Message
This commit is contained in:
Steinheide
parent
a3289bb4e5
commit
5cc603df15
27
main.tex
27
main.tex
@ -73,10 +73,13 @@ ungewolltem Zugriff auf digitale Systeme und deren Gegenmaßnahmen. Die verschie
|
||||
Zugriffs sind zahlreich und nutzen nicht nur technische, wie zum Beispiel übersehene Sicherheitslücken
|
||||
in Programmen, sondern auch gesellschaftliche, „menschliche“ Schwachstellen aus und können aus verschiedenen
|
||||
Bewegründen herbeigeführt werden. Sei es ökonomisch, persönlich oder ideologisch motiviert, die Arten des
|
||||
unrechtmäßigem Verhalten im IT-Bereich sind vielfältig. \citet[S.1]{Mercer}
|
||||
unrechtmäßigem Verhalten im IT-Bereich sind vielfältig. \cite{Mercer}
|
||||
Im Kern von \emph{Criminal Thinking} liegt das das Hineinversetzen in eine kriminelle Entität, um
|
||||
deren Vorgehensweise zu verstehen und abwenden zu können. Als hypothetische Frage gestellt also:
|
||||
Wie kann ich ein externes System auf jedwede Art zu meinem Vorteil ausnutzen?
|
||||
|
||||
\subsection{Die technische Ebene}
|
||||
|
||||
Es gibt, so scheint es, immer einen Weg ein System auf böswillige Art auszunutzen, auch wenn dieses als „sicher“ gilt.
|
||||
Dies ist ein intrinsisches Problem der Programmierung (bzw. der Fertigung, wenn man Hardware-Attacken mit in Betracht zieht),
|
||||
da ein solche Systeme meist iterativ erstellt, so nie wirklich „fertig“ werden und die Möglichkeit von „Zero-Day Vulnerabilities“ (nicht gewollte Code Schwachstellen) besteht.
|
||||
@ -86,22 +89,38 @@ dass sogenannte „Zero-Day Exploits“ möglich sind, wenn die Sicherheitslück
|
||||
und es vorkommen kann, dass es versäumt wird das betroffene System zu updaten.
|
||||
Große Firmen schreiben für das Finden und Melden solcher Bugs sogar beträchtliche Belohnungen aus, was von eben
|
||||
jenen Kopfgeldjägern eine Art von \emph{Criminal Thinking} abverlangt.
|
||||
|
||||
\subsection{Die semantische, gesellschaftliche Ebene}
|
||||
|
||||
Mit wachsender Komplexität eines Systems wird es immer schwerer dieses auch technisch sicher zu implementieren.
|
||||
In manchen Fällen, jedoch, ist ein detailliertes Verständnis des Systems gar nicht notwendig, wenn eine Attacke auf die Schwachstelle der UserInnen abzielt.
|
||||
So kann mit einer sogenannten semantischen Attacke zum Beispiel auf ein Firmennetzwerk zugegriffen werden, indem Mitarbeiter per Telefon oder Email so weit manipuliert, bis sie Zugangsdaten mit genügend Autorität zu verraten.
|
||||
Oft hängt diese Schwachstelle mit mangelnder Aufklärung der Betroffenen über mögliche Arten von Attacken zusammen. Menschen mit weniger technischen Affinität sind so besonders gefährdet und sollten aus diesem Grund ausreichend geschult werden.
|
||||
|
||||
\subsection{Schnittpunkte mit anderen Denkweisen}
|
||||
|
||||
In Anbetracht der Denkweisen, die meine Kollegen behandeln, finden sich die meisten Parallelen bei\emph{Design} und \emph{Critical Thinking}.
|
||||
Critical Thinking (und in weiterem Sinn auch Responsible Thinking) erscheint mir als Überbegriff für \emph{Criminal Thinking}, da in meinem Bereich kritisch hinterfragt wird, wie ein System ausgenutzt werden kann. \citet[S.1]{Paul}
|
||||
Critical Thinking (und in weiterem Sinn auch Responsible Thinking) erscheint mir als Überbegriff für \emph{Criminal Thinking}, da in meinem Bereich kritisch hinterfragt wird, wie ein System ausgenutzt werden kann. \cite{Paul}
|
||||
Im Zusammenhang mit \emph{Design Thinking} fiel mir sofort der iterative Design Vorgang auf, der für sichere Software unumgänglich ist.
|
||||
|
||||
\subsection{Die Sicherheit hinter Uninvited Guests}
|
||||
Das im Video gezeigte System könnte, wie so manch andere Systeme im Internet der Dinge (engl. Abkürzung IoT), mit einigen verschiedenen Vorgehensweisen ausgenutzt werden.
