34C3: Hacker werben für Cryptocats als Update-Bonus und Cloud-Exorzismus

Wer ein Sicherheits-Update einspielt, sollte mit einem niedlichen virtuellen Kätzchen belohnt werden, fordern CCC-Veteranen halbernst. Nötig sei die "Gamification des Patching". Am Horizont sehen sie "Ransom-Coin-Mining-Ware".

In Pocket speichern vorlesen Druckansicht 44 Kommentare lesen
34C3: Hacker werben für Cryptocats als Update-Bonus und Cloud-Exorzismus

Frank Rieger und Ron Hendrik Fulda vom Chaos Computer Club auf dem 34C3

(Bild: CC by 4.0 34C3 (media.ccc.de))

Lesezeit: 5 Min.
Von
  • Stefan Krempl
Inhaltsverzeichnis

Es ist ein wachsendes und ungelöstes IT-Security-Problem, dass verfügbare Flicken zum Abdichten von Lücken nicht eingespielt werden. Android-Sicherheits-Updates etwa "erreichen nur 50 Prozent der Geräte", wusste Ron Hendrik Fulda vom Chaos Computer Club (CCC) am Samstag auf dem 34. Chaos Communication Congress (34C3) in Leipzig zu berichten. Vielfach ließen Nutzer die Patches links liegen, da sie fürchteten, dass aufgespielte Software im Anschluss nicht mehr funktioniere, ergänzte CCC-Sprecher Frank Rieger. Übeltäter zerlegten gleichzeitig die zur Verfügung gestellten "Patches" und fänden damit den ein oder anderen "Bug" heraus.

Ein Gerücht rund um Apples Mobilsystem, wonach bei iOS wirklich schicke Emojis an besonders wichtigen Sicherheits-Updates hängen, brachte die Hacker auf eine Idee. Ein vergleichbares Belohnungssystem könne man doch aufs "Internet of Things" (IoT) anwenden, fabulierte Fulda in dem traditionellen, mit viel Hackerironie gewürzten Aus- und Rückblick auf alte und neue Security-Debakel. Es sollte doch möglich sein, an jedes vernetzte Gerät ein Display zu machen, "wo dann ein niedliches Kätzchen blinzelt". "Cryptocats als Update-Bonus", sponn Rieger den Gedanken im Einklang mit dem Erfolg des Ethereum-Sammelspiels CryptoKitties weiter. Fulda zeigte sich überzeugt: "Wir brauchen die Gamification des Patching".

Als kommendes Berufsfeld machten die Sicherheitsexperten beim Blick in die Glaskugel zugleich "IoT-Geisterjäger" aus als Ergänzung zu den im Vorjahr propagierten "Wünschelrutenläufern" für das Internet der Dinge. Die künftigen Ghostbusters müssten die vernetzten Geräte und die darauf lauernden Computerschädlinge genau im richtigen Zeitpunkt einfangen, damit man sie hinterher noch analysieren könne. Auch "Malware-Wertschöpfungskettenprüfern" malte das Duo eine rosige Zukunft aus. Ransomware wie WannaCry und Co. sei das "Geschäftsmodell der Wahl", oft hapere es dabei aber noch an der "Compliance" und am "Kunden-Support", sodass Betroffene das geforderte Lösegeld gar nicht zahlen könnten.

Ein "Coin Miner", der mit fremden Rechnerressourcen im Auftrag Dritter virtuelle Münzen generiere, sei da attraktiver, unkte Fulda: "Da muss man den Leuten am Telefon nicht erklären, wie sie Bitcoin kaufen." Der Clou wäre eine "Ransom-Coin-Mining-Ware", setzte Rieger in dem halbernsten Schlagabtausch einen drauf. Ein betroffener Nutzer erhalte dann die Nachricht, dass sein Computer mal zwei Wochen beschlagnahmt und fürs Währungsschürfen zweckentfremdet werde. Das Problem bei Bitcoin sei nur, dass die Platte gern mal abrauche oder die benötigten Passwörter für die virtuelle Geldbörse dem Gedächtnis entflögen. Erforderlich sei daher auch ein "Recovery-Hypnotiseur", der gegebenenfalls natürlich eine Erfolgsbeteiligung einfordern könnte.

Im "Cloud-Exorzismus" sehen die Auguren ebenfalls ein potenziell lukratives neues Betätigungsfeld. "Eigentlich geiler Hardware" wie Amazons "Werbewanzengerät" Alexa oder Google Home, die "dicke Prozessoren" hätten, aber leider nach Hause telefonierten, könnte so "mit dem Kreuz die schlechte Seele" ausgetrieben werden, prophezeite Rieger. Das mit dem "Cloud rausmachen" sei im Kommen, bestätigte Fulda und verwies auf den auf dem Kongress vorgestellten Hack eines chinesischen Staubsauger-Roboters. Die große Frage sei nur: "Funktioniert das mit Hausbesuchen oder mit Fernwartung?"

Die Trendthemen Maschinenlernen und Künstliche Intelligenz (KI) durften in der Vorausschau natürlich nicht fehlen. Die "autogenerierten Kinder-Anfix-Videos auf YouTube" seien bei solchen Begegnungen zwischen Bots und Menschen erst der Anfang gewesen, prognostizierte Rieger. Angesichts eines besseren Text- und Sprachvermögens von Maschinen dürften Werbeanrufe mit kaum mehr erkennbarer Roboterstimme bald zunehmen. Absehbar seien auch Therapeuten, die auf Maschinenlernen basierten. Weniger beruhigend fand er, dass Ampelschaltungen "für die KI" einen Moment lang so aussähen, als ob Rot und Grün gleichzeitig aufleuchteten: "Und damit fahren Autos dann mit uns."

Fulda sprach sich für ein automatisiertes "Social Score Management" mithilfe von KI aus, um neuen Bewertungssystemen von Regierungen nicht nur in China rasch etwas entgegensetzen zu können. "Facelifting" von Profilen in sozialen Netzwerken dürfte ebenfalls an Bedeutung gewinnen, fügte Rieger an. Man müsse vor allem bei Grenzübertritten alternative "aufgehübschte" und unkontroverse Social-Media-Kennungen vorweisen können. Etwas erstaunt waren die Hacker angesichts einer momentan auszumachenden "virtuellen Twitter-Dissidentenwanderung nach Deutschland". Die Zensur hierzulande gefalle wohl solchen Nutzern, die ihr Herkunftsland entsprechend änderten, meinte Rieger. Damit seien sie wenigstens "viele Nazis los". Fulda vermisste aber noch eine aussagekräftige "Dokumentation für die Filterwolke". Man wüsste ja gerne vorab, unter welchen Kriterien die Plattformbetreiber in welchen Regionen die Meinungsfreiheit einschränkten. (se)