Wie sicher sind vernetzte Herzschrittmacher?
Herzschrittmacher verfügen immer häufiger über Drahtlosschnittstellen und sind dadurch angreifbar. Auf dem Hackerkongress 32C3 sprach Marie Moe über die Sicherheit und Transparenz von vernetzten Herzschrittmachern, da sie selbst einen solchen trägt. Wie hoch ist die Gefahr, dass ein solcher gehackt und missbraucht werden kann und wieso sprechen die Hersteller nicht darüber, wie die Geräte funktionieren und welche Software sie nutzen? Das Internet der Dinge drängt sich immer mehr in den Alltag. Selbst Herzschrittmacher sind heutzutage schon vernetzt, da dies Ärzten viele Untersuchungen erleichtert. Doch Patienten wie Marie Moe sind davon nicht so begeistert. Der vernetzte Herzschrittmacher Wozu muss ein Herzschrittmacher vernetzt sein? Das Gerät, das Marie Moe in sich trägt, verfügt über Drahtlosschnittstellen und erlaubt es so den Ärzten, jederzeit ihre Vitaldaten abzurufen oder Änderungen am Gerät vorzunehmen. Doch wie genau der Herzschrittmacher funktioniert und welche Software darauf installiert ist, das weiß sie nicht. Sie wusste nicht einmal, welches Modell man ihr eingesetzt hatte. Hersteller sehen keine Notwendigkeit dazu, die Patienten über derartige Dinge zu informieren. Doch mit zunehmender Vernetzung wird dies für die Nutzer immer wichtiger. Marie Moe und der Sicherheitsforscher Éireann Leverett sprachen auf dem Hackerkongress 32C3 über die Risiken, die ein solcher vernetzter Herzschrittmacher birgt. Hacker könnten sich in das System hacken und die Träger solcher Herzschrittmacher erpressen oder sie auf eine gewisse Distanz sogar töten, indem sie das Gerät einfach abschalten. Hinzu kommt die Gefahr eines Softwarefehlers, der ebenfalls zum Tod der Patienten führen kann. Etwas derartiges ist bereits vorgekommen. Allerdings sind sich die Hersteller bewusst darüber, dass sie gerade bei solch lebenswichtigen medizinischen Geräten extrem auf die Qualität achten müssen. Häufen sich Fälle, in denen Fehler in Herzschrittmachern dazu führen, dass die Patienten sterben, dann sind diese Unternehmen schnell aus dem Geschäft. Marie Moe ermutigt Hacker sogar, sich mit solchen Geräten auseinanderzusetzen, um dafür zu sorgen, dass sie noch sicherer gemacht werden können. Zudem wünscht sich die 37-jährige eine Open-Source-Medizintechnik sowie spezielle Kryptografie-Lösungen für die Übertragung medizinischer Daten. Daneben setzt sie sich für eine Netzwerküberwachung für das Monitoring zu Hause, sowie verstärkten Schutz vor Störsendern und eine Möglichkeit ein, forensische Beweise zu sammeln, für den Fall, dass ihr Schrittmacher oder das Monitoring-Equipment eine Fehlfunktion haben. /ab Bild-Quellen: library_mistress / FlickR News Redaktion am Dienstag, 29.12.2015 15:15 Uhr Tags: hacker medizin internet der dinge Weitere interessante News zusätzliche...
