W-Lan die Smartphone & Tab Falle...!

  • Moin erstmal...!

    Weihnachten steht fast vor der Tür und für viele Heranwachsende -/ Jugendliche soll nach Möglichkeit ein modernes Tab oder Smartphone unter dem Tannenbaum liegen. Mit dem Handy ist Kommunikation ja heutzutage fast immer und überall möglich. Gerade Jugendliche nutzen dies in besonderem Maße. Das sie sich in ihrer intensiven Handynutzung speziellen Risiken aussetzen – finanzieller, technischer oder auch rechtlicher Art – darüber sind sich nur die Wenigsten bewusst. Okay, eine gewisse Sorglosigkeit steht der Jugend anheim, trotzdem ist der Umgang mit moderner, mobiler Kommunikation mit einer Informations-/ und Verantwortungspflicht verbunden, die bei allzu leichtfertigem Umgang schnell zum Bumerang werden kann. Beispiel:

    Kostenlose W-Lan Hotspots:

    Im Zug, S-Bahn am Bahnhof, mal eben zwischendurch im Cafe, Mensa , oder bei MC-Doof, wird heutzutage aus Gründen ständiger Taschengeld-/ Bafögnot gern auf öffentliche W-Lan Hotspots zugegriffen. Vernünftige Daten - Flattarife sind vergleichsweise teuer im Bezug auf Prepaid - Accounts, da ist jeder kostenlose Internetzugang sehr willkommen und hoch frequentiert. Dieser Umstand erleichtert es Account - Piraten, ohne großen technischen Aufwand und Know-How in kürzester Zeit an die Facebook, Twitter, E-Mail - Accounts und auch an Passwörter und andere vertrauliche Informationen, der in diesem Hotspot angemeldeten Surfer zu gelangen. Dabei bringt ein Facebook - Account im Netz zwischen 15 – 25 USD.
    Ein aktueller Fall dazu beschäftigt gerade das Europa-Parlament. Hier wurden von einen gefakten Hot-Spot die "Sync-Seite" eines bekannten E-Mail Hoster nachgebildet und ca 40.000 E-Mails von Abgeordneten, Parlamentarien, Lobbyisten und dem IT-Bereich abgefischt. Mit relativ wenig Know How einem ordentlichen Smartphone und den passenden Programmen ganz einfach...!

    Im Detail:

    Alle Diejenigen die schnell mal Ihre E-Mails checken, oder Twittern, eine Fahrkarte buchen, oder nur mal eben im Fratzenbuch ihre Viecher füttern, übersehen einen gleichaltrigen Jugendlichen mit heftigster Akne, der Zeitung lesend, still in einer Ecke sitzt. In der Tasche unsichtbar für alle Anderen ein Smartphone mit der App "Android-Sheep". Einer App die kürzlich noch frei im Market verfügbar war, 50.000-mal heruntergeladen wurde und die Sitzungen aller Hotspot Nutzer mitschneidet. Google hat sie mittlerweile aus dem Market genommen.


    Diese App sorgt im generischen Modus munter dafür, dass über das Address Resolution Protokoll ARP alle Session Cookies mit Benutzername und Passwort ausgefiltert werden und zu allem Überfluss auch gleich als Lesezeichen an den Webbrowser weitergegeben werden. Dazu gibt es noch kostenlos "Shark for Root", einen Packetdumper für den TCP/IP-Dump mit kinderleichter grapischer Benutzeroberfläche, das wars. Auf meinen eigenen Gt-i9100 (siehe Bild) habe ich das mal im häuslichen W-LAN nachgestellt, auch um hier mal den Nachweis zu erbringen, das man nicht das Rad erfunden haben muss, um schnell und ohne Aufsehen zig Identitäten aus lokalen W-LAN Netzen abzufischen und diese zu mißbrauchen. Auf dem Handy sieht das dann so aus:


    [ATTACH]4877.vB[/ATTACH]


    Die in "gelb" dargestellten Links habe ich aus meinem lokalen W-LAN abgefischt, nach dem ich mich zum Test in ein Forum und bei einem meiner E-Mail-Hoster angemeldet hatte. Die App reicht die Links mit dem Nutzernamen und dem Passwort gleich an den On-Board Browser weiter, wo sie als Lesezeichen gespeichert, nur noch aufgerufen werden müssen. Ein wenig verfeinert, aber hier nicht weiter erklärt, funktioniert das auch mit https:/XXX.YYY Traffic, was die Angelegenheit für das vermeintliche Opfer noch gefährlicher macht.


