Archiv für den Monat: Oktober 2017

Der WLAN-Standard WPA2 hat gravierende Sicherheitslücken

Es gibt ja immer mehr freie drahtlose Internetzugänge in Deutschland; in Cafes, in Geschäften und im Zug. Und so schön offenes WLAN auch ist – das Funknetz zuhause oder im Betrieb, über das man Onlinebanking macht und über das Login-Daten und vertrauliche Dateien hin und her gesendet und empfangen werden; das sollte tunlichst nicht offen sein, sondern verschlüsselt und mit einem Passwort geschützt. Das Standardprotokoll für diese Verschlüsselung heißt WPA2, wird allseits empfohlen und eingerichtet und gilt als sicher. Bisher.

In gut informierten Kreisen wusste man schon seit geraumer Zeit, dass in Sachen WPA2 etwas im Busch war- und dass heute, am 16.10.2017 eine wahrscheinlich ziemlich spektakuläre Enthüllung bevorstand. Mit Selbst-Marketing, wie das die dpa-Agenturmeldung suggeriert, hat das Prozedere und das Timing übrigens nichts zu tun. Mathy Vanhoef von der Universität Leuwen hatte vorweg über hundert Hersteller und die Internet-Sicherheitswarnstellen, die CERTs über die gefundenen Lücken unterrichtet. Die Warnung unter Stillhaltepflicht bis zu einem bestimmten Publikationsdatum dient dazu, dass Bugfixes möglichst flächendeckend vorbereitet werden können.

Embed from Getty Images

 

Prescht nämlich ein Betroffener vor und und sichert sein Produkt oder Betriebssystem ab, können Experten und Hacker aus dem Vorher-Nachher-Vergleich auf die Sicherheitslücke schließen und die Produkte der Hersteller angreifen, die mit dem Nachbessern noch nicht fertig sind. So richtig detailliert wussten aber offenbar auch Stellen, die „eigentlich“ gut informiert sein sollten, bis zum Mittag nicht Bescheid. Und im Bericht bei ArsTechnica waren mehrere Fehler: Bei Sven Schäge von der Ruhr-Universität Bochum etwa stand das Telefon nicht mehr still, dummerweise war der deutsche Experte zwar auch zeitgleich mit Mathy Vanhoef auf der BlackHat-Konferenz gewesen, hatte aber mit der WPA2-Analyse nichts zu tun.

Auch die Information, WPA2 sei von den gleichen Experten „geknackt“ worden, die Jahre zuvor das Vorgänger-Protokoll WEP obsolet gemacht hatten, erwies sich mit der Freischaltung der Website krackattacks.com als falsch, sogar der in dem wissenschaftlichen Paper als Co-Autor genannte Frank Piessens war nur als „Supervisor“ „ehrenhalber erwähnt“ worden. Die übrigen vorab durchgesickerten Dinge stimmen aber 🙂 … Das Problem ist äußerst gravierend, auch wenn Router-Hersteller und die WiFi-Alliance darauf hinweisen, dass ein Angriff ja nur aus unmittelbare Nähe möglich ist und „bislang keine tatsächlich erfolgten Angriffe bekannt“ seien. Betroffen ist letztlich jedes WLAN-Device, vom Smartphone über Webcams bis hin zum „intelligenten“ Türschloss.

In der Pflicht sind zuallererst die Betriebssystem-Hersteller, für Windows, OSX, iOS, Linux und Android muss der WLAN-Protokoll-Stack nachgebessert werden. Schon jetzt ist klar, dass das bei vielen IoT-Devices niemals passieren wird. WLAN-Router können, müssen aber nicht betroffen sein. Auch hier ist dringlichst anzuraten, bis zur erfolgreichen Installation von etwaigen Firmware-Updates einstweilen wie in offenen WLANs zu verfahren und VPNs zu nutzen.

 

WLAN-Verschlüsselung WPA2 ist offenbar geknackt · Deutschlandfunk Nova

Deutschlandfunk Nova – Hielscher oder Haase vom 16.10.2017 (Moderation: Diane Hielscher)

WPA2-Verschlüsselung – Gravierende Sicherheitslücke bei WLAN-Verschlüsselung

Deutschlandfunk – Forschung aktuell vom 16.10.2017 (Moderation: Arndt Reuning)

 

P.S. 17.10.2017 – Mittlerweile trudeln die ersten Patches oder zumindest Patch-Ankündigungen ein 🙂 … Einen Überblick gibt es bei Heise.