MehrDaten von 191 Millionen US-Wählern offengelegt
Über eine fehlkonfigurierte Datenbank sind in den USA Daten von 191 Millionen Wählern an die Öffentlichkeit gelangt. Mittlerweile ist die Datenbank nicht mehr öffentlich erreichbar. Der texanische Sicherheitsspezialist Chris Vickory berichtet auf Databreaches.net, dass eine Datenbank mit Informationen von 191 Millionen US-Wählern zeitweise öffentlich zugänglich auf einem Webserver lag. Das Registrierungsformular für US-Wähler: Diese und andere Daten sind an die Öffentlichkeit gelangt. In den USA muss man sich als Wähler registrieren lassen und wird damit in einer Datenbank erfasst. Die dort abgelegten Informationen könnten unterschiedliche personenbezogene Daten umfassen, darunter Vor- und Zunamen, Anschrift, Festnetznummer, Geburtsdatum, Geschlecht und Ethnizität. Außerdem enthalten sie Informationen darüber, zu welchen der Wahlen die betreffende Person seit 2000 gegangen ist und gegebenenfalls, welcher Partei sie angehören. Das erlaubt Rückschlüsse auf künftige Wahlgänge und Präferenzen. Vickory hat die Echtheit der Informationen anhand seines eigenen Namens überprüft. Databreaches.net konnte zunächst nicht feststellen, wem der Server gehört, und hat das FBI sowie den Generalbundesanwalt von Kalifornien eingeschaltet. Schließlich sind auch die Daten von 17 Millionen Kaliforniern betroffen. Außerdem macht der Staat als einer von wenigen Bundesstaaten die Wählerdaten nicht offen zugänglich. Einige Staaten legen die Daten ihrer registrierten Wähler offen. In der hier bloßgelegten Datenbank sind sie aber vollständig und besonders konzentriert zu finden. Die Daten könnten beispielsweise Kriminellen dienen, Wohnorte von Polizisten aufzuspüren oder sie als Ausgangsbasis für Online-Betrug zu nutzen. Wer Zugang zu der Datenbank gehabt haben könnte, ist allerdings unklar. (akr) diese...
MehrPerl 6 erfüllt das Weihnachtsversprechen
Wie angekündigt, ist die Version C(hristmas) passend zu Weihnachten erschienen. Perl 6 will Version 5 nicht ablösen, sondern ist eine neue Sprache. Syntax und Konzept bauen jedoch auf dem Vorgänger auf. Die Entwicklungsgeschichte von Perl 6 ist in vieler Hinsicht ungewöhnlich. Perl 5.0 erschien 1994 und erreichte im vergangenen Sommer Version 5.22. Das Perl-6-Projekt startete bereits im Jahr 2000. Dabei stellte das Team klar, dass Perl 6 kein gewöhnlicher Nachfolger werden sollte, sondern ein langfristiges Projekt, aus dem eine neue Sprache mit modernen Ansätzen hervorgeht. Mindestens seit 2005 kursiert der Witz, dass Perl zu Weihnachten erscheint ? die Frage nach dem Jahr blieb dabei offen. Anfang des Jahres verdichteten sich die Zeichen, dass Weihnachten 2015 das Veröffentlichungsdatum würde. Jetzt hat Larry Wall, der Erfinder der Sprache, den Compiler Rakudo auf MoarVM für den produktiven Einsatz freigegeben. Konsequent objektorientiert Zu den Neuerungen gehört eine konsequentere Objektorientierung. Zwar hatte bereits Perl 5 erste Ansätze, Perl 6 legt jedoch sämtliche Daten und Typen bereits intern als Objekte ab. Rollen, die nicht selbst instanziiert, sondern Klassen und Objekten beigemischt werden, sollen zur Erstellung flacher Klassenhierarchien beitragen. Bei Multimethoden, wie es sie unter anderem auch in Common Lisp gibt, wählt das System anhand des Typs mehrerer Objekte die passende Methode aus. Gleichzeitig kommen Primitive der funktionalen Programmierung wie eager und lazy zur Sprache hinzu. Multithreading können Entwickler in Perl 6 entweder automatisiert einsetzen oder selbst kontrollieren. Dazu stellt die Sprache Threads, Locks und Semaphores zur Verfügung. Schedulers, Promises, Channels und Supplies decken unterschiedliche Bedürfnisse der Parallelprogrammierung ab. Reguläre Ausdrücke und Grammatik Seit seinen Anfängen glänzt Perl beim Parsen von Texten. Dazu gehört auch die umfangreiche Verwendung regulärer Ausdrücke. Diese Regexes erhalten in Perl 6 ein paar neue Regeln, die den Einsatz klarer machen und gleichzeitig mehr Möglichkeiten bieten. Entwickler können zudem Muster in eigenen Grammatiken speichern. Da es sich dabei um Kinder der Klasse Grammar mit zahlreichen Standardmethoden handelt, bieten sie die vollen Möglichkeiten der Vererbung inklusive dem Überladen von Methoden. Einen tieferen Einblick in die Neuerungen von Perl bietet der Artikel auf heise Developer. Der Rakudo-Compiler steht auf der Perl-6-Site zum Download bereit. (rme)...