    Der Einfachheit halber ist es im Netz nun so, wer Benutzernamen und Passwort kennt, dem gehört auch dieser Account, mehr wird nicht Hinterfragt und eine andere Absicherung wird auch nicht angeboten. Das Fratzenbuch fragt nicht nach dem Personalausweis. Davon kann "Christian von Boetticher" ein Liedchen singen, wurde doch auf diesem Wege sein Verhältnis zu einer minderjährigen Jugendlichen offengelegt, die ihn sein Mandat im Schleswig-Holsteinischen Landtag kostete. Aber auch weniger populäre Joungster können so Ziel von Belästigungen und schwerer öffentlicher Diffamierung werden.

    Noch einfacher haben es Klick – Jacker wenn sie clever genug sind gleich einen eigenen Hotspot hochzuziehen. Jedes Smartphone aus dem mittleren Preissegment ist nicht nur W-Lan sondern auch "Tethering" tauglich. Auch dazu muss man nicht studiert haben und Apps zur Aufzeichnung und Auswertung der mitgeschnittenen Daten gibt’s mittlerweile für fast jedes Handy OS. Mit einem Namen wie „Freies W-Lan“ an Orten mit hoher, jugendlicher Frequenz sind die Fische auch "Zack im Netz". Was die wenigsten jungen Smartphone User wissen, ist die Tatsache, das sich ein Smartphone automatisch und immer wieder in ein bekanntes W-Lan Netz einwählt, nicht nur in das Heimische, wenn man es nicht ausdrücklich untersagt und unsichere Netze wieder von der Liste löscht. Perfider Weise können I-Phone Besitzer nicht einmal überprüfen, welche W-Lan Netze auf dem Phone autorisiert sind, wobei immer nur die gelöscht werden können zu denen gerade Verbindung besteht. Es sei den man nimmt einen Reset der kompletten Netzwerkeinstellungen vor. Aber wissen das die Anfänger in der I-Phone Szene?

    Verifikationsmöglichkeiten ob man sich nun tatsächlich im Netz von MCDonalds.de, Telekom.de oder AirportHH.de befindet gibt es nicht. Das machen sich Click-Jack Profis zu nutze und setzen mit einem Linux fähigen Netbook und einem Acces-Point Amplifier (Leistungsverstärker) a la Alfa Network AWUS 036 NH für keine 30 €, gleich mehrere Hotspots auf. W-Lan Clients wie Tab´s und Smartphones verbinden sich immer mit der stärksten Empfangsquelle im Umkreis, das kann der User nicht verhindern und ein Ampflifier erhöht die zugelassene W-Lan Sendestärke von 0.5 Watt mal eben auf 1.5 Watt. Dann wird der Name des jeweiligen Aufenthaltsortes wie Flughafen, Bahnhof oder wie in den ICE´s Telekom.de vorgekaukelt, jeder kann sein W-Lan Netz nennen wie er will und schon lassen sich wunderbare Mitschnitte erzielen. Auf diese Weise lassen sich ganze Firmen und Universitätsnetzwerke lahmlegen, wenn ein allzu argloser Möchtegern – Hacker-/in auf die Idee kommt, den gesamten Netz-Traffic über so ein Netbook leiten. Schön das die ganze Apparatur noch in einen "Scout" passt, da fällt das neben den niedlichen Zöpfen, der schrecklichen Akne und den Ringelstrümpfen gar nicht auf.


    [ATTACH]4878.vB[/ATTACH]


    Quelle: Alfa-Lan.TW


    Das IT-Sicherheitsunternehmen iDefense hat einen Hacker aufgespürt, der unter dem Namen "Kirllos" in einem Internetforum 1,5 Millionen Facebook-Konten zum Verkauf anbietet. Für 1000 Facebook-Accounts verlangt der aus Russland stammende Hacker zwischen 15 und 25 Dollar, dabei hat er laut Schätzungen bereits ca. 700.000 Konten an Spammer und Malware-Verbreiter verkauft. Quelle: „ZdNet Security News“


