|
31. Dezember 2008
Tobias Schrödel Show-Hacking und Aufklärung mit Chipsdosen (Interview)Als gelernter Fachinformatiker und Softwareentwickler bei einem international operierenden Dienstleister für Informations- und Kommunikationstechnologie hat Tobias Schrödel einen tiefen Einblick in die Unebenheiten und Tricks der schwarzen Schafe unter den Hackern gewinnen können. In seinen Seminaren führt er eine Art moderne Hacking-Show vor, in dessen Verlauf in schneller Abfolge bis zu 15 Live-Hacks durchgeführt werden. Anfangs mag dies den Gästen aus allen Schichten des Managements unterhaltsam erscheinen. Später aber bleibt den Besuchern seines Vortrags das Lachen im Halse stecken. So liest er per Bluetooth die Daten der Telefonbücher aus den Handys der Zuschauer aus, schaltet auf mehreren Metern Entfernung remote ihr Headset an, um dieses anschließend als Wanze zu missbrauchen. Auch führt er vor den Augen der Zuschauer Brute Force Angriffe auf passwortgeschützte Dateien durch, verändert Formeln geschützter Excel-Dateien oder bastelt eine WLAN-fähige Antenne aus einer simplen Chipsdose. Für seine Experimente benötigt er keine unbezahlbare Spezialausrüstung. Ein einfacher Laptop und das nötige Fachwissen reichen dafür völlig aus. Wir haben den aufklärenden Show-Hacker kurz entschlossen zum Interview gebeten. Vielleicht mag das Konzept seiner Seminare auf den ersten Blick etwas befremdlich wirken. Tobias Schrödel betreibt sein Live-Hacking quasi als Unterhaltungsshow, als Entertainment für die Entscheidungsträger in den Unternehmen. Was aber soll das, mag sich mancher Informatiker fragen. Sollte man mit einer Hacking-Show bewusst die Aufmerksamkeit der Öffentlichkeit auf sich ziehen und damit Geld verdienen? Schrödel meint, wenn es das Bewusstsein der Menschen ändern kann, sollte man! Denn er beweist eindrucksvoll, wie simpel es ist, fremde Daten auszuspähen. Hat man seine Vorführung gesehen, wird man sich nie wieder sicher fühlen. Selbst die normalen Vorsichtsmaßnahmen reichen oft nicht aus, um nachhaltig für die eigene Privatsphäre und Sicherheit zu sorgen. Zufall? Nein, das ist durchaus so von ihm gewollt.
Bild oben: Tobias Schrödel verwandelt sich vom seriösen Seminarleiter mit Anzug und Krawatte zum nerdigen Hacker. gulli.com: Hallo Herr Schrödel, vielleicht würden Sie sich unseren Lesern zu Beginn des Interviews einfach mal vorstellen. Tobias Schrödel: Gerne, ich bin 37 Jahre alt, gelernter Fachinformatiker, Ausbilder, Prüfer bei der IHK München und arbeite als Projektleiter und Entwickler in Software Projekten. Mein Hobby ist die Kryptographie. Schon als Kind habe ich mich mit historischen Geheimschriften auseinander gesetzt, später kam die Informatik dazu und so kommt man zwangsläufig zum "Hacken". Ich sammle alte Bücher über Geheimschriften und Kryptografie und schreibe darüber auch hin und wieder Artikel. Ansonsten tauche und segle ich sehr gerne. gulli.com: Wie ist es eigentlich dazu gekommen, dass Sie Seminare zum Thema IT-Sicherheit & Hacking halten? Tobias Schrödel: Angefangen hat alles, als wir eine Veranstaltung "Innovationen zum Anfassen" hatten. Da wurden z.B. Backöfen vorgestellt, die man per Internet steuern konnte etc. Zwischen den eigentlich Vorträgen gab es immer eine 5 Minuten "Umbauphase" (Backofen runter - Kühlschrank rauf) und wir wollten die Gäste nicht immer raus schicken. Aber immer fünf Minuten warten lassen war auch schwierig. Ich habe daher angeboten, als "Side-Kick" an einem Tisch zu sitzen und zwischendurch den ein oder anderen Hack zu demonstrieren. Dass dabei auf der Bühne Unruhe war, störte mich nicht. Am Ende beurteilten die Zuschauer die Hacks spannender als die anderen Themen, obwohl ich auf der Agenda gar nicht drauf war. So kam die Idee, daraus einen längeren Vortrag zu machen. Mittlerweile ist der Vortrag recht gefragt. Ich muss oft bremsen, weil ich sonst meine Arbeit nicht mehr machen könnte. Was ich freiberuflich unterbringen kann ohne dass es meine Arbeit beeinträchtigt, reicht für einen schönen Urlaub zum Tauchen und so verbinden sich zwei Dinge nun geradezu perfekt.
