ComputerClub 2
Sitemap Kontakt
  Wolfgang Back & Wolfgang Rudolph
Suche:   Wolfgang Back & Wolfgang Rudolph
  Aktuelle Sendung
  Nächste Sendung
  Sendungsarchiv
  Downloads


SENDUNGSARCHIV

02.02.2009
Folge 148

Twitter - Gefahren und Hackerattacken

Von Heinz Schmitz

Barack Obama und Britney Spears sind Opfer eines Hackers geworden: Ein Unbekannter verschaffte sich beim Online-Dienst Twitter Zugang zu den Konten von 33 prominenten Nutzern und veröffentlichte unter deren Namen gefälschte Nachrichten.  Das Netzwerk Twitter ermöglicht es Nutzern, Textnachrichten von bis
zu 140 Zeichen zu verschicken. Schätzungsweise vier bis fünf  Millionen Nutzer beziehen den Dienst.

Auf der Twitter-Seite des da noch nicht im Amt befindlichen US-Präsidenten Barack Obama veröffentlichte der Hacker einen Hyperlink, der zu einer Website mit einer Umfrage führte. Teilnehmer sollten angeblich einen Tankgutschein in Höhe von 500 Dollar erhalten. Obama hatte im Wahlkampf seine Helfer und Anhänger mit Twitter-Kurznachrichten auf dem Laufenden gehalten und zum Wählen animiert. Die Seite war zuletzt am Tag des Wahlsiegs im November aktualisiert worden. Auf der Seite von Sängerin Britney Spears erschien ein obszöner Kommentar über ihren Körper. Dem CNN-Moderator Rick Sanchez legte man in den Mund, er sei von Crack bedröhnt und komme möglicherweise nicht zur Arbeit. Pikanterweise war unter den betroffenen Nutzern auch versierte Blogger wie Stephen Fry - einer der bekanntesten englischen Buchautoren und Twitterer.

Grund für die unberechtigten Zugriffe war ein zu einfaches und damit unsicheres Passwort. Es ermöglichte dem 18-jährigen Studenten mit dem Pseudonym GMZ, die Twitter-Konten der Prominenten zu knacken.

GMZ setzte ein selbstgeschriebenes Skript auf Twitter-Zugänge an, das die Wörter eines englischen Wörterbuchs durchprobierte. Bei der populären Twitter-Nutzerin Crystal wurde es mit dem Passwort "happiness" fündig. Erst nachdem er sich als Crystal angemeldet hatte, stellte er fest, dass sie offenbar zu Twitters Support-Team gehörte und er damit Zugang zu den Administrations-Tools hatte. Über den Passwort-Reset-Mechanismus konnte er sich dann Zugang zu beliebigen Accounts verschaffen.

Da GMZ die Sache offenbar zu heiß wurde, entschied er sich, das nicht selbst auszunutzen. Stattdessen bot er in einem Forum an, auf Anfrage Zugangsdaten zu Twitter-Accounts zu versenden. So gelangten dann unter anderem die Zugangsdaten der Accounts von Barack Obama, Britney Spears, Facebook, CBS News, Fox News und Rick Sanchez in fremde Hände, die unter deren Namen Falschmeldungen zu veröffentlichten.

Fachleute  raten den Twitter-Nutzern zu erhöhter Vorsicht: Der Micro-Blogging-Dienst gewinnt auch in Deutschland immer mehr an Bedeutung und wird unter anderen von Prominenten und Politikern genutzt. Dementsprechend steigt die Gefahr, dass die Plattform von Cyberkriminellen für Spam- und Phishing-Attacken missbraucht wird.

Eigentlich könnten auch einfache Passwörter ausreichend schützen, wenn der Angreifer nicht auf einfachem Weg sehr viele davon durchprobieren kann. Die PIN einer EC-Karte etwa besteht nur aus vier Ziffern und gilt trotzdem als ausreichend sicher, weil die Karte nach drei Fehlversuchen eingezogen wird. Das grundsätzliche Problem war folglich eher, dass in den Login-Vorgang bei Twitter keinerlei Mechanismus eingebaut war, der auf wiederholt fehlgeschlagene Anmeldeversuche reagiert. So konnte das Skript sehr schnell und vor allem unbemerkt große Mengen an Passwörtern durchprobieren.

