2020er

#101: Die Zeitbombe im Code

Kommentar verfassen / Podcast /

Im Frühjahr 2023 fielen reihenweise FPV-Brillen des Herstellers Orqa aus. Diese Brillen werden normalerweise zur Steuerung von Drohnen verwendet. Doch plötzlich blieben die Brillen beim Startvorgang hängen. Orqa berichtete, dass ein früherer Auftragnehmer Schadcode in die Firmware eingeschleust hatte, der nun alle Geräte lahmlegte – mit der Absicht, Lösegeld zu erpressen. Jeder Auftragnehmer präsentierte daraufhin eine völlig andere Sicht der Dinge. Es habe sich lediglich um eine abgelaufene Lizenz gehandelt, was Orqa auch gewusst habe.

Der wahre Sachverhalt ist nicht öffentlich bekannt. Dennoch kann man aus der Geschichte einiges über Qualitätssicherung lernen.

Sprecher & Produktion: Wolfgang Schoch
Musik: BACKPLATE von https://josephmcdade.com

#101: Die Zeitbombe im Code Weiterlesen »

#97: Unser Stromnetz

Kommentar verfassen / Podcast /

Am 25. Juni 2024 fand an der europäischen Strombörse EPEX Spot eine teilweise Entkopplung der Teilmärkte statt. Grund dafür war ein Fehler in der Software der Börse. In der Folge konnte kein gesamteuropäischer Preis gebildet werden. In der Folge stiegen die Preise für eine Megawattstunde zeitweise auf bis zu 2.300 € – bei einem regulären Preis von rund 100 €.

Die Versorgungssicherheit in Europa wurde dadurch nicht beeinträchtigt. Der Fall zeigt aber, dass wir ein hochkomplexes und dennoch robustes System haben. In dieser Folge werfen wir einen Blick hinter die Kulissen des Strommarktes.

Sprecher & Produktion: Wolfgang Schoch
Musik: BACKPLATE von https://josephmcdade.com

#97: Unser Stromnetz Weiterlesen »

#96: Der große Postskandal

Kommentar verfassen / Podcast /

Als 1999 bei der britischen Post ein neues Softwaresystem namens Horizon eingeführt wurde, war eigentlich schon klar, dass dies nicht reibungslos verlaufen würde. Zu viele Probleme waren im Vorfeld aufgetreten. Aber nachdem bereits eine Milliarde Pfund in das Projekt geflossen waren, wollte man die Software auch nicht einfach aufgeben.

Und so wurden nach und nach 19.000 kleine und unabhängige Postämter, so genannte Sub-Postoffices, mit dem System ausgestattet. Schon bald gab es Beschwerden über fehlerhafte Abrechnungen. Doch die Post wollte das nicht wahrhaben und bezichtigte die Subpostmeister des Diebstahls. Damit begann ein Unrecht, das mehr als zwei Jahrzehnte andauern sollte. Menschen verloren ihr Geld, ihre Freiheit und in einigen Fällen sogar ihr Leben.

Eine Wende zeichnete sich erst ab, als ein Betroffener, Alan Bates, dies nicht mehr hinnehmen wollte. Er kämpfte zwanzig Jahre lang um Gerechtigkeit für sich und andere. Und am Ende hatte er Erfolg.

Diese Episode erzählt die Geschichte des großen Postskandals. Und am Ende gibt es leider kein richtiges Happy End. Denn keine Entschädigung der Welt kann das Leid wieder gut machen, das so viele Betroffene erfahren mussten.

Sprecher & Produktion: Wolfgang Schoch
Musik: BACKPLATE von https://josephmcdade.com

#96: Der große Postskandal Weiterlesen »

#93: Fahrrad Hacking

Kommentar verfassen / Podcast /

Moderne Schaltanlagen basieren auf modernster Elektronik. Die Zeiten, in denen mechanisch geschaltet wurde, sind vorbei. Heute werden die Schaltsignale vom Lenker per Funk übertragen und in hochpräzise Schaltvorgänge umgesetzt.

