Schlagwort-Archive: Security

Gesichtserkennung plus Captcha lösen soll mehr Sicherheit bringen

Einfach das Smartphone mit dem eigenen Gesicht entsperren, das geht nicht nur bei Apples derzeitigem Spitzenmodell, dem iPhone X – wobei ja trotz des technisch aufwendigen Verfahrens mit der projizierten Punktematrix auch hier noch gewisse Zweifel an der Sicherheit bleiben. Deutlich simplere Lösungen gibt es bei vielen Android-Modellen schon seit einigen Jahren. Zu Beginn konnte man die Zugangssperre allerdings oft schon mit einem Foto austricksen. Bessere Systeme überprüfen also, ob sich im Gesicht etwas bewegt – das aber lässt sich wiederum mit einem Video oder einer 3-D-Konstruktion aushebeln. Amerikanische Informatiker haben jetzt eine neue Idee: Sie wollen die Gesichtserkennung mit Captchas kombinieren.

Image shows part of the flow diagram of the Real-Time Captcha system. (Bild: Georgia Tech)

Auch bei diesen kleinen Rätseln oder Aufgaben, die einem Menschen leicht fallen, einer Software oder einem Bot aber schwer, gibt es seit Jahren ein Katz-und-Maus-Spiel – Captchas lösen ist geradezu ein Showcase für die Fortschritte bei maschinellem Lernen und KI. Trotzdem – nimmt man beides zusammen, Bewegt-Gesichtserkennung plus Captchas lösen und setzt für die Antwort ein relativ knappes Zeitfenster, dann taugt das nach Ansicht der Informatiker vom Georgia Institute of Technology noch ein Weilchen als zuverlässige Zugangskontrolle – offenbar selbst für hochkritische Szenarien: Die Forschung wurde vom “Office of Naval Research” (ONR) und der “Defense Advanced Research Projects Agency” (DARPA) gefördert. 🙂

Datenschutz: Mehr Sicherheit durch Captchas · Dlf Nova

Deutschlandfunk Nova – Hielscher oder Haase vom 20.02.2018 (Moderation: Diane Hielscher)

Aufregung um Scriptkiddie-Angriffstool “Autosploit”

In der richtigen, der analogen Welt kann man ja sehr intensiv darüber diskutieren, ob es gut oder schlecht ist, völlig unproblematisch an Waffen heranzukommen – in den USA z.B. flammt der Streit darüber ja nach jedem Amoklauf an einer Schule oder sonst wo neu auf. In der digitalen Welt, im Netz gibt es die Diskussion auch. Sollte man Hackingtools, mit denen sich fremde Computersysteme lahmlegen lassen, verbieten oder den Zugang irgendwie einschränken – oder sind solche Programme nützlich und notwendig, für Sicherheitstests z.B? Im Moment streiten die Experten gerade über “Autosploit”.

Das ist ein ziemlich kurzes Stückchen Code, das ein Unbekannter vor ein paar Tagen auf der Code-Plattform Github bereitgestellt hat. Und wie der Name schon andeutet: Das Tool spürt auf Knopfdruck verwundbare Computersysteme im Netz auf und versucht dann, den oder die Opfer-Rechner zu infiltrieren oder lahmzulegen – im Extremfall, indem es alle überhaupt bekannten Angriffsvektoren durchprobiert. Eine Universal-Hacking-Komfortlösung für jedermann – auch für programmiertechnisch völlig ahnungslose; für Scriptkiddies.

Embed from Getty Images

Und tatsächlich ist Autosploit nicht viel mehr als ein Script, das die Sicherheitslücken-Suchmaschine Shodan und die Penetration-Werkzeugkiste Metasploit kombiniert. Übrigens: Auch ich probiere ja aus technischem (und sonstigem…) Interesse alles mögliche ab und zu mal selbst aus (die Gesichts-Austausch-Fakeapp z.B. 🙂 ) – aber mal eben Autosploit vom heimischen PC (oder noch schlimmer von dem bei der Arbeit…) in Gang zu setzen, ist weder für Nerds noch für Möchtegern-Hacker eine gute Idee. Bei den Spuren, die man dabei hinterlässt, hiilft auch die schönste schwarze Kapuze nichts mehr.

