Alles, was einen Chip hat, lässt sich hacken - aber nicht alle Hacks sehen gleich aus, wenn auch die Grundmuster meist identisch sind. Denn bei Millionen von infizierten Rechnern und Unternehmensnetzen jeden Tag bleiben innovative Angriffe Mangelware. Deshalb ist es nicht schwer, die wirklich neuartigen Angriffe zu entdecken. Die hier vorgestellten Extrem-Hacks der vergangenen Jahre heben sich wegen ihrer Angriffsziele oder wegen komplett neuer Methoden aus der Masse heraus. Sie reizen die Grenzen dessen aus, was Security-Profis zuvor als möglich erachtet haben und öffnen uns die Augen für neue Schwachstellen und Risiken.
Foto: Miki Simankevicius - www.shutterstock.com
Geldautomaten
Die meisten Geldautomaten sind mit einem Embedded OS ausgestattet und entsprechend angreifbar. Meist handelt es sich um Windows-Versionen, selten um Linux. Hinzukommt, dass diese eingebetteten Betriebssysteme häufig noch Java implementiert haben und auch so gut wie nie gepatcht werden. Und wenn es Updates gibt, dann garantiert nicht jeden Monat, sondern eher sporadisch. Die Geldautomaten-Software, die noch auf das OS aufgesetzt wird, enthält zusätzliche Sicherheitslücken, die sehr leicht auszunutzen sind. Die Automatenhersteller setzen einfache Default-Passwörter, bevor sie die Maschinen verschicken, damit die Banken diese schneller einrichten können - auch per Fernzugriff. Die wenigsten ändern die Voreinstellungen später dann noch ab. Die Folgen dieser Fehlerkette: Geldautomaten werden gerne gehackt, gerade dann, wenn sie einmal wieder frisch aufgefüllt wurden.
Der berüchtigste Geldautomaten-Hacker war "Barnaby Jack", gestorben 2013. Er begeisterte sein Publikum auf Sicherheitskonferenzen damit, ein oder zwei übliche Geldautomaten auf der Bühne aufzubauen und sie wenige Minuten später Falschgeld auszahlen zu lassen. Dafür setzte er eine Vielzahl von Tricks ein - seine bewährteste Methode war, einen Malware-verseuchten USB-Stick in den fast immer vorhandenen USB-Port des Geldautomaten zu stecken - dieser ist häufig nicht gut genug versteckt, geschweige denn abgesichert. Die Malware verband sich dann über einen bekannten Netzwerkport mit der Fernzugriff-Konsole und nutzte darüber eine öffentlich bekannte Schwachstelle aus, was den Automaten komplett kompromittierte. Nun konnte Jack Administrationsbefehle ausführen und sich das Geld auszahlen lassen. Dieser Angriff wurde als "Jackpotting" bekannt und seine Demonstration auf Veranstaltungen löste recht häufig Jubelstürme unter den Zuschauern aus, wie das folgende Video zeigt:
Herzschrittmacher und Insulinspritzen
Barnaby Jacks Geldautomaten-Angriff führte immerhin dazu, dass sich die Hersteller Gedanken machten und die simpelsten Angriffsvektoren später abzuwehren wussten. Jack wendete sich deshalb einer anderen Branche zu, um diese mit seinem Hackerwissen zu beglücken - der Gesundheitsbranche. Er lernte unter anderem sehr schnell, Herzschrittmacher und Insulinspritzen aus der Ferne anzugreifen. Die meisten medizinischen Geräte benötigen fünf bis zehn Jahre an Entwicklungs-, Test- und Zertifizierungszeit, bevor sie am lebenden Objekt eingesetzt werden. Was sich erst einmal gut anhört, hat eine Schattenseite: Sämtliche Software hat zum Zeitpunkt ihres Praxiseinsatzes bereits mindestens fünf Jahre auf dem Buckel und ist entsprechend unsicher. Schlimm ist zudem, dass sich die Entwickler häufig auf die Intransparenz ihrer Hard- und Software verlassen, was die Gerätesicherheit angeht. Getreu dem Motto "Security by Obscurity": Weil niemand außer dem Hersteller Quellcode und Bauplan bekommt, wird das Ganze schon sicher sein.
