Ich möchte ein "Red Teaming"
Michael Schneider
Wearables liefern eine neue Flut an Daten, die von Angreifern verwendet werden können, um Personen oder Unternehmen Schaden zuzufügen. Mit der Aufzeichnung von biometrischen Daten eröffnen sich neue Angriffshorizonte. Die Angriffe werden persönlicher und gezielter. Nicht mehr die Daten sind das Ziel, sondern der Nutzer.
Google Glass, Nike FuelBand und andere tragbare Technologien – sogenannte Wearables – bieten ihren Benutzern neue Möglichkeiten, den eigenen Körper und ihr Umfeld zu analysieren. Von Pulsmessung über die Einblendung von E-Mails direkt vor dem Auge scheint nichts unmöglich. Und obwohl Google Glass die Gesichtserkennung mit ihrer Datenbrille verboten hat, existieren trotzdem Apps, die genau das tun. Diese Apps werden von Google nicht unterstützt und im Playstore nicht angeboten, können aber trotzdem mit minimalem Aufwand auf dem Gerät installiert werden.
Mit den technologischen Neuerungen und der Expansion mit neuen Features sind auch neue Angriffsvektoren entstanden, die ausgenutzt werden können. Der Schaden kann dabei mitunter beachtlich sein. Nicht nur droht der Verlust von medizinischen Daten über den eigenen Körper, wenn der Pulsmesser kompromittiert wird, sondern auch der Verlust persönlicher Daten, wenn die Datenbrille ein Sicherheitsleck hat.
Denn auch wenn die Geräte selbst gut gegen Eindringlinge gesichert sind, müssen die Daten von den Sensoren oder dem Display auf ein weiteres Anzeigegerät gelangen. Meist dient das Smartphone als Anzeigegerät. Von dort aus werden die Daten meist kabellos auf den Computer übertragen und von dort ins Internet.
Im Folgenden wird ein Threat Assessment aus der Sicht eines Angreifers durchgespielt, inklusive der Analyse der Geräte und dessen Funktionalität. Im Fachjargon nennt sich das _Red Team_-Approach.
Wearables – genau wie jedes andere Gerät – zeichnen Daten auf. Im Falle von Datenbrillen, Fitnesstrackern und anderen Geräten am eigenen Körper zeichnen die bisher auf dem Markt erhältlichen Geräte wesentlich mehr Daten als ein Smartphone auf. Die folgende Tabelle ist dabei ein grober Überblick, basierend auf den bisher erhältlichen Wearables. Dass weitere Daten im Zuge der Weiterentwicklung des Konzepts und der Technologie hinzukommen, ist selbstverständlich.
Kategorie | Daten |
---|---|
Bewegung | Anzahl Schritte Regelmässigkeit der Bewegung |
Ortung | GPS-Daten Geschwindigkeit der Bewegung |
Gesundheit | Schlafprofil Puls Atmungsrate Verbrannte Kalorien Gewicht |
Kommunkation | SMS Nachrichten Social Network Updates Messenger-Nachrichten Anrufe Termine Kontakte |
Aus Sicht eines Angreifers gilt es aber nicht nur zu verstehen, welche Daten zur Beute werden können, sondern auch, wie diese Daten verarbeitet und übertragen werden. Es gilt eine Art Referenzrahmen für die Daten aufzustellen, der folgende Fragen beantwortet:
Durch die Beantwortung dieser Fragen ergeben sich die folgenden theoretischen Modelle, die mit den obigen Vorbehalten zu betrachten sind:
Modell | Speicherort | Datenübertragung | Verarbeitung | Darstellung |
---|---|---|---|---|
1 | Wearable | Keine | Wearable | Wearable |
2 | Smartphone | Von Wearable zu Smartphone | Smartphone | Smartphone |
3 | Remote-Server | Wearable zu Smartphone Smartphone zu Remote Server oder: Wearable zu Remote Server | Remote Server | Smartphone oder Webclient |
Für das erste Modell spricht, dass der Benutzer als einziger auf die Daten zugreifen kann und diese nirgendwohin übermittelt werden. Zudem ist der einzige Weg an die Daten zu kommen der physische Zugriff auf das Gerät. Das grösste Sicherheitsrisiko für den Datenverlust ist der Verlust des Geräts, sei es durch Diebstahl oder Verlieren. Damit Fremde nicht ohne Weiteres auf die Daten zugreifen können, kann eine Verschlüsselung oder ein Authentisierungsmechanismus mit Passwort oder PIN implementiert werden. Die Nachteile dieses Modells liegen auf der Hand: Grosse Speicher auf kleinem Raum sind wesentlich teurer, das Display ist unter Umständen zu klein, um komplexe Datensätze anzuzeigen und das Gerät selbst kann die nötigen Operationen zur Datenverarbeitung unter Umständen gar nicht ausführen.
