Netzwelt-Ticker Identitätsdiebstahl für Anfänger

Nie war Identitätsdiebstahl einfacher: Mit einem simplen Hackprogramm kann sich jetzt jeder in Facebook-, Amazon-, Ebay-Konten anderer Menschen einloggen. Außerdem im Überblick: Code-Sperre auf neuen iPhones ist kein Hindernis und angeblich gehen täglich 25.000 Filesharer-Beschwerden bei Hadopi ein.

Nie wieder einsam: Per Hackprogramm lassen sich beliebig viele Social-net-Accounts übernehmen
Corbis

Nie wieder einsam: Per Hackprogramm lassen sich beliebig viele Social-net-Accounts übernehmen


Bereits über 125.000 Möchtegern-Hacker haben ein Programm heruntergeladen, mit dem sie sich via W-Lan bequem in fremde Konten von Mitgliedern sozialer Netzwerke wie Facebook, Twitter, Flickr, aber auch Webshops wie Amazon und Ebay oder Netzdienste wie Google einloggen können. Dazu scannt das Programm ungeschützte Netzwerke - etwa unverschlüsselte W-Lan-Funknetze! - und listet die Mitgliedschaften der angeschlossenen Netzwerkteilnehmer auf dem Täter-Computer auf. Ein Klick genügt und der vermeintliche Hacker kann sich im fremden Facebook-Konto austoben, Terror-Einkäufe bei Amazon tätigen oder die Ebay-Reputation mit Sammelkäufen ruinieren.

Die Angriffsmethode ist nicht neu - das Programm fischt die unverschlüsselten Cookie-Dateien aus den W-Lan-Übertragungen und gibt sich damit etwa als legitim eingewählter Facebook-Surfer aus; im Grunde tat Google nichts anderes, als es W-Lan-Daten en passant abhörte. Aber die Konsequenzen sind weitreichend: Niemals war Identitätsdiebstahl auch für Computeranfänger so einfach. Wer jetzt noch ein ungeschütztes W-Lan betreibt oder sich in ungeschützte W-Lans, etwa im Cafe oder am Flughafen, einwählt, riskiert, dass Fremde sich in seine Online-Konten hacken. Mit dem Download der Firefox-Erweiterung Firesheep ist für den Angreifer fast alles getan.

Firesheep steht mit offenem Quellcode auf der Programmierer-Plattform Github kostenlos zum Download, der Programmierer Eric Butler tritt mit Klarnamen in der Presse auf. Im Gespräch mit dem Techcrunch-Blog erklärte Butler, mit seinem Hack habe er auf eine uralte Sicherheitslücke aufmerksam machen wollen (andere gute Hacker begrüßten die Veröffentlichung von Firesheep bereits als "nützlich"). In seinem Blog erklärt Butler: "Das Problem ist überall bekannt und wurde schon zu Tode diskutiert, und trotzdem schaffen es sehr erfolgreiche Websites immer noch nicht, ihre Kunden zu schützen."

Dabei ist die Lösung so einfach: Verschlüsselte Internetverbindungen überall. Das Problem ist, dass herkömmliche Web-Daten unverschlüsselt über das HTTP-Protokoll übertragen werden. Mit HTTPS gibt es längst auch verschlüsselte Verbindungen - die aber langsamer sind, weswegen viele Websites sie nicht einsetzen, um ihre Besucher nicht mit Wartezeiten zu vergraulen. Genau diese Verschlüsselung wäre aber für relativ sicheres Surfen nötig. Die amerikanische Bürgerrechtsorganisation EFF hat deswegen das Sicherheitsprogramm " HTTPS Everywhere" ins Netz gestellt, das HTTPS auf vielen großen Websites erzwingt, etwa Google Search, Twitter, Facebook, Amazon, GMX, Paypal.

Sicherheitslücke im iPhone: Telefonieren trotz Sperre

Die Sicherheitssperre des iPhones kann Unbefugte nicht daran hindern, Anrufe abzusetzen, die Anruflisten und das Telefonbuch einzusehen. Mit Hilfe einer einfachen Tastenkombination, das zeigt jetzt ein Internetvideo, kann ein Angreifer das digitale Zahlenschloss von iPhones mit der neusten iOS-Version 4.1 umgehen (auf älteren iPhones funktioniert der Trick offenbar nicht). Unklar ist, ob das eine Sicherheitslücke oder eine versteckte Programmfunktion von Apple ist. Aus den Kommentaren im "Wired"-Artikel geht hervor, dass Apple die Sicherheitslücke in der neuesten, noch nicht veröffentlichten iOS-Version geschlossen hat.

