Eine einfache Netzwerkanalyse-App und ein Smartphone reichten oft aus, um in Hotel-Netzwerken die Kommunikation der Gäste abzuhören, so der Sicherheitsanbieter nach seinem Test. Schauplatz der WLAN-Hacks waren mehrere Hotels namhafter Ketten in Berlin. Während sich ein Steganos-Mitarbeiter mit seinem Notebook in das öffentliche WLAN des Hotels einloggte, startete ein anderer Mitarbeiter von seinem Smartphone aus die Netzwerkanalyse-App dSploit.
Der Mitarbeiter am Smartphone konnte damit nicht nur das Mail-Passwort problemlos mitlesen, sondern ganze Facebook-Sitzungen live übernehmen. So konnten gefälschte Nachrichten auf Facebook gepostet, private E-Mails mitgelesen, Instant-Messaging-Nachrichten abgefangen werden und vieles mehr.
"Eklatante Sicherheitslücke"
Ursache sei eine eklatante Sicherheitslücke vieler öffentlicher WLAN-Verbindungen, erläuterte der Sicherheitsanbieter. Die Daten, die zwischen dem Notebook und dem Router ausgetauscht werden, also alle Daten, die beim Surfen anfallen, würden im Regelfall unverschlüsselt übertragen.
Sicher sei der Nutzer nur dann, wenn die angesurfte Website eine HTTPS-Verbindung anbiete. Denn nur dann könnten die Daten TLS-verschlüsselt übertragen werden – TLS steht für Transport Layer Security und ist ein Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet.
Laut Steganos verfügen manche Router zwar über eingebaute Schutzmechanismen gegen Tools wie dSploit - man wisse jedoch nie, ob in einem öffentlichen WLAN ein solcher Router zum Einsatz komme.
"Sicherheitslücken in der Branche längst bekannt"
"Es ist unfassbar, wie leicht sich öffentliche WLANs immer noch hacken lassen. Dabei sind diese Sicherheitslücken in der Branche längst bekannt. Und man benötigt kaum technisches Verständnis oder Hackerkenntnisse", erklärt Gabriel Yoran, Geschäftsführer von Steganos.
"Mit den abgefangenen Passwörtern hätten wir die Online-Identität des Mitarbeiters übernehmen können. Das Aussperren vom eigenen Facebook-Account oder der Versand von Spam über den Computer des Mitarbeiters wären dann noch harmlose Szenarien gewesen. Durch die Verwendung des Autorisierungsverfahrens Facebook Connect, das auf vielen Websites zum Einsatz kommt, könnte man sich so die Identität seines Opfers aneignen - selbst wenn man 'nur' den Facebook-Zugang mitgeschnitten hat."
Schutz vor Schnüfflern im öffentlichen WLAN
Abhilfe für das Problem stellt das Unternehmen mit der kostenfreien Anwendung Steganos Online Shield 365 zur Verfügung. Ist das Programm auf dem Rechner aktiviert, verschlüsselt und anonymisiert es automatisch die Verbindung ins Internet. Egal, ob der Nutzer zu Hause, im Büro oder in einem öffentlichen WLAN surfe: Die verschlüsselte Verbindung sei sicher und von außen nicht angreifbar, heißt es.
Die Verbindung ins Internet wird dabei demnach vom Computer des Nutzers über speziell gesicherte Steganos-Server, die wiederum in speziell gesicherten Rechenzentren stehen, aufgebaut. Der Nutzer surfe aber nicht nur sicher, sondern auch anonym. Denn beim Aufbau der Verbindung tausche das Programm automatisch die echte IP-Adresse gegen eine zufällige aus. Somit sei die wahre Identität des Nutzers, die durch die IP-Adresse verraten wird, beim Surfen ebenfalls geschützt.
Steganos Online Shield 365 ist sowohl als kostenfreie (maximales Traffic-Volumen: 500 Megabyte pro Monat) als auch als kommerzielle Version (ein Jahr unbegrenztes Traffic-Volumen) verfügbar.
Besuchen Sie krone.at/Digital auf Facebook und werden Sie Fan!
Kommentare
Da dieser Artikel älter als 18 Monate ist, ist zum jetzigen Zeitpunkt kein Kommentieren mehr möglich.
Wir laden Sie ein, bei einer aktuelleren themenrelevanten Story mitzudiskutieren: Themenübersicht.
Bei Fragen können Sie sich gern an das Community-Team per Mail an forum@krone.at wenden.