Im zweiten Modell werden die Daten vom Wearable an ein Smartphone übertragen und auf dem Empfängergerät in einer App gespeichert und verarbeitet. Es werden in diesem Modell aber keine Daten an einen Server gesendet. Genau wie im ersten Modell ist der Verlust der Daten das grösste Sicherheitsrisiko, was auch das Abfangen der Daten im Transfer beinhaltet. Zusätzlich zur Sicherung mit Passwort oder PIN kommt aber die Möglichkeit hinzu, dass ein Benutzer die Daten auf dem Smartphone vom heimischen Computer aus löschen kann. Für den Endbenutzer entstehen im zweiten Modell sicherheitstechnisch mehr Vorteile. Durch das grössere Display des Smartphones und den grösseren Speicher des Geräts können auch komplexe Datensätze angezeigt und verarbeitet werden. Das bietet natürlich eine wesentlich grössere Angriffsfläche als ein limitiertes Wearable.
Das dritte Modell bietet für den User die meisten Vorteile. Die Daten werden an einen Server übertragen und dort gespeichert und verarbeitet. Die Daten sind so vor physischem Verlust geschützt und können auch komplexen Auswertungsmechanismen unterzogen werden. Aber: Der Nutzer gibt damit die Rechte an den Daten in den meisten Fällen ab. Denn die Daten werden auf dem Server eines IT-Dienstleisters abgespeichert, was in den Privacy Statements und den Allgemeinen Geschäftsbedingungen der Hersteller festgehalten wird. Doch wer auf die Daten zugreifen kann und darf ist für den Endanwender unklar.
So weit die klassische Analyse, die auch zu klassischen Angriffen führt. Mit der Aufzeichnung von Pulsfrequenz, Schlafphasen und weiteren Gesundheitsdaten eröffnen sich neue, bisher nicht dagewesene Angriffsszenarien. Sie sind wesentlich gezielter, persönlicher und haben direkten Einfluss auf die Gesundheit der Zielperson.
Daher werden nicht die Daten zum Ziel der Angriffe, sondern die Person, von der die Daten stammen. Die Pulsfrequenz und die Schlafphasenanalyse wird dabei nur Mittel zum Zweck.
Bereits heute werden Pressekonferenzen von Analytikern unter die Lupe genommen: Blickt der Sprecher nach links oben? Wo sind seine Hände? Ist seine Postur eher verkrampft oder steht er locker da? Wie ist seine Stimmlage? Was sagt seine Wortwahl aus? Analytiker weltweit nehmen solche und andere Indikatoren des menschlichen Körpers zum Anlass, weitere Entscheide zu fällen. In Kriminalfällen und in Talk-Shows ist der Lügendetektor ein oft eingesetztes Mittel, um Straftäter zu überführen oder Affären aufzudecken. In der Fernsehserie Lie to Me spielt Tim Roth einen Experten in dieser Art der Analyse, in der er das real existierende Facial Action Coding System auf der Suche nach der Wahrheit einsetzt. Websites, die Kurse für das erfolgreiche Erobern von Frauen anbieten, basieren viele ihrer Techniken auf der physischen Reaktion des Gegenübers. Andere analysieren Reden und Vorträge, sei es aus Leidenschaft oder aus Geschäftsinteresse.
Mit Wearables werden diese Auskünfte noch viel exakter, da eine Flut an neuen, verlässlicheren Daten zur Verfügung steht. Da aber noch keine Präzedenzfälle vorliegen, bleibt aktuell nur das Ausweichen auf theoretische Szenarien:
Die Mitigation dieses Problems in der Businesswelt ist einfach: Executives sollten entweder keine Wearables verwenden oder die entsprechenden Funktionen deaktivieren. Damit dies geschieht und als Policy im Unternehmen verankert wird, muss ein sicherheitskritisches Umdenken stattfinden, das mehr als nur Passwörter und die Sicherheit der Server betrifft.
Auch durch die bewusste Manipulation der Daten, die vom Wearable zum verarbeitenden Gerät, sei das Smartphone oder Computer, fliessen eröffnen sich neue Szenarien. So können Usern Krankheiten vorgegaukelt werden, oder auch die Gesundheit.
Mit den neuen Möglichkeiten muss nicht nur die Defensive umdenken. Auch Angreifer müssen über die Bücher. Denn wer an den Feed einer bestimmten Zielperson will, dem nützt es nichts, sämtliche Einträge einer Datenbank zu erhalten. Denn mit mehreren Tausend Pulsfrequenz-Datenblättern kann ein Angreifer nichts anfangen. Er braucht die Daten einer Zielperson. Die Attacken müssen gezielter und präziser werden. Das bedeutet, dass im Vorfeld der Angriffe Social Engineering noch stärker zum Tragen kommen kann, was wiederum eine andere Art von Sicherheitsdenken auf der Verteidigerseite erfordert:
Kurz: Jede Information über einen Key Player kann und wird im Zweifelsfall gegen ihn oder sie verwendet.
