Fr, 16:00 Uhr
23.09.2016
Kommentar zum Yahoo-Hack
Einer der größten Hacks aller Zeiten
Der Yahoo-Hack von 500 Millionen Konten zählt zum größten Cyberangriff aller Zeiten. Das Unternehmen gibt an, dass der Angriff möglicherweise von einem Staat unterstützt worden sei: Yahoo verstärkte erst vor Kurzem seine Sicherheitsmaßnahmen und führte eine hochmoderne Datenverschlüsselung für die Übertragung ins eigene Rechenzentrum ein...
Vor diesem Hintergrund und in Anbetracht des Umfangs und des hohen technologischen Niveaus des Hacks, ist ein Angriff durch eine Regierung sehr gut möglich. In solchen Fällen stehen typischerweise Russland, China, Iran und Nord-Korea ganz oben auf der Liste der Verdächtigen. Grundsätzlich kommt aber jede Regierung, die ein Interesse an der Überwachung ihrer Bürger hat, in Betracht. Vor allem Russland wird mit Argwohn betrachtet, weil die gehackten Yahoo-Daten im August von russischen Hackern im Dark Web zum Verkauf angeboten wurden.
Der Hack gefährdet möglicherweise auch den 4,8 Milliarden US-Dollar schweren Verkauf von Yahoos Kerngeschäft an den US-amerikanischen Telekommunikationskonzern Verizon. Der Verizon-Deal war ein Notverkauf, in dem Yahoo sein Kerngeschäft stark unter Wert angeboten hatte. Verizon sagt nun, man hätte dort erst vor ein paar Tagen von dem Hack erfahren.
Jetzt tauchen natürlich Fragen auf, warum Yahoo den Angriff, der bereits 2014 stattfand, erst jetzt bemerkte und weshalb der Freemail-Anbieter seine Kunden erst sechs Wochen nach dieser Entdeckung informierte. Denn dass im August Yahoo-Kundeninformationen im Dark Web zum Verkauf angeboten wurden, war öffentlich bekannt. Vermutlich würde niemand mehr sein Yahoo-Passwort verwetten, dass sich Verizon unter diesen Vorzeichen noch auf das Geschäft einlässt.
Yahoo und anderen E-Mail-Provider bieten eine Zwei-Faktoren-Authentifizierung an: Wenn von einem unbekannten Gerät auf Ihr E-Mail-Konto zugegriffen wird, werden Sie automatisch aufgefordert, sich auszuweisen. Versuchen Dritte auf Ihr E-Mail Konto zuzugreifen, kann der E-Mail-Provider diese aufgrund des fehlenden Identitätsnachweises zuverlässig als Kriminelle identifizieren.
Es ist kaum zu glauben, aber laut LeakedSource, einem kostenpflichtigen Dienst für die Suche nach gehackten Daten, sind die häufigsten Passwörter „123456“, „passwort“, „quertz“ sowie der Name des Portals bei dem man sich einloggt, also etwa „Yahoo“.
Ein Hacker gibt in der Regel seinem Entschlüsselungsprogramm die Anweisung, 100.000 Passwort-Kombinationen für eine festgelegte Anzahl von Zeichen zu testen. Wenn das nicht zum Erfolg führt, versucht er eine andere Zeichenfolge. Wenn das Passwort aus Kleinbuchstaben (z.B. hallo), einem Großbuchstaben am Anfang und sonst nur Kleinbuchstaben (z.B. Blümchen) besteht, kann es mit der Brute-Force-Methode sehr schnell geknackt werden. Das gleiche gilt für lauter Kleinbuchstaben mit einer Zahlenkombination am Ende (z.B. martin34).
Ideal ist ein acht bis zehn Zeichen langes Passwort, bestehend aus einer Mischung aus Groß- und Kleinbuchstaben, Symbolen und Nummern. Nach Berechnungen der Firma iFusion Labs, könnte ein sieben-Zeichen-Passwort, bestehend aus nur Kleinbuchstaben mit der oben genannten Methode, in zwei Stunden und zwanzig Minuten geknackt werden.
