Im August treffen sich in der Wüste von Las Vegas Hacker, IT-Spezialisten, Hardware-Gurus und Sicherheitsinteressierte zur 19. Auflage der Defcon. Im Gegensatz zur Blackhat einige Tage zuvor (COMPUTERWOCHE berichtete) bündelt die Defcon 19 Vorträge mit Workshops und Hackerwettbewerben aus Bereichen wie Schlösserknacken, Capture the Flag (Teams dringen in die Systeme anderer Spieler ein und versuchen gleichzeitig die eigne Infrastruktur zu verteidigen) oder Social Engineering. Zugleich wiederlegt die Defcon 19 das Klischee des antisozialen Einzelgängers: Die Verantwortlichen haben laut eigenen Angaben mehr als 10000 Zugangskarten verkauft, Abendveranstaltungen wie Ratespiele rund um Hacker-Themen sind gut besucht.
Auch wenn bei den Spielen, Wettbewerben oder Workshops insgesamt eine lockere Atmosphäre herrscht, so haben es die meisten Themen der Vorträge in sich. Anders als bei vergleichbaren Messen behandeln die Sprecher nicht nur theoretische Probleme, sondern zeigen Hacks auch als Live-Demo auf der Bühne. Im Visier der Forscher waren unter anderem mobile Betriebssysteme, allen voran Android von Google. Forscher demonstrierten unter anderem eine Möglichkeit, wie eine bösartige Anwendung die Login-Daten von anderen Apps wie Facebook, Foursquare oder E-Mail-Apps stehlen kann. Für diesen Angriff würden die offiziellen APIs und Softwarefunktionen komplett ausreichen, so die Forscher, ein Root-Zugriff auf dem Android-Smartphone sei nicht notwendig. Möglich sei eine solche Attacke vor allem, da Google die in den Marketplace eingereichten Anwendungen keiner Prüfung unterzieht, sondern direkt freigibt.
Die Probleme mobiler Plattformen sorgten zudem für einen Rekord. Eine erst zehn Jahre alte Hackerin namens CyFi zeigte im Rahmen der "DefCon Kids" ein von ihr gefundenes Zero-Day-Exploit, das zahlreiche Spiele unter Android und iOS betrifft. Die Zehnjährige erkannte, dass zahlreiche Spiele auf einen Zeitfaktor setzen, um bestimmte Vorgänge im Spiel zu definieren. Verändert man die interne Zeit des Smartphones oder Tablets kann sich der Spieler zahlreiche Vorteile verschaffen, da der eigentliche Spielablauf beschleunigt wird. Einige Spiele würden diese Art der Manipulation zwar erkennen, allerdings hat die Jungforscherin nach eigenen Angaben Wege gefunden, um diese Sicherheitsfunktionen zu umgehen.
Die Aufmerksamkeit der Hacker galt aber nicht nur mobilen Geräten, sondern auch herkömmlicher Infrastruktur. Ausführlich beschäftigte sich ein Experte beispielweise mit Multifunktionsgeräten wie Drucker. Diese Systeme werden gerne bei der Sicherheit, dem Patch Management oder Compliance-Richtlinien übersehen, können aber zahlreiche sensible Firmeninformationen wie Adressbücher oder Zugangsdaten verraten.
Sicherheiten der neuen Bankkarten fraglich
Aufsehen erregte der Vortrag mit dem Titel "Chip & PIN is definitely broken" (PDF-Download der Präsentation). Darin ging es um die Sicherheitsfunktionen der neuen Bankkarten von Europay, Mastercard und Visa (EMV), die aktuell von Banken ausgegeben werden. Als Grund dafür wird vor allem eine erhöhte Sicherheit angegeben. Das Problem dabei: Aufgrund verschiedener Abwärtskompatibilitätsfunktionen lassen sich auch die neuen Karten von Kriminellen relativ einfach auslesen. So zeigten die Forscher etwa Hardware, mit denen sich POS-Terminals so manipulieren lassen, dass sie alle Daten der Karte, inklusiver der PIN, im Gerät speichern. Die Kriminellen müssten nur in regelmäßigen Abständen vorbeikommen und mit Hilfe einer speziellen Karte die Daten auslesen.
Foto: Inversepath, Aperture Labs
Besonders unbefriedigend ist die Antwort der Hersteller. Mastercard-Sprecher Jan Lundequist tätigte beispielsweise in einem Interview die Aussage, dass das komplette EMV-System zu komplex für eine einfache Lösung sei. In den Niederlanden habe man das Problem allerdings in den Griff gekriegt, so die Forscher. Dazu habe man allerdings eine neue Firmware ausrollen müssen. Der Nachteil: Die Terminals arbeiten nur noch mit einer Kartengeneration zusammen, besitzt ein Nutzer eine andere Karte, schlägt die Transaktion fehl.
Laut den Forschern von InversePath und Aperture Labs ist die neue EMV-Lösung keine passende Lösung, sondern sollte mit einer einfacheren und saubereren Lösung ersetzt werden. Diese sollte vor allem eine fehlerfreie Verschlüsselung bieten und so Man-in-the-Middle-Attacken und das Abfangen von Daten verhindern. Zudem sollte das System so konzipiert werden, dass die Endpunkte, die in den Geschäften stehen, grundsätzlich nicht als vertrauenswürdig gelten, die PIN-eingabe und Verifikation sollte über die Karte selbst erledigt werden.
Eine weitere mögliche Lösung wäre, die anfällige Offline-Verifikation komplett zu deaktivieren - diese ist laut den Forschern einer der Hauptgründe und sowohl Banken in Europa wie auch den USA würden sie nur selten nutzen.