Tag archive

Cybersicherheit

Wenn Hacker das Licht ausmachen

in Onlinewelt
TRETE UNSERER TG GRUPPE BEI
Loading...

Dank der voranschreitenden Weiterentwicklung der Technologie unseres Energieversorgungsnetzes und der intelligenten Verbrauchsmessung in unseren Wohnräumen erleben wir viele neue Vorteile… Aber dort verbergen sich ebenfalls die Gefahren, die von Hackern ausgehen.

Die Technologie, mit der unser Stromnetz betrieben wird, entwickelt sich immer weiter. Intelligente Verbrauchmessgeräte verwandeln unser Zuhause in Smart Homes. Daraus ergeben sich viele Vorteile, aus denen wir Nutzen ziehen. Dazu gehören: digitale Verbindungen, verbesserte Versogung und effiziente Abrechnung. Wie jedes andere, digital verbundene Gerät des IoT (Internet of Things, Internet der Dinge) jedoch wohnt auch dieser Technologie ein extrem hohes Sicherheitsrisiko inne.

Forschende aus dem Vereinigten Königreich haben erläutert, wie genau irgendein fremder Hacker mit böser Absicht sich direkt in das System eines intelligenten Stromzählers hacken kann und die Daten manipulieren dann, die an das intelligente Stromnetz verschickt werden. Möglicherweise kann er damit sogar ein Defizit in der Stromerzeugung auslösen.

Die Forschenden (Carl Chalmers, Michael Mackay und Aine MacDermott) von der Liverpool John Moores University haben erklärt, wie die Implementierung der neuen Technologie des intelligenten Netzes das traditionelle Energienetz verbessern kann. Eines der Themen, die sie angeschnitten haben, war die weitreichende und miteinander verbundene Infrastruktur, die eine spezielle Zwei-Wege-Kommunikation und Automatisierung innerhalb des gesamten Stromnetzes erlaubt. Das umfasst die Elektrizität, die vom Erzeuger zum Verbraucher und zurück zum Erzeuger fließt.

Loading...

Die Forschenden wiesen jedoch auch auf den wesentlichen Unterschied zwischen unseren traditionellen „passiven“ Methoden des Stromnetzes im Vergleich mit dem neuen intelligenten Stromnetz hin. „Kritische Infrastrukturen stellen im Speziellen ein verlockendes Ziel für Terroristen, Militärschläge und Hacker dar, die Unterbrechungen erzeugen wollen, Informationen stehlen oder ein ganzes Land aus der Ferne lahmlegen wollen“, schrieben die Wissenschaftler.

Dieses Forschungsteam deutete auch an, dass wir nun vorgewarnt sind hinsichtlich der Plausibilität eines „Worst-Case“-Szenarios. Diese Warnungen zielen auf den neuen, integrierten Fluss des intelligenten Stromnetzes ab. Es heißt darin, dass einige Sicherheitsmaßnahmen in Betrieb genommen werden müssen zwischen den Verbrauchern und dem Stromnetz, das mit den intelligenten Stromzählern bzw. Verbrauchmessgeräten verbunden ist.

Es ist eine Sache, Sicherheitsmaßnahmen einzusetzen. Eine andere Sache ist es jedoch, diese Sicherheitsmaßnahmen gegen Hacker und Terroristen auch zu warten und aufrechtzuerhalten. Um den Aktionen der Hacker stets einen Schritt voraus zu sein, müssen die Exploits bzw. die Möglichkeiten der Ausnutzung dieser Schwachstelle vollständig verstanden werden. Dann kann ein so genannter ‚Patch‘ erstellt werden, um dabei zu helfen, die Hacker auszusperren. Das wird ohne Zweifel zu einem andauernden Kampf zwischen den Hackern und dem neuen, intelligenten Netz für elektrischen Strom führen.

Übersetzt aus dem Englischen von AnonHQ.com.

Quellen:

Hacker übernehmen Tesla-Auto von der Tesla Mobile-App

in Kriminalität
TRETE UNSERER TG GRUPPE BEI
Loading...

Hacker haben den Besitzer eines Tesla-Wagens davon überzeugt, dass er eine bösartige App auf dem Gerät installiert werden muss. Nachdem dies geschehen war, konnten sie das Auto stehlen.

Eine kleine Gruppe von Hackern, die bei einer norwegischen Cybersicherheitsfirma angestellt sind, haben ganz genau gezeigt, wie Cyberkriminelle tatsächlich ganz einfach das Sicherheitssystem ausnutzen können, das in einem Tesla-Wagen installiert ist und über die Tesla Mobile-App gesteuert wird.