Ein gleichlanges Passwort bestehend aus Groß- und Kleinbuchstaben, Symbolen und Zahlen würde mehr als zwei Jahre in Anspruch nehmen. Bei acht Zeichen würde es mehr als zwei Jahrhunderte dauern. Absolut unknackbar – zumindest in einem Zeitraum von 1800 Jahren – sind zehn Zeichen lange Passwörter, wie zum Beispiel fimE £ = * 4Og oder $ *: 8A {€ M5T.
Steve Bell, Security Experte bei BullGuard
Autor: redVor diesem Hintergrund und in Anbetracht des Umfangs und des hohen technologischen Niveaus des Hacks, ist ein Angriff durch eine Regierung sehr gut möglich. In solchen Fällen stehen typischerweise Russland, China, Iran und Nord-Korea ganz oben auf der Liste der Verdächtigen. Grundsätzlich kommt aber jede Regierung, die ein Interesse an der Überwachung ihrer Bürger hat, in Betracht. Vor allem Russland wird mit Argwohn betrachtet, weil die gehackten Yahoo-Daten im August von russischen Hackern im Dark Web zum Verkauf angeboten wurden.
Der Hack gefährdet möglicherweise auch den 4,8 Milliarden US-Dollar schweren Verkauf von Yahoos Kerngeschäft an den US-amerikanischen Telekommunikationskonzern Verizon. Der Verizon-Deal war ein Notverkauf, in dem Yahoo sein Kerngeschäft stark unter Wert angeboten hatte. Verizon sagt nun, man hätte dort erst vor ein paar Tagen von dem Hack erfahren.
Jetzt tauchen natürlich Fragen auf, warum Yahoo den Angriff, der bereits 2014 stattfand, erst jetzt bemerkte und weshalb der Freemail-Anbieter seine Kunden erst sechs Wochen nach dieser Entdeckung informierte. Denn dass im August Yahoo-Kundeninformationen im Dark Web zum Verkauf angeboten wurden, war öffentlich bekannt. Vermutlich würde niemand mehr sein Yahoo-Passwort verwetten, dass sich Verizon unter diesen Vorzeichen noch auf das Geschäft einlässt.
Einrichtung eines sicheren Passworts
Wenn Sie ein Yahoo-Konto haben, sollten Sie schnellstmöglich Ihr Passwort ändern und die Zwei-Faktoren-Authentifizierung verwenden, die der Freemail-Dienst anbietet.Yahoo und anderen E-Mail-Provider bieten eine Zwei-Faktoren-Authentifizierung an: Wenn von einem unbekannten Gerät auf Ihr E-Mail-Konto zugegriffen wird, werden Sie automatisch aufgefordert, sich auszuweisen. Versuchen Dritte auf Ihr E-Mail Konto zuzugreifen, kann der E-Mail-Provider diese aufgrund des fehlenden Identitätsnachweises zuverlässig als Kriminelle identifizieren.
Vorsicht unsichere Passwörter
Hacker verwenden in der Regel spezielle Programme, genannt „Brute-Force“, um Passwörter zu knacken. Ihr Passwort muss daher stark und komplex sein, damit es schwer zu entschlüsseln ist.Es ist kaum zu glauben, aber laut LeakedSource, einem kostenpflichtigen Dienst für die Suche nach gehackten Daten, sind die häufigsten Passwörter „123456“, „passwort“, „quertz“ sowie der Name des Portals bei dem man sich einloggt, also etwa „Yahoo“.
Ein Hacker gibt in der Regel seinem Entschlüsselungsprogramm die Anweisung, 100.000 Passwort-Kombinationen für eine festgelegte Anzahl von Zeichen zu testen. Wenn das nicht zum Erfolg führt, versucht er eine andere Zeichenfolge. Wenn das Passwort aus Kleinbuchstaben (z.B. hallo), einem Großbuchstaben am Anfang und sonst nur Kleinbuchstaben (z.B. Blümchen) besteht, kann es mit der Brute-Force-Methode sehr schnell geknackt werden. Das gleiche gilt für lauter Kleinbuchstaben mit einer Zahlenkombination am Ende (z.B. martin34).
