Sicherheitsaspekte von e-mail Accounts

Sicherheitsaspekte von e-mail Accounts

Free E-Mail Accounts wie zum die von GMX oder Hotmail stellen ein beliebtes Angriffsziel für viele Cracker Wannabee’s oder Kids dar, aus verschiedenen Gründen.

1.) Es wäre sehr reizvoll die privaten Nachrichten seines Sitznachbars in der Schule zu kennen um diesen mal so richtig zu verblüffen.

2.) Es erscheint sehr einfach. Jeder ohne irgendwelche Vorkenntnisse kann versuchen Passwörter durchzutesten um ans Ziel zu kommen. Die Anzahl der Versuche ist eben dementsprechend größer wenn die Leute ein Ziel vor Augen haben.

Das Ziel dieses Textes ist es, grundlegende Angriffspunkte zu beschreiben und mögliche Lösungen anzubieten. Denn ein Systemadministrator kann sich noch so viel
Mühe geben, wenn die Benützer unachtsam agieren nützt die beste mögliche Sicherheit nichts.

1.) Brute Force Attacken

Brute Force (Brutale Gewalt) ist eine sehr simple Attacke, etwa vergleichbar mit dem Versuch ein Schloß zu öffnen indem man sich einfach mit 100 verschiedenen
Schlüsseln davorstellt und solange herumprobiert bis einer passt. Für solche Attacken verwendet man in der Regel simple Programme die automatisiert mit einer Vielzahl verschiedener Passwörter systematisch logins versuchen. Ein Beispiel ist das im WWW sehr verbreitete wwwhack. Diese Programme sind in der Regel konfigurierbar, sie verwenden einerseits Wortlisten, gehen aber auch simple Buchstaben – Zahlenkombinationen durch und kombinieren dann „beliebte“ Passwörter noch mit Zahlen (z.B. jamesbond1).

Obwohl solche Attacken äußerst primitiv sind führen sie in vielen Fällen zum Erfolg. Der „Nachteil“ liegt auf der Hand, solche Attacken sind nicht gerade subtil und fallen in jedem Fall auf.

GMX z.B. bietet derzeit schon einen guten Schutz vor Angriffen dieser Art, da nach einem misslungenem Login Versuch die "Authorization Denied" - Ausgabe um einige Sekunden verzögert wird. Das steigert den Zeitaufwand für einen BF Angriff enorm, sollte aber dennoch nicht als „Allheilmittel“ behandelt werden.

Lösungsmöglichkeiten: Um sich vor solchen Angriffen zu schützen gibt es eine ganz einfache Methode. Die Wahl des richtigen Passworts! Das Problem hierbei ist das
meist der Bequemlichkeit des Benützers eine höhere Priorität eingeräumt wird als der Sicherheit. Dennoch sollte das Passwort mindestes 6 Stellen haben, nach
Möglichkeit nicht in einer Wortliste auftauchen, sowie Buchstaben und Zahlen beinhalten. „gj4pe5“ wäre ein Beispiel für ein gutes Passwort (was nicht heißen soll das das eine Aufforderung ist dieses Passwort an meinem Account auszuprobieren *g*).

2.) Die Sicherheitsfragen

Die gängigen e-mail Anbieter derzeit bieten die option einer „Geheimfrage“, die wenn das Passwort vergessen wurde wieder den Weg zu seinem Account ebnet.
Sicherheitstechnisch der größte Schwachsinn den man sich vorstellen kann, aber auch hier geht eben die Kundenfreundlichkeit vor. Was mir an Sicherheitsfragen schon untergekommen ist lässt einem wirklich die Haare zu Berge stehen. Unlängst bin ich wieder über „Was für ein Auto fahre ich denn?“ gestoßen. Enorm die Anzahl der möglichen Antworten! Man probiert einfach mal: BMW, Mercedes, Opel, Volkswagen (je nachdem aus welchem Land der Accountbesitzer stammt) und meist hat man spätestens beim 20’ten Versuch die richtige Antwort.

Sehr unklug sind auch Fragen zu irgendeinem Spezialgebiet. Vor kurzem habe ich „Die Geschossgeschwindigkeit eines M16/AR in Bruchteilen der Lichtgeschwindigkeit:“ gefunden. Freut mich sehr, das physikalische Wissen des Benützers, aber es sollte nicht vergessen werden das man all diese Dinge in der Tat auch NACHSCHLAGEN kann.

Viele Leute kommen sich auch sehr gerissen vor indem sie irgendwelche Wortspiele verwenden. Ich habe einmal auf Anfrage die Accounts eines Bekannten getestet und wurde mit der Frage „Wer hat meinen Vampir gesehen?!“ konfrontiert. Nachdem ich mir kurz den Kopf über mögliche „logische“ Antworten zerbrochen hatte kam ich auf die naheliegenste Idee: Antwort: NIEMAND (gibt glaub ich ein Spiel für kleine Kinder an das ich mich da erinnert habe). Hat natürlich gestimmt.

Lösungen: Man sollte auf keinen Fall Fragen stellen die man wirklich beantworten kann. Eine gute Möglichkeit wäre ein zweites Passwort (z.B. numerisch, 10 stellen)
anzulegen, aufzuschreiben und den Zettel irgendwohin zu packen wo man ihn auch wieder findet (WICHTIG *g*), und dann bei der Sicherheitsfrage danach zu fragen, wenn man schon unbedingt eine definieren will. Genausogut kann man sich ja auch das normale Passwort aufschreiben um es nicht zu vergessen.

3.) Sauberes Ausloggen

Das ist ein Punkt der auch oft vergessen wird. Die meisten Services löschen eine login Session einige Minuten nachdem man den Account verlassen hat ohne sich sauber auszuloggen. Manche Systeme sperren den Account dann für diesen Zeitraum, das ist aber eher die Ausnahme (bei Online Banking wird es meist so handgehabt, bei email Diensten eher nicht).

Für einen Angreifer besteht nun die Möglichkeit eines Angriffes in dem Zeitraum nachdem ein Benützer den Account nicht gründlich verlassen hat bis zu dem Zeitpunkt an dem die login Session gelöscht wird. Viele Dienst binden Dinge wie die Benützernummer in die Account - URL ein. Wenn man sich jetzt selbst ein Konto bei dem Anbieter macht kann man relativ einfach das System herausfinden nachdem die Login URL’s generiert werden. Sollte sich ein Benützer dann einmal nicht sauber ausloggen kann man direkt zu dieser Ziel URL springen die dann noch eine gültige Login Session ID enthält.

Lösung (Trivialst): Den Account immer nur sauber ausgelogged verlassen

Wenn diese Punkte beachtet werden kann das Risiko eines erfolgreichen Angriffs auf einen Mail Account auf ein minimum reduziert werden. Natürlich bieten auch diese Vorkehrungen keine 100% ige Sicherheit (100% gibt’s ohnehin nicht sobald ein Mensch daran beteiligt ist) aber sie sollten das Risiko doch beträchtilich minimieren.

Wenn es irgendwelche Fragen oder Anregungen zu diesem Text gibt, feel free to contact me.

SonicBoom (sonicboom@fuechsin.de)