Die Blackhat-Konferenz in Las Vegas gilt als eine der wichtigsten Messen für IT-Sicherheit. Das liegt laut dem Macher Jeff Moss vor allem daran, dass sie einen Ausblick auf die Sicherheitsprobleme der Zukunft gibt. Moss verglich die Messe in seiner Keynote mit einer Kristallkugel für Themen rund um die IT-Sicherheit: Wenn man sieht, mit welchen Trends und Problemen sich Hacker, aber auch Forscher aktuell beschäftigen, kann man daraus ableiten, welche Gefahren auf die eigenen Umgebungen zukommen. Unternehmen können Vorkehrungen treffen, bevor es zu spät ist.
Wie der Name andeutet, dreht sich die Konferenz nicht unbedingt um allgemeine Sicherheitsratschläge, vielmehr stehen konkrete Angriffsszenarien auf dem Plan, die sich gegen einzelne Programme, komplette Systeme oder ganze Systemgattungen richten können. Die Vorträge sind technischer als in den vergangenen Jahren. Das ist laut Moss auch so geplant. Ein komplettes Review-Board wurde eingerichtet, um alle Einsendungen zu beurteilen und nur passende Vorträge zuzulassen - so soll verhindert werden, dass sich unkontrolliert Hersteller mit ihrer Werbung in die Vorträge einschleichen. Das Ziel ist es, zurück zu den Wurzeln der seit inzwischen 15 Jahren ausgerichteten Konferenz zu gelangen, sagte Moss.
Hacker wie Forscher haben in diesem Jahr zahlreiche prominenten Firmen ins Visier genommen und zeigen gnadenlos die Schwachstellen auf. Angriffsfläche bietet beispielsweise Chrome OS, Googles Betriebssystem. Die Forscher Matt Johansen und Kyle Osborn haben das System detailliert untersucht. Chrome OS ist demnach zwar an sich sicher, allerdings gilt das nicht für viele Anwendungen, die als Erweiterungen installiert werden. Viele davon arbeiten im Grunde wie Webdienste und sind daher anfällig für gängige Attacken wie Cross-Site-Scripting oder SQL-Einspeisungen. Das Fatale daran: Da Chrome OS im Grunde komplett auf den Browser Chrome setzt, muss man mit diesen Erweiterungen arbeiten. Da sich diese noch dazu zahlreiche Berechtigungen einräumen, können Angreifer über weit verbreitete Schwachstellen etwa die Kontakte aus den Google-Accounts stehlen oder einen Wurm programmieren, der sich an alle Kontakte verschickt. Johansen und Osborn betonen, dass die Schuld dafür nicht bei Google, sondern bei schlampig oder falsch programmierten Erweiterungen zu suchen ist. Allerdings weisen sie auch darauf hin, dass es bei Google keinen ernstzunehmenden Review-Prozess gebe, selbst offensichtlich bösartige Anwendungen konnten die Forscher im offiziellen Marktplatz unterbringen.
M2M-Probleme, SCADA-Schwachstellen und Pwnies
Doch nicht nur Endpunkte im Netzwerk, auch die Infrastruktur ist Ziel der Angreifer. Der Forscher Don Baily etwa hat sich mit der M2M-Kommunikation auseinandergesetzt, speziell mit dem Fall, dass Maschinen untereinander über GSM, GPRS oder UMTS kommunizieren. Das Ergebnis: Gelingt es einem Angreifer, solch ein System zu übernehmen, hat er leichtes Spiel. Der Forscher zeigte unter anderem, wie er mittels eines PCs ein Auto aufsperren konnte, dessen Sicherheitssystem auf M2M basiert. Zudem war er in der lage, den Wagen über einen Desktop-Befehl sogar zu starten - ganz ohne Schlüssel. Der Fehler liege vor allem darin, dass kaum eine kommerzielle Lösung ihre Kommunikation richtig verschlüssele, da entsprechende Chips einfach als zu teuer empfunden würden.
In die gleiche Bresche schlägt Dilion Beresford, der sich SCADA-Systeme von Siemens vorgenommen hat. Diese haben zuletzt durch den Wurm Stuxnet zweifelhaften Ruhm erlangt: Dem Wurm war es unter anderem gelungen, mehrere Forschungsanlagen für Nukleartechnik im Iran lahmzulegen. Laut Beresford sind die meisten SCADA-Systeme, nicht nur von Siemens, anfällig. Das liegt daran, dass viele verwendete Protokolle seit den 80er Jahren nicht mehr aktualisiert wurden. Zudem finden immer mehr dieser Geräte Anschluss ans Internet, was sie zu relativ einfachen Zielen macht - vorausgesetzt, man setzt sich mit der Architektur, dem Betriebssystem und der Programmierung auseinander. Ein Problem sei, dass es zwar teilweise Updates gibt, welche einzelne Fehler beheben, sich aber ein SCADA-System, welches ein Kraftwerk oder eine Industrieanlage steuert, nicht ohne weiteres vom Netz nehmen und aktualisieren lässt.
Neben den ernsten Themen bietet die Konferenz auch Raum für Unterhaltung. Dazu gehören beispielsweise die Pwnie-Awards, die jedes Jahr vergeben werden und in etwa den Oscars der IT-Sicherheitsbranche entsprechen. Die Jury zeichnet damit einfallsreiche Hacks oder besonders dummes Verhalten von Herstellern aus. Unsere Bilderstrecke zeigt die diesjährigen Empfänger.
Um den aktuellen Bedrohungen zu entgehen, muss sich laut Moss die grundsätzliche Einstellung der Unternehmen zu Sicherheitsfragen ändern. Jeder solle davon ausgehen, dass die eigenen Systeme akut bedroht sind und entsprechende Abwehrmaßnahmen einleiten. Dieses Szenario sei deutlich realistischer als die Annahme, dass man selbst vor Attacken geschützt sei.