Mitternachtshacking

Das Fraunhofer Institut für Integrierte Schaltungen (IIS) hat laut Heise eine Software entwickelt, die menschliche Stimmungen analysieren soll. Das klingt auf den ersten Blick fast unmöglich, wenn man sich mit der dahinterliegenden Theorie jedoch ein wenig beschäftigt eigentlich gar nicht mehr so absurd. Weil Heise leider nichts dazu schreibt, hier ein paar Hintergundinformationen:

Zur Kodierung von menschlichen Stimmungen anhand des Gesichtsausdrucks gibt es das bereits 1978(!) das von Paul Ekman und Wallace V. Friesen entwickelte und als Loseblattsammlung mit Filmsequenzen publizierte Facial Action Coding System. Das FACS-Manual definiert eine Vielzahl sogenannter Action Units (AUs), das sind sichtbare Bewegungen der mimischen Muskulatur. Eine Action Unit kann entweder ein einzelner Muskel (z.B. Heben der Augenbraue) oder in mehreren Fällen eine Kombination aus mehreren Muskeln (z.B. Kußmund) sein, die zusammen einen bestimmten Gesichtsausdruck ergeben. In seltenen Fällen gibt es zu einem realen Muskel auch mehrere Action Units (z.B. Blinzeln und Senken der Augenlieder), wenn dieser Muskel verschiedene Mimiken erlaubt. Das FACS-Manual dekodiert den beobachteten Gesichtsausdruck in die spezifischen AUs, aus denen sich der Ausdruck zusammensetzt. Zusätzlich fließen in den FACS-Score Werte wie Intensität (auf einer Skala von A-E), Dauer und Asymmetrie des Gesichtsausdrucks ein.

Für jeden Gesichtsausdruck gibt es im Facial Action Coding System Affect Interpretation Dictionary (FACSAID) eine psychologische Interpretation. Die Gesichtsausdrücke in der Datenbank werden anhand ihres FACS-Score beschrieben und bestehen hauptsächlich aus emotionalen Einschätzungen. Eine Art Expertensystem oder Regelsätze kommt nicht zum Einsatz, um die Datenbank einfach benutzbar zu halten.

Da FACS extrem umfangreich ist, da es praktisch alle überhaupt möglichen Gesichtsausdrücke spezifiziert, kommt in der Praxis häufig eine abgespeckte Version zum Einsatz, die nur wichtige emotionale Gesichtsausdrücke kodiert, EMFACS (Emotion FACS). EMFACS wurde in den 80er Jahren hauptsächlich für US Behörden entwickelt, um die Zeit für ein Scoring zu veringern, wenn nur der aktuelle emotionale Gesichtsausdruck gefragt wird. Während eine komplette FACS-Analyse eines Fotos bis zu zwei Stunden dauern kann, ist eine EMFACS-Bewertung oft in weniger als einer Minute, manchmal auf den ersten Blick heraus möglich. Mindestens seit 2006 bildet Ekman auch Beamte des US Department of Homeland Security sowie Sicherheitsbeamte an Flughäfen aus, die möglicherweise nervöse Passagiere als Terroristen entlarven sollen. Beim DHS nennt sich das übrigens Screening Passengers by Observational Techniques, kurz SPOT.

Und jetzt ist es vielleicht an der Zeit, sich langsam Sorgen zu machen. Der Satz: “Als ein mögliches Einsatzszenario nennt das Institut die Messung der Reaktion auf öffentliche Werbung.” ist natürlich Blödsinn. Die Technik wandert direkt in Schäubles Ãœberwachungsarsenal. Das ist schließlich genau das, was sich Sicherheitsbeamte seit langem wünschen: Echtzeit-Auswertung des Gefühlszustand einer großen Anzahl von Personen.

Ach ja, das Fraunhofer Institut ist nicht das einzige, das daran arbeitet. Mindestens die Sandia National Labs sind auch mit dabei. Nur schreiben die ehrlicherweise: “Sandia is developing technology to help prevent border incidents”. Und in Holland gibt es sogar einen kommerziellen Anbieter.

Ich sterbe gleich vor lachen … das ist die schönste Form, Passwörter zu sammeln, die ich je gesehen habe … aber dazu gleich mehr.

