Wie leicht es für Hacker ist, Kontrolle über die IT-Systeme einer Passagiermaschine zu erlangen, hat ein Security-Experte in den USA eindrucksvoll bewiesen.
Weniger eindrucksvoll hat die Demonstration des Security-Experten Chris Roberts - Gründer des Security-Unternehmens One World Labs - allerdings auf die amerikanische Staatsmacht gewirkt. Die US-Bundespolizei FBI ermittelt nun gegen Roberts wegen des Vorwurfs der Computerkriminalität. Eine offizielle Anklage steht indes noch aus.
Auf einem Flug der United Airlines von Chicago nach New York fiel Security-Experte Chris Roberts via Tweet "unangenehm" auf - möglicherweise mit weitreichenden Folgen. Foto: Digital Media Pro_shutterstock.com
Steigflug per Hack eingeleitet
Auf die Spur des Hackers kamen die Bundesbeamten offenbar wegen dessen Drang, sich in sozialen Medien der Öffentlichkeit mitzuteilen. So habe Roberts während eines United Airlines-Fluges von Chicago nach New York Mitte April 2015 über seinen Twitter-Account scherzhaft über die Sicherheitslücken im System einer Boeing 737/800 gesprochen. Nach der Landung in Syracuse, New York wurde der Security-Bösewicht kurzerhand seines gesamten elektronischen Equipments entledigt und mehrere Stunden verhört.
Dem offiziellen Durchsuchungsbefehl des FBI zufolge - den die kanadische News-Website APTN inzwischen veröffentlicht hat - soll Roberts während des Verhörs durch einen FBI-Agent zugegeben haben, bereits in den Jahren 2011 bis 2014 rund 15 bis 20 Mal die Kontrolle über das In-Flight-Entertainment-System (IFE) von Boeing- und Airbus-Maschinen übernommen zu haben. Außerdem soll Roberts in einem Fall auch die Kontrolle über die Bordelektronik erlangt und einen Steigflug eingeleitet haben.
Hacker aus der IT-Geschichte
Der Vater des Blackholing Der auch als „Paunch“ bekannte Dmitry Fedotov ist weniger als Hacker, denn als Entwickler des Hacker-Tools Blackhole berühmt. Bei Blackhole handelt es sich um eine Art Webanwendung für die Verbreitung von Malware- und Spyware, die Hacker gegen eine Abo-Gebühr von 1500 US-Dollar pro Jahre mieten können - und bis zur Festnahme laufend mit Updates über neue Schwachstellen von Java, Flash oder des Internet Explorer aktualisiert wurde. Der im Oktober 2012 von den russischen Behörden verhaftete Programmierer aus Togliatti soll auch Autor des Cool Exploit-Kits und von Crypt.AM sein.
Der Herrscher der Kreditkarten Der Juni 2012 in den Niederlanden zusammen mit Vladimir Drinkman verhaftete russische Hacker soll laut Anklageschrift von August 2005 bis Juli 2012 als Mitglied einer Gruppe von fünf Cyberkriminellen im Laufe der Jahre riesige Mengen an Kreditkartendaten gestohlen haben. Zusammen mit Aleksandr Kalinin, Roman Kotov, Mikhail Rytikov und Vladimir Drinkman soll Smilianets vor allem durch SQL Injection Hacks Firmen wie Nasdaq, 7-Eleven Carrefour und J.C. Penny gehackt haben. Insgesamt 160 Millionen Kreditkarten- und Guthabendaten wurden gestohlen und für Finanzbetrug benutzt. Der Schaden für die Firmen soll bei 300 Millionen US-Dollar liegen. Der Prozess in den USA ist noch nicht abgeschlossen.
FBI's most wanted Evgniy Mikhailovich Bogachev, auch bekannt als lucky12345 und slavik schaffte es 2014 auf den ersten Platz der so genannte „Cyber Most Wanted“-Liste des FBI. Die amerikanischen Behören sehen in ihm den Hintermann des Botnetzes „Gameover Zeus“. Mit Hilfe der gleichnamigen Malware soll er für ein Botnetz von bis zu einer Million Computern verantwortlich sein, das zum Ausspähen von Bank-Passwörtern und Verbreiten von Malware benutzt wurde. Der Schaden betrage etwa hundert Millionen US-Dollar betragen. Bogachev hält sich nach Vermutungen der amerikanischen Behörden in Russland auf.
