Kategorien
Internet & Medien

Internet der Dinge: Sind auch meine smarten Geräte im Web zu finden?

Smarte Geräte wie Heizungsthermostate, LED-Lampen, Alarmanlagen und Kühlschränke sind mit Schnittstellen ausgerüstet, um über WLAN oder LAN mit dem Internet kommunizieren zu können. Der Bequemlichkeitsfaktor von Smart-Home & Co ist schon sehr groß, hat aber auch seine Tücken. Oft sind diese Geräte unzureichend gegen Hackerangriffe geschützt. Damit ist auch das Heimnetzwerk mit dem Computer über diese Hintertür angreifbar. Aber wie findet man die Geräte im Internet der Dinge? Antwort: Mit der richtigen Suchmaschine.

Shodan, ZoomEye, PunkSPIDER & Co

Spezielle Suchmaschinen wie Shodan.io suchen im Web nach Informationen, ähnlich wie Google oder Bing. Allerdings sind Webseiteninhalte nicht das Ziel von Shodan, sondern Geräte wie Webcams, Smart-Home-Geräte, Router Leuchtmittel, Türschlösser und vieles mehr.

Spezielle Suchbegriffe sind eigentlich nicht erforderlich. Für eine allgemeine Suche reicht meist schon der Name eines Gerätes aus, um tausende Ergebnisse zu erhalten. Du kannst aber auch mit anderen Angaben wie Seriennummer oder IP-Adresse suchen. Über den Button Explore neben dem Suchfeld, lässt sich bei Shodan herausfinden, mit welchen Begriffen andere User gesucht haben.

Kostenlose Registrierung

Wenn du Shodan.io nutzen willst um deine internetfähigen Geräte zu überprüfen, dann ist eine Registrierung empfehlenswert. Die Suchergebnisse ohne Login sind sehr dürftig. Wer noch mehr Funktionen möchte, der schließt eine Mitgliedschaft für 49 USD ab. Für gewerbliche Nutzer stehen drei unterschiedliche Preiskategorien für monatlich 19, 99 oder 499 US-Dollar zur Verfügung.

Kategorien
Chrome Facebook Firefox Google Internet & Medien Opera

Zwei-Faktor-Authentifizierung: Nicht immer so sicher, wie versprochen.

Viele Webseiten bieten Ihren Nutzern eine zweifache Absicherung des Login-Bereiches an. Dazu gehört beispielsweise auch Ebay. Bei der sogenannten Zwei-Faktor-Authentifizierung wird dir nach der Eingabe der Logindaten ein zusätzlicher Code gesendet. Der meist per SMS oder per E-Mail versendete Code muss dann ebenfalls auf der Webseite eingegeben werden, damit der persönliche Bereich freigegeben wird. Aber auch diese Absicherungs-Variante ermöglicht Hackern den Webseiten-Einbruch ohne deine Logindaten zu kennen.

Webbrowser, wie beispielsweise Chrome oder Firefox, legen bei Webseitenanmeldungen Cookies an, die später zur Wiedererkennung verwendet werden. Da macht auch eine Zwei-Faktor-Authentifizierung meist keine Ausnahme.

Es sei denn, der Webseitenbetreiber verzichtet auf Cookies beim Login-Vorgang. Dadurch geht der Komfort bei der Anmeldung verloren, weil du jedes mal beide „Sicherheitsschleusen“ durchschreiten musst. Aber Bequemlichkeit ist das größte Sicherheitsrisiko.

So kommen die Hacker an deine Anmeldedaten

Ein Angreifer führt ein Session Sidejacking durch, um an deine Anmeldedaten zu kommen. Dabei zeichnet er deinen Datentraffic auf. Die hierzu verwendete Software kann unterschiedlich sein (z. B. Wireshark). Mit diesem Tool hat er zuvor schon das Netzwerk, z. B. einen öffentlichen Hotspot, infiziert.

Anschließend analysiert er deinen Datentraffic (z. B. mit Hamster und Ferrit) und extrahiert damit die Login-Cookies. Das Passwort und/oder die Zugangscodes sind in den Cookies zwar nicht in Klarschrift sichtbar, aber das ist auch nicht nötig. Der Hacker verwendet den kompletten Cookie, um sich gegenüber der Webseite zu authentifizieren. Da ist kein Passwort notwendig, weil die Webseite ihn als „Wiederkehrer“ erkennt.

Wie schützt man sich?

Wenn man einmal davon absieht, dass man sich auf sensiblen Webseiten nicht anmeldet, wenn man unbekannte WLAN/LAN-Netzwerke nutzt, dann ist eine gute Firewall unerlässlich. Außerdem sollte das Anlegen von Cookies gänzlich untersagt und die Browserdaten nach jeder Onlinesession gelöscht werden.

Auf die HTTPS-Webseiten (SSL/TLS-Verschlüsselung) alleine, sollte man sich auf keinen Fall verlassen.

