re:publica: Mitgeschnittene Passwörter (aktualisiert)
Auf der re:publica gab es ja ein freies WLAN, welches mehr oder weniger gut funktionierte. Das nutzten viele der anwesenden Gäste natürlich auch um im Netz zu surfen, aber auch um eigene eMails abzurufen, selber zu bloggen (siehe obiges Bild von Ralf G. wo ich gerade von der Medien(r)evolution blogge), sich auf diversen Seiten einzuwählen usw.usf.
In der Druckausgabe vom Spreeblick (Print ist tot.) findet sich folgendes Zitat von Tim Pritlove:
„Was ich hier in den paar Stunden bereits an POP3-Passwörtern aus dem Netz gefischt habe ist unglaublich.“
Dazu muß man wissen, dass in einem freien Netz, welches nicht verschlüsselt wird, grundsätzlich alle Daten einsehbar sind. Man muß dazu nur einen WLAN-Sniffer oder ein ähnliches Programm einsetzen – Programme die man für jedes übliche Betriebssystem schnell und problemlos bekommen kann. Insofern wäre es ein leichtes die POP3-Passwörter (die für den Zugang zu via POP3-Servern erreichbaren Mailboxen benötigt werden) mitzuschneiden.
Einem Beitrag bei dobschat.de zufolge, wurden anscheinend die so mitgeschnittenen Passwörter auch via Leinwand präsentiert, was dann in einigen Blogs zu Diskussionen um die Passwortsicherheit führte.
Persönlich hatte ich damit jetzt nicht sooo das Problem, da ich mir extra für meine Blogs und meine eMail-Zugänge vor der re:publica neue Passwörter angelegt habe und außerdem war ich schon einmal auf einer Veranstaltung wo meines Wissens Tim Pritlove (oder jemand anderes vom CCC?) Passwörter bekanntgab, die via WLAN mitgeschnitten worden sind sein sollen.
Damals war es jedoch wohl so, daß zwar mitgeschnittene Passwörter gezeigt wurden, es sich aber meines Wissens nur um eine Art Fälschung handelte, denn das waren gar nicht mitgeschnittene Passwörter aus dem dortigen WLAN. Die vom CCC sind ja auch eher Hacker denn Cracker, und Hacker sind – um es mal ganz kurz zu machen – die Guten, während Cracker die Bösen sind.
Insofern glaube ich also nicht, daß Tim Pritlove mit den Passwörtern irgendwas böses anstellt. Jedoch las ich gerade diesen Beitrag bzw. dort den zweiten Kommentar, in dem es heißt:
Ich darf vorsichtig darauf hinweisen, dass bezueglich der Passwoerter nicht nur die plakative Aktion am Beamer stattgefunden hat. […] Entsprechend haben aufgrund der Unbedarftheit der Mehrzahl der Wlan-Benutzer auch viele andere Personen Passwoerter gesnifft. Ich selbst habe ueber alle drei Tage saemtliche Passwoerter mitgeloggt (fuer statistische Zwecke). […] Jeder, der eines seines Passwoerter ungesichert verwendet hat, egal ob fuer Mail, Chat, FTP oder Browser sowie alle weiteren verwendeten Protokolle, sollte umgehend dieses aendern (sofern er es noch kann).
Vielleicht bei der Gelegenheit der allgemeine Hinweis: Jedes Einloggen in ein Netzwerk ist stets mit dem Risiko verbunden, ungeschuetzte Passwoerter preiszugeben. Danke fuer die Beachtung aller Sicherheitsmassnahmen.
Für „statistische Zwecke“ – ah ja… wann kann man wo die Statistik bewundern, wie viele Passwörter „Passwort“ lauten? Oder was ist mit statistischen Zwecken gemeint? Nichtsdestotrotz kann ich den Rat nur unterstreichen, daß man alle seine Passwörter schnell ändern sollte. Inzwischen hab ich das auch schon gemacht, so daß meine re:publica-Passwörter (egal ob sie jetzt jemand wirklich mitgeschnitten hat oder nicht) niemand mehr nutzen kann.
