Hack the world!

August 2, 2011 in Die Sicherheit

Heute ist der Sicherheits-Dienstag und der hat es in sich, denn hier sind die täglichen Neuigkeiten: Wenn eines sicher ist, „hacken“ wird und muss das Wort des Jahres 2011 werden. Und ich bin es leid. Jeden Dienstag das Gleiche, irgendjemand hackt irgendwen. Rächer der Gerechten, Sklaven der versklavten und Hacker der Gehackten vereinigt Euch. Halt „Hacker der Gehackten“? Da war doch was..

The Register berichtet, Scotland Yard gehe Anschuldigungen nach, News of The World (Rupert Murdochs Presseblättchen) habe auch Computer gehackt. Dafür wurde eigens Operation Tuleta ins Leben gerufen. Mehr wollte man dazu nicht sagen, um laufende Ermittlungen nicht zu gefährden.

Namen sind Schall und Rauch
Tuleta erscheint im Zusammenhang mit Operation Weeting, die sich mit dem Mailbox-Vorfall beschäftigt, bei dem unrechtmäßig private Nachrichten abgehört und gelöscht wurden, sehr plausibel. Wer fremde Nachrichten belauscht, der bricht bestimmt auch in PCs ein. Sollte Scotland Yard genauso einfallsreich bei der Aufklärung des Falles sein, wie sie es mit der Namensgebung sind, dann dürfte es nicht lange dauern.

Wer hackt?
Wir müssen uns klar machen, dass nicht die Journalisten in PCs eingedrungen sind oder sie gehackt haben, sondern dass hinter dem Klatschblatt ein riesiger Apparat von Menschen gestanden hat: Privatdetektive mit speziellen Fähigkeiten werden die PCs manipuliert oder präpariert haben, um diese „journalistische“ Leistung erst möglich werden zu lassen. Dabei ist hacken ein weitgefasster Begriff. Bei einem Windows XP-Rechner, ist man binnen von Sekunden – nachdem man Minuten für den Start gewartet hat – eingebrochen. Viele vergeben noch nicht einmal ein Log-In Passwort. Auch ein Aufzeichnungsgerät zwischen USB-Tastatur und PC wirkt Wunder. Manchmal werden auch USB-Geräte gekapert, mit einem eigenen Programm versehen und ohne dass man es vermuten würde, sendet der Scanner auf einmal alle Daten die er finden kann ins Internet. Wenn man die Möglichkeit hat, das WEP-verschlüsselte WLAN von außen zu empfangen, ist man nach 5 Minuten Rechenzeit mitten im Geschehen. Illegal ist es trotzdem.

Wie schütze ich mich
Wie auch beim Bundestrojaner, wird in sochen Fällen nicht von außen reingehackt, sondern die Observanten, brechen in die Wohnung ein und installieren das Programm unbemerkt. Aus diesem Grunde ist die erste Hürde ein Festplattenpasswort (Das von der c’t 2005 angekündigte Virus ist bereits in Erscheinung getreten). Bei Laptops findet sich die Einstellung im Bios, bei PCs ist es abhängig vom Motherboard, ob die Funktion vorhanden ist. Das Passwort erlaubt nur dann Zugriff auf die Festplatte, wenn das Passwort eingegeben wurde. Hier ist keine Verschlüsselung vorhanden. Würde man die einzelnen Scheiben/ Platten aus dem Festplattengehäuse ausbauen, lägen die Informationen unverschlüsselt vor. Für unser Szenario reicht die Zeit dafür aber nicht aus, es sei denn man fährt für mehrere Tage in den Urlaub. Außerdem kostet so eine „Datenrettung“ in einem Reinraum-Labor ohne Staub und Dreck so um die 1000€…

Die zweite Hürde ist ein Log-In-Passwort. Bevor das Betriebssystem startet muss eine Passwortabfrage erscheinen. Das Passwort muss mindestens sechs Zeichen umfassen, bestehend aus Zahlen, Buchstaben und Sonderzeichen. Besser sind zehn und mehr. Der letze Einbruch beim FBI (#FFF #AntiSec) zeigt eindrücklich wie leicht die meisten User es ihren Angreifern machen:
User: sheriff, Password: sheriff
User: wiggum, Password: wiggum56

Solche Witze stellen keinen Schutz dar.

