Die eigentliche Bombe ließ der Sicherheitsexperte Dillon Beresford am Mittwoch platzen: Er zeigte, wie leicht es ist, speicherprogrammierbare Steuerungen zu hacken und Ampelschaltungen, Zentrifugen, die Druckverhältnisse in Pipelines oder die Treibstoffmenge in Generatoren zu manipulieren.
Die Entwickler von Stuxnet haben sich große Mühe gemacht, um die Drehzahlen der Zentrifugen zur Urananreicherung im iranischen Natanz zu ändern. Doch: Das muss gar nicht sein, will man eine Industriesteuerungsanlage hacken und damit beispielsweise einen Generator zur Explosion bringen. Oder eine Pipeline leer pumpen. Oder den Kühlkreislauf eines Kraftwerks unterbrechen.
In solchen Fällen reicht es völlig aus, die in den gängigen Steuerungen fest eingebrannten Benutzernamen und Passwörter zu wissen. Dann nämlich kann man sich bequem mit einem Programm zur Rechnerfernsteuerung per Internet auf den Steuerungsrechner einloggen und – im dramatischsten Fall - den Befehl zur Zerstörung einer ganzen Fabrik zu geben.
Um immer die gleichen Passwörter geht es auch bei der Sicherheitslücke, die Charlie Miller auf der Blackhat-Konferenz vorgestellt hat. Bei Notebooks von Apple ist nämlich der Zugriff auf die Steuerungssoftware für die Akkus mit zwei Standard-Passwörtern gesichert.
Charlie Miller zeigte, wie leicht es ist, mit dieser Methode den Mikrocontroller der Akkus neu zu programmieren. Dabei kann Schadsoftware einprogrammiert werden, die vom Akku-Betriebssystem aus in das Notebook-Betriebssystem wandern kann. Allerdings hat Charlie Miller keine Sicherheitslücke in der Software zur Kontrolle der Akku-Ladewerte gezeigt. Das aber wäre eine Voraussetzung dafür, dass Schadsoftware vom Akku-Mikrocontroller auf das Notebook-Betriebssysteme überspielt werden könnte.
Eine weitere Sicherheitslücke betrifft die Gesichtserkennung. Große Aufmerksamkeit war deshalb den Präsentatoren der Veranstaltung über Gesichtserkennung am Dienstag sicher. Sie zeigten, wie leicht sich mit einem Smartphone, einer gezielten Suche nach Bildern von Mitarbeitern mit Sicherheitseinstufung in sozialen Netzwerken und entsprechender Mustererkennung die Türen zu Hochsicherheitsbereichen von Unberechtigten öffnen lassen.
Überhaupt wiesen mehrere Vortragende auf der Blackhat-Konferenz darauf hin, dass die weite Verbreitung von Gesichtserkennungssoftware und von Smartphones, mit denen Gesichter überall sehr leicht zu fotografieren sind, eine ernste Gefahr darstellt. Wer mit der U-Bahn fährt, samstags ins Stadion geht, an einem beliebigen Wochentag in der Fußgängerzone einkaufen geht, wird völlig transparent. Die Verkäuferin kann via Gesichtserkennung nicht nur den Namen des Kunden herausbekommen, sondern über sein Persönlichkeitsprofil auch sein Haushaltsnettoeinkommen ermitteln. Solche Informationen wurden in einigen Fällen auch schon für Erpressungen genutzt.
Zum Beispiel die Cyberkrieger verschiedener Staaten haben so schon nachweislich versucht, sich Zugang zu hochsensiblen Computersystemen zu verschaffen. Und klar wurde auf der Blackhat-Konferenz auch, dass ein Cyberkrieg dann gute Erfolgschancen für den Angreifer bietet, wenn Industriesteuerungen und ähnliche kritische Infrastrukturen nicht ausreichend geschützt wird. Seit dem Jahr 2009 besucht deshalb Richard Clarke die Blackhat-Konferenz. Clarke war als Berater für Computersicherheit für vier amerikanische Präsidenten tätig. Bill Clinton machte ihn gar zum Koordinator für die nationale Sicherheit. Heute ist Clarke Chef der Sicherheitsberatung Good Harbour Consulting, hat kürzlich ein Buch über den Cyberkieg geschrieben, und will als Unterstützer von Präsident Barack Obama ethische Hacker als Unterstützer im Cyberkrieg gewinnen. Richard Clarke begründet das so
""Jede Lokomotive in den Vereinigten Staaten lädt zweimal am Tag Software für ihren Windows-Rechner herunter.. Flugzeuge, Pipelines, das Stromverteilungsnetz – alles wird von Computern kontrolliert. Und sie alle sind miteinander verbunden und werden deshalb über Computernetzwerke gesteuert. Und wenn mit diesen Computernetzwerken etwas nicht stimmt, bei den Banken, in den Stromverteilungszentralen, bei den Pipelines und bei den Zügen – wo ist dann das Backup-System? Es gibt kein Backup-System! Unsere Industrien, wir alle, wenn wir das Licht einschalten, den Wasserhahn aufdrehen oder Geld am Geldautomaten abheben, wir sind abhängig von Computernetzwerken."