Jetzt mal auf deutsch… da bist du zu ner konferenz von johnny haeusler gefahren und es sind alle deine passwörter mitgeschnitten worden die du während der wlan benutzung eingegeben hast?
wow, ganz grosses kino.
Jein bzw. Nein!
Ich war auf der re:publica in Berlin, auf der auch ca. 700 andere Gäste waren. Die re:publica wurde vom Spreeblick (Johnny Haeusler) und newthinking Communications (Marcus Beckedahl – bekannt von netzpolitik.org) organisiert.
Und dort wurden angeblich (sicher beweisen kann man es ja nicht) die im freien WLAN übermittelten Passwörter mitgeschnitten. Seitens der Veranstalter sicherlich nicht, das kann ich mir nicht vorstellen. Nur das hätte jeder dort machen können, wie ja z.B. die eine verlinkte Kommentatorin angeblich es aus „statistischen Zwecken“ gemacht hat.
Sollten meine dort verwendeten Passwörter mitgeschnitten worden sein: egal. Die waren eh nur für die re:publica gedacht, inzwischen sind die alle schon wieder geändert.
„Die vom CCC“ = Tim Pritlove. Interessante These.
Und wenn ich im CCC Mitglied bin und Pritlove trägt bunte Hawaiihemden, dann tragen „die vom CCC“ auch bunte Hawaiihemden?
Statistische Zwecke sind beispielsweise die prozentuale Ermittlung ungeschuetzter Passwoerter (sortiert nach verwendeten Protokollen) bezogen auf alle Wlan-Benutzer. Ich erforsche fuer ein universitaeres Projekt auch die Guete der Passwoerter und versuche Schluesse zu ziehen, ob es eine Abhaengigkeit zum Bildungsstand, zum Geschlecht, zum verwendeten Betriebssystem oder der Berufsgruppe der User gibt.
Eigentlich ja egal, wer auf der Veranstaltung den diversen unverschlüsselten Passwörtern gelauscht hat – bei einem (und erst recht einem offenen) WLAN muss man einfach damit rechnen, dass es passiert…
Kurze Anmerkung: Die Möglichkeit, Passwörter (und sämtlichen andern Datenverkehr im Netzwerk) mitzuschneiden ist nicht auf offene Netzwerke beschränkt. POP3 Passwörter, http-Datenverkehr -und alles weitere, was nicht verschlüsselt übertragen wird, kann im Klartext an JEDEM Rechner im selben Netz mitgelesen werden. Das geht grundsätzlich überall (WG-Lans, in der Firma, an Hotspots (auch an den kommerziellen) – überall, wo ich meine Rechner in ein anderes Netz hänge).
Da nütz es nix, nur das Passwort zu ändern.
Die Absicherung gegens mitlesen des KLARtext-Datenverkehrs besteht darin, die EIGENE Datenkommunikation zu sichern.
a) E-Mail: im E-Mail-Programm das Häckchen für „sichere Ãœbertragung“ setzen (aka Pop3s bzw SSL)
Dein Provider bietet das nicht an? Dann wechsele den Provider. – Die E-Mails an deine E-Mailadressen an Deinen alten Provider kannst Du dir an Deine neue, sicher abrufbare E-Mail-Adresse automatisch weiterleiten lassen – oder als „Sammeldienst“ abrufen lassen.
b) Websiten mit Passworteingaben: Nur nutzen, wenn SSL-Verschlüsselte Übertragung möglich (erkennbar an https statt http, ebenfalls SSL)
c) Daten per FTP hochladen? dann FTP-S (ebenfalls SSL) nutzen
„ich will ja nur schnell ein Bild per FTP hochladen – da wird schon nix passieren“ – einmal FTP-Passwort im Klartext übertragen, schon ist für den Sniffer alles, inkl. der Zugänge zB zu Deiner SQL-Datenbank(liegt als Textfile auf Deinem FTP-Server) runterladbar…
Grüße, Sebastian
P.S.: @ Claudia -gibt nen Weblink zu Deinem Projekt?
P.P.S.: Kennt jemand einen Link zu einer Seite, wo das ganze Problem für Nicht-Nerds verständlich und übersicherlich erklärt ist?
