Benjamin Kunz Mejri

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche
Benjamin Kunz Mejri

Benjamin Kunz Mejri (* 6. Mai 1983) ist ein deutscher IT-Sicherheitsspezialist und Penetrationstester. Zu seinen Forschungsgebieten gehören Sicherheitslücken in Computersystemen, Bug Bounties, die Sicherheit von E-Payment Zahlungsdiensten und der Schutz der Privatsphäre. Mejri ist bekannt dafür, neue Sicherheitslücken aufzudecken und diese transparent zu veröffentlichen.

Leben[Bearbeiten | Quelltext bearbeiten]

Kunz Mejri wuchs in der Stadt Kassel in Hessen auf war von 2003 bis 2005 auf der Fachoberschule Kassel in der Fachrichtung Wirtschaftsinformatik. 2005 veröffentlichte er auf der Cebit in Hannover mit der Firma F-Secure zum ersten Mal einen Beitrag über eine SSL Zero-Day Sicherheitslücke in der Mozilla Firefox Browser Engine. Seit 2008 ist Mejri Forschungsleiter des Vulnerability Labs und wurde 2014 Geschäftsführer der in Kassel-Wilhelmshöhe ansässigen Evolution Security GmbH.

Forschungsgebiete[Bearbeiten | Quelltext bearbeiten]

Evolution Security[Bearbeiten | Quelltext bearbeiten]

Kunz Mejri startete 2010 die Firma Evolution Security mit dem Entwickler Pim Campers aus den Niederlanden. Die Firma ist bekannt für manuelle Sicherheitsprüfungen und das Aufdecken von Hintertüren in Betriebssystemen, Hardware oder Software. 2014 änderte die Firma ihre Rechtsform und wurde offiziell eine GmbH mit Sitz im Technologiezentrum in Kassel-Wilhelmshöhe.

Vulnerability Laboratory[Bearbeiten | Quelltext bearbeiten]

2007 auf 2008 eröffnete Kunz Mejri ein eigenes Labor zum Aufzeichnen von Sicherheitslücken. Das öffentliche Schwachstellen-Labor hat über 1.000 aktive Forscher aus dem internationalen Raum und listet über 2.000 eigens gemeldete Sicherheitslücken mit den technischen Details auf. Zusätzlich verfügt das Labor über Dokumente, Videos und Analysen aus dem Bereich IT-Sicherheit im Bezug auf Sicherheitslücken. Vulnerability Laboratory ist das erste international registrierte Schwachstellenportal für unabhängige Forscher im Bereich der IT-Sicherheit.

Sicherheitsanalyse von Skype (VoIP)[Bearbeiten | Quelltext bearbeiten]

2011 veröffentlichte Kunz Mejri auf der „Hack in the Box“-Konferenz in Kuala Lumpur, Malaysia einen der ersten Reports über Sicherheitslücken in der Skype-Software und -Architektur. Die damalige Veröffentlichung fand in Kooperation mit Skype statt. In der Präsentation erläuterte Kunz Mejri anderen Forschern seine eigenen gefundenen Sicherheitslücken.

Flughafen-Sicherheit München, Köln/Bonn und Düsseldorf[Bearbeiten | Quelltext bearbeiten]

Im Jahr 2012 meldete Kunz Mejri mehrere kritische Sicherheitslücken in der Infrastruktur deutscher Flughäfen. Die Sicherheitslücken erlaubten das Auslesen der SQL-Datenbankeinträge der Flughäfen Düsseldorf, Köln/Bonn und München. Betroffen waren auch verbundene Fluggesellschaften wie z. B. die deutsche Lufthansa oder Air Berlin. Nach der Veröffentlichung zweier Sicherheitslücken in Flughafen-Serviceseiten veränderte sich die digitale Sicherheitsarchitektur der betroffenen Firmen dauerhaft.[1]

Microsoft- und Skype-Account-System[Bearbeiten | Quelltext bearbeiten]

2012 veröffentlichte Kunz Mejri vier kritische Sicherheitslücken in Microsoft über Skype, die es erlaubten, dass auf jeden Hotmail-, Live-, Xbox- und Skype-Account ohne Erlaubnis zugegriffen werden konnte. Seine Analyse mit Sicherheitsartikel floß in die Produktion der neuen Account-Systeme ein und verbesserte die Infrastruktur der Logins von Microsoft nachhaltig.[2][3]

Im Februar 2013 meldete Mejri eine kritische Sicherheitslücke in der Validierung der offiziellen Sharepoint Cloud Web-Applikation von Microsoft.[4] Anfang September 2013 untersuchten die Sicherheitsfirma Symantec und das SANS Institut die neu nachgewiesene Sicherheitslücke in Sharepoint.[5] Im gleichen Jahr wurden von Mejri 16 bestätigte Sicherheitslücken in der Office 365 Cloud Software an das Microsoft Security Response Center eingereicht. Bis Ende des Jahres 2013 wurden alle gemeldeten Sicherheitslücken durch die Entwicklungs- und Sicherheitsabteilung von Microsoft geschlossen.

