Wie Du Dich in jedes Bank-Konto hackst – Session Hijacking

Session Hijacking Hacking Series Ethical Hacking Steffen Lippke
Session Hijacking Hacking Series Ethical Hacking Steffen Lippke

Wolltest Du Dich schon mal in ein fremdes Konto hacken?

z. B. das Online-Banking, Facebook, Amazon Warenkorb Deiner Freunde?

Hacker können das und nennt dies Session Hijacking – ohne Passwort des Nutzers stehlen die Kriminellen Geld und Sachen.

Wie Session Hijacking funktioniert und wie Du Dich effektiv davor schützen kannst, verrate ich Dir in diesem Post.

Aufgabe: APT verstehen + (hoffentlich) erkennen!

Um was geht’s? – Ins Online-Banking ohne Passwort hacken

Dieser Post soll Dir Aufschluss darüber geben, wie Hacker die Logins aktiver Opfer übernehmen können. Die Hacker können sich, ohne das Passwort des Opfers zu kennen, in ein beliebiges Konto hacken.

Die Cyber-Profis stehlen Dir Deinen virtuelle Identität und nutzen die Schwachstellen des Internets aus, um Dein Geld zu stehlen oder in bekannten Online-Shops auf Deine Rechnung Sachen zu bestellen.

Knappe Einordnung

Session Hijacking gehört zu der Man-In-The-Middle Attacke. Diese Form der Attacke kann in Verbindung stehen mit Cross-Site-Scripting, CSRF oder ARP-Attacks.

Je nach Qualität der Programmierung der Online-Apps kann der Hacker 0-day-Exploits oder Browser-Bugs nutzen.

 

Grundlagen: Protokolle verstehen

Ist TCP / IP an Session Hijacking Schuld?

Das TCP (Transmission Control Protokoll) in Verbindung mit HTTP, UDP und ICMP sorgt dafür, dass die Internet-Nachricht am richtigen Empfänger schnell und vollständig ankommt.

Das große Sicherheitsproblem bei TCP ist, dass diese verbindungslos ist. Damit Du verstehst, warum TCP das Internet unsicherer macht, erkläre ich Dir TCP Funktion anhand einer Metapher:

TCP Metapher: Umkleideraum eines Schwimmbads

Heute ist das große Wasserball-Match Mannheim gegen Frankfurt.

Der Frankfurter Torwart Hans und sein Kapitän Peter ziehen Sich in der Umkleide um. Die Kabinen sind voneinander getrennt und Sie können sich nicht sehen.

Sie können nur über Zurufen miteinander reden. Als coolen Gag (und für die Sicherheit) nutzen Sie den Code „Ente 42“, um sich gegenseitig zu bestätigen.

Hans: „Ente 42 – Bleibst Du beim Macht mehr rechten Seite heute?“

Peter: „Heute, aber nur in der 1. Hälfte – dann möchte ich meine Strategie ändern.“

Hans ist schnell umgezogen – Peter braucht etwas länger, weil er seine Badekappe sucht. Hans verlässt die Umkleide und der Mannheimer Phil betritt die Umkleidehalle. Er hatte von der Tür aus mitgehört, wie die beiden Frankfurter geredet haben.

Peter kämpft mit seiner Badekappe, als er eine Stimme hört

 (Phil): „Ente 42 – Wie sieht heute unsere Strategie aus. Ich habs‘ vergessen.“

 Peter: (…antwortet sehr ausführlich…)

Das Geheimnis ist raus. Die besiegen Mannheimer die ahnungslosen Frankfurter mit 6:1.

 

Hack IT: Cookies Diebstahl

Wasserball-Match und Hacking? – TCP erschwert die Sicherheit im Netz

TCP arbeitet mit einer verbindungslosen Kommunikation.

Der Sender (Peter) weis nicht mit wem (Phil oder Hans) er redet, da die Verbindung nicht dauerhaft besteht (getrennte Kabinen). Der Empfänger bestätigt seine Identität mit einem Einmal-Passwort (Ente 42).

Phil war der Man-In-The-Middle und hat den Traffic (das Gespräch zwischen Peter und Hans) abgehört. Mit dem Wissen, wie die Frankfurter kommunizieren, kann er unbemerkt Peter ausfragen, ohne das er etwas merkt.

Der Computer und Server bauen eine „virtuelle“ Sitzung mit den Cookies auf. Cookies sind kleine Information in Form von Texten, die Dein Browser für Dich verwaltet. Der Cookie in unserm Fall war ein Einmal-Passwort „Ente 42“, die die Mannheimer heute genutzt haben.

