Schlagwort-Archive: Hardware

Bluetooth: “Aus” heißt bei Android nicht zwingend auch “aus”

An sich ist das mit der Geo-Lokalisation bei Smartphones eine tolle Sache. Ich erinnere mich noch sehr gut an ein Abi-Treff mit meinen ehemaligen Schul-Kameradinnen und -Kameraden im tiefsten Süden von Bochum, Richtung Ruhr; eine geradezu idyllische, ländliche Gegend. Ich steige aus dem Bus aus, irgendwo in der Wallachei – über mir Sternenhimmel, um mich herum Dunkelheit. Und irgendwo in dieser Dunkelheit, so in ca. zwei Kilometer Entfernung ist die Gaststätte, wo wir uns treffen. Ich schalte mein Google Maps an und mache ein paar Probeschritte – und der blaue Punkt bewegt sich in die richtige Richtung.

So weit, so gut. Das Ganze funktioniert ja per GPS, oder in etwas bevölkerten Gegenden auch per WLAN-Triangulation – und innerhalb von Gebäuden auch per Bluetooth. Dort, wo die Satelliten-Sicht weg ist und auch der WLAN-Empfang u.U. mau – da gibt es ganz tolle Konzepte: In Museen etwa haben die Exponate jeweils einen Transponder, ein Beacon – und mit der passenden App bekomme ich dann die jeweilige Erklärung für das Kunstwerk auf mein Smartphone. Oder ich latsche an einem Modeketten-Laden vorbei und bekomme spontan einen Gutschein gepusht. Oder ich bin im Supermarkt und stehe vor den Radieschen, und mein Smartphone sagt mir: Radieschen sind gesund und gerade zufällig runtergesetzt.

Bild: ibeacontrends.com

Na ja. Wie toll man diese individuelle, ortsbezogene Ansprache findet – das sei mal dahingestellt. Aber wenn man entsprechende Protokolle mt Ortungs- oder auch sonstigem Privacy-Potential ausschaltet, dann will man doch eigentlich auch, dass die wirklich aus sind. Ist aber nicht der Fall. Dass Android-Geräte noch mehr nach Hause telefonieren als Apple-Devices, war klar – der Werbe- und Suchmaschinengigant verdient über Nutzerdaten, Apple über den Gerätepreis. Bislang jedenfalls. Zur Ehrenrettung von Google: Die erweiterte oder “genauere” Ortsbestimmung muss man als Nutzer erst mal explizit abnicken (“Opt-In”), naheliegenderweise in einer App wie Google Maps oder Google Assist.

Aber trotzdem ist das “Buetooth-an trotz Bluetooth-aus” eine unangenehme Überraschung oder sogar Irreführung. Ein Schelm, wer Böses dabei denkt.

Bluetooth: Aus heißt bei Android nicht zwingend auch aus · Deutschlandfunk Nova

DLF Nova – Hielscher oder Haase vom 25.01.2018 (Moderation: Thilo Jahn)

Elektronische Gesundheitskarte: IT-Desaster oder Hängepartie mit glücklichem Ende?

Bekanntlich bekommen wir in Deutschland seit geraumer Zeit nichts mehr auf die Reihe. Jedenfalls kein Großprojekt. Ein paar Beispiele gefällig? Der Flughafen Berlin. Als nächster Kandidat in der Pipeline: Stuttgart 21. Die Hubschrauber und U-Boote bei der Bundeswehr. (Oder eigentlich alles.) Dann die IT-Kracher: Toll Collect. Der Bundestrojaner. DE-Mail. Das gesicherte Anwaltspostfach. Und natürlich; mit schon epischer Anlauf- bzw. Erprobungsphase: Die Elektronische Gesundheitskarte.

Die ist so ein typisches Beispiel für eine geplante Neuerung, von der praktisch alle betroffen sind, bei der viel auf dem Spiel steht, bei der viel schiefgehen kann und bei der man gern möglichst alles richtig machen will. Und bei der es von vornherein jede Menge Leute gibt, denen die ganze Sache sowieso überhaupt nicht in den Kram passt. Bei der Gesundheitskarte sind das u.a. die Ärzte, die in ihren Praxen investieren müssen und sich mit herumzickenden Kartenlese-Terminals und lebensfremden Sicherheitskonzepten (das grenzdemente Mütterlein oder die bildungsferne Patientin aus Anatolien wissen natürlich ihre PIN nicht… Alle anderen: dito 🙂 ) herumschlagen müssen.

