Wenn man als Forscher beim MIT arbeitet, dann ist es vielleicht recht naheliegend, die Auswirkungen von neuen Technologien auf die Lebenswelt kommender Generationen insgesamt eher positiv zu sehen. Dass diese Sichtweise per se auch schon stimmt, ist aber noch lange nicht erwiesen. Ich bin da z.B. – obschon ja tendenziell Optimist und Early Adopter – ganz ernsthaft sehr skeptisch, wenn ich die absolute Smartphone-, Tablet- oder Spielkonsolen-Abhängigkeit der Kinder meiner Verwandten und Freunde sehe. Das ist ein gravierender Kulturwandel, der definitiv auch signifikante Auswirkungen auf die Psyche, auf Denk- und Kommunikationsstrukturen hat; von eventuellen Kollateralschäden durch die vielleicht doch vorhandene Belastung durch elektromagnetisches Dauerfeuer mal ganz abgesehen…
Die Auswirkungen der Automatisierung in der Industrie sind ja bei uns immer noch erst in einer Anfangsphase, der sehr viel stärkere Effekt beruht auf Billigarbeit in aufstrebenden Volkswirtschaften, wo Arbeitslöhne, Arbeitszeiten und Arbeitnehmerschutz halt noch etwas rustikaler gesehen werden. Aber irgendwann werden sich die ökonomischen Bedingungen, Erwartungen und der Lebensstandard weltweit angeglichen haben. Und irgendwann werden auch die immer rasanter fortschreitenden “Fähigkeiten” von KI- oder Maschinenlern-Systemen Einzug in Berufsfelder halten, in denen die heute dort Tätigen nicht im Traum auf die Idee kämen, sie seien eines Tages “ersetzbar” oder “überflüssig”.
c’t-Schlagseite / Ritsch-Renn.com
Vielleicht gibt es ja bis dahin entsprechende gesellschaftliche Anpassungen – bedingungsloses Grundeinkommen und/oder VR-Bespaßung für die Abgehängten 🙂 … Ein Aspekt beim Ausblick der Forscher vom MIT in der Science-Perspektive ist ganz wichtig: Ein sehr kritischer Blick darauf, wie die spektakulären Ergebnisse von ML und KI eigentlich zustande kommen, und wie verlässlich sie sind – der bleibt sehr ratsam. 😉
So richtig neu ist die Idee natürlich nicht, aber immer noch gut: Scamming, das Email-Verschicken mit irgendwelchen Fantasie-Stories über sagenhafte Vermächtnisse, Bankschließfächer oder Beziehungs-Avancen – das funktioniert immer noch mit viel Manpower und Handarbeit. Zuerst braucht man natürlich einen Idioten oder eine Idiotin, die auf den Scheiß reinfallen – aber danach müssen ja ehrliche Hand-Arbeiter in Nigeria oder Moldawien die Kommunikation fortführen, die ja letztlich in eines münden soll: In einen Geldtransfer des Idioten zum Scammer.
Der Ki-Bot “Rescam” von der neuseeländischen NGO-Netzsicherheits-Agentur zielt schlicht auf diesen menschlichen Faktor – wenn die Scam-Arschlöcher mit der Beantwortung der Bot-Fragen, Anekdoten und schlechten Witzen beschäftigt sind, dann können sie in der Zeit keine neuen Idioten Opfer abzocken. Ich habe so etwas ja mal per Hand gemacht. (Fortsetzung in den Folgeposts…) – das ist einigermaßen lustig. Har, Har.
Deutschlandfunk Nova – Hielscher oder Haase vom 13.11.2017 (Moderation: Diane Hielscher)
Es ist schon erstaunlich – oder auch gruselig, was man mit den Daten herausfinden kann, die wir alle produzieren und die über uns erhältlich sind. Zum Beispiel, dass letztes Jahr in US-amerikanischen Familien mit gemischter politischer Präferenz – dort, wo es also sowohl Anhänger von Donald Trump als auch von Hillary Clinton gab, tendenziell der Haussegen schief hing: Das Dinner mit dem traditionellen “Turkey” fiel kürzer aus als sonst, und viele Leute blieben anscheinend lieber gleich zuhause – ulkigerweise war dieses “ohne mich”-Phänomen nur bei Republikaner-Wählern zu verzeichnen, die Demokraten-Anhänger machten sich immerhin auf den Weg zu ihren Lieben.
