Hacken für jedermann: Ein Praxis-Bericht
Artikel erschienen in Swiss IT Magazine 2003/01
Weihnachten waren dieses Jahr zum Vergessen. Zumindest, was das Wetter betrifft. Keine Sonne, kein Schnee - nur Dauerregen. Wer will es mir da verdenken, wenn ich mir ein paar ruhige Tage vor meiner Workstation gönnte?
Das miese Wetter hatte somit auch seine Sonnenseite. Und ich hatte endlich wieder Zeit, um zur Abwechslung einen echten Hackangriff zu starten. Als Ziel suchte ich mir was einfaches aus, einen Hotmail-Account. Nicht von irgendjemandem, sondern von einem guten Freund. Schliesslich ist Weihnachten, und der soll seine Bescherung haben.
Aber im Ernst: Ich wollte herausfinden, wie weit ich mich mit öffentlich zugänglichen Informationen und Tools vorhacken kann, die auf einschlägigen Hacker-Seiten und Foren frei herumliegen und für deren Anwendung kein tiefes technisches Know-how verlangt wird. Um es vorwegzunehmen: Ich kam sehr weit. Innerhalb eines halben Tages verschaffe ich mir vollen Zugriff auf den Hotmail-Account meines Freundes.
Bevor ich überhaupt irgendwelche Hackertools applizierte, versuchte ich zuallererst das Passwort zu erraten. Da ich ziemlich viel über die Zielperson wusste, versuchte ich es mit diesem Trick, der allerdings fehl schlug. Mein Freund hatte kein 08/15-Passwort gewählt wie der Name seiner Freundin, Geburtstagsdatum, Name der Katze etc. (Das ist der Klassiker unter den Benutzersünden - leider immer noch weit verbreitet.)
Ich musste mir also etwas besseres einfallen lassen. Ich schickte ihm ein E-Mail - anonymisiert selbstverständlich, damit der Angriff möglichst realistisch daherkam. Das Mail war mit einem HTML-Attachement versehen, in das ich einen Link eingebaut hatte. Ich habe ein Thema gewählt, wovon ich ausgehen konnte, dass es ihn interessierte. In Wirklichkeit handelte es sich beim HTML-Attachement nicht nur um einen Link auf eine Webseite, sondern um eine nachgebaute Login-Seite von Hotmail. Diese erscheint jedes Mal, wenn man in ein so genanntes Time-out fällt, das immer dann auftritt, wenn man sich in den Account einwählt und danach nichts mehr tut. Nach einiger Zeit Inaktivität muss man sich aus Sicherheitsgründen neu authentifizieren. Schliesslich könnte man in der Zwischenzeit den Rechner verlassen haben. Genau dieses Sicherheitsfeature lässt sich vorzüglich ausnützen.
Der Benutzer tappt dabei in eine Falle, ohne dass er es merkt. Das Unheil beginnt, wenn er auf das Attachement klickt. Das macht er allerdings nur, wenn der Hacker ein Thema wählt, welches das Opfer anspricht. In dieser Phase spielt somit auch so genanntes Social Engineering eine Rolle, denn man muss rausfinden, für was sich die Zielperson interessiert. Sonst besteht die Gefahr, dass die Person das Mail einfach löscht. Einmal auf das Attachement geklickt, erscheint eine offensichtlich normale Time-out Seite, die den Benutzer auffordert, sich neu zu authentifizieren mit Angabe von Username und Passwort. Aufmerksame Benutzer werden spätestens jetzt skeptisch, da sie trotz aktivem Datenverkehr urplötzlich in ein Time-Out fallen. Die allermeisten Benutzer bemerken dies aber nicht. Sie geben frischfröhlich das Passwort ein. Sobald sie dies gemacht haben, erscheint auch ganz normal die gewünschte Webseite, die sie erwartet haben. Was sie aber nicht bemerken, ist, dass dasselbe Passwort im Hintergrund über einen externen Formular-Mailer an den Angreifer verschickt wird. Dieser kann sich nach Erhalt in den Account einwählen und sogar das verschickte Mail löschen, um sämtliche Spuren zu verwischen. Dem User wird nichts auffallen.
Dieses Beispiel zeigt, dass man heute mit relativ wenig Know-how schon in Systeme eindringen kann. Anleitungen oder mindestens Hinweise findet man zu Tausenden im Internet. Zwar ist der beschriebene Angriff auf die Hotmail-Accounts seit Anfang Jahr nicht mehr möglich, da der integrierte Antivirus-Service das HTML-Attachement als Virus entlarvt. Doch es dauerte rund sechs Monate, bis dieser Sicherheitsmechanismus eingebaut wurde. Der kann übrigens leicht ausgetrickst werden: Eine nachträgliche kleine Modifikation am HTML-Attachement reicht bereits aus, damit der Antivirus-Service den "Virus" nicht mehr erkennt… Um sich von solchen Angriffen zu schützen, gibt es nur eine einzige wirksame Methode. Öffnen Sie NIE ein Attachement von einer unbekannten Person! Egal ob HTML oder irgendeine andere Datei!