Mehr32C3: Hardware-Trojaner als unterschätzte Gefahr
Trojaner können auch gut versteckt direkt in der Hardware lauern, hier ein gefälschter FTDI-Chip. (Bild: zeptobars.ru) Fest in IT-Geräte und Chips eingebaute Hintertüren stellten eine „ernste Bedrohung“ dar, warnten Sicherheitsexperten auf der Hackerkonferenz. Sie seien zwar nur mit großem Einwand einzubauen, aber auch schwer zu finden. Hardware-Trojaner würden gegenüber ihren Software-Pendants alias Malware in der Regel „vernachlässigt“, beklagte der Sicherheitsexperte Peter Laackmann am Sonntag auf dem 32. Chaos Communication Congress (32C3) in Hamburg. Dabei sei eigentlich seit dem Ende der 1990er klar, dass direkt in die Informationstechnik eingebaute Hintertüren eine „ernste Bedrohung“ darstellten. Dass ansonsten Spionagesoftware im Vordergrund steht, liegt Laackmann zufolge daran, dass sie „recht einfach zu schreiben, aber auch relativ leicht zu entdecken ist“. Um die Hardware-Variante zu implementieren, müssten dagegen beispielsweise Chips verändert werden, was aufwändig und teuer, aber auch „schwer zu finden“ sei. Stehe eine solche Hintertür erst einmal offen, könnten darüber vergleichsweise unkompliziert private Daten, kryptografische Schlüssel oder Startwerte für „Pseudo-Zufallszahlengeneratoren“ ausgelesen werden, gab der als Privatmann vortragende Infineon-Mitarbeiter zu bedenken. Andererseits sei es möglich, falsche Parameter etwa für eine Industriesteuerung, bekannte beziehungsweise schwache Schlüsseloder „belastendes Material“ in Form von „Kompromaten“ einzubringen. Gerade unter letzterem Gesichtspunkt könnten die Backdoors auch „Personen in tödliche Gefahr“ bringen, etwa bei einem Grenzübertritt. Laackmanns Kollege Marcus Janke führte aus, dass gerade für die Chip-Produktion recht viele Fertigungsschritte nötig seien, die alle Möglichkeiten böten, Trojaner einzubringen. Schon beim Beschreiben der Schaltprozesse mit der Sprache VHDL könne ein Angreifer „ein paar Zeilen Code mehr einfügen“, der dann eventuell ins fertige Produkt übernommen werde. In diesem frühen Stadium schauten zwar noch vergleichsweise viele andere Entwickler auf den Quelltext, nicht immer flögen dabei aber Hintertüren auf. Auch mit dem in zweiten Schritt eingesetzten Layout-Programm könne man elektrische Verbindungen verändern und neue Funktionalitäten einfügen, erläuterte Janke. Dies brauche zwar seine Zeit, ein fertiges Layout werde aber kaum mehr überprüft. Selbst im Maskensatz, der vor der Wafer-Produktion stehe, ließen sich noch mit Spezialausrüstung Strukturen neu ausrichten. Angreifer können sich laut Janke oft „zweifelhafte Sicherheitsfunktionen“ mit gefährlichen Nebenwirkungen zunutze machen. So werde der VHDL-Code teils bewusst komplex gehalten, um Schlüssel darin gemäß der „White-Box-Kryptografie“ zu verstecken. Manipulationen etwa im Arbeitsspeicher erleichterten auch zusätzliche Masken wie angeblich nicht klonbare Bereiche („Physical ‚Unclonable‘ Functions“) oder ein „Camouflage-Chip-Design“ mit universellen Logikelementen. Die Kommunikation von Hardware-Trojanern mit der Außenwelt sei zudem nicht leicht aufzuspüren, verdeutlichte der Praktiker. Für die Interaktion könnten Seitenkanäle, Fehlerinduktionen oder Protokoll-Hintertüren genutzt werden. So würden etwa laut bereits publizierten Beispielen undokumentierte Befehle akzeptiert, steganografisch Zusatzinformationen versteckt oder Generalschlüssel sowie geschwächte Krypto-Algorithmen implementiert. Bekannt seien „einige Beispiele, wo insbesondere Zufallszahlengeneratoren geschwächt und ausgenutzt worden sind“. Bild: Peter Laackmann und Marcus Jahnke erläutern auf dem 32C3, wie man Chips kompromittieren kann. Insgesamt gebe es „sehr, sehr viele verschiedene Möglichkeiten in der Hardware, wie man mit einem Trojaner kommunizieren kann“, legte Janke dar. Dafür brauche man oft keine Lasercutter oder teuren Messgeräte, da „Analyse-Schnittstellen“ wie Debug-Ports oder Jtag-Anschlüsse in Wlan-Routern oder gar spezielle Ports in Sicherheitschips als Türöffner dienten und eine besondere Bedrohung darstellten. Ein Rückschluss auf Aktivitäten der...
