Sicherheitslücke – RJS-Blog – Ralph Steyer

NFC – Bequemlichkeit vs Sicherheit

Die Tage ist mir beim Tanken unangenehm aufgefallen, dass ich die Tankrechnung beim Bezahlen mit Kreditkarte und NFC ohne die Eingabe einer Geheimzahl oder Unterschrift leisten konnte. Das habe ich bisher noch nie bemerkt und das geht gar nicht. „NFC – Bequemlichkeit vs Sicherheit“ weiterlesen

IT-Experte meldet Sicherheitslücke und wird dafür verurteilt

Ich bin mir nicht sicher, ob wir nicht in Schilda leben. Aber wenn fehlende Kompentenz auf Seiten der Justiz mit Undankbarkeit und Realitätsverlust auf Seite eines Unternehmens kombiniert werden, kommt wohl sowas raus.

Da entdeckt ein IT-Experte ein komplett offenes Scheunentor in der Datenbank eines Unternehmens, meldet diese Lücke dem Unternehmen und dieses verklagt den IT-Experten, statt diesen zu entlohnen oder zumindest sich dankbar zu zeigen. Und Richter verurteilen mit einer zumindest sehr fragwürdigen Argumentation tatsächlich den IT-Experten.

Folge – Sicherheitslücken wird niemand mehr melden und Unternehmen in Zukunft hilflos gegen Hackerangriffe sein. Wie nennt man das also? Schildbürgerstreich. Können die dann betroffenen Unternehmen, Behörden und Organisationen eigentlich Schadensansprüche gegen die beteiligten Richter und das Klageunternehmen geltend machen?

Amnesia:33

Bei meiner morgendlichen Lektüre der Geschehnisse in der letzten Nacht auf verschiedenen Webseiten bin ich auf einen Beitrag auf n-tv gestoßen, der doch recht bemerkenswert ist und Wasser auf meine Mühle darstellt. Im sogenannten „Internet der Dinge“ gibt es wieder massive Sicherheitslücken, die unter dem Begriff Amnesia:33 zusammengefasst werden. Das ist jetzt schon die zweite Welle, die als großes Problem veröffentlicht wurde, wobei ich die 1. Welle mit Namen „Ripple20“ vor einigen Monaten komplett verpasst habe. Die ist vollkommen unter meinem Radar durchgelaufen.

Aber grundsätzlich warne ich schon immer vor den sogenannten „smarten“ Geräten. Ich halte sie überwiegend für reine Datenspione, mit denen Hersteller Benutzer ausspionieren und missbrauchen wollen. Vielfach sind sie zudem nutzlos und reine Krücken, mit denen die Faulheit und Bequemlichkeit von Anwendern unterstützt wird.

Aber auch deren Sicherheit habe ich schon immer angezweifelt, wobei ich da im Wesentlichen den Anwender als Schwachstelle gesehen habe. Dessen Faulheit sichere Passworte zu vergeben und die Geräte auch sonst abzusichern als eigenverantwortliche Sicherheitslücke ist nur ein Teil des Problems. Der andere Teil ist, dass man von normalen Anwendern auch definitiv nicht das Wissen fordern kann, das im Grunde zum Betrieb von vernetzten Architekturen notwendig ist. Mit dem Internet der Dinge nimmt man reine Anwender in die Verantwortung, die oft nicht die geringste Ahnung haben, mit welchen Bomben sie bei Ihren Smart-Lautsprechern, Kameras, etc. hantieren. Das ist wie bei Kleinkindern, denen man ein Feuerzeug in die Hand gibt und dann tagelang alleine lässt.

Die Amnesia:33 genannten Sicherheitslücken greifen aber sogar auf der rein technischen Ebene. US-Forscher haben technische Schwachstellen ganz unterschiedlichen Geräten wie vernetzten Kameras, Umgebungssensoren, Beleuchtungsanlagen, Steckern, Strichcodelesegeräten, Druckern, Audiosysteme oder mit dem Internet verbundenem Gerätem in Krankenhäusern gefunden. Bei mehr als 150 Herstellern weltweit.

Die Schwachstellen basieren vor allen Dingen auf der fehlerhaften Umsetzungen von TCP/IP im industriellen Umfeld. Und da ist der Hund begraben, denn da der Adressraum von IPv4 für das Internet der Dinge zu klein ist, wird hier massiv mit IPv6 gearbeitet.

Tatsächlich ist die Empfehlung zur Beseitigung der Schwachstellen krass:
IPv6 soll deaktiviert oder in der Firewall blockiert werden.
Das ist ungefähr auf dem Niveau; Man stellt fest, dass bei über 150 Autoherstellern der Airbag unkontrolliert auslösen kann und deshalb empfiehlt man, bis auf Weiteres auf das Autofahren zu verzichten.

Das zeigt ganz deutlich, dass das Internet der Dinge vollkommen unausgereift ist.

Automobilindustrie verweigert sich sicheren Techniken

Aktuell haben Verkehrsklubs die Keyless-Go-Technologie getestet. Damit entsperrt sich ein Auto automatisch, wenn der Besitzer (oder auch ein interessierter Dieb) in die Nähe kommt. Die Testergebnisse waren kastatrophal. Sämtliche „Schließsysteme“ (was eigentlich kaum so genannt werden darf) ließen sich trivial austricksen. Sogar ohne irgendwelche IT-Kenntnisse. Nur mit einem kleinen Reichweitenverlängerer, den es für ein paar Euro überall zu kaufen gibt.

Und nach Aussage der Verkehrklubs weigern sich die Autohersteller, diese Sicherheitsprobleme zu beseitigen. Zyniker gehen davon aus, dass die Automobilindustrie bewusst diese unsichere Schließtechniken bereitstellt, um den Absatz zu fördern. Denn für jedes gestohlene Auto wird ja in der Regel Ersatz geordert. Und den Käufern wird das im Grunde vollkommen unnütze Verfahren als „bequem“ angedreht. Nur das ist ja ein Synonym für „unsicher“.

Das Konzept passt bestens zu den immer weiter wuchernden „Demenzsystemen“ in modernen Autos (und teils sogar Motorrädern), mit denen der Verstand, die Fähigkeit und die Mündigkeit von Autofahrern reduziert werden soll. Alles wird „BEQUEEEEEMEEER“ und damit eben auch anfälliger – sowohl technisch aber auch in Hinsicht auf die elementaren Dinge des menschlichen Verstands. Leute – ihr habt echt den Schuss nicht gehört. Diese Entwicklung war in den 90iger Jahren mal das Ziel, ist aber gnadenlos gescheitert.

Sauber, einfach und sicher sollte das aktuelle Ziel der Automobilentwicklung sein – aber das haben die Verantwortlichen wohl nicht verstanden – oder schon verstanden, aber das bringt nicht genug Umsatz und solange der dummer Käufer den falschen, veralteten Mist sich andrehen lässt …

M	D	M	D	F	S	S
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30

M	D	M	D	F	S	S
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30