Embed from Getty Images

Und von wegen Sicherheit: Natürlich gibt es bei einem Konzept, das die zentrale Speicherung höchst sensibler, für potentielle Angreifer höchst wertvoller Daten vorsieht, Datenschutzbedenken. Nur – dass an sich recht unverdächtige Personen wie der ehemalige Bundesdatenschutzbeauftragte Peter Schaar der Gesundheitskarte an sich ein ganz gutes Zeugnis ausstellt, das deutet doch darauf hin, dass dieses Konzept trotz aller Bedenken vielleicht doch weit besser und sicherer ist, als der Status Quo. Momentan nämlich werden Arztbriefe und heikelste Information völlig ungeschützt und unverschlüsselt in der Gegend herumgeschickt, per ganz normaler Mail. Oder Post.

Auch Experten wie Matteo Cagnazzo vom Institut für Internet-Sicherheit sehen bei der Gesundheitskarte keine konkrete oder konzeptionelle Schwachstelle – aber natürlich: Die Technologie, möglicherweise auch die Kryptografie auf dem Karten-Chip ist durch die jahrelange Verzögerung nicht mehr unbedingt Stand der Technik. Ob die Konnektor-Boxen z.B. gegen die neu bekannt gewordenen IT-Super-GAU-Szenarien Meltdown und Spectre anfällig sind, ist bislang völlig offen. Und “Security by Obscurity” (also die Weigerung der Betreibergesellschaft Gematik, die verwendeten Komponenten zu dokumentieren bzw. unabhängigen Fachleuten für Sicherheitsaudits zur Verfügung zu stellen…) war noch nie eine gute Idee.

Aber dennoch: Es kann eigentlich nicht sein, dass wir in Deutschland, Stand 2018, nicht allmählich einen zu vertretenden Übergang von einer analogen bzw. Wildwuchs-digitalen Patientendatenverwaltung zu einem zeitgemäßen System hinbekommen. Von daher bin ich in diesem Fall mal ausnahmsweise optimistisch. Und ausnahmsweise nicht im Lager der Bedenkenträger.

Elektronische Gesundheitskarte – Potenzial nicht ausgeschöpft · Deutschlandfunk Nova

DLF Nova – Grünstreifen vom 24.01.2018 (Moderation: Sebastian Sonntag)

Apple “zwangsdrosselt” ältere iPhones mit schlappen Akkus

Als alter langjähriger Fanboy von Apple-Produkten seit dem Ur-iPhone muss ich sagen: Ich hatte noch nie Probleme; oder vielleicht sogar sagenhaftes Glück mit den Akkus in den Geräten. Wann immer ich aufgerüstet habe (meist nach Auslassen einer Neuheiten-Generation…) – das alte Smartphone oder Tablet bzw. der Akku darin hielt noch ca. eine Woche im Standby-Modus, zumindest von dem Aspekt her konnten sich also die Käufer oder “Erben” der Altgeräte nicht beschweren – und mein iPad 3 leistet auch immer noch gute Dienste als Gäste-Gerät oder Steuereinheit für meine Ikea-Lampen bzw. für Alexa; man muss halt mit der Zeit gehen 🙂 …

Embed from Getty Images

Aber die “Zwangsdrosselung”, die Apple gestern eingeräumt hat; die hat ihr “Geschmäckle”. Natürlich wird es für die allermeisten Anwender besser sein, lieber mal das Gerät herunterzutakten als eine kältebedingte Spontanabschaltung erleben zu müssen – aber das möchte ich als User eigentlich selbst entscheiden können. Wenn sich ein iPhone nach einem iOS-Update plötzlich “zäher” anfühlt, ist das natürlich ein gewisser “Anreiz”, sich ein neues Gerät zuzulegen.  Und da stände es Apple eben gut an, den Grund klar zu kommunizieren – liegt es an einem für neue Funktionen und Apps zu langsamen Prozessor oder an der Grafik-Karte – oder einem tatsächlich oder vermeintlich schlappem Akku?

Der lässt sich übrigens bei den meisten Geräten relativ leicht und relativ billig austauschen – das muss auch nicht unbedingt der offizielle Apple-Support machen. 🙂 Und dann tut es das alte iPhone oder iPad vielleicht doch noch ein paar Jährchen – mit wiederum “normaler” Geschwindigkeit.

