Channel Security

Letzte Woche sind einige Leute aufgewacht und haben eine sensationelle Entdeckung gemacht: Handys werden von Viren bedroht! Wow! Aber warum sollten Handys (oder auch Smartphones, Blackberrys, PDAs, halt alles, was es da so gibt) nicht von Viren bedroht werden? Bzw. von Würmern, denn einige der bisher entdeckten Schädlinge sind eindeutig Würmer: Sie verbreiten sich aktiv selbst. Je mehr Funktionen in Handys und ähnliche Geräte gesteckt werden, desto lohnendere Ziele werden sie. Seit wann gibt es Computerviren? 1984! Und Würmer? 1988! Und da hat wirklich jemand ernsthaft erwartet, die würden für Handys etc. nicht zur Gefahr werden? Ein Handy ist doch eigentlich ein viel interessanteres Ziel als ein Computer, wenn man mit dem Virus oder Wurm Geld verdienen möchte. Beim Computer kann man die Rechenleistung im Rahmen eines Botnets verkaufen, selbst Spam verschicken, Distributed-Denial-of-Service-Angriffe starten und damit Geld erpressen usw. Und mit einem Handy? Da ruft man einfach eine eigene kostenpflichtige Servicenummer an und kassiert direkt ab. Dass das eher früher als später versucht wird, war ja wohl zu erwarten. Sozusagen "sich selbst verbreitende Mobil-Dialer". Und was haben Handys noch zu bieten? Auf jeden Fall gut zu verkaufende Informationen: Spammer würden sicher einiges für eine Sammlung aller in den z.B. auf der CeBIT herumgetragenen Handys gespeicherten Adressen zahlen. Wo sonst bekommt man eine so große Sammlung von Adressen an IT interessierter Personen? Inklusive vieler 'Geheim'-Telefonnummern, die in keinem Telefonbuch und auf keiner Website stehen?

Das aus meiner Sicht Unangenehme daran ist nicht, dass es die Schädlinge gibt. Damit war schon lange zu rechnen. Aber wie sieht es mit Lösungen aus? Erste Antiviren-Programme gibt es inzwischen, schön. Aber wie stopft man Lücken in Anwendungen oder gar dem Betriebssystem? Zumindest das Betriebssystem wird meist samt Firmware im ROM/EPROM o.Ä. gespeichert, und da kann man nicht mal eben einen Patch einspielen. Vermutlich wird sich das bald ändern. NEIN, nicht das Schreiben ins ROM wird möglich. Das Betriebsystem und die Firmware werden auf die eine oder andere Weise manipulierbar werden. Denn irgendwie muss man eine Möglichkeit zum Patchen schaffen, wenn nicht demnächst eine komplette Handyserie zum Elektroschrott werden soll, nur weil sie eine mit wirtschaftlichem Aufwand nicht zu behebende kritische Schwachstelle enthält. Was dem Absatz derartiger Geräte nicht gerade förderlich sein wird, auch wenn es auf dem ersten Blick vielleicht so aussieht: Toll, zig Tausend Kunden kaufen das neueste Modell! Eher wohl das der Konkurrenz, oder?

Hinzu kommt, dass Dank des Branding-Wahns der verschiedenen Mobilnetzbetreiber die Geräte eines Herstellers nicht zwingend nur einen Patch brauchen, sondern je nach Netzbetreiber verschiedene. Früher wurde dem Vieh ein Brandzeichen aufs Fell gedrückt um den Eigentümer zu kennzeichnen, von Gehirntransplantationen habe ich nichts gehört. Aber das ist den Netzbetreibern ja zu wenig, da muss es gleich eine mehr oder weniger intensive Gehirnwäsche sein. Da vergessen die Handys dann schon mal ein paar Funktionen oder erinnern sich nur an bestimmte Provider o.Ä.. Im Falle einer Schwachstelle macht das deren Beseitigung nicht gerade einfacher. Auch da sind wohl Änderungen nötig.

