Arbeitsspeicher kann Passwörter verraten

Unsere Reihe von BlogbeitrĂ€gen durch Studierende der FHPolBB wird heute mit einem Beitrag von Florian Weizenfeld fortgesetzt. Herr Weizenfeld ist PKA und zudem Informatiker. So liegt es nahe, dass er in seinem Beitrag eine Frage der technischen Sicherheit im Internet analysiert. Dass einzelne Arbeitsschritte seines im Folgenden skizzierten Experiments nicht zu detailliert ausgefĂŒhrt werden, liegt an der Intention dieses Blogs: Wir wollen Internetnutzer schĂŒtzen und keine Blaupausen fĂŒr kriminelle AktivitĂ€ten liefern. Reflektieren wir also gemeinsam mit Herrn Weizenfeld riskante Aspekte der Nutzung öffentlicher Rechner:

(Herr Weizenfeld wird unser Bloggerteam in Zukunft mit weiteren BeitrĂ€gen unterstĂŒtzen. Wir freuen uns schon jetzt darauf: Herzlich willkommen!)

Die heutige Zeit ist davon geprĂ€gt, immer und ĂŒberall Online zu sein. E-Mails und Facebook-Benachrichtigungen werden zur jeder Zeit, an jedem Ort auf dem Smartphone empfangen. Falls kein Smartphone zur Hand ist oder ein grĂ¶ĂŸerer Bildschirm zum Surfen benötigt wird, geht man in das nĂ€chste Internet Cafe, nutzt öffentliche Rechner der Schule, UniversitĂ€ten oder Bibliotheken oder den Rechner am Arbeitsplatz. Einmal im Internet, werden u.a. E-Mails gecheckt, der Facebook-Status aktualisiert und einige Fotos in die Dropbox gelegt. Wer die RatschlĂ€ge der Profis befolgt, der besitzt fĂŒr alle ZugĂ€nge ein gesondertes Passwort, loggt sich nach jeder Internetnutzung aus und sorgt dafĂŒr, dass die beim Surfen entstandenen Cookies wieder gelöscht werden.

Selbst auf Fremdrechnern, die nicht mit Schadsoftware verseucht sind und auf denen man diese Sicherheitsmaßnahmen beachtet, können jedoch riskante Spuren hinterlassen werden. Zum Beweis habe ich einen Selbstversuch durchgefĂŒhrt, um Ihnen zu illustrieren, welche persönlichen Daten man unbeabsichtigt hinterlassen kann. Dazu habe ich mit dem Pseudonym „Christoph Baumann“ einen kostenlosen E-Mail-Account bei einem der großen Anbieter geschaffen, ihn mit dem Passwort „19WaldBaum!84“ gesichert und zusĂ€tzlich einen begleitenden Facebook-Account eröffnet (was natĂŒrlich auch mit anderen sozialen Netzwerken, wie etwa Google+ möglich gewesen wĂ€re). Mein Ziel war es zu testen, ob das Passwort nach der Internetnutzung und unter Beachtung der genannten Sicherheitsregeln unverschlĂŒsselt auf einem benutzten Rechner wiederzufinden ist.

Dazu begab ich mich an einen öffentlichen Rechner mit Internetzugriff und loggte mich in die neu erschaffenen Accounts ein. Nach ausgiebiger Internetnutzung als Christoph Baumann habe ich meine E-Mails abgerufen, meine Erlebnisse bei Facebook geteilt und in einem Text-Editor eine E-Mail verfasst, die ich anschließend doch verworfen und dazu die ungespeicherte (!) Datei geschlossen habe. Ich loggte mich schließlich ĂŒberall ordnungsgemĂ€ĂŸ aus, löschte alle Cookies, schloss den Browser und ging so davon aus, durch Nutzung der Sicherheitsrichtlinien keine nennenswerten Spuren hinterlassen zu haben. Lassen Sie uns nun gemeinsam prĂŒfen, ob das tatsĂ€chlich der Fall war:

Weiterlesen

Zitat der Woche: Dan Geer

For every complex problem there is a solution that is clear, simple, and wrong.

(Sicherheitsanalyst Dan Geer zitierte damit Henry Louis Mencken im Rahmen seiner Keynote Ansprache „Cybersecurity as Realpolitik“ auf der Konferenz Black Hat USA 2014.)

Falls Sie mehr ĂŒber Geers daraus resultierende zehn VorschlĂ€ge zur Internet-Sicherheit hören möchten, finden Sie im Folgenden die Keynote Ansprache in voller LĂ€nge: