37C3: Übertreibt es nicht mit der Softwareisierung – Geheimnisverlust droht

Inhaltsverzeichnis

Software Defined Everything (SDx) gehört zu den Buzzwords der heutigen IT-Welt. Etwa in den Bereichen der Steuerung von Mobilfunknetzen, Datenverarbeitung und -speicherung sowie Gerätevernetzung werden viele klassische Hardwareobjekte in Softwarefunktionen umgewandelt. Apps auf dem Smartphone haben beispielsweise Navigationsgeräte und MP3-Player weitgehend ersetzt. Auch vor der IT-Security macht der Trend nicht mehr halt. Doch gerade auf diesem Gebiet sollte die Branche es mit der 'Softwareisierung' nicht zu weit treiben, waren sich Hacker vom Chaos Computer Club (CCC) am Samstag auf dem 37. Chaos Communication Congress (37C3) in Hamburg einig.

Albträume im Security-Bereich

Fest machten sie diese Warnung bei der traditionellen Vor- und Rückschau auf die größten Albträume im Security-Bereich kurz vor Ende der Konferenz vor allem mit Blick auf den "Google-Authenticator". Der US-Konzern bietet zwar noch physische Titan-Sicherheitsschlüssel an, die den Passwort-Ersatz Passkeys nach FIDO-Standards speichern können. Die Technik basiert auf FIDO2-Zugangsdaten und kryptografisch abgesicherten Geheimnissen ("Secrets"). Die meisten Betriebssysteme können mittlerweile aber selbst als Passkey-Authenticator im Rahmen der Zwei-Faktor-Authentisierung (2FA) arbeiten, wodurch ein separater FIDO2-Stick wie der Google-Sicherheitsschlüssel für diesen Einsatzzweck eigentlich gar nicht mehr nötig ist.

"Früher war es ein Token, dann eine App", konstatierte Ron Hendrik Fulda vom CCC in Hamburg. Letztlich könnten Anbieter wie Google so "Secrets einfach in die Cloud kopieren". Doch sein Sparringspartner Frank Rieger weiß, wo die Transformation in Software bei solchen Fällen hinführen kann, bei einem Verlust des Smartphones. Dann gelte es nur noch, den "User-Schmerz" zu lindern: "Die Leute wollen ihr Telefon recovered haben." Denn da sei der Authenticator drauf, von dem es oft "kein Backup gibt". Bei 2FA empfehle es sich, immer zwei dafür taugliche Geräte zu haben und einen Passkey-Stick am besten an einen sicheren Ort zu legen sowie die PIN nicht zu vergessen.

Der Netzwerkausrüster Citrix fühlt sich zunehmend zu SDx genötigt. Erst jüngst sorgte die Schwachstelle CitrixBleed (CVE-023-4966) in Netscaler ADC und Gateway für Schlagzeilen, nachdem etwa die Erpresserbande Medusa diese unter anderem für einen Ransomware-Angriff auf Toyota Financial Services (TFS) missbrauchte. Vermutungen zufolge erleichterte dies ein veraltetes Citrix Gateway Endpoint im deutschen Büro der Hausbank des Autoherstellers, das seit August 2023 nicht aktualisiert worden sein soll. Neu an der Sicherheitslücke war Fulda zufolge, dass zum Schließen "Patchen nicht gereicht" habe. Es sei zusätzlich nötig, "alte Sessions wegzuputzen auf Maschinen" und Tokens neu zu machen.

Administratoren erfahren oft gerade in der Weihnachtszeit bei der Familie, dass angesichts der digitalen Gerätevielfalt eine Müdigkeit um sich greift, Sicherheitsupdates einzuspielen. Fulda zauberte bei dem mit viel Hacker-Ironie gewürzten Brainstorming daher das kommende Geschäftsfeld Patch-Coach aus dem Hut. Die Branche brauche mehr Leute, die Nutzer motivierten: "Tschakka, du kannst es schaffen, auch in deiner Umgebung." Für die Reichen und ganz Paranoiden gebe es zusätzlich einen Workaround-Coach, der gleich den doppelten Tagessatz ansetzen könne.