Woher Keith Chen von der University of California und Ryne Rohla von der Washington State University das so genau wissen wollen? Die beiden Wirtschaftswissenschaftler mit Faible für psychologische und soziologische Phänomene haben Smartphone-Daten ausgewertet, haben die Bewegungsmuster der Handies (bzw. deren Besitzer…) am Thanksgiving-Day 2016 nachverfolgt und mit den Daten aus 2015 verglichen. Wenn da 12 Smartphones für 3 Stunden am Abend beisammen saßen, dann war das wohl eine Familie beim Truthahn-Schmausen. Und wenn ein Teil der Handies (bzw. deren Besitzer…) in Bezirken zuhause war, in denen 75% der Stimmen für Donald Trump abgegeben worden war, und ein anderer Teil in Orten, die für Hillary Clinton gestimmt hatten – dann saßen da offenbar Verwandte mit unterschiedlicher politischer Präferenz am Tisch. Zumindest mit einer entsprechenden statistischen Wahrscheinlichkeit.
Außerdem haben die Forscher noch die (ebenfalls öffentlich verfügbaren…) Informationen über die geschalteten bzw. gesendeten TV-Wahlwerbespots hinzugezogen – das Ergebnis: In den Regionen mit intensiver Wahlwerbung (also insbesondere in den “Swing States”, den Bundesstaaten mit “unentschlossener” Wählerschaft war der Effekt “kürzere Thanksgiving-Dinner, weniger Anreisen” deutlich – in anderen Regionen nicht. Das spricht für eine Kausalität (und damit für einen “Erfolg” der Wahlwerbung…) – der US-Wahlkampf 2016 hat auf Polarisierung gesetzt – anscheinend haben die Russen da auch noch mal einen draufgesetzt – und der Polarisierungs-Effekt ist in den amerikanischen Familien angekommen.
Natürlich gehen bei solchen Studien immer die Alarm-Leuchten an: Ist die vermeintliche Kausalität tatsächlich haltbar? Ganz spontan fallen einem da natürlich sofort zwei andere Faktoren ein, die ebensogut wie die politischen Meinungsverschiedenheiten die Anreise-Freude oder die Verweildauer beim Truthahn-Essen hätten beeinflussen können: Das Wetter. Und eventuelle Grippe-Epidemien – theoretisch könnten solche Einflüsse zufällig exakt parallel zu der Werbespot-Intensität aufgetreten sein, und damit eine Kausalität nur vorgegaukelt haben.
Die Forscher haben allerdings diese Fehlerquelle sehr wohl im Auge gehabt und nach Kräften auszuschließen gesucht: Sie haben nur Familien ausgewertet, die räumlich relativ nahe beieinander gewohnt haben und keine großen Reisestrecken zurücklegen mussten – wenn es also Faktoren wie Wetter oder Grippe gegeben haben sollte, dann hätte dies Familien mit “einheitlicher” und Familien mit “gemischter” politischer Präferenz gleichermaßen betroffen. Das alles sieht also ziemlich plausibel aus. 🙂
Das hört sich nach einer Sensation oder einem völligen Paradigmenwechsel an, oder auch nach einer Hiobsbotschaft für alle Besitzer eines iPhones oder iPads – aber obwohl die Überschrift, die ja so in vielen Medien zu lesen war, tatsächlich stimmt: An Apples Position in der Zusammenarbeit oder eben auch Nicht-Zusammenarbeit mit Ermittlungsbehörden und Geheimdiensten ändert sich überhaupt nichts. Wie schon bislang ist Apple kooperativ, solange die Kooperation nicht das Vertrauen der User in die Sicherheit der Verschlüsselung in den iOS-Geräten zerstört – was natürlich Selbstmord für das eigene Geschäftsmodell wäre. Aber auch ohne dieses eigene Geschäftsinteresse hat Apple in der grundsätzlichen, politischen Frage natürlich vollkommen recht:
Jede absichtliche Schwächung eines Sicherheitskonzepts, jede “Behörden-Hinter- oder Vordertür” würde sehr schnell auch von Kriminellen oder “gegnerischen” Geheimdiensten ausgenutzt – das Verhältnis von ein paar vielleicht schneller aufzuklärenden Terror-Anschlägen gegenüber den dann in Kauf genommenen “Kollateralschäden” von Industriespionage über politische Sabotage, über Banking-Betrug bis hin zu Privacy-Verletzung ist einfach grotesk. Ein iOS-Gerät, das gesperrt ist, wird Apple also weiterhin nicht aufsperren – und kann dies auch (jedenfalls ohne grundlegende Eingriffe in das Betriebssystem…) wohlweislich gar nicht mehr.