Christoph Hardy, Security Consultant bei Sophos: 'Der Vorfall bei Twitter zeigt einmal mehr, wie einfach sich Passwörter knacken lassen. Gerade für die Sicherung von Web-Accounts sollten daher stets Passwörter benutzt werden, die aus möglichst  komplizierten Zeichenkombinationen bestehen und für Fremde nicht nachvollziehbar sind. Diese Richtlinie muss in Unternehmen für alle Mitarbeiter gelten und entsprechend durchgesetzt werden. Dass dies bei Twitter nicht der Fall war, macht deutlich, wie wenig sich Mitarbeiter der potenziellen Risiken bewusst sind.'

Auch im deutschsprachigen Raum wird Twitter zunehmend von Prominenten, Politikern und Parteien genutzt, um per Online-Kurznachricht Fans und Wähler über Neuigkeiten zu informieren. Zu den bekannten deutschen Twitter-Nutzern gehören beispielsweise der ZDF-Moderator Claus Kleber, der SPD-Parteivorsitzende Franz Müntefering und die FDP. Laut Sophos könnten Cyberkriminelle die Popularität des Online-Dienstes künftig verstärkt für Spam-, Phishing- oder Malware-Attacken missbrauchen.

Christoph Hardy: 'Wie bei jeglicher Art der Online-Kommunikation ist auch bei Micro-Blogging-Diensten wie Twitter gesundes Misstrauen geboten: Unter anderem können Profile gehackt, Meldungen gefälscht oder mit Links auf infizierte Websites versehen werden. Ein ausreichender Schutz des PCs und Netzwerks sowie ein wachsamer Umgang mit dem Medium sind daher ein Muss. Wer Twitter selbst nutzt, um Nachrichten zu veröffentlichen, sollte seinen Account zudem mit einem geeigneten Passwort schützen.'

Sicherheitsexperten zufolge missbrauchen immer mehr Cyberkriminelle den Microblogging-Dienst Twitter, um Spam-Nachrichten und Malware zu verbreiten. Twitter-Spammer, kurz 'Spitter', folgen dabei meist zahlreichen Twitter-Nutzern mit ähnlichen Nutzernamen oder Nutzer-Profilen. Das Ziel der Spammer ist es, unvorsichtige Nutzer dazu zu bringen, die betrügerischen Twitter-Accounts zu ihren eigenen Kontakten hinzuzufügen. Die auf diese Weise gewonnenen Kontakte sammeln Spammer in Datenbanken und nutzen sie dann für gezielte Spam- oder Virenattacken.

So sollen Berichten zufolge Phisher derzeit versuchen, Twitter- und Facebook-Anwendern die Login-Daten zu stehlen. Dazu verschicken sie über Twitter sogenannte Direct Messages mit Inhalten wie:

Hey, i found a website with your pic on it…
LOL check it out here

oder

Hey! check out this funny blog about you.

die einen Link enthalten, der zu einem Server in der Domain access-logins.com führt. Dort bekommt der Besucher dann eine nachgemachte Twitter- oder Facebook-Seite präsentiert. Die eingebenen Daten landen dann in den Händen der Phisher. Unklar ist, was die Phisher mit kompromittierten Konten anfangen. Möglicherweise wollen sie sie für kommende Spam-Kampagnen einsetzen.

Hier einige Tipps für Twitter-Nutzer um sich besser vor Angriffen zu schützen:

1. Blocken Sie Twitter-Nutzer, die Ihnen verdächtig erscheinen.

2. Melden Sie verdächtige Twitter-Nutzer an den @Spam Twitter-Account.

3. Klicken Sie niemals auf Links in Twitter-Updates oder Direkt-Nachrichten verdächtiger User - sie könnten auf infizierte Websites führen.

4. Seien Sie bei Nachrichten oder Websites vorsichtig, in denen Sie aufgefordert werden, nochmals Ihre Login-Daten einzugeben.

5. Wählen Sie ein Passwort, das sich nicht im Wörterbuch finden lässt, sondern aus möglichst komplizierten Zeichenkombinationen besteht und für Fremde nicht nachvollziehbar ist.

Alle Experten empfehlen Computeranwendern, ihre Sicherheitslösungen stets aktuell zu halten und immer die neuesten Security-Patches zu installieren, um sich vor Hacker-, Spam- und Malware-Gefahren zu schützen.