Amazon: Neuer Kindle ist ein Bestseller

"Es ist immer noch Oktober, aber wir haben trotzdem schon mehr Kindles als im letzten Quartal 2009 verkauft," jubelt Amazon-Manager Steve Kessel in einer Pressemeldung des Online-Händlers. Heißt: Die neuste Version von Amazons E-Buch-Lesegerät Kindle verkauft sich besser als die Vorgängerversion.

Zwar hält Amazon mit absoluten Verkaufszahlen noch immer hinterm Berg, versucht aber den Kindle-Erfolg mit Buch-Verkaufszahlen zu beweisen: "In den letzten 30 Tagen haben Amazon.com-Kunden von den Top 10, 25, 100 und 1000 bestverkauften Büchern mehr Kindle-Bücher als gedruckte Bücher gekauft - Hardcover- und Taschenbuchausgaben zusammengenommen."

Eweek versucht sich an Zahlen und Analysen: Nach Schätzungen hat Amazon bisher rund drei Millionen Kindles und 2010 rund zwölf Millionen E-Bücher verkauft. Spannend wird, welchen Einfluss Tablet-Computer wie Apples iPad auf den Verkauf elektronischer Bücher haben werden (oder auch nicht?).

Frankreichs Filesharer: 25.000 Hadopi-Beschwerden am Tag

Glaubt man den Angaben von David El Sayegh, dem Chef der französischen Musikindustrie-Interessengemeinschaft SNEP (Syndicat national des éditeurs phonographiques), so gehen täglich 25.000 Beschwerden französischer Plattenfirmen gegen angebliche Filesharer bei der Anti-Filesharing-Behörde Hadopi ein. Zwar habe SNEP keine Ahnung, wie viele von den Beschwerden dann tatsächlich als schriftliche Verwarnung an die angeblichen Filesharer weitergeleitet werden, sagte El Sayegh dem Branchenmagazin Billboard.biz, aber man freue sich auf Ende 2011, um den Einfluss Hadopis auf die Musikverkäufe einschätzen zu können.

Hadopi sammelt Beschwerden französischer Urheberrechtsinhaber über Filesharer ihrer Werke und leitet diese gegebenenfalls an die mutmaßlichen Filesharer weiter. Nach der dritten Verwarnung verhängt Hadopi Internetverbote. Die französische Behörde ist Vorbild der umstrittenen "Three Strikes"-Regeln, die in mehreren EU-Ländern angedacht wurden. Kritisiert wird die Hadopi-Regelung vor allem, weil sie Haushalte quasi in Sippenhaft für das Fehlverhalten einzelner nimmt.