Die dritte Schutzmauer, und jetzt sind wir bei der ersten „line of defense“ angelangt, stellt ein verschlüsselter Container dar. Alle wichtigen, persönlichen Informationen gehören in einen verschlüsselten Behälter, so wie die Reisepässe nicht neben dem Putzmittel liegen, sind persönliche Dokumente nicht im Ordner „Eigene Dateien“ abzulegen. Die billigste Art ist bisher noch Truecrypt. Hier sollte man nichts anderes als AES-256bit verwenden, dem Industriestandard. Aber auch externe Lösungen mit Hardwareverschlüsselungs-Chip kommen in Frage, wenn Geld keine und Komfort eine größere Rolle spielen. Allerdings ist nicht bei jeder Festplatte das dran, was die Werbung suggeriert. Die c’t deckt immer wieder zertifizierte Geräte auf, die Fehler besitzen und unsicher sind.

In der letzten Stufe der Sicherheit steht der Mensch. So gut ein System auch immer funktioniert, wenn das Passwort zu kurz, zu leicht zu erraten oder neben dem Monitor angeklebt ist, war alles umsonst. Gegen zu einfache Passwörter helfen Passwort Generatoren. Man kann auch komplexe Sätze bilden und die Anfangsbuchstaben und Zahlen nehmen. Oder jeden dritten. Oder die ersten drei Ziffern fünf verschiedener Seriennummer aneinanderreihen. Oder, oder, oder..

Zuviel Aufwand
Als Schutz gegen Langfinger reicht ein HDD-Passwort. Falls sie es wirklich schaffen sollten die Daten zu ergattern, ist genug Zeit vergangen um Passwörter zu ändern. Wichtige Dokumente liegen ja zuhause an einem sicheren, unbekannten Ort auf einer externen Festplatte – nicht wahr?

Gegen den Bundestrojaner hilft nicht viel. Nicht weil der so ausgeklügelt wäre, sondern weil alles was man über das Internet verschickt, auch von den Regierungen und deren Beamten mitgelesen werden kann. Die wichtigen Backbones, durch die das gesamte Internet geleitet wird, werden garantiert täglich gescannt. Soll die Information geheim bleiben, muss man sie vorher verschlüsselt versenden. PGP gibt es seit bestimmt 10 Jahren, doch nur ein Bruchteil aller Emails nutzt die tolle Technik für echte Privatsphäre. Das heißt, alle Daten, die aus dem Internet kommen, sind schon mindestens einmal mitgelesen worden. Dafür lohnt sich der Aufwand nicht.

Hä, wie jetzt?
Als Schutz gegen Datenklau und Mitlauschen sind drei einfache Regeln zu beachten:

1) In regelmäßigen Abständen die angeschlossenen Geräte überprüfen. Ist etwas dazwischengesteckt, wurde an einem Gerät herumgeschraubt? Das gilt vorallem im Büro, wo vielleicht der Arbeitgeber mehr wissen möchte.

2) Immer ein Passwort für die HDD vergeben. Das schützt auch gegen den Virus, der von sich aus ein wahlloses Passwort vergibt und dann alle anderen aussperrt.

3) Strikte physische Trennung zwischen wichtigen Daten und allem anderen Kram.

Wenn jemand wirklich einbrechen will, dann schafft er es auch, dagegen können wir uns nicht schützen. Doch wir können die Frustrationsgrenze so hoch setzen, dass nur noch spezialisierte Unternehmen mit viel Geld das schaffen – und die wissen ohnehin schon alles über uns..