Es wird nicht besser. Im April 2014 veröffentlichte "Wired" einen Artikel darüber, wie einfach Krankenhaus-Equipment zu hacken ist - meistens deshalb, weil Standard-Passwörter fest eingebaut werden und sich nicht nachträglich ändern lassen. Natürlich müssen medizinische Geräte leicht zu bedienen sein und sie müssen auch dann noch funktionieren, wenn vorhandene Sicherheitsmaßnahmen ausgehebelt wurden. Das macht ihren Schutz so herausfordernd. Lange, komplexe und sich ständig ändernde Passwörter stehen der leichten Bedienung entgegen, darum kommen sie kaum zur Anwendung. Darüber hinaus ist nahezu sämtliche Kommunikation zwischen diesen Devices unautorisiert und unverschlüsselt.
Angreifer, die die richtigen Ports finden, können die Daten der Devices auslesen und abändern, ohne die geringste Störung im Betriebsablauf hervorzurufen - weder das Gerät selbst, noch die Steuerungssoftware oder andere beteiligte Systeme wie beispielsweise verknüpfte Patientendatenbanken bekommen etwas mit. Die meisten medizinischen Geräte verzichten nämlich auf eine grundlegende Integritätsprüfung, die die meisten solcher schadhaften Änderungen sofort aufdecken würde.
Medizinische Geräte werden nun schon seit knapp zehn Jahren von Hackern angegriffen. White Hats nehmen sich auf beliebten Hackerkonferenzen oft medizinische Geräte vor, ihre Verwundbarkeit ist also gut bekannt. Die Entwickler dieser Geräte arbeiten zwar daran, die größten Sicherheitslücken zu schließen, die langen Entwicklungszyklen machen eine zeitnahe Lösung jedoch schwierig. Aber allein der Fakt, dass es Kriminelle nicht viel Aufwand kosten würde, über Medical IT Menschen zu töten, zeigt, dass es höchste Zeit ist, sich um den Schutz vor allem von Herzschrittmachern und Insulinspritzen, aber auch anderem medizinischen Equipment zu kümmern.
Card Skimming
Etwas weniger lebensgefährlich agieren Card Skimmer, die aber immerhin Ihre Finanzen gewaltig aufmischen können. Der zugrundeliegende Hack ist relativ simpel: Der Angreifer platziert einen sogenannten Skimmer auf einem Gerät mit Eingabetastatur - wie Geldautomaten, Zapfsäulen oder Bezahlterminals - um Debit- und Kreditkartendaten samt PIN schon beim Eintippen abzugreifen.
Skimmer haben ihre Methoden weitgehend professionalisiert - arbeiteten sie zunächst noch mit zumindest für Experten schnell als solche erkennbaren Skimmern, sind ihre heutigen Geräte derart versteckt und immer häufiger auch ins Automateninnere hinein verbaut, dass sie nicht entdeckt werden können. Einige arbeiten bereits mit Bluetooth, sodass sich die Skimmer einige Meter entfernt aufhalten und die gestohlenen Daten gleich abgreifen können - früher musste sie die Skimmer immer erst wieder abbauen, um die Informationen auslesen zu können.
Skimmer setzen ihre Instrumente oft zu Dutzenden in einer geografisch begrenzten Gegend ein - häufig in der Nähe von Autobahnen, um schnell verschwinden zu können - und verwenden die gestohlenen Daten für die Produktion neuer, gefälschter Karten. Im nächsten Schritt heuern sie eine ganze Schar von Komplizen an, die mit den gefälschten Karten Geld abheben oder die Karten anderweitig benutzen - beispielsweise, indem sie unter fremdem Namen teure Waren verkaufen, die sie gar nicht besitzen. Das geschieht alles sehr schnell, meist innerhalb weniger Stunden - wenn der Betrug auffliegt, sind die Skimmer mit ihrer Beute schon über alle Berge.
Technikjournalist Brian Krebs, der sich eingehend mit dem Thema Skimming beschäftigt hat, berichtete kürzlich über einen Erfolg gegen das Card Skimming - so habe die Polizei GPS-Tracker in entdeckten Skimmern, die noch aktiv waren, installiert. Dadurch habe man die Hintermänner ausfindig machen und verhaften können. Diese Methode hilft aber natürlich nur bei Skimmern, die noch wieder abgebaut werden müssen, nicht bei Bluetooth-gestützten Operationen.