Deutschlandfunk Nova – Hielscher oder Haase vom 02.02.2018 (Moderation: Till Haase)

Cyberwährungsbörse Coincheck gehackt, eine halbe Milliarde Dollar futsch

So richtig gut ist die Stimmung in der Cyberwährungswelt momentan ohnehin nicht, der Kurs des Platzhirschs Bitcoin ist  – zumindest von den Höchstständen im Dezember aus gesehen – gewaltig auf Talfahrt gegangen. In China droht die Stilllegung der Mining-Farmen mit ihrem absurden Stromverbrauch, in Südkorea ist Schluss mit dem schrankenlosen Cyber-Handel, und allerorten platzen Abzock-Modelle, die geldgierigen Ahnungslosen ganz ungerührt die Kohle aus der Tasche ziehen.

Da passt natürlich die Nachricht von einem erneuten Cyberbörsen-Superhack (wieder mal in Japan…) mit rekordverdächtiger Schadenssumme wie die Faust aufs Auge; ein deftiger Schlag ins Cyber-Kontor :), wie es ein früherer Kollege immer so schön formuliert hat. Wie der Hack genau abgelaufen ist, darüber werden wie in der nähsten Zeit vielleicht noch näheres erfahren. Aber nahezu sensationell: Die Betreiber von Coincheck stellen eine Entschädigung ihrer Kunden in Aussicht, immerhin 90% der Schadenssumme wollen sie wiedergutmachen – aus “Rücklagen”.

Embed from Getty Images

Donnerwetter – das Cyberbörsen-Betreiben scheint ja noch lukrativer zu sein als das Zocken mit den Währungen selbst.  Ob das Versprechen auch eingehalten wird; da bin ich aber mal sehr gespannt.

Hack auf Cyberwährungsbörse Coincheck: 400 Millionen Euro in Kryptowährung gestohlen

Deutschlandfunk Nova – Hielscher oder Haase vom 29.01.2018 (Moderation: Till Haase)

P.S. Die entwendeten 523 Millionen XEM sind ja natürlich und tröstlicherweise noch irgendwie in der NEM-Blockchain sichtbar – mittlerweile versuchen der oder die Hacker aber wohl, die halbe Milliarde etwas zu stückeln 🙂

P.S. 2 Die japanische Finanzaufsicht hat jetzt auch mal bei Coincheck vorbeigeschaut und einen umfassenden Bericht zu dem Desaster angefordert.

Elektronische Gesundheitskarte: IT-Desaster oder Hängepartie mit glücklichem Ende?

Bekanntlich bekommen wir in Deutschland seit geraumer Zeit nichts mehr auf die Reihe. Jedenfalls kein Großprojekt. Ein paar Beispiele gefällig? Der Flughafen Berlin. Als nächster Kandidat in der Pipeline: Stuttgart 21. Die Hubschrauber und U-Boote bei der Bundeswehr. (Oder eigentlich alles.) Dann die IT-Kracher: Toll Collect. Der Bundestrojaner. DE-Mail. Das gesicherte Anwaltspostfach. Und natürlich; mit schon epischer Anlauf- bzw. Erprobungsphase: Die Elektronische Gesundheitskarte.

Die ist so ein typisches Beispiel für eine geplante Neuerung, von der praktisch alle betroffen sind, bei der viel auf dem Spiel steht, bei der viel schiefgehen kann und bei der man gern möglichst alles richtig machen will. Und bei der es von vornherein jede Menge Leute gibt, denen die ganze Sache sowieso überhaupt nicht in den Kram passt. Bei der Gesundheitskarte sind das u.a. die Ärzte, die in ihren Praxen investieren müssen und sich mit herumzickenden Kartenlese-Terminals und lebensfremden Sicherheitskonzepten (das grenzdemente Mütterlein oder die bildungsferne Patientin aus Anatolien wissen natürlich ihre PIN nicht… Alle anderen: dito 🙂 ) herumschlagen müssen.

