You are on page 1of 1

Wie sich Cloud-Piraten auch ihre Identitt fischen knnten

Social Engineering ist ein alter Hut und ermglicht jedem Agenten oder Spitzel, der sein Opfer genau studiert, fundierte Daten ber dessen Leben. Soweit kein Problem wre da nicht die Angewohnheit der Menschen Passwrter, die sie sich selbst aussuchen drfen, nach sozialen Mustern zu erstellen. Vereinfacht heit das, dass der Name der Frau plus das Geburtsdatum der Kinder schon ein Treffer sein kann. Der Unterschied zu der Zeit vor den sozialen Netzwerken ist aber der, dass viele IT-DAUs [dmmster anzunehmender User] in diesen Netzwerken ihr komplettes Sozialleben offenbaren. War es frher noch ntig den Arbeitsplatz oder die Wohnung der betreffenden Person auszuspionieren, gengt heute oft ein kurzer Blick in das Facebook-Profil des Opfers. Denn was lge nher, als anzunehmen, dass jemand der sein Facebook-Profil nicht so absicherte das nicht die ganze Welt sein Privatleben durstbern kann, dass dieser dann auch einfache Passwrter benutzte? Hier mge sich jeder selbst fragen, ob er ein Normbrecher oder doch ein Gewohnheitstier ist, meist trifft letzteres zu. Ein bisschen mehr Aufwand brauchten die Cloud-Piraten, die dem US-Journalisten Mat Honan zuerst seinen Amazon-Cloud-Account und danach noch seinen Apple-Cloud-Account wegnahmen und so ganz nebenbei, alle seine mit diesem Account verbundenen Applegerte auf NULL bzw. Werkszustand zurcksetzten und seine Identitt lschten. Was fr eine schne neue Welt in der die Datensicherung inklusive der Identitt fr das Internet an einem Punkt gespeichert und man morgens aufwacht und nichts mehr da ist. Ganz so einfach war es scheinbar nicht, wie heise.de schreibt aber das Ergebnis spricht Bnde. Die Konsequenz daraus lie nicht lange auf sich warten, Apple und Amazon nderten die Sicherheitsbestimmungen und unterbinden ab sofort diesen hier angewendeten Weg der Account bernahme. Doch bleibt die Gefahr bestehen, denn die hier verwendete Sicherheitsstrategie kommt hufig vor. Der Kern des Problems besteht in der Notfalladresse die zur Passwortwiederherstellung genutzt wird. Meist koppelt das System diese zwar mit einer persnlichen Frage aber diese Wie heit ihr Lieblingshaustier; der Name ihrer Mutter; der Geburtsname ihrer Frau; ihr Geburtsort-Fragen sind doch gerade prdestiniert fr social Engineering. Deshalb der wohlgemeinte Rat an alle die Morgen nicht ohne Daten und Identitt aufstehen wollen ndert etwas. Einige Beispiele dafr knnen sein: 1. Absicherung der sozialen Netzwerke betont asoziales Verhalten zeigen und genau berprfen, wer was sehen darf. 2. Sicherheits-E-Mailaddressen nicht preisgeben und nicht ffentlich verwenden, am besten eine Neue erstellen, wie jasdjasjk@email.de und ein sicheres Passwort verwenden, wie #+jkaAG40_ oder vergleichbar. 3. Auch komplizierte Passwrter nie doppelt verwenden und einen sicheren Ort der Aufbewahrung finden. Es ntzt nichts ein 20-stelliges Passwort zu haben, wenn es im Browser gespeichert und der PC mit 1234 vor Zugriffen geschtzt ist. Beachtet man nur diese drei vorgestellten Schritte, unterbindet man schon die meisten Angriffsstrategien. Dennoch hngt auch hier die Sicherheit von einem sauberen System ab, denn ein mit Viren, Trojanern und Keyloggern verseuchtes System gibt selbst das beste Passwort preis. Wer wirklich auf Nummer sicher gehen will, dem sei ein Live-Linux-System von DVD empfohlen, was nicht verndert oder manipulierbar ist aber irgendwo hrt der Komfort ja schlielich auf und fngt die Paranoia an.