Weitere Meldungen



insgesamt 11 Beiträge
Alle Kommentare öffnen
Seite 1
Kometenhafte_Knalltüte 26.10.2010
1. Ach?
Hach, wenn doch die Lösung wirklich so einfach wäre, wie uns der Spiegel hier glauben machen will. HTTPS einfach überall, fertig. Tja, vielleicht wäre dem Redakteur mangels Kenntnis zu verzeihen. Aber hier gehört Recherche eines Journalisten dazu! HTTPS setzt ein Zertifikat voraus, welches widerum eine eigene IP voraussetzt. Erstens: Ein signiertes Zertifikat kostest Geld, mehr Geld wie eine Domain. Das wird schonmal einen Großteil der (zumeist privaten) Webseitenbetreiber von der Nutzung verschlüsselter Verbindungen abhalten, denn kaum einer will seine Nutzer mit dem Warnhinweis jedes Browsers vergraulen (Diese Seite verwendet ein unsigniertes Zertifikat: Von der Benutzung wird abgeraten!) Zweitens: Jedes Zertifkat setzt eine eigene IP voraus. Und da gefühlt 90% der Internetangebote auf shared Webspace gehostet werden, wo man sich eine IP mit 50 anderen Kunden seines Anbieters teilt, fällt damit ein anderer gewichtiger Grund gegen HTTPS auf! Dann gebe es da immer noch die Möglichkeit über SSL-Proxies Webseiten abzurufen. Welcher Anbieter will seine Domain aber bitteschön als z.B. www.ssl-proxy.de/Domain.vom.Anbieter.de bewerben??? Tja, vielleicht ist HTTP über SSL doch nicht so leicht seitens der Betreiber zu verwenden, wie es der Artikel suggeriert?
signalgrau 26.10.2010
2. Ssl
In erster Linie scheint es doch um Facebook, Twitter, Amazon, etc. zu gehen. Die werden sich sicher ein SSL Zertifikat leisten können. Zudem gibt es auch kostenlose Anbieter. Man ja jetzt schon https://facebook.com eingeben. Diese Erweiterungen für die Browser übernehmen das einfach für einen. Hier ein Artikel dazu: http://techcrunch.com/2010/10/25/firesheep/
etheReal 26.10.2010
3. nichts Neues
Wer sein WLAN unverschlüsselt betreibt, oder in öffentlichen, offenen WLANs surft, und dort private Passwörter preisgibt, dem ist einfach nicht zu helfen. Wer seine EC-Karte mit dem PIN beschriftet, und sie dann verliert, der braucht sich auch nicht zu wundern, wenn das Konto leer ist... und wer seinen Ersatz-Haustürschlüssel unter dem Stein neben der Tür "versteckt", der wird auch ganz einfach ausgeraubt. Das sind simple Tatsachen, und keine Bedrohung durch ein "neuartiges" Hacking Tool. Das einzige was neu daran ist, ist nur, dass mit diesem Tool nun wirklich JEDER Idiot dazu in der Lage ist, solche Situationen auszunutzen.
pax, 26.10.2010
4. IPv6
Zitat von Kometenhafte_KnalltüteHach, wenn doch die Lösung wirklich so einfach wäre, wie uns der Spiegel hier glauben machen will. HTTPS einfach überall, fertig. Tja, vielleicht wäre dem Redakteur mangels Kenntnis zu verzeihen. Aber hier gehört Recherche eines Journalisten dazu! HTTPS setzt ein Zertifikat voraus, welches widerum eine eigene IP voraussetzt. Erstens: Ein signiertes Zertifikat kostest Geld, mehr Geld wie eine Domain. Das wird schonmal einen Großteil der (zumeist privaten) Webseitenbetreiber von der Nutzung verschlüsselter Verbindungen abhalten, denn kaum einer will seine Nutzer mit dem Warnhinweis jedes Browsers vergraulen (Diese Seite verwendet ein unsigniertes Zertifikat: Von der Benutzung wird abgeraten!) Zweitens: Jedes Zertifkat setzt eine eigene IP voraus. Und da gefühlt 90% der Internetangebote auf shared Webspace gehostet werden, wo man sich eine IP mit 50 anderen Kunden seines Anbieters teilt, fällt damit ein anderer gewichtiger Grund gegen HTTPS auf! Dann gebe es da immer noch die Möglichkeit über SSL-Proxies Webseiten abzurufen. Welcher Anbieter will seine Domain aber bitteschön als z.B. www.ssl-proxy.de/Domain.vom.Anbieter.de bewerben??? Tja, vielleicht ist HTTP über SSL doch nicht so leicht seitens der Betreiber zu verwenden, wie es der Artikel suggeriert?
Das wäre doch mal ein schöner Grund um endlich konsequent auf IPv6 umzusteigen.
mcbexx 26.10.2010
5. Musikvideos auf Youtube...
Keines der stichprobenartig angeklickten Musikvideos aus dem Gaga-Artikel ist in Deutschland verfügbar. Wahnsinn, wie die Musikindustrie sich gegen Youtube als Werbeinstrument sträubt. Wie viele der abermillionen Viewer sind wohl hypothetische Käufer? Die bösen Raubkopierer werden nicht losrennen und die Musik käuflich erwerben, nur weil sie die Videos bei Youtube nicht hören/sehen dürfen. Die finden andere Mittel und Wege, sich umsonst zu bedienen. Vermutlich mit der Genugtuung des "Jetzt erst recht"-Gefühls. Aber wer dort was entdeckt und nicht nur am PC reinhören will, kauft sich vielleicht doch mal 'nen Song als MP3 oder eine CD im Laden. Deppenmanagement.
Alle Kommentare öffnen
Seite 1
Diskussion geschlossen - lesen Sie die Beiträge! zum Forum...

© SPIEGEL ONLINE 2010
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.