Durch die jüngsten Vorfälle bei Titan sind unter Pokerspielern vermehrt Zweifel aufgetreten, wie sicher im Internet gepokert werden kann. Ein IT-Spezialist liefert eine klare Analyse.
Der Autor des folgenden Texts möchte anonym bleiben, er ist der Redaktion aber persönlich bekannt. In seinem Text unterzieht er die Sicherheit beim Internet-Poker zunächst einer schonungslosen Analyse und gibt anschließend Ratschläge für Verbesserungen.
Nach dem Software-Update bei Titan Poker und der kulanten Entschädigung der betroffenen Kunden, deren Bankrolls von Hackern verspielt wurden, scheint nun Ruhe eingekehrt zu sein. Wie ist es aber um die Sicherheit auf Poker-Internetseiten wirklich bestellt?
Streng genommen schließt das jüngste Update bei Titan Poker nur eine Sicherheitslücke, die zwar wirklich einfach auszunutzen war, auf die ambitionierte Kriminelle aber auch nicht wirklich angewiesen sind. Denn eines haben praktisch sämtliche Poker Clients gemein: Die Zugangsdaten liegen im Klartext im Arbeitsspeicher und sind mit wenig Aufwand auszulesen. Dabei spielt es auch keine entscheidende Rolle, ob der Login manuell oder automatisch erfolgt. Ein Anwender benötigt für das Auslesen lediglich ein Programm wie WinHex, das einen Blick in den verwendeten Arbeitsspeicher einer Applikation erlaubt. In der Software der meisten Casinos sieht das in der Praxis und mit wenigen Worten so aus:
Von einem Skandal oder einem eklatanten Sicherheitsproblemen zu sprechen, ist in diesem Zusammenhang aber nicht angebracht, denn um diese vermeintlichen Lücken ausnutzen zu können, müssen sich Kriminelle zunächst Zugriff auf den Computer verschaffen.
Und hier liegt es vor allem in der Verantwortung des Benutzers, seinen Rechner vor dem Befall durch Schadprogramme zu schützen und fremde Menschen nicht an seinen Computer zu lassen. Dabei genügt es nicht, ein Antiviren-Programm zu installieren und auf eine beliebige Firewall zu vertrauen. Eine Antiviren-Software kann im Grunde nur vor Schadprogrammen schützen, für die der Hersteller eine Signatur erstellen konnte und anhand derer der Schädling identifiziert werden kann. Bei einem unbekannten Schadprogramm, dass für eine kleine Zielgruppe programmiert und nicht großflächig gestreut wird, äußern gute Antiviren-Programme allenfalls einen Verdacht – der von Usern aber nur zu gern aufgrund von schlechten Erfahrungen mit Fehlalarmen ignoriert wird. Ist ein solches Programm erst einmal zu Ausführung gekommen, sind die Möglichkeiten, die sich dem Angreifer bieten, nur durch das Ausmaß seiner kriminelle Energie und seine technischen Fähigkeiten begrenzt. Das Programm könnte natürlich wertvolle Daten ausspähen und über das Internet versenden.Die schwierigste Aufgabe, die sich modernen Internet-Banditen stellt, besteht darin, ihre Schadprogramme auf den Rechnern ihrer Opfer zur Ausführung zu bringen. Die bekannteste Variante sind E-Mails, deren Inhalt zum Öffnen des angehängten Dokumentes animieren. Bei näherer Betrachtung handelt es sich dabei nicht um ein Dokument, sondern um ein Programm, das einmal geöffnet sofort seinen Dienst verrichtet.
Ein wenig perfider ist die Methode, bei der seriöse Internetseite gehackt und so präpariert werden, dass der User zwar einen unverdächtigen Inhalt sieht, sein Rechner aber von einem weiteren Server systematisch auf Schwachstellen untersucht wird. Dabei hält der Server eine umfangreiche Liste mit bekannten Sicherheitslücken für gängige Browser und Plug-ins vor, die dann gezielt ausgenutzt werden, um Schadcode auf dem Rechner des Users zu injizieren.
Überall dort, wo User selbst Beiträge verfassen können, werden auch Links zu Bildern oder lustigen Filmchen gepostet. Hier kann es sich vor dem Anklicken lohnen, einen genauen Blick auf den Link zu werfen. Der Weg zu dem propagierten Material kann über einen weiteren Server erfolgen. Hierbei wird zunächst der „böse Server“ aufgerufen bevor er zum eigentlichen Ziel weiterleitet.Ein solcher Link ähnelt diesem Muster: (www.boeserserver.com/?www.youtube.com/v/xxxxxx). Während der User nun das Bild oder das Video betrachtet, geht vom ersten Server das eben beschrieben Szenario aus und der Rechner wird infiziert.
