Howard Fuhs
Howard Fuhs
Howard Fuhs
IT-Sicherheitsberater
IT-Sicherheitsberater
IT-Sicherheitsberater

Denial of Service Attacks

Teil 3 (von 3)

Copyright (C) 09/2000 by Howard Fuhs


Begonnen hat alles am 30. August mit einer Pressemeldung im Internet, man habe den ersten SMS-Virus entdeckt (Originalwortlaut: "First True Wireless Virus"), der speziell auf einem Nokia Telefon die Tastatur "einfriert". Einhergehend mit dieser Meldung befürchtete man bereits den Untergang des mobiltelefonnutzenden Abendlandes und wies natürlich auch darauf hin, daß man Gegenmaßnahmen demnächst zur Verfügung stellen könne. Soweit der stark komprimierte Inhalt der umfangreichen Pressemeldung.

Aber was war tatsächlich geschehen? Eine norwegische Internet-Firma hatte als Contentprovider eigentlich nur überprüfen wollen, ob ihre Internetinhalte auch auf WAP-Handies einwandfrei dargestellt werden können. Im Zuge dieser Tests wurden auch SMS-Nachrichten von dem Anbieter auf das Handy geschickt, wovon eine dieser SMS-Nachrichten die Tastatur unbrauchbar machte und der Anwender dadurch gezwungen war kurzzeitig die Batterie vom Telefon zu entfernen um die Sperre aufzuheben. Der Effekt wurde kurz getestet und war auf verschiedenen baugleichen Handies nachvollziehbar. Entsprechende Bestätigungen der Firma Nokia gab es nicht.

Nimmt man nun eine einfache Standarddefinition für Computerviren, so kann man sagen, dass ein Computervirus ein selbstreplizierendes Stück Programmcode ist, welches andere Programme infiziert. In Computerdimensionen weitergedacht, müsste ein solcher Virus im "Speicher" des Handy aktiv sein um sich weiterverbreiten zu können. Auch das ist bei derzeitigen Handies etwas weit hergeholt. Da es sich hier nicht um eine selbstreplizierende SMS-Nachricht handelte, war praktisch das ganze Geschwätz von einem Virus nur Marketing-Nonsens. Vielleicht wollte man ja nur etwas mehr Aufmerksamkeit um damit die Börsenkurse in diesem Marktsegment etwas ansteigen zu lassen.

Doch wer bei dieser Geschichte zwischen den Zeilen liest, wird feststellen, dass die geschilderten Gefahren nicht ganz so abwegig sind. Zuerst wäre das reale Problem zu nennen, dass es wohl ein bestimmtes Handy von Nokia gibt, welches mit einer SMS-Nachricht ganz bestimmten Inhalts sabotiert werden kann. Eine entsprechende Nachricht per SMS-Flooder (siehe Denial of Service Attacks Teil 2weiterlesen) an ein solches Handy geschickt bedeutet für den Besitzer, er muss nach jeder empfangenen SMS-Nachricht erst die Batterie von seinem Handy entfernen um die Tastatur wieder benutzen zu können. Auch wenn hier nicht von einem Virus die Rede sein kann, so fällt die Entdeckung dieser Sicherheitslücke ganz klar in den Bereich eines Denial-Of-Service Angriffs.
Inspiriert durch die Meldung im Internet sind die ersten Personen bereits auf die Idee gekommen auch andere Handies auf "nutzungsfähige" Schwachstellen hin zu überprüfen. Es kann also nicht ganz ausgeschlossen werden, dass in nächster Zeit noch mehr Handies mit Sicherheitslücken entdeckt werden. Als nächste Überlegung muss die Tatsache herhalten, dass WAP-fähige Handies in gewissem Umfang Code interpretieren können müssen um WAP-Seiten darstellen zu können (ähnlich wie ein Web-Browser HTML interpretiert um daraus eine grafische Darstellung einer Web-Seite generieren zu können). Wer sich einmal anschaut, was mit HTML-Code alles möglich ist, der muß zugeben, daß der WAP-Bereich bisher von Seiten des Untergrunds wahrscheinlich nur noch nicht entsprechend erforscht wurde. Es kann also derzeit nicht ausgeschlossen werden, dass sowohl im SMS- als auch im WAP-Bereich eine Vielzahl von Sicherheitslücken schlummern, die nur noch nicht entdeckt bzw. veröffentlicht wurden.

