Die Lücken im Uni-Netzwerk
Ein Hacker erklärt, wie leicht er an dein Passwort kommt.
Die Sicherheit der elektronischen Daten an der UZH ist ein grosses Fragezeichen. Bis heute weiss kein Studierender, ob im Zusammenhang mit der Affäre Ritzmann sein Webmailkonto durchleuchtet wurde. Im Januar deckte «NZZ Campus» auf, dass ein kalifornischer Hacker fast 500 Logindaten von Angehörigen der Zürcher Hochschulen ins Netz gestellt hatte. Obwohl die Informatikdienste (ID) vom Diebstahl wussten, fühlten sie sich erst durch den Zeitungsartikel zu einer Stellungnahme genötigt. Dann herrschte wieder Schweigen. Die ZS setzte sich daraufhin mit dem Hacker «Leviathan» zusammen und klopfte das Uni-Intranet nach Schwachstellen ab.
Don’t use Public!
Erste Erkenntnis: Hacken ist nicht so flott, wie man es aus Filmen kennt. Ein kompletter «penetration test» dauert Wochen. So wird die Suche nach Sicherheitslücken im Fachjargon genannt. Zweite Erkenntnis: Das «Public»-WLAN ist ein Risiko. Obwohl die ID auf ihrer Webseite dazu auffordern, es nicht mehr zu benutzen, loggen sich immer noch viele darin ein. Ein kurzer Scan bestätigt dies. Mit einem simplen Programm (AiroDump) kann man beinahe alle Daten, die über «Public» versendet werden, abhorchen. Dann weiss ich, wen du googelst, wo du recherchierst und welche Bilder du abspeicherst. Es gäbe sogar relativ einfache Tricks, an dein «Public»-Passwort zu kommen. Ein Programmierer könnte die Loginpage des «Public»-WLAN fälschen. Tippen unvorsichtige Studierende dann ihr Passwort ein, landet es direkt beim Hacker. Dafür ist es kaum möglich, in den Leistungsnachweis einzudringen und Noten abzuändern. Die UZH-Infrastruktur hält Leviathans erster Prüfung stand. «Kein Server weist oberflächlich eine grobe Lücke auf», meint der Hacker. Grössere Risiken sieht er in unvorsichtigen Administratoren und schwachen Passwörtern.
Der Kniff des Social Engineering
Was bleibt einem übrig, wenn man mit technischen Mitteln nicht mehr weiterkommt? Hernani Marques vom Chaos Computer Club erklärt das «Social Engineering»: «Mit geschicktem sozialem Umgang und Täuschungsmanövern ist es möglich, an Hinweise oder sensible Daten zu kommen oder Sicherungssysteme zu umgehen.» Oft kombinieren Böswillige die beiden Vorgehensweisen, gerade bei gut gesicherten Systemen. Wenn die Uni voll ist von Menschen, von denen sich viele via Public einloggen, ist nur genug Geduld und Know-how vonnöten, um früher oder später an Passwörter zu gelangen. Obwohl die ID ihre User dazu auffordern, für jeden Dienst ein anderes Passwort zu verwenden, halten sich die meisten nicht daran. «Gelangt man durch eine fingierte Seite an eine User-Passwort-Kombi, ist damit oft auch der Zugang zum Webmail oder zur Modulbuchung möglich», ist Marques überzeugt. Solch ein Vorgehen sei illegal, betont er. Doch Hacker, wie den aus Kalifornien, kümmert das nicht. Und wenn unter den unvorsichtigen Usern ein Dozent ist, so kann man vielleicht auch einen Blick auf die nächste Prüfung werfen.
Immerhin: Die UZH hat erkannt, dass Nachholbedarf besteht. Im Moment werde ein neues Datenschutzkonzept entworfen, lassen die Media Relations ausrichten. Mehr wolle man nicht sagen. Es bleibt zu hoffen, dass keine IT-Invasion ansteht und dass «Public» definitiv abgeschafft wird. Denn wer sich über das nicht öffentliche UZH-WLAN einloggt, überträgt seine Daten verschlüsselt – und damit um Welten sicherer. ◊