Manche Menschen glauben, die Wurzel allen Cyber-Übels sei die Technologie selbst und wenn man keine modischen Geräte verwendet, verschwinden auch die ganzen gruseligen Cyber-Bedrohungen. Wenn man keinen smarten Kühlschrank, keine smarte Waschmaschine mit WLAN-Verbindung (oder kabellosen Schaltern und Kontrollen) hat, sollte man also sicher sein. Doch das stimmt nicht, denn jeder hat etwas Hackbares bei sich zu Hause.
Patsy Walsh, eine ältere Amerikanerin, stimmte zu, bei einem Experiment mitzumachen und erlaubte zwei guten Hackern, Reed Loden (CEO) und Michael Prins (Mitgründer) von HackerOne, etwas von ihr zu hacken. Walsh sagte im Vorfeld, dass bei ihr nichts Hackbares zu finden sei! Die Forscher luden auch Journalisten der New York Times ein, den Test zu beobachten.
Patsy Walsh kann als „fortschrittliche Oma“ bezeichnet werden: Sie hat sechs Enkel, einen Laptop, ein Facebook-Profil, um mit Familie und Freunden Kontakt zu halten, Satellitenfernsehen und ein Auto. Und wie Sie an dieser Liste sicher schon sehen können, hat sie – im Gegensatz zu ihrer ursprünglichen Aussage – einige hackbare Dinge!
Die Hacker legten zunächst die Grundlage. Sie besuchten die Facebook-Seite von Patsy Walsh und fanden heraus, dass sie kürzlich eine Petition auf change.org unterzeichnet hatte. Die Forscher brauchten 10 Minuten, um eine gefälschte E-Mail an Patsy zu schicken, die angeblich von change.org kam, und in der sie gebeten wurde, eine weitere Petition zum Landbesitz in Marin County in Kalifornien, wo sie lebt, zu unterzeichnen.
How easy was it for hackers to ‘pwn’ a grandmother of six? Very. http://t.co/gwAp7FUg5v pic.twitter.com/LVXzrm65On
— NYTimes Tech (@nytimestech) October 15, 2015
Die „fortschrittliche Oma“ konnte dem nicht widerstehen und unterschrieb, wie zu erwarten war, die Petition. Allerdings brachte sie der Link in der E-Mail auf eine Phishing-Seite, statt auf change.org. So kamen die Hacker an ihr Passwort, von dem sie später zugab, es für verschiedene Dienste zu verwenden.
Wie sich herausstellte, war also eine gefälschte E-Mail ausreichend, um Patsy Walshs digitales Leben zu kompromittieren – stellen Sie sich vor, was passiert wäre, wenn es nicht Forscher, sondern echte Hacker gewesen wären. Die Täter hätten ihre Daten für alle möglichen betrügerischen Aktionen verwenden können.
There are 40 tabs open here. My grandma is clearly v tech savvy. pic.twitter.com/jlzW8LhMei
— ris (@marisanjones98) October 15, 2015
Nach dieser Aktion besuchte das HackerOne-Team die Frau in ihrem Haus. Eineinhalb Stunden reichten, um ein einfaches digitales Schloss an ihrem Garagentor mit einer Brute-Force-Attacke zu knacken. Ein bisschen länger dauerte es für die Forscher dann, sich in das DirecTV-Satellitenfernsehen der Dame zu hacken – die beiden Hacker konnten nicht widerstehen und abonnierten einige Erotikkanäle für Patsy Walsh.
Anschließend bekamen die Forscher ihren Laptop in die Hände. Walsh hatte alle Passwörter auf Post-It-Zettel geschrieben und neben den Router geklebt, so dass dieser Teil des Hacks nicht lange dauerte. Nachdem sie den Laptop infiltriert hatten, bekamen die Hacker Zugriff auf die persönlichen Informationen von Patsy Walsh, inklusive ihrer Sozialversicherungsnummer, ihrem PayPal-Passwort, ihrem Flugmeilenkonto und ihrer Versicherungspolice. Sie schafften es dann auch noch, einen Vollmachtsbrief in die Hände zu bekommen.