Die Entwickler von Stuxnet haben sich große Mühe gemacht, um die Drehzahlen der Zentrifugen zur Urananreicherung im iranischen Natanz zu ändern. Doch: Das muss gar nicht sein, will man eine Industriesteuerungsanlage hacken und damit beispielsweise einen Generator zur Explosion bringen. Oder eine Pipeline leer pumpen. Oder den Kühlkreislauf eines Kraftwerks unterbrechen.
In solchen Fällen reicht es völlig aus, die in den gängigen Steuerungen fest eingebrannten Benutzernamen und Passwörter zu wissen. Dann nämlich kann man sich bequem mit einem Programm zur Rechnerfernsteuerung per Internet auf den Steuerungsrechner einloggen und – im dramatischsten Fall - den Befehl zur Zerstörung einer ganzen Fabrik zu geben.
Um immer die gleichen Passwörter geht es auch bei der Sicherheitslücke, die Charlie Miller auf der Blackhat-Konferenz vorgestellt hat. Bei Notebooks von Apple ist nämlich der Zugriff auf die Steuerungssoftware für die Akkus mit zwei Standard-Passwörtern gesichert.
Charlie Miller zeigte, wie leicht es ist, mit dieser Methode den Mikrocontroller der Akkus neu zu programmieren. Dabei kann Schadsoftware einprogrammiert werden, die vom Akku-Betriebssystem aus in das Notebook-Betriebssystem wandern kann. Allerdings hat Charlie Miller keine Sicherheitslücke in der Software zur Kontrolle der Akku-Ladewerte gezeigt. Das aber wäre eine Voraussetzung dafür, dass Schadsoftware vom Akku-Mikrocontroller auf das Notebook-Betriebssysteme überspielt werden könnte.
Eine weitere Sicherheitslücke betrifft die Gesichtserkennung. Große Aufmerksamkeit war deshalb den Präsentatoren der Veranstaltung über Gesichtserkennung am Dienstag sicher. Sie zeigten, wie leicht sich mit einem Smartphone, einer gezielten Suche nach Bildern von Mitarbeitern mit Sicherheitseinstufung in sozialen Netzwerken und entsprechender Mustererkennung die Türen zu Hochsicherheitsbereichen von Unberechtigten öffnen lassen.
Überhaupt wiesen mehrere Vortragende auf der Blackhat-Konferenz darauf hin, dass die weite Verbreitung von Gesichtserkennungssoftware und von Smartphones, mit denen Gesichter überall sehr leicht zu fotografieren sind, eine ernste Gefahr darstellt. Wer mit der U-Bahn fährt, samstags ins Stadion geht, an einem beliebigen Wochentag in der Fußgängerzone einkaufen geht, wird völlig transparent. Die Verkäuferin kann via Gesichtserkennung nicht nur den Namen des Kunden herausbekommen, sondern über sein Persönlichkeitsprofil auch sein Haushaltsnettoeinkommen ermitteln. Solche Informationen wurden in einigen Fällen auch schon für Erpressungen genutzt.
Zum Beispiel die Cyberkrieger verschiedener Staaten haben so schon nachweislich versucht, sich Zugang zu hochsensiblen Computersystemen zu verschaffen. Und klar wurde auf der Blackhat-Konferenz auch, dass ein Cyberkrieg dann gute Erfolgschancen für den Angreifer bietet, wenn Industriesteuerungen und ähnliche kritische Infrastrukturen nicht ausreichend geschützt wird. Seit dem Jahr 2009 besucht deshalb Richard Clarke die Blackhat-Konferenz. Clarke war als Berater für Computersicherheit für vier amerikanische Präsidenten tätig. Bill Clinton machte ihn gar zum Koordinator für die nationale Sicherheit. Heute ist Clarke Chef der Sicherheitsberatung Good Harbour Consulting, hat kürzlich ein Buch über den Cyberkieg geschrieben, und will als Unterstützer von Präsident Barack Obama ethische Hacker als Unterstützer im Cyberkrieg gewinnen. Richard Clarke begründet das so
""Jede Lokomotive in den Vereinigten Staaten lädt zweimal am Tag Software für ihren Windows-Rechner herunter.. Flugzeuge, Pipelines, das Stromverteilungsnetz – alles wird von Computern kontrolliert. Und sie alle sind miteinander verbunden und werden deshalb über Computernetzwerke gesteuert. Und wenn mit diesen Computernetzwerken etwas nicht stimmt, bei den Banken, in den Stromverteilungszentralen, bei den Pipelines und bei den Zügen – wo ist dann das Backup-System? Es gibt kein Backup-System! Unsere Industrien, wir alle, wenn wir das Licht einschalten, den Wasserhahn aufdrehen oder Geld am Geldautomaten abheben, wir sind abhängig von Computernetzwerken."