Britische Politiker werden zu leichten Hack-Opfern

Sicherheit & Privatsphäre, Tipps & Tricks 

Während ein letztjähriges Experiment noch zu dem Ergebnis kam, wie Personen sorglos an freien öffentlichen WLAN-Hotspots umgehen und AGB ungelesen bestätigen, wollten wir bei der aktuellen Untersuchung zielgerichtete Angriffe auf Personen öffentlichen Interesses starten. Um es Vorweg zu nehmen: Mit Erfolg! In Zusammenarbeit mit  den Penetrationstest-Experten von Mandalorian Security Services ist es uns gelungen die mobilen Endgeräte von drei hochrangigen, britischen Politkern zu hacken.

E-Mail- und  Social Media-Accounts gehackt

Die „Ziele“, Parlamentsabgeordneter David Davis, Mitglied des Europaparlaments Mary Honeyball und Lord Strasburger, wurden bewusst aufgrund ihrer einflussreichen Positionen in der britischen Regierung ausgewählt, und hatten dem Test im Vorfeld zugestimmt. Nach dem Test gaben die drei Politiker zu, dass sie trotz ihrer hochrangigen Positionen weder spezifische Anweisungen für die sichere Benutzung von WLAN-Hotspots erhalten hatten, noch wurde ihnen die enorme Verwundbarkeit ihrer Geräte in öffentlichen WLAN-Netzwerken erklärt. Und dabei machten sich alle drei nach eigener Aussage regelmäßig öffentliches WLAN zu Nutzen.

Zum erfolgreichen Eindringen der Test-Hacker in sein E-Mail-Konto sagte Abgeordneter David Davis: „Es ist ehrlich gesagt ziemlich erschreckend. Das gehackte Passwort war sehr komplex, komplizierter als heutzutage üblich. Es war definitiv nicht ‚Passwort‘ oder etwas Ähnliches.“ Besonders beunruhigend ist dabei die Tatsache, dass selbst die sichersten Passwörter in diesem Fall keinen Schutz geboten hätten. Öffentliches WLAN ist von Natur aus eine extrem unsichere Umgebung und es ermöglicht dem Hacker, sich problemlos zwischen den Zielcomputer und das öffentliche Netzwerk zu schalten und Daten wie persönliche Benutzernamen und Passwörter einfach abzufangen.

Beim Angriff auf Lord Strasburger wurde ein unverschlüsseltes ‚Voice over IP‘ (VoIP) Telefongespräch aus seinem Hotelzimmer abgehört und aufgezeichnet. Die dafür verwendete Software und Technologie ist ohne Probleme im Internet erhältlich und relativ einfach zu bedienen.

Mary Honeyball, Mitglied des EU-Komitees verantwortlich für die „We Love WLAN“-Kampagne, saß in einem Café und surfte im Netz, als ihr der Hacker von Mandalorian eine scheinbar von Facebook stammende Nachricht schickte: Sie wurde zeitbedingt ausgeloggt und solle sich bitte wieder anmelden. Ohne Verdacht zu schöpfen, gab sie dem Hacker so ganz einfach ihre Zugangsdaten und er hätte sich nun in ihrem Facebook-Konto vergnügen können.

Das Experiment zeigte  wie einfach es die ethnischen Hacker von Mandalorian hatten, die Kommunikation über das WLAN-Netzwerk zu monitoren. Und auch die in Telefonaten,  E-Mails und Social Media-Konten enthalten Informationen konnten ebenfalls leicht abgefangen werden. Passwörter und Login-Daten für verschiedene Dienste wurden ebenfalls leicht zu erhalten, wesentlich zu beeinträchtigen Zugriff auf verschiedene Online-Dienste, wie Social Media und E-Mail-Konten.

Die drei erfolgreichen Hacks haben dabei nicht nur gezeigt, wie einfach Hacker einen Passwortschutz umgehen können, sondern auch, wie die persönlichen Informationen der Opfer benutzt werden, um weitere Angriffe zu ermöglichen.

Der WLAN-Hack – Denkzettel für die Abgeordneten

„Im Rahmen meiner Tätigkeit als Mitglied des Europaparlaments bin ich oft in Europa unterwegs und nutze oft öffentliche WLAN-Netze. Entsprechend ist das sehr besorgniserregend. Ich bin überrascht und schockiert“, kommentiert Mary Honeyball.

Die im Laufe des Experimentes großteils gestohlenen Informationen, wie etwa die Browser Historie oder andere Metadaten, schienen harmlos zu sein. Aber genau diese Information können dazu genutzt werden, um ganz gezielte und hochwirksame Angriffe zu starten.

„Es ist ehrlich gesagt ziemlich erschreckend,“ sagt Davis. „In Gmail sind so zielmlich alle privaten Unterhaltungen zu finden und sie könnten einfach mitgelesen werden.“ Um dem potenziellen Ausmaß der Risiken ein konkretes Gesicht zu geben, schrieben die ethischen Hacker von Mandalorian in Davis’ Namen eine E-Mail an die britische Presse, in der der Abgeordnete der Konservativen Partei seinen Parteiwechsel zum rechtspopulistischen Rivalen der UK Independent Party ankündigt – die E-Mail blieb aber natürlich im Entwurfsordner.

Der Podcast mit weiteren Reaktionen und Details über das Experient sind hier zu finden.

Diesen Beitrag bewerten

0 Bewertungen

2 Kommentare

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Könnte Ihnen ebenfalls gefallen