Auf der 7. Sicherheitskonferenz in Stralsund drehte sich wieder vieles um das Thema Datenschutz und die Möglichkeiten, Daten auf verschiedensten Systemen abzusichern. Auch die Sensibilisierung der Anwender spielte eine große Rolle.

Ein wichtiger Punkt auf der Tagesordnung war eine Einführung in die Datenschutzgrundverordnung (DSVGO) – auch im Umfeld der Amazon Cloud.

Eine Übersicht über diverse Sicherheitslücken seit der letzten Konferenz, wie zum Beispiel Cloak and Dagger und Spectre, hat natürlich auch nicht gefehlt.

Ich habe eine Vortragsreihe am Nachmittag des zweiten Tages besucht. Der erste Vortrag zeigte die Möglichkeiten von Ultrasound zur Authentifizierung auf: Ultrasound sind Schallwellen, die über der für den Menschen wahrnehmbaren Frequenz von 17 bis 20 kHz liegen. Bei dieser Methode werden Frequenzen bis 22 kHz benutzt. Verschiedenste Geräte könnten miteinander kommunizieren, wenn man sich in kurzer Distanz zu ihnen befindet.

Momentan sind die gängigen Methoden zur Authentifizierung die Verwendung von Passwörtern, Key Cards und Finger Prints. Der große Vorteil von Ultrasound ist, dass man keine zusätzliche Hardware benötigt, denn Smartphones haben bereits alles Notwendige an Bord – Mikrofon und Lautsprecher. Diese Technik könnte auf eine Vielzahl von Szenarien angewandt werden. Der Nutzer kann dabei sogar anonym bleiben. Ein Nachteil der Technik ist, dass nur wenige hundert Byte pro Sekunde übertragen werden können.

Im nächsten Programmpunkt ging es um das Thema Drohnen-Hacking. Drohnen werden immer leistungsfähiger, günstiger und somit auch beliebter. Damit sie möglichst günstig verkauft werden können und schnell am Markt sind, wird der Faktor Sicherheit oft vernachlässigt, die Kommunikation zwischen Sender und Drohne ist meist nicht ausreichend abgesichert. Dies ermöglicht eine Übernahme der Drohne durch Dritte.

Wenn Angreifer dies ausnutzen, ist man seine Drohne los und auch die hundert bis mehrere tausend Euro, die man dafür ausgegeben hat. Noch schlimmer wird es allerdings, wenn gekaperte Drohnen für Angriffe benutzt werden. Die übernommenen Drohnen könnten beispielsweise in Objekte oder Menschen gesteuert werden, um diese zu schädigen.

Ein Angreifer hat vielfältige Möglichkeiten, eine Drohne zu hacken. Er kann die Sensoren blockieren oder mit falschen Informationen versorgen. So wäre es zum Beispiel möglich, die Kommunikation zu stören und der Drohne falsche GPS- Daten zukommen zu lassen. Viele Drohnen fliegen zu bestimmten Koordinaten zurück, wenn sie keine Verbindung mehr zum Sender haben.

Weitere Angriffsszenarien sind der physikalische Zugriff durch Netze oder Adler, Reverse Engineering, Verbinden mit dem System über FTP/Telnet oder der Angriff auf das Kommunikationsprotokoll.

Am Ende des Vortrags wurde eine Drohne übernommen, indem der Datentransfer zwischen Drohne und Sender analysiert wurde. Nach nur 11 Sekunden war die Drohne gehackt und nicht mehr mit der Original-Fernbedienung ansprechbar. Der Hacker hatte mit seiner „Hacker-Fernbedienung“ volle Kontrolle über die Drohne.

Der letzte Vortag verdeutlichte beispielhaft, wie die bekannte Spectre-Sicherheitslücke funktioniert und wie dadurch sensible Daten ausgelesen werden können. Spectre wurde im Januar 2018 entdeckt und veröffentlicht, sorgt aber durch neue Variationen immer noch für Schlagzeilen. 

Fazit

Die Veranstaltung war sehr informativ und zeigte wieder, wie schnell vermeintlich sichere Dinge unsicher gemacht werden können. Ich freue mich schon auf die nächste IT-Sicherheitskonferenz, die vom 24. bis 26. September 2019 stattfinden wird.