Cookies überall – Segen und Fluch

Mit einem Cookie kann der Server einen Nutzer wiedererkennen, sobald er die nächste Nachricht sendet. Über die kleine Textdatei will der Server sichergehen, dass die geheime Nachricht nur der richtigen Nutzer erreicht. Um TCP sicher zu nutzen, müsst bei jedem eingehenden IP-Paket, der Nutzer sein Passwort eingeben, um seine Identität zu testen. Das ist nicht praktikabel.

Die Cookies können des Weiteren die Warenkorb-Inhalte abspeichern und das Online-Verhalten des Nutzers tracken.

Eine virtuelle Sitzung läuft ab, wenn das Ablaufdatum des Cookies erreicht ist. Peter wäre sehr misstrauisch, wenn nächste Woche den Code „Ente 42“ hört, weil die Mannschaft die Code-Wörter jede Woche anpasst.

Der Nutzer vor dem Browser bemerkt eine abgelaufenes Cookie, wenn der Browser sich aus dem Konto vollständig abmeldet.

Die Cookies verwenden Online-Shops für Warenkörbe, Banken für Online-Banking, Blogger für Google Analytics und Zeitungsverlage zum Tracken der Nutzer.

Die Top 100 Webseiten nutzen 5675 Cookie nach einer Studie der Universität Berkeley in 2011.

So geht Session Hijacking

Stelle Dir zwei Laptops und einen Server vor:

Einen armen Dell-Laptop (Du), ein kräftiges Power-Gamer-Notebook (Hacker) und die 30 Jahre alter Cobolt-Server (Bank).

Der Hacker möchte Dich ausspähen, den größtmöglichen Schaden produzieren und Deine Konten ausrauben.

  1. Du loggst Dich bei Deiner Bank ins Online-Banking ein.
  2. Der Hacker versucht mit Sniffing oder Malware, in Besitzt des Cookies zu kommen und auf sein Power-Gamer-Notebook zu kopieren.
    1. Der Hacker kann die Nachrichten sehen, die Du aus dem Internet auf Deinen armen Dell-Laptop empfängst. Das Sniffing funktioniert erfolgreich nur, wenn die Verbindung unverschlüsselt (HTTP) ist.
    2. Eine andere Methode ist der Einsatz einer Malware. Der Hacker hat unbemerkt (über Mail, Downloads, USB-Stick) die Malware auf Deinen Rechner installiert.
      Die Malware scannt den Cookie-Cache des Browsers und sendet diesen an das Hacker-Power-Notebook.
  3. Sobald der Hacker das Cookie hat, tauscht der Hacker mit Dir die IP und MAC-Adresse.
  4. Der Server hat nichts vom dem Geräte-Wechsel und Nutzerwechsel mitbekommen, weil der Server immer noch mit der gleichen IP und MAC kommuniziert. Das Cookie auf dem Notebook des Hackers gaukelt dem Cobolt-Server vor, dass der Hacker der gerade authentifizierte Nutzer ist.
  5. Der Hacker kann jetzt beliebig Geld überweisen, Einstellungen vornehmen und Daten herunterladen.

Warum Session-Hijacking funktioniert

Der Bank-Server kontrolliert die IP-Adresse, MAC-Adresse und das Cookie. Sind diese gleich, nimmt der Server an, dass Power-Gamer-Notebook der arme Dell-Laptop ist.

Je nach „Intelligenz“ checkt der Server die Browser-Version, die Bildschirm-Auflösung und das Betriebssystem. Stellt der Server einen Unterschied fest, schließt der Server sofort die Session.

 

Sicherung: Online-Banking aber sicher!

Sicherungsmaßnahme

Verwende HTTPS und VPN – Wenn die Verbindung verschlüsselt ist, sieht der Hacker nur kryptische Texte und kann nicht mit Sniffing den Cookie sehen.

Intrusion Detection Systeme – Diese Systeme erkennen jegliche Veränderung in einem Netzwerk (Nutzen meist große Unternehmen) und alarmiert Dich bei Bedrohungen.

JavaScript aus – Wenn Du auf Nummer sichergehen möchtest, schaltet JavaScript aus. Möglicherweise funktioniert nicht die Banking-App nicht mehr, weil diese auf JavaScript basiert.

Antivirus mit aktuellen Signaturen – Ein Antivirus findet nur die Malware, die Dir Deine Cookies stehlen können, wenn Antivirus regelmäßig updaten kann. Ein aktueller Antivirus findet nur 45 % der Malware, kann aber verhindern, dass die bekannte Malware keinen Schaden mehr anrichten kann.

Must-Read Tutorials:

  1. Upload hacken – Macht über Server erlangen
  2. Cross Site Scripting Beispiel + XSS Tutorial Erklärung
  3. Gibst Du Sensible Daten preis? {Dein Server-Datenleck}
  4. DOM XSS | Erkennen + abwehren [Cross-Site-Scripting]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.