Der Phishing-Experte Der Lette Alexey Belan soll zwischen Januar 2012 und April 2013 die Nutzerdaten von einigen Millionen Kunden dreier US-Unternehmen gestohlen haben. Er ist auf der Liste der meistgesuchten Hacker des FBI, der Name der geschädigten Unternehmen ist aber ebenso wenig bekannt, wie die Höhe des Schadens. Es soll sich um drei nicht genannte E-Commerce-Unternehmen aus Nevada und Kalifornien handeln. Da die Belohnung 100.000 US-Dollar beträgt, sollte der Schaden beträchtlich sein.
Flugzeug-Hacker mit guten Absichten
Dem FBI-Dokument sind diverse Einzelheiten zu den Ermittlungen und beschlagnahmten Gegenständen zu entnehmen. So soll es sich bei den von Roberts gehackten IFE-Systemen um Systeme der Marken Thales und Panasonic gehandelt haben. Roberts habe gegenüber dem FBI ausgesagt, dass er Sicherheitslücken in den IFE-Systemen der Boeing- und Airbus-Maschinen entdeckt habe. Ausgenutzt habe er die Security-Schwachstellen jedoch nur mit der Intention, dass diese in der Folge geschlossen werden. Nach dem Hack habe Roberts zudem Vortex-Software benutzt, um den Datenverkehr der Cockpit-Systeme zu überwachen.
FBI vs. Proaktive IT-Security
Über seinen Twitter-Account teilte Roberts seine Verärgerung und Verwunderung über das Vorgehen des FBI mit, die seiner Ansicht nach die Arbeit von fünf Jahren auf einen Absatz (im Untersuchungsbericht) heruntergebrochen hätten.
Hack oder Nicht-Hack?
Luftfahrt-Experten melden hingegen Zweifel an der Geschichte von Roberts an. Dr. Phil Polstra - selbst Pilot und Professor für "Digital Forensics" an der Bloomsburg University - äußerte im Gespräch mit Forbes, dass es unverantwortlich sei zu behaupten, man könne über die IFE-Systeme von modernen Flugzeugen Zugang auf die Bordelektronik erlangen. Die Systeme seien strikt voneinander getrennt, ein Zugriff schlicht unmöglich: "Zu behaupten, man könne die Bordelektronik übernehmen, weil diese wie das IFE auf dem IP-Protokoll basiert, macht ungefähr so viel Sinn, wie zu behaupten, man könne die Triebwerke kontrollieren, weil diese genau wie die Passagiere Luft zum Atmen brauchen."
Trotzdem gab es bereits im Jahr 2008 Medienberichte über mögliche Sicherheitslücken in der damals relativ frisch auf dem Markt erschienenen Boeing 787-8. Das US-amerikanische Luftfahrt-Ministerium FAA hatte damals in einem Report die IT-Security der Boeing-Maschine bemängelt. Das Netzwerk der Boeing, so hieß es, böte Hackern die Möglichkeit, auf die Bordelektronik zuzugreifen, da IFE- und Flugzeug-Kontroll-Systeme nicht voneinander getrennt seien. Lediglich eine Firewall sei zwischen die beiden Systeme geschaltet.
Security Trends 2015
1. Exploit-Bekämpfung reduziert die Einfallstore für Kriminelle. Cyberkriminelle hatten in den vergangenen Jahren mehr oder weniger leichtes Spiel mit Microsoft Windows. Glücklicherweise hat der Konzern Exploits in letzter Zeit gezielt bekämpft, so dass Attacken immer schwieriger werden. Allerdings gibt es eine Kehrseite der Medaille, da viele Malwareentwickler sich nun wieder den Social-Engineering-Techniken zuwenden oder auf Nicht-Microsoft-Plattformen abzielen.
2. Internet-of-Things-Attacken haben sich von Machbarkeitsstudien zu Mainstream-Risiken entwickelt. 2014 mussten wir immer häufiger feststellen, dass Hersteller von Internet-of-Things-Geräten es oftmals verschlafen haben, grundlegende Sicherheitsstandards zu implementieren. Entsprechend sind Attacken auf diese Geräte absehbar und werden zudem umfassende Folgen haben. Die IT-Sicherheitsindustrie muss sich weiterentwickeln, um für dieses neue Thema Antworten zu finden.
