Live Hacking und eine Begegnung der besonderen Art

 

 

Bereits vor einer Woche nahmen wir an einem Event des Vereins “Einfach Nordhessen” teil.  Der Verein hat es sich zur Aufgabe gemacht, Firmenverbindungen in Nordhessen zu stärken und das regionale Einkaufen zu fördern.

Jeden Monat haben Mitglieder des Vereins die Möglichkeit sich selbst und ihre Firma vorzustellen.

 


Zunächst stellte sich Herr Ernesto Plantera von der Firma PROTEX – Sicherheit vor, der sich seit längerer Zeit im Bereich der Gewaltprävention engagiert.

Mitgebracht hat er an diesem Abend seinen Freund Christoph Rickels, der vor nunmehr 10 Jahren auf brutalste Weise niedergeschlagen wurde.

(Medialink zur NDR Talkshow sehen sie unten. )

Herr Rickels ist seitdem Schwerbehindert.

Beide zusammen gehen an Schulen und versuchen junge Menschen von einem  zukünftig gewaltfreien Weg zu überzeugen.

Aufgrund der sehr unterschiedlich gemachten Lebenserfahrungen der beiden Vortragenden, wirken ihre Schilderungen vor den Schülern ziemlich authentisch.

Auch bei den Vereinsmitgliedern, immerhin gestandene Firmenchefs und Chefinnen blieb der Vortrag nicht ohne Wirkung.

 


Der zweite Vortrag des Abend  wurde von Daniel Esteve von der Firma E&F  It-Data24 vorgestellt.

Die Vorbereitung hierzu fanden allerdings schon zu Beginn des Abends statt.

Herr Esteve zeigte sogenanntes Live Hacking.

Das erste Target waren die anwesenden Vereinsmitglieder, die wie erwartet einen schönen Schreck bekamen.

Der Hacking Versuch richtete sich nämlich auf die Smartphones der Anwesenden. Demonstriert werden sollte, wie angreibar auch Smartphones sind und wie ein Smartphone den Weg ins große geschützte Firmennetzwerk öffnet.

Jedes in WLAN angemeldete Handy sucht bei eingeschaltetem WLAN auch nach seinen Zugangspunkten. 

Man stelle sich nun vor, man würde mit Hilfe eines Tools auslesen können, mit welchen WLAN Zugangspunkten das Handy eine Verbindung sucht. 

Also hier zum Beispiel Firma XX. Dem Handy wird durch die Software sugeriert, man wäre das Firmennetzwerk der Firma XX und warte auf die Identifizierung mittels Passwort. Natürlich übersendet das Endgerät dieses Passwort, da es der Benutzer bzw. Beesitzer des Handys aus Bequemlichkeitsgründen gespeichert hat. 

Beides wird zusammen mit den spezifischen Kennungen des Endgerätes ausgelesen und gespeichert. Tja und den Rest kann man sich faktisch denken.

Der Zugriff auf das WLAN und damit die Firmendaten erfolgt durch ein bekanntes, zugelassenes Gerät und nicht von irgendwo aus dem Netz. 

Der möglicherweise entstehende Schaden ist immens.

Ob die Versicherung bezahlen wird? – ist hier mehr als fraglich.  

 

Der zweite – unter Umständen ebenfalls kostenintensive – Live Hacking Versuch richtete sich gegen einen schlampig programmierten Onlineshop.

Aus kostenersparenden Gründen wurde eine durchaus zufriedenstellend laufende Plattform erstellt.

Eine ansprechende Oberfläche runden das Ganze ab und bieten dem sich interessierenden Kunden ein schönes Entree.

Man war sehr zufrieden mit dem Programierer.

 

Herr Esteve zeigte nun wie leicht es oft ist, eine angezeigte URL des Artikels auszulesen und zu veränden.

Damit wird beispielsweise die teure Patek Philippe Uhr für 32490 € plötzlich an für 0 € an den Kunden abgegeben und dass dummerweise nicht nur einmal.

Der Schaden könnte, wie man sich leicht vorstellen kann- immens hoch werden.

Der auch vor Gericht als IT-Forensiker zugelassene Herr Esteve empfielt daher eine genaue Analyse des Firmennetzwerkes und ggf. des Webauftrittes.

 

LINKS:

Einfach Nordhessen

http://www.ef-computerservice.de/

https://protex-group.de/

Fernsehbeitrag der NDR Talkshow über Christoph Rickels

 

Diese Diashow benötigt JavaScript.

 

 
 

 

 

 

 

 

NordHessen-Journal Nachrichten und Berichte von NordHessen für NordHessen

Wir freuen uns über Kommentare