Wireless Card Hacking
Wenn Sie mit einer Kredit- oder Debitkarte unterwegs sind, die "kontaktloses Bezahlen" per RFID unterstützt - wie beispielsweise MasterCard PayPass oder American Express ExpressPay - können Sie schnell Opfer eines Hackers werden, der nur kurz einmal an Ihnen und Ihrer Geldbörse in der Hosentasche vorbeiläuft. Ungeschützte RFID-Sensoren lassen sich hacken - das gilt auch für Pässe, Zugangskarten zu Gebäuden und Tracking-Aufkleber auf Produkten. Mit Niederspannungs-Radiowellen aufgeladene RFID-Transmitter geben die auf ihnen vorgehaltenen Daten nämlich ohne Probleme frei. Magnetstreifen von Kreditkarten sind ähnlich unsicher - jedes Magnetstreifen-Lesegerät, das sich für unter 20 Euro in Webshops findet, kann sie auslesen. Einziger Unterschied: RFID-Chips lassen sich auslesen, ohne dass der Angreifer jemals im Besitz der Karte sein muss.
Für einen kontaktlosen RFID-Angriff genügt bereits ein Abstand von rund einem Meter zum RFID-Sensor. Und es ist anzunehmen, dass dieser Abstand bald steigen wird - dann sollte es möglich sein, auf Hundert Meter Entfernung oder mehr einen RFID-Hack vorzunehmen. Eine Horrorvorstellung: Der Angreifer setzt sich in eine Hotellobby, ein Restaurant oder eine stark befahrene Straßenkreuzung und greift Tausende Karten- und Passdaten binnen Minuten ab.
Für die Abwehr kontaktloser RFID-Hacks gibt es spezielle Geldbörsen mit RFID-Schutz für unter 50 Euro. Glücklicherweise ist RFID-Hacking derzeit meist noch auf die Demonstration möglicher Angriffe durch sogenannte White Hats, also "gutartige Hacker", beschränkt. Sicherheitsexperten gehen aber davon aus, dass mit den oben erwähnten steigenden Distanzen zwischen Angreifer und Sensor die Zahl der Attacken zunehmen wird.
BadUSB
Im vergangenen Jahr zeigten Forscher, dass sich rund die Hälfte aller USB-Ports an Computern mit einem präparierten USB-Gerät kompromittieren lassen. Es genügt, einen USB-Stick an einen Rechner zu stecken - schon werden vorkonfigurierte Befehle ausgeführt, die jegliche Sicherheitsmechanismen, Firewalls oder Anti-Malware-Software aushebeln.
Gegen den "BadUSB" genannten Exploit gibt es kein einfaches Gegenmittel - da hilft nur, den USB-Port physisch zu zerstören oder jeden unerlaubten physikalischen Zugriff zu verbieten. Es gibt auch keine Möglichkeit, festzustellen, ob ein USB-Gerät, das an den Computer angesteckt wurde, BadUSB enthält, und ob ein infizierter USB-Stick absichtlich von einem Bekannten oder Kollegen dort angesteckt oder ohne Wissen des Besitzers infiziert wurde. Alles in allem ein sehr fieser Hack.
Stuxnet
Damit kommen wir zum raffiniertesten Cyberangriff, den die Welt bislang gesehen hat: Stuxnet. Die fortschrittlichste und fehlerfreiste Malware, die je geschrieben wurde, setzte zwar nicht auf BadUSB, verteilte sich aber mutmaßlich in Teilen über USB-Sticks und einer Kombination aus einer vormals der Öffentlichkeit unbekannten USB-Ausführungsmethode und drei weiteren Zero-Day-Angriffen. Security-Forscher von Kaspersky fanden später aber heraus, dass einige iranische Unternehmen, die mit den Atomkraftwerkbetreibern kooperierten, direkt mit Stuxnet infiziert worden waren und den Wurm dann wohl unwissentlich an diese weitergaben. Im Juni 2010 wurde Stuxnet allgemein bekannt und sorgte dafür, dass die zuvor nur abstrakt geführten "Cyberkrieg"-Diskussionen nun eine reale Komponente bekamen - virtuelle Werkzeuge konnten tatsächlich physischen Schaden anrichten. Was viele nicht wussten: Bereits drei Jahre zuvor war Stuxnet im Einsatz gewesen, wenn auch in anderer Form.
