Black Hat 2011: “Weniger als 100 Zeilen Code”

Die Sicherheit von Apples Mac OS, Siemens Industrie-Controller, Lecks in Chrome-OS oder in FarmVille. Die Konferenz Black Hat 2011 zeigt einen bunten Strauß von Unsicherheiten.

Die gesamte Woche über beherrschten immer wieder Nachrichten von der Konferenz die Schlagzeilen.

So warnten etwa Sicherheitsexperten davor, mehrere Macs in einem Unternehmen miteinander zu vernetzen, da sich auf diese Weise, schwerwiegende Sicherheitslecks auftun. Das Risiko entstehe durch die Art und Weise, wie Rechner unter Mac OS miteinander kommunizieren. Es sei ein Leichtes, so die Forscher von iSec, über einen kompromittierten Rechner einen anderen zu befallen.

Auch die Verschlüsselung von Windows habe ein Sicherheitsleck, wie Sicherheitsforscher Elli Burzstein auf der Konferenz in Las Vegas verkündete. Während einer Präsentation zeigte Bursztein, wie sich ein Laptop-Dieb den Zugang zu Passwörtern verschaffen kann, etwa für Web-Accounts von Amazon, Google, Yahoo, Facebook oder beliebigen anderen. Eigentlich sollten solche Passwörter durch die in Windows integrierte Verschlüsselung geschützt sein. Um Passwörter zu entschlüsseln, veröffentlichten die vier Forscher das Open-Source-Tool namens OWADE, was für Offline Windows Analyzer and Data Extractor steht.

Eine kleine Zeitreise wagte der F-Secure CTO Mikko Hypponen, als er mit “Brain” den ersten PC-Virus vorstellte, der vor rund 25 Jahren zum ersten Mal kursierte. Hypponen war sogar nach Pakistan gereist, um die beiden Autoren der Malware zu Besuchen. In seinem Vortrag schlug er einen zeitlichen Bogen von Brain, dem ersten PC-Virus, hin zu Stuxnet.

Im Nachgang des Stuxnet-Wurms prästierten Sicherheitsforscher der NSS Labs ein Sicherheitsleck in Siemens Simatic S7 PLC (Programmable Logic Controllers). Ein Vortrag wenige Monate zuvor wurde unter anderem durch das Department of Homeland-Security verhindert. Auf der Black Hat durfte Dillon Beresford seine jüngsten Ergebnisse über die Sicherheit von SCADA-Software vorstellen. SCADA/HMI Software-Anwendungen werden im Umweltschutz, in der Wasserversorgung oder auch in der Luftfahrt verwendet.

Neben Apples iOS war auch das Cloud-Betriebssystem Chrome OS von Google Thema, das offenbar einige schwerwiegende Schwachstellen aufweist, wie die Forscher Matt Johansen und Kyle Osborn präsentierten. Dabei konnten sie zum Beispiel auf sämtliche Mail-Kontakte und gespeicherte Dokumente zugreifen, die IP-Adressen ausspähen oder auch die Google Voice-Accounts abhören. Außerdem konnten sie zeigen, wie man die Session Cookies stiehlt und die gleichen Aktionen in anderen Domänen durchführt. Immerhin waren die beiden so freundlich, Google im Vorfeld zu informieren.

Zac Franken, Director der Aperture Labs, demonstrierte ein Lesegerät von Square, mit dem man aus dem iPhone einen Kreditkartenleser machen kann. Das Unternehmen Aperture Labs hat zwei Fehler entdeckt, wie sich diese Informationen auslesen lassen. “Es hat weniger als 100 Code-Zeilen gebraucht”, um ein Programm zu schreiben, das diese Informationen auslesen kann.