Schlägt der Virenscanner keinen Alarm, startet das Programm unerkannt. Erst wenn es versucht, eine Verbindung zu einem Server im Internet aufzubauen, um die Daten zu übermitteln oder weitere Schadcodes nachzuladen, kommt die Firewall zum Zuge. Im Idealfall bittet diese den Computerbesitzer, diese Kommunikation zu autorisieren. Das geschieht zumindest dann, wenn die Firewall den Kommunikationsversuch auch entdeckt. Ist das Schadprogramm in der Lage, die Firewall zu erkennen oder zufällig einen Weg zu wählen, der nicht überwacht wird, ist der Datendiebstahl perfekt.
Von den bekannten Desktop-Firewalls bieten nur die wenigsten wirklichen Schutz gegen eine lange Liste von Angriffsszenarien, mit denen Schadprogramme trickreich den Schutz auszuhebeln versuchen. Mittels eines Leak-Tests können Computerbesitzer ermitteln, gegen welche Tricks die eingesetzte Firewall gewappnet ist.
Der Weg zur eigenen Sicherheit führt über die gute Auswahl an Schutzprogrammen, dem regelmäßigen Aktualisieren der verwendeten Programme und des Betriebsystems, der Nutzung eines gewöhnlichen Benutzerkontos mit eingeschränkten Rechten und nicht zuletzt auch dem eigenen Surfverhalten. Ein Internet Browser, bei dem sich Java, JavaScript sowie Flash und weitere Plug-ins deaktivieren lassen, bietet schon ein hohes Maß an Schutz. Für Firefox gibt es Erweiterungen wie „Prefswitch“, die das selektive Ein- und Ausschalten ermöglichen. Im Internet Browser „Opera“ sind die Einstellungen von Haus aus über F12 zu erreichen.Das beliebte Programm KeePass, das als „Passwort-Safe“ Logindaten vorhält und als besonders sicher gilt, bietet übrigens auch keinen Schutz vor dem Ausspähen des Speichers. Wer mit WinHex einen Blick in KeePass wirft, wird ohne Mühe sämtliche gespeicherten Details erkennen.
Das Auslesen des Speichers funktioniert in dieser Form nur dann, wenn WinHex mit denselben Rechten im System läuft wie das auszuspähende Programm. Da Schadprogramme die Rechte des Users vererbt bekommen, durch die sie auf das System gelangt sind, empfiehlt es sich auf gar keinen Fall, den Rechner dauerhaft als Administrator zu verwenden.Mit Windows Vista und dem ‚Integrity Level‘ besteht die Möglichkeit, Programme mit geringen Rechten zu versehen, sodass durch sie eingeschleuste Schadprogramme praktisch keinen oder nur sehr begrenzten Schaden anrichten können.
In Windows XP kann ersatzweise auf Sandboxie zurückgegriffen werden. Dadurch werden Programme in einer isolierten Umgebung gestartet und sämtliche Änderungen werden lediglich in einem Verzeichnis gespeichert. Das System selbst bleibt unberührt.Wirkliche Sorgen sollte die Vorstellung von in falsche Hände geratenen Bankdaten bereiten, denn das ist das bevorzugte Ziel von Internet-Banden. Die Möglichkeiten für einen Fremden, an fremdes Geld auf einem Poker Room Account zu gelangen, sind dagegen sehr begrenzt. Ein gezieltes Verspielen ist auffällig und wird von Casinos als Unregelmäßigkeit erkannt. Ein Auscashen z. B. über Neteller erscheint gänzlich unmöglich. Bei der geringsten Abweichung wird das Konto eingefroren und ein Telefonat mit dem Neteller-Kundendienst ist unumgänglich. So effektiv diese Maßnahme ist, so sehr wird sie auch von manchen verflucht.
Natürlich könnten Online-Casinos wie Neteller agieren und bei dem kleinsten Anzeichen einer Unregelmäßigkeit den Account stilllegen, nur empfänden es die meisten Spieler vermutlich eher als Belästigung und würden sich zum nächsten Poker Room flüchten, in der Hoffnung dort ungestört spielen zu können. Am Ende siegt leider doch immer wieder die Bequemlichkeit, weil die Sicherheitsmaßnahmen als überproportional zur Wahrscheinlichkeit gesehen werden, selbst einmal betroffen zu sein. Also, aufpassen oder Daumen drücken und hoffen, dass schon nichts passieren wird?
Weblinks aus dem Artikel:
- Opera Browser
- Matousec- Firewalls im Vergleich
- ComodosHIPS undFirewall Leak Test
- Comodo Firewall
- WinHex Software für Datenrettung und IT-Sicherheit
- Sandboxie lässt Programme in einer kontrollierten Umgebung laufen
- Windows Vista – Integrity Levels
- Secunia PSI informiert über Sicherheitslücken und verfügbarer Updates zu installierten Programmen und Plug-ins.
Dieser Artikel erschien auf PokerOlymp am 26.01.2009.