Wie praxisrelevant oder tatsächlich gefährlich die ungestopfte Lücke ist, darüber kann man unterschiedlicher Meinung sein. Natürlich – wenn man immer ein VPN benutzt, besteht kein Anlass zur Panik, nur welcher Laie macht das schon? Die BSI-Warnung war schon richtig und genau das, was ich ja auch gesagt habe: Man sollte sich wie in einem offenen WLAN verhalten. Die Mitteilung von AVM in Sachen Fritzbox ist, was die weit verbreiteten Geräte betrifft, eine gute Nachricht. Die im heimischen Wohnzimmer unrealistische Voraussetzung, dass der Angreifer-AP näher am Client sein muss als der legitime Router sieht in Firmen, Cafes oder Bahnhöfen schon wieder viel realistischer aus. Und dass sich der Client „freiwillig“ ummelden muss, ist normaler als es klingt, schließlich beginnen ja viele Angriffe damit, die bestehende Verbindung mal eben abzuschießen 🙂

CoinCreator: Die eigene Kryptowährung „leicht“ gemacht

Geld selber drucken ist nach wie vor eine sehr populäre, aber auch juristisch riskante Idee, um endlich auch mal auf die Sonnenseite des Lebens zu kommen. Im Netz und beim überaus populären Hype Blockchain und Cyberwährung sind da auch jede Menge Glücksritter und windige Vögel unterwegs. Um dem bunten Treiben einen Riegel vorzuschieben, haben kürzlich China und andere Staaten neue ICOs, „Initial Coin Offers“ kurzerhand verboten – und damit auch den Kurs der Platzhirsch-Währung Bitcoin kurzfristig einknicken lassen.

Aber eigentlich ist eine ICO mit einem Crowdfunding vergleichbar, oder besser noch mit einer Aktien-Platzierung. Normalerweise braucht man dazu einiges Know-How – mit CoinCreator soll das Ganze auch für Laien schnell und unkompliziert machbar sein. Was man unkompliziert nennt, ist natürlich eine Ermessensfrage. Um meinen Gesscoin (G€$) 🙂 zu launchen, musste ich erstens ein Ether-Wallet („Meta-Mask„) als Browser-Extension installieren, die Software ist aber noch im Beta-Status und sollte vielleicht doch besser nicht mit „echtem“ (Cyber-) Geld benutzt werden. Die digitale Geldbörse kann man auch mit Test-Ether aufladen (die mit CoinCreator erstellten Cyber-Währungen bauen auf dem Ethereum-Blockchain-Konzept auf…), das geht (theoretisch…) auf der Website Rinkeby.

Dazu braucht man aber wiederum erst mal einen Github-Account, wo man ein Gist mit der Ethereum-Adresse hinterlegen muss, die man aus der Ether-Wallet kopiert hat. (Noch alle Laien an Bord soweit?) Und leider klappt bei mir das Aufladen mit den Test-Ether nicht, die Website meckert da irgendwas von wegen „Invalid User“, obwohl ich doch völlig valid bin und auch das zuweilen aufpoppende Google-Captcha gelöst habe. Beim CoinCreator wiederum kann ich den Blockchain-Kontrakt nicht endgültig generieren, solange meine Ether-Wallet leer ist. Ich könnte zum Aufladen natürlich auch echte Ether kaufen und ca. 15$ investieren – aber für ein Experiment ist mir das etwas zu teuer. Meine schönen GessCoins, das ahne ich ja schon – die will nachher eh niemand haben.

Mal sehen, vielleicht klappt das ja noch mit den Test-Ether. Oder ich lade doch was auf die Wallet; wäre ja schließlich steuerlich absetzbar. Fazit: Die ICO für Dummies via CoinCreator ist bestimmt viel leichter als eine ICO in Eigenregie. Aber so der totale Selbstläufer zur Sonnenseite ist das ganze auch noch nicht.

Kryptowährung: Cyber-Coins zum selber machen · Deutschlandfunk Nova

Deutschlandfunk Nova – Hielscher oder Haase vom 16.10.2017 (Moderation: Diane Hielscher)

Internet der Dinge: Bluetooth-Buttplugs können gehackt werden

In den USA hatte vor kurzem eine Frau den Hersteller ihres High-Tech-Dildos verklagt. Das Sexspielzeug konnte man per Handy-App programmieren – nur hatte die App dann eben so intime Details wie die Intensität der Vibration, die Nutzungszeit- und –häufigkeit und die Körpertemperatur per Netz an den Hersteller weitergetratscht. Dafür gab es dann einen Datenschutz-Rüffel und eine happige Schadensersatz/Straf-Zahlung.