Social Engineering ist bekanntlich die beste und erfolgreichste Hacking Technik die es gibt und jemals geben wird. Und wenn man so zu sensiblen Daten und Passwörtern kommt, umso besser. In der Theorie unterscheidet man drei verschiedene Begriffe:

1. Computer-based Social Engineering: Das sind alle Betrugsversuche, die Computertechnik beinhalten. Angefangen von der E-Mail vom BKA mit dem wichtigen Attachment (die unser ach so kompetenter bayrischer Innenminister Beckstein beinahe angeklickt hätte, weil er dachte es handelt sich um eine dienstliche Mail. Seine Frau hat ihn davor bewahrt, die gäbe vermutlich auch einen kompetenteren Innenminister ab) über die gängigen Phishing-Webseiten bis hin zu allen möglichen Tricks im Internet.
2. Human-based Social Engineering: Also alle Betrugsversuche, die keinen Computer benötigen. Angefangen von den Cold Call Techniken am Telefon zum Wechsel des Anbieters über die Tricks in die Disko zu kommen bis hin zum genialen Diamantendiebstahl neulich in Antwerpen.
3. Reverse Social Engineering: Die beste Technik überhaupt. Da muß ich nicht etwa den Benutzer dazu bringen, mit etwas zu geben sondern der Benutzer kommt mit einem Problem bereits zu mir und benötigt eine Lösung.

Computer-based Social Engineering ist dabei in der Regel das einfachste, man erstellt eine clever gestaltete E-Mail oder Webseite und schon ist man dabei.

So wie diese hier von Mark Burnett auf xato.net. Die Idee ist so trivial wie einfach: Ein Eingabefeld und dazu der Text:

Online Password Checker - How Common is Your Password? Just enter your password in the text box and click on the […] button.

Köstlich. Den muß ich gleich mal ausprobieren. Am besten mit unserem Root-Passwort. Da wollte ich schon lange mal wissen, wie gut das ist. Und kluger Weise schreibt er dann auch sofort dazu: “no this isn’t a way to collect your passwords”. Ich bin echt beeindruckt.

Gut, bei Mark ist das vermutlich kein Phishing-Versuch, die Suche geht wirklich zu Google. Ok, Google speichert das Passwort dann die nächsten 24 Monate. Aber die Datenkrake weiß ja sowieso schon alles, oder?

Didier Stevens hat ein interessantes Experiment durchgeführt. Er hat eine Google-Anzeige geschaltet, mit dem Text:

Drive-By Download
Is your PC virus-free?
Get it infected here!
drive-by-download.info

Das Ergebnis war nicht sonderlich überraschend: die Leute klicken auf alles! Innerhalb von 6 Monaten wurde die Anzeige 259.723 mal angezeigt und 409 Leute haben darauf geklickt. Bei Kosten von 17 € für die Anzeige. Nicht schlecht … 4 Cent pro infizierten Rechner.

Im großen und ganzen bringt uns das Experiment folgende Weisheiten:

• User sind dumm. User klicken auf alles, es sei denn man nimmt ihnen die Maus weg
• Social Engineering ist gar nicht nötig, so dumm sind die User
• Werbung scheint inzwischen effizienter und günstiger zu sein als Spam zu verschicken
• Google is evil. Statt die Nutzer vor bösartigen Anzeigen zu schützen wird lieber das Geld eingesteckt.

Also nichts neues hier. Bitte weiterzugehen, nicht stehenbleiben. Es gibt nichts zu sehen.

Netter Artikel auf The Register: Chocolate the key to uncovering PC passwords

“Eine Studie unter 300 Büroangestellten, durchgeführt von Infosecurity Europe an einem Londoner Bahnhof zeigte, daß 64% der Befragten ihr PC-Passwort für eine Tafel Schokolade und ein nettes Lächeln herausgeben würden.”

und weiter:

“Die Studie zeigte außerdem, daß 29% der Angestellten das Passwort eines Kollegen wissen. Außerdem gibt es immer jemanden, der das Passwort des Chefs hat.”

nichts neues soweit … aber jetzt:

“Auf einer IT Konferenz wurden die Teilnehmer zuerst nach dem häufigsten Passwort und anschließend nach ihrem eigenen Passwort gefragt. Nur 22% der Befragten gaben ihr Passwort heraus … Durch weitere Social Engineering Techniken verrieten weitere 42% der Teilnehmer ihr Passwort … Was viele ITler nicht realisierten war, daß zusätzlich ihr Name und ihr Arbeitgeber auf den Teilnehmer-Badges stand”

Ahhh, Social Engineering ist schon was cooles …

Da fällt mir die alte Empfehlung wieder ein: Man nehme einen beliebigen Satz, davon die Anfangsbuchstaben und hat ein gutes Passwort. Ok, dann nehme ich: “Gabi erwartet heute einen indischen Mitarbeiter”.