Wie sich Cloud-Piraten auch ihre Identität fischen könnten

Social Engineering ist ein alter Hut und ermöglicht jedem „Agenten oder Spitzel“, der sein Opfer genau studiert, fundierte Daten über dessen Leben. Soweit kein Problem wäre da nicht die Angewohnheit der Menschen Passwörter, die sie sich selbst aussuchen dürfen, nach sozialen Mustern zu erstellen. Vereinfacht heißt das, dass der Name der Frau plus das Geburtsdatum der Kinder schon ein Treffer sein kann. Der Unterschied zu der Zeit vor den sozialen Netzwerken ist aber der, dass viele IT-DAU‘s [dümmster anzunehmender User] in diesen Netzwerken ihr komplettes Sozialleben offenbaren. War es früher noch nötig den Arbeitsplatz oder die Wohnung der betreffenden Person auszuspionieren, genügt heute oft ein kurzer Blick in das Facebook-Profil des Opfers. Denn was läge näher, als anzunehmen, dass jemand der sein Facebook-Profil nicht so absicherte das nicht die ganze Welt sein Privatleben durstöbern kann, dass dieser dann auch einfache Passwörter benutzte? Hier möge sich jeder selbst fragen, ob er ein „Normbrecher“ oder doch ein „Gewohnheitstier“ ist, meist trifft letzteres zu.

Ein bisschen mehr Aufwand brauchten die Cloud-Piraten, die dem US-Journalisten Mat Honan zuerst seinen Amazon-Cloud-Account und danach noch seinen Apple-Cloud-Account wegnahmen und so ganz nebenbei, alle seine mit diesem Account verbundenen Applegeräte auf NULL bzw. Werkszustand zurücksetzten und seine Identität löschten. Was für eine schöne neue Welt in der die Datensicherung inklusive der Identität für das Internet an einem Punkt gespeichert und man morgens aufwacht und nichts mehr da ist. Ganz so einfach war es scheinbar nicht, wie heise.de schreibt aber das Ergebnis spricht Bände. Die Konsequenz daraus ließ nicht lange auf sich warten, Apple und Amazon änderten die Sicherheitsbestimmungen und unterbinden ab sofort „diesen hier angewendeten Weg“ der Account Übernahme.

Doch bleibt die Gefahr bestehen, denn die hier verwendete Sicherheitsstrategie kommt häufig vor. Der Kern des Problems besteht in der Notfalladresse die zur Passwortwiederherstellung genutzt wird. Meist koppelt das System diese zwar mit einer persönlichen Frage aber diese „Wie heißt ihr Lieblingshaustier; der Name ihrer Mutter; der Geburtsname ihrer Frau; ihr Geburtsort“-Fragen sind doch gerade prädestiniert für social Engineering. Deshalb der wohlgemeinte Rat an alle die Morgen nicht ohne Daten und Identität aufstehen wollen – ändert etwas.

Einige Beispiele dafür können sein:

  1. Absicherung der sozialen Netzwerke – betont asoziales Verhalten zeigen und genau überprüfen, wer was sehen darf.
  2. Sicherheits-E-Mailaddressen nicht preisgeben und nicht öffentlich verwenden, am besten eine Neue erstellen, wie öjasdjasjk@email.de und ein sicheres Passwort verwenden, wie #+jkaAG40_“ oder vergleichbar.
  3. Auch komplizierte Passwörter nie doppelt verwenden und einen sicheren Ort der Aufbewahrung finden. Es nützt nichts ein 20-stelliges Passwort zu haben, wenn es im Browser gespeichert und der PC mit 1234 vor Zugriffen geschützt ist.

Beachtet man nur diese drei vorgestellten Schritte, unterbindet man schon die meisten Angriffsstrategien. Dennoch hängt auch hier die Sicherheit von einem sauberen System ab, denn ein mit Viren, Trojanern und Keyloggern verseuchtes System gibt selbst das beste Passwort preis. Wer wirklich auf Nummer sicher gehen will, dem sei ein Live-Linux-System von DVD empfohlen, was nicht verändert oder manipulierbar ist – aber irgendwo hört der Komfort ja schließlich auf und fängt die Paranoia an.🙂

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s