Ende Juli 2017 veröffentlichte Mejri in Kooperation mit dem Microsoft Security Response Center eine als kritisch eingestufte Sicherheitslücke in Skype. Durch einen Puffer-Überlauf bei der Übertragung der Zwischenablage mit dem Remote Desktop Protokoll (RDP) konnte die Sicherheitslücke von Angreifern aus der Ferne ausgenutzt werden. Betroffen waren die Skype Windows Software Versionen 7.2, 7.35 & 7.36. [6][7][8]

Def Con Las Vegas 2013[Bearbeiten | Quelltext bearbeiten]

2013 wurde Mejri als Sprecher auf die DEF CON in Las Vegas, Nevada eingeladen, um über seine Entdeckungen in der Skype-Software zu berichten. 14 Tage vor der Konferenz wurde Kunz Mejri aus unbekannten Gründen der allgemeinen Sicherheit aus der Sprecherliste herausgenommen. Grund dafür war ein Einspruch des zum Besuch angekündigten damaligen NSA-Chefs Keith Alexander, der mit direktem Bezug auf die damals aufgedeckten Sicherheitsprobleme agierte.

Barracuda-Networks-Infrastruktur[Bearbeiten | Quelltext bearbeiten]

2013 veröffentlichte Kunz Mejri außerdem über 40 Sicherheitslücken in der Barracuda-Networks-Firewall und anderen Produkten.[9] Alle Sicherheitslücken wurden im Laufe des Jahres vom Hersteller zuverlässig geschlossen. Die ausgehändigten Dokumente wurden vom Entwicklerteam der Firma und Dave Farrow für zukünftige Prozesse aufgearbeitet. Kunz Mejri beeinflusste von 2013 bis 2014 somit dauerhaft die Sicherheit der Barracuda-Networks-Produktserie.

Apple iOS Passcode[Bearbeiten | Quelltext bearbeiten]

2014 veröffentlichte Kunz Mejri zum ersten Mal eine neuartige Sicherheitslücke in iOS V6, die es erlaubte, die Passcode-Sicherheitsfunktion zu umgehen. Die Sicherheitslücke fand sich in der Funktion für Notrufe und erlaubte den Zugriff auf das Gerät ohne die Eingabe eines Pins. Kurz darauf im gleichen Jahr entwickelte Mejri ein Exploit, das iOS-Geräte der Version V6.x in einen sogenannten „Black Screen Mode“ (Schwarzer-Bildschirm-Modus) versetzte und so den Zugriff auf den internen Speicher erlaubte. Nachdem die Sicherheitslücke veröffentlicht wurde, stiegen die Notrufe durch das missbräuchliche Ausnutzen bei Nachahmung der Sicherheitslücke im internationalen Raum um 17 %. Die Sicherheitslücke wurde von Apple einen Monat nach der Veröffentlichung geschlossen.

2015 stellte Mejri dann in einem öffentlichen Video vor, wie man die neuste Sim-Lock eines iOS-V7.x-Geräts aushebeln kann, um das Gerät unerlaubt zu benutzen. Ca. 14 Tage nach der Veröffentlichung der Sicherheitslücke wurde auch diese vom Apple Product Security Team mit einem neuen Release beseitigt.

Im März 2016 veröffentlichte Mejri eine weitere Sicherheitslücke in Siri von Apple. Siri erlaubte es durch eine weitere, nicht beschränkte Funktion, ohne Passcode oder Fingerabdruck die Gerätesperre unerlaubt zu überwinden. Apple veröffentlichte noch am gleichen Tag einen Hotfix, der die API-Calls von Siri umlenkte, um das Sicherheitsproblem temporär zu schließen.[10]

Von August auf September 2016 meldete und veröffentlichte Mejri 4 unterschiedliche Schwachstellen aus dem Bereich der Rechte-Erweiterung für iPads & iPhones mit iOS V9.x.