Die Forscher von Promon hatten einen Laptop genutzt, um aus der Ferne das Fahrzeug vom Typ Tesla Model S zu entsperren. Sie konnten das Auto nicht nur mit einem Laptop entsperren, sondern es gelang ihnen auch, das elektronische Fahrzeug zu starten und damit wegzufahren, ohne irgendeinen Schlüssel dafür zu benötigen. Die gesamte Operation wurde durchgeführt, indem das Smartphone des Besitzers gehackt wurde.

Promon hat daraufhin ein Video veröffentlicht, das die folgenreichen und extremen Schwachstellen deutlich bloßstellt, die sich in der Mobile-App von Tesla verbergen. Das ist eine ziemlich große Sache, da die Besitzer die mobile App dafür verwenden können, um die Batterielaufzeit und den Status der Aufladung anzuzeigen, ihr Auto lokalisieren können, die Temperatur vor dem Einsteigen in den Wagen regulieren können, die Lichter aufblitzen lassen können, um den eigenen Wagen inmitten eines vollen Parkplatzes zu finden – und noch viel, viel mehr. Und ja, die App gibt es sowohl für Geräte mit iOS als auch für Android.

Dieses Sicherheitsproblem (Exploit) konnte deshalb durchgeführt werden, weil auch Social Engineering (die Manipulation eines Menschen) angewandt wurde. Die Hacker hatten den Besitzer davon überzeugt, dass eine spezielle bösartige App heruntergeladen und auf dem Smartphone installiert werden müsste. Als sie dann heruntergeladen und installiert war, bestand der nächste Schritt darin, dass die Hacker einen frei zugänglichen und offenen WLAN-Hotspot in der Nähe der Tesla-Ladestation einrichteten.

Tom Lysemose Hansen, der Gründer und CTO (Technischer Direktor) von Promon, stellte fest: „Die aktuelle Forschung von Keen Security Labs nutzt Fehler im CAN-Bus-System (Controller Area Network-Bussystem) der Tesla-Fahrzeuge aus. Damit war es ihnen möglich, die Kontrolle über eine begrenzte Anzahl von Funktionen des Autos zu übernehmen. Unser Test verwendet als Erster die Tesla-App als Zugriffspunkt und geht noch einen Schritt weiter, indem er zeigt, dass eine kompromittierte App direkt zum Diebstahl eines Wagens führen kann.“

Und die innovierende Firma hat einen Patch für die Software nur ein paar Tage nach der Veröffentlichung und dem Bekanntwerden dieser Demonstration herausgebracht, um diesen Fehler zu beheben.

„Unser Test verwendet als Erster die Tesla-App als Zugriffspunkt.“

Loading...

Sorry, aber das war kein Hack in die Tesla-App. Stattdessen hat diese Firma Folgendes getan: Sie hat einen Besitzer dazu gezwungen, eine spezielle App herunterzuladen, um dessen Smartphone hacken zu können. Von dort aus ist es ihnen gelungen, die App zu kompromittieren.

Wie stiehlt man einen Tesla?

Aus der einen Perspektive ist es der Diebstahl eines Autos, indem die mobile App verwendet wird. Aus einer anderen Perspektive ist es jedoch nichts anderes als das Hijacking (wörtlich: die Entführung) eines Smartphone, um die App per Fernzugriff ausführen zu können und das Auto damit verletzlich zu machen.

„Indem Tesla sich davon entfernt, einen physischen Schlüssel zu verwenden, um die Tür aufzusperren, unternimmt Tesla im Grunde denselben Schritt, den auch Banken und die Bezahlindustrie gegangen sind. Physische Tokens („Dinge“) werden von ‚mobilen Tokens‘ ersetzt“, erläuterte Hansen. Weiterhin sagte er: „Wir sind sehr stark davon überzeugt, dass Tesla und die Autoindustrie ein vergleichbares Level an Sicherheit bieten müssen – und das ist definitiv heute so noch nicht der Fall.“

Übersetzt aus dem Englischen von AnonHQ.com.

Quellen:

 

 

Das ist Signal, die sicherste App für eure Nachrichten – sogar Snowden verwendet sie

in Onlinewelt
TRETE UNSERER TG GRUPPE BEI
Loading...