Deutschlandfunk Nova – Hielscher oder Haase vom 21.12.2017 (Moderation: Till Haase)

Elon Musk gewinnt Wette – und Australien hat die größte Batterie der Welt

Strom aus Solarzellen, aus Wind- und Wasserkraft, die sogenannten erneuerbaren Energien also, haben alle möglichen Vorteile: Sie sind unbegrenzt verfügbar und nicht klimaschädlich – aber da gibt es ja leider diesen großen Haken: Die Zeiten mit der höchsten Stromproduktion, wenn die Sonne scheint und der Wind bläst, das sind nicht zwangsläufig die Zeiten mit dem höchsten Strombedarf. Und einmal weiß man also gar nicht, wohin mit der schönen Energie, und die Netze drohen zu kollabieren. Oder umgekehrt: Licht, Computer und Motoren sollen und müssen auch laufen, wenn es duster ist und Flaute herrscht. Man braucht also Strompuffer – Batterien; oder nach unserem Sprachgebrauch: Akkus.

In Südaustralien ist heute die größte Batterie/der größte Akku der Welt in Betrieb gegangen – und da kann sich einer besonders freuen: Der Chef der Elektroautofirma Tesla, Elon Musk. Der hätte nämlich die Kosten in Höhe von 50 Millionen Dollar für das Aggregat auf der Fläche eines Football-Feldes selbst zahlen müssen, wenn das Ganze nicht innerhalb von 100 Tagen nach Vertragsabschluss fertig installiert und betriebsbereit gewesen wäre – aber die (wahrscheinlich doch sehr wohlkalkulierte…) Wette hat ja gehalten, das war schon seit ein par Tagen klar. Und Elon Musk bzw. Tesla bekommt das Geld und zusätzlich den beabsichtigten PR-Effekt: Wir können kurzfristig liefern, wir sind zuverlässig, wir haben die Kapazitäten für die Akkus.

Embed from Getty Images

So ganz klar war das ja in letzter Zeit nicht, selbst für das Kerngeschäft von Tesla – die Produktion von Elektro-Autos. Ich würde sogar auch vermuten, dass das prestigeträchtige “Super-Batterie”-Projekt in Süd-Australien bei Tesla mit absoluter Top-Priorität behandelt worden ist, und dass dafür halt andere Sparten im Zweifelsfall mal etwas “leiden” mussten. Aber auch wenn das jetzt also ein etwas aufgehübschter Showcase war, der vielleicht die Frage “gibt es schon genug Kapazitäten, um das erneuerbare-Energien-Dilemma direkt und zu vertretbaren Kosten zu lösen” nicht ganz realistisch beantwortet – die Perspektive ist jedenfalls da. Und das ist ja auch notwendig – wenn z.B. ein Big Player wie Google komplett auf Solar- und Windenergie umstellt.

Deutschlandfunk Nova – Hielscher oder Haase vom 01.12.2017 (Moderation: Diane Hielscher)

Pilotprojekt “Smart City” in Bonn – Wenn der Glascontainer “voll” meldet

Bekanntlich bin ich nicht per se ein glühender Anhänger der Idee, alles zu vernetzen und ins Internet (“der Dinge”…) zu bringen – und dann davon auszugehen, dass allein diese Aktion die Welt automatisch in ein Paradies voller glücklich umherstapfender, bestens informierter und vor lauter tollem “Benutzererlebnis” 🙂  fortwährend jubilierender neuer, smarter und stets wohlwollender Menschen verwandelt. In Wirklichkeit ist das IoT eher ein Albtraum von billigst zusammengestoppelten China-Devices mit Backdoors, Sicherheitslücken und niemals erfolgenden Updates 🙂 … Und die Menschen bleiben natürlich genau so, wie sie halt sind. Es gibt nette, intelligente Leute. Und Vollidioten und Arschlöcher.

