Mit Attacken auf Internet-Communities, Multimedia-Programme und Software zur Steuerung von Industrieanlagen haben Teilnehmer der Hacker-Konferenzen Black Hat und Defcon die Schwachstellen von Computerprogrammen bloßgelegt.
An den beiden Konferenzen in Las Vegas nahmen mehr als 10.000 "Techies" teil. Die Black-Hat-Konferenz wird von großen Konzernen mit der Absicht unterstützt, die Sicherheit von Software zu verbessern. Bei Registrierungsgebühren von mehreren tausend Dollar kommen auch die Teilnehmer aus dem professionellen Umfeld. Rebellischer ist die Atmosphäre auf der Defcon, die sich selbst als weltgrößte "Underground Hacking Convention" bezeichnet.
Myspace-Angriff via "Cross-site Scripting"
Das nach
wie vor aktuelle "Cross-site Scripting" demonstrierte der 21-jährige Rick
Deacon aus Beachwood, Ohio. Er zeigte unter anderem, wie online die
"Cookies" eines fremden Nutzers gestohlen werden können, um damit in dessen
Account bei der Online-Community MySpace zu gelangen. Deacon sagte auf der
Defcon, er habe das Problem vor mehreren Monaten entdeckt und MySpace davon
unterrichtet. Bisher sei aber nichts passiert. "Es gibt hunderte weitere
Angriffsstellen für das Cross-site Scripting", sagte Deacon. "Es ist kaum
möglich, sie alle zu finden."
Auch WLAN-Netzwerke verwundbar
Auf der Black-Hat-Konferenz
demonstrierte der Vorstandschef der Sicherheitsfirma Errata Security, Robert
Graham, wie man mit einem von ihm entwickelten Programm über ein
öffentliches WLAN die "Cookies" anderer Nutzer stehlen und dann sowohl deren
Web-Mail-Accounts als auch die persönlichen Seiten in Online-Communities
kapern kann. Während seines Vortrags drang Graham so in den
Google-Mail-Account eines anderen Konferenzteilnehmers ein. Er wolle mit
seinem Programm die Verwundbarkeit von öffentlichen drahtlosen Netzen
demonstrieren, sagte Graham.
PC-Herrschaft via MP3-Player
David Thiel von der kalifornischen
Firma iSEC Partners zeigte auf der Black Hat, wie man Schwachstellen in
Musikabspielprogrammen ausnutzen kann, um einen fremden Computer unter
eigene Kontrolle zu bringen. Bei seiner Demonstration setzte er einen
Open-Source-Player ein. In populärer kommerzieller Player-Software gebe es
aber ebenfalls solche Schwachstellen, sagte Thiel und fügte hinzu: "Dies ist
eine neue Front für Hacker." Er stehe mit den Herstellern in Kontakt, damit
diese die Sicherheitslücken schließen könnten.
Steuerung von Industrieanlagen
Potenziell unabsehbare Folgen
könnte die Schwachstelle in einer Software haben, die zur Steuerung von
Inudstrie- oder Infrastrukturanlagen eingesetzt wird - darunter Wasserwerke,
Stromnetze und Pipelines für Gas und Öl. Die Sicherheitslücke könnte
ausgenutzt werden, um die für die Steuerung eingesetzten
SCADA-Computersysteme zum Absturz zu bringen. SCADA steht für "Supervisory
Control and Data Acquisition". Das Problem liege bei Sensoren dieser
Anlagen, die über eine unverschlüsselte Verbindung mit dem Internet
verbunden sind, erklärte Ganesh Devarajan von der Firma TippingPoint in
Austin, Texas, auf der Defcon.
"Beängstigende Bedrohungen"
"SCADA-Systems sind
furchterregend, weil sie unser Alltagsleben bestimmen", sagte Devarajan.
"Und sie verwenden einfache Software - man muss ihnen nur ein paar falsche
Requests schicken und schon kann man mit ihnen kommunizieren. Das sind
beängstigende Bedrohungen."
