Suche

HomeINSIDERS blogLow hanging fruit - Wenn der Mensch zur größten Sicherheitslücke wird

Low hanging fruit - Wenn der Mensch zur größten Sicherheitslücke wird

Klicken Sie hier, um mit uns in Kontakt zu treten.

Low hanging fruit - Wenn der Mensch zur größten Sicherheitslücke wird

Internetanschluss einrichten, Status Quo

Der Anschluss eines neuen Telekom Routers ist eine sehr interessant gestaltete Aufgabe. Als Nutzer ist man mit einigen Hürden konfrontiert, die unter Anderem der Sicherheit dienen. Packung auf, Router an den Telefonanschluss anstecken, mit dem Laptop verbinden. Ein WLAN ist bei der Telekom voreingestellt: SSID lautet WLAN-9F91A1, Passwort ist eine 16 stellige Zahlenkombination die zufällig generiert erscheint und für jedes Gerät einzigartig ist. Will man sich in die Einstellungsmaske des Routers einwählen, braucht man ein weiteres Passwort, 9-stellig, Zahlenreihenfolge. (Diese Daten finden sich auf der Rückseite des Routers)

Fehlende Daten mit Social Engineering einholen

Nach dem Login beginnt die Suche nach den Einwahldaten, die von der Telekom in einem separaten Umschlag zugeschickt werden, bei einer Anschlussänderung bleiben alte Daten bestehen. In diesem Fall war der Brief verschwunden. Ein erster Anruf bei der Telekom-Hotline bringt kein Ergebnis, die Aussage: "Wir können Ihnen die Daten nicht geben, Sie brauchen den Brief"

Nach verzweifelter Suche dann ein zweiter Anruf bei der Telekom Hotline, diesmal mit der Aussage: "Natürlich können wir Ihnen neue Daten zuschicken, machen wir gerne auch per E-Mail."

Die Daten kommen in einem verschlüsselten pdf Anhang per E-Mail an, ein Schlüssel wird separat per SMS an ein Telefon verschickt. Der Schlüssel enthält 15 Zeichen, Groß- und Kleinbuchstaben und Zahlen.

Typische Router Symbole
Typische Router Symbole Quelle: Clive Darra

Zwischenfazit: Alle hier beschriebenen Maßnahmen zeugen von hohen Sicherheitsstandards, die Telekom setzt keinen Fernzugriff auf den Router oder Standardpasswörter ein, alle vertraulichen Daten sind verschlüsselt und werden über verschiedene Medien übermittelt. Diese Maßnahmen scheinen sehr vorbildlich.

Die EINE Lücke

Ich bin nicht der Halter des Accounts. Ich habe mich auch nie am Telefon als der Halter des Accounts ausgewiesen. Lediglich mit der Angabe der Kundennummer (Die auf jedem Brief der Telekom zu finden ist und auch im T-Online Account) wurde "meine" Identität verifiziert. Die Angabe der Telefonnummer für die SMS, sowie die Angabe der E-Mailadresse für die neuen Kundendaten erfolgen ohne Nachfrage. Mit einfachem Social Engineering, also einer selbstbewussten Stimme habe ich alle notwendigen Daten des Anschlusses geschickt bekommen, auf mein privates Handy, obwohl ich nur eine, für Angreifer leicht zu findende, Kundennummer angegeben habe.

Szenario

Ein Angreifer nutzt den Zugang zu T-Online E-Mail Accounts seines Opfers, die er aus einer Datenbank oder per Phishing beschaffen konnte, und kann nun telefonisch alle Daten anfordern, die er braucht um einen Internetanschluss zu übernehmen, dem Opfer das Internet abzustellen oder Ähnliches. Fälle hierzu gibt es genügend Auch finanzieller Schaden kann entstehen, wenn der Angreifer den Anschluss hochsetzt, damit kostenpflichtige Angebote nutzt oder Zugänge zum Internet in Geschäftszeiten abschaltet.

Fazit

Wie auch schon im Fall Mat Honan ist die Lücke, die ein Angreifer in einem gut gesicherten System suchen muss, meist der Mensch. Auch bei der Telekom wird auf Sicherheit gesetzt, wenn ein Angreifer jedoch mit den richtigen Daten einen Anruf tätigt, steht ihm potentiell die Identität jedes Kunden zur Verfügung. Selbst aussagen wie "Was ist denn Ihr Geburtsdatum?", die man als Angreifer mit "Dass muss ich schnell bei Wikipedia nachschauen" beantwortet, werden lachend angenommen und der Zugang wird umgestellt.