Im Rahmen einer Sicherheitsanalyse hat ein Forschungsteam eine Schwachstelle in der DI2-Schaltung von Shimano gefunden. Durch einen Replay-Angriff konnten Schaltsignale abgefangen und erneut gesendet werden, um ungewollte Schaltvorgänge durchzuführen.

In Profi-Rennen, wo es um jede Sekunde geht, kann dies ein gefährlicher Angriffsvektor sein.

Sprecher & Produktion: Wolfgang Schoch
Musik: BACKPLATE von https://josephmcdade.com

#93: Fahrrad Hacking Weiterlesen »

#92: Die Polnische Bahn und die Hacker

Kommentar verfassen / Podcast /

Züge müssen regelmäßig gewartet werden. Diese Aufgabe übernimmt natürlich gerne der Hersteller. Und in der Regel werden für neu angeschaffte Züge auch entsprechende Wartungsverträge abgeschlossen.

So auch für die Züge des polnischen Herstellers Newag. Als Anfang der 2020er Jahre einige Wartungsverträge auslaufen, suchen die Betreiber nach Alternativen. Und finden sie in Form von unabhängigen Werkstätten.

Doch plötzlich gibt es Probleme. Denn nach den Wartungsarbeiten können einige Züge nicht mehr in Betrieb genommen werden. Die polnische Firma SPS ist davon betroffen und sucht externe Hilfe bei der Fehlersuche.

Und die kommt in Form von drei Hackern der Gruppe Dragon Sector. Nach zwei Monaten gelingt es den Hackern, einen betroffenen Zug wieder in Betrieb zu nehmen. Ihre Analyse ist spektakulär. Denn sie zeigt, dass der Hersteller offenbar verschiedene Mechanismen in die Steuerungssoftware eingebaut hat, die die Züge im Falle einer Fremdwartung blockieren.

Sprecher & Produktion: Wolfgang Schoch
Musik: BACKPLATE von https://josephmcdade.com

#92: Die Polnische Bahn und die Hacker Weiterlesen »

#91: Jackpot

Kommentar verfassen / Podcast /

Im Casino „The Star“ in Sydney kam es bei den TICO-Automaten (Ticket In, Cash Out) zu einem gravierenden Softwarefehler, durch den Spieler innerhalb von nur 13 Tagen unrechtmäßig Auszahlungen in Höhe von insgesamt 3,2 Millionen australischen Dollar (etwa 1,9 Millionen Euro) vornehmen konnten. Der Fehler ermöglichte es ihnen, zwei Gewinnscheine gleichzeitig einzuscannen, wobei das System nur einen Schein einbehielt und den anderen zurückgab. Dadurch konnten die Spieler den zurückgegebenen Schein wiederholt einlösen und sich mehrfach auszahlen lassen.

Erst nach sechs Wochen wurde der Fehler bemerkt, was zu erheblichen finanziellen Einbußen für das Casino führte. Nach der Entdeckung leitete das Casino rechtliche Schritte gegen 43 Personen ein, die die Schwachstelle ausgenutzt hatten. Dieser Vorfall wirft nun ernste Fragen zur Sicherheitsüberwachung und zu Kontrollmechanismen in der Glücksspielbranche auf, da Kritiker dem Casino mangelhafte Systemkontrollen und unzureichende Überprüfung seiner Abläufe vorwerfen.

Sprecher & Produktion: Wolfgang Schoch
Musik: BACKPLATE von https://josephmcdade.com

#91: Jackpot Weiterlesen »

#90: Der vergessene Server

Kommentar verfassen / Podcast /

Das WHOIS-Protokoll ist gut 50 Jahre alt und damit einer der ältesten Dienste im Internet. Mit ihm können Informationen über die Inhaber von Domains und IPs abgefragt werden. Dieser Dienst ist dezentral organisiert. Die verschiedenen Vergabestellen für Domains betreiben eigene WHOIS-Server.