Da betrifft auch technische Visionen. In einer idealen Welt oder einem Science-Fiction-Film laufen attraktive Menschen in einem weißen Hosenanzug durch gestylte Wohnwelten und wischen und tippen über smarte Monitore und pseudo-Graffitti-Betonwände. In Wirklichkeit versuchen schlechtgekleidete Spaßvögel und Trolle, Sand ins Getriebe zu streuen – aus purer Lust am Destruktiven; oder weil es ja auch vielleicht auch wirklich ein Stück weit lustig ist, eine vermeintlich tolle Vision mal kurz und schmerzhaft auf den Boden der analogen Wirklichkeit zurückzuholen. Auf jeden Fall: vernetzte Zukunftsideen und “smarte Sensorik” müssen unter diesem Aspekt einigermaßen robust konzipiert sein – sonst pulverisiert sich der erhoffte “Benefit” ganz schnell wegen ein paar Einzelaktionen von “unsmarten” Zeitgenossen.

Aber natürlich wird sich das “Kosten-Nutzen-Verhältnis” zwischen Infrastruktur-Betreibern und IoT-Providern einpendeln; und natürlich werden in zehn Jahren IoT-Dienste und Dienstleistungen selbstverständlich sein, die heute noch experimentell sind. Und möglicherweise ist das dann auch alles smart, klimafreundlich und energiesparend. An der Abwägung: Was bringt mir meine Investition in einigermaßen absehbarer Zeit? – ändert das jedenfalls momentan nichts. Solange die Kommunen nicht einmal das Geld haben, um die allerschlimmsten Schlaglöcher in den Straßen auszubessern, steht die flächendeckende “smarte Stadt-Infrastruktur” wahrscheinlich noch nicht ganz oben auf der Prioritäten-Liste 🙂

Pilotprojekt “Smart City” in Bonn – Wenn der Glascontainer “voll” meldet

Deutschlandfunk – Computer und Kommunikation vom 18.11.2017 (Moderation: Maximilian Schönherr)

Sicherheitslücke bei Amazon Key: Der Paketbote kann doch unbemerkt in die Wohnung

Amazon Key ist an sich eine nette Idee, aber doch insgesamt eher etwas für Leute mit großem Vertrauen in Technik und Mitmenschen – so ungefähr hatte ich das “der Paketbote macht sich die Wohnungstür selbst auf und wird dabei sicherheitshalber gefilmt”-Konzept ja bei der Vorstellung eingeordnet. Und nun, drei Wochen später haben IT-Experten einen sehr simplen Weg gefunden, wie sich das Ganze aushebeln lässt. Die Schwachstelle ist die Webcam, die als Dreh- und Angelpunkt von Amazon Key nämlich auch die Schließkommandos an das “smarte” Türschloss sendet.

Dummerweise lässt sich die “Cloud Cam” per simpler WLAN-Paketüberflutung in ein zeitweiliges Standbild-Koma versetzen, und noch dümmererweise bekommt sie bzw. der Amazon Key-Nutzer den Blackout gar nicht mit. Der Hotfix von Amazon – nun schlägt das System Alarm, wenn die Kamera die Netzverbindung verliert – dürfte die Anwender auch nicht so richtig glücklich machen.  “Möglicherweise wird gerade deine Bude ausgeräumt. Vielleicht muss sich aber auch nur deine DSL-Verbindung kurz neu synchronisieren.”  🙂

Deutschlandfunk Nova – Hielscher oder Haase vom 17.11.2017 (Moderation: Diane Hielscher)

Apple bot FBI Hilfe beim Zugriff auf das iPhone des Texas-Attentäters an

Das hört sich nach einer Sensation oder einem völligen Paradigmenwechsel an, oder auch nach einer Hiobsbotschaft für alle Besitzer eines iPhones oder iPads – aber obwohl die Überschrift, die ja so in vielen Medien zu lesen war, tatsächlich stimmt: An Apples Position in der Zusammenarbeit oder eben auch Nicht-Zusammenarbeit mit Ermittlungsbehörden und Geheimdiensten ändert sich überhaupt nichts. Wie schon bislang ist Apple kooperativ, solange die Kooperation nicht das Vertrauen der User in die Sicherheit der Verschlüsselung in den iOS-Geräten zerstört – was natürlich Selbstmord für das eigene Geschäftsmodell wäre. Aber auch ohne dieses eigene Geschäftsinteresse hat Apple in der grundsätzlichen, politischen Frage natürlich vollkommen recht:

Jede absichtliche Schwächung eines Sicherheitskonzepts, jede “Behörden-Hinter- oder Vordertür” würde sehr schnell auch von Kriminellen oder “gegnerischen” Geheimdiensten ausgenutzt – das Verhältnis von ein paar vielleicht schneller aufzuklärenden Terror-Anschlägen gegenüber den dann in Kauf genommenen “Kollateralschäden” von Industriespionage über politische Sabotage, über Banking-Betrug bis hin zu Privacy-Verletzung ist einfach grotesk. Ein iOS-Gerät, das gesperrt ist, wird Apple also weiterhin nicht aufsperren – und kann dies auch (jedenfalls ohne grundlegende Eingriffe in das Betriebssystem…) wohlweislich gar nicht mehr.

