Category Archives: Sicherheit

heiseBrute

The Fappening: Promi-Nacktfotos über Find My iPhone aus der Cloud gesaugt” (heise.de)

Nach dem Hack, bei dem Unbekannte private Fotos mehrere prominenter junger Frauen unerlaubt kopiert haben, ist nun ein Skript im Internet aufgetaucht, dass bei dem Angriff verwendet worden sein soll.
(…)
Mittlerweile funktioniert das Skript nicht mehr…
(…)
Das Angriffs-Skript namens iBrute gibt sich als die Find-My-iPhone-App aus und arbeitet mit Gewalt mögliche Passwörter aus einer Liste ab, die der Angreifer zur Verfügung stellt.

Heise hat den Schuss nicht gehört!
Das folgende ist aus der Registrierung zum Forum:
heise brute force

Mit dem Benutzernamen hat ein Angreifer die erste Hälfte des Logins. Wenn dann noch KeinPasswort zulässig ist, dann ist es nur eine Frage der Zeit bis Kundenkonten gehackt sind. Heise weiß dies natürlich, sie sagen sich wohl: “Ist ja nur ein Form, da ist dass nicht so wichtig.” Ich sehe dies natürlich mal wieder anders. Grundsätzliche Sicherheitsvorkehrungen, wie der Schutz gegen Brute-Force-Angriffe, um Benutzernamen zu finden und zum testen von dazugehörige Passworten, muss ein Standard sein und zwar unabhängig davon wie wichtig ein Zugang ist. Wer jetzt an Zwangsregistrierung für kostenloses Material denkt, dem kann ich nur zustimmen, wenn er meint, dass diese keine starken Passworte und keinen besonderen Schutz benötigen, allerdings ist dies ein Ausnahmefall, von groben Unsinn des anbietenden Dienstes — wofür es Wegwerf-E-Mail-Adressen gibt und KeinPasswort wie 123456 ausreichend ist.

Menschen sind grundsätzlich dumm, was Logins angeht. Einerseits soll alles einfach sein, es soll möglichst keine Richtlinien für starke Passworte geben, aber andererseits wird sich bei dem Dienstleister beschwert, wenn ein Kundenkonto gehackt wurde. Wer auch noch wahrheitsgemäß auf Sicherheitsfragen antwortet, deren Antwort wiederum in asozialen Netzwerken zu finden ist, dem ist einfach nicht zu helfen.

Der Faktor Mensch ist nach wie vor das größte Problem wenn es um IT-Sicherheit geht — ich sag nur “h0r1z0n”.