Was Apple aber – wenn ein Durchsuchungsbefehl oder eine richterliche Anordnung vorliegt – sofort herausrückt, das ist der Inhalt der iCloud, in der sich ja ggf. auch Backups der Geräte befinden – hierfür kennt der Hersteller auch den Schlüssel; das Sicherheitskonzept der iCloud bezieht sich also nur auf unbefugte Fremd-Zugriffe. Was natürlich wiederum für sicherheits-sensible Anwender heisst: iCloud-Backups nicht aktivieren, sondern die Gerätedaten nur lokal verschlüsselt sichern.
Wie sicherheits-sensibel der Attentäter von Sutherland Springs war, wissen wir noch nicht – wir wissen auch nicht, ob er überhaupt ein neueres iPhone mit Fingersensor besaß, und wenn ja, ob “TouchID” überhaupt aktiviert war. Im Gegensatz zu Reuters und der Washington Post gehe ich eigentlich davon aus, dass den Forensik-Spezialisten vom FBI durchaus bekannt ist, dass sich ein iPhone eines Attentäters mit dessen Fingerabdrücken innerhalb von 48 Stunden eventuell entsperren lässt – auch wenn der Attentäter schon tot ist.
Für mich klingt das Statement von Special Agent Christopher Combs am Dienstag (7.11.) eher nach einer politischen Duftmarke: “Ceterum censeo: Die böse, wirksame Verschlüsselung muss abgeschafft werden.” Und Apple hat dann; einerseits ernst gemeint, aber auch ebenso medienwirksam zurückgeflötet „wir kooperieren ja, aber…“ Was ich persönlich noch spannend fände: ob die neue Gesichtserkennung beim iPhone X auch bei einem Toten funktioniert. Die Augen müssen ja in die Kamera schauen, da muss man vielleicht noch irgendwie die Lider aufspannen – makaber.
So ein guter alter eigener PC zuhause, mit Festplatten oder SSDs darin und da drauf dann teure Software; Microsoft Office oder so, dazu noch mal zusätzliche Festplatten für die Backups – das alles ist ja heutzutage sowas von mega-out. Denn es gibt doch alles im Netz, in der Cloud: Speicherplatz, Programme, und natürlich alles (vermeintlich…) für lau. Und da loggt man sich ein, wo immer man auch gerade ist. Mal mit dem Tablet, mal im Internetcafe, bei Freunden, in der Uni. Alles supersmart. Aber was macht man, wenn dieser Clouddienst einen plötzlich nicht mehr an den Text lässt, den man gerade bearbeitet? Genau das ist gerade einer Reihe von Usern bei Google Docs passiert – „Zugang verweigert“.
Und zwar wegen „abusive content“, wegen „missbräuchlichen Inhalten“ in den Texten; die User bekamen da nur noch eine Fehler- bzw. Sperrmeldung zu sehen: „Es tut uns leid. Du kannst nicht auf dieses Dokument zugreifen, weil es gegen unsere Nutzungsbedingungen verstößt.“ Das alles nicht etwa wegen wirklich “bedenklicher” Inhalte, in den Dokumenten der betroffenen Anwender ging es weder um Anleitungen zum Bombenbau noch um Pläne zur Ermordung des amerikanischen Präsidenten Präsidenten-Darstellers, noch um Pornografie oder Aufrufe zum Raubkopieren. Betroffen waren stattdessen Journalisten und Wissenschaftler – und das Ganze war: Eine Panne. Eine Panne allerdings, die noch einmal eines verdeutlicht: Google bzw. Google-Algorithmen schauen in die Dokumente hinein.
