Hacker-Konferenzen Um die Wette Lücken suchen


In Las Vegas fanden zwei Hackerkonferenzen statt, auf denen mehr als 10.000 Besucher sich über die neuesten Sicherheitsprobleme moderner Technik informierten. Von "Cookie-Klau" war die Rede, und es ging um beängstigende Bedrohungen der öffentlichen Infrastruktur.

Mit Attacken auf Internet-Communities, Multimedia-Programme und Software zur Steuerung von Industrieanlagen haben Teilnehmer der Hacker-Konferenzen Black Hat und Defcon die Schwachstellen von Computerprogrammen bloßgelegt. An den beiden Konferenzen in Las Vegas nahmen mehr als 10.000 "Techies" teil.

Die Black-Hat-Konferenz wird von großen Konzernen mit der Absicht unterstützt, die Sicherheit von Software zu verbessern. Bei Registrierungsgebühren von mehreren tausend Dollar kommen auch die Teilnehmer aus dem professionellen Umfeld. Rebellischer ist die Atmosphäre auf der Defcon, die sich selbst als weltgrößte "Underground Hacking Convention" bezeichnet.

"Cookie-Klau"

Das nach wie vor aktuelle "Cross-site Scripting" demonstrierte der 21-jährige Rick Deacon aus Beachwood, Ohio. Er zeigte unter anderem, wie online die "Cookies" eines fremden Nutzers gestohlen werden können, um damit in dessen Account bei der Online-Community MySpace zu gelangen. Deacon sagte auf der Defcon, er habe das Problem vor mehreren Monaten entdeckt und MySpace davon unterrichtet. Bisher sei aber nichts passiert. "Es gibt hunderte weitere Angriffsstellen für das Cross-site Scripting", sagte Deacon. "Es ist kaum möglich, sie alle zu finden."

Auf der Black-Hat-Konferenz demonstrierte der Vorstandschef der Sicherheitsfirma Errata Security, Robert Graham, wie man mit einem von ihm entwickelten Programm über ein öffentliches WLAN die "Cookies" anderer Nutzer stehlen und dann sowohl deren Web-Mail-Accounts als auch die persönlichen Seiten in Online-Communities kapern kann. Während seines Vortrags drang Graham so in den Google-Mail-Account eines anderen Konferenzteilnehmers ein. Er wolle mit seinem Programm die Verwundbarkeit von öffentlichen drahtlosen Netzen demonstrieren, sagte Graham.

Gefährdete Musikplayer

David Thiel von der kalifornischen Firma iSEC Partners zeigte auf der Black Hat, wie man Schwachstellen in Musikabspielprogrammen ausnutzen kann, um einen fremden Computer unter eigene Kontrolle zu bringen. Bei seiner Demonstration setzte er einen Open-Source-Player ein. In populärer kommerzieller Player-Software gebe es aber ebenfalls solche Schwachstellen, sagte Thiel und fügte hinzu: "Dies ist eine neue Front für Hacker." Er stehe mit den Herstellern in Kontakt, damit diese die Sicherheitslücken schließen könnten.

Beängstigende Bedrohungen

Potenziell unabsehbare Folgen könnte die Schwachstelle in einer Software haben, die zur Steuerung von Inudstrie- oder Infrastrukturanlagen eingesetzt wird - darunter Wasserwerke, Stromnetze und Pipelines für Gas und Öl. Die Sicherheitslücke könnte ausgenutzt werden, um die für die Steuerung eingesetzten SCADA-Computersysteme zum Absturz zu bringen. SCADA steht für "Supervisory Control and Data Acquisition". Das Problem liege bei Sensoren dieser Anlagen, die über eine unverschlüsselte Verbindung mit dem Internet verbunden sind, erklärte Ganesh Devarajan von der Firma TippingPoint in Austin, Texas, auf der Defcon. "SCADA-Systems sind furchterregend, weil sie unser Alltagsleben bestimmen", sagte Devarajan. "Und sie verwenden einfache Software - man muss ihnen nur ein paar falsche Requests schicken und schon kann man mit ihnen kommunizieren. Das sind beängstigende Bedrohungen."

Jordan Robertson/AP AP

Mehr zum Thema


Wissenscommunity


Newsticker