Was Hacker heute alles können

Zehn Extrem-Hacks

23.08.2016
Von  und


Simon Hülsbömer betreut als Senior Research Manager Studienprojekte in der Marktforschung von CIO, CSO und COMPUTERWOCHE. Zuvor entwickelte er Executive-Weiterbildungen und war rund zehn Jahre lang als (leitender) Redakteur tätig. Hier zeichnete er u.a. für die Themen IT-Sicherheit und Datenschutz verantwortlich.
Roger Grimes ist freier Redakteur unserer US-Schwesterpublikation CSO Online.
Nichts ist sicher, aber hier ganz besonders nicht: Wir stellen zehn Angriffe vor, die die Grenzen des Möglichen ausreizen.

Alles, was einen Chip hat, lässt sich hacken - aber nicht alle Hacks sehen gleich aus, wenn auch die Grundmuster meist identisch sind. Denn bei Millionen von infizierten Rechnern und Unternehmensnetzen jeden Tag bleiben innovative Angriffe Mangelware. Deshalb ist es nicht schwer, die wirklich neuartigen Angriffe zu entdecken. Die hier vorgestellten Extrem-Hacks der vergangenen Jahre heben sich wegen ihrer Angriffsziele oder wegen komplett neuer Methoden aus der Masse heraus. Sie reizen die Grenzen dessen aus, was Security-Profis zuvor als möglich erachtet haben und öffnen uns die Augen für neue Schwachstellen und Risiken.

Meist ist gar keine physische Gewalt nötig, um Systeme zu hacken - mal schnell, mal langsam dringen die Angreifer tief ein, um Zerstörung anzurichten und Menschen zu betrügen.
Meist ist gar keine physische Gewalt nötig, um Systeme zu hacken - mal schnell, mal langsam dringen die Angreifer tief ein, um Zerstörung anzurichten und Menschen zu betrügen.
Foto: Miki Simankevicius - www.shutterstock.com

Geldautomaten

Die meisten Geldautomaten sind mit einem Embedded OS ausgestattet und entsprechend angreifbar. Meist handelt es sich um Windows-Versionen, selten um Linux. Hinzukommt, dass diese eingebetteten Betriebssysteme häufig noch Java implementiert haben und auch so gut wie nie gepatcht werden. Und wenn es Updates gibt, dann garantiert nicht jeden Monat, sondern eher sporadisch. Die Geldautomaten-Software, die noch auf das OS aufgesetzt wird, enthält zusätzliche Sicherheitslücken, die sehr leicht auszunutzen sind. Die Automatenhersteller setzen einfache Default-Passwörter, bevor sie die Maschinen verschicken, damit die Banken diese schneller einrichten können - auch per Fernzugriff. Die wenigsten ändern die Voreinstellungen später dann noch ab. Die Folgen dieser Fehlerkette: Geldautomaten werden gerne gehackt, gerade dann, wenn sie einmal wieder frisch aufgefüllt wurden.

Der berüchtigste Geldautomaten-Hacker war "Barnaby Jack", gestorben 2013. Er begeisterte sein Publikum auf Sicherheitskonferenzen damit, ein oder zwei übliche Geldautomaten auf der Bühne aufzubauen und sie wenige Minuten später Falschgeld auszahlen zu lassen. Dafür setzte er eine Vielzahl von Tricks ein - seine bewährteste Methode war, einen Malware-verseuchten USB-Stick in den fast immer vorhandenen USB-Port des Geldautomaten zu stecken - dieser ist häufig nicht gut genug versteckt, geschweige denn abgesichert. Die Malware verband sich dann über einen bekannten Netzwerkport mit der Fernzugriff-Konsole und nutzte darüber eine öffentlich bekannte Schwachstelle aus, was den Automaten komplett kompromittierte. Nun konnte Jack Administrationsbefehle ausführen und sich das Geld auszahlen lassen. Dieser Angriff wurde als "Jackpotting" bekannt und seine Demonstration auf Veranstaltungen löste recht häufig Jubelstürme unter den Zuschauern aus, wie das folgende Video zeigt:

