Nachrichten in aller Kürze
Alles zur Community
Nachrichten, die zu Ihnen kommen: Newsletter, Feeds und SMS
Alles zu unseren mobilen Angeboten: Apps, Mobilversion und SMS
Unsere Radio- und TV-Angebote
Die Zeitung im Internet: Abo, E-Paper, Anzeigen und mehr
Alles über die Redaktion von derStandard.at
Alles über Onlinewerbung, Stellenanzeigen und Immobilieninserate
vergrößern 800x800Jedes sechste WLAN in Wien ist nicht oder nur ungenügend gesichert.
"Angreifer" steht auf dem einen A4-Zettel. Er klebt an der aufgeklappten Displayrückwand eines Laptops. Der zweite Laptop steht auf einem anderen Tisch am Podium und trägt den Titel "Opfer". Der Versuchsaufbau dient Christian Czeczil zur Veranschaulichung häufiger Sicherheitslücken in Rechnern oder ganzen Netzwerken. Im Rahmen einer Veranstaltung zur IT-Sicherheit der Arge Daten zeigte er bei einer "Live Hacking"-Demonstration einschlägige Methoden.
Czeczil, Absolvent des Studiums Computer- und Mediensicherheit an der FH Hagenberg, schiebt eine DVD mit Backtrack 5 in den Angreifer-Laptop und bootet ihn. Auf dem Datenträger befindet sich ein komplettes Linux-Betriebssystem mit einer Vielzahl kleiner Werkzeuge. Mit einem spürt er in einem ersten Schritt alle verfügbaren Breitband-Funknetze samt eindeutigen BSS-Identifikationen, belegten Kanälen und einem halben Dutzend weiterer Parameter auf.
Schlüsselberechnung
Einer der Einträge zeigt den Zugang, mit dem sich das Opfer per Datenstick ins Internet eingewählt hat. Czeczil bittet einen Zuschauer, das entsprechende Passwort zu ändern, tippt mehrere Befehlsketten in die Kommandozeile des Programms und startet die Schlüsselberechnung. Keine zwei Minuten später wirft der Beamer über den Angreifer-Computer die korrekte Passphrase an die Leinwand. Czeczil loggt sich ohne Kenntnis des Opfers in dessen Netz ein.
Nach einem erfolgreichen Angriff kann der Eindringling IP- und MAC-Adresse des Opfers übernehmen. Im Ernstfall wird man also kaum beweisen können, eine Straftat nicht selbst begangen zu haben.
Brute Force
Czeczil zeigt in der Präsentation die bekannte Studie, wonach das beliebteste Passwort weltweit "123456" lautet. Aber nicht nur die aufsteigende Zahlenreihe an sich macht es Hackern leicht, auf den korrekten Code zu stoßen. Selbst willkürlich zusammengestellte Ziffern sind nicht schwer zu erfassen – erst recht nicht, wenn die Zahl aus nur wenigen Stellen besteht.
In Czeczils Beispiel der "Brute Force"-Methode werden pro Sekunde automatisiert 600 Millionen verschiedene Kombinationen durchprobiert, um an das Passwort zu kommen. Bei rein auf Ziffern basierenden Codes kann das richtige schon nach Sekundenbruchteilen gefunden werden. An Kombinationen aus Ziffern, Sonderzeichen, Groß- und Kleinbuchstaben wird sich die Schlüsselberechnung hingegen selbst unter optimalen Bedingungen schon einmal Jahrtrillionen die Zähne ausbeißen.
| PW |
8 Zeichen |
10 Zeichen |
15 Zeichen |
20 Zeichen |
| Z |
0,1 Sekunden |
17 Sekunden |
19 Tage |
5.284 Jahre |
| B | 24 Sekunden |
7 Jahre |
2,9 Jahrmilliarden |
1,1 Jahrtrillionen |
| ZSB |
14 Tage |
197 Jahre |
382 Jahrmilliarden |
740 Jahrtrillionen |
Legende
Z: Nur Ziffern
B: Kombination aus Groß- und Kleinbuchstaben
ZSB: Kombination aus Ziffern, Sonderzeichen, Groß- und Kleinbuchstaben
WLANS
Hacker versuchen verständlicherweise, ein System immer an seinem schwächsten Glied zu überwinden, sagt Czeczil. In den meisten Fällen seien das heute nicht oder nur mangelhaft geschützte WLANs. Viele Funknetzwerke seien anstatt über den aktuellen WPA2- nur mit dem veralteten WEP-Algorithmus verschlüsselt – oder gar nicht.
Bei einer Fahrt über den Wiener Gürtel und die Donaukanallände registrierte Czeczil 3573 WLANs in der unmittelbaren Umgebung (siehe Karte). Knapp jedes sechste davon war nicht oder nur ungenügend gesichert. Bei ähnlichen Versuchen in ländlichen Gebieten lag dieser Wert sogar bei 30 Prozent.
