M2M-Probleme, SCADA-Schwachstellen und Pwnies
Doch nicht nur Endpunkte im Netzwerk, auch die Infrastruktur ist Ziel der Angreifer. Der Forscher Don Baily etwa hat sich mit der M2M-Kommunikation auseinandergesetzt, speziell mit dem Fall, dass Maschinen untereinander über GSM, GPRS oder UMTS kommunizieren. Das Ergebnis: Gelingt es einem Angreifer, solch ein System zu übernehmen, hat er leichtes Spiel. Der Forscher zeigte unter anderem, wie er mittels eines PCs ein Auto aufsperren konnte, dessen Sicherheitssystem auf M2M basiert. Zudem war er in der lage, den Wagen über einen Desktop-Befehl sogar zu starten - ganz ohne Schlüssel. Der Fehler liege vor allem darin, dass kaum eine kommerzielle Lösung ihre Kommunikation richtig verschlüssele, da entsprechende Chips einfach als zu teuer empfunden würden.
In die gleiche Bresche schlägt Dilion Beresford, der sich SCADA-Systeme von Siemens vorgenommen hat. Diese haben zuletzt durch den Wurm Stuxnet zweifelhaften Ruhm erlangt: Dem Wurm war es unter anderem gelungen, mehrere Forschungsanlagen für Nukleartechnik im Iran lahmzulegen. Laut Beresford sind die meisten SCADA-Systeme, nicht nur von Siemens, anfällig. Das liegt daran, dass viele verwendete Protokolle seit den 80er Jahren nicht mehr aktualisiert wurden. Zudem finden immer mehr dieser Geräte Anschluss ans Internet, was sie zu relativ einfachen Zielen macht - vorausgesetzt, man setzt sich mit der Architektur, dem Betriebssystem und der Programmierung auseinander. Ein Problem sei, dass es zwar teilweise Updates gibt, welche einzelne Fehler beheben, sich aber ein SCADA-System, welches ein Kraftwerk oder eine Industrieanlage steuert, nicht ohne weiteres vom Netz nehmen und aktualisieren lässt.
Neben den ernsten Themen bietet die Konferenz auch Raum für Unterhaltung. Dazu gehören beispielsweise die Pwnie-Awards, die jedes Jahr vergeben werden und in etwa den Oscars der IT-Sicherheitsbranche entsprechen. Die Jury zeichnet damit einfallsreiche Hacks oder besonders dummes Verhalten von Herstellern aus. Unsere Bilderstrecke zeigt die diesjährigen Empfänger.
- Pwnie Awards 2011
Die Richter der Pwnie Awards - Pwnie 2011 Server Side Bug
Der Award für besten Server-Side-Bug geht an Juliano Rizzo und Thai Duong - Pwnie 2011 Best Client Side Bug
Die Richter befanden jailbreak.com für den besten Client-Side-Bug. - Pwnie 2011 Best Privilege Escalation
Die Entdeckung von Tarjei Mandt war den Richtern einen Award wert. - Pwnie 2011 Most Innovative Research
Piotr Bania gewann ein Pwnie für die innovativste Forschung. - Pwnie 2011 Lifetime Achievement
Der Lifetime-Award geht an pipacs/PaX Team. - Pwnie 2011 Lamest Vendor Response
RSA gewann den Negativpreis für schlechteste Hersteller-Antwort. - Pwnie 2011 Nominee epic fail
Sony war gleich fünfmal für den Negativpreis Most Epic Fail nominiert... - Pwnie 2011 Most Epic Fail
...und gewann ohne Überraschung. - Pwnie 2011 Epic Ownage
Auch wenn die Richter Stuxnet nicht für gut heißen - die Malware hat zumindest eine beeindruckende Arbeit geleistet.
Um den aktuellen Bedrohungen zu entgehen, muss sich laut Moss die grundsätzliche Einstellung der Unternehmen zu Sicherheitsfragen ändern. Jeder solle davon ausgehen, dass die eigenen Systeme akut bedroht sind und entsprechende Abwehrmaßnahmen einleiten. Dieses Szenario sei deutlich realistischer als die Annahme, dass man selbst vor Attacken geschützt sei.