Wie kann man noch guten Gewissens wirklich der Nachrichten-App trauen, die man standardmäßig verwendet – auch wenn die App über End-zu-End-Verschlüsselung verfügt? Edward Snowden hat vor mehreren Nachrichten-Apps gewarnt, die nicht ausreichend gesichert sind oder eure Informationen mit der Regierung und Geheimdiensten teilen – und manche sogar mit der Polizei. Stellt euch die Frage: Wem vertraut ihr mehr? Den Firmen, die ihre Apps vermarkten wollen; oder Snowden, ein Geheimdienstagent, der mehrere Jahre für die CIA und die NSA gearbeitet hat, also für die mächtigsten Nachrichtendienste der Welt?

Wie wir bereits in einem vorherigen Artikel erläutert haben, schützt die End-zu-End-Verschlüsselung eure Nachrichten nicht in vollem Umfang – die Verschlüsselung reicht nicht aus, um eure Spuren zu verdecken. Das liegt daran, dass ein gewisser Teil der Nachrichten-App immer noch on ist und eure Informationen aufzeichnet. Wenn sie einmal aufgezeichnet sind, speichert die App dann eure Informationen – etwa Telefonanrufe und Nachrichten – auf anderen Telefonen. Das kann in letzter Konsequenz dazu führen, dass persönliche Informationen geleakt werden.

Ein idealtypisches und perfektes Beispiel für einen solchen Fehler stammt aus den Reihen von Apple. Apples iMessage-App, über die ich neulich in meinem Artikel „Apple zeichnet eure Nachrichten aus iMessage auf und schickt die Daten an die Polizei“ (Artikel ist auf Englisch) geschrieben habe, erörtern wir, wie Apples Nachrichten-App unter anderem eure Kontakte, Orte und Nachrichten abspeichert. Apple kann eure privaten Informationen jederzeit auf Zuruf an die örtlichen (oder staatlichen) Strafverfolgungsbehörden übergeben.

Wenn ihr bereits zu denjenigen gehört, welche die Open Source- und End-zu-End-gesicherte App Signal verwenden, dann seid ihr damit viel sicherer als ohne.

Die Nachrichten-App Signal verfügt ohne Zweifel über den am meisten gesicherten End-zu-End-Verschlüsselungsservice, den es zurzeit gibt. Zu einem früheren Zeitpunkt 2016 verlangte das Federal Bureau of Investigation (FBI) eine enorme Menge an Informationen über 2 spezifische Ziele, die Signal verwendeten. Obwohl die Behörde in der Lage dazu war, die Informationsherausgabe über eine Vorladung von Signal zu erzwingen, waren die Informationen für die Untersuchung ohnehin fast komplett nutzlos. Der Vorgang war Teil einer Untersuchung von einer bundesstaatlichen Grand Jury in Virginia.

Die App Signal speichert sehr wenige Informationen über ihre Nutzer, wie auch in diesem aktuellen Gerichtsfall ersichtlich und bewiesen wurde. Signals „Open Whisper System“ (OWS) übermittelt nicht einfach nach Aufforderung alles an die Regierung.

Loading...

Zum Glück für die Öffentlichkeit zeigt das, dass Signal eine der besseren Apps ist, die man verwenden sollte, wenn man auf der Suche nach Sicherheit und Privatschutz für die eigene Kommunikation ist. Signal ist sogar so gut, dass der Whistleblower Edward Snowden selbst sie verwendet.

Das FBI hatte verlangt, dass Signal die folgenden Informationen über die zwei Verdächtigen preisgibt:

  • E-Mail-Adresse des Abonnenten
  • Informationen zum Bezahlmittel
  • Mit dem Nutzer assoziierte IP-Adresse
  • E-Mail-Adressen
  • Chroniken
  • Cookie-Daten des Browsers

Die ACLU (American Civil Liberties Union; „Amerikanische Bürgerrechtsorganisation“) schrieb dazu in einem Abschnitt ihres entsprechenden Beitrags. „Wie die Dokumente zeigen, hat sich aus den Bemühungen der Regierung nicht viel ergeben – nicht deshalb, weil OWS sich weigerte, der Vorladung der Regierung Folge zu leisten (das haben sie nämlich getan), sondern weil die Firma ganz einfach diese Art von Informationen über ihre Kunden nicht speichert, welche von der Regierung verlangt wurden (und die viel zu viele Tech-Firmen nach wie vor ansammeln).“ Nachdem der fehlgeschlagene Versuch der Regierung aufgedeckt worden war, fügten sie hinzu: „Alles, was OWS ihnen zur Verfügung stellen konnte, waren die Tage und Zeitpunkte, zu dem ein Account erstellt wurde und wann er sich zum letzten Mal mit den Signal-Servern verbunden hat.“

Anlage A

Die Vorladung, die OWS auf ihrer Website veröffentlicht haben, ist eine Information für die Öffentlichkeit, dass die Firma keine privaten Informationen über ihre Kunden preisgeben wird – hauptsächlich aus dem Grund, weil sie dazu nicht in der Lage sind. Auf dem oben gezeigten Screenshot sind tatsächlich alle Informationen dargestellt, die sie über ihre Kunden haben.