Kategorien
Hardware & Software

FritzBox-Sicherheitslücke: Nicht nur der Fernzugriff ist betroffen

Bislang hat der FritzBox-Hersteller AVM immer betont, dass die Sicherheitslücke (wir berichteten) nur Router betreffen, in denen der Fernzugriff aktiviert ist. Das Sicherheitsteam von heise Security hat jedoch herausgefunden, dass es auch ohne Fernzugang möglich ist, eine FritzBox mit veralteter Firmware zu kapern. Der Aufruf einer präparierten Webseite genügt. Daher die Empfehlung an alle FritzBox-Besitzer: unbedingt die Firmware der Fritz!Box aktualisieren – auch wenn man den Fernzugang nicht nutzt.

Sicherheitslücke betrifft alle FritzBox-Besitzer

Das Kapern einer FritzBox ist laut heise auch mit deaktiviertem Fernzugriff möglich. Das macht das Sicherheitsleck deutlich gefährlicher als bisher angenommen. Heise hat die Lücke mit einem Sicherheitsexperten analysiert und intern bewiesen, dass die Lücke nichts mit der Fernsteuerfunktion zu tun hat. Für den Angriff reicht der Aufruf einer Webseite mit entsprechendem Schadcode. Durch den Hack können Angreifer beliebige Befehle mit Root-Rechten auf der Box ausführen.

fritzbox-sicherheitsluecke-hack-hackerangriff

Zum Beweis hat heise eine Proof-of-Concept-Webseite entwickelt, über die FritzBoxen angegriffen und gekapert werden können. Wird die präparierte Webseite aufgerufen, werden auf der FritzBox automatisch Hacker-Befehle ausgeführt, die unter anderem die Konfigurationsdatei der Box auf einen externen Server kopiert – inklusive sensiblen Daten wie dem Administratorpasswort und den DSL- und DynDNS-Zugangsdaten.

Firmware-Update schließt die Lücke

Die gute Nachricht: ein Firmware-Update auf die aktuellste Firmware-Version schließt die Sicherheitslücke. Daher unsere Empfehlung: auch wenn in Ihrer FritzBox die Fernsteuerfunktion deaktiviert ist, sollten Sie unbedingt die Firmware der Box aktualisieren. Das geht ganz einfach. Eine genaue Schritt-für-Schritt-Anleitung finden Sie hier.

Kategorien
Hardware & Software

Evernote Hackerangriff: Millionen Kennwörter gestohlen; jeder muss sein Kennwort neu vergeben

Sie speichern Ihre Notizen, Skizzen und anderen Dateien beim Clouddienst Evernote? Dann sollten Sie jetzt schleunigst handeln und Ihr Kennwort ändern. Der Grund: Evernote wurde von Hackern angegriffen, die Nutzernamen, E-Mails und verschlüsselte Kennwörter gestohlen haben.

Kennwort-Reset bei Evernote

In Evernote- Blog informiert das Unternehmen, dass ein Hackerangriff stattgefunden hat und persönliche Kontoinformationen wie Evernote-Benutzername, die verwendete E-Mail-Adresse sowie das verschlüsselte Passwort ausspioniert wurden. Aus Sicherheitsgründen hat Evernote daher die Kennwörter aller rund 50 Millionen Nutzerkonten zurückgesetzt. Dass merken Sie spätestens dann, wenn Sie zum Beispiel die Evernote-App das nächste Mal starten und keinen Zugriff mehr auf Ihre Daten haben.

evernote-hack-gehackt-hackerangriff-hacken-kennwort-passwort-aendern-aenderung

Evernote-Kennwort ändern

Um das Evernote-Kennwort zu ändern, rufen Sie die Webseite evernote.com/intl/de auf und klicken oben rechts auf „Anmeldung im Internet“. Jetzt sollte bereits die Meldung erscheinen, dass Ihr Evernote-Kennwort zurückgesetzt wurde. Vergeben Sie hier ein neues, sicheres Kennwort. Wie sichere Kennwörter aussehen, steht im Tipp „Unknackbare und sichere Kennwörter„. Nachdem Sie Ihr Evernote-Kennwort geändert haben, erhalten Sie per E-Mail eine Bestätigung.

evernote-hack-gehackt-hackerangriff-hacken-kennwort-passwort-aendern-aenderung-2

Achtung: Wenn – wie oben beschrieben – beim ersten Login der Hinweis auf die Kennwort-Rücksetzung nicht erscheint oder Sie ohne Ihr Zutun die Bestätigungsmail zu einem geänderten Kennwort erhalten, sollten Sie hellhörig werden. Da Evernote sämtliche Kennwörter aller Evernote-Nutzer zurückgesetzt hat, sollten Sie die Meldung beim ersten Login nach der Rundumlöschung auf jeden Fall sehen. Und falls Sie die E-Mail „Änderung des Evernote Passwortes bestätigt“ erhalten, obwohl Sie das Kennwort noch nicht geändert haben, haben vermutlich die Hacker bereits die Kennwörtänderung vorgenommen.

In beiden Fällen sollten Sie zur Sicherheit das Kennwort noch einmal manuell ändern. Dazu loggen Sie sich auf der Weboberfläche von Evernote ein, klicken oben rechts auf den Pfeil und wählen den Befehl „Einstellungen“. Mit dem Befehl „Ändere Passwort“ vergeben Sie anschließend ein neues Kennwort.