Embed from Getty Images

Und von wegen Sicherheit: Natürlich gibt es bei einem Konzept, das die zentrale Speicherung höchst sensibler, für potentielle Angreifer höchst wertvoller Daten vorsieht, Datenschutzbedenken. Nur – dass an sich recht unverdächtige Personen wie der ehemalige Bundesdatenschutzbeauftragte Peter Schaar der Gesundheitskarte an sich ein ganz gutes Zeugnis ausstellt, das deutet doch darauf hin, dass dieses Konzept trotz aller Bedenken vielleicht doch weit besser und sicherer ist, als der Status Quo. Momentan nämlich werden Arztbriefe und heikelste Information völlig ungeschützt und unverschlüsselt in der Gegend herumgeschickt, per ganz normaler Mail. Oder Post.

Auch Experten wie Matteo Cagnazzo vom Institut für Internet-Sicherheit sehen bei der Gesundheitskarte keine konkrete oder konzeptionelle Schwachstelle – aber natürlich: Die Technologie, möglicherweise auch die Kryptografie auf dem Karten-Chip ist durch die jahrelange Verzögerung nicht mehr unbedingt Stand der Technik. Ob die Konnektor-Boxen z.B. gegen die neu bekannt gewordenen IT-Super-GAU-Szenarien Meltdown und Spectre anfällig sind, ist bislang völlig offen. Und “Security by Obscurity” (also die Weigerung der Betreibergesellschaft Gematik, die verwendeten Komponenten zu dokumentieren bzw. unabhängigen Fachleuten für Sicherheitsaudits zur Verfügung zu stellen…) war noch nie eine gute Idee.

Aber dennoch: Es kann eigentlich nicht sein, dass wir in Deutschland, Stand 2018, nicht allmählich einen zu vertretenden Übergang von einer analogen bzw. Wildwuchs-digitalen Patientendatenverwaltung zu einem zeitgemäßen System hinbekommen. Von daher bin ich in diesem Fall mal ausnahmsweise optimistisch. Und ausnahmsweise nicht im Lager der Bedenkenträger.

Elektronische Gesundheitskarte – Potenzial nicht ausgeschöpft · Deutschlandfunk Nova

DLF Nova – Grünstreifen vom 24.01.2018 (Moderation: Sebastian Sonntag)

Sicherheitslücke bei Amazon Key: Der Paketbote kann doch unbemerkt in die Wohnung

Amazon Key ist an sich eine nette Idee, aber doch insgesamt eher etwas für Leute mit großem Vertrauen in Technik und Mitmenschen – so ungefähr hatte ich das “der Paketbote macht sich die Wohnungstür selbst auf und wird dabei sicherheitshalber gefilmt”-Konzept ja bei der Vorstellung eingeordnet. Und nun, drei Wochen später haben IT-Experten einen sehr simplen Weg gefunden, wie sich das Ganze aushebeln lässt. Die Schwachstelle ist die Webcam, die als Dreh- und Angelpunkt von Amazon Key nämlich auch die Schließkommandos an das “smarte” Türschloss sendet.

Dummerweise lässt sich die “Cloud Cam” per simpler WLAN-Paketüberflutung in ein zeitweiliges Standbild-Koma versetzen, und noch dümmererweise bekommt sie bzw. der Amazon Key-Nutzer den Blackout gar nicht mit. Der Hotfix von Amazon – nun schlägt das System Alarm, wenn die Kamera die Netzverbindung verliert – dürfte die Anwender auch nicht so richtig glücklich machen.  “Möglicherweise wird gerade deine Bude ausgeräumt. Vielleicht muss sich aber auch nur deine DSL-Verbindung kurz neu synchronisieren.”  🙂

Deutschlandfunk Nova – Hielscher oder Haase vom 17.11.2017 (Moderation: Diane Hielscher)

Rescam: KI-Bot verwickelt Scam-Betrüger in Email-Konversation

So richtig neu ist die Idee natürlich nicht, aber immer noch gut: Scamming, das Email-Verschicken mit irgendwelchen Fantasie-Stories über sagenhafte Vermächtnisse, Bankschließfächer oder Beziehungs-Avancen – das funktioniert immer noch mit viel Manpower und Handarbeit. Zuerst braucht man natürlich einen Idioten oder eine Idiotin, die auf den Scheiß reinfallen – aber danach müssen ja ehrliche Hand-Arbeiter in Nigeria oder Moldawien die Kommunikation fortführen, die ja letztlich in eines münden soll: In einen Geldtransfer des Idioten zum Scammer.