OK, abgehakt, da werden sich die Hersteller wohl oder übel darum kümmern müssen. Kommen wir zu anderen möglichen Zielen, nicht dass am Ende wieder alle erstaunt aufwachen und feststellen, dass sich die Bösewichte wieder neue Opfer für ihr digitales Ungeziefer gesucht haben. Also, wo könnten sich die virtuelle Krabbelviecher noch ausbreiten? Prinzipiell überall, wo ein Betriebsystem und ein Zugang von außen vorhanden ist. Und wenn man dann überlegt, dass unsere Häuser intelligent werden und alle Geräte eine eigene IPv6-Adresse bekommen sollen, ergibt das doch einige mögliche Zielen.

Wenn ich meiner Phantasie freien Lauf lasse, fällt mir einiges ein, was man da mit Viren oder Würmern anrichten könnte. Mal ein paar Beispiele: Waschmaschinen sind inzwischen oft mit mehr Rechenleistung ausgerüstet als ein Homecomputer in den 80ern. Bisher haben die keine Schnittstellen nach außen, aber das wird sich sicher ändern. Und sei es nur ein RFID-Leser zur Erkennung des richtigen Waschprogramms. Wahrscheinlicher ist aber ein vollwertiger Netzwerkanschluss an das automatisierte Haus, um den Waschvorgang vom zentralen Rechner zu starten oder "Wäsche ist fertig" zurückmelden zu können. So, und jetzt kommt ein Wurm und macht aus dem Schonwaschgang die Kochwäsche. Witzig? Haha. Blöde Idee? Auch nicht blöder als ein Wurm, der einfach nur den befallenen Rechner zu einem bestimmten Termin ausschaltet, Dateien löscht etc. Und davon gibt es ja einige. Und vielleicht ist so ein Kochwasch-Wurm brauchbarer als es auf den ersten Blick aussieht. Was würde wohl der Hersteller der betroffenen Waschmaschinen zahlen, damit der nicht auf seine Maschinen losgelassen wird? Oder im Gegenzug die Konkurrenz beglückt wird? Da ergeben sich für Schutzgelderpresser ganz neue Möglichkeiten.

Die RFID-Industrie fände es toll, wenn demnächst die Kühlschränke ihren Inhalt kontrollieren und selbst nachbestellen, wenn z.B. die Milch zur Neige geht. Und die bösen Buben? Wie wäre es mit einem Wurm, der bei jeder Bestellung irgendeinen virtuellen Pfennigartikel (eigentlich inzwischen wohl "Centartikel") mitbestellt? Der wird nie ausgeliefert, der Betrag dafür aber immer mit auf die Rechnung gesetzt. Viele Cent ergeben in der Summe viele Euro - ohne dass es auffällt, wenn die Kunden nur eine wöchentliche Sammelrechnung bekommen, auf der die paar Cent in der Masse der Bestellungen untergehen.

Oder wie wäre es mit einem Wurm, der quasi im Vorbeifahren in die Alarmanlagen der intelligenten Häuser eingeschleust wird und dann überall zugleich oder auch zeitlich gestaffelt den Alarm auslöst? Während Wachdienste und Polizei die Flut an falschen Alarmen abarbeiten, können sich Einbrecher gezielt die paar Häuser raussuchen, deren Bewohner gerade Urlaub machen und deren Alarmanlagen sich auf Wurmbefehl hin statt loszugehen abgeschaltet haben. Dass da keiner zu Hause ist, hat ihnen der vor einigen Monaten eingeschleuste Virus im intelligenten Kühlschrank verraten: Keine Bestandsänderung seit einigen Tagen. Da nutzt es gar nichts, dass die Hausautomation ein bewohntes Haus vortäuscht und Lampen, Rollläden etc. genauso wie im bewohnten Zustand einsetzt.

Also: Wenn schon intelligente Geräte, dann bitte so intelligent, dass sie auch einem möglichen Angriff widerstehen. Oder so dumm, dass ein Angriff an mangelnder Flexibilität des Opfers scheitert. Auf jeden Fall aber immer dran denken, dass beim Einsatz eines Computers auch dessen Schutz berücksichtigt werden muss!

Carsten Eilers