Embed from Getty Images

Was Apple aber – wenn ein Durchsuchungsbefehl oder eine richterliche Anordnung vorliegt – sofort herausrückt, das ist der Inhalt der iCloud, in der sich ja ggf. auch Backups der Geräte befinden – hierfür kennt der Hersteller auch den Schlüssel; das Sicherheitskonzept der iCloud bezieht sich also nur auf unbefugte Fremd-Zugriffe. Was natürlich wiederum für sicherheits-sensible Anwender heisst: iCloud-Backups nicht aktivieren, sondern die Gerätedaten nur lokal verschlüsselt sichern.

Wie sicherheits-sensibel der Attentäter von Sutherland Springs war, wissen wir noch nicht – wir wissen auch nicht, ob er überhaupt ein neueres iPhone mit Fingersensor besaß, und wenn ja, ob “TouchID” überhaupt aktiviert war. Im Gegensatz zu Reuters und der Washington Post gehe ich eigentlich davon aus, dass den Forensik-Spezialisten vom FBI durchaus bekannt ist, dass sich ein iPhone eines Attentäters mit dessen Fingerabdrücken innerhalb von 48 Stunden eventuell entsperren lässt – auch wenn der Attentäter schon tot ist.

Für mich klingt das Statement von Special Agent Christopher Combs am Dienstag (7.11.) eher nach einer politischen Duftmarke: “Ceterum censeo: Die böse, wirksame Verschlüsselung muss abgeschafft werden.” Und Apple hat dann; einerseits ernst gemeint, aber auch ebenso medienwirksam zurückgeflötet „wir kooperieren ja, aber…“ Was ich persönlich noch spannend fände: ob die neue Gesichtserkennung beim iPhone X auch bei einem Toten funktioniert. Die Augen müssen ja in die Kamera schauen, da muss man vielleicht noch irgendwie die Lider aufspannen – makaber.

Für alle Lebenden hat Apple ja jedenfalls noch ein Notfall-Feature in iOS11 eingebaut: Fünfmal den Aus-Knopf drücken, dann wird das Entsperren via Finger- und Gesichtserkennung abgeschaltet, danach geht’s nur noch mit dm Zugangscode.

Amazon Key öffnet die Wohnungstür für den Paketboten – und die Kamera schaut zu

Einkaufen, also jetzt so richtig analog mit in-den-Laden gehen und die-Ware-in-die-Hand-nehmen – das  macht ja nach wie vor Spaß. Manchmal, wenn man Zeit und Lust hat. Aber ansonsten, da bestellt man halt online und lässt sich die Sachen schicken. Der kleine, große Haken: wie kommen wir an das Paket, wenn wir zum Zeitpunkt der Zustellung  nicht zuhause sind? Klar, da gibt’s die Paketboxen, neuerdings auch an Bahnhöfen, da muss man aber auch erstmal vorbeikommen oder hinfahren.  Oder als Variante die Privat-Paketbox, die man sich neben die Haustür montiert und wo der Bote dann einen Code hat, um da etwas hineinzulegen. Ein neues Konzept von Amazon funktioniert ähnlich – auch da soll der Bote etwas öffnen mit einem Code – diesmal aber direkt die Wohnungstür.

Warum der Onlinehändler Nr. 1 die “smarte” Wohnungstür-Öffnung promotet, ist klar – je niedriger die Hemmschwelle zur Auftragserteilung, umso höher der Profit. Die Aussicht, ein Paket mit 20 Minuten Anfahrt, 10 Minuten Warteschlange und 20 Minuten Heimfahrt selbst abzuholen, ist klar ein Bestell-Abtörner. Zumal es ja bekanntlich Zusteller gibt, die diese Abtörn-Variante mutwillig (bzw. als arme, ausgebeutete und gehetzte Arbeitnehmer…) öfter als verhofft herbeiführen.

