"Wir können nur dann Angriffe abwehren, wenn wir eine Idee davon haben, wie sie aussehen"

Preise im Warenkorb manipuliert und Paywall umgangen

Web-Applikationen seien ein prädestiniertes Einfallstor für Angriffe, so der Referent. Der schlecht programmierte Webshop eines Schweizer Pizzaservices musste als Beispiel für einen eher leichten Angriff herhalten: Schreiber zeigte, wie einfach man die Preisangabe im Warenkorb des Anbieters manipulieren konnte.

Bei einem weiteren Angriffsszenario demonstrierte der Referent die Umgehung der Paywall (Bezahlschranke) auf der Webseite einer großen deutschen Tageszeitung mittels eines programmierten Browser-Plugins. Schreiber hatte nämlich festgestellt, dass sämtliche registrierte User bei ihrem Anmeldevorgang das gleiche Token, also eine Freischalt-Routine, die den vollständigen Text auf der Webseite freigibt, vom Server erhalten.

USB-Stick einfach entschlüsselt

Auch einen USB-Stick – einmal mit einer Zahlenkombination, einmal mit einem Fingerabdruck geschützt - entschlüssele Schreiber vor den Augen der Zuschauer – und zwar mithilfe einer Crack-Software.

Alarmanlage „geknackt“

Eine ältere, einfache Funk-Alarmanlage knackte Schreiber mittels einer Replay-Attacke. Der Live-Hacker merkte aber an, dass derlei Alarmanlagen inzwischen von den Versicherungen verboten sind. Doch auch die Alarmanlagen mit so genanntem Rolling-Key-Verfahren (interner Schlüsselcode wird nur einmal verwendet und jeweils durch einen neuen ersetzt), sind zu knacken, zeigte Schreiber. Denn: Die neuen Schlüssel würden numerisch einfach nur hochgezählt (nach „secret003“ folgt beispielsweise „secret004“ usw.): „Das macht es für Angreifer leicht, mit gleicher Funkarmbanduhr, aber veränderter Software, auch diese Alarmanlage zu knacken.“

Fazit: Vor der Anschaffung von IT-Hardware oder -Software sollte jeder prüfen, was man sich da ins Haus hole. Sebastian Hoffmanns: „Man liegt hier im Bereich der Eigenverantwortung.“                                                                 Christian Lademann