Kommen wir zu einem Ausblick in die Zukunft. Die UMTS-Versteigerung ist gelaufen und die Gewinner versprechen uns Anwendern schon heute eine schöne neue Medienzukunft mit Zugriff auf das Internet und andere Dienste direkt über unser Handy. Gleichzeitig verkündet die Nachrichtenagentur Reuters: "E-commerce to explode on cell phones". Damit die Auguren recht behalten, muss die Industrie die UMTS-Handygeneration mit einer internen Funktionalität anbieten, die ein solches Handy mit großer Sicherheit angreifbar macht. Und zwar Angreifbar auf eine Art und Weise, wie man es heute von einem Computer gewohnt ist, der Zugang zum Internet hat und über einen Web-Browser verfügt. Wenn die Hersteller von UMTS-Handies nicht aufpassen, dann werden die Sicherheitsprobleme von heute, wie z.B. Malicious Java Code, Denial-of-Service Angriffe oder Macroviren in ähnlicher oder abgewandelter Form auch auf ihren UMTS-Handies möglich sein, denn dann geht es nicht mehr nur um das Telefonieren sondern um das Darstellen von aktiven Inhalten und dies alles wird auf HTML oder seinem Nachfolger aufbauen.

Die Softwareindustrie macht es heute vor, wie man mit funktionsüberladenen Programmen, mächtigen Macrosprachen und unsicheren Implementierungen Sicherheitslücken im großen Stil generiert, die der Untergrund dankbar aufgreift und verwendet. Der Anwender muß die Zeche zahlen, indem er Schutzmechanismen installieren muss, deren Funktionsweise er nicht versteht und deren Warnmeldungen er nicht interpretieren kann. Erschwerend kommt hinzu, dass die Industrie sich nicht in die Karten schauen lässt. Man glaubt immer noch "Security by Obscurity" sei der beste Weg um Sicherheit zu gewährleisten. Wie sicher diese Vorgehensweise ist, zeigt die Tatsache, wie schnell im Internet die Informationen weitergetrommelt wurden, wie man den Sim-Lock bei subventionierten Billig-Handies mit Prepaid-Karte ausschaltet.


Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzulässig und strafbar.

Copyright (C) 09/2000 by Howard Fuhs

 

Fuhs Security Consultants
 
Alle Rechte
vorbehalten!

 
 Realisation:
Frank Ziemann
Home Impressum


WebCam
24h WorldTimer PCI DSS Publikationen Digital Publishing EN English
Thema 00
Hier finden Sie Information über Dinge, von denen wir jetzt noch nichts verraten wollen.
Fallbeispiele
Fallbeispiele aus der alltäglichen Datenunsicherheitspraxis.
Neues
Aktuelle Neuigkeiten und Medieninformationen.
Service
Sichern Sie Ihr Unternehmen durch unsere Dienstleistungen und Serviceangebote ab.
Fallbeispiele
Die neue 24h WorldTimer Uhrenserie mit standardisierter astronomischer Zeitangabe nach ISO 8601 für 24-Stunden-Umgebungen
PCI DSS
Dienstleistungen und Serviceangebote rund um den Payment Card Industry Data Security Standard
Publikationen
Fachartikel und Buchmanuskripte von Howard Fuhs.
Digital Publishing
Publikationen von Howard Fuhs auf CD-ROM.
EN English pages
Please find here our English pages for international visitors.
      E-Mail
Sie erreichen uns
per E-Mail unter
  info@fuhs.de
    Realisation
EDV-Beratung
Frank Ziemann
www.fz-net.com
Themen  
Themen
Papers Satellite Hacking
Fachartikel deutsch
Präsentationen
Fachartikel englisch
Bücher von Howard Fuhs
Buchrezensionen
Medienberichte
Datensicherheitsinfos
Sicherheitsinfos
Computerviren und ihre Vermeidung
Information Security Bulletin
Bilder PCBRL
Bilder DCF77
Jokes
Fachartikel deutsch
Deutsche Fachartikel von Howard Fuhs.
Präsentationen
Präsentationen von Howard Fuhs.
Fachartikel englisch
Englische Fachartikel von Howard Fuhs.
Sicherheitsinformationen
Sicherheitsinformationen auch aus Quellen des Computeruntergrunds.
Computerviren und ihre ...
Buchmanuskript von Howard Fuhs über Computerviren, erstmals veröffentlicht 1993.
Jokes
Einfach nur Witze.
Bücher von Howard Fuhs
Buchveröffentlichungen von Howard Fuhs.
Howard Fuhs in den Medien
Medienbericherstattung über Howard Fuhs.
Datensicherheitsinformationen
Allgemeine Datensicherheitsinformationen von Howard Fuhs.
Bilder PCBRL
Technische Bilder von Howard Fuhs für das Printed Circuit Board Research Lab.
Information Security Bulletin
Deutsche Ausgaben des Information Security Bulletin von CHI-Publishing Ltd., UK.
Papers Satellite Hacking
Englische Texte zum Vortrag Satellite Monitoring, Satellite Hacking and Satellite Security
DCF77 Funkuhr
Vintage Gallery - Bilder einer DCF77 Funkuhr von 1972
Buchrezensionen
Howard Fuhs bespricht Fachbücher