Forensic Investigations / Fi Blog

Fi Blog

BlackHat Las Vegas 2011 - Embedding Security

BlackHat Las Vegas 2011 - Embedding Security

Jerome "Jay" Radcliffe ist Diabetiker und Hacker. Er trägt eine fest implantierte Insulinpumpe, die per Funk von einem Blutzucker-Messgerät Dosisvorgaben bekommt. Das Messgerät bekommt seine Daten von einem Sensor ("Kontinuierlich messender Glukosesensor "), der ebenfalls im Körper sitzt. Als Hacker interessierte ihn natürlich die Frage, ob es ihm gelingen würde, dieses "menschliche SCADA-System" auszutricksen.

Die richtige Dosierung des Insulins sei durchaus nicht trivial, da der Blutzuckerspiegel einen gewissen Korridor nicht verlassen sollte. Ein zu hoher Blutzuckerspiegel führe zu Kopfschmerzen, verschwommenem Sehen und Schädigung der Nieren. Zu niedriger Blutzuckerspiegel wiederum könne zu Betrunkenheitsgefühl, Ohnmacht, Atem- oder Herzstillstand führen. Eine hohe Insulingabe kann also lebensgefährliche Konsequenzen haben.

Durch Reverse Engineering der Hardware, öffentliche Dokumentation und Patentschriften konnte er die Frequenzen herausfinden, auf denen die Geräte kommunizieren. Mit einer selbst gebauten Arduino-basierten Lösung gelang es ihm, Signale aufzufangen und zu senden. Seine Theorie hat sich voll bestätigt, dass das System in keinster Weise gesichert ist, lediglich eine leicht zu ermittelnde individuelle Gerätenummer muss bekannt sein, um manipulierte Signale abzusetzen.

Im Moment müsse der Patient die Insulindosis noch "manuell" bestätigen. In Zukunft solle die Insulingabe vollkommen automatisch geschehen. Neuere Geräte würden auch teilweise mit Bluetooth arbeiten, was Vor- und Nachteil zugleich seien könne. Bleibt zu hoffen, dass bis dahin auch entsprechende Sicherheit in die Geräte integriert wird.


Was Insidern längst bekannt ist, sickert nun in immer mehr Meldungen auch an die Breite Öffentlichkeit . Geheimdienste, Ermittler und Personalchefs benutzen die sozialen Netzwerke, um Meinungen, Beziehungsgeflechte und Aufenthaltsorte bestimmter Zielpersonen zu verfolgen.

Unter dem Stichwort "Open Source Intelligence" verdienen auch immer mehr Hersteller sehr gut an Auswertungssoftware, die mit einem Mausklick sämtliche offen verfügbaren Informationen aus Personensuchmaschinen, sozialen Netzwerken, Twitter, Newsgroups, IRC-Kanälen und vielen anderen frei verfügbaren Quellen grafisch aufbereitet und entsprechende Verknüpfungen herstellt.

Populäre Software zur Herstellung von Phantombildern kann längst mit der Google Bildersuche oder Facebook kombiniert werden, um Verdächtige aufzufinden, selbst frei verfügbare Handy-Software kann Personen vor der Kamera identifizieren .

Nicht zuletzt ist ja auch über die von Cryptome.org veröffentlichten Dokumente genau bekannt, welche Daten die sozialen Netzwerke verarbeiten, und welche Schnittstellen sie den Ermittlern dafür anbieten. Wenn sich also ein verdächtiger Mafiosi per Facebook-Tracking erwischt wird, ist er wohl wahrscheinlich im sprichwörtlichen Sinn dümmer als die Polizei erlaubt.



Hier finden Sie aktuelle Themen und Hintergründe rund um Sicherheit, Internet und Recht, das Sachverständigenwesen und die Computer-Forensik.

Mon Di Mi Do Fr Sa So
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31