Kategorien
Android Handy & Telefon iPad iPhone

WhatsApp Sicherheitslücke: WhatsApp-Accounts lassen sich kinderleicht hacken, überwachen und missbrauchen

WhatsApp ist schlampig programmiert. So schlampig, dass sich jeder beliebige WhatsApp-Account mit wenigen Schritten kapern lässt. Fremde können dann in Ihrem Namen und mit Ihrer Absender-Telefonnummer WhatsApp-Messages verschicken.  Das Perfide an der Sache: einen einmal geklauten WhatsApp-Account bekommen Sie nie wieder zurück.

Einmal WLAN-Nutzung reicht – und futsch ist der WhatsApp-Account

Herausgefunden hat die Sicherheitslücke das Sicherheitsteam von heise. So funktioniert’s: Sobald Sie WhatsApp in einem öffentlichen WLAN verwenden – etwa im Restaurant, am Flughafen, bei Starbucks oder McDonalds – ist der eigene WhatsApp-Account im Nu gekapert. Und sobald der WhatsApp-Account einmal geknackt wurde, sind Sie ihn los: Sie können Sie ihn nicht mehr sichern oder zurückbekommen.

WhatsApp lässt sich kinderleicht knacken und hacken

Der Grund ist eine Programmierpanne: Denn die Programmierer von WhatsApp haben es sich ein wenig zu einfach gemacht und einen Sicherheitsmechanismus verwendet, der keiner ist. WhatsApp verwendet zur Anmeldung am Server ein Kennwort, dass bei Androud lediglich aus der IMEI-Seriennummer des Handys und beim iPhone/iPad aus der MAC-Adresse der WLAN-Verbindung besteht.

Anleitung für WhatsApp-Spionage?

Beides lässt sich von Hackern kinderleicht herausfinden. Die IMEI steht bei den meisten Android-Handys auf der Rückseite bzw. Innenseite oder lässt sich – ist das Handy einmal in fremder Hand – über die Tastenkombination *#06# ermitteln. Und die MAC-Adresse der WLAN-Verbindung können Hacker mit frei zugänglichen Tools auslesen – es reicht, im Funkbereich des gleichen WLANs zu sitzen, etwa im gleichen McDonalds-Restaurant.

Da WhatsApp zudem die Rufnummer im Klartext überträgt, können Hacker kinderleicht den kompletten WhatsApp-Account übernehmen und fortan WhatsApp-Nachrichten in Ihrem Namen und unter Ihrer Rufnummer versenden.

Gegenmaßnahmen? Keine!

Eine Möglichkeit zum Schutz gegen die eklatante Sicherheitslücke gibt es bislang nicht. Unser Rat: Wenn Sie ein iPhone oder iPad verwenden, sollten Sie WhatsApp nicht mehr in öffentlichen WLAN-Netzen verwenden. Android-Nutzer sollten Ihr Handy nicht aus der Hand geben oder liegen lassen, damit Unbefugte nicht mehr die IMEI-Adresse des Handys herausfinden können. Bleibt nur zu hoffen, dass WhatsApp bald reagiert und die Sicherheitslücke schließt.

Kategorien
Internet & Medien

Twitter Hack: Über 50.000 Twitter-Accounts inklusive Twittername und Kennwort stehen öffentlich im Netz – Ihrer auch?

Hoppla, gibt es bei Twitter etwa ein Datenleck? Ein bislang unbekannter Hacker ist in den Besitz von über 50.000 Twitter-Accounts inklusive Benutzername und Kennwort gelangt. Ob auch Ihr Name mit dabei ist, können Sie leicht nachprüfen.

Twitter gehackt?

Die New York Times berichtet über ein besorgniserregende Datenleck bei Twitter; erste Berichte gab es zuvor im Blog Air Demon. Offenbar wurden rund 55.000 Accounts gehackt bzw. deren Zugangsdaten erschnüffelt. Allerdings zeigt sich bei näherer Betrachtung, dass unter den 55.000 Namen rund 20.000 Duplikate sind. Twitter untersucht den Vorfall derzeit und betont, dass es sich vermutlich „nur“ um bereits abgelaufene Spam-Accounts handelt.

Die Liste der ausgespähten Twitter-Namen steht auf den folgenden fünf Seiten:

Ob Ihr Twittername unter den veröffentlichten Accounts ist, können Sie selbst überprüfen: Rufen Sie eine der Seite mit den Namenslisten auf, und drücken Sie die Tastenkombination [Strg][F], um die Suchfunktion des Browsers zu starten. Geben Sie Ihren Twitternamen oder einen Teil davon ins Suchfeld ein. Da die Listen nicht alphabetisch sortiert sind, sollten Sie alle fünf Listen durchforsten.

Ist Ihr Twittername dabei, sollten die Alarmglocken angehen: Ändern Sie dann unbedingt Ihr Twitter-Kennwort. Das geht ganz schnell auf der Seite twitter.com/settings/password. Und wenn Sie dasselbe Kennwort auch bei anderen Diensten oder in Shops wie ebay oder Amazon verwenden, sollten Sie auch dort das Kennwort ändern. Und zwar möglichst schnell.