1569716

Gute Technik, die böse ausgenutzt werden kann

06.09.2012 | 11:30 Uhr |

Lebensrettende Insulinpumpen, die Hacker fernsteuern; GPS-Daten, die Stalkern helfen; SMS, die Autos aufsperren - wir zeigen, wie Hacker moderne Alltags-Technologien missbrauchen können.

Nicht nur Computer sind durch Hackerangriffe betroffen. Auch Fernseher, Autos, Telefone und andere Geräte, die via Bluetooth, GPS (Global Positioning System), Mobilfunknetz, RFID (Radio Frequency Identification) und WLAN kommunizieren, geraten zunehmend ins Visier der Angreifer. Obwohl Technik unsere Bequemlichkeit fördert und die Kommunikation vereinfacht, stellt sie eine große Gefahr da. Immer mehr Geräte lassen sich von Dritten unbefugt mit ungeahnten Konsequenzen für die Anwender missbrauchen.

Hacker können die Sicherheitsvorkehrungen Ihres Autos aushebeln und den Motor starten, indem sie die Wegfahrsperre überwinden. Sie können beim Vorbeigehen die Daten Ihrer Kreditkarte ohne jeglichen Kontakt stehlen. Es ist auch möglich die lebensrettende Insulinpumpe zu kapern, um die benötigte Insulindosis zu verändern. In diesem Beitrag haben wir für Sie einige Technologien zusammengestellt, die Kriminelle nutzen und gegen Sie verwenden können.

ATM Skimmer – Die Manipulation von Geldautomaten

ATM Skimmer lesen heimlich Bankkarten-Informationen aus
Vergrößern ATM Skimmer lesen heimlich Bankkarten-Informationen aus

ATM Skimmer werden heimlich an Geldautomaten angebracht. Sie sind so programmiert, dass die Bankkarteninformationen über den Magnetstreifen ausgelesen und an die Gauner weitergegeben werden. Waren ältere Geräte noch sperrig und die Manipulation des Kartenschlitzes am Automaten auffällig, lässt sich heutzutage ein manipulierter Geldautomat kaum erkennen. Die verwendete Technik ist extrem klein und passt direkt in den Kartenschlitz des Automaten.

Die Bankkarten- restriktive Kreditkarten-Informationen auf dem Magnetstreifen sind ohne den Karten-PIN-Code nutzlos. Auch die neusten Skimmer können den PIN-Code nicht auslesen. Deswegen bringen die Verbrecher Kameras oder andere Geräte über der Automatentastatur an, um die Eingabe des PIN-Codes abzufangen. ATM Skimmer und PIN-Code-Aufzeichnungsgeräte werden immer unauffälliger und lassen sich somit schwieriger entdecken.

Skimming: Wenn Diebe die EC-Karte heimlich kopieren

„War Texting“ – Hacken mit SMS-Kurznachrichten

Der Begriff „War Texting“ bezieht sich auf das Entführen von Hardware mittels Kurznachrichten aus dem GSM (Global System for Mobile Communications)-Netzwerk. Überwachungskameras, Home-Automation-Systeme und Autos kommunizieren oft über das Mobilfunknetz um Firmware-Updates (Firmware Over The Air) zu erhalten. Dies macht das Aktualisieren dieser Systeme komfortabler aber auch anfälliger für Angriffe von außen.

Auf der Sicherheitskonferenz BlackHat 2011 in Las Vegas, USA, führten die Sicherheitsberater Don Bailey und Matthew Solnik „War Texting“ vor. Sie öffneten die Türen eines Subaru Outbacks und starteten den Motor – alles mithilfe von SMS-Kurznachrichten. Bailey sagte, dass er und Solnik zwei Stunden brauchten, um ein eigenen GSM-Netzwerk aufzubauen und herauszufinden, wie das Fahrzeug mit dem Netzwerk kommuniziert. Anschließend versendete er von seinem Notebook die Nachrichten.

„Power Pwn“ – Als Hackerwerkzeug getarnte Mehrfachsteckdose

Power Pwn soll helfen Schwachstellen in Netzwerken aufzuspüren.
Vergrößern Power Pwn soll helfen Schwachstellen in Netzwerken aufzuspüren.
© Pwnie Express

Ein weiteres tückisches Gerät ist Power Pwn. Hierbei handelt es sich um ein Hackerwerkzeug, das sich als Mehrfachsteckdose mit Überspannungsschutz tarnt und in einer Büroumgebung so kaum auffällt. PwnieExpress und DARPA (Defense Advanced Research Projects Agency) entwickelten den Power Pwn, ein Gerät das Bluetooth, UMTS und  WLAN beherrscht. Der Power Pwn wurde entworfen, um damit die Netzwerk-Sicherheit und Firewalls zu umgehen unter Beibehaltung einer konstanten verdeckten Verbindung mit dem Angreifer.