Ideal ist ein acht bis zehn Zeichen langes Passwort, bestehend aus einer Mischung aus Groß- und Kleinbuchstaben, Symbolen und Nummern. Nach Berechnungen der Firma iFusion Labs, könnte ein sieben-Zeichen-Passwort, bestehend aus nur Kleinbuchstaben mit der oben genannten Methode, in zwei Stunden und zwanzig Minuten geknackt werden.
Ein gleichlanges Passwort bestehend aus Groß- und Kleinbuchstaben, Symbolen und Zahlen würde mehr als zwei Jahre in Anspruch nehmen. Bei acht Zeichen würde es mehr als zwei Jahrhunderte dauern. Absolut unknackbar – zumindest in einem Zeitraum von 1800 Jahren – sind zehn Zeichen lange Passwörter, wie zum Beispiel fimE £ = * 4Og oder $ *: 8A {€ M5T.
Steve Bell, Security Experte bei BullGuard
Kommentare
Leser X
23.09.2016, 17.59 Uhr
Inzwischen bin ich mir sicher...
... dass das Internet vor allem zum Zwecke der allumfassenden Spionage erfunden wurde. Hoffentlich ersticken die Überwacher eines Tages an dem ganzen Datenwust ...
0
0
Login für Vote
tannhäuser
23.09.2016, 21.15 Uhr
Feind hört mit!
Ich bin sowieso auf dem Radar von Stasi 2.0, weil ich bestimmte Seiten der Nicht-Lügenpresse anklicke und Bücher beim Kopp-Verlag bestelle.
Natürlich wird alles verfolgt, was wir im Internet machen und wo wir uns gerade aufhalten. Der Chip im Kopf ist unser Smartphone.
Wenn ich ins Festnetz telefoniere, klickt es und hallt, selbst wenn der Gesprächspartner oder ich nicht auf Laut gestellt haben.
Keine Ahnung, warum ich als Staatsfeind Nr.100.000 behandelt werde. Wir nähern uns immer mehr den Verhältnissen, welche u.a. die DDR zu Fall brachten.
Natürlich wird alles verfolgt, was wir im Internet machen und wo wir uns gerade aufhalten. Der Chip im Kopf ist unser Smartphone.
Wenn ich ins Festnetz telefoniere, klickt es und hallt, selbst wenn der Gesprächspartner oder ich nicht auf Laut gestellt haben.
Keine Ahnung, warum ich als Staatsfeind Nr.100.000 behandelt werde. Wir nähern uns immer mehr den Verhältnissen, welche u.a. die DDR zu Fall brachten.
0
0
Login für Vote
jan-m
23.09.2016, 21.52 Uhr
Brute-Force ist kein Programm
Brute-Force ist kein Programm sondern eher die Methode mit roher Gewalt ein Problem (in diesem Fall das Knacken von Passwörtern) zu lösen. Hierbei werden alle möglichen Lösungen einfach ausgerechnet. Das Problem ist dabei der große Lösungsraum und die damit einher gehende Dauer für die Berechnung.
Normalerweise werden Passworte nicht als Klartext gespeichert, sondern als verschlüsselter Hash-Wert. Bei einem Hack wird dann dieser Hashwert und nicht das Passwort selbst erbeutet. Mit Brute-Force versucht man dann, aus dem Hash-Wert wieder ein Passwort zu generieren.
Brute-Force -> kein Programm!
Normalerweise werden Passworte nicht als Klartext gespeichert, sondern als verschlüsselter Hash-Wert. Bei einem Hack wird dann dieser Hashwert und nicht das Passwort selbst erbeutet. Mit Brute-Force versucht man dann, aus dem Hash-Wert wieder ein Passwort zu generieren.
Brute-Force -> kein Programm!
0
0
Login für Vote
Tor666
24.09.2016, 09.13 Uhr
Bitte...
...Russland 2 x schreiben und ganz groß, denn die sind ja nun mal mit großem Abstand für alles verantwortlich, was in der Welt passiert. Die sind aber auch was von pöhse.
