36274

Sicherheitsexperten spekulieren über Angriffsart

19.09.2008 | 15:16 Uhr |

Gestern wurde bekannt, dass Hacker in den Mail-Account der US-Vizepräsidentschaftskandidatin Sarah Palin eingedrungen sind. Jetzt stellt sich die Frage nach dem Wie.

Die Hacker-Gruppe Anonymous hatte sich Zutritt zu Sarah Palins Webmail-Konto verschafft und einige ihrer Mails auf der Website Wikileaks.org veröffentlicht. Der Vorfall wurde mittlerweile von Palins Wahlkampfstab bestätigt. Noch ist unklar, wie die Hacker vorgegangen sind. Im Random-Forum der Website 4chan.org behauptete jedoch ein User mit dem Pseudonym „Rubico“, der Hack ginge auf sein Konto. Den Zugang zu Palins Mailkonto habe er sich mit der Passwort-zurücksetzen-Funktion von Yahoo! Mail erschlichen. Mittlerweile ist der Foreneintrag gelöscht.

Yahoo-Nutzer, die ihr Passwort vergessen haben und es zurücksetzen wollen, müssen einige Sicherheitsfragen beantworten. Diese beinhalten einige persönliche Daten wie das Geburtsdatum, das Herkunftsland und die Postleitzahl. Werden diese Daten korrekt eingegeben, wird das neue Passwort an eine zweite Mail-Adresse versandt, die der Nutzer zuvor angeben muss. In Tests der Kollegen von Computerworld mit verschiedenen Konten und unterschiedlichen Reset-Anfragen wurde jeweils das Yahoo-Passwort oder der Benutzername an die Alternativ-Adresse geschickt. Wenn aber ein Anwender versichert, dass der zweite Mail-Account nicht erreichbar ist, wird das Passwort auch so zurückgesetzt.

Einige Sicherheitsexperten bezweifeln Rubicos Passwort-Szenario. „Die Sache mit dem Passwort-Reset klingt merkwürdig“, meint etwa Paul Ferguson vom Antiviren-Software-Anbieter Trend Micro . „Yahoo schickt das neue Passwort an eine zweite Mail-Adresse. Ich glaube nicht, dass es für die Hacker so leicht war, an die vertraulichen Mails zu gelangen.“

Nicht alle halten die von Rubico beschriebene Vorgehensweise für weit hergeholt. „Es ist denkbar. Seine Beschreibung ist sehr detailliert“, sagt zum Beispiel Adam O’Donnell vom Sicherheitsanbieter Cloudmark . „Vermutlich war es ein Passwort-Reset oder eine Brute-Force-Attacke.“ Bei einem Brute-Force-Angriff testet ein Hacker die wahrscheinlichsten Passwörter aus.

Ferguson kann sich auch andere Hacker-Tricks vorstellen. „Es könnte sich auch um Session-Hijacking handeln“, erklärt er. Dabei späht der Angreifer Session-IDs wie Cookies aus, die Webdienstleister wie Yahoo! Mail und Microsoft Hotmail verwenden. „Mittlerweile gibt es Tools, mit denen man Cookies während einer Sitzung abgreifen kann.“ Damit hätte man sich im vorliegenden Fall Zugriff auf das Yahoo-Mailkonto verschaffen können. „Das ist auch schon einigen White-Hat-Hackern passiert. Es kommt nur darauf an, ob sich für den Angreifer die Mühe lohnt.“ Palin könnte seiner Ansicht nach auch schon früher Opfer einer Attacke gewesen sein, ohne dass es bemerkt wurde. „Möglicherweise hat sie sich einen Keylogger eingefangen. Schließlich ist sie ständig unterwegs. Vielleicht hat sie mit einem Laptop über ein Hotel-Funknetz auf ihren Yahoo-Account zugegriffen.“ Öffentliche WLANs, wie sie oft in Hotels zu finden sind, sind nur selten verschlüsselt, da die Nutzer sonst ein Passwort eingeben müssten, um ins Internet zu gelangen. An ungesicherten Hotspots sind deshalb sogenannte Man-in-the-Middle-Attacken besonders erfolgversprechend.

„Außerdem wurde erst vor kurzem die Schwachstelle im Domain Name System (DNS) entdeckt. Gut möglich, dass Palins Mail abgefangen wurde“, spekuliert Randy Abrams vom Sicherheitsanbieter ESET LCC . Dennoch hält er eine gezielte Phishing-Attacke für das wahrscheinlichste Angriffsszenario. Alle drei Experten sind sich einig, dass die Sicherheit im Internet zu wünschen übrig lässt. „Egal, wie die Hacker letztlich in das Konto gelangt sind, Webmail-Plattformen bietet ihren Nutzern einfach nicht genügend Sicherheit. Das gilt für die Gouverneurin genauso wie für jeden normalen Anwender“, so Ferguson. „Das ist die Schattenseite von Cloud Computing“, fügt Abrams hinzu. „Wenn man seine Daten in die Hände anderer gibt, macht man sich verletzbar.“

Aus gegebenem Anlass rät der Vizepräsident von Yahoo! Mail, John Kremer, aktuell im Firmen-Blog die Nutzer des Webmail-Services, sichere Passwörter zu wählen. Diese sollte nicht zu kurz sein und aus einer Kombination aus Zahlen und Buchstaben bestehen. Fragen zum Hack des Palin-Accounts oder der Passwort-Funktion des Dienstes wurden nicht beantwortet. „Wir geben prinzipiell keine Auskunft über unsere Sicherheitsmaßnahmen“, erklärte Yahoo-Sprecherin Kelley Benander.

0 Kommentare zu diesem Artikel
36274