Pwnie Express sagt, dass das Gerät als Enterprise Test Tool entwickelt wurde, um Schwachstellen von Netzwerken herauszufinden. Allerdings kann jeder das Gerät für 1.300 US-Dollar (etwa 1.035 Euro) kaufen. Da Informationen aus Business-Netzwerken einiges wert sind, ist es nicht auszuschließen, dass auch Hacker sich Power Pwn zulegen werden.

RFID – Radio Frequency Identification

RFID (Radio Frequency Identification)-Chips sind sehr klein und beinhalten Informationen über das Objekt, an dem sie angeschlossen sind. Diese reichen von einer ID-Karte mit persönlichen medizinischen Informationen bis zu Autoschlüsselanhänger, elektronische Türschlosser, Kreditkarten oder Haustiere. Der Hauptzweck von RFID-Chips besteht darin digitale Informationen in etwas "Nichtdigitiales" einzubetten, um dann diese Objekten leichter verfolgen oder mit ihnen kommunizieren zu können. Teilweise benötigen diese Chips keine Batterie, sondern werden elektromagnetisch von einem nahe gelegenen Empfänger mit Strom versorgt.

Objekte mit einem RFID-Chip sind potentiell hackbar. Zudem kosten solche Chips 0,07 US-Dollar (etwa 0,06 Euro) und finden immer öfters den Weg in die unterschiedlichsten Gegenständen.

Auf der Sicherheitskonferenz ShmooCon zeigt der Sicherheitsexperte Kirstin Paget, wie einfach es ist eine mit RFID ausgestattete Kreditkarte zu hacken. Hierzu verwendete er eine Anlage für ungefähr 350 US-Dollar (rund 280 Euro). Er kopierte die Kreditkarten-RFID-Daten drahtlos, klonte diese auf eine leere Karte und tätigte an sich selbst mit einem Square Card Reader eine Zahlung. Padget beschrieb den Hack als „peinlich einfach“.

GPS – Global Positioning System

Die App Girls Around Me verwendete eine Kombination aus Foursquare- und Facebook-APIs.
Vergrößern Die App Girls Around Me verwendete eine Kombination aus Foursquare- und Facebook-APIs.
© Girls around me

GPS (Global Positioning System) ist an sich eine sehr nützliche Technologie, allerdings kann die Verwendung in Smartphones problematisch sein. App-Entwickler nutzen GPS für unterschiedliche Anwendungen, um mittels Breiten- und Längengrade den Standort zu ermitteln.

Beispielsweise verwendet FourSquare GPS, um die sozialen Gewohnheiten und Kaufgewohnheiten der Mitglieder zu verfolgen. User können zudem ihren Aufenthaltsort mit anderen teilen, indem sie sich per App „einchecken“.

Wie auch immer. App-Entwickler erlauben oft Dritten ihre APIs (Application Programming Interfaces) zu verwenden und erhöhen hierdurch die Gefahr eines Missbrauchs durch interessierte Außenstehende. Im April 2012 passierte genau dies. Die App Girls Around Me verwendete eine Kombination aus Foursquare- und Facebook-APIs, um öffentliche Daten von Frauen aus der Nähe anzuzeigen. Hierzu gehörten Orte, Bilder und die Namen der Frauen. Alle bereit gestellten Informationen waren rechtlich legal. Eine Kombination dieser Daten rief allerdings Bedenken in Bezug auf Stalking hervor.

Hackbare Insulinpumpen

Kabellose Insulinpumpen können gehackt werden.
Vergrößern Kabellose Insulinpumpen können gehackt werden.

Jay Radcliffe, Direktor des Smart Device Threat Intelligence Center und zugleich Diabetes-Typ 1-Patient, entdeckte, dass seine kabellose Insulinpumpe von Unbefugten gehackt werden könnte. Der Hacker kann auf bis zu einem halben Meter Entfernung die Pumpe kontrollieren und eine tödliche Dosis an einen ahnungslosen Diabetiker abgeben. Die Wahrscheinlichkeit, dass dies passiert ist zwar äußerst gering, aber die Tatsache, dass dies möglich ist, beunruhigt.

Obwohl Technologien unser Leben vereinfachen, bergen sie Gefahren. Angesichts der Tatsache, dass unsere Welt immer technologischer wird und sich immer stärker vernetzt, werden Hacker und andere Kriminelle weitere Möglichkeiten finden, um Techniken zu missbrauchen, die wir in unserem täglichen Leben benötigen.

Der beste Rat, den wir geben können: Beobachten sie das Verhalten Ihrer Geräte. Wenn Sie eine Veränderung bemerken, können Sie Opfer eines Hacker-Angriffs sein. Banken Skimming und Kreditkartenbetrug lassen sich durch das regelmäßige Kontrollieren der entsprechenden Kontoauszüge entdecken. Das Bundeskriminalamt und Sicherheitsunternehmen warnen auf ihrer Internetseiten vor diversen Betrugsfällen.

Dieser Artikel basiert auf einem Beitrag unserer  Schwesterpublikation PCWorld.com .

0 Kommentare zu diesem Artikel
1569716