Quellen: AnonHQ, Open Whisper Systems, Security Affairs, ACLU (American Civil Liberties Union), OWS (Subpoena).

Übersetzt aus dem Englischen von AnonHQ.com.

Ein weltweites Monopol hat gerade das Internet übernommen und keiner hat etwas gemerkt

in Onlinewelt
TRETE UNSERER TG GRUPPE BEI
Loading...

Am vergangenen Samstag haben die Vereinigten Staaten die Aufsicht über eine der grundlegenden und fundamentalen Funktionen des Internet beendet – über die so genannte „Root-Zone“, in der neue Domainnamen und Adressen verwaltet werden. Die Aufsicht wurde an eine kleine gemeinnützige Non-Profit-Gruppe übergeben, als der 47 Jahre bestehende Vertrag darüber abgelaufen war.

Jahrzehntelang hatte es ein Vertragsverhältnis zwischen dem US-amerikanischen Handelsministerium (Commerce Department) und der Internet Corporation for Assigned Names and Numbers (ICANN) gegeben – deren Führungskräfte und Vorstand nun an eine „Gemeinschaft von Interessenvertretern“ des Internet berichten muss, die aus einer lose zusammengewürfelten Gruppe von Akademikern, Aktivisten, Ingenieuren, Regierungsbeamten und unternehmerischen Interessenvertretern besteht.

Theoretisch könnte dieses beratende Gremium der ICANN komplett die Autorität entziehen, wenn sie die Anforderungen nicht erfüllt – aber alle Handlungen „sollen auf Basis von Konsensentscheidungen durchgeführt werden.“

Mit dem Ablauf dieses Vertrags haben die Vereinigten Staaten ihr Ziel erfüllt, das Internet zu „privatisieren“ – ein Zustand, von dem Befürworter behaupten, er werde dazu beitragen, die Integrität des Internet weltweit zu stützen. Da sich das Internet in Windeseile über den ganzen Planeten ausbreitete, hatten viele das Gefühl, die Aufsicht durch die Vereinigten Staaten sei anachronistisch.

„Dieser Übergang wurde vor 18 Jahren ins Auge gefasst“, sagte Stephen Crocker, der Vorstandsvorsitzende der ICANN in einer von der AFP zitierten Erklärung. Er ist zugleich einer der Ingenieure, die an der Entwicklung der ersten Internetprotokolle beteiligt waren. Crocker sagte darüber hinaus:

„Trotzdem war es die unermüdliche Arbeit der Internetgemeinschaft weltweit, die den endgültigen Vorschlag entworfen hat und dazu beigetragen hat, dass diese Vorstellung Realität wurde. Diese Gemeinschaft bestätigte das ‚Multi-Stakeholder-Modell‘ (ein Modell mit mehreren Interessenvertretern bzw. Anspruchsberechtigten) der Internetverwaltung. Es hat sich gezeigt, dass ein Verwaltungsmodell, das durch die Inklusion aller Stimmen definiert wird – dazu gehören geschäftliche Interessen, Akademiker, technische Experten, die Zivilgesellschaft, Regierungen und viele andere – die beste Möglichkeit ist, um zu gewährleisten, dass das Internet von morgen so frei, offen und zugänglich bleibt wie es das Internet von heute ist.“

Aber dieser Umzug fand nicht ohne vehementen Widerstand statt, der unter anderem von einigen US-amerikanischen Gesetzmachern kam. Diese hatten das Gefühl, dass die Aufgabe der Aufsicht weniger gewissenhaften Regimes die Gelegenheit bieten könnte, die vollständige oder teilweise Kontrolle über diese lebensnotwendige Funktion des Internet zu erlangen – mit möglicherweise desaströsen Ergebnissen.

Generalstaatsanwälte aus Texas, Arizona, Oklahoma und Nevada stellten in letzter Minute Bemühungen zur Intervention an, indem sie eine einstweilige Verfügung anforderten, die am vergangenen Freitag vor dem Bundesgericht in Texas angehört wurde. Trotz ihrer verständlichen Ängste, dass mit dem Auslaufen des Vertrags die Vereinigten Staaten und das Internet Neuland betreten würden – was die Integrität von .gov-Webadressen und mehr gefährden könnte – wies der Richter ihre Forderung zurück.