Lokaler Passwortschutz
Doch nicht nur aus dem eigenen zu locker abgeriegelten WLAN ergeben sich Probleme für die Datensicherheit. Viele User würden sich bedenkenlos in offene WLANs an Bahnhöfen, Flughäfen oder Cafés einloggen, die für Hacker – und selbst für Laien – oft ein offenes Buch sind.
In einer weiteren Anordnung zeigte Czeczil, wie einfach ein passwortgeschützter Rechner auch lokal ausgehebelt werden kann. Die meisten Computer überprüfen beim Hochfahren standardmäßig, ob unter den Wechselmedien ein Datenträger mit Betriebssystem verfügbar ist – etwa zur Neuinstallation. Ein USB-Stick mit der richtigen Software genügt, um das auszunutzen und den Rechner nach Passwörtern zu durchforsten. Dazu kann auch die Rechenleistung der Grafikkarte zweckentfremdet werden. "Man kann mit der Karte nicht nur spielen, sondern auch sehr gut Passwörter knacken", lacht Czeczil.
Warum schützen?
Beim Schutz scheint die Frage nach dem Warum auf den ersten Blick einfach zu beantworten: Wir haben schützenswerte Daten auf unseren Rechnern – sensible Informationen in E-Mails oder Zugangscodes für Onlinebanking. Wie einfach man an diese gelangt, zeigt Czeczil in einem weiteren Fallbeispiel. Dafür leitet er das Opfer auf die nachgebaute Login-Seite eines Netbanking-Dienstes um, späht Pins und Tans aus und gaukelt dem Nutzer selbst in der Adresszeile des Browsers die korrekte URL vor.
Auf den zweiten Blick sind Daten heute aber auch ohne dahinterliegende Passwörter für Bankkonten schützenswert. Das trifft in Zeiten des Data-Mining vor allem auf gebündelte Datenbanken in Unternehmen und Organisationen zu. Diese Daten werden aber oft aus reiner Unachtsamkeit oder Bequemlichkeit nicht vor unbefugtem Zugriff gesichert. Im Fall der Tiroler Gebietskrankenkasse etwa sind Anonymous-Mitglieder über die offen im Netz gelagerten Daten "gestolpert". Hacker brauchen dann keine ausgefeilten Fähigkeiten mehr, sondern lediglich wissen, wie man Suchmaschinen bedient. Gegen solche offensichtliche Defizite helfe nur Aufklärung, so Czeczil.
Wie schützen?
In erster Linie sollten Schutzmaßnahmen aber auf technischer Seite passieren. Neben der WLAN-Verschlüsselung nach dem aktuellen WPA2-Standard und der Verwendung komplizierter Passwörter gibt es einige andere Möglichkeiten, unter anderem: Voreingestellte Passwörter – etwa bei Modems – sollten immer unverzüglich geändert werden; Websites, die die Eingabe heikler Daten verlangen, wenn möglich immer über ihre verschlüsselte Variante ("https") anwählen; die Sendeleistung von Funknetzen auf einen geringeren Radius einschränken, um den Zugriff von außen zu erschweren; Zwischenschalten von gesicherten Virtual Private Networks (VPN); oder die Verschlüsselung der Festplatte auf Softwarebasis mit Programmen wie Truecrypt oder Cryptsetup. (mm, derStandard.at, 06.12.2011)
Link
Mit derStandard.at/Mobil sind Sie unterwegs immer top-informiert - mit Liveberichten und Postings!
Die Plattform interpretiert die Videos des 23-Jährigen als Coverversionen
Australische Polizei testete "Liberator" - US-Sicherheitsministerium gibt massive Bedenken an
Netzaktivist in Spanien festgenommen - Soll für DDoS-Attacke auf Spamhaus verantwortlich sein
Nachträglich keine missbräuchliche Verwendung der Daten festgestellt
Drei Mitarbeiter stürzten sich in den Tod
Angriffe gegen Energiekonzerne zuletzt zugenommen
Deutsche Bundesregierung bezog Stellung zum im März vorgelegten "Tallinn Manual"
Autoren sprechen von "ironischer Darstellung"
Strongbox soll es ermöglichen, anonym und sicher Informationen einzureichen
Angebliche Drehbuch-Abschrift von US-Dokumentation veröffentlicht
Im Chat verschickte https-URLs bekommen unangemeldeten Besuch von Microsoft
Seite tauchte auf Zensurliste auf - Behörden sprachen von "menschlichem Fehler"
Die von Google vorgeschlagenen Suchwort-Ergänzungen können im Einzelfall rechtswidrig sein
Ziel: Verbesserung der Personenartikel
Baupläne waren innerhalb von 48 Stunden über 100.000 Mal heruntergeladen worden
Deutscher Unternehmer wirft Twitter und Co. unrechtmäßige Patentnutzung vor
Entwickler wählten Mega zur Verbreitung, u.a. weil sie mit Gründer Dotcom sympathisieren - Update: Vorlagen entfernt
Umsetzung der nationalen Cyber-Security-Strategie
Internetbanking betroffen - Bankchef Cernko: "Das war ein krimineller Akt, wir verfolgen das mit aller Härte"
Internetkommunikation soll bei Bedarf einfach "mitgeschnitten" werden können
Seit 2007 trainiert die Gruppe Computernetzwerk-Operationen in der Eifel für den Cyber-Krieg
Deutscher BGH entschied, dass Autocomplete-Begriffe im Einzelfall gelöscht werden müssen
Netzwerk schließt solche Dienste auch dann aus, wenn sie im Land der NutzerInnen legal sind
Smartphone-App informiert, welche Unternehmen und Interessensgruppen hinter einem Produkt stehen
Ursache allerdings noch nicht klar
Das Addon nützt dir nichts, wenn du https in Facebook selbst nicht aktiviert hast. Die Wahnsinnigen steigen dann nämlich von der SSL-Landingpage auf eine unverschlüsselte Verbindung um. Account settings->Security->Secure Browsing. Für jeden zu empfehlen.