Der Ki-Bot “Rescam” von der neuseeländischen NGO-Netzsicherheits-Agentur zielt schlicht auf diesen menschlichen Faktor – wenn die Scam-Arschlöcher mit der Beantwortung der Bot-Fragen, Anekdoten und schlechten Witzen beschäftigt sind, dann können sie in der Zeit keine neuen Idioten Opfer abzocken. Ich habe so etwas ja mal per Hand gemacht. (Fortsetzung in den Folgeposts…) – das ist einigermaßen lustig. Har, Har.

Deutschlandfunk Nova – Hielscher oder Haase vom 13.11.2017 (Moderation: Diane Hielscher)

Algorithmus knackt Captchas nach menschlichem Vorbild

Das Wort „Captcha“ ist ein Akronym – ins Deutsche übersetzt steht es für „vollautomatischer öffentlicher Turing-Test zur Unterscheidung von Computern und Menschen“. Die Idee, so einen Mensch-Maschine-Test als Zugangskontrolle für Webseiten zu verwenden, stammt aus dem Jahr 2000; der Informatik-Professor Luis von Ahn gilt als der Erfinder. Und seit dem Jahr 2000 läuft ein sehr interessantes Wettrennen: Auf der einen Seite gibt es immer wieder neue Ansätze, Captchas automatisch zu knacken – und ebenso findige Experten sorgen anschließend im Gegenzug dafür, die gefundenen Schwachstellen auszubügeln.

Textbasierte Captchas, also die mit krakeliger, verzerrter Schrift sind nach wie vor die häufigsten – und bei einem Teil von ihnen erfüllt man als menschlicher Entzifferer ja sogar eine sinnvolle Aufgabe und hilft OCR-Algorithmen bei der Digitalisierung von Büchern oder der Erschließung von StreetMap-Bildern auf die Sprünge. Als besonders verlässlicher Mensch-Maschine-Test gelten die Text-Captchas aber schon seit Jahren nicht mehr – da automatische Bot-Scripte die Zugangshürden von Webseiten ja in einem massiven Dauerfeuer attackieren, reicht den Algorithmen schon eine niedrige Erkennungsrate aus, um genügend oft “durchzukommen”.

Die KI-Experten beim Venturekapital-Unternehmen “Vicarious” hatten übrigens selbst schon 2013 den Erfolg ihres “Recursive Cortical Networks” (RCN) beim Knacken von textbasierten Captchas vermeldet – damals aber noch ohne nähere Details zu nennen, wie das Ganze im Detail funktioniert. Das hatte verschiedene Motive, wie der Gründer von Vicarious, Dileep George, auf Anfrage erläutert: Zum einen habe man damals die Einzelheiten in Hinsicht auf die Sicherheitsauswirkungen im Netz zurückgehalten, zum anderen sei man seinerzeit noch ein sehr kleines Team gewesen und habe sich mehr Zeit bei der Entwicklung des Algorithmus und der Firma nehmen wollen.

A representation of the letter A. [Credit: Vicarious AI]

Nicht ganz unwichtig dürfte dabei auch gewesen sein, dass das “Recursive Cortical Network”-Konzept praktisch das algorithmische “Kronjuwel” von Vicarious ist, das die Firma in den kommenden Jahren in einer Vielzahl von Bereichen, vor allem auf dem Feld der “Robotics” einsetzen und vermarkten will. Das wissenschaftliche Paper in “Science” mit den technischen Details reichte das Team also aus nachvollziehbaren Gründen erst ein, nachdem eine Reihe von Patenten auf RCN erteilt und veröffentlicht worden waren.

Wie gravierend die direkten Auswirkungen auf die noch vorhandene oder ohnehin schon nicht mehr vorhandene Sicherheit von Text-Captchas in der Praxis sind, darüber kann man streiten. Das Vicarious-Team betont die wesentlich höhere Effizienz seines RCN-Ansatzes im Vergleich zu herkömmlichen “Brute-Force-Deep-Learning”-Angriffen. Ein Gegenargument lautet: Die wesentlich höheren Ressourcen-Anforderungen beim “Deep Learning” sind kein großes Problem, sie stehen allseits zur Verfügung – und wenn nötig, lässt sich menschliche Hilfe beim Annotieren von Trainingsmaterial sehr billig einkaufen; bei Crowdworking-Diensten wie “Amazon Mechanical Turk”. (Dass sich Menschen ja ohnehin im Zweifelsfall auch gratis für das Lösen der Zugangs-Rätsel einspannen lassen, das haben wir schon einmal vor sehr langer Zeit beleuchtet 🙂 )