    Diese gefälschten HotSpots bieten noch eine ganz andere atemberaubende Einnahmequelle. Wenn sich arglose Opfer an so einem Zugang anmelden, und beispielsweise die Eingangsseiten von Ebay.de, Amazon.de oder auch DeutscheBahn.de ansurfen und diese authentisch aufgemacht sind, so kann er doch für den Weiterleitungsservice an die tatsächlichen Web-Präsenzen über seinen kostenlosen Zugangspunkt durchaus 0.99 – 1.99 € einfordern. So kommt der Jacker auch an die PayPal und/oder Kreditkarteninformationen der besonders Arglosen und Eiligen für seinen Datenmitschnitt, der dann nur noch ausgewertet werden muss. Der Einstandsbetrag für die freiwillige Bekanntgabe der Kreditkartendaten bzw. des PayPal-Accounts, auch wenn nur geringfügig, ist natürlich auch weg, da die Gutschrift auf ein PayPal-Konto in Osteurpa geht. Für solche Transaktionen muss PayPal laut AGB nicht mal haften. Stört eigentlich auch kaum noch, das entsendende Konto ist in kürzester Zeit sowieso abgeräumt. Auch wenn dort nur eine Ausbildungsvergütung oder das BaFöG zu holen ist, Kleinvieh macht auch Dreck.

    Die Lösung dieses Problem sollte eigentlich Verschlüsselung heißen. Doch auch hier hat der Anwender kaum Einfluss auf den Umfang seiner verschlüsselten Session. So ist es zwar möglich über „Linkedin“ gezielt verschlüsselten Datenverkehr anzufordern, oder sie verlassen sich darauf, dass sie der Server wie etwa PayPal von "http://paypal.com/" auf die gesicherte Version "https://paypal.com/" "https://paypal.com" umleitet. Der Pferdefuss ist dabei allerdings: Die Links werden in beiden Fällen noch unverschlüsselt gesendet. Ein motivierter Hacker kann folglich die Übertragung dahingehend manipulieren, die verschlüsselten https-URLs durch einen Verweis auf die unverschlüsselten http-URLs zu ersetzen. Professionelle Unterstützung leistet da ein kostenloses Tool namens "SSlstrip". Es funktioniert dabei wie ein Proxy der mit den angesprochenen https-Servern verschlüsselt kommuniziert, auf der Anwenderseite jedoch nur normale http-URLs verwendet. Das funktioniert durch simples Austauschen der Header https in http und diese unverschlüsselten Seiten werden dem Client/User auch ausgeliefert wenn der eigentlich für die Verschlüsselung des Datenverkehrs angesprochene PayPal Server in diesem Beispiel es nicht tut. Erfunden hat das Ganze der Hacker Moxie Marlinspike. Es wird einen Haufen Betroffene geben, die ihm dafür nicht unbedingt Dankbar sind.

    Auch von Seiten der ernsthaften Betreiber solcher kostenloser Hotspots ist bei Spoofing oder Phishing Attacken wenig Hilfe zu erwarten, da eine kundenorientierte Absicherung öffentlicher Netze einen höheren administrativen und technischen Aufwand fordert und somit finanziell nicht mehr lukrativ zu Betreiben wäre. Somit wird der Kelch an die Netzwerk-Hardware Hersteller weitergereicht, die zu den in Smartphones und Tabs eingebauten W-Lan Adaptern die entsprechenden Standards und Protokolle liefern. Diese wiederum arbeiten im Rahmen einer „Hotspot Task Group“ der WiFi-Alliance an der Gesamtproblematik. Wobei das Hauptaugenmerk auf der von Jedermann leicht fälschbaren HotSpot Bezeichnung liegt.


    Es hieß es soll noch im Jahr 2012 eine HotSpot 2.0 Zertifizierung geben, die die bisher erläuterte Sicherheitsproblematik im Sinne der Nutzer entspannt. Allerdings wird es danach sicherlich noch eine ganze Weile dauern bis die unsicheren W-Lan Adapter in Tab´s und Smartphones durch eine neue Gerätegeneration abgelöst sind. Das moderne Drahtloskommunikation kein Sicherheitsrisiko sein muss beweisen unzählige gut administrierte Unternehmen, Fachhochschulen und Universitäten in ihren Netzen. Bis dieser Standard technisch auf mobilen Datenendgeräten erreicht ist, wird allerdings noch eine Menge Geld, Taschengeld, Ausbildungsvergütung etc, bzw. Social Community Accounts und Passwörter abgefisht sein.