...ob der Provider Mechanismen einsetzt um ihren https-Verkehr mitzulesen. Gibt's da nicht Möglichkeiten, daß auf der Provider-Seite eine Art Proxy jeden HTTPS-Request "entpackt", um ihn dann neu zu verkapseln und weiterzuschicken?! Wie kann man sicher sein, daß ich tatsächlich ohne Umwege den Empfänger erreiche und der Datenverkehr nicht vielleicht von Forefront oder ähnliches Spielzeug wandert?
"Letztendlich wissen Sie NIE ob der Provider Mechanismen einsetzt um ihren https-Verkehr mitzulesen."
Doch, weiß ich, weil ich weiß wie HTTPS funktioniert und was technisch machbar ist und was nicht. Das ist gerade die Eigenschaft von HTTPS, dass der Verkehr über egal welche Hops laufen kann, er kann von den Zwischenstationen nie gelesen werden. Man muss natürlich darauf achten, dass das erhaltene Zertifikat vom Server korrekt ist, aber idR macht das der Browser eh automatisch.
Die einzige Möglichkeit wäre daher, wenn die Liste der akzeptierten Zertifikate auf deinem Computer manipuliert wurde oder jemand Zertifikate erstellen kann, die die gängingen Browser akzeptieren (hier ein Gruß an alle Paranoiker ;)).
...Wird schon stimmen... Aber wie genau funktioniert das dann: http://technet.microsoft.com/en-us/lib... 58156.aspx
im Speziellen ab der Überschrift: How HTTPS inspection works
Es sind da zwar legale Aspekte relevant - aber wie können Sie verhindern, daß gerade der Gateway Ihres Providers ein derartiger Man-in-the-Middle ist?!
Beachte bitte Schritt 2 in der Beschreibung der Funktionalität:
"Copies the details of the Web site's certificate, creates a new SSL certificate with those details, and signs it with a Certification Authority certificate called the HTTPS inspection certificate."
und darunter
"Because the HTTPS inspection certificate was previously placed in the client computer’s Trusted Root Certification Authorities certificate store"
Aus meinem Posting:
"Die einzige Möglichkeit wäre daher, wenn die Liste der akzeptierten Zertifikate auf deinem Computer manipuliert wurde"
Der Artikel ist für Admins gedacht, die auch die Clients z.B. in einem Firmennetzwerk warten. Dein Provider kann deinen https-Verkehr NICHT mitlesen. Punkt.
Nah das geht schon. Sogar relativ leicht.
Wenn er Zugang auf den WLAN Router hat, kann er den oftmals so umkonfigurieren das er einen proxy dazwischen haengt. Sprich sichere https Verbindung von deinem PC zum Hacker und dann eine sichere https Verbindung vom Hacker zu fb (oder internet banking).
So lange DNSSEC (Domain Name System Security Extensions) noch nicht verfuegbar ist, bekommst davon gar nichts mit. Und die Amis wollen das gerade wieder Abdrehen, wegen copyright ... siehe SOPA (Stop Online Piracy Act).
Du hast noch nie eine MitM-Attacke gegen SSL durchgeführt, richtig? Genau das verhindert nämlich das Zertifikat bei SSL.
Solange der Hacker kein von meinem Browser akzeptiertes Zertifikat für die anzugreifende Seite besitzt, bekomm ich eine dicke fette Warnung, dass das eben nicht der Server ist, mit dem ich eigentlich kommunizieren will. Sprich: Ich weiß, mit welchem Server ich die Verbindung aufbaue.
Die Kommentare von Usern und Userinnen geben nicht notwendigerweise die Meinung der Redaktion wieder. Die Redaktion behält sich vor, Kommentare, welche straf- oder zivilrechtliche Normen verletzen, den guten Sitten widersprechen oder sonst dem Ansehen des Mediums zuwiderlaufen (siehe ausführliche Forenregeln), zu entfernen. Der/Die Benutzer/in kann diesfalls keine Ansprüche stellen. Weiters behält sich die derStandard.at GmbH vor, Schadenersatzansprüche geltend zu machen und strafrechtlich relevante Tatbestände zur Anzeige zu bringen.