Einmal ausgeführt, bahnte sich der Schädling seinen Weg durch die Windows-basierten Reaktor-Management-Computer hin zu den programmierbaren Kontrollern der Zentrifugen. Dort zeichnete die Malware reguläre Betriebsvorgänge auf und spielte diese anschließend erneut ab. Durch diese zum jeweiligen Zeitpunkt allerdings unvorhergesehenen Operationen wurden viele Zentrifugen und das Kontrollzubehör zerstört.
Eine Quellcodeprüfung von Stuxnet ergab, dass es diverse Entwicklerteams mit Dutzenden Mitgliedern und mindestens ein Jahr Arbeit bedurft hatte, die Malware zu schreiben. Es hieß deshalb, dass Stuxnet eine Zusammenarbeit zwischen den USA und Israel darstellte, um Irans Nuklearwaffenprogramm zu durchkreuzen. Eine offizielle Bestätigung dafür hat es aber nie gegeben.
Seit dem Stuxnet-Vorfall wurden verschiedene andere Computerwürmer ähnlicher Qualität entdeckt. So futuristisch Stuxnet auch war, die meisten Experten sehen in diesem Angriff die Grundlage aller künftiger Cyberkriegshandlugen.
Verkehrsschilder
Elektronische Verkehrsschilder zu hacken, ist illegal und kann Sie in ernste Schwierigkeiten bringen. Auch wenn es schwer ist, sich ein Lachen zu verkneifen, wenn ein sonst immer ungenutztes Schild in der Tempo-60-Zone der Autobahn "Achtung, Zombies! Direkt voraus!" warnt. Auch wenn einige der "Schildhacker" bestimmt (ehemalige) Mitarbeiter von Straßenbaufirmen sind, die Verkehrszeichen professionell programmieren - die Handbücher der Elektronikschilder gibt es öffentlich im Internet, und jeder Interessierte kann sie sich dort zu Gemüte führen.
Es zeigt sich: Das Problem der Default-Passwörter "password", "guest", "public" oder "DOTS" besteht auch hier - und wer das richtige Modell kennt, hat theoretisch kein Problem damit, sich in ein Schild zu hacken. Praktisch sieht es etwas schwieriger aus: Fast immer ist ein physischer Zugriff auf eine eigentlich nicht frei zugängliche Steuerkonsole vonnöten, die das Schild mit den Anzeigetexten versorgt - aus Bequemlichkeitsgründen kommt es aber häufig vor, dass diese Steuereinheiten eben doch frei zugänglich sind.
Sobald der Angreifer die Konsole vor sich hat, genügt ein Login mit dem vorher ermittelten oder schnell zu erratenden Passwort. Klappt das nicht, lässt sich der Steuerungscomputer immer noch neu starten (die Tastenkombination dazu findet sich im Handbuch) und das Verkehrsschild damit in den ursprünglichen Zustand samt Default-Passwort zurückversetzen. Selbst wenn ein elektronisches Verkehrsschild verschiedene Zugänge für Admin und User hat - ein Abändern der angezeigten Nachricht ist fast immer mit einfachen Nutzerrechten möglich.
NSA: Hacking auf Bestellung
Wer die Enthüllungen von Ex-NSA-Agent Edward Snowden verfolgt hat, weiß, dass der amerikanische Geheimdienst einen "Bestellkatalog" für Profi-Hacks für seine Mitarbeiter herausgibt. Dieser Katalog ist quasi die Definition von Extrem-Hacks und bietet alles, was das Agentenherz begehrt. Ein Beispiel ist "Quantum Insert" - hier werden Packet-Injection-Werkzeuge genutzt, um Zielpersonen zu Geheimdienst-Seiten umzuleiten. Die überwachte Person bekommt davon nichts mit, weil die manipulierte Website, auf die sie umgeleitet wird, genauso aussieht wie die, die eigentlich augerufen werden sollte. Diese perfide Methode der Überwachung ist bereits seit 2005 im Einsatz. Schützen kann man sich (zumindest bis jetzt) nur mittels HTTPS-Verbindung - die meisten Websites sehen den verschlüsselten Transport der Datenpakete aber nicht vor und die meisten Browser schalten SSL auch nur dann ein, wenn es von der Zielseite vorgesehen ist.
