Bevor die Hacker-Woche von Black Hat und Def Con überhaupt richtig begann, zeigte bereits ein Hacker, wie er mit Magneten im Wert von 13 Euro die Kindersicherung einer smarten Pistolen-Abriegelung außer Kraft setzen konnte. Das Ergebnis? Eine scharfe Pistole. Als nächstes stellten Sicherheitsexperten einen selbstgebauten Roboter vor, der jeden beliebigen Safe knacken konnte. Und dann kam heraus, dass einige der gängigsten Hacker-Werkzeuge selbst unsicher sind. Unter dem Strich blieb überraschend stehen: Hacker achten scheinbar selbst zu wenig auf das Thema Sicherheit.
Die Negativmeldungen hörten einfach nicht auf: Als nächstes zeigten Programmierer auf der Konferenz Black Hat, wie einfach sie Sensoren zur Messung von Radioaktivität missbrauchen konnten. Andere fuhren ganze Windparks mit simplen Lock-Picking-Tools und einem Computerwurm herunter. Dazu kam ein Bug in einem Broadcom-Chip, der in jedem iPhone und vielen Android-Geräten verbaut ist. Durch ihn hätten eine Milliarde Smartphones über WLAN angegriffen werden können.
Zumindest einige Experten hatten auch Produktives zu vermelden: Netflix machte einen DDoS-Angriff gegen sich selbst, um in Zukunft besser auf eventuelle Angriffe vorbereitet zu sein. Google gelang es nach monatelanger Arbeit, die so genannte Cloak-and-Dagger-Schwachstelle in Android O zu schließen. Auf den meisten Android-Geräten läuft jedoch weiterhin eine ältere Version des Betriebssystems. Außerdem stoppte Google eine ausgereifte Schadsoftware der Cyberarms-Gruppe. Und Sicherheitsforscher stellten ein Open-Source-Programm vor, das dabei helfen soll, die bekannte SS7-Schwachstelle in Handys zu beheben. Was noch? Achja, da waren noch diese bösen Blasen! Abseits des Themas Hacking gab es noch zu sehen, wie per Schrotflinte einige unglückliche Drohnen vom Himmel geschossen wurden.
Hier eine Auswahl der interessantesten Vorträge, die eher unter dem Radar blieben.
Chaos in der Autowaschanlage
Hacker haben es geschafft, eine Autowaschanlage in eine Todesfalle zu verwandeln. Die Sicherheitsforscher Billy Rios und Jonathan Butts zeigten, was für fatale Konsequenzen es haben kann, wenn eine Waschanlage mit dem Internet verbunden ist. Erstmal gehackt, lassen sich die Türen eines Fahrzeugs während des automatischen Waschgangs verriegeln, danach schlägt der Roboterarm des Systems einfach immer wieder zu.
Die beiden Experten fanden heraus, dass allein 150 Autowaschanlagen öffentlich im Netz zu finden sind. Deren Standard-Benutzernamen und Passwörter sind meist leicht zu erraten und danach können die Sicherheitsfunktion deaktiviert werden. Die sollen aber eigentlich verhindern, dass die Roboter-Arme das Fahrzeug berühren. Die Forscher testeten ihren Angriff schließlich in einer kleinen Waschanlage. Ohne Fahrzeug, um Schäden zu vermeiden. Als eine Art Beweisvideo drehten sie einen Clip, in dem die gepolsterte Tür der Autowaschanlage wiederholt auf die Motorhaube eines Pickup-Trucks knallt.
Chinesen hacken (wieder) einen Tesla
Im September vergangenen Jahres haben Sicherheitsforscher der Keen Labs-Gruppe des chinesischen Unternehmens Tencent einen beeindruckenden Automobil-Hack hingelegt. Sie konnten in das System eines Tesla Model S eindringen und seine Bremsen deaktivieren.
Tesla reagierte mit einer Reihe von Updates und fügte seinen Fahrzeugen sogar eine neue Sicherheitsmaßnahme hinzu, die als Codesigning bekannt ist. Sie erfordert, dass jeder Code, der auf dem Betriebssystem des Autos installiert wird, mit einem geheimen Schlüssel versehen werden muss, den nur Tesla kennt.
Jetzt, weniger als ein Jahr später, haben die gleichen Hacker wieder zugeschlagen. Diesmal haben sie über das Handynetz einen Weg in das Innere des Tesla X gefunden. Nachdem sie den Codesigning-Schutz überwanden und ihre eigene Software auf dem Fahrzeug installierten, holten sie sich erneut die Kontrolle über die Bremsen. Danach inszenierten sie eine Lichtershow, wie oben im Video zu sehen ist.
Schallattacken gegen Hoverboards
Eine Gruppe Hacker hat den alten Party-Trick modernisiert, bei dem eine Frau in der perfekten Frequenz singt, damit ein Weinglas zerschellt. Mit einem pistolenähnlichen Gadget sendeten sie Schallwellen, die dann Beschleunigungssensoren und Stabilisatoren stören. Dadurch sollen Hoverboards ins Taumeln geraten, Drohnen abstürzen und das Bild von VR-Brillen verwackeln.
Die Mitarbeiter der chinesischen E-Commerce-Firma Alibaba führten ihren Angriff jedoch weniger dramatisch vor. Sie testeten ihn an einer nichtfliegenden Drohne, deren Rotoren zur Sicherheit entfernt wurden. Beim Hoverboard installierten sie ihre Hardwear sogar direkt in die Hülle des Gadgets. Ihre Demonstration beweise, dass der Angriff funktioniert und mit größeren, teureren Schallwellen-Pistolen noch mächtiger werden könnte, behaupteten die Hacker.
FBI vs. illegale Bot-Netzwerke
Am Mittwoch präsentierte Tom Grasso, Chef der FBI Cyber Division Unit, auf der Black Hat, wie seine Behörde Avalanche zerschlagen hat. Vier Jahre kostete es, die kriminelle Infrastruktur hinter dem Netzwerk zu zerstören. Avalanche wurde als Botnetz eingesetzt, außerdem wurde mit ihm Malware vertrieben, Phishing-Angriffe gestartet und Geld gewaschen. Die Initiative des FBI schaffte es laut Grasso, mehr als 800.000 kriminelle Domains offline zu nehmen. Als die Avalanche-Chefs schließlich einen ihrer Server im Januar 2016 von Moldawien in die USA verlegten, holte sich das FBI mit einem Durchsuchungsbefehl die E-Mail-Adressen der Administratoren und eine Liste von mehr als 200 Kunden.
Grasso betonte, wie wichtig die internationale Zusammenarbeit in dem Fall gewesen sei. Neben den Strafverfolgungsbehörden unterstützte die Privatwirtschaft das FBI mit technischer Hilfe. Bei Avalanche waren das unter anderem die Shadowserver Foundation und die Fraunhofer-Gesellschaft. „Wenn Sie da draußen eine Bedrohung beseitigen wollen, aber nicht sicher sind, dass das legal ist“, sagte Grasso zu den anwesenden Experten. „Dann können wir es legal machen. Wir nehmen Ihren Plan und geben ihm eine rechtliche Grundlage.“
