Ich bin ein bisschen schusselig. Das zeigt sich unter anderem an meinen Hausschuhen. Ich lasse die ständig irgendwo in der Wohnung stehen und suche dann ewig lange, bis ich sie wiederfinde. Während dieser Suchaktion laufe ich durch die Wohnung wie Falschgeld und werde zusehend ungehaltener.

Als ich bei einer solchen Suche kürzlich 0tt0 fragte, ob er zufällig meine Hausschuhe gesehen hätte, guckte er nicht mal vom Monitor weg: "Hast du schon in der Küche gegoogelt?"

Vor nicht allzu langer Zeit habe ich erste Erforschungen des Teensy-Zauberstöckchens begonnen. Wie schon geschildert, kann man diesen USB-Entwicklerstick dazu überreden, dass er sich als USB-Tastatur ausgibt. Schließt man ihn dann an einen Rechner an, kann der Teensy-Stick beliebige Tasteneingaben an das System schicken. Es dürfte klar sein, was das für Eingaben sein können. Grob umrissen: Öffne eine Administrator-Konsole, lade einen Trojaner herunter, deaktiviere die AntiVirus-Software, übernimm den Rechner! Der ganze Vorgang dauert keine 30 Sekunden.

Allerdings hat es sich natürlich inzwischen herumgesprochen, dass von USB-Sticks eine gewisse Gefahr ausgehen kann. Darum ist es beispielsweise nicht besonders aussichtsreich, einen Sitznachbarn im Café oder im Zug anzusprechen und zu bitten, einen USB-Stick an seinen Laptop anschließen zu dürfen. Mit ziemlicher Sicherheit wird dieses Anliegen abgelehnt werden. Wenn man allerdings denselben Nachbarn bitten würde, das Handy für ein paar Minuten an den USB-Port anschließen zu dürfen, weil der Akku fast leer ist, hätte man wohl bessere Chancen. Von trojanertragenden Mobiltelefonen hat nämlich bisher kaum jemand etwas gehört.

Das dürfte sich demnächst ändern: Auf der gerade zu Ende gegangenen Black-Hat-Konferenz zeigten nämlich Angelos Stavrou und Zhaohui Wang den oben beschriebenen Teensy-Angriff mit Hilfe eines Android-Handys. Sie konnten die USB-Software des Open-Source-Betriebssystems modifizieren, sodass sich auch das Mobiltelefon als Tastatur am Rechner anmeldete. Danach war es ein Leichtes, beliebige Eingaben an den so beglückten PC zu schicken. Windows und Mac OS reagieren zwar mit einem Informationsfenster auf den Anschluss des Pseudo-Keyboards, das dürfte aber kaum einen Nutzer misstrauisch genug machen. Linux-Systeme äußerten sich zum Anschluss des präparierten Android-Telefons gleich gar nicht.

Der Trojaner, den sich Stavrou und Wang ausgedacht haben, ist also auch – wie eine Tastatur – plattformübergreifend. Nicht nur Windows, Linux und Mac OS gehören zu den potentiellen Opfern, sondern auch Handy-Betriebssysteme. Dass Android befallen werden kann, liegt auf der Hand. Aber auch für das iOS von iPhone und iPad sowie für Windows Mobile ließen sich Portierungen verfassen. Die USB-Schnittstelle, die all diese Systeme vereint, könnte bald zum Einfallstor für eine neue Generation von Universalviren werden.

Da die (Un)Sicherheit von Apples iOS gerade schon am Rande Thema war, möchte ich noch die folgende Episode nachschieben. Sie wirft ein bezeichnendes Licht auf die Politik, die Apple seinen Kunden gegenüber an den Tag legt. Am Gehäuse des iPhone4 und jüngeren MacBooks Air verwendet der Steve-Jobs-Konzern kleine Schrauben, für die es praktisch keine Schraubenzieher gibt. Die Schrauben sind so neu, dass es noch nicht mal einen fest stehenden deutschen Namen für sie gibt. Sie werden wahlweise als "Pentalob", "Pentalobular", "Pentalobe" oder einfach "iPhone-Schrauben" bezeichnet. Sie sehen so ähnlich aus wie Torx-Schrauben, lassen sich mit Torx-Drehern aber nicht bewegen.