Me: ''Today is last date to pay my mobile bill.. Arggh''
My 67yr GrandMa: ''Just PayTM it'' @vijayshekhar @Paytm Tech breaks Age-barrier— Chaitaanya Pravin (@Hungry_Chai) October 23, 2015
Die White-Hat-Hacker haben auch herausgefunden, dass sie nicht die ersten waren, die die digitale Welt von Patsy Walsh betreten hatten. Ihr Laptop war mit Dutzenden schädlichen Programmen befallen, inklusive Schädlingen, die weitere Schadprogramme installieren, den Browserverlauf mitschneiden, schädliche Werbung anzeigen und einiges mehr anstellen. Ein schlecht geschützter Laptop eines Menschen mit geringer digitaler Erfahrung ist einfach ein tolles Ziel für Angreifer.
Patsy Walsh hat von dem Hacker-Experiment sogar profitiert: Zum einen hat sie einiges über die Grundregeln der IT-Sicherheit gelernt und weiß sie nun, dass sie ein neues Garagenschloss braucht und einzigartige, anspruchsvollere Passwörter für die verschiedenen Web-Dienste verwenden muss. Zum anderen haben die Hacker ihr Versprochen, bald noch einmal vorbeizukommen und ihren Laptop von allen Schadprogrammen zu reinigen. Unter dem Strich zeigt dieses Experiment, wie einfach es sein kann, das digitale Leben eines Menschen komplett zu übernehmen, selbst wenn das Opfer gar nicht glauben kann, dass es überhaupt etwas Hackbares bei sich zu Hause hat.
Mission: #Oma hacken. Level: kinderleicht. #Hacker #Internet #Technologie
Tweet
Im Grunde sind wir von einer Menge potenziell hackbarer Objekte umgeben. Wir alle verwenden PCs und die meisten von uns machen sehr viel mit ihren Smartphones. Viele Menschen haben auch Router, Smart Watches, Spielekonsolen und Smart-TVs, die ebenfalls Ziele für Cyberkriminelle sein können.
Viele dieser Dinge werden nicht als etwas Hackbares gesehen, haben aber meist einen schlechteren Schutz als PCs – nehmen Sie nur das Garagentor von Patsy Walsh als Beispiel. Ein Auto mit integriertem Navigationssystem, das Verkehrsdaten in Echtzeit herunterladen kann? Hackbar. Ein Auto ohne Navigationssystem, aber mit Schlüssel, der ohne Berührung die Türe aufsperren kann? Noch viel hackbarer.
#BlackHat 2015: The full story of how that Jeep was hacked https://t.co/y0d6k8UE4n #bhUSA pic.twitter.com/SWulPz4Et7
— Kaspersky (@kaspersky) August 7, 2015
Und um gehackt zu werden muss man noch nicht einmal ein digitales Gerät besitzen, denn eine Menge digitaler Daten zu einer Person sind in Datenbanken verschiedener Regierungsorganisation und Firmen gespeichert – von Krankenhäusern über Rathäuser, Fluglinien, Banken und Händler bis zu Versicherungen und mehr.
Diese Daten sind natürlich ebenfalls potenziell hackbar – in diesem Fall können die Konsequenzen faszinierend und dramatisch sein. So ist es in manchen westlichen Ländern recht einfach möglich, eine Person in die Datenbank Verstorbener einzutragen, ohne irgendetwas hacken zu müssen. Und dann kann es für das Opfer schwer sein, das Gegenteil zu beweisen.
How to kill a human with a keyboard https://t.co/Mg6yBJxHRz #defcon pic.twitter.com/F3VRae185m
— Kaspersky (@kaspersky) August 10, 2015
Man kann diesen Bedrohungen nicht komplett entgehen – genau wie man nicht hundertprozentig sicher sein kann, dass das Boot, mit dem man Segeln geht, nicht aus irgendeinem Grund sinkt. Aber wenn man sich vorher den Wetterbericht ansieht, zumindest die grundlegenden Segelregeln kennt und eine Schwimmweste trägt, wird das Risiko minimiert und man kann eine Menge Spaß haben.
Das Gleiche gilt auch für die IT-Sicherheit. Wenn man weiß, wie Daten kompromittiert werden können, kann man sich davor schützen: mit zuverlässiger Sicherheits-Software und starken Passwörtern, die man nicht aufschreibt und neben den Router klebt.