Sarah Palins gehackter Yahoo-Account und World of Warcraft spielende Geheimagenten sind das Thema dieses Standpunkt Sicherheit.

Sarah Palin und ihre Yahoo-Mails

Das Politiker kein besonderes Interesse daran haben, das alles, was sie von sich geben, protokolliert wird, ist klar. Man möchte halt nicht die Beweise für die eigenen Verfehlungen gleich mit zu Protokoll geben, die sollen sich die Damen und Herren Journalisten doch bitte selbst erarbeiten und nicht einfach aus dem Archiv abfragen können. Und das auch und gerade E-Mails gefährlich sein können, hat man ja schon bei mehreren Prozessen gesehen. Zu dumm, wenn da der eine die Mails löscht und der andere sie archiviert. Von Weiterleitungen ganz zu schweigen. Was macht also ein amerikanischer Politiker, wenn per Gesetz alle dienstlichen E-Mails archiviert werden? Richtig: Er nutzt statt seines dienstlichen E-Mail-Accounts einfach einen privaten. Frau Palin, Gouverneurin von Alaska und republikanische Vizepräsidentschaftskandidatin, hat sich dabei für Yahoo entschieden. gov.palin@yahoo.com klingt ja auch unheimlich vertrauenserweckend, oder? Hat schon mal jemand nachgesehen, ob Präsident Bush vielleicht auch einen Yahoo-Account hat? Frau Palin jedenfalls hat einen, und der wurde gehackt. Wobei "gehackt" unter Umständen ziemlich übertrieben ist. Es gibt zwar keine Gewissheit, ob der angebliche Hacker wirklich der tatsächliche Hacker ist, aber wenn er es ist, hat er lediglich die Funktion für den Passwort-Reset ausgenutzt, um ein eigenes Passwort zu setzen. Alles, was er dazu benötigte, waren das Geburtsdatum von Frau Palin, die Postleitzahl ihres Wohnorts und den Ort, an dem sie ihren Mann das erste Mal getroffen hat. Alles Informationen, die im Internet zu finden sind und die entweder allgemein bekannt sind oder die sie selbst veröffentlicht hat. Das Passwort-Reset-Funktionen unter Umständen einfach auszutricksen sind, ist ja nun kein Geheimnis. Wenn man nur eine begrenzte Anzahl Fragen zur Verfügung hat, schränkt das natürlich auch die Anzahl möglicher Antworten ein und fordert Brute-Force-Angriffe geradezu heraus. Meist wird das aktuelle Passwort oder ein neues dann an eine angegebene weitere E-Mail-Adresse gesendet. Wenn die aber nicht angegeben wurde oder auf sie (angeblich) nicht zugegriffen werden kann, ist eine Änderung des Passworts meist auch direkt möglich. Und wenn dann nur die Beantwortung von ein paar einfachen Fragen zwischen dem Angreifer und dem Mailkonto stehen, ist es mit dessen Sicherheit nicht weit her.

Keep it simple for the stupids?

Die für die Reset-Funktion zur Auswahl stehenden Fragen sind meist sehr einfach gehalten, wahrscheinlich möchte man die Benutzer nicht überfordern. "Mädchenname der Mutter?" - nach allgemeinen Wissensstand gibt es darauf nur eine richtige Antwort, und die sollte doch rauszufinden sein. Vor allem bei Prominenten oder mitteilungsbedürftigen Zeitgenossen. "Was war ihr erstes Haustier?" - Hund, Katze, Maus? Oder keins? "Wo haben Sie ihren Lebenspartner das erste Mal getroffen?" - da sollte oft eine Handvoll Versuche ausreichen: Schule, Uni, Arbeitsplatz, Disco - wahrscheinlich wird einer der "üblichen Verdächtigen" passen. Ansonsten hilft meist ein bisschen Social Engineering oder auch eine Suche im Internet bei der Beantwortung. Besser sind da Systeme, bei denen Frage und Antwort frei gewählt werden können - sofern da nicht auch eine ähnlich einfach herausfindbare oder erratbare Kombination verwendet wird. Wie wäre es mit "Was ist meine Lieblingsfarbe?" - gucken wir doch mal, was derjenige oft trägt, welche Farbe sein Auto hat usw.. Damit diese Systeme sicher sind, muss die Frage so gewählt werden, das sie wirklich nur vom jeweiligen Benutzer selbst beantwortet werden kann. Am besten ist es natürlich, auf diese Funktion ganz zu verzichten und eine unsinnige Antwort einzugeben. Passwörter vergisst man nicht, und für den Fall der Fälle kann man sie sich ja notieren. Ein Blatt Papier in einem verschlossenen Umschlag im Safe ist zumindest vor Remoteangriffen sicher.

Ein Proxy schützt vor Strafe nicht

Beim Angriff auf Sarah Palins Yahoo-Account hat der Hacker sich durch einen Proxy vor dem FBI schützen wollen. Das war doppelt leichtsinnig: Zum einen reicht ein Proxy nicht aus, um unerkannt zu bleiben. Dafür sind mehrere Proxies nötig, die nicht zusammen arbeiten dürfen. Zum anderen ist es ziemlich zwecklos, einen Proxy zu verwenden, auf den die erwarteten Gegenspieler Zugriff haben. Hätte der Hacker einen Proxy in z.B. Nordkorea verwendet, sähe die Sache vielleicht anders aus, dessen Betreiber würde wohl nicht mit dem FBI zusammenarbeiten. Ein amerikanischer Proxybetreiber hat dagegen gar keine Möglichkeit, eine Zusammenarbeit zu verweigern. Tut er das, wird er eben von einem Gericht dazu gezwungen, schließlich geht es um die Aufklärung einer Straftat. Möchte man unerkannt einen Dienst im Internet nutzen, wozu es auch sehr viele legale Gründe gibt, dann verwendet man dazu einen Anonymisierungsdienst wie z.B. Tor oder JAP (als kommerzieller Dienst JonDo). Dabei sollte man aber immer daran denken, das auch diese Systeme nicht 100%ig sind, siehe für Tor z.B. den Standpunkt Sicherheit vom 1. Oktober 2007.

World of Warcraft spielen und dafür bezahlt werden

Einige US-Geheimagenten scheinen einen Trick gefunden zu haben, wie sie während des Dienstes World of Warcraft spielen können. Anders lassen sich die Ideen, die da ausgebrütet werden, wohl nicht erklären. Selbst die sonst immer gern genommene Erklärung "Krankhafte Paranoia in Verbindung mit überbordender Phantasie und zu viel Zeit zum Nachdenken" erklärt jedenfalls nicht, wieso Forscher im Pentagon befürchten, Terroristen könnten ihre Anschläge in World of Warcraft vorbereiten. Und wenn World of Warcraft uninteressant wird, gibt es ja noch genug andere schöne Online-Plätze, die man überwachen muss - alles rein dienstlich natürlich. Überwachen die eigentlich auch alle Online-Casinos? Schließlich könnten da auch z.B. über die Höhe der Einsätze und ausgetauschte Nachrichten Anschlagspläne geschmiedet werden...

Carsten Eilers