Ihnen wurde wahrscheinlich gesagt, dass es gefährlich ist, unerwartete Anhangsdateien in Ihrer E-Mail zu öffnen - genau so, wie Sie keine verdächtigen Pakete in Ihrem Postfach öffnen sollten. Aber wurden Sie davor gewarnt, unbekannte QR-Codes zu scannen oder ein Foto mit Ihrem Telefon aufzunehmen? Neue Forschungen deuten darauf hin, dass Cyberangriffe Kameras und Sensoren in Telefonen und anderen Geräten ausnutzen könnten.

Als jemand, der forscht 3-D Modellierungeinschließlich Bewertung von 3-D gedruckten Objekten um sicher zu sein, dass sie Qualitätsstandards erfüllen, bin ich mir bewusst, dass ich anfällig für Methoden bin, bösartigen Computercode in der physischen Welt zu speichern. Die Arbeit unserer Gruppe befindet sich im Labor und ist noch nicht auf Malware gestoßen, die in 3-D Druckanweisungen versteckt oder in der Struktur eines gescannten Objekts kodiert ist. Aber wir bereiten uns auf diese Möglichkeit vor.

Im Moment ist es nicht sehr wahrscheinlich für uns: Ein Angreifer würde sehr spezielles Wissen über die Funktionen unseres Systems benötigen, um es erfolgreich angreifen zu können. Aber der Tag kommt, an dem Eindringlinge durch normale Kommunikation mit einem Computer oder Smartphone auftreten können. Produktdesigner und Benutzer müssen sich der Risiken bewusst sein.

Übertragung von Infektionen

Damit ein Gerät infiziert oder kompromittiert werden kann, muss die schändliche Partei herausfinden, wie der Computer die Malware speichern oder verarbeiten kann. Das Mensch an der Tastatur war ein gemeinsames Ziel. Ein Angreifer könnte eine E-Mail senden, die dem Nutzer mitteilt, dass er im Lotto gewonnen hat oder in Schwierigkeiten geraten wird, wenn er nicht auf eine Arbeitsaufsicht reagiert. In anderen Fällen ist ein Virus so konzipiert, dass er unbeabsichtigt durch routinemäßige Softwareaktivitäten ausgelöst wird.

Forscher an der Universität von Washington testeten kürzlich eine andere Möglichkeit, Einbetten eines Computervirus in DNA. Die gute Nachricht ist, dass die meisten Computer einen elektronischen Virus nicht von schlechter Software - Malware genannt - in einem biologischen Virus einfangen können. Das DNA-Infektion war ein Test des Konzepts, einen Computer anzugreifen, der zum Lesen ausgerüstet war digitale Daten in DNA gespeichert.

Wenn unser Team ein gedrucktes 3-D-Objekt scannt, speichern und verarbeiten wir die Daten aus den Bildern, die wir sammeln. Wenn ein Angreifer analysiert, wie wir dies tun, könnten sie - vielleicht - einen Schritt in unserem Prozess identifizieren, der anfällig für kompromittierte oder beschädigte Daten wäre. Dann müssten sie ein Objekt für uns entwerfen, das uns diese Daten liefern würde.

Näher zu Hause, wenn Sie ein scannen QR-CodesIhr Computer oder Telefon verarbeitet die Daten im Code und unternimmt einige Maßnahmen - vielleicht eine E-Mail senden oder zu einer bestimmten URL gehen. Ein Angreifer könnte in einer Code-Reader-App einen Fehler finden, der es ermöglicht, bestimmten genau formatierten Text auszuführen, anstatt nur gescannt und verarbeitet zu werden. Oder es könnte sein etwas, das entwickelt wurde, um Ihr Telefon zu beschädigen Warten auf der Zielwebsite.

Ungenauigkeit als Schutz

Die gute Nachricht ist, dass die meisten Sensoren weniger Präzision als DNA-Sequenzer haben. Zum Beispiel sammeln zwei Handy-Kameras, die auf das gleiche Objekt zeigen, etwas andere Informationen, basierend auf Beleuchtung, Kameraposition und wie nah sie herangezoomt ist. Selbst kleine Variationen könnten codierte Malware funktionsunfähig machen, weil die erfassten Daten nicht immer genau genug sind in funktionierende Software zu übersetzen. Es ist also unwahrscheinlich, dass das Telefon einer Person nur gehackt wird, indem man ein Foto von etwas macht.

Aber einige Systeme, wie QR-Code-Leser, enthalten Methoden zur Korrektur von Anomalien in abgetasteten Daten. Und wenn die Sensorumgebung stark kontrolliert wird, wie bei unseren jüngste Arbeit zur Bewertung des 3-D-DrucksEs ist einfacher für einen Angreifer, die Sensorwerte vorhersehbarer zu beeinflussen.

Was vielleicht am problematischsten ist, ist die Fähigkeit zum Erfassen, um ein Gateway in Systeme zu bringen, die ansonsten sicher und schwer anzugreifen sind. Zum Beispiel, um die Infektion unseres 3-D Druckqualitätserfassungssystem durch einen konventionellen Angriff zu verhindern, wir vorgeschlage auf einem anderen Computer, einem vom Internet und anderen möglichen Cyberangriffen getrennt. Das System muss jedoch weiterhin das gedruckte 3-D-Objekt scannen. Ein böswillig entworfenes Objekt könnte eine Möglichkeit sein, dieses ansonsten getrennte System anzugreifen.

Screening zur Prävention

Viele Softwareentwickler denken noch nicht darüber nach, ob Hacker sensible Daten manipulieren können. Aber in 2011 konnten iranische Regierung Hacker eine US-Spionage-Drohne einfangen auf diese Weise. Programmierer und Computeradministratoren müssen sicherstellen, dass die erfassten Daten vor der Verarbeitung überprüft und sicher gehandhabt werden, um ein unerwartetes Entführen zu verhindern.

Neben der Entwicklung sicherer Software kann ein anderer Systemtyp helfen: An Intrusion Detection System kann nach häufigen Angriffen, ungewöhnlichem Verhalten oder auch dann suchen, wenn Dinge, die erwartet werden, nicht passieren. Sie sind natürlich nicht perfekt, manchmal Angriffe können nicht erkannt werden und bei anderen legitime Aktivitäten fälschlicherweise als Angriffe bezeichnen.

Computergeräte, die die Umgebung sowohl wahrnehmen als auch verändern, werden immer häufiger - unter anderem in Fertigungsrobotern, Drohnen und selbstfahrenden Autos. In diesem Fall steigt das Angriffspotenzial für physische und elektronische Elemente deutlich an. Angreifer empfinden es möglicherweise als sehr attraktiv, schädliche Software in die physische Welt einzubetten. Sie warten nur darauf, dass ahnungslose Personen sie mit einem Smartphone oder einem spezielleren Gerät scannen. Die bösartige Software wird unsichtbar versteckt und wird zu einer Art "Schläferagent", der die Entdeckung vermeiden kann, bis sie ihr Ziel erreicht - vielleicht tief in einem sicheren Regierungsgebäude, einer Bank oder einem Krankenhaus.

Über den Autor

Jeremy Straub, Assistenzprofessor für Informatik, North Dakota State University

Dieser Artikel wurde ursprünglich veröffentlicht am Das Gespräch.. Lies das Original Artikel.

Bücher zum Thema:

at InnerSelf Market und Amazon