
Wie können Kriminelle Deinen Computer übernehmen?
Session Hijacking nennt sich die Technik, wie die Kriminellen ohne Passwort Deinen Amazon, Netflix oder Bankaccount nutzen.
Wie Session Hijacking funktioniert und wie Du Dich effektiv davor schützen kannst, verrate ich Dir in diesem Beitrag.
Starten wir!
Was ist Session Hijacking?
Die Computer Technik ist sehr abstrakt. Deshalb gibt es hier ein Beispiel aus der Realität:
Stell Dir vor, du gehst in ein neues Stadt-Café und bestellst einen doppelten Espresso mit Extra-Zucker. Der Barista gibt dir eine Nummer, die du auf deinen Tisch stellst, damit er weiß, wohin Kellner 2 das Getränk bringen soll. Diese Nummer ist wie ein Session-Token im Internet.
Jetzt stell Dir vor, der shady Kriminelle beobachtet dich und merkt sich deine Nummer. Wenn du kurz aufstehst, um zur Toilette zu gehen, nimmt diese Person deine Nummer und stellt sie auf ihren Tisch. Der Kellner 2 bringt den Kaffee dann zu dieser Person, weil er denkt, dass sie du bist. Das passiert auch beim Session Hijacking.
Der Angreifer stiehlt deine Session-Token (deine Nummer) und gibt sich als dich aus, um Zugang zu deinen Daten oder Diensten zu erhalten. Es ist, als ob jemand deinen Platz im Café einnimmt und deinen Kaffee trinkt.
Grundlagen – Internet Protokolle verstehen
Ist TCP an Session Hijacking Schuld?
Das TCP (Transmission Control Protocol) in Verbindung mit HTTP und FTP sorgt dafür, dass die Internet-Nachricht am richtigen Empfänger schnell und vollständig ankommt.
Das große Sicherheitsproblem bei TCP ist, dass dieses verbindungslos ist. TCP ist verbindungslos, um effizienter eine Vielzahl an Clients abzuarbeiten. Statt alle Verbindungen aufrechtzuerhalten ist unser modernes Internet standardmäßig plump und schließt jede Verbindung nach Auslieferung der Daten (spart RAM). Damit Du verstehst, warum TCP das Internet unsicherer macht, erkläre ich Dir die TCP Funktion anhand einer Metapher:
Umkleideraum eines Schwimmbads
Heute ist das große Wasserball-Match Mannheim gegen Frankfurt. Der Frankfurter Torwart Hans und sein Kapitän Peter ziehen sich in der Umkleide um. Die Kabinen sind voneinander getrennt und Sie können sich nicht sehen.
Sie können nur über Zurufen miteinander reden. Für die Sicherheit nutzen Sie das Passwort „Ente 42“, um sich gegenseitig zu bestätigen.
Hans: „Ente 42 – Bleibst Du beim Macht mehr rechten Seite heute?“
Peter: „Heute, aber nur in der 1. Hälfte – dann möchte ich meine Strategie ändern.“
Hans ist schnell umgezogen – Peter braucht etwas länger, weil er seine Badekappe sucht. Hans verlässt die Umkleide und der Mannheimer Phil betritt die Umkleidehalle. Er hatte von der Tür aus mitgehört, wie die beiden Frankfurter geredet haben.
(Phil): „Ente 42 – Kannst Du nochmal Deine Strategie im Detail erklären.“
Peter: (…antwortet sehr ausführlich…) – Die Strategie wird schamlos ausgenutzt. Die Mannheimer besiegen die ahnungslosen Frankfurter mit 6 zu 1.
Der Cookies Diebstahl im Computer
Wasserball-Match und Hacking? – TCP erschwert die Sicherheit im Netz
TCP arbeitet mit einer verbindungslosen Kommunikation.
Der Sender (Peter) weiß nicht, mit wem er redet, da die Verbindung nicht dauerhaft besteht (getrennte Kabinen). Der Empfänger bestätigt seine Identität mit einem Einmal-Passwort (Ente 42).
Phil war der Man-in-the-Middle und hat den Traffic (das Gespräch zwischen Peter und Hans) abgehört. Mit dem Wissen, wie die Frankfurter kommunizieren, kann er unbemerkt Peter ausfragen, ohne das er etwas merkt.
Der Server erstellt eine „virtuelle“ Sitzung mit den Cookies auf. Cookies sind kleine Information in Form von Texten, die Dein Browser für Dich verwaltet. Der Cookie in unserm Fall war ein Einmal-Passwort „Ente 42“, die die Mannheimer heute genutzt haben.
