In den letzten Monaten habe ich immer öfter von Leuten gehört, deren Facebook Account gehackt worden ist. Die Folgen können von nicht spürbar über persönliche Probleme bis zu ernsthaften Sicherheitsproblemen von ganzen (politischen) Gruppierungen führen. Die Fälle, auf die ich mich beziehe, zielen in die letzten beiden Kategorien.
Die erste Frage sollte einmal sein, wer gefährdet ist, von bösartigen Angreifern gehackt zu werden. Das sind vor allem Menschen, die sich exponieren, also Politiker oder Freiheitskämpfer. Natürlich auch Leute, die sich in kleinerem Rahmen exponieren, ähnliches mag durchaus für die Revolutionäre der Schrebergartenbewegung gelten. Und Du und ich? Naja, natürlich auch, denn wir alle haben solche Leute in unserer Facebook Kontaktliste. Will man an die ran kommen dann muss man im Umfeld starten. Übrigens ist es sehr leicht möglich, dass wir zwar gehackt wurden, um unsere Verbindungen auszuspionieren, wir selbst aber nichts davon bemerken, denn der Angreifer hat keine Lust, entdeckt zu werden.
Einfach: E-Mail Adresse und Passwort. Beinahe hätte ich vergessen: Ich muss natürlich wissen, dass derjenige überhaupt bei Facebook ist. Nichts leichter als das: ich tippsle seine Mailadresse oder seinen Namen in die Suche ein: Bingo. Leider erlaubt es Facebook nicht, einen falschen Namen anzugeben, es ist aber nicht verboten, eine Mailadresse anzugeben, die man nicht täglich verwendet, GMX, als Beispiel, gibt Benutzern oft auch eine zweite Mailadresse (Alias), und die kann irgendwie sein. Nun hat der Angreifer das Profil über den Namen gefunden. Der nächste Schritt wäre dann, die Mailadresse auszulesen. Das tun übrigens SPAMer auch, also verstecken wir unsere Mailadresse. Der Angreifer muss also einmal die Mailadresse erraten. Und dann natürlich das Kennwort.
Nehmen wir einmal an, Sie sind der stolze alleinerziehende Vater von Kevin und ich möchte Sie hacken. Mein erster Versuch wäre einmal, Kevin als Passwort einzugeben. Weil Kevin zu kurz ist (Facebook fordert 6 Zeichen) hänge ich noch einen Einser an. Kevin1. Kevn ist am 29. 2. 2000 geboren? 29021000. Ach, da fällt mir ein, Sie fahren doch den schwarzen Golf GTI, der Ihnen neben Kevin das heiligste ist? Also probiere ich auch noch GolfGTI. War nicht noch ein Gerücht über eine Maria? Maria6. Sie sind an Briefmarken interessiert? Mauritius wäre einen Versuch wert!
Ich hoffe, ich habe ungefähr erklären können, wie ein Angreifer vorgehen würde. Er weiß, dass sich Menschen komplexe Passworte nicht merken können. Und damit hat er Recht. Oder doch nicht? Wir haben uns in unserem Leben immer wieder komplexe Dinge merken müssen. Und genau auf die können wir jetzt zurück greifen! Welchen Unsinn haben wir nicht in Mathe so lernen müssen, nie gebraucht und sitzt trotzdem bombenfest! Johannes, wie viel ist 12x12? 144! Haben wir schon ein Passwort: 12*12Ist144. Das Passwort erfüllt die wichtigsten Kriterien: Es lässt sich nicht einfach aus meinem Privatleben ableiten, man findet es in keinem Wörterbuch (Angreifer verwenden Wörterbücher!) es besteht aus Zahlen, großen und kleinen Buchstaben und Sonderzeichen. Und es ist recht lang: 11 Zeichen. Und trotzdem kann ich es mir merken! Ich leg noch eins drauf, weil es lustig ist behaupte ich: 12*12Ist143. Da wären Sie nie drauf gekommen, stimmts?
Ein anderes Verfahren wäre übrigens, Muster auf der Tastatur zu wählen. Zum Beispiel: 6/8)0=9(7&. Nur wer eine Deutsche Tastatur hat kann das als regelmäßiges Muster verstehen!
So. Wir haben ein wirklich tolles Passwort gefunden. Ich vermute einmal, wir müssen es uns nicht aufschreiben. Wenn wir das tun dann sollten wir es gut verstecken. Und wir sollten wissen, wer der Angreifer sein kann.
Unser Account ist jetzt sicher, ein Angreifer kommt da nicht ran. Denkt man. Der Mensch irrt, so lange er lebt (oder war es umgekehrt?). Facebook hat, wie beinahe alle anderen Dienste im Internetz auch, eine Hintertüre für Leute, die ihre Passworte vergessen. Klicken Sie im Logondialog auf Passwort vergessen, schon "hilft" Facebook. Facebook schickt ein Mail oder SMS an die Mailadresse. Oh. Noch schlimmer: Ich kann sogar den Namen und den eines beliebigen Kontaktes angeben und Facebook zeigt mir einen Teil der Mailadresse! Es kann durchaus lehrreich sein, mit diesen Hintertürchen zu spielen.
Man kann die Sache drehen und wenden wie man will: Zu guter Letzt bleibt als Risiko das Handy und der Mailaccount. Weil ich auf mein Handy prinzipiell nicht gut aufpasse ist es durchaus möglich, dass es mir – sagen wir einmal – kurzfristig entliehen wird, um mein Facebook Password zu erhalten. Daher würde ich Facebook meine Telefonnummer eher nicht anvertrauen. Bleibt mein Mailaccount. Auch hier sollte natürlich ein starkes Passwort zum Einsatz kommen, sonst war aller Aufwand umsonst.
Facebook ist jetzt sicher. Wirklich? Blödsinn, jetzt fängt die Sache erst an! Meinen Sie, die IT Abteilung Ihrer Firma, die Leute vom Internetprovider (Secret Service) könnten nicht mitlesen, was Sie durchs Internet schicken? Die dürfen nicht mitlesen? Da haben Sie Recht, wenn Sie das beruhigt dann brauchen Sie nicht weiter zu lesen.
Aller Verkehr, der durchs Internet geschickt wird, kann gelesen werden, wenn http als Trägerprotokoll verwendet wird. Facebook kann man aber auch über https erreichen. Ändern Sie Ihre Bookmarks auf https://www.facebook.com! Jetzt wird die Anmeldung brav und sauber verschlüsselt übertragen. Und dann? Ja, Facebook schaltet danach möglichst wieder aus unverschlüsselt zurück. Alles was Sie sehen kann ein Beobachter dann ebenfalls sehen. Wirklich?
Seit kurzem gibt es bei den Kontoeinstellungen (verbirgt sich hinter dem kleinen Pfeil ganz rechts oben) auch Sicherheitseinstellungen (linke Seite). Wenn man hier "Sicheres durchstöbern" auswählt wird auch in Folge alles brav verschlüsselt übertragen.
An der Stelle gibt es übrigens noch ein paar zusätzliche Einstellungen, die es schwieriger machen, einen Facebook Account zu hacken!
©Norz Johannes, Oktober 2011
[home]