Vor einiger Zeit habe ich ja bereits angekündigt, dass ich über für mich neue Erkenntnisse zum Themenkreis IT-Sicherheit gerne hier berichten werde. Deswegen also hier eine Zusammenfassung der diesjährigen IT-Defense in Hamburg.

RFID ist unsicher. Das ist eine der Kernaussagen von Adam Laurie. Das ganze wäre eigentlich kein so großes Problem, wenn diese Technologie nicht vielerorts als sicher angepreist wird. Die durch RFID mögliche eindeutige Identifizierung gibt es nicht. Vielmehr lassen sich RFID Chips beliebig kopieren – auch der sichere neue Reisepass. So schaut es aus.

Die unzähligen sogenannten „embeded sytems“ (z.B. kleine Router im Homeoffice, PDAs, Navis u.s.w.) sind grundsätzlich mit einer relativ unsicherer Architektur ausgestattet. Beispielsweise lässt sich ein bestimmtes Modell eines SOHO-Router eines bekannten Herstellers sehr einfach von aussen angreifen. Der potentielle Angreifer kann das Betriebssystem dieser Router „übernehmen“ und dann beliebig in den Verkehr zwischen diesem Router und dem Internet eingreifen. Irgendwie doch ziemlich beunruhigend was Barnaby Jack hier dargelegt hat.

Miko Hyppönen, der Chief Research Officer eines führenden Antivensoftwareherstellers erklärte uns, dass der Kampf gegen die kommerziellen Ersteller von Malware praktisch verloren ist. Sehr schön ist hier ersichtlich wo gerade welche Virenepedimien auftreten. Dieses Weblog bietet weitere Infos zum Thema.

Seinem Navi kann man (soferne es über TMC Stauinformationen empfängt) auch nicht mehr trauen. Die über das Radiosignal übermittelten Informationen sind nämlich beliebig manipuliertbar. Ideal um zum Beispiel ein Verkehrschaos auszulösen.

Stephan Schlentrich hat mir klar gemacht, dass es auch außerhalb des Cyberspace zunehmend unsicher wird und dass es Risken gibt die man auf den ersten Blick gar nicht als solche identifiziert. Vor allem kanns einen wirklich selber betreffen. Beispiel gefällig: Wenn man in den USA einen Herzinfarkt bekommt und nicht reiseversichert ist kann dies 1 Million Dollar kosten – die man dann selbst berappen kann. Hat man nur einen Unfall uns muss beispielsweise in der Notaufnahme behandelt werden kostet einen dies rund 24.000,- Dollar.

Dass Apple Macs auch unsicher sind habe ich am Rande auf einem weiteren Vortrag der IT-Defense erfahren. Ryan Russel von Bigfix hat einige Schwachstellen von Mac OS aufgedeckt und dargestellt.

Tobias Klein von Cirosec hat einen aktuellen Statusbericht über den Kampf „gut gegen böse“ im Bereich der Betriebssystemkernel geliefert. Kernelschwachstellen gibts und falls sie einmal professionell von Malwareproduzenten ausgenutzt werden haben wir nichts mehr zu lachen. Manipulierte Kernelinhalte sind nämlich praktisch nicht bemerkbar.

Annie Machon hat einiges über die Inkompetenz und Skrupellosigkeit des britischen Geheimdienstes MI5 berichtet. Annie war bis 1997 beim MI5 und ging danach an die Öffentlichkeit. Heute ist sie Autor und politischer Aktivist und ihr Buch „Spies, Lias and Whistleblowers“ erschien trotz massiver Bemühungen der britischen Regierung, dies zu verhindern.

Dass auch moderne VOIp Telefonanlagen mitunter lächerlich gering gegen Angriffe und Manipulationen geschützt sind wurde von Richard Gowman und Eldon Sprickerhoff dargelegt.

Zusammengefasst also Business as usual auf der IT-Defense.