Dennoch können auch klassische Angriffe weiterhin zum Tragen kommen. Die Angriffsfläche ändert sich mit der Einführung von Wearables nur in der Grösse. Neue Angriffe kommen hinzu, Alte fallen aber nicht weg. Um klassische Attacken ausführen zu können muss ein Angreifer zusätzlich zu den oben genannten Daten die Verbindungen und deren Typen kennen. Generell gilt: Funkverbindungen aller Art, darunter WLAN-Verbindungen, Bluetooth und ANT, haben zwei inhärente Schwachstellen.
Im ersten Modell findet keine Datenübertragung statt. Daher gibt es in den Übertragungen keinen Angriffsvektor.
Das zweite und dritte Modell bedienen sich in der Regel einer der folgenden Technologien (siehe auch Teil 2 der Serie)
Gemein haben diese Technologien, dass sie ein Wireless Personal Area Network (WPAN) zwischen dem Wearable und einem anderen Gerät bilden. Dieses zeichnet sich durch die kurze Distanz – sie liegt unter 30 Meter – der Funkausbreitung aus.
Im dritten Modell kommt zum WPAN eine zusätzliche Verbindung hinzu: Das Smartphone verbindet sich mit dem Internet. Dies kann entweder über eine WLAN-Verbindung oder das Mobilfunknetz erfolgen. In diesem Modell reicht das Sichern der Funkübertragung alleine nicht aus, denn die Internetverbindung muss ebenfalls gesichert werden, damit ein Dritter diese nicht einsehen kann. Es stehen dabei folgende Möglichkeiten zur Verfügung:
In beiden Fällen ist die gesamte Kommunikation End-to-End verschlüsselt und findet an keiner Stelle unverschlüsselt statt.
Es gibt, kurz gesagt, drei mögliche Angriffsvektoren. Sie liegen in den folgenden Bereichen:
Das macht unter anderem folgende Angriffe möglich, die sich bereits bewährt haben.
Dass diese Szenarien nicht aus der Luft gegriffen sind, beweisen Security Researcher und Hacker. Denn wenn immer eine neue Technologie auf den Markt kommt, ist die Herausforderung gross, diese aufzubrechen und zu verändern. Technology Consultant Jay Freeman alias Saurik hat es geschafft, Google Glass mit einem Exploit – einer funktionalen Angriffsmethode – für Android 4.0 zu hacken.
Laut seinem Report ist es Freeman gelungen, einen Backup Exploit für Android 4.0.x auf der Brille zu laden. Damit konnte er die Sicherheitsfunktion, die alle persönlichen Daten auf Google Glass löscht sobald Sicherheitsvorkehrungen umgangen werden, austricksen. Mit der Einschleusung von eigenem Code hat der Hacker potentiellen Angreifern Tür und Tor geöffnet, allerlei Malware auf die Geräte zu laden. Das ermöglicht in vielen Fällen die oben genannten Angriffe.
Der Clou: Freeman ersetzt nichts auf der Datenbrille, sondern verändert lediglich die existierende Software. Damit würde er es schaffen, einen Angriff an manch einem User vorbeizuschmuggeln.
In der Folge zeichnet er ein erschreckendes Bild der Angriffsmöglichkeiten seines Exploits:
Das bedeutet, dass wenn Sie Ihre Google Glass jemand anderem überlassen und es über einen unlocked Bootloader verfügt, dann kann ein Angreifer innerhalb einer Minute auf alle auf dem Gerät gespeicherten Daten zugreifen. Trotz der Tatsache, dass die Daten mit einem vierstelligen PIN geschützt sind, der Ihre persönlichen Daten schützt (und diese ab Android 4.0 sogar verschlüsselt), dauert es nicht lange, jeden vierstelligen PIN auszuprobieren (unter Apple iOS dauert das gerade mal zehn Minuten.
Die Researcher von Lookout Security hat zudem bewiesen, dass es möglich ist, die vollständige Kontrolle über das Gerät zu erlangen, indem ein User einen QR-Code einscannt.
Google begegnet dem mit Humor und einer Herausforderung. Googler Stephen Lau postete Folgendes auf seinem Google-Plus-Profil:
Ich will ja keinen traurig machen… aber ernsthaft… wir haben das Gerät [Google Glass] absichtlich unlocked gelassen, damit ihr es hacken könnt und verrückten, spassigen Mist damit anstellen könnt. Ich meine, verdammt nochmal, ihr habt 1500 Dollar dafür bezahlt… tobt euch aus. Zeigt mir etwas wirklich Cooles.
Und genau daran arbeiten Hacker weltweit.
Wir führen gerne für Sie ein Monitoring des Digitalen Untergrunds durch!
Michael Schneider
Marisa Tschopp
Michèle Trebo
Andrea Covello
Unsere Spezialisten kontaktieren Sie gern!