Wobei die Algorithmen laut Google nicht versuchen, die Dokumente inhaltlich zu verstehen – ganz großes Indianer-Ehrenwort. Könnten sie aber – das wäre nur eine klitzekleine Einstellungs-Änderung. Von daher – wer sensible Dokumente erstellt oder bearbeitet, und die in der Google-Cloud speichert und bearbeitet, dem ist nicht mehr zu helfen.
Deutschlandfunk Nova – Hielscher oder Haase vom 02.11.2017 (Moderation: Diane Hielscher)
Das Wort „Captcha“ ist ein Akronym – ins Deutsche übersetzt steht es für „vollautomatischer öffentlicher Turing-Test zur Unterscheidung von Computern und Menschen“. Die Idee, so einen Mensch-Maschine-Test als Zugangskontrolle für Webseiten zu verwenden, stammt aus dem Jahr 2000; der Informatik-Professor Luis von Ahn gilt als der Erfinder. Und seit dem Jahr 2000 läuft ein sehr interessantes Wettrennen: Auf der einen Seite gibt es immer wieder neue Ansätze, Captchas automatisch zu knacken – und ebenso findige Experten sorgen anschließend im Gegenzug dafür, die gefundenen Schwachstellen auszubügeln.
Textbasierte Captchas, also die mit krakeliger, verzerrter Schrift sind nach wie vor die häufigsten – und bei einem Teil von ihnen erfüllt man als menschlicher Entzifferer ja sogar eine sinnvolle Aufgabe und hilft OCR-Algorithmen bei der Digitalisierung von Büchern oder der Erschließung von StreetMap-Bildern auf die Sprünge. Als besonders verlässlicher Mensch-Maschine-Test gelten die Text-Captchas aber schon seit Jahren nicht mehr – da automatische Bot-Scripte die Zugangshürden von Webseiten ja in einem massiven Dauerfeuer attackieren, reicht den Algorithmen schon eine niedrige Erkennungsrate aus, um genügend oft “durchzukommen”.
Die KI-Experten beim Venturekapital-Unternehmen “Vicarious” hatten übrigens selbst schon 2013 den Erfolg ihres “Recursive Cortical Networks” (RCN) beim Knacken von textbasierten Captchas vermeldet – damals aber noch ohne nähere Details zu nennen, wie das Ganze im Detail funktioniert. Das hatte verschiedene Motive, wie der Gründer von Vicarious, Dileep George, auf Anfrage erläutert: Zum einen habe man damals die Einzelheiten in Hinsicht auf die Sicherheitsauswirkungen im Netz zurückgehalten, zum anderen sei man seinerzeit noch ein sehr kleines Team gewesen und habe sich mehr Zeit bei der Entwicklung des Algorithmus und der Firma nehmen wollen.
A representation of the letter A. [Credit: Vicarious AI]
Nicht ganz unwichtig dürfte dabei auch gewesen sein, dass das “Recursive Cortical Network”-Konzept praktisch das algorithmische “Kronjuwel” von Vicarious ist, das die Firma in den kommenden Jahren in einer Vielzahl von Bereichen, vor allem auf dem Feld der “Robotics” einsetzen und vermarkten will. Das wissenschaftliche Paper in “Science” mit den technischen Details reichte das Team also aus nachvollziehbaren Gründen erst ein, nachdem eine Reihe von Patenten auf RCN erteilt und veröffentlicht worden waren.
