Hallo Zusammen!
Seit dem 08.10. haben wir ein neues Werkzeug für euch: SolarWinds Identity Monitor (IM).
IM überwacht Emailkonten und -Domänen auf „Account Takeovers“, auf Deutsch einfach der Identitätsdiebstahl.
Wie kommt es zu einem Identitätsdiebstahl?
Leider sehr schnell. Jeden Tag geben wir irgendwo unsere Daten ein, und meistens ist es eine Kombination aus Emailadresse und einem gewählten Passwort. Laut meinem Passwort-Manager habe ich Konten in über 60 verschiedenen Systemen wie Hotels, Fluggesellschaften, Rezeptsammlungen, aber auch bei Support oder Community-Pages verschiedener Hard- und Softwareanbieter. Das ist nichts Besonderes, und an sich auch erst einmal kein Problem.
Die Probleme fangen an, wenn es bei einer dieser Seiten zu einem Breach gekommen ist und Kundendaten „auf Wanderschaft“ gehen, was leider zu häufig passiert. Meistens denkt man sich nicht viel dabei, und ein Einbruch bei meiner favorisierten Kochrezepte-Sammlung gibt Hackern Einsicht darauf, welches mein bevorzugtes Pasta Rezept ist.
Aber, was passiert, wenn ich das gleiche Passwort auch bei einer Shoppingseite mit Instant-Delivery nutze?
Oder die Zugangsdaten sind die gleichen wie beim Emailkonto des CEOs, oder des Github Repository eines Scrum-Masters mit Zugriff auf den Quellcode eines Produktes?
IM zeigt an, ob ein Konto bzw. eine Identität kompromittiert wurde, inklusive der Information wann, wodurch, und welche Daten öffentlich gelegt wurden.
Eine kurze Tour durch das Produkt
Auf dem Dashboard direkt nach dem Login sehen wir eine Timeline von bekannten Breaches, und das Chart an sich ist schon interessant:
Die Frequenz von Data-Leaks nimmt seit Ende 2015 zu. Ein Mouse-Over bei einer der Kugeln zeigt erste Details:
In der Navigation links klicke ich auf „Email Addresses“
Zuerst füge ich meine Geschäfts-Email hinzu
Das System erwartet, dass die Adresse vom Inhaber bestätigt wird:
Das wird schnell erledigt:
Und sofort ändert sich der Status und die angezeigten Informationen:
Ein Klick auf die Adresse zeigt links die Breaches:
Und rechts steht, für mich wichtig, dass kein Passwort gestohlen wurde:
Ganz rechts ist ein Knopf, der alle gesammelten Daten anzeigt („View Raw Data“):
Die dort entwendeten Informationen sind öffentlich zugänglich, auch mein LinkedIn Profil ist kein Geheimnis. Aber wenn man dies zum ersten Mal sieht, beginnt man mit der Reflektion. Wer genau sind diese Typen, die meine Daten gesammelt und derart aufbereitet haben?
Auch diese Fragen werden, soweit rechtlich vertretbar, beantwortet:
Um an mehr Daten zu kommen, nutze ich meine private Emailadresse, die ich seit über 20 Jahren verwende. Die Liste an Breaches ist „geringfügig“ länger und erstreckt sich über mehrere Seiten, hier ein Auszug:
Leider finden sich hier auch Passwörter:
Beim Klicken auf das Auge wird das Password so angezeigt, wie es aufgefunden wurde. Manchmal als nicht entschlüsselter Hash, manchmal im Klartext. Glücklicherweise ist es in meinem Fall ein sehr altes Passwort, das nicht mehr in Benutzung ist – dazu gleich mehr.
Im Produktivbetrieb bei einem Unternehmen gibt man selbstverständlich keine Hunderte von Emailadressen manuell ein, sondern direkt die Domain.
Mein Beispiel, das tatsächlich auch Beispiel heisst:
Ein Mausklick auf Corporate Records zeigt mir die entsprechenden Details wie erwartet an:
Ebenso lassen sich wichtige IP Adressen überwachen, um benachrichtigt zu werden, falls diese in einem Botnet sitzen oder neu auftauchen.
Das Ganze funktioniert nicht nur mit historischen Daten.
Solange eine Emailadresse aufgelistet ist, wird sie gegenüber allen neuen Breaches getestet und im Falle eines Treffers erfolgt eine Meldung an den Inhaber des Kontos, damit weitere Schritte eingeleitet werden können. Was mich dann weiterbringt zu…
Was tun bei einem Identitätsdiebstahl?
Die Sofortmaßnahme ist selbstverständlich, dass Passwort beim jeweiligen Anbieter zurückzusetzen und zu ändern. Je nach Plattform empfiehlt es sich, zu schauen ob es Logins gab bzw. Dienste genutzt worden sind, die man nicht erkennt oder als seine eigenen identifiziert.
In den meisten Fällen sind Kontodaten zwar veröffentlicht, aber nicht benutzt worden.
Hacker verfügen über Listen mit „high-value targets,“ Namen von Politikern, Prominenten, und Führungspersonen großer Unternehmen. Neue Kontensammlungen werden automatisch nach diesen Datensätzen durchsucht und im erfolgsfalle entweder selbst genutzt oder sofort weiterverkauft. Da die meisten von uns nicht auf diesen Listen zu finden sind, ist das tatsächliche Missbrauchsrisiko eher gering, aber definitiv nicht zu vernachlässigen.
Dennoch ist der nächste Schritt ebenfalls notwendig, wenn auch komplizierter:
Wurde das gleiche Passwort an anderer Stelle verwendet? Auch dort muss es geändert werden.
Bei zehnfach verwendetem Passwort ist ein einzelner Breach einem zehnfachen Breach gleichzusetzen. Dieser Schritt kostet leider Zeit und Nerven.
Passwort-Management ist keine Raketenforschung
Ein Passwort-Manager hilft beim Aufsetzen sicherer, zufallsgenerierter Passwörter.
Es gibt verschiedene Strategien beim Passwort Management, so ist z.B. eine Idee, Webseiten zu klassifizieren und bei wirklich sensiblen Systemen in jedem Fall MFA zu nutzen, so dass jeder Login von einem Authenticator bestätigt werden muss. Kandidaten hierfür sind off-site Logins zum Emailsystem oder Intranet des Unternehmens.
Bei weniger riskanten Seiten sollte ein sicheres und unbedingt einzigartiges Passwort verwendet werden.
Was mache ich jetzt mit meiner Rezepte-Sammlung? Wenn ich auf allen derartigen Seiten das Passwort „SaschaK0chtGerneMit***“ verwendet habe, ist das zwar ein fantastisches Passwort, und außer meinem Geschmacksprofil gibt es keinerlei Daten, aber ein SecurityAdmin würde trotzdem das mehrfach verwendete Passwort bemängeln.
Zu Recht!
Macht's gut!