Als Kunde sollte man einigermaßen entspannt im Leben stehen, um “Amazon Key” zu nutzen – und im Zweifelsfall halt auf die Versicherung oder die theoretische Möglichkeit einer Strafverfolgung bauen – immerhin bekommt man dafür ein paar nette Kamera-Aufnahmen eines “Bad Guys” – das ist schon mehr als bei einer Verwüstung der eigenen Wohnung durch einen AirBnB-Horror-Gast. Ins Netz stellen darf man das belastende Material dann leider trotzdem noch nicht – auch ein Dreckschwein hat schließlich Persönlichkeitsrechte 🙂

Aber Spaß und Bedenken beiseite – grundsätzlich ist das “Amazon Key”-Konzept gar nicht so abwegig – wer seinen Kindern einen Hausschlüssel in den Ranzen packt, geht ja schließlich auch ein Risiko ein.

Amazon Key: Wenn der Paketbote eure Tür öffnet · Deutschlandfunk Nova

Deutschlandfunk Nova – Hielscher oder Haase vom 26.10.2017 (Moderation: Till Haase)

WPA2-Lücke: Abwiegeln ist unangebracht

Experten warnen vor Panikmache” – so lautete eine schöne Schlagzeile zur aufsehenerregenden Lücke beim WLAN-Verschlüsselungstandard. Nun habe ich allerdings bislang noch keine verzweifelten Menschen durch die Fußgängerzonen oder Büroflure wanken sehen, mit irrem Blick und dem Mantra “soll ich nun oder soll ich nun nicht” (onlinebanken oder onlineshoppen…) auf den Lippen. Dass die Leute vom CCC in offenen WLANs selber standardmäßig VPNs nutzen, davon gehe ich aus. Normale Laien machen das aber eben nicht. Und zum Argument “mit zusätzlicher Verschlüsselung ist alles sicher” – der Entdecker der Lücken, Marty Vanhoef, schreibt da etwas anderes:

Although websites or apps may use HTTPS as an additional layer of protection, we warn that this extra protection can (still) be bypassed in a worrying number of situations. For example, HTTPS was previously bypassed in non-browser software, in Apple’s iOS and OS X, in Android apps, in Android apps again, in banking apps, and even in VPN apps.

Mittlerweile gibt es zumindest jede Menge Ankündigungen von Betriebssystem- wie Geräteherstellern für Updates und Bugfixes – bei Heise.de gibt es eine Übersichtsseite dazu und auch eine verständliche Erklärung, wie genau der Angriff funktioniert und warum das Wiederverwenden der “Wegwerfpasswörter”, wie ich die Nonces im DLF-Gespräch genannt habe, die Verschlüsselung aushebelt. Das eigentliche Grauen, und zwar mit richtig langer Halbwertszeit, das lauert aber wieder mal bei den IoT-Devices. Aber das war ja auch ohne die WPA2-Lücke im Grunde bislang auch schon so.

WPA2-Lücke: Beim Online-Banking neben den Router setzen · Deutschlandfunk Nova

Deutschlandfunk Nova – Hielscher oder Haase vom 18.10.2017 (Moderation: Diane Hielscher)

Der WLAN-Standard WPA2 hat gravierende Sicherheitslücken

Es gibt ja immer mehr freie drahtlose Internetzugänge in Deutschland; in Cafes, in Geschäften und im Zug. Und so schön offenes WLAN auch ist – das Funknetz zuhause oder im Betrieb, über das man Onlinebanking macht und über das Login-Daten und vertrauliche Dateien hin und her gesendet und empfangen werden; das sollte tunlichst nicht offen sein, sondern verschlüsselt und mit einem Passwort geschützt. Das Standardprotokoll für diese Verschlüsselung heißt WPA2, wird allseits empfohlen und eingerichtet und gilt als sicher. Bisher.

In gut informierten Kreisen wusste man schon seit geraumer Zeit, dass in Sachen WPA2 etwas im Busch war- und dass heute, am 16.10.2017 eine wahrscheinlich ziemlich spektakuläre Enthüllung bevorstand. Mit Selbst-Marketing, wie das die dpa-Agenturmeldung suggeriert, hat das Prozedere und das Timing übrigens nichts zu tun. Mathy Vanhoef von der Universität Leuwen hatte vorweg über hundert Hersteller und die Internet-Sicherheitswarnstellen, die CERTs über die gefundenen Lücken unterrichtet. Die Warnung unter Stillhaltepflicht bis zu einem bestimmten Publikationsdatum dient dazu, dass Bugfixes möglichst flächendeckend vorbereitet werden können.