Wie gravierend die direkten Auswirkungen auf die noch vorhandene oder ohnehin schon nicht mehr vorhandene Sicherheit von Text-Captchas in der Praxis sind, darüber kann man streiten. Das Vicarious-Team betont die wesentlich höhere Effizienz seines RCN-Ansatzes im Vergleich zu herkömmlichen “Brute-Force-Deep-Learning”-Angriffen. Ein Gegenargument lautet: Die wesentlich höheren Ressourcen-Anforderungen beim “Deep Learning” sind kein großes Problem, sie stehen allseits zur Verfügung – und wenn nötig, lässt sich menschliche Hilfe beim Annotieren von Trainingsmaterial sehr billig einkaufen; bei Crowdworking-Diensten wie “Amazon Mechanical Turk”. (Dass sich Menschen ja ohnehin im Zweifelsfall auch gratis für das Lösen der Zugangs-Rätsel einspannen lassen, das haben wir schon einmal vor sehr langer Zeit beleuchtet 🙂 )
In comparison to RCNs, a deep neural network required a 50,000-fold larger training set to recognize a style of CAPTCHAs, and its accuracy deteriorated rapidly with even minor perturbations to the spacing of characters. [Credit: Vicarious AI]
Wie sowohl Prof. Marc Fischlin von der TU Darmstadt, Google und ja auch die Studienautoren bei Vicarious selbst betonen – für die Zugangskontrolle auf Webseiten stehen mittlerweile Alternativen wie bildbasierte oder verhaltensbasierte Captchas zur Verfügung, die auch noch ein Weilchen der KI-Weiterentwicklung trotzen dürften.
Aber letztlich geht es natürlich bei RCN überhaupt nicht konkret um das Knacken von Captchas. Der Algorithmus setzt ähnlich wie die Handschrift-Erkennung aus einem früheren Science-Paper auf Generalisierung, auf ein Konzept, das sich in Jahrmillionen bei der Evolution biologischer neuronaler Strukturen bis hin zum menschlichen Gehirn herausgebildet und bewährt hat. Und insofern ist es ja schon eine philosophische Frage von allerhöchstem Interesse, welche Methode sich in künftigen KI- und Roboter-Entwicklungen durchsetzen wird. Wahrscheinlich wird die Antwort aber ganz pragmatisch sein: Wie die “Intelligenz” zustande kommt, ist sekundär. Haupsache, sie funktioniert in der konkreten Aufgabensituation.
Deutschlandfunk – Computer und Kommunikation vom 28.10.2017 (Moderation: Manfred Kloiber)
Bayerischer Rundfunk – BR5 Computermagazin vom 5.11.2017 (Moderation: Christian Sachsinger)
Einkaufen, also jetzt so richtig analog mit in-den-Laden gehen und die-Ware-in-die-Hand-nehmen – das macht ja nach wie vor Spaß. Manchmal, wenn man Zeit und Lust hat. Aber ansonsten, da bestellt man halt online und lässt sich die Sachen schicken. Der kleine, große Haken: wie kommen wir an das Paket, wenn wir zum Zeitpunkt der Zustellung nicht zuhause sind? Klar, da gibt’s die Paketboxen, neuerdings auch an Bahnhöfen, da muss man aber auch erstmal vorbeikommen oder hinfahren. Oder als Variante die Privat-Paketbox, die man sich neben die Haustür montiert und wo der Bote dann einen Code hat, um da etwas hineinzulegen. Ein neues Konzept von Amazonfunktioniert ähnlich – auch da soll der Bote etwas öffnen mit einem Code – diesmal aber direkt die Wohnungstür.
Warum der Onlinehändler Nr. 1 die “smarte” Wohnungstür-Öffnung promotet, ist klar – je niedriger die Hemmschwelle zur Auftragserteilung, umso höher der Profit. Die Aussicht, ein Paket mit 20 Minuten Anfahrt, 10 Minuten Warteschlange und 20 Minuten Heimfahrt selbst abzuholen, ist klar ein Bestell-Abtörner. Zumal es ja bekanntlich Zusteller gibt, die diese Abtörn-Variante mutwillig (bzw. als arme, ausgebeutete und gehetzte Arbeitnehmer…) öfter als verhofft herbeiführen.
Als Kunde sollte man einigermaßen entspannt im Leben stehen, um “Amazon Key” zu nutzen – und im Zweifelsfall halt auf die Versicherung oder die theoretische Möglichkeit einer Strafverfolgung bauen – immerhin bekommt man dafür ein paar nette Kamera-Aufnahmen eines “Bad Guys” – das ist schon mehr als bei einer Verwüstung der eigenen Wohnung durch einen AirBnB-Horror-Gast. Ins Netz stellen darf man das belastende Material dann leider trotzdem noch nicht – auch ein Dreckschwein hat schließlich Persönlichkeitsrechte 🙂
Aber Spaß und Bedenken beiseite – grundsätzlich ist das “Amazon Key”-Konzept gar nicht so abwegig – wer seinen Kindern einen Hausschlüssel in den Ranzen packt, geht ja schließlich auch ein Risiko ein.