 

Mittlerweile gibt es ja jede Menge vernetzte Sex-Toys, die zu überprüfen hat einen gewissen besonderen Spaß- oder zumindest Aufmerksamkeitsfaktor; auch wenn man das ganze Thema nicht per se lächerlich machen oder als peinlich oder pervers abstempeln will. Auf jeden Fall haben IT-Experten vom Unternehmen „PenTestPartners“ 🙂 unter Umständen recht unangenehme Sicherheitslücken bei Bluetooth-gesteuerten Buttplugs gefunden. Auf den ersten Blick würde man denken: Das kann nicht relevant sein: die Reichweite von Bluetooth LE beträgt ungefähr 10 Meter; und auch wenn die Hersteller keine PIN oder kein Passwort beim Pairing zwischen App und Device vorgesehen haben – das lässt sich ja nur dann ausnutzen, wenn der Buttplug nicht mit dem Smartphone des/der legitimen Nutzers/Nutzerin gekoppelt ist.

Das „Screwdriving-Protokoll“ der IT-Experten, die Suche nach potentiell kontrollierbaren Devices in Berlin lässt dies hingegen wieder in einem anderen Licht erscheinen.

Übrigens: Bluetooth-gesteuerte Hörgeräte sind auch von dem Sicherheitsproblem betroffen. Um die Sache mal wieder in die Mitte der alternden Gesellschaft zu bringen 🙂 …

Sexspielzeug mit Bluetooth: Buttplugs hacken · Deutschlandfunk Nova

Deutschlandfunk Nova – Hielscher oder Haase vom 06.10.2017 (Moderation: Diane Hielscher)

Google-Präsentation: KI hält Einzug bei Consumer-Produkten

Die Smartphone-Welt ist ja bekanntlich aufgeteilt in zwei Lager, zwischen denen es nicht allzuviel Bewegung und Wechsel gibt. Ein eingefleischter Apple-Jünger wird seinem iPhone und iPad treu bleiben, überzeugte Android-Fans schwören auf die größeren Freiheiten bei der Installation von Apps. Vor drei Wochen hat Apple seine neuen Modelle vorgestellt, gestern war Google dran mit einem ganzen Strauß an Gadgets – vom Mobiltelefon über ein Tablet bis hin zu smarten Kameras. Ein neuer Home-Assistent durfte natürlich auch nicht fehlen. Damit geht also auch bei den Android-Anhängern der „will haben“-Reflex an, solange der Dispokredit noch einigermaßen mitmacht.

 

So ungefähr dürfte das zumindest Google erhoffen:  Das neue Smartphonemodell Pixel 2 ist in etwa so teuer wie das iPhone – und laut ersten Tests und Besprechungen ist da in dem Modell auch alles drin, was das Userherz so wünscht. Und ohne die zig anderen Anbieter diskriminieren zu wollen: Wenn ich mir ein Android-Gerät zulegen würde, dann am ehesten eines von Google selbst. Da werden dann zumindest die neu entdeckten Sicherheitslücken in Android auch schnell gefixt – bei anderen Herstellern bleiben die oft monatelang auf oder werden nie gestopft. Ein absolutes No-Go, das aber offenbar selbst Spitzen-Politiker und Spitzen-Zielpersonen für Hacking-Attacken naiver- oder völlig fahrlässigerweise ignorieren. „Wir haben ja nix zu verbergen als Geheimdienst-Koordinator oder Stabschef des Weißen Hauses.“

Im neuen Google-Portfolio gibt es eine ganze Reihe von attraktiven Gadgets – der Bluetooth-Kopfhörer, der das von einem fremdsprachlichen Gegenüber gesagte direkt dolmetscht  (die Übersetzungs-Berechnung findet auf dem gekoppelten Smartphone statt) geht schon ein wenig in die Richtung des langersehnten „Babelfisch“, des Instant-Kommunikators aus dem Buch „Per Anhalter durch die Galaxis“. Und die Google-Clips-Kamera, die vor sich hinfilmt und dann selbsttätig kurze Videoclips oder Einzelfotos macht und die speichert, ist auch nicht ganz uninteressant. Die Kriterien, was jetzt ein gutes Foto ist, liefert die eingebaute KI. Das kann man für Selfies nutzen und schnell vor das Objektiv huschen. Oder für KI-getriggerte Baby- und Katzenfotos. Soo süüüüß!

Consumer-Produkte: Künstliche Intelligenz im Alltag · Deutschlandfunk Nova

Deutschlandfunk Nova vom 05.10.2017 – Hielscher oder Haase – Moderation: Diane Hielscher