Tobias Schrödel: Nein, ich bin kein Mitglied beim CCC. Wahrscheinlich fehlt mir auch das letzte Quentchen technischer Tiefe. Außerdem bin ich kein "Club"-Mensch und habe ja schließlich noch einen Job als Software-Entwickler und Projektleiter, der viel Zeit verlangt und den ich auch sehr gerne mache. Allerdings tausche ich mich mit Bekannten und Kollegen aus, die - auf ihre, andere Art - das Thema Security an den Mann und die Frau bringen. Dabei wird schon mal das ein oder andere Thema diskutiert und jeder verpackt es halt anders. Manchmal erzählt mir auch ein früherer Zuschauer etwas oder schickt eine Mail mit dem Hinweis - "das wäre doch was für Sie". Dabei kommt auch oft was raus und ich baue das dann ein. gulli.com: Nun hat der CCC höchst wenig mit der in Deutschland sonst üblichen Vereinsmeierei am Hut. Wie auch immer: Steht bei Ihren Seminaren die Aufklärung oder eher das Entertainment im Vordergrund? Tobias Schrödel: Eine schwierige Frage. Ziel ist die Aufklärung, ganz klar. Das Mittel dazu ist das Entertainment und das macht den Vortrag wohl auch so sehenswert. Er ist halt anders als andere Vorträge. Alleine, dass sich der Referent das Hemd aufreißt habe ich noch nicht gesehen. Das funktioniert, weil "Hacken" eine gewisse Grauzone in den Köpfen der Menschen darstellt. Es ist ein wenig verrucht, illegal, spannend. Das Thema gibt das also her. Bei einem Vortrag über ein neues Tisch-Telefon wäre das wohl deutlich schwieriger. gulli.com: Andererseits können Hacker aber auch durchaus sehr seriös sein und auch so aussehen. Wie reagieren die Manager denn, wenn Sie denen vorführen, wie unsicher ihre Technik tatsächlich ist? Können Sie diese zum Umdenken bewegen? Haben Sie erfahren, was sich bei ihren Seminarteilnehmern zum eigenen Schutz im Nachhinein verändert hat? Tobias Schrödel: Es gibt solche und solche. Den einen öffne ich die Augen für etwas, was sie nur abstrakt kennen, die anderen haben schon ein gutes Gespür für die Lage der Dinge. Einmal wurde ich z.B. von einem System-Administrator eingeladen, da sein Chef ihm jährlich das IT Budget kürzte. Anschließend wurde es drastisch erhöht. Das war ein kleiner Mittelständler und das Kerngeschäft war ein ganz anderes (Abwasser). Der Manager hatte ganz andere Themen auf seiner Liste und die machte er sicherlich gut. IT Security war nicht so recht in seinem Fokus.