Bislang war es eigentlich ein Standard-Ansatz beim Einsatz von KI, von “Künstlicher Intelligenz” – ob mit oder ohne neuronale Netze: Auf die Spur gebracht wurde der Algorithmus erst einmal mit Trainingsdaten, die auf menschlicher Expertise beruhten. Und das war ja immerhin ein kleiner Trost für “homo sapiens” selbst dann noch, wenn das Resultat; ein Poker– oder Go-spielendes Programm anschließend eine “superhuman performance” zeigte, den menschlichen Experten anschließend gnadenlos “plattmachen” konnte. Beim jüngsten Produkt aus der Kaderschmiede des Google-Tochterunternehmens “DeepMind” fällt selbst dieser kleine Trost weg.
Alpha Go Zero fängt bei Null an, kennt nur die Go-Regeln – und bringt sich das Spiel (im Spiel gegen sich selbst…) selbst bei. Bis es vom “Affen” zum unschlagbaren Experten wird, dauert es ein paar Stündchen länger als bei den Vorversionen. Menschliche Züge kann es auch nicht mehr so gut vorhersagen wie seine Vorläufer – aber die in Jahrtausenden herauskristallisierten Go-Strategien sind ja offenbar eh: suboptimal. Immerhin: die Expertise von Alpha Go Zero ist eng begrenzt, auch der Ansatz “von Null an beginnen” liefert noch keine universelle Welterklärungs-Maschine.
Im Gegenteil – die Experten bei DeepMind sind sich des Problems wohl bewusst, dass sie momentan noch nicht erklären können, wie ihr Algorithmus genau zu seinen Ergebnissen kommt. Und wenn es nicht “nur” um ein Spiel, sondern um das richtige Leben geht – dann würde man diese Entscheidungskriterien doch ganz gern etwas genauer nachvollziehen können.
Deutschlandfunk – Forschung aktuell vom 19.10.2017 (Moderation: Monika Seynsche)
“Experten warnen vor Panikmache” – so lautete eine schöne Schlagzeile zur aufsehenerregenden Lücke beim WLAN-Verschlüsselungstandard. Nun habe ich allerdings bislang noch keine verzweifelten Menschen durch die Fußgängerzonen oder Büroflure wanken sehen, mit irrem Blick und dem Mantra “soll ich nun oder soll ich nun nicht” (onlinebanken oder onlineshoppen…) auf den Lippen. Dass die Leute vom CCC in offenen WLANs selber standardmäßig VPNs nutzen, davon gehe ich aus. Normale Laien machen das aber eben nicht. Und zum Argument “mit zusätzlicher Verschlüsselung ist alles sicher” – der Entdecker der Lücken, Marty Vanhoef, schreibt da etwas anderes:
Mittlerweile gibt es zumindest jede Menge Ankündigungen von Betriebssystem- wie Geräteherstellern für Updates und Bugfixes – bei Heise.de gibt es eine Übersichtsseite dazu und auch eine verständliche Erklärung, wie genau der Angriff funktioniert und warum das Wiederverwenden der “Wegwerfpasswörter”, wie ich die Nonces im DLF-Gespräch genannt habe, die Verschlüsselung aushebelt. Das eigentliche Grauen, und zwar mit richtig langer Halbwertszeit, das lauert aber wieder mal bei den IoT-Devices. Aber das war ja auch ohne die WPA2-Lücke im Grunde bislang auch schon so.
Es gibt ja immer mehr freie drahtlose Internetzugänge in Deutschland; in Cafes, in Geschäften und im Zug. Und so schön offenes WLAN auch ist – das Funknetz zuhause oder im Betrieb, über das man Onlinebanking macht und über das Login-Daten und vertrauliche Dateien hin und her gesendet und empfangen werden; das sollte tunlichst nicht offen sein, sondern verschlüsselt und mit einem Passwort geschützt. Das Standardprotokoll für diese Verschlüsselung heißt WPA2, wird allseits empfohlen und eingerichtet und gilt als sicher. Bisher.
