Hacker-Konferenzen zeigen Angriffsstellen:
Defcon und Black Hat über Sicherheitslücken
- Hunderte Anfälligkeiten via "Cross-site Scripting"
- Industrie- und Infrastrukturanlagen ebenfalls bedroht
·Hacker stürzen sich auf Privat-Computer
Symantec warnt vor bedrohlicher Trendwende
·Hacker übernehmen Kontrolle über Handys
Spionage-Tools sogar im Internet bereits verfügbar
·Cyber-Kriminalität gedeiht in Österreich
Phishing-Vorfälle seit 2006 stark zugenommen
·Unabhängigkeit jetzt auch für das iPhone
DVD Jon "knackt" die Provider-Beschränkung
Mit Attacken auf Internet-Communities, Multimedia-Programme und Software zur Steuerung von Industrieanlagen haben Teilnehmer der Hacker-Konferenzen Black Hat und Defcon die Schwachstellen von Computerprogrammen bloßgelegt. An den beiden Konferenzen in Las Vegas nahmen mehr als 10.000 "Techies" teil.
Die Black-Hat-Konferenz wird von großen Konzernen mit der Absicht unterstützt, die Sicherheit von Software zu verbessern. Bei Registrierungsgebühren von mehreren tausend Dollar kommen auch die Teilnehmer aus dem professionellen Umfeld. Rebellischer ist die Atmosphäre auf der Defcon, die sich selbst als weltgrößte "Underground Hacking Convention" bezeichnet.
"Hunderte Angriffsstellen"
Das nach wie vor aktuelle "Cross-site Scripting" demonstrierte der 21-jährige Rick Deacon aus Beachwood, Ohio. Er zeigte unter anderem, wie online die "Cookies" eines fremden Nutzers gestohlen werden können, um damit in dessen Account bei der Online-Community MySpace zu gelangen. Deacon sagte auf der Defcon, er habe das Problem vor mehreren Monaten entdeckt und MySpace davon unterrichtet. Bisher sei aber nichts passiert. "Es gibt hunderte weitere Angriffsstellen für das Cross-site Scripting", sagte Deacon. "Es ist kaum möglich, sie alle zu finden."
Offene Netze, offenes Risiko
Auf der Black-Hat-Konferenz demonstrierte der Vorstandschef der Sicherheitsfirma Errata Security, Robert Graham, wie man mit einem von ihm entwickelten Programm über ein öffentliches WLAN die "Cookies" anderer Nutzer stehlen und dann sowohl deren Web-Mail-Accounts als auch die persönlichen Seiten in Online-Communities kapern kann. Während seines Vortrags drang Graham so in den Google-Mail-Account eines anderen Konferenzteilnehmers ein. Er wolle mit seinem Programm die Verwundbarkeit von öffentlichen drahtlosen Netzen demonstrieren, sagte Graham.
"Das sind beängstigende Bedrohungen"
Potenziell unabsehbare Folgen könnte die Schwachstelle in einer Software haben, die zur Steuerung von Inudstrie- oder Infrastrukturanlagen eingesetzt wird - darunter Wasserwerke, Stromnetze und Pipelines für Gas und Öl. Die Sicherheitslücke könnte ausgenutzt werden, um die für die Steuerung eingesetzten SCADA-Computersysteme zum Absturz zu bringen. SCADA steht für "Supervisory Control and Data Acquisition". Das Problem liege bei Sensoren dieser Anlagen, die über eine unverschlüsselte Verbindung mit dem Internet verbunden sind, erklärte Ganesh Devarajan von der Firma TippingPoint in Austin, Texas, auf der Defcon. "SCADA-Systems sind furchterregend, weil sie unser Alltagsleben bestimmen", sagte Devarajan. "Und sie verwenden einfache Software - man muss ihnen nur ein paar falsche Requests schicken und schon kann man mit ihnen kommunizieren. Das sind beängstigende Bedrohungen." (apa/red)