Twitter ist ein soziales Netzwerk und ein Mikro-Blogging-Dienst. Angemeldete Benutzer können Textnachrichten mit maximal 140 Zeichen senden und die Nachrichten anderer Benutzer empfangen. Die Nachrichten werden „Updates“ oder „Tweets“ (engl. to tweet, deutsch zwitschern) genannt. Das soziale Netzwerk beruht darauf, dass man anderen Benutzern folgt (engl. „following“), das heißt die Updates anderer Benutzer abonniert. Benutzer, die den eigenen Updates folgen, nennt man „Follower“. Auf der Twitter-Startseite kann man Updates eingeben und die Updates der Personen, denen man folgt, nach der Zeit sortiert sehen. Der Absender kann entscheiden, ob er die Updates allen zur Verfügung stellen oder den Zugang auf eine Freundesgruppe beschränken will.

Dem Benutzer stehen unter anderem Kommunikationsstrukturen wie SMS (nur USA, Kanada und Indien) oder einfache Eingabehilfen über die Twitter-Homepage (RSS) oder Desktop-Applikationen zur Verfügung.

Gegründet von Jack Dorsey, Biz Stone und Evan Williams, begann Twitter im März 2006 als ein Forschungs- und Entwicklungs-Projekt innerhalb der San Franciscoer Podcasting-Firma Odeo.Es wurde ursprünglich nur firmenintern genutzt.

2006 wurde Twitter ein Produkt der Firma Obvious Der Dienst gewann sehr schnell an Popularität. Im März 2007 gewann er den South by Southwest Web Award in der Kategorie „Blogs“. Im April 2007 gliederte Obvious Twitter als eigenständige Firma aus. Dorsey war CEO, bis er 2008 von Williams ersetzt wurde.

Summize war ein Internet-StartUp, das den Twitter-XMPP-Stream verwendete, um Benutzern zu ermöglichen, Twitter-Konversationen nahezu in Echtzeit zu durchsuchen. Am 15. Juli 2008 akquirierte Twitter Summize und integrierte es in seine Website unter der Subdomain search.twitter.com. Zum Zeitpunkt des Verkaufs hatte Summize sechs Mitarbeiter, von denen fünf zu Twitter wechselten


Eine Analyse der Internet-Zeitschrift First Monday von rund 300.000 Twitter-Nutzern zeigt, dass sich hinter dem Gemisch der Followers und Followees ein zweites Freundes-Netzwerk verbirgt. Dieses Netzwerk soll das eigentliche Gerüst des Micro-Blogging-Angebotes sein. Wissenschaftler überprüften die Datensätze von 309470 "Twitterern", die durchschnittlich 255 Mitteilungen im SMS-Stil verschickten. Dabei hatten sie durchschnittlich 85 eigene "Follower" und waren selbst "Follower" von 80 anderen Twitter-Nutzern. Von dieser oberflächlichen Beziehung unterschieden die Wissenschaftler "Freunde", definiert als Nutzer, die sich mindestens zwei Nachrichten direkt zugeschickt haben, was am Nutzernamen und dem führenden @-Zeichen einfach erkennbar ist. Die statistische Analyse der Daten zeigt, dass die Anzahl der Twitter-Nachrichten mit der Zahl der Follower und Freunde korreliert, dass jedoch ab etwa 400 Followern kaum noch ein Zuwachs am Nachrichten-Output erfolgt. Hingegen bleibt der Anstieg der Nachrichten beim Anstieg der Freunde konstant. Daraus leiten die Wissenschaftler die Ansicht ab, dass die kostbare, weil knappe Ressource Aufmerksamkeit unter Freunden und nicht unter Followern geteilt wird. Entsprechend warnen sie vor voreiligen Schlussfolgerungen, allein aus der Zahl der Follower oder der Anzahl von Twitter-Nachrichten zu einem Thema die Popularität eines Themas zu ermitteln.


zurück zum Archiv
Anhören:


Audiodatstream
Download 128 Kbit/s (~27 MB)
Download 32 Kbit/s (~7 MB)
Ogg Vorbis 56 Kbit/s (~12 MB)
RSS Feed (Audiocast, letzte 5 Sendungen)
RSS Feed (Audiocast, alle Sendungen)

Druckversion Impressum Haftungsausschluss