Weitere Hacks, die die NSA ihren Mitarbeitern auf Bestellung anbietet:
verseuchte Monitorkabel für 30 Dollar, die die Daten, die zwischen Rechner und Monitor ausgetauscht werden, überwacht und aufzeichnet;
BIOS- und Firmware-Hacking, um Malware ins System zu bekommen, die eine Formatierung der Festplatte, ein neues Betriebssystem und selbst einen Austausch der Festplatte überlebt;
Fake-Handymasten für 40.000 Dollar, die Telefonate so umleiten, dass sie abgehört werden können;
Malware, die Festplatte-Firmware unterwandert;
Software, die Firewalls umgeht;
Raumüberwachungsgeräte;
Malware, um WLANs nach dem 802.11-Standard zu überwachen;
Hardware-Keylogger, die sich direkt an das Tastaturkabel anschließen lassen.
Fazit: NSA und andere Geheimdienste können so ziemlich alles ausspionieren - und wir können nichts dagegen tun, zumindest solange nicht, wie sich die Spionage in einem rechtlich sauberen Rahmen bewegt. Viele der erwähnten Tools und Devices werden übrigens gar nicht von den Behörden selbst gebaut, sondern von Privatunternehmen angeboten und können von jedem Interessenten käuflich erworben werden.
Krytografie-Experte Bruce Schneier hat sich näher mit den staatlichen Spionage-Aktivitäten beschäftigt und seine Erfahrungen hier zusammengetragen.
Krypto-Angriffe
Gary Kenworthy von Cryptography Research fühlt Verschlüsselungsalgorithmen auf den Zahn, die als unknackbar gelten. So kann er beispielsweise Funkfrequenzen und elektromagnetische Strahlungen von beliebigen Geräten aus der Ferne überwachen und die Einsen und Nullen ermitteln, aus denen sich der jeweilige Algorithmus zusammensetzt. Kenworthy hat das in den vergangenen Jahren bereits diverse Male demonstriert. Er schafft es auch, den privaten Schlüssel eines Mobiltelefons nur dadurch herauszufinden, dass er dessen elektromagnetischen Schwankungen misst. Kenworthys Forschungen zeigen, dass viele Verschlüsselungsalgorithmen längst nicht so sicher sind, wie es scheint.
Auto-Hacking
Automobilhersteller bauen so viel IT wie möglich in die Fahrzeuge - da verwundert es nicht, dass diese "fahrenden Computer" unfassbar angreifbar sind. Schnell fanden Angreifer heraus, wie sich Autos mit nachgebauten Fernbedienungen öffnen lassen und im Gegenzug die eigentlichen Besitzer aussperrten.
Einer der besten Autohacker ist Dr. Charlie Miller, der mit Apple-Hacks begonnen und schon viele Hackerwettbewerbe gewonnen hat. Im Jahr 2013 demonstrierte er gemeinsam mit Chris Valasek, wie sich Bremsen und Lenkung eines Toyota Prius und eines Ford Escape - beide Baujahr 2010 - manipulieren ließen: über eine physische Attacke auf die elektronische Fahrzeugsteuerung und die Onboard-Bus-Systeme. Zum Glück für alle Autofahrer klappte der Hack nicht aus der Ferne, sondern nur im Auto selbst.
Im vergangenen Jahr dann aber stellten Miller und Valasek Remote-Hacks Hacks für 24 verschiedene Modelle vor - die drei gefährdetsten waren demnach der Cadillac Escalade, der Jeep Cherokee und der Infiniti Q50. Die Security-Forscher konnten nachweisen, dass die aus der Ferne erreichbaren Autoradio-Einstellungen direkt oder indirekt mit den kritischen Kontrollsystemen des Fahrzeugs in Verbindung standen.
In einem diesem Nachweis folgenden Bericht des US-Senats hieß es dann wenig später, dass fast jedes heute hergestellte Auto angreifbar sei. Autobauer beginnen deshalb genau wie Softwarehersteller zunehmend, Hacker einzustellen, um die IT-Sicherheit ihrer Fahrzeuge zu verbessern.
Wenn Sie also das nächste Mal beim Autohändler Ihres Vertrauens vorbeischauen, denken Sie daran: Das Modell mit dem besten WLAN ist vielleicht nicht gerade das sicherste…
Dieser Beitrag erschien im englischen Original bei unserer US-Schwesterpublikation InfoWorld.