Im November 2016 veröffentlichte Mejri mehrere als kritisch eingestufte Sicherheitslücken in iOS V10.1.1. Die erste gemeldete Schwachstelle vom November 2016 befand sich in der Funktion für Nachrichten von gesperrten iPad/iPhone Geräten. Durch einen Fehler in Verbindung mit der "Voice-Over" Funktion, konnten lokale Angreifer die Passcode-Sicherheitsfunktion dauerhaft umgehen, um so auf sensible Gerätedaten zuzugreifen. Die zweite Sicherheitslücke aus der Veröffentlichung im Dezember 2016, erlaubte es Angreifern den aktivierten Diebstahlschutz von iOS Geräten auszuhebeln. Die Sicherheitslücke konnte durch einen lokal verursachten Buffer Overflow in Verbindung mit einem Anwendungsabsturz ausgenutzt werden.[11][12]

NASA-Mission Orion[Bearbeiten | Quelltext bearbeiten]

Am 4. Dezember 2014 veröffentlichte Kunz Mejri eine Sicherheitslücke in der Boarding-Pass-Applikation der Orion-Mission der amerikanischen Raumfahrtbehörde NASA. Die Sicherheitslücke wurde am 25. November 2014 an das CERT-Team des US-Verteidigungsministeriums übermittelt. Die Boarding-Pass-Informationen der Applikation wurden später mit Elektronenstrahllithografie auf einen Silicon-Microchip-Prototyp geschrieben, der an Bord der Raumfähre zum 4. Dezember startete. Einer der Test Exploit Payloads des Forschers wurde von der NASA nicht gelöscht und auf den isolierten Mikrochip übertragen. Mejris Exploit Payload verbrachte nach dem Launch der Rakete vier Stunden und 24 Minuten in zwei elliptischen Umlaufbahnen um die Erde mit einem Apogäum (Höhepunkt) von 5800 Kilometern. Eine Untersuchung der NASA mit einem elfköpfigen Team bestätigte, dass einer der gespeicherten Payloads im Boarding Pass versehentlich auf den Silicon-Microchip geschrieben wurde. Da der Mikrochip aber isoliert war, bestand keine Gefahr für die Technik oder das Raumfahrzeug selbst. Die NASA stellte Mejri einige Tage ein eigens präpariertes Bild bereit, mit einem Scherzeintrag von Mejri in der NASA-No-Fly-Liste.[13]

PayPal Inc & J.P. Morgan[Bearbeiten | Quelltext bearbeiten]

Von 2011 bis 2016 arbeitete Kunz Mejri an der Verbesserung der Sicherheit in PayPal sowie J.P. Morgan und eBay Inc. Bis 2016 veröffentlichte Kunz Mejri über 120 Sicherheitslücken in der PayPal-Web-Infrastruktur. Er war der erste Deutsche, der am offiziellen Bug Bounty Program der Firma PayPal erfolgreich teilnahm. 2013 meldete der Sicherheitsforscher mehrere SQL-Injection-Sicherheitslücken in PayPals BillSafe-dienstleister. 2014 fand Kunz Mejri mit Hilfe der mobilen API aus der PayPal-iOS-app eine Sicherheitslücke, die es ihm erlaubte, auf jeden Account von PayPal zuzugreifen.[14]

Wincor Nixdorf – Sparkassen-Geldautomaten und SB-Terminals[Bearbeiten | Quelltext bearbeiten]

Im Jahr 2015 veröffentlichte Kunz Mejri eine Sicherheitslücke als Reportage in SB-Terminals und Geldautomaten der Firma Wincor Nixdorf. Die Geldautomaten wurden von der Sparkasse deutschlandweit genutzt. Mit Hilfe einer Tastenkombination konnte Mejri eine Updateconsole des Administrators sichtbar machen, die Einsicht in sensible Daten gab. Die Sicherheitslücke wurde von Wincor Nixdorf dauerhaft behoben. Das Sicherheitsupdate wurde von der Sparkasse als Pilotprogramm in Hessen eingespielt und getestet. Nach der ersten Prüfung wurde das Sicherheitsupdate deutschlandweit eingespielt, um Angriffe gegen die betroffenen Geldautomaten zu verhindern.[15][16]

BMW AG & ConnectedDrive[Bearbeiten | Quelltext bearbeiten]