Embed from Getty Images

 

Prescht nämlich ein Betroffener vor und und sichert sein Produkt oder Betriebssystem ab, können Experten und Hacker aus dem Vorher-Nachher-Vergleich auf die Sicherheitslücke schließen und die Produkte der Hersteller angreifen, die mit dem Nachbessern noch nicht fertig sind. So richtig detailliert wussten aber offenbar auch Stellen, die “eigentlich” gut informiert sein sollten, bis zum Mittag nicht Bescheid. Und im Bericht bei ArsTechnica waren mehrere Fehler: Bei Sven Schäge von der Ruhr-Universität Bochum etwa stand das Telefon nicht mehr still, dummerweise war der deutsche Experte zwar auch zeitgleich mit Mathy Vanhoef auf der BlackHat-Konferenz gewesen, hatte aber mit der WPA2-Analyse nichts zu tun.

Auch die Information, WPA2 sei von den gleichen Experten “geknackt” worden, die Jahre zuvor das Vorgänger-Protokoll WEP obsolet gemacht hatten, erwies sich mit der Freischaltung der Website krackattacks.com als falsch, sogar der in dem wissenschaftlichen Paper als Co-Autor genannte Frank Piessens war nur als “Supervisor” “ehrenhalber erwähnt” worden. Die übrigen vorab durchgesickerten Dinge stimmen aber 🙂 … Das Problem ist äußerst gravierend, auch wenn Router-Hersteller und die WiFi-Alliance darauf hinweisen, dass ein Angriff ja nur aus unmittelbare Nähe möglich ist und “bislang keine tatsächlich erfolgten Angriffe bekannt” seien. Betroffen ist letztlich jedes WLAN-Device, vom Smartphone über Webcams bis hin zum “intelligenten” Türschloss.

In der Pflicht sind zuallererst die Betriebssystem-Hersteller, für Windows, OSX, iOS, Linux und Android muss der WLAN-Protokoll-Stack nachgebessert werden. Schon jetzt ist klar, dass das bei vielen IoT-Devices niemals passieren wird. WLAN-Router können, müssen aber nicht betroffen sein. Auch hier ist dringlichst anzuraten, bis zur erfolgreichen Installation von etwaigen Firmware-Updates einstweilen wie in offenen WLANs zu verfahren und VPNs zu nutzen.

 

WLAN-Verschlüsselung WPA2 ist offenbar geknackt · Deutschlandfunk Nova

Deutschlandfunk Nova – Hielscher oder Haase vom 16.10.2017 (Moderation: Diane Hielscher)

WPA2-Verschlüsselung – Gravierende Sicherheitslücke bei WLAN-Verschlüsselung

Deutschlandfunk – Forschung aktuell vom 16.10.2017 (Moderation: Arndt Reuning)

 

P.S. 17.10.2017 – Mittlerweile trudeln die ersten Patches oder zumindest Patch-Ankündigungen ein 🙂 … Einen Überblick gibt es bei Heise.

Wie praxisrelevant oder tatsächlich gefährlich die ungestopfte Lücke ist, darüber kann man unterschiedlicher Meinung sein. Natürlich – wenn man immer ein VPN benutzt, besteht kein Anlass zur Panik, nur welcher Laie macht das schon? Die BSI-Warnung war schon richtig und genau das, was ich ja auch gesagt habe: Man sollte sich wie in einem offenen WLAN verhalten. Die Mitteilung von AVM in Sachen Fritzbox ist, was die weit verbreiteten Geräte betrifft, eine gute Nachricht. Die im heimischen Wohnzimmer unrealistische Voraussetzung, dass der Angreifer-AP näher am Client sein muss als der legitime Router sieht in Firmen, Cafes oder Bahnhöfen schon wieder viel realistischer aus. Und dass sich der Client “freiwillig” ummelden muss, ist normaler als es klingt, schließlich beginnen ja viele Angriffe damit, die bestehende Verbindung mal eben abzuschießen 🙂