36C3 Tag 2 – Highlights vom 36. Chaos Communication Congress

Tag Nummer 2 auf dem Chaos Communication Congress (36C3) macht dort weiter, wo es am Vortag aufgehört hat. Für Schlaf bleibt nur bedingt Zeit; und so schleppen sich viele Besucher schon für Hacker ungewöhnlich frühe Zeiten aus dem Bett. Dennoch wird auf dem Congress viel Wert auf die 6-2-1-Regel gelegt – mindestens 6 Stunden Schlaf, 2 Mahlzeiten und einmal duschen pro Tag. Und so mache auch ich mich schon frühzeitig und voller Motivation Richtung Leipziger Messegelände auf.

Lies Tag 1: https://basto.digital/posts/events/36c3-tag-1/

Die etwas anderen Funklöcher

In ihrem Talk „All wireless communication stacks are equally broken“ klärt Jiska Classen (Forschungsgruppe für sichere mobile Netze, TU Darmstadt (SEEMOO)) über den löchrigen Zustand der drahtlosen Kommunikation auf. Wi-Fi und Bluetooth teilen sich noch deutlich mehr, als nur die Sendefrequenz von 2,4 GHz. Damit verschiedene Komponenten gleichzeitig auf dem 2,4 GHz Band senden können, müssen sich die beteiligten Wi-Fi- und Bluetooth-Schnittstellen gegenseitig absprechen, da gleichzeitiges Senden nicht möglich ist. Dies kann nur funktionieren, wenn sich die Chips über die Ressourcenverteilung einig sind und gegenseitig vertrauen können. Den Sicherheitsforschern gelang es, den jeweils anderen Chip auf dem Smartphone zu kontrollieren und dadurch den gesamten Service und teilweise sogar das Betriebssystem zum Absturz zu bringen. Durch die Ausnutzung einer weiteren Schwachstelle im Broadcom-Chip war es sogar möglich, Code aus der Ferne auszuführen. Dadurch lassen sich beispielsweise die Bluetooth-Pairing-Keys auslesen, was in Kombination mit Smart-Lock-Freigaben zur Kompromittierung des gesamten Geräts führen kann.

Fischen in fremden Daten

Der Sprecher des Chaos Computer Clubs Linus Neumann und sein CCC-Kollege Thorsten Schröder konnten in einer Reihe von Analysen nachweisen, dass der in der Türkei eingesetzte Staatstrojaner seinen Ursprung in Deutschland hat. Genauer gesagt stammt die Software mit hoher Wahrscheinlichkeit aus der Feder des bereits mehrfach in der Kritik stehenden Unternehmens Finfisher. Neumann und Schröder haben sich in ihrer Forschung insgesamt 28 Varianten der Überwachungs-Applikation Finspy für Android-Geräte näher angesehen. Als Grundlage für die Zuordnung der untersuchten Samples diente ein umfangreicher Datenleak nach einem erfolgreichen Hackerangriff auf Finfisher aus dem Jahr 2014.

Seitdem hat der Staatstrojaner-Hersteller seine Techniken zur Verschleierung der Herkunft zwar verbessert. Den beiden Forschern gelang es jedoch anhand übereinstimmender Metriken und Konfigurationsdateien eine Verbindung zwischen Finfisher und den Anwendungen herzustellen. Da die Auslieferung von Überwachungssoftware in Länder außerhalb der EU eine Genehmigung benötigt, wird nun ein Gericht klären müssen, in welchem Ausmaß Finfisher den Staatstrojaner Finspy illegal an die Türkei verkauft hat. Entsprechende Strafanträge wurden dafür vom CCC bereits vor dem 36C3 eingereicht.

Hacking == illegal?

Rechtsanwalt Ulrich Kerner klärte in seinem Vortrag „Hackerparagraph § 202c StGB // Reality Check“ mit den gesetzlichen Finessen beim Hacken auf. Paragraf § 202c des Strafgesetzbuches hat schon bei seiner Einführung im Jahr 2007 für viel Unmut, besonders auch beim CCC, gesorgt. Entscheidend in der Gesetzeslage ist, dass bereits eine Vorbereitungshandlung unter Strafe steht. Ausgenommen davon sind jedoch Dual-Use-Tools, also Software, die auch außerhalb bösartiger Hackerangriffe ein valides Einsatzgebiet haben. Port-Scanner wie Nmap oder Remote Access Tools (RAT) werden auch von Administratoren zur Analyse der eigenen Infrastruktur verwendet, was den Besitz grundsätzlich gesetzlich nicht einschränkt. Wer die aktuelle Gesetzeslage beim Hacken genauer verstehen will, kann dazu meinen ausführlichen Beitrag hier ansehen.