MehrOculus Rift würde über 1.000 Dollar kosten
Oculus Rift müsste 1.000 US-Dollar kosten, sodass damit Gewinn erwirtschaftet werden kann. Noch immer warten Gamer darauf, dass das Unternehmen Oculus VR den Preis für das kommende Virtual-Reality-Headset Oculus Rift bekannt gibt. Firmengründer Palmer Luckey erklärte nun, dass die Hardware eigentlich 1.000 US-Dollar kosten müsste, um damit Gewinne erwirtschaften zu können. Durch Subventionierungen könne man den Preis aber deutlich geringer halten. Virtual-Reality-Gaming hat das Jahr 2015 knapp verpasst, doch 2016 soll ganz im Zeichen von VR stehen. Wie teuer dieser Spaß aber wird, das steht noch nicht fest. 1.000 Dollar für Oculus Rift? Gamer warten noch immer darauf, dass einerseits ein offizielles Releasedatum des Oculus-Rift-Headsets und ein finaler Preis angegeben werden. Fest steht, dass sich Oculus Rift in einem Rahmen zwischen 300 und 400 US-Dollar bewegen soll. Genau will man dies im kommenden Jahr bekannt geben. Allerdings ist dieser Preis nur möglich, da das Unternehmen auf einige Subventionen zurückgreifen konnte. Palmer Luckey, Mitgründer des Unternehmens Oculus VR, erklärte, dass die Hardware eigentlich über 1.000 US-Dollar kosten müsste, wenn man als Unternehmen mit dem Verkauf Gewinn erwirtschaften möchte. Dies wäre der Preis des Headsets, wenn es keine Subventionen geben würde. Palmer Luckey ist sich aber im Klaren darüber, dass so gut wie niemand das Headset für einen solchen Preis kaufen würde. Daher musste der Preis in einen Rahmen fallen, den Konsumenten bereit sind, für eine neue Gaming-Erfahrung auszugeben. Schaut man sich beispielsweise die Preise von neuen Konsolen bei Markteinführung an, so liegen diese meist bei um die 400 Dollar. Und sie verkaufen sich dann recht gut. Also sollte auch die Oculus Rift bei Veröffentlichung nicht mehr als etwa 400 Dollar kosten. Hinzu kommt, dass man die Kunden noch dadurch motivieren muss, dass man viele interessante Spiele für das Gerät anbietet. Palmer Luckey meint: „Ein Unternehmen, das nur mit einem sofortigen Hardware-Gewinn überleben könnte, müsste einen viel höheren Preis verlangen. Ich denke, 1.000 Dollar oder mehr. Das ist keine Gier, sondern Realität. Die VR-Nutzer der ersten Generation werden von den großen Playern, die das VR-Geschäft wachsen lassen möchten, stark subventioniert, auch wenn nur wenige das zu verstehen scheinen. Ich bin wirklich froh, dass wir mit den Ressourcen von Facebook die Entscheidungen zugunsten der Langfristigkeit optimieren können, anstatt uns auf sofortige Gewinne konzentrieren zu müssen, damit die Lichter (der Firma) an bleiben.“ /ab Bild-Quellen: Oculus VR News Redaktion am Montag, 28.12.2015 11:08 Uhr Tags: preis oculus rift virtual reality Weitere interessante News aktuelle...