Widerstand gegen die Übertragung der Aufsicht auf die ICANN kam größtenteils – aber nicht nur – von der GOP (Grand Old Party – große, alte Partei – ein Spitzname der US-amerikanischen Republikanischen Partei). Senator Ted Cruz erklärte diese Woche nach einem fehlgeschlagenen Versuch, er werde den Umzug aufhalten, indem er die Gesetzgebung hinzuzieht.

„Präsident Obama beabsichtigt, mehr Kontrolle über das Internet an autoritäre Regimes wie China, Russland und Iran zu übergeben. So wie Jimmy Carter den Panamakanal hergegeben hat, so gibt Obama das Internet her.“

Technische Experten sagen, dass man nicht einfach von einem ‚Hergeben‘ des Internet sprechen kann, weil die Vereinigten Staaten es in erster Linie gar nicht besessen haben. Aber die Kontrolle über die Root-Zone – offiziell die Internet Assigned Numbers Authority (IANA) an die ICANN zu übergeben, führt zu berechtigten und wesentlichen Fragen.

Loading...

Dazu berichtet der Chicago Tribune:

„Während das Internet selbst so konstruiert worden ist, dass es ohne eine zentrale Autorität funktionieren kann, hat ICANN seit seiner Gründung – auf Drängen der Clinton-Regierung hin im Jahr 1998 – eine kleine, jedoch essenziell wichtige Rolle gespielt. Es hat ein Programm ersetzt, dass unter der Leitung des Verteidigungsministeriums gelaufen war. ICANN wacht über den Prozess der Zuordnung von Domainnamen und über die dahinterliegenden Internet Protocol- oder IP-Adressen. Diese machen es für alle Nutzer möglich, Seiten wie Washingtonpost.com anzusteuern. Private Firmen wie 1&1 oder DENIC, die Registratoren (registrars) genannt werden, haben die offizielle Erlaubnis von ICANN, die Domainnamen wiederum an Firmen oder Einzelpersonen zu verkaufen.“

Die Entscheidungen von ICANN werden allerdings nicht ohne Kontroversen aufgenommen. Die Vereinigten Staaten hatten die Option, den Vertrat einer anderen Entität bzw. Organisation anzubieten.

„Jemand muss dafür verantwortlich sein. Das ist ein Gemeinplatz“, erklärte Garth Bruen; er ist ein Cybersicherheits-Experte, der in einem Fachbeiratsgremium der ICANN sitzt und hier vom The Tribune zitiert wird. „Es gibt keine gegenseitige Kontrolle mehr. Davor gab es noch die Gefahr der Verantwortlichkeit.“

Wie der The Economist so treffend anmerkt, hat derjenige, der das „Adressbuch“ des Internet kontrolliert auch die Macht zu zensieren – jeder Domainname kann zurückgenommen werden und schon ist die Website ist nicht länger auffindbar.

Kritiker haben ebenfalls den Eifer von Befürwortern der Übergabe bemerkt; unter anderem den Eifer des berüchtigten globalistischen Akteurs George Soros. Sie sehen dies als einen Indikator dafür, dass die Aufgabe der Kontrolle mit mehr Bedacht abgewogen werden sollte – oder zumindest deutlich zurückgestellt werden sollte, um der amerikanischen Öffentlichkeit die Möglichkeit zu geben, sich in dieser Sache zu äußern und zu positionieren.

Trotzdem sagen Experten, dass solche Ängste völlig überzogen sind.

„Es besteht überhaupt gar keine Möglichkeit, dass dies Freiheiten gefährden könnte“, versicherte Matthew Shears im The Tribune. Shears ist der Leiter des Bereichs für Global Internet Policy (globale Internetrichtlinien) am Center for Democracy and Technology (Zentrum für Demokratie und Technologie) – ein Interessenverband mit Hauptsitz in Washington, die größtenteils von der Tech-Industrie unterstützt wird. „Es besteht überhaupt gar keine Möglichkeit, dass Russland oder Iran oder irgendjemand sonst dadurch Kontrolle über das Internet erlangt. Das hat damit überhaupt nichts zu tun.“

Ob die Übertragung letztendlich vorteilhaft oder schädlich sein wird, können wir wohl erst in der Zukunft vollständig erfassen.

Übersetzt aus dem Englischen von AnonHQ.com.

Was haltet ihr davon? Hinterlasst einen Kommentar mit eurer Meinung zu diesem Artikel und teilt diese Nachricht!

Gehe zu Top