@Daniel:
Nun, Tim gehört meines Wissens zu den bekannteren Mitgliedern des CCC, oder? Aber wenn Du einen besseren Formulierungsvorschlag hast: Nur her damit!
@claudia:
Und wie willst Du das erreichen? Nehmen wir an Du hast mein Passwort xyz mitgeschnitten – woher weißt Du dann, daß dies mein Passwort ist und wie willst Du das irgendwelchen soziologischen Kriterien zuordnen? Oder gibt es demnächst eine Website wo gefragt wird „Wer war mit einem Apple MacBook (MacOS X) und Firefox unterwegs und nutzte das Passwort xyz?“?
Falls ja, nenn doch mal den Link dazu! :)
@Carsten:
Insofern fand ich das ja recht gut, daß das angesprochen wurde und jetzt auch in den Blogs diskutiert wird. Das sorgt ja für eine Art Problembewußtsein.
@Sebastian:
Wobei man doch davon ausgehen kann, daß in einem Netz eines kommerziellen Hotspots theoretisch weniger Passwortlauscher sein sollten als in einem freien.
Jetzt müßte ich nur mal schauen, ob Gmail sicher ist…
Zum Thema Link: siehe unter http://www.spiegel.de/wlan
Ich kann leider noch keinen Link angeben, erst in etwa sechs Monaten werden erste Ergebnisse veroeffentlicht. Die gesammelte Menge muss eine statistische Groesse erreichen, die prinzipielle Aussagen zulaesst, ergo repraesentativ ist. Da gibt es vom mitarbeitenden Statistiklehrstuhl konkrete Vorgaben.
@Jens:
Ich verwende andere (bisher noch legale) Hackertools, um weitere Informationen ueber den Passwort-Benutzer zu erlangen. Im Falle der re:publica gab es dankenswerterweise eine Liste der Teilnehmer, so dass sich die ansonsten eher schwieriger herausfindbaren Informationen leicht hinzufuegen lassen konnten.
Bei kleinen gesammelten Mengen von Passwoertern muss ich manchmal quasi per Hand die fehlenden Informationen zusammentragen. Bei Daten, wo keine Anreicherung hinsichtlich Geschlecht oder Bildungsstand zu erlangen war, koennen die Werte nicht verwendet werden. (Ich loesche sie dann schlicht.)
@Claudia:
Merkwürdige Sache (fast wie Deine hier verwendeten eMail-Adressen)… nehmen wir an Du hättest meine Passwörter auch mitbekommen:
Wie willst Du da denn die notwendigen Zusatzdaten ermitteln? Bzw. wie willst Du überhaupt erstmal wissen, daß das Passwort xyz meines ist?
Wir können das ja mal testen – Du kannst mir ja mal entweder hier oder per eMail (siehe Kontaktseite) meine Passwörter mitteilen…
Das will ich gerne tun. Ich bin Dienstag wieder auf Arbeit und werde den Datensatz auffinden, sofern du tatsaechlich ungesicherte Passwoerter verwendet hast.
Ein Grossteil der User (nach derzeitigem Stand der Untersuchung etwa 45 %) benutzt den Nachnamen oder Nachnamenteile als Login, ein weiterer Teil (17 %) nutzt den Vornamen. Hat man also, wie bei der re:publica, Teilnehmerlisten, ist fuer die meisten Accounts die Zuordnung zu dem Namen und damit auch dem Geschlecht kein Problem. Das Betriebssystem zu ermitteln, ist ohnehin einfach, das faellt bei meinem Tool auch gleich aus der Software raus.
In Cafes oder Bibliotheken genuegt es meist, sich umzugucken, dann kann man meistens bereits sehen, wer der Passwortbesitzer ist, um das Geschlecht zu erfahren.
Will man die weiteren untersuchten Eigenschaften herausfinden, ist in der Regel die erste Google-Seite ausreichend (Berufsstand, Bildungsstand). Da sich die User oftmals auch ueber http ungesichert bewegen oder sich per ftp verbinden, eruebrigt sich aufgrund der Impressumspflicht manchmal diese Suche.