Herzschrittmacher und Insulinspritzen

Barnaby Jacks Geldautomaten-Angriff führte immerhin dazu, dass sich die Hersteller Gedanken machten und die simpelsten Angriffsvektoren später abzuwehren wussten. Jack wendete sich deshalb einer anderen Branche zu, um diese mit seinem Hackerwissen zu beglücken - der Gesundheitsbranche. Er lernte unter anderem sehr schnell, Herzschrittmacher und Insulinspritzen aus der Ferne anzugreifen. Die meisten medizinischen Geräte benötigen fünf bis zehn Jahre an Entwicklungs-, Test- und Zertifizierungszeit, bevor sie am lebenden Objekt eingesetzt werden. Was sich erst einmal gut anhört, hat eine Schattenseite: Sämtliche Software hat zum Zeitpunkt ihres Praxiseinsatzes bereits mindestens fünf Jahre auf dem Buckel und ist entsprechend unsicher. Schlimm ist zudem, dass sich die Entwickler häufig auf die Intransparenz ihrer Hard- und Software verlassen, was die Gerätesicherheit angeht. Getreu dem Motto "Security by Obscurity": Weil niemand außer dem Hersteller Quellcode und Bauplan bekommt, wird das Ganze schon sicher sein.

Es wird nicht besser. Im April 2014 veröffentlichte "Wired" einen Artikel darüber, wie einfach Krankenhaus-Equipment zu hacken ist - meistens deshalb, weil Standard-Passwörter fest eingebaut werden und sich nicht nachträglich ändern lassen. Natürlich müssen medizinische Geräte leicht zu bedienen sein und sie müssen auch dann noch funktionieren, wenn vorhandene Sicherheitsmaßnahmen ausgehebelt wurden. Das macht ihren Schutz so herausfordernd. Lange, komplexe und sich ständig ändernde Passwörter stehen der leichten Bedienung entgegen, darum kommen sie kaum zur Anwendung. Darüber hinaus ist nahezu sämtliche Kommunikation zwischen diesen Devices unautorisiert und unverschlüsselt.

Angreifer, die die richtigen Ports finden, können die Daten der Devices auslesen und abändern, ohne die geringste Störung im Betriebsablauf hervorzurufen - weder das Gerät selbst, noch die Steuerungssoftware oder andere beteiligte Systeme wie beispielsweise verknüpfte Patientendatenbanken bekommen etwas mit. Die meisten medizinischen Geräte verzichten nämlich auf eine grundlegende Integritätsprüfung, die die meisten solcher schadhaften Änderungen sofort aufdecken würde.

Medizinische Geräte werden nun schon seit knapp zehn Jahren von Hackern angegriffen. White Hats nehmen sich auf beliebten Hackerkonferenzen oft medizinische Geräte vor, ihre Verwundbarkeit ist also gut bekannt. Die Entwickler dieser Geräte arbeiten zwar daran, die größten Sicherheitslücken zu schließen, die langen Entwicklungszyklen machen eine zeitnahe Lösung jedoch schwierig. Aber allein der Fakt, dass es Kriminelle nicht viel Aufwand kosten würde, über Medical IT Menschen zu töten, zeigt, dass es höchste Zeit ist, sich um den Schutz vor allem von Herzschrittmachern und Insulinspritzen, aber auch anderem medizinischen Equipment zu kümmern.

Card Skimming

Etwas weniger lebensgefährlich agieren Card Skimmer, die aber immerhin Ihre Finanzen gewaltig aufmischen können. Der zugrundeliegende Hack ist relativ simpel: Der Angreifer platziert einen sogenannten Skimmer auf einem Gerät mit Eingabetastatur - wie Geldautomaten, Zapfsäulen oder Bezahlterminals - um Debit- und Kreditkartendaten samt PIN schon beim Eintippen abzugreifen.