Newsletter und Infoveranstaltungen sind eine gute Möglichkeit. Der ein oder andere erkennt aber in meinem Vortrag die Möglichkeit die Menschen sensibel zu machen um dann - anschließend - eigene Werkzeuge wie Flyer, Mailings oder Poster ganz anders und stärker zu platzieren. Manchmal treffe ich auch Leute, die mir sagen, dass sie meinen Vortrag vor einem Jahr gehört haben und jedesmal wenn sie im Supermarkt die Chipsdose sehen (aus denen ich eine WLAN Richtfunkantenne im Vortrag baue), daran denken, mal wieder ihr Passwort zu ändern. Da merke ich immer, dass der Vortrag etwas gebracht hat. Es geht nicht darum Technik zu vermitteln, sondern zum eigenen Nachdenken anzuregen. Handeln müssen die Leute selber. Ich bringe ihnen die tatsächliche Gefahr nur real näher. gulli.com: Können Sie uns Beispiele für Sicherheitslücken nennen, die Sie im Verlauf Ihrer Veranstaltungen vorführen? Tobias Schrödel: Meine Hacks müssen alle einen großen optischen Faktor haben. Die Zuschauer - auch technische Laien - müssen merken, dass das was sie demonstriert bekommen, gar nicht sein darf. Es gibt sehr viele technisch viel anspruchsvollere Hacks. Da geht eine Shell mit Root Rechten auf und das ganze ist technisch exzellent gemacht, aber das taugt bei mir nichts, denn da "geht halt bloß ein Fenster auf". Viele meiner Zuschauer würden den Hintergrund nicht verstehen. Die Hacks sind auch fast alle nicht von mir entwickelt und technisch meist auch gar nicht anspruchsvoll. Ich bereite sie nur gut vor, und verpacke sie anders. Im Vortrag demonstriere ich dann bis zu 15 Hacks in schneller Reihenfolge. Nichts ist fake, aber vorbereitet.
Was ich mache sind passwortgeschützte Excel Sheets manipulieren, geschützte Word Formulare verändern, per Bluetooth Telefonbücher aus Handys auslesen, Bluetooth Headsets remote anschalten und als Wanze gebrauchen, Metadaten in Office und PDF Dokumenten sichtbar machen, Brute Force Angriff auf PW geschützte Dateien, aus einer Pringles-Chips-Dose eine WLAN fähige Antenne bauen, Preise in Online Shops verändern, gespeicherte Browser-Passwörter sichtbar und noch ein bisschen mehr ;-) gulli.com: Die Industrie will uns heute und morgen Technik verkaufen, die uns zu einem bezahlbaren Preis möglichst viel Komfort bietet. Warum wird bei der Entwicklung von Hardware oftmals so wenig auf Sicherheitsaspekte geachtet? Tobias Schrödel: Ich denke, das Problem ist der Zeitraum, der zwischen Planung und erstem Verkauf steht. Irgendwann wird eine Terminankündigung für ein neues Gerät gemacht und dann muss es auch raus sein, komme was wolle (z.B. zu einer Messe). Gibt es Verzögerungen, dann wird diese Zeit zwangsläufig beim letzten Punkt - dem Testen - abgezwackt. Schon ist es möglich, dass man etwas übersieht. Der Druck auf dem Markt mit neuester Technologie führend zu sein ist zwangsläufig groß. Manchmal bin ich aber auch etwas verärgert, dass bekannte Sicherheitslücken einfach nicht beachtet werden. So führe ich z.B. vor, wie ich ein Bluetooth Headset in eine Wanze umfunktioniere. Dieser Hack wurde ursprünglich von der trifinite Group entwickelt. Er funktioniert auch mit manchen Navigationsgeräten, die so eine Freisprechanlage integriert haben. Da kann man dann schon mal in das ein oder andere Auto reinhören und auch hineinsprechen. Es wäre so einfach, dieses Problem abzustellen. Die neuen Navis der Firma Becker verlangen z.B., dass sie selbst der Master beim Aufbau der Verbindung sind und nicht das