrische Systeme, bei denen Körpermerkmale zur Identifizierung von Personen genutzt werden, im nächsten Jahr in immer mehr Bankautomaten oder anderen Rechner-gesteuerten Geräten Einzug halten werden, sehen die CCC-Experten auch bei Verbrechern neue Arbeitsmethoden. "Sie werden ihren Opfern Finger abhacken und Augen auskratzen", glaubt Ron. Dabei habe der Club bereits bewiesen, dass einfache auf Biometrie bauende Anwendungen bereits "mit ein bisschen Wachs oder Wurstpelle" zu überlisten seien.
Bleiben noch paranoide Naturen, die mit Hilfe von Überwachungssoftware am heimischen Computer überprüfen, ob die Lebensabschnittsgefährten heimlich chatten. Oder detaillierte Bewegungs- und Kundenprofile, deren Erstellung dank lokalisierter Handy-Applikationen zum Kinderspiel werden.
Doch letztlich wird man im kommenden Jahr mit dem Vordringen von "Embedded Systems" bei fast jeder Benutzung eines Geräts oder einer Maschine auf Überraschungen gefasst sein müssen. "Fahrstühle werden wilde Dinge tun, weil sie ans Internet angeschlossen sind", hat Ron ein Beispiel parat. "Sie werden die Stockwerke rekursiv abarbeiten." (Stefan Krempl) (jk)