MehrCryptomessenger: Wie ich die Digitalisierung meiner Familie verpasste
Inhalt Auf einer Seite lesen Seite 1 ? Wie ich die Digitalisierung meiner Familie verpasste Seite 2 ? Schreib doch einfach eine Facebook-Nachricht! Weihnachten, Familienfeier, Urlaub ? für viele ITler bedeutet der Kontakt mit der Familie vor allem eines: Geräte patchen, Drucker installieren und bei der Herduhr die Zeitumstellung nachholen. Und Mamas Fragen beantworten. „Briefe sind doch viel schöner, wozu brauche ich einen Computer?“ Oder „Wie finde ich etwas in diesem Internet?“ Aber in diesem Jahr hat sich meine Familie ausgerechnet zu Weihnachten von liebgewordenen Traditionen verabschiedet. Sie, die bislang kaum PCs genutzt haben, sind plötzlich digital. Und ich, der Nerd, bin der Nichtauskenner. Was ist passiert? Smartphones sind passiert. Meine Mutter sitzt im Sessel, das Smartphone in der Hand, und sagt mit großer Selbstverständlichkeit Sätze wie: „Deine Schwester hat ihre Whatsapp-Nachricht noch gar nicht gelesen“. Einen Computer hat sie nie benutzt, die beiden haben nie so richtig zusammengepasst. Aber sie hat den Schritt gewagt und sich ein Smartphone angeschafft ? und sie sind best friends forever. Meine Schwester hat auch bis vor kurzem nicht mal gewusst, was ein Messenger ist. Und jetzt: „Ich habe ihr vorhin schon geschrieben, aber sie hat die Nachricht noch nicht gelesen, das kann ich hier sehen“, sagt meine Mutter. „Ach, wenn du grad hier bist ? ich habe noch süße Babybilder aus der Verwandtschaft bekommen, per Mail“. What??? Dass ich überhaupt nicht mitbekommen habe, wie sich meine gesamte Verwandtschaft nach und nach zu einem digitalen Insiderkreis zusammengeschlossen hat, der mich ausschloss, ist die Schuld von Whatsapp. Und die meines Berufs. In meinem professionellen Bekanntenkreis ist die Nutzung von Whatsapp verpönt ? Datenkrake, Telefonbuchkopie und so weiter. Und das, obwohl zumindest die Android-Version des Dienstes eines der besten derzeit bekannten Verschlüsselungsprotokolle für Instant Messaging verwendet: Axolotl-Ratchet. Meine Familie hat mich bei Whatsapp abgehängt Ich benutze Threema, Signal und andere Messenger. Aber für meine Familie wie für viele andere war Whatsapp der benutzerfreundliche Einstieg in die digitale Kommunikation. Über die Anschlussfähigkeit müssen sie sich keine Gedanken machen ? das Netzwerk ist schon da. Hauke nicht, aber was soll’s. Sieben Crypto-Messenger auf dem Smartphone ? und trotzdem kein Anschluss unter dieser Nummer! Dabei würden sich meine Cryptomessenger für solche Gruppen natürlich auch überwiegend eignen. Aber wir müssten uns alle auf einen einigen, denn kompatibel ist die Technik ja nicht. Nur: Meine Familie hat sich ja schon geeinigt, die wird kaum wechseln wollen. In der falschen Blase Irgendwie ironisch. Erst vergangene Woche habe ich meine Termine für den diesjährigen Hackerkongress 32C3 gemacht. Es geht dort um „Gated Communitys“, also darum, wie die verschiedenen Communitys in der Branche immer wieder den Austausch verschiedener Gruppen untereinander verhindern ? und die Monopole vieler Hersteller fördern. Hallo, ich melde mich als Beispiel: Security-Bubble versus Familienblase! Wie in vielen Familien hat Whatsapp auch in meiner die Kommunikationskultur verändert. Die Familiengruppe ermöglicht den unkomplizierten Austausch über Alltägliches, Banales oder Ernstes ? Dinge, die mir nun entgehen. „Aber das habe ich dir doch erzählt!“ Nein Mutter, das hast du dann wohl in den Chat...
Mehr