Ausblick

Passwörter sind unbequem, aber es scheint auch bei einer telefonischen Verifizierung einer Identität müssen von Unternehmen und Dienstleistern mehr Maßnahmen getroffen werden, um Kunden zu schützen und deren Identit nachzuweisen. Die versendeten, vertraulichen Daten können noch so gut geschützt sein, wenn ein Angreifer den Empfang aller Daten steuern kann, ohne Befugnisse dafür zu haben. Reicht eine oft kommunizierte Kundennummer, eine Kreditkartennummer oder ein Geburtsdatum aus um eine Identität zu verifizieren? Ich glaube nicht.

INSIDERSKNOWLEDGE Nachrichten

INSIDERSKNOWLEDGE Nachrichten abonnieren

14. Oktober 2014


Unsere Nachrichten sind Umgezogen! Aktuelle IT-Sicherheits News finden Sie nun auf IKSec.de. Von Anfang an war Aktualität für uns ein entscheidender Faktor, um unseren Kunden stets optimal beraten zu können. Zu diesem Zweck begannen wir täglich die wichtigsten Ereignisse und Veröffentlichungen aus dem Bereich IT-Sicherheit zusammenzutragen und – zunächst – als internen Newsletter zu dokumentieren.

Das positive Feedback führte dazu, dass wir die “Nachrichten” Kategorie auf unserer Webseite einführten und seit Mitte 2012 dort veröffentlichten. Dieser Bereich wurde schnell der beliebteste und meist aufgerufene Bereich unserer Webseite und stellt bis heute eine der besten deutschsprachigen Übersichten zum Thema IT-Sicherheit dar.

Spätestens seit dem NSA-Skandal hat das Thema IT-Sicherheit ein so breites Interesse erfahren, dass wir uns entschieden haben die INSIDERSKNOWLEDGE Nachrichten auf ein eigenes Portal auszulagern. IKSec.de ist ein neues Experiment für uns, mit dem wir hoffen, eine bereite Zielgruppe zu diesem wichtigen Thema erreichen zu können

13. Oktober 2014


Neue Dokumente aus den Leaks von Edward Snowden belegen, dass die NSA auch innerhalb deutscher und anderer europäischer Unternehmen Agenten platziert hat. Unter dem Namen TAREX (Target Exploitation) wird ein Programm beschrieben dass mittels eigener oder angeworbener Agenten langfristige Spionage und Sabotage Aktionen in nicht US-Unternehmen ermöglichen soll. Die Dokumente verdeutlichen damit, wie wichtig es dem amerikanischen Geheimdienst ist, Verschlüsselungen umgehen zu können und die Möglichkeit zu haben, gezielte Hintertüren in Soft- und Hardware zu platzieren. Aus den Dokumenten geht außerdem hervor, dass diese Operationen unter einer Geheimhaltungsstufe über "Top Secret" laufen. Top Secret galt bisher als die höchste bekannte Geheimhaltungsklassifizierung
Link zur Quelle

Aus einem BBC Interview mit dem Leiter des Europol Cybercrime Centre, Troels Oerting, geht hervor, dass die Polizei einen Großteil aller Cybercrime Fälle auf rund 100 Hintermänner zurückführt. Zu den größten Herausforderungen gehören laut Troels, dass die meisten Kriminellen aus dem russischsprachigen Ausland heraus agieren und daher nur schwer verfolgt werden können
Link zur Quelle

Ein Hackerangriff auf den Dienst SnapSaved führte offenbar zur Veröffentlichung der Bilder von hundert tausenden SnapChat Nutzern. Nach Angaben von SnapChat wurde das Unternehmen von dem Hackerangriff nicht betroffenen sondern lediglich ein - mittlerweile eingestellter - externer Dienst. SnapChat erlaubt es Bilder zu versenden, die nach kurzer Anzeige gelöscht werden. Aus diesem Grund wird der Dienst häufig zum "Sexting" unter jugendlichen Verwendet. Der Großteil der Zielgruppe von SnapChat ist zwischen 13 und 17 Jahren alt. Dieser junge Altersdurchschnitt sorgte angeblich auch dafür, dass die Bilder auf 4Chan und anderen Seiten nicht intensiv verbreitet wurden
Link zur Quelle

Die Electronic Frontier Foundation weißt in einem neuen Artikel darauf hin, dass es nicht möglich ist eine kryptografische Hintertür zu entwickeln, die nur von Strafverfolgungsbehörden und nicht von kriminellen benutzt werden kann. Die EFF geht damit auf einen Artikel in der Washington Post ein, der eine Schwächung der Verschlüsselung von iOS 8 und Android Geräten gefordert hatte
Link zur Quelle