In comparison to RCNs, a deep neural network required a 50,000-fold larger training set to recognize a style of CAPTCHAs, and its accuracy deteriorated rapidly with even minor perturbations to the spacing of characters. [Credit: Vicarious AI]

Wie sowohl Prof. Marc Fischlin von der TU Darmstadt, Google und ja auch die Studienautoren bei Vicarious selbst betonen – für die Zugangskontrolle auf Webseiten stehen mittlerweile Alternativen wie bildbasierte oder verhaltensbasierte Captchas zur Verfügung, die auch noch ein Weilchen der KI-Weiterentwicklung trotzen dürften.

Aber letztlich geht es natürlich bei RCN überhaupt nicht konkret um das Knacken von Captchas. Der Algorithmus setzt ähnlich wie die Handschrift-Erkennung aus einem früheren Science-Paper auf Generalisierung, auf ein Konzept, das sich in Jahrmillionen bei der Evolution biologischer neuronaler Strukturen bis hin zum menschlichen Gehirn herausgebildet und bewährt hat. Und insofern ist es ja schon eine philosophische Frage von allerhöchstem Interesse, welche Methode sich in künftigen KI- und Roboter-Entwicklungen durchsetzen wird. Wahrscheinlich wird die Antwort aber ganz pragmatisch sein: Wie die “Intelligenz” zustande kommt, ist sekundär. Haupsache, sie funktioniert in der konkreten Aufgabensituation.

Deutschlandfunk – Computer und Kommunikation vom 28.10.2017 (Moderation: Manfred Kloiber)

Bayerischer Rundfunk – BR5 Computermagazin vom 5.11.2017 (Moderation: Christian Sachsinger)

 

Amazon Key öffnet die Wohnungstür für den Paketboten – und die Kamera schaut zu

Einkaufen, also jetzt so richtig analog mit in-den-Laden gehen und die-Ware-in-die-Hand-nehmen – das  macht ja nach wie vor Spaß. Manchmal, wenn man Zeit und Lust hat. Aber ansonsten, da bestellt man halt online und lässt sich die Sachen schicken. Der kleine, große Haken: wie kommen wir an das Paket, wenn wir zum Zeitpunkt der Zustellung  nicht zuhause sind? Klar, da gibt’s die Paketboxen, neuerdings auch an Bahnhöfen, da muss man aber auch erstmal vorbeikommen oder hinfahren.  Oder als Variante die Privat-Paketbox, die man sich neben die Haustür montiert und wo der Bote dann einen Code hat, um da etwas hineinzulegen. Ein neues Konzept von Amazon funktioniert ähnlich – auch da soll der Bote etwas öffnen mit einem Code – diesmal aber direkt die Wohnungstür.

Warum der Onlinehändler Nr. 1 die “smarte” Wohnungstür-Öffnung promotet, ist klar – je niedriger die Hemmschwelle zur Auftragserteilung, umso höher der Profit. Die Aussicht, ein Paket mit 20 Minuten Anfahrt, 10 Minuten Warteschlange und 20 Minuten Heimfahrt selbst abzuholen, ist klar ein Bestell-Abtörner. Zumal es ja bekanntlich Zusteller gibt, die diese Abtörn-Variante mutwillig (bzw. als arme, ausgebeutete und gehetzte Arbeitnehmer…) öfter als verhofft herbeiführen.

Als Kunde sollte man einigermaßen entspannt im Leben stehen, um “Amazon Key” zu nutzen – und im Zweifelsfall halt auf die Versicherung oder die theoretische Möglichkeit einer Strafverfolgung bauen – immerhin bekommt man dafür ein paar nette Kamera-Aufnahmen eines “Bad Guys” – das ist schon mehr als bei einer Verwüstung der eigenen Wohnung durch einen AirBnB-Horror-Gast. Ins Netz stellen darf man das belastende Material dann leider trotzdem noch nicht – auch ein Dreckschwein hat schließlich Persönlichkeitsrechte 🙂

Aber Spaß und Bedenken beiseite – grundsätzlich ist das “Amazon Key”-Konzept gar nicht so abwegig – wer seinen Kindern einen Hausschlüssel in den Ranzen packt, geht ja schließlich auch ein Risiko ein.