Gibt es einen Plan B?

Auch Softwarenachfolgeplanern prophezeien die Experten eine güldene Zukunft. Es würden immer mehr Module, Bibliotheken und Plug-ins eingesetzt, "wo niemand eine Idee hat, wie solide ist die Struktur", weiß Rieger. Unklar bleibe oft, ob als Entwickler ein Enthusiast oder ein Team fungiere und wie die Finanzierung laufe. Die meisten Unternehmen hätten keinen blassen Schimmer, "wie fragil ihr Software-Ökosystem ist". Der Sovereign Tech Fund sei daher ein Fortschritt für die Projektabsicherung. Bei Log4j habe es zumindest noch einen Zuständigen gegeben, unkte Fulda. Das sei schon "fast ideal" gewesen. Andernfalls stelle sich oft nur noch die Frage: "Halten wir es selber aufrecht" oder gebe es einen Plan B?

Das Duo spekulierte auch über moderne digitale Flüche und andere IT-Grenzfälle. In der Software-Entwicklung gelten solche "Edge Cases" als Fehler, auf die Benutzer selten stoßen – manchmal aber eben doch. Etwa, wenn sich mehrere Anwender gleichzeitig mit gleichem Nutzernamen zu registrieren versuchen oder User auf ungewöhnliche Bildschirmgrößen und Auflösungen oder veraltete beziehungsweise ganz neue Zugangstechnik setzen.

Auch der Nachname "Null" sowie Geburtstage an einem Schalttag oder zum Start der Unix-Zeit am 1.1.1970 (The Epoch) gehören den Hackern zufolge zu solchen von der IT nur schwer handhabbaren Fällen. Rieger forderte angesichts der zunehmenden Prozessautomatisierung in Firmen und der damit verknüpften Zunahme entsprechender Vorkommnisse "Grenzfallgesetze", um eine systematische Lösung dafür zu finden. Darin könnte etwa klargestellt werden, ab welcher Größe sich Unternehmen um Edge Cases kümmern müssten.

Warner vor der Technik-Apokalypse

Im Bereich Künstliche Intelligenz vermissen die beiden noch ein "fancy Angriffs-LLM", also ein großes, für viele Zwecke einsetzbares Sprachmodell, das auch "selber mal losgeht". WormGPT und FraudGPT seien zwar gute Anfänge, aber doch noch hauptsächlich auf das automatisierte Schreiben halbwegs glaubwürdiger Phishing-Mails fokussiert. Andererseits sei der von ihnen vor zehn Jahren skizzierte Trojaner-Installer-Psychologe damit als Erstes an ChatGPT & Co. outgesourct worden. Absehbar sei zudem, dass LLMs verstärkt etwa bei einer Restaurantreservierung direkt miteinander redeten. Bestenfalls tauschten sie sich dabei gleich über eine geeignete Schnittstelle aus, um den Umweg über die menschliche Sprache zu vermeiden.

Vom Cyberwar haben die Warner vor der Technik-Apokalypse spätestens seit dem russischen Angriffskrieg auf die Ukraine dagegen genug. Dieser startete schon mit einer Wiper-Attacke auf den Satellitenbetreiber Viasat. Inzwischen hat es auch den größten ukrainischen Mobilfunkbetreiber erwischt. Eine Folge davon laut Ansicht der Experten: Günstige Versicherungen gegen Cyberschäden sind kaum mehr zu ergattern. Furcht jagen den Hackern ferner überfürsorgliche Algorithmen ein, auf deren Basis etwa Autos die Insassen in gewissen Gegenden nicht mehr aussteigen lassen oder Banken ungewöhnliche Transaktionen automatisch rückabwickeln. Fehle nur noch der Aufzug, der Einsteigende wissen lasse, sie sollten besser nicht nach oben fahren.

(tiw)