Im Januar 2016 veröffentlichte Kunz Mejri zwei Sicherheitslücken in den BMW ConnectedDrive Applikationen für Mobiltelefone.[17] Betroffen waren Applikationen für Apples iOS und Googles Android. Die erste Sicherheitslücke erlaubt das Auslesen der Browser Cookie Informationen beim Anmelden und Zurücksetzen der Benutzerpasswörter. Die Sicherheitslücke erlaubte das Umgehen der Anmeldefunktion durch Manipulation des `Token` Parameters. Die zweite gemeldete Sicherheitslücke wurde von BMW als kritisch eingestuft und erlaubte Angreifern den unautorisierten Zugriff auf das Info-tainment System von betroffenen BMW Fahrzeugen. Die Sicherheitslücke konnte über eine fehlerhafte Sicherheitsprüfung der VIN (Vehicle Identification Number) im Service Portal ausgenutzt werden. Im September wurden beide Schwachstellen im Rahmen einer Sicherheitsprüfung von der BMW Sicherheitsabteilung behoben.

Wickr Inc[Bearbeiten | Quelltext bearbeiten]

Im Januar 2017 überreichte die Firma Wickr (Verschlüsselter Sofortnachrichtendienst) zum ersten Mal im offiziellen Bug Bounty Programm einen höheren Preis an Kunz Mejri für die erbrachte Forschung im Bereich der IT-Sicherheit.[18] Da seine ersten Forschungsergebnisse mit Schwachstellen aus 2014 von Wickr Inc nicht beantwortet werden konnten, wurden einige der Information von ihm 2016 veröffentlicht.[19] Daraufhin reagierte der Wickr Inc Vice President of Engineering Christopher Howell mit einer internen Prüfung.[20] Im Anschluss an die Prüfung belohnte Howell den Sicherheitsforscher für die Identifikation und Dokumentation der Schwachstellen.[21] 2014 bis 2016 beeinflussten Kunz Mejris Forschungsergebnisse somit die internen Entwicklungsprozesse der Wickr Inc Software Applikation.

Who am I – Filmcharakter[Bearbeiten | Quelltext bearbeiten]

2014 wurde ein großer Teil von Kunz Mejris Geschichte als Computer-Hacker der deutschen Szene in einem Hollywood-Film mit dem Titel Who Am I – Kein System ist sicher veröffentlicht. Den Hauptcharakter „Benjamin“ spielte der in Deutschland als Schauspieler bekannte Tom Schilling. 2015 gewann der Film sechs Auszeichnungen, darunter den internationalen Filmpreis als „Bester Internationaler Film“ und den Bambi Award. Der Film Who Am I wurde mitte 2015 von der Firma Sony Entertainment mit allen Rechten übernommen und wird im Jahr 2016 in einem US Remake nochmal international veröffentlicht.

Weblinks[Bearbeiten | Quelltext bearbeiten]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. Dusseldorf airport closes security holes
  2. Skype Zero-Day Vulnerability Allowed Hackers to Change the Password of Any Account
  3. Hotmail-Hacking für 20 US-Dollar
  4. Sicherheitslücke
  5. CVE-ID-2013-3179 Microsoft
  6. Charlie Osborne: Zero-day Skype flaw causes crashes, remote code execution | ZDNet. In: ZDNet. (zdnet.com [abgerufen am 18. Juli 2017]).
  7. John Leyden 27 Jun 2017 at 12:26 tweet_btn(): Make sure your Skype is up to date because FYI there's a nasty hole in it. Abgerufen am 18. Juli 2017.
  8. Kritische Sicherheitslücke in Skype. In: computerbild.de. (computerbild.de [abgerufen am 18. Juli 2017]).
  9. Security Bulletin - BNSEC-00703 Message Archiver Vulnerability
  10. Passcode Bypass Bugs Trouble iOS 9.1 and Later
  11. Lee Mathews: Researchers Break Apple's iPhone And iPad Activation Lock. In: Forbes. (forbes.com [abgerufen am 20. Dezember 2016]).
  12. Sicherheitsforscher knacken Aktivierungssperre von iPhone und iPad | ZDNet.de. In: ZDNet.de. 5. Dezember 2016 (zdnet.de [abgerufen am 20. Dezember 2016]).
  13. Orion hacker sends stowaway into SPAAAAACE
  14. Flaw in PayPal Authentication Process Allows Access to Blocked Accounts
  15. Sparkassen, Sicherheit und Geldautomaten: Der Hacker mit der Girokarte – Handelsblatt.com
  16. Kommandozeilen-Zugriff: Sicherheitslücke in Geldautomaten der Sparkasse
  17. [1]
  18. [2]
  19. [3]
  20. [4]
  21. [5]