Eine Freunding löschte panisch ihr Profil aus der
Freenet-Community, als sie von einem anderen User mit Angaben
zu Ihrer Person (z.B. Wohnort-Adresse, Altersangabe)
konfrontiert wurde, die dieser aus dem Quelltext ihres
User-Profils generiert haben wollte. Vereinfacht gesagt, so
jedenfalls habe ich ihren Bericht verstanden, habe er mit
Hilfe eines Programmes ihre IP-Daten herausgefunden.
Das klingt erst mal einfach nur dubios, eventuell eine dieser typischen Internet-Legenden?
* Ich habe mir schnell ein Freenet Chat Profil angelegt. Man kann da genau das auslesen was der User da selber eingetragen hat. Wenn sie bei der Anmeldung, als sie ihr Benutzerprofil angelegt hat, naiver Weise alle Felder korrekt ausgefüllt hat, dann war sie einfach wie so viele selber ein wenig zu vertrauensselig. Hinz und Kunz kann dann folgende Infos auslesen: Alter, Wohnort, Sternzeichen (gibt das Geburtsdatum +/- ein Monat an). Ein aufmerksamer Chatpartner, mit dem sie regelmäßig Kontakt hat, sieht an ihrem Geburtstag das Alter umspringen. Wenn nicht: mit ihrem Sternzeichen und dem Alter kann ich mit maximal 31 Versuchen ihr Geburtsdatum erraten. Dann braucht es nur noch eine Vereinsseite, wo ihr Name mit dem Geburtstag verknüpft ist, und Bingo.
Sie muss aber, was ich für wahrscheinlicher halte, damit rechnen, dass ein Bekannter, Nachbar, Arbeitskollege oder Ehepartner (!), der von ihrem Freenet Account weiß, sich einen schlechten Scherz erlaubt hat. Freenet nimmt keinerlei Checks vor, wer sich wie oft mit welchem Namen anmeldet. Sie hat eventuell mit ihrer besten Freundin gechattet, oder mit der neidischen Arbeitskollegin.
Ganz naiv muss ich fragen: Geht so was? Ich meine: der
Quelltext eine Website ist ja eher so eine Art HTML-Text, und
kein „geheimer“ Code. Ist eine Community wie Freenet so
unsicher? Oder hat er sie anderweitig gehackt, also ihren
Zugangscode herausgefunden oder sich irgendwie in die
Freenet-Nutzerdaten hereingehackt?
Theoretisch ist das möglich, wenn ein „echter“ Hacker eine Schwachstelle bei Freenet gefunden hat. Aber Hand aufs Herz: dazu braucht es mehr als man in Hollywoodfilmen sieht, und die Wahrscheinlichkeit, dass sich ein Top-Hacker gerade über ihren Account hermacht ist eher gering. Die Wahrscheinlichkeit, dass sie einfach auf einen Bluffer hereingefallen ist ist da höher - zumal sich in gerade Chats solche Typen herumtreiben.
Anders wäre die Sache übrigens, wenn man den Trottel mal rein hypothetisch bei den Freenet Angestellten oder in ihrem persönlichen Umfeld vermutet. Mehr als 3/4 aller Angriffe kommen erwiesener Maßen von innen. Weils von außen verdammt schwer bis unmöglich ist.
Die IP Adresse ist ein echter Hammer. Soweit ich das einschätzen kann läuft der Freenet Chat über Freenet Server als Relais. Der Angreifer sieht also nur die IP Adresse des Freenet Servers. An ihre richtige IP Adresse kommt er eigentlich nur, wenn er direkt am Freenet Server sitzt. Oder bei ihr zu Hause mitlauscht. Anders ist das bei „echten“ Peer to Peer Netzen, da redet tatsächlich Endcomputer mit Endcomputer, und da bekommt man tatsächlich die IP Adresse des Partners in die Hand. Wenn der über einen NAT Router im Internet hängt nützt mich die Adresse allerdings nichts. Wenn dagegen ein Modem verwendet wird, dann kann ich, so lange mein „Opfer“ nicht auflegt, in Grenzen mit seinem PC kommunizieren. Wenn der PC dann mit einem alten Microsoft Betriebssystem arbeitet, könnte man über die längst bekannten Sicherheitslücken sehr weit in die Kiste eindringen. Aber ich bezweifle, dass man bei Freenet die IP Adresse des Chatprtners in die Hand bekommt. Und ich bezweifle, dass jemand, der einfach ein wenig in einem Chat angeben will, solche Möglichkeiten hat, und abgesehen davon klappt das nur bei Modemanbindung mit Uralt-Client.
Wie kann man sich vor so etwas schützen?
Man vertraut dem Web keine, aber auch gar keine, persönlichen Daten an. Man schwindelt bei der Anmeldung gnadenlos, vor allem bei Gratis-Seiten. Punkt. Und was immer man in Chats sieht oder hört: man bedenke, dass ein offenes, werbefinanziertes System wie Freenet, das bei der Anmeldung keinerlei Überprüfung seiner Benutzer vornimmt (nicht mal das obligatorische Anmelde-Abnickmail musste ich quittieren…) der bevorzugte Tummelplatz für allerlei komische Leute ist. Ich würde mir eine andere Chatplatform suchen, wo sich die Benutzer zumindest dem Betreiber gegenüber ausweisen müssen. Das kostet zwar ein paar Euro im Monat, aber man kann dafür über die Bankverbindung jeden Benutzer ausfindig machen lassen wenn es sein muss. Das Wissen, dass das geht, hält die gröbsten Idioten schon mal fern.
…Armin