Ich verwende zuweilen die erlangten Passwoerter, um den User genauer zu spezifizieren, bin mir jedoch der strafrechtlichen Relevanz dieser Massnahme bewusst.
@claudia:
Ich bin gespannt…
Jens, mir sind alle Formulierungen recht, die nicht das Verhalten einer einzelnen Person auf eine Gruppe projezieren.
Der CCC ist ein Verein und Tim Protlove ist Mitglied.
Sorry, das war zu früh abgeschickt.
Was ich noch zu sagen hatte: ein Mitglied eines Vereins agiert nicht grundsätzlich „für“ seinen Verein, daher sind auch Verallgemeinerungen „die vom CCC“ für eine einzelne Person wie Tim Pritlove etwas fehlgeleitet.
Die Aktion war ja kein „hier zeigt der CCC nun wie unsicher euer WLAN ist“, sondern eine eher private Aktion eines Vortragenden.
Es hat niemand seitens der Veranstaltung Passworte mitgeschnitten oder gespeichert. Die Freifunker, die das WLAN aufgebaut hatten, haben die Möglichkeit demonstriert und alle mehrfach darauf hingewiesen, dass die Möglichkeit wie in jedem offenen Netz besteht, wenn man keine gesicherten Verbindungen nutzt.
Nach dem Kongress ist vor dem Kongress. Oder bin ich hier Teil eines komischen Web-Happenings? Im Ernst: Gabs diesen Kongress wirklich? Und wurde der womöglich von einer Software-Klitsche gsponsered, die gerade ein so richtig wasserdichtes Paket zum Schutz von Passwörtern im Angebot hat oder Ärgeres?
@Daniel:
Ich hab das ganze transparent umformuliert. Besser so?
@johnny:
Ich hab ja auch nie gesagt, daß jemand von den Veranstaltern das gemacht hat.
@Andreas:
Ja, gab es. Nein, der wurde nicht von so einer Firma gesponsort.
@all:
Ich werde gleich noch einen weiteren Beitrag (zur weiteren Aufklärung) dazu schreiben.
re:publica: Mitgeschnittene Passwörter und gestohlene Notebooks…
Im Beitrag re:publica: Mitgeschnittene Passwörter, der zwischenzeitlich aktualisiert wurde, berichtete ich davon, daß auf der re:publica zum Teil die dort genutzten Passwörter, die im freien WLAN genutzt wurden, mitgeschnitten worden sin…
War ja gar nicht nötig, dass du es änderst, aber immerhin verstehst.
So ist es aber wesentlich schöner. :-)
Jens: Klartextpasswörter mitzuschneiden ist trivial. Du kannst entspannt davon ausgehen, dass es in jedem öffentlichen Netz mit – sagen wir – mehr 10 Usern jemand gibt, der es tut.
Das gilt insbesondere für Uni-Netze, IT-/Web-Kongresse und öffentliche/kommerzielle Hotspots/Lounges. Die Motivationen mögen unterschiedlich sein, aber wundern sollte es wirklich niemanden.
Teile des Nachnamens als Passwort?
Das ist ja niedlich.
Ist aber dann eigentlich auch egal, oder?
Wenn sowieso alles im Klartext zu lesen ist, dann reicht so etwas ja.
Ich habe mich noch nie mit dieser Problematik beschäftigt. bin aber froh, das ich mir seid der re:publica darüber Gedanken mache.
Ich fand diese Aktion gut.
@jo:
Hmm… gerade bei kommerziellen Hotspots hätte ich das jetzt nicht gedacht.
@sven:
Vom Aspekt des Hinweisens her war das natürlich gut.
@claudia:
Und, wie sieht’s aus mit den interessanten Daten?
[…] sind einen weiteren Account mit beschränkten Zugangsrechten hier im Blog zu erstellen (sicher ist sicher), Passwort für meinen Google-Account (E-Mails und Newsreader) und bei Sevenload (für die […]
[…] noch mal nachträglich zu der Thematik der Netzwerksicherheit und der Geschichte der “mitgeschnittenen Passwörter” auf der re:publica äußern, die bislang ein wenig out of context reflektiert […]