zenon/beyond-uninvited-guests
1
0
Fork 0
Code Issues Pull Requests Projects Releases Wiki Activity

Mmessage

Browse Source
This commit is contained in:
Steinheide 2019-01-21 18:20:44 +01:00
parent e5e4fea907
commit af0fdfff19
1 changed files with 33 additions and 6 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

39
main.tex
View File

@ -67,14 +67,41 @@ Why are you doing this to me?
\section{Criminal Thinking}
% =============================================================================
Beschreiben sie generell, was diese Denkweise auszeichnet und welche Prinzipien
ihr zu Grunde liegen.
Wie können diese Prinzipien auf die Probleme die in \emph{Uninvited Guest}
thematisiert werde angewandt werden?
\emph{Criminal Thinking} beschäftigt sich mit ungewollter Fremdeinwirkung bzw.
ungewolltem Zugriff auf digitale Systeme und deren Gegenmaßnahmen. Die verschiedenen Methoden des böswilligen
Zugriffs sind zahlreich und nutzen nicht nur technische, wie zum Beispiel übersehene Sicherheitslücken
in Programmen, sondern auch gesellschaftliche, „menschliche“ Schwachstellen aus und können aus verschiedenen
Bewegründen herbeigeführt werden. Sei es ökonomisch, persönlich oder ideologisch motiviert, die Arten des
unrechtmäßigem Verhalten im IT-Bereich sind vielfältig. \citet[S.1]{Mercer}
Im Kern von \emph{Criminal Thinking} liegt das das Hineinversetzen in eine kriminelle Entität, um
deren Vorgehensweise zu verstehen und abwenden zu können. Als hypothetische Frage gestellt also:
Wie kann ich ein externes System auf jedwede Art zu meinem Vorteil ausnutzen?
Es gibt, so scheint es, immer einen Weg ein System auf böswillige Art auszunutzen, auch wenn dieses als „sicher“ gilt.
Dies ist ein intrinsisches Problem der Programmierung (bzw. der Fertigung, wenn man Hardware-Attacken mit in Betracht zieht),
da ein solche Systeme meist iterativ erstellt, so nie wirklich „fertig“ werden und die Möglichkeit von „Zero-Day Vulnerabilities“ (nicht gewollte Code Schwachstellen) besteht.
In einem herkömmlichen Programm oder Protokoll können solche Sicherheitslücken durch das Bespielen einer neuen
Version resistenter gemacht werden, wenn eine Bedrohung entdeckt wurde. Die Probleme dieser Vorgangsweise sind,
dass sogenannte „Zero-Day Exploits“ möglich sind, wenn die Sicherheitslücke noch nicht entdeckt bzw. behoben wurde
und es vorkommen kann, dass es versäumt wird das betroffene System zu updaten.
Große Firmen schreiben für das Finden und Melden solcher Bugs sogar beträchtliche Belohnungen aus, was von eben
jenen Kopfgeldjägern eine Art von \emph{Criminal Thinking} abverlangt.
Mit wachsender Komplexität eines Systems wird es immer schwerer dieses auch technisch sicher zu implementieren.
In manchen Fällen, jedoch, ist ein detailliertes Verständnis des Systems gar nicht notwendig, wenn eine Attacke auf die Schwachstelle der UserInnen abzielt.
So kann mit einer sogenannten semantischen Attacke zum Beispiel auf ein Firmennetzwerk zugegriffen werden, indem Mitarbeiter per Telefon oder Email so weit manipuliert, bis sie Zugangsdaten mit genügend Autorität zu verraten.
Oft hängt diese Schwachstelle mit mangelnder Aufklärung der Betroffenen über mögliche Arten von Attacken zusammen. Menschen mit weniger technischen Affinität sind so besonders gefährdet und sollten aus diesem Grund ausreichend geschult werden.
In Anbetracht der Denkweisen, die meine Kollegen behandeln, finden sich die meisten Parallelen bei\emph{Design} und \emph{Critical Thinking}.
Critical Thinking (und in weiterem Sinn auch Responsible Thinking) erscheint mir als Überbegriff für \emph{Criminal Thinking}, da in meinem Bereich kritisch hinterfragt wird, wie ein System ausgenutzt werden kann. \citet[S.1]{Paul}
Im Zusammenhang mit \emph{Design Thinking} fiel mir sofort der iterative Design Vorgang auf, der für sichere Software unumgänglich ist.
Das im Video gezeigte System könnte, wie so manch andere Systeme im Internet der Dinge (engl. Abkürzung IoT), mit einigen verschiedenen Vorgehensweisen ausgenutzt werden.
Meiner Einschätzung nach braucht jedes der verwendeten Gadget einen Internetanschluss und könnte so, wenn eine geeignete Schwachstelle vorhanden ist, als Bot für ein DDos-Netzwerk missbraucht werden. Bei einer DDos-Attacke werden eine Vielzahl an Bots dafür mobilisiert den Internet-Traffic einer Website oder eines Servers zu überlasten und diese damit lahmzulegen. \citet[S.1]{Limer}
Ein System, wie man es im Video findet, wird wahrscheinlich auch unterdurchschnittlich oft aktualisiert um Sicherheitslücken zu beheben.
Direkt betroffen wären die UserInnen aber von anderen Exploits, wie zum Beispiel dem Zugreifen auf Sensoren wie Kameras oder Mikrofone um kompromittierendes Material zu sammeln oder persönliche Informationen wie Kreditkartennummern zu sammeln.
Aber auch systeminterne Daten können einem Hacker bzw. einer Hackerin zu Geld verhelfen, indem sie gespeichert und nach Bedarf verkauft werden. Im Beispiel des Videos könnte man anhand der gesundheitlichen Daten Werbung für Medikamente schalten (z.B.: Der Herr schläft wenig, was in der Statistik aufscheint und wäre deswegen potentieller Käufer von Schlafmitteln).
Gesundheitsdaten sind nicht nur für kriminelle Entitäten, sondern auch manche Institutionen interessant. Versicherungen oder staatliche Institutionen können auch großes Interesse an jeglicher Information über eine Großzahl an Menschen sein (z.B.: NSA) hegen.
Ein großer Sicherheitsschwachpunkt sind immer noch die UserInnen selbst. Wenn der Fernzugriff auf das „Gesundheitsüberwachungssystem“ des Großvaters mit einem schwachen Passwort (oder gar mit einem vordefinierten seriellen Passwort der Herstellerfirma) geschützt ist, verbleiben die meisten
Wie könnten die Probleme die hier dargestellt werden aus dieser Denkweise
heraus bearbeitet werden?
% =============================================================================
\section{Scientific Thinking}