Black Hat 2019: Security-Branchentreff in Las Vegas
Lücke als Programm
Zu den Pflichtterminen der IT-Sicherheitsbranche zählt die Konferenz Black Hat in Las Vegas mit Vorträgen zu Themen wie Malware, mobile Sicherheit, Faktor Mensch, Forensik, Kryptografie, Webapplikationen, Hardware und IoT.
Ein wahrlich schneller Wirkungstreffer gelang Yu Chen, Bin Ma und Zhuo Ma gleich zu Beginn der 22. Black Hat: Die Mitarbeiter von Tencent Security Labs führten vor, dass man nur eine Brille und etwas Klebeband benötigt, um die Lebenderkennung in Apples Zugangskontrollsystem FaceID auszutricksen. Dazu muss man lediglich zwei Punkte im richtigen Abstand auf dunklem Hintergrund auf die Gläser kleben (siehe Bild). Mit etwas mehr Aufwand wiesen sie darüber hinaus nach, dass sich auch Apps mit manipulierten Video- und Sprachaufzeichnungen austricksen lassen, die eigentlich erkennen sollen, ob der Sprecher authentisch ist und lebt.
Bequeme SSL-VPNs als Einfallstore
Wer mit einer Vielzahl vernetzter Anwender und Geräte zu tun hat, benötigt dafür andere Methoden. Sogenannte SSL-VPNs kommen aufgrund ihrer einfachen Implementierung und vor allem Nutzung häufig für den Remote-Zugriff auf interne Unternehmensnetze zum Einsatz. Dass sie allesamt mehr oder weniger klaffende Sicherheitslücken aufweisen, betonten Meh Chang und Orange Tsai von Devcore. Auf der Bühne zerlegten sie regelrecht die entsprechenden Produkte von Palo Alto, Pulse Secure und Fortinet. In den Fortigate-Produkten des letzteren Herstellers komme zum Teil noch modifizierter, nicht aktualisierter Apache-Code von 2002 zum Einsatz.