0
0
Login für Vote
Andreas Dittmar
24.09.2016, 10.44 Uhr
Nicht nur ein sicheres Passwort ist entscheident
Logindaten sollte man niemals eingeben wenn man per E-Mail dazu aufgefordert wird. Es sei denn, ich selbst habe die Mail wenige Sekunden vorher selbst ausgelöst, um ein eventuell vergessenes Passwort zurückzusetzen. Auch wenn man von irgendwelchen Webseiten urplötzlich zur Passworteingabe aufgefordert wird, immer misstrauisch sein. Habe ich zB. keine Bankgeschäfte zu erledigen oder in irgendwelchen Kundencentern nichts zu tun, gebe ich natürlich auch keine Passwörter ein. Das gilt auch für Telefonanufe. Wird man angerufen und aufgefordert Passwörter zu nennen, legt man sofort wieder auf.
Das Speichern von Zugangsdaten auf dem PC ist auch keine gute Idee. Der eigene Kopf ist der sicherste Ablageort für Passwörter. Auch Netzlaufwerke und Cloudspeicher sollte man niemals automatisch einhängen lassen. Aktuelle Verschlüsselungstrojaner können ohne weiteres solche Laufwerke erkennen und die Daten sicher verschlüsseln. Bequemlichkeit und Sicherheit schließen sich gegenseitig aus. Auch das Feauture aktueller Antivirensoftware verschlüsselte Verbindungen (SSL) zu scannen sollte man mit Vorsicht genießen. Diese Funktion ähnelt einem Man in the Middle Angriff. Der Hersteller liest den verschlüsselten Datenstrom aus um Angriffe zu erkennen, kann aber dadurch auch Banktransaktionen, E-Mails und Webseitenlogins im Klartext mitlesen. Ein Datenleck oder ein Schwarzes Schaf könnte also diese Accounts abgreifen und für eigene Zwecke verwenden. Dafür werden hohe Preise gezahlt. Der Schaden für Betroffene ist beachtlich.
BruteForce ist nur eine Möglichkeit an Passwörter zu gelangen, für so einen Hack, wie bei Yahoo allerdings ziehmlich zeitraubend. Da gibt es meiner Meinung nach einfachere Methoden.
Das Speichern von Zugangsdaten auf dem PC ist auch keine gute Idee. Der eigene Kopf ist der sicherste Ablageort für Passwörter. Auch Netzlaufwerke und Cloudspeicher sollte man niemals automatisch einhängen lassen. Aktuelle Verschlüsselungstrojaner können ohne weiteres solche Laufwerke erkennen und die Daten sicher verschlüsseln. Bequemlichkeit und Sicherheit schließen sich gegenseitig aus. Auch das Feauture aktueller Antivirensoftware verschlüsselte Verbindungen (SSL) zu scannen sollte man mit Vorsicht genießen. Diese Funktion ähnelt einem Man in the Middle Angriff. Der Hersteller liest den verschlüsselten Datenstrom aus um Angriffe zu erkennen, kann aber dadurch auch Banktransaktionen, E-Mails und Webseitenlogins im Klartext mitlesen. Ein Datenleck oder ein Schwarzes Schaf könnte also diese Accounts abgreifen und für eigene Zwecke verwenden. Dafür werden hohe Preise gezahlt. Der Schaden für Betroffene ist beachtlich.
BruteForce ist nur eine Möglichkeit an Passwörter zu gelangen, für so einen Hack, wie bei Yahoo allerdings ziehmlich zeitraubend. Da gibt es meiner Meinung nach einfachere Methoden.
0
0
Login für Vote
Kommentare sind zu diesem Artikel nicht mehr möglich.
Es gibt kein Recht auf Veröffentlichung.
Beachten Sie, dass die Redaktion unpassende, inhaltlose oder beleidigende Kommentare entfernen kann und wird.
Beachten Sie, dass die Redaktion unpassende, inhaltlose oder beleidigende Kommentare entfernen kann und wird.