Skimmer haben ihre Methoden weitgehend professionalisiert - arbeiteten sie zunächst noch mit zumindest für Experten schnell als solche erkennbaren Skimmern, sind ihre heutigen Geräte derart versteckt und immer häufiger auch ins Automateninnere hinein verbaut, dass sie nicht entdeckt werden können. Einige arbeiten bereits mit Bluetooth, sodass sich die Skimmer einige Meter entfernt aufhalten und die gestohlenen Daten gleich abgreifen können - früher musste sie die Skimmer immer erst wieder abbauen, um die Informationen auslesen zu können.

Skimmer setzen ihre Instrumente oft zu Dutzenden in einer geografisch begrenzten Gegend ein - häufig in der Nähe von Autobahnen, um schnell verschwinden zu können - und verwenden die gestohlenen Daten für die Produktion neuer, gefälschter Karten. Im nächsten Schritt heuern sie eine ganze Schar von Komplizen an, die mit den gefälschten Karten Geld abheben oder die Karten anderweitig benutzen - beispielsweise, indem sie unter fremdem Namen teure Waren verkaufen, die sie gar nicht besitzen. Das geschieht alles sehr schnell, meist innerhalb weniger Stunden - wenn der Betrug auffliegt, sind die Skimmer mit ihrer Beute schon über alle Berge.

Technikjournalist Brian Krebs, der sich eingehend mit dem Thema Skimming beschäftigt hat, berichtete kürzlich über einen Erfolg gegen das Card Skimming - so habe die Polizei GPS-Tracker in entdeckten Skimmern, die noch aktiv waren, installiert. Dadurch habe man die Hintermänner ausfindig machen und verhaften können. Diese Methode hilft aber natürlich nur bei Skimmern, die noch wieder abgebaut werden müssen, nicht bei Bluetooth-gestützten Operationen.

Wireless Card Hacking

Wenn Sie mit einer Kredit- oder Debitkarte unterwegs sind, die "kontaktloses Bezahlen" per RFID unterstützt - wie beispielsweise MasterCard PayPass oder American Express ExpressPay - können Sie schnell Opfer eines Hackers werden, der nur kurz einmal an Ihnen und Ihrer Geldbörse in der Hosentasche vorbeiläuft. Ungeschützte RFID-Sensoren lassen sich hacken - das gilt auch für Pässe, Zugangskarten zu Gebäuden und Tracking-Aufkleber auf Produkten. Mit Niederspannungs-Radiowellen aufgeladene RFID-Transmitter geben die auf ihnen vorgehaltenen Daten nämlich ohne Probleme frei. Magnetstreifen von Kreditkarten sind ähnlich unsicher - jedes Magnetstreifen-Lesegerät, das sich für unter 20 Euro in Webshops findet, kann sie auslesen. Einziger Unterschied: RFID-Chips lassen sich auslesen, ohne dass der Angreifer jemals im Besitz der Karte sein muss.

Für einen kontaktlosen RFID-Angriff genügt bereits ein Abstand von rund einem Meter zum RFID-Sensor. Und es ist anzunehmen, dass dieser Abstand bald steigen wird - dann sollte es möglich sein, auf Hundert Meter Entfernung oder mehr einen RFID-Hack vorzunehmen. Eine Horrorvorstellung: Der Angreifer setzt sich in eine Hotellobby, ein Restaurant oder eine stark befahrene Straßenkreuzung und greift Tausende Karten- und Passdaten binnen Minuten ab.

Für die Abwehr kontaktloser RFID-Hacks gibt es spezielle Geldbörsen mit RFID-Schutz für unter 50 Euro. Glücklicherweise ist RFID-Hacking derzeit meist noch auf die Demonstration möglicher Angriffe durch sogenannte White Hats, also "gutartige Hacker", beschränkt. Sicherheitsexperten gehen aber davon aus, dass mit den oben erwähnten steigenden Distanzen zwischen Angreifer und Sensor die Zahl der Attacken zunehmen wird.