Apple illustriert damit, dass es seinen Kunden den Zutritt zum Innenleben der Geräte mit allen Mitteln versperren möchte. Angesichts der offensichtlichen Einfachheit, mit der eine solche Aussperrmaßnahme aber zu überwinden ist, wirkt das nur zickig und dumm. Natürlich gibt es inzwischen entsprechende Penta-Dingsbums-Schraubenzieher zu bestellen und auf Wunsch kann man sich auch normale Kreuzschrauben als Ersatz für den Apple-Unsinn mitliefern lassen. Das Einzige, was die Steve-Jobs-Lakaien mit solchen Stunts erreichen, ist eine gesteigerte Aufmerksamkeit der Hacker-Community. So etwas schützt nicht vor Hackern, es zieht sie an!

Diese Lektion musste auch Sony bekanntlich vor Kurzem lernen. Nachdem man dort beschlossen hatte, kein Linux-Betriebssystem mehr auf der PlayStation 3 zuzulassen, dauerte es kein Jahr, bis die bis dahin wasserdichte Konsole gehackt wurde. Nun hat auch Sony einen Zickenanfall bekommen und verklagt die verantwortlichen Hacker. George Hotz alias geohot und die Mitglieder von fail0verflow sollen sich vor einem kalifornischen Gericht verantworten, weil sie nach Sonys Ansicht das Ausführen von Raubkopien auf der PS3 möglich gemacht haben. Die Hacker bestreiten dies natürlich engagiert und setzen dagegen, dass sie nur ihr Linux zurückhaben wollten. Wie dieses Verfahren auch ausgeht – Sony scheint es genau wie Apple nicht ertragen zu können, die Alleinherrschaft über die eigene Hardware zu verlieren.

Viel souveräner verhält sich dagegen Microsoft. Nachdem nämlich der bereits genannte geohot angekündigt hat, sich in Zukunft mit Windows Phone 7 beschäftigen zu wollen, bekam er prompt ein entsprechendes Smartphone aus Redmond zugeschickt. Bei Microsoft ist man an "engen Verbindungen [...] zu Entwicklern und Enthusiasten interessiert" und ist "gespannt, was wir von diesen Kreisen lernen können". Sony und Apple sollten ebenso gespannt sein, was sie von Microsoft lernen können.

Es hat inzwischen etwas Skurriles: Immer, wenn ich vom Landgericht Hamburg höre, muss ich schmunzeln. Die Urteile, die uns so von der Waterkant erreichen, haben inzwischen einen höheren Unterhaltungs- als juristischen Wert für mich. Auch der letzte Richterspruch fällt in die Ulkkategorie. Es wurde nämlich befunden, dass Betreiber von Internet-Cafés für die Rechtsübertretungen ihrer Kunden haftbar gemacht werden können. Konkret war über einen der Rechner eines Internet-Cafés ein aktueller Kinofilm in einer P2P-Tauschbörse angeboten worden. Welcher Kunde dafür verantwortlich war, interessierte das LG Hamburg nicht, es verurteilte einfach den Betreiber zu Schadenersatz, basierend auf einem Streitwert von 10.000 Euro.

Sollte dieses Urteil Bestand haben, werden wohl bald auch Betreiber von WLANs in Cafés, Kneipen, Hotels, Restaurants, Bahnhöfen und Flughäfen, für Rechtsübertretungen ihrer Nutzer haftbar gemacht. Die daraus resultierende Unsicherheit dürfte der Todesstoß für öffentliche Internetzugänge in Deutschland sein. Zum Glück hat die Vergangenheit gezeigt, dass Urteile des Landgerichts Hamburg regelmäßig von höheren Instanzen aufgehoben werden. Ich kann also mit einiger Gelassenheit weiterschmunzeln.