Im Fall der Top Level Domain .MOBI hat sich die Domain des eigenen WHOIS-Servers geändert. Die alte Domain wurde irgendwann nicht mehr verlängert und lief aus. Ein Team einer Cybersicherheitsfirma wurde darauf aufmerksam und registrierte diese Domain. Und sie staunten nicht schlecht, denn die eigentlich obsolete Domain wurde noch rege genutzt.

Und so kam die Frage auf, was man damit machen könnte. Die Antwort überraschte selbst die Profis: Eine ganze Menge. Zumindest theoretisch, denn aus ethischen und rechtlichen Gründen führten sie ihre Angriffe nicht bis zum Ende durch.

Sprecher & Produktion: Wolfgang Schoch
Musik: BACKPLATE von https://josephmcdade.com

#90: Der vergessene Server Weiterlesen »

#88: Ortung für alle

Kommentar verfassen / Podcast /

Apple hat die AirTags 2021 vorgestellt. Ein AirTag sieht aus wie eine etwas dickere Münze und funktioniert mit einer Batterie für etwa ein Jahr. Der AirTag enthält weder einen GPS-Empfänger noch ein Mobilfunkmodem. Stattdessen nutzt er zur Positionsbestimmung und Kommunikation das „Wo ist?“-Netzwerk, das aus allen existierenden iPhones, iPads und Apple Watches besteht. Und das funktioniert inzwischen sehr gut.

Viele Menschen nutzen AirTags für ihre Geldbörsen, Schlüssel oder Taschen. Aber es gibt auch unkonventionelle Anwendungen. Einige davon werden in dieser Episode erzählt.

Sprecher & Produktion: Wolfgang Schoch
Musik: BACKPLATE von https://josephmcdade.com

#88: Ortung für alle Weiterlesen »

#86: Der Snackautomat, der zu neugierig war

Kommentar verfassen / Podcast /

Was hat Gesichtserkennungssoftware in einem Süßigkeitenautomaten zu suchen?Die Technologie war ein sogenannter demographischer oder optischer Sensor, mit dem Daten über die Kundschaft gesammelt werden sollten. Eine schöne Bezeichnung für eine Kamera.

Laut Hersteller soll damit erkannt werden, ob sich überhaupt Personen vor dem Automaten befinden. So ähnlich wie ein Bewegungsmelder. Und sicher kein Grund zur Aufregung. Aber die Technik ging noch weiter. So kann der Sensor auch Alter und Geschlecht schätzen.

Für Werbetreibende eine tolle Sache. Für den Kunden sieht es anders aus. Denn es fehlt der Hinweis, welche Kamera im Spiel ist und wie sie eingesetzt wird.

Der Hersteller versichert zwar, dass die Daten nur lokal verarbeitet und keine Bilder gespeichert werden. Dennoch sollte der zunehmende Einsatz von Tracking-Technologien genau beobachtet werden. Denn einmal erhobene Daten können leicht missbraucht werden.


Sprecher & Produktion: Wolfgang Schoch
Musik: BACKPLATE von https://josephmcdade.com

#86: Der Snackautomat, der zu neugierig war Weiterlesen »

#85: CrowdStrike: Global Offensive

Kommentar verfassen / Podcast /

Bei der Software Falcon Sensor der Firma CrowdStrike handelt es sich um eine sogenannte Endpoint Security Software. Eine Art moderner Virenscanner für Unternehmen. Und in einem Update, das für diese Software ausgeliefert wurde, steckte ein Fehler, der zum sofortigen Absturz des gesamten Systems führte.

Durch die mangelhafte Qualitätssicherung bei CrowdStrike wurde dies leider nicht vorher bemerkt, so dass mindestens 8,5 Millionen PC’s von diesem Fehler betroffen waren.

Sprecher & Produktion: Wolfgang Schoch
Musik: BACKPLATE von https://josephmcdade.com

#85: CrowdStrike: Global Offensive Weiterlesen »