|
||||
Meiner Einschätzung nach braucht jedes der verwendeten Gadget einen Internetanschluss und könnte so, wenn eine geeignete Schwachstelle vorhanden ist, als Bot für ein DDos-Netzwerk missbraucht werden. Bei einer DDos-Attacke werden eine Vielzahl an Bots dafür mobilisiert den Internet-Traffic einer Website oder eines Servers zu überlasten und diese damit lahmzulegen. \citet[S.1]{Limer}
|
||||
Meiner Einschätzung nach braucht jedes der verwendeten Gadget einen Internetanschluss und könnte so, wenn eine geeignete Schwachstelle vorhanden ist, als Bot für ein DDos-Netzwerk missbraucht werden. Bei einer DDos-Attacke werden eine Vielzahl an Bots dafür mobilisiert den Internet-Traffic einer Website oder eines Servers zu überlasten und diese damit lahmzulegen. \cite{Limer}
|
||||
Ein System, wie man es im Video findet, wird wahrscheinlich auch unterdurchschnittlich oft aktualisiert um Sicherheitslücken zu beheben.
|
||||
Direkt betroffen wären die UserInnen aber von anderen Exploits, wie zum Beispiel dem Zugreifen auf Sensoren wie Kameras oder Mikrofone um kompromittierendes Material zu sammeln oder persönliche Informationen wie Kreditkartennummern zu sammeln.
|
||||
Aber auch systeminterne Daten können einem Hacker bzw. einer Hackerin zu Geld verhelfen, indem sie gespeichert und nach Bedarf verkauft werden. Im Beispiel des Videos könnte man anhand der gesundheitlichen Daten Werbung für Medikamente schalten (z.B.: Der Herr schläft wenig, was in der Statistik aufscheint und wäre deswegen potentieller Käufer von Schlafmitteln).
|
||||
Gesundheitsdaten sind nicht nur für kriminelle Entitäten, sondern auch manche Institutionen interessant. Versicherungen oder staatliche Institutionen können auch großes Interesse an jeglicher Information über eine Großzahl an Menschen sein (z.B.: NSA) hegen.
|
||||
Ein großer Sicherheitsschwachpunkt sind immer noch die UserInnen selbst. Wenn der Fernzugriff auf das „Gesundheitsüberwachungssystem“ des Großvaters mit einem schwachen Passwort (oder gar mit einem vordefinierten seriellen Passwort der Herstellerfirma) geschützt ist, verbleiben die meisten
|
||||
Ein großer Sicherheitsschwachpunkt sind immer noch die UserInnen selbst. Wenn der Fernzugriff auf das „Gesundheitsüberwachungssystem“ des Großvaters mit einem schwachen Passwort (oder gar mit einem vordefinierten seriellen Passwort der Herstellerfirma) geschützt ist, stellt das Eindringen eine um einiges kleiner Herrausforderung dar.
|
||||
|
||||
\subsection{Problem Framing}
|
||||
|
||||
Durch die von mir gewählte Denkweise lassen sich nur hypothetische, aber kaum konkrete Probleme des dargestellten Systems finden, da der Fokus des Videos ganz klar anderswo liegt. Insofern wurde auch kein Fehler per se begangen. Rein hypothetisch könnte es natürlich sein, dass jedes einzelne Gerät „gehijacked“ wird, eine Man-in-the-Middle-Attack (z.B.: Jemand gibt sich auf digitalem Weg als die Verwandten des älteren Herren aus), oder jemand kompletten Zugriff auf das System durch unzureichende Sicherheitsvorkehrungen der Verwandten erlangt.
|
||||
|
||||
|
||||
\subsection{Gestaltungsvorschlag}
|
||||
|
||||
Auch in diesem Punkt besteht kein klarer Ansatzpunkt für Verbesserungsvorschläge bzw. . Man kann nur anführen, welche Sicherheitsvorkehrungen hoffentlich getroffen wurden.
|
||||
So sollte zum Beispiel das ganze System regelmäßig gewartet und bei Bedarf aktualisiert werden. Zudem sollte sichergestellt werden, dass alle Beteiligten über mögliche Risiken von ungewollter Fremdeinwirkung unterrichtet und für den schlimmsten Fall vorbereitet werden.
|
||||
|
||||
% =============================================================================
|
||||
\section{Scientific Thinking}
|
||||
|
||||
Loading…
x
Reference in New Issue
Block a user