3. Verschlüsselung ist mittlerweile Standard, aber darüber sind nicht alle glücklich. Dank häufig auftauchender Schlagzeilen in Sachen Spionagesoftware und Datenbankeinbrüchen hat sich die Verschlüsselung aller Daten schon fast zum Standard entwickelt. Das geht allerdings gerade großen Organisationen wie Strafverfolgungsbehörden oder Geheimdiensten gegen den Strich, da sie befürchten, dass diese „Heimlichtuerei“ die allgemeine Sicherheit gefährdet.
4. Sicherheitsrelevante Programmierfehler in weit verbreiteter Software blieben jahrelang unter dem Radar. „Heartbleed“ und „Shellshock” machen deutlich, dass weit mehr unsichere Code-Zeilen im Umlauf sind, als gedacht und sie werden seit vielen Jahren unbemerkt von einer großen Anzahl Computersystemen genutzt,. Entsprechend hat sich auch das Augenmerk der Hacker auf diese eher unauffälligen Programme gerichtet und 2015 sind vermehrt Attacken in diesem Bereich zu erwarten.
5. Gesetzliche Neuregelungen bringen mehr Verantwortung bei der Offenlegung von Daten und Haftung mit sich – vor allem in Europa. Die Mühlen der Gesetze mahlen im Vergleich zur Technologieentwicklung sehr langsam, aber dennoch treten 2015 einige gesetzliche Neuerungen in Kraft, die lange auf sich warten ließen. Es ist wahrscheinlich, dass diese Änderungen auch in anderen Bereichen mit einer progressiveren Datenschutzregulierung einhergehen.
6. Kriminelle schießen sich auf mobile Zahlungssysteme ein, halten aber gleichzeitig noch eine Weile an traditionellen Finanzbetrügereien fest. Nach der Ankündigung von Apple Pay waren mobile Zahlungssysteme eines der Topthemen der vergangenen Monate. Wie immer, wenn neue Systeme an den Start gehen, werden die Cyberkriminellen nach Lücken Ausschau halten. Da das aber aufgrund einiger sehr positiver Absicherungen nicht ganz einfach sein wird, dürfen wir davon ausgehen, dass die klassischen Onlinegaunereien mit Kreditkarten noch eine Weile weitergehen. Sie sind das bei weitem einfacherer für Betrug zu nutzen.
7. Die Lücke zwischen Sicherheitsaufgaben und geschultem Personal klafft immer weiter auseinander. Im gleichen Rahmen, wie Technologie immer mehr in unser tägliches Leben Einzug hält und einer der Stützpfeiler für die globale Wirtschaft wird, kommt das fehlende Know-how in Sachen Cybersicherheit zum Vorschein. Diese bedenkliche Entwicklung wird sowohl von Regierungen, als auch der Industrie konstatiert. Das Besetzen der nötigen Stellen kann Jahre dauern und ist somit ein echter Sicherheitsfaktor.
8. Breite “Serviceoffensive” für Attacken und Exploit-Kits, um mobile Plattformen anzugreifen. In den letzten Jahren hat sich ein neuer Trend bei den Cyberkriminellen durchgesetzt: das zur Verfügung stellen von Malwarepaketen, die keinerlei technisches Wissen voraussetzen und per Klick aktiviert werden können. Der rasante Anstieg bei mobilen Plattformen und der damit verbundene Austausch sensitiver Daten werden dazu führen, dass wir 2015 viele dieser Kits für Smartphone-Angriffe sehen werden. Gleiches gilt für Plattformen, die sich mit dem Internet of Things beschäftigen.
9. Die Lücke zwischen ICS/SCADA und Sicherheit in der realen Welt wächst weiter. Systeme wie Industrial Control Systems (ICS) und Supervisory Control and Data Acquisition (SCADA) hinken in Sachen Sicherheit üblicherweise zehn oder mehr Jahre hinter dem Mainstream her. Wir gehen davon aus, dass innerhalb der nächsten Jahre einige besorgniserregende Lücken aufgedeckt werden, die von Hackern auf breiter Front ausgenutzt werden.
10. Flexiblere Rootkit- und Bot-Fähigkeiten eröffnen neue Angriffsvektoren. Die Technologiesparte befindet sich zurzeit in einem grundlegenden Veränderungsprozess, in dessen Rahmen nun Plattformen und Protokolle abgeändert werden, die jahrelang als Standard dienten. Allein die Menge solcher Veränderungen der althergebrachten Technologiestandards wird viele alte Wunden aufreißen und neue Sicherheitslücken schaffen.