In gut informierten Kreisen wusste man schon seit geraumer Zeit, dass in Sachen WPA2 etwas im Busch war- und dass heute, am 16.10.2017 eine wahrscheinlich ziemlich spektakuläre Enthüllung bevorstand. Mit Selbst-Marketing, wie das die dpa-Agenturmeldung suggeriert, hat das Prozedere und das Timing übrigens nichts zu tun. Mathy Vanhoef von der Universität Leuwen hatte vorweg über hundert Hersteller und die Internet-Sicherheitswarnstellen, die CERTs über die gefundenen Lücken unterrichtet. Die Warnung unter Stillhaltepflicht bis zu einem bestimmten Publikationsdatum dient dazu, dass Bugfixes möglichst flächendeckend vorbereitet werden können.
Prescht nämlich ein Betroffener vor und und sichert sein Produkt oder Betriebssystem ab, können Experten und Hacker aus dem Vorher-Nachher-Vergleich auf die Sicherheitslücke schließen und die Produkte der Hersteller angreifen, die mit dem Nachbessern noch nicht fertig sind. So richtig detailliert wussten aber offenbar auch Stellen, die “eigentlich” gut informiert sein sollten, bis zum Mittag nicht Bescheid. Und im Bericht bei ArsTechnica waren mehrere Fehler: Bei Sven Schäge von der Ruhr-Universität Bochum etwa stand das Telefon nicht mehr still, dummerweise war der deutsche Experte zwar auch zeitgleich mit Mathy Vanhoef auf der BlackHat-Konferenz gewesen, hatte aber mit der WPA2-Analyse nichts zu tun.
Auch die Information, WPA2 sei von den gleichen Experten “geknackt” worden, die Jahre zuvor das Vorgänger-Protokoll WEP obsolet gemacht hatten, erwies sich mit der Freischaltung der Website krackattacks.com als falsch, sogar der in dem wissenschaftlichen Paper als Co-Autor genannte Frank Piessens war nur als “Supervisor” “ehrenhalber erwähnt” worden. Die übrigen vorab durchgesickerten Dinge stimmen aber 🙂 … Das Problem ist äußerst gravierend, auch wenn Router-Hersteller und die WiFi-Alliance darauf hinweisen, dass ein Angriff ja nur aus unmittelbare Nähe möglich ist und “bislang keine tatsächlich erfolgten Angriffe bekannt” seien. Betroffen ist letztlich jedes WLAN-Device, vom Smartphone über Webcams bis hin zum “intelligenten” Türschloss.
In der Pflicht sind zuallererst die Betriebssystem-Hersteller, für Windows, OSX, iOS, Linux und Android muss der WLAN-Protokoll-Stack nachgebessert werden. Schon jetzt ist klar, dass das bei vielen IoT-Devices niemals passieren wird. WLAN-Router können, müssen aber nicht betroffen sein. Auch hier ist dringlichst anzuraten, bis zur erfolgreichen Installation von etwaigen Firmware-Updates einstweilen wie in offenen WLANs zu verfahren und VPNs zu nutzen.
Wie praxisrelevant oder tatsächlich gefährlich die ungestopfte Lücke ist, darüber kann man unterschiedlicher Meinung sein. Natürlich – wenn man immer ein VPN benutzt, besteht kein Anlass zur Panik, nur welcher Laie macht das schon? Die BSI-Warnung war schon richtig und genau das, was ich ja auch gesagt habe: Man sollte sich wie in einem offenen WLAN verhalten. Die Mitteilung von AVM in Sachen Fritzbox ist, was die weit verbreiteten Geräte betrifft, eine gute Nachricht. Die im heimischen Wohnzimmer unrealistische Voraussetzung, dass der Angreifer-AP näher am Client sein muss als der legitime Router sieht in Firmen, Cafes oder Bahnhöfen schon wieder viel realistischer aus. Und dass sich der Client “freiwillig” ummelden muss, ist normaler als es klingt, schließlich beginnen ja viele Angriffe damit, die bestehende Verbindung mal eben abzuschießen 🙂