    Fazit:

    Man könnte es kurz machen und sagen Viecher füttern bei Facebook ist ein „no go“ aber leider lassen sich diese Social Community´s, E-Mails etc. aus unserem intermedialen Zeitalter nicht mehr wegdenken, aus den Köpfen der heranwachsenden Generationen schon gar nicht, weil es „hipp“ ist. Wer spielt heute noch auf der Straße bzw. kann sich ein Pferd leisten?

    Doch gibt es Möglichkeiten den Gefahren drahtloser Kommunikation aus dem Weg zu gehen. Als Erstes mal, muss man sich der Gefahr bewusst werden und nutzt drahtlose Kommunikation nur noch da, wo sie auch wirklich sicher ist. Dies ist zumeist am Arbeitsplatz im heimischen W-Lan (WPA2) wurde auch schon erfolgreich gehackt) oder an FH´s und UNI´s der Fall. Für den Rest beschränkt man sich auf UMTS/GPRS sofern verfügbar. Der finanzielle Mehraufwand für Smartphone bzw. Tab-Anfänger relativiert sich im Schadensfall in jeder Hinsicht. Anstatt also teures Geld für sinnlose Virenschutz-Programme für mobile Kommunikationsmittel zu verbrennen, weil was dieser Post auch erklärt, Phishing und Spoofing wesentlich lukrativer ist, als Tab´s oder Smartphones durch einen Virus außer Gefecht zu setzen, kann man den Reinerlös auch seiner Flatrate oder Prepaid-Karte gutschreiben lassen.


    Die automatische Suche und Meldung von öffentlichen HotSpots konsequenter Weise abzuschalten oder einfach eben der Versuchung zu widerstehen, mal wieder 166 Zeichen zu Twittern oder E-Mails zu checken, bewirkt auch kleine Wunder. Wenn es denn unbedingt sein muss E-Mails abzurufen, dann nur über Hoster die verschlüsselte Kommunikation mit dem Postaus-/ und Eingangsserver zulassen. Je nach Handy OS muss man die Einstellungen „sichere Verbindung“, „SSL“ oder „Start TLS mühsam suchen und von Hand einstellen. Für die dazugehörigen Port-/IMAP Nummern muss man erst Edith Google befragen bevor diese folgerichtig eingestellte werden können. Der Standard Port für verschlüsseltes Pop3 ist 995, verschlüsseltes IMAP routet über Port 993 und ausgehende Mails nehmen SMTP-Server meist über Port 465 entgegen. Bei aktivierter Start-TLS Option, kann die verschlüsselte Kommunikation auch über die Standardports 110 (POP3), 25 oder 587 (SMTP) und 143 (IMAP) erfolgen.


    ProfiMail von Lonely Cat Games ist ein vollwertiger mobiler E-Mail Client der alle diese Einstellungsmöglichkeiten leicht zugänglich darstellt und ist für alle gängigen Handy-OS verfügbar. Absolut desaströs ist die Benutzung von WEB-Mail Konten in öffentlichen Netzen. Da es nicht ausreicht, in den jeweiligen Einstellungen die komplette Verschlüsselung der Sitzung zu aktivieren, weil es bei Google-Mail bereits Standard ist. Es gilt auch zu Prüfen, tatsächlich die gesicherte Verbindung https:/ angesteuert zu haben. Sonst ist man dem SSL-Stripper schutzlos ausgeliefert wie auf dem ersten Bild in diesem Post unschwer zu erkennen ist.

    [ATTACH]4879.vB[/ATTACH][ATTACH]4880.vB[/ATTACH]


    Eine weitere Möglichkeit für sicheren Datenverkehr bietet das Virtual Privat Network VPN-Tunneling. Hier wird der gesamte Datenverkehr verschlüsselt an einen VPN-Server geschickt, der das Dekodieren und Weiterleiten sämtlicher Seitenaufrufe an die entsprechenden Ziele übernimmt. Die Telekom bietet diesen Service an, leider ohne es ausreichend zu bewerben bzw. zu proklamieren, der ausschließlich über die Telekom – HotSpots zu erreichen ist.