Amazon Key: Wenn der Paketbote eure Tür öffnet · Deutschlandfunk Nova

Deutschlandfunk Nova – Hielscher oder Haase vom 26.10.2017 (Moderation: Till Haase)

Google “Advanced Protection”: Schutz für VIPs und ganz normale Leute

Es stimmt schon: Otto und Emma Normalverbraucher(in) stehen glücklicherweise nicht im Fokus von Hackern. Und Otto und Emma werden also bestenfalls (immer noch unangenehmerweise…) Zufallsopfer irgendwelcher Pannen, Lücken und Fahrlässigkeiten bei den Betreibern ihrer Email-Accounts, Internet-Shops oder Dating-Plattformen. Richtig gefährlich wird es dann, wenn einen Cyber-“Miscreants” gezielt ins Visier nehmen. Als Promi, weil sich dann heikle Fotos versilbern lassen oder halt einen sehr netten “Impact-Faktor” ergeben. Als investigativer Journalist, Wirtschafts-Akteur oder Politiker – da kommen wir schon in den Profi-Bereich von Geheimdiensten und “staatlichen Akteuren”. Oder als bekennender Cyberwährungs-Nutzer – da interessieren sich eben Cyber-Beutelschneider sehr für gut gefüllte Cyber-Wallets auf dem PC.

Die “Advanced Protection” bringt manche Restriktionen mit sich, der geschützte Google-Account ist deutlich weniger “smart” als der normale. Aber für alle User mit erhöhtem Schutzbedürfnis ist das ein fairer “Deal” – die zusätzlichen Kosten beschränken sich auf die Anschaffung der kompatiblen USB- oder Bluetooth-Hardware-Dongles. Für Google selbst ist das Ganze natürlich auch eine gute Idee: So wird die Cloud-Infrastruktur überhaupt erst akzeptabel für “besonders gefährdete Personen”.

Deutschlandfunk Nova · Besonderer Google-Schutz für gefährdete Personen

Deutschlandfunk Nova – Hielscher oder Haase vom 18.10.2017 (Moderation: Diane Hielscher)

WPA2-Lücke: Abwiegeln ist unangebracht

Experten warnen vor Panikmache” – so lautete eine schöne Schlagzeile zur aufsehenerregenden Lücke beim WLAN-Verschlüsselungstandard. Nun habe ich allerdings bislang noch keine verzweifelten Menschen durch die Fußgängerzonen oder Büroflure wanken sehen, mit irrem Blick und dem Mantra “soll ich nun oder soll ich nun nicht” (onlinebanken oder onlineshoppen…) auf den Lippen. Dass die Leute vom CCC in offenen WLANs selber standardmäßig VPNs nutzen, davon gehe ich aus. Normale Laien machen das aber eben nicht. Und zum Argument “mit zusätzlicher Verschlüsselung ist alles sicher” – der Entdecker der Lücken, Marty Vanhoef, schreibt da etwas anderes:

Although websites or apps may use HTTPS as an additional layer of protection, we warn that this extra protection can (still) be bypassed in a worrying number of situations. For example, HTTPS was previously bypassed in non-browser software, in Apple’s iOS and OS X, in Android apps, in Android apps again, in banking apps, and even in VPN apps.

Mittlerweile gibt es zumindest jede Menge Ankündigungen von Betriebssystem- wie Geräteherstellern für Updates und Bugfixes – bei Heise.de gibt es eine Übersichtsseite dazu und auch eine verständliche Erklärung, wie genau der Angriff funktioniert und warum das Wiederverwenden der “Wegwerfpasswörter”, wie ich die Nonces im DLF-Gespräch genannt habe, die Verschlüsselung aushebelt. Das eigentliche Grauen, und zwar mit richtig langer Halbwertszeit, das lauert aber wieder mal bei den IoT-Devices. Aber das war ja auch ohne die WPA2-Lücke im Grunde bislang auch schon so.

WPA2-Lücke: Beim Online-Banking neben den Router setzen · Deutschlandfunk Nova

Deutschlandfunk Nova – Hielscher oder Haase vom 18.10.2017 (Moderation: Diane Hielscher)