Cookies überall – Segen und Fluch zugleich
Ein Cookie ist eine simple Text-Datei. Diese besteht in der Regel aus einem Schlüssel z.B. „token“ und einer zufälligen Kennung „asdfjafjh2l4jhlashdflasjdfla“.
Mit einem Cookie kann der Server einen Nutzer wiedererkennen, sobald er die nächste Nachricht sendet. Über die kleine Text-Datei will der Server sichergehen, dass er mit dem richtigen Nutzer redet. Um TCP sicher zu nutzen, müsste bei jedem eingehenden IP-Paket, der Nutzer sein Passwort eingeben, um seine Identität zu testen. Das ist nicht praktikabel.
Die Cookies können des Weiteren die Warenkorb-Inhalte abspeichern oder das Online-Verhalten des Nutzers tracken.
Eine virtuelle Sitzung läuft ab, wenn das Ablaufdatum des Cookies erreicht ist. Peter wäre sehr misstrauisch, wenn nächste Woche den Code „Ente 42“ hört, weil die Mannschaft die Code-Wörter jede Woche anpasst.
Der Nutzer vor dem Browser bemerkt ein abgelaufenes Cookie, wenn der Browser sich aus dem Konto vollständig abmeldet.
Die Cookies verwenden Online-Shops für Warenkörbe, Banken für Online-Banking, Newsportale für Google Analytics und Zeitungsverlage zum Tracken der Nutzer.
Krimineller holt sich den Cookie
Stelle Dir zwei Laptops und einen Bank-Server vor:
Einen armen Dell-Laptop (Du), ein kräftiges Power-Gamer-Notebook (Krimineller) und die 30 Jahre alter Cobol-Server (Bank).
Der Kriminelle möchte Dich ausspähen, den größtmöglichen Schaden produzieren und Deine Konten ausrauben.
- Du loggst Dich bei Deiner Bank ins Online-Banking ein.
- Der Kriminelle versucht mit Sniffing oder Malware, in Besitzt des Cookies zu kommen und auf sein Power-Gamer-Notebook zu kopieren.
- Der Kriminelle kann die Nachrichten sehen, die Du aus dem Internet auf Deinen armen Dell-Laptop empfängst. Das Sniffing funktioniert erfolgreich nur, wenn die Verbindung unverschlüsselt (HTTP) ist.
- Eine andere Methode ist der Einsatz einer Malware. Der Kriminelle hat unbemerkt (über Mail, Downloads, USB-Stick) die Malware auf Deinen Rechner installiert. Die Malware scannt den Cookies des Browsers und sendet diesen an das Power-Notebook.
- Sobald der Kriminelle das Cookie hat, tauscht der Kriminelle mit Dir die IP und MAC-Adresse.
- Der Server hat nichts von dem Geräte-Wechsel und Nutzerwechsel mitbekommen, weil der Server immer noch mit der gleichen IP und MAC kommuniziert. Das Cookie auf dem Notebook des Kriminellen gaukelt dem Bank-Server vor, dass der Kriminelle der gerade authentifizierte Nutzer ist.
- Der Kriminelle kann jetzt beliebig Geld überweisen, Einstellungen vornehmen und Daten herunterladen.
Warum Session-Hijacking funktioniert
Der Bank-Server kontrolliert die IP-Adresse, MAC-Adresse und das Cookie. Sind diese gleich, nimmt der Server an, dass das Gamer-Notebook der arme Dell-Laptop ist.
Je nach „Intelligenz“ checkt der Server die Browser-Version, die Bildschirm-Auflösung und das Betriebssystem. Stellt der Server einen Unterschied fest, schließt der Server sofort die Session.
Sicherung – Schützte Dich vor Session Hijacking
Verwende HTTPS – Wenn die Verbindung verschlüsselt ist, sieht der Kriminelle nur kryptische Texte und kann nicht mit Sniffing den Cookie sehen.
(Host) Intrusion Detection Systeme – Diese Systeme erkennen jegliche Veränderung in einem Netzwerk oder auf dem Computer und alarmiert Dich bei Bedrohungen. z. B. Snort mit Splunk
JavaScript aus – Wenn Du auf Nummer sichergehen möchtest, schaltet JavaScript aus. Möglicherweise funktioniert nicht die Banking-App nicht mehr, weil diese auf JavaScript basiert.
Antivirus mit aktuellen Signaturen – Ein Antivirus findet nur die Malware, die Dir Deine Cookies stehlen können, wenn Du den Antivirus regelmäßig updatest. Ein aktueller Antivirus findet nur 45 % der Malware, kann aber verhindern, dass die populären Viren keine Chance haben.
Schreibe einen Kommentar