    Machbar ist das natürlich auch mit einer kostenlosen-/ pflichtigen Open VPN App aus dem Android Market oder dem App Store. I-phone Besitzer brauchen dafür natürlich einen Jailbraik und z. Bsp. Das Tool „GuizmOVPN“. Für die Androiden gibt es z. Bsp TigerVPNS und „5 VPN 5 Klicks Connect“ oder kostenpflichtig „1 VPN Connect in 1 Tap“. Wer den Jailbraik umgehen möchte, kann sich mit dem vom PC bekannten App „HotSpotShield“ weiterhelfen, dabei wird der VPN-Zugang über die Server des Anbieters AnchorFree geleitet, anonymisiert und mit nur einem Fingertipp eingerichtet. Allerdings kostet dieser Service monatlich 0.99 USD. Der gleichnamige Dienst ist für die Androidenwelt in Vorbereitung, natürlich kostenlos, nach derzeitigem Planungsstand. Allerdings, dass sei in diesem Zusammenhang auch erwähnt, ist das Surfen in einem VPN-Tunnel auch bei einer HSUPA/DPA-Verbindung mit einem deutlichen Geschwindigkeitseinbussen verbunden.

    UMTS und GPRS sind zwar nicht grundsätzlich gegen Missbrauch geschützt, für gezielte Angriffe auf Datenverbindungen in Mobilfunknetzen gibt es bislang allerdings nur Studien und noch keine wirklichen Anzeichen. So ist von einer realen Gefahr im täglichen Datenverkehr eher nicht auszugehen. Angriffe in W-Lan Netzen sind allerdings mittlerweile auch für Laien ein Kinderspiel dank Google, den entsprechenden Apps und technischen Möglichkeiten. Geeignete Schutzmaßnahmen, außer dem gesunden, informierten Menschenverstand und permanenter Wachsamkeit und Selbstkontrolle, bis auf die dargestellten Alternativen leider Fehlanzeige. Um sich die Zeit zu vertreiben ein wenig zu surfen, ist öffentliches W-Lan sicherlich eine kostengünstige Alternative. Natürlich immer unter der Prämisse, dass einem dabei über die Schulter geschaut wird. Diesen Umstand kann man natürlich locker vernachlässigen, so lange man nicht auf die Idee kommt, personalisierte Daten, deren Verlust sehr schmerzhaft und-/ oder kostenintensiv sein könnte, in einem öffentlichen HotSpot ins Netz zu schicken, oder sich bei Fratzenbuch unbedingt um sein virtuelles Farmgetier kümmern muss. Wirklich wichtige Angelegenheiten wie Online-Banking oder finanzielle Transaktionen per Kreditkarte sollte man grundsätzlich nicht über einen öffentlichen W-Lan HotSpot auf dem Smartphone abwickeln.


    Gerade die aktuelle Diskussion um Datensicherheit und Privatspähre im Netz lässt einen Browser wie auf "Google-Android" Systemen, der nicht mal die Option zum "Schließen" hat, also immer im Hintergrund mitläuft, wie ein trojanisches Pferd erscheinen. In diesem sind dann schön übersichtlich und jederzeit zur Abfrage, alle "Cookies" der zuletzt besuchten Seiten mit Nutzername und Passwort für alle diejenigen gespeichert, die damit wesentlich mehr anzufangen wissen, als der "digital Demente Nutzer", der einfältig wie "Konsumvieh" die Risiken mobiler Datenkommunikations, bejubelt und mit der unsachgemäßen Nutzung maßlos überschätzt.

    Na lieber Leser…, alles verstanden? Dann erklären sie den Inhalt dieses Post´s doch bitte mal ihren Kindern.


    In diesem Sinne


    VG Ede

  • Die letzte Antwort auf dieses Thema liegt mehr als 365 Tage zurück. Das Thema ist womöglich bereits veraltet. Bitte erstellen Sie ggf. ein neues Thema.

    • :)
    • :(
    • ;)
    • :P
    • ^^
    • :D
    • ;(
    • X(
    • :*
    • :|
    • 8o
    • =O
    • <X
    • ||
    • :/
    • :S
    • X/
    • 8)
    • ?(
    • :huh:
    • :rolleyes:
    • :love:
    • 8|
    • :cursing:
    • :thumbdown:
    • :thumbup:
    • :sleeping:
    • :whistling:
    • :evil:
    • :saint:
    • <3
    • :!:
    • :?:
    Maximale Anzahl an Dateianhängen: 10
    Maximale Dateigröße: 1 MB
    Erlaubte Dateiendungen: bmp, gif, jpeg, jpg, pdf, png, txt, zip

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!