Handy. Meinen Angriff wehrt das System schlichtweg dadurch ab, dass es von außen keinen Zugriff duldet. Da hat einer halt mal mitgedacht. gulli.com: Werden die Menschen nach den jüngsten Skandalen in Bezug auf den Datenschutz eher skeptisch oder setzt sich noch immer der blinde Glaube in die Technik durch? Konnten Sie diesbezüglich eine Tendenz feststellen? Was müsste passieren, damit wir alle aufwachen und vorsichtiger werden? Ist etwa ein Fehlbetrag auf dem eigenen Girokonto nötig, um uns davon zu überzeugen, wie sehr unsere Daten und auch unser Geld bedroht ist? Tobias Schrödel: Datenschutz bei jedem Einzelnen wird sich nicht groß im Bewusstsein verankern, solange wir PayBack und Co. nutzen. Der Erfolg dieser Dienstleister zeigt doch ganz deutlich, dass die meisten ihre eigenen Daten nicht für großartig schützenswert erachten. "Datenschutz müssen die anderen machen, nicht Ich." Ein Irrglaube, der wohl erst dann ins Bewusstsein dringt, wenn man selbst betroffen ist. Das muss nicht zwangsläufig ein Fehlbetrag auf dem Konto sein, das kann auch ein schlichtweg peinliches Erlebnis sein. Wenn z.B. mal die Liste der Filme aus der Videothek im Internet abrufbar ist, die "Mann" sich so ansieht. Das zeigt sich übrigens besonders gut, wenn Leute aus Bequemlichkeit ihre Fingerabdrücke auf dem Rechner bei der 24h Videothek speichern lassen und draußen gegen biometrische Reisepässe demonstrieren. Das passt nicht zusammen.
Ich vergleiche das gerne mit Bankschaltern. Hier schützt Panzerglas und Mitarbeiterschulung vor dem schnellen Griff in die Kasse. Gegen einen schweren Überfall mit entsprechender kriminellen Energie kann es nicht helfen. Es gilt einfach, die Mauer in einem vernünftigen Kosten/Nutzen Verhältnis hochzuziehen. Aber auch bei privaten Haushalten ist Besserung zu erkennen. So finde ich bei meinen War-Driving-Aktionen in München zwar deutlich mehr WLAN Netze als vor zwei Jahren, aber die Anzahl unverschlüsselter WLANs geht - naja, nicht gerade gegen Null, aber es ist fast schon die Ausnahme ein privates, ungeschütztes Netz zu finden. Die, die offen sind, sollen das meist sein (Cafe, Hotel, etc). gulli.com: In welcher Rolle sehen Sie dabei den deutschen Staat? Sollte durch gesetzliche Vorgaben erreicht werden, dass zunehmend auf unsere Sicherheit geachtet wird? Wäre es sogar eventuell sinnvoll, in Kampagnen anstatt über ansteckende wie auch tödliche Krankheiten alternativ flächendeckend über Sicherheitslücken aufzuklären? Tobias Schrödel: Die Gesetze sind doch weitgehend schon alle da. Es sind eher zu viele. Bewusstsein kann man nicht mit Paragraphen erreichen. Kampagnen machen aber im kleinen Kosmos Sinn - innerhalb einer Firma zum Beispiel. Hier ist das Wir-Gefühl ja meist ausgeprägter und die Leute werden direkt angesprochen. Die Beispiele können dann auch sehr spezifisch auf firmeninterne Belange zugeschnitten sein. Das bringt mehr als eine deutschlandweite Plakataktion. Man muss sonst schon jeden einzelnen direkt ansprechen, nur dann setzt sich das ins Gedächtnis. Meinen Vortrag haben ja mittlerweile rund 15.000 Menschen gesehen, ich habe also noch knapp 80 Millionen vor mir ;-) gulli.com: Oder schreiben Sie dem Staat wie im Fall der Hackerparagraphen eher die Rolle des Bestrafers zu, der die Kriminellen verfolgt und zur Verantwortung ziehen will? Wo sehen sie dann eine sinnvolle Gewichtung? Was halten Sie generell vom Hackerparagraphen? Tobias Schrödel: Bereits 1809 - also vor 200 Jahren - hat der deutsche Jurist Joachim Küber in seinem Buch "Kryptographik" gefragt, ob der "Mißbrauch den rechten Gebrauch hindern" soll. "Soll man keinen Wein bauen, weil es Leute gibt, die sich in Wein berauschen?" (Quelle siehe hier!) Das unter Strafe stellen von Werkzeugen, die dazu dienen könnten, eine Straftat zu begehen, ist mit Kanonen auf Spatzen schießen. Jeder Systemadministrator steht ja heute quasi mit einem halben Bein im Knast, wenn er seinen Job vernünftig ausführen möchte. Wenn ich Bankkonten plündern wollte, wird mich die Benutzung eines verbotenen Hackertools, davon nicht abbringen. Ein Messer kann ich auch in jedem Kaufhaus bekommen - was man damit alles anstellen kann .... Spürbar wäre doch für jeden, wenn der Staat energisch gegen Abzock-Seiten, Abmahnanwälte und Telefonanrufe wie "Sie haben gewonnen. Zahlen Sie 200 Euro" vorginge. Da hätten wir alle was davon, wenn nicht Sonntag Abend die nächste Computerstimme durchklingelt, während man die Kinder ins Bett bringt. Mir persönlich wäre es viel lieber, der Staat würde entsprechende Abteilungen qualifiziert und technisch hoch modern ausstatten. In diesem Sinne: Ein sicheres 2009 ! gulli.com: Das wünschen wir Ihnen natürlich auch! Und vielen Dank für das Interview! Alle Bilder wurden in Absprache der Website von T.S. entnommen. Verwandte News
Trackbacks
Klasse Beitrag !! Ich finde es gut, dass Jemand mit einer witzigen und verständlichen Art an Normalbürger oder Manager herantritt. Klar, die Dinge die er anspricht sind nicht neu (Handys abhören, sowie Yagi Antenne bauen etc.) Diese Sachen sind auf zahlreichen Demos und bei diversen Firmen schon sehr sehr oft präsentiert und ausgelutscht worden. Er rollt aber die Dinge halt nochmals neu auf und präsentiert diese so, dass seine speziell ... c64er am 16.01.2009 21:10
Zitat: Zitat von Qupfer mich würde auch interessieren, wie weit z.B die Handys geschützt waren. Also ob BT an/aus, ob sichtbar/unsichtbar etc. ............. Selbiges auch bei der Headset geschichte. War da irgendwas auf dem (Windows?)Rechner, wo das angeschlossen war, freigabe mäßig was erstellt? ......... BT knacken kann man z.B. mit einem guten BT Scanner. In der Linux Distibution BackTrack! ... c64er am 16.01.2009 21:20
|
gulli news abonnieren
gulli.com: Stehen Sie in Kontakt beziehungsweise sind Sie Mitglied im CCC ? Beim genannten Themenkreis würde sich das ja geradezu anbieten.
Die anderen Typen Manager haben sehr wohl eine Ahnung von IT und Security. Sie wissen aber auch, dass sich mit Geld und Technik eben nicht alles erreichen lässt, dass sie die Mitarbeiter, die Menschen, mit dem Thema erreichen müssen.
Mir ist auch wichtig, den Zuschauern nicht zu erklären, wie es geht. Sie sollen aber sehr wohl sehen, wie schnell es geht und dass ich keine riesige Serverfarm dabei habe. Ich habe nur einen Laptop - das reicht völlig.
Die meisten Firmen sind da schon weiter. Datenschutz und Datensicherheit sind Themen geworden, die personell prominent besetzt sind. Und neben technischen Maßnahmen, externen Audits werden auch Awareness Maßnahmen getroffen. Das sehe ich ganz oft.
Da die Polizei auch nur rechtmäßige Werkzeuge einsetzen darf, hat der Hackerparagraph sie einiger wichtiger Werkzeuge beraubt. Das halte ich für völlig kontraproduktiv. Die Polizei muss effektiv und technisch gestärkt gegen richtige Kriminelle vorgehen können. Das pauschale Verdächtigen aller Mitbürger bringt meines Erachtens kein Vertrauen.
