Datendiebstahl

[cronos]

meine fragen:

hier zähle ich nochmal konkret die fragen auf, die sich für mich aus der situation ergeben:

1) was bedeuten die erklärungen des arcor-online-supports?

Jemand hat mit einem "normalen" POP3 Client sich auf den Mailserver verbunden, dabei vorgegeben, er sei du also mit deinen Username und Passwort dort angemeldet. Ein POP3 Client wie z.B: Outlook (Express), Mozilla Thunderbird etc. lädt die Mails auf den Lokalen rechner, danach werden sie am Server automatisch gelöscht. Deine Emails müssten allerdings noch auf einem Backupmedium vorhanden sein, das vor dem erwähnten Zeitpunkt gemacht wurde.

2) wie konnte es zu dem vermeintlichen daten-klau kommen?
(für meine arcor-mails benutze ich den internet explorer 6.xx)

Mir fallen auf Anhieb einige Sachen ein, wie man an dein Passwort rankommen könnte:

Ich glaube allerdings nicht, dass dir jemand einfach die Daten klauen wollte, denn dazu braucht man sie nicht löschen. Einfach kopieren wäre doch viel unauffälliger.

Ich nehme an, du benutzt einen Webmail Service, da du den IE erwähnst. Das bedeudet, dass die Emails am Server bleiben, nicht wie bei einem pop Mail Client, wo du die Mails vom Server auf deinen Rechner ziehst, und sie vom Server löscht.

Also, gleich mal vorneweg, der IE ist nicht der sicherste Browser...

Surfst du den Service von verschiedenen Rechnern aus an? Oder kommen andere Leute an deinen Rechner ran? Hast du vielleicht die Option "Automatisch einloggen" verwendet? Dann wurde am Rechner ein Cookie angelegt, damit du dich nicht dauernd einloggen musst. Ich bin mir nicht sicher, wie genau das funktioniert, aber anscheinend werden Loginname und Passwort darin gespeichert, wenn auch verschlüsselt. Manche Algorithmen kann man einfach umkehren, ist es ein sogenannter "Trapdoor" Algorithmus, lässt man halt einen Cracker mit Dictionary laufen. Der rechnet die Wörter und Wortkombinationen in seinem Wörterbuch nacheinander um und vergleicht sie mit deinem Passwort. Ist halt bloss eine Frage der Zeit und Rechenpower. Ich hab mal versuchshalber das Programm Crack-md5 auf miener Debian Kiste über die /etc/shadow laufen lassen, das testhalber verwendete Passwort "cronos" sah ich schon unter 10 Minuten im Klartext...
Hast du dich vielleicht dank der Cookies aus versehen nicht ausgeloggt, und jemand kommt an den selben rechner, surft den Arcor Service an und findet sich in deinem Konto wieder...

Oder hast du im IE die Funktion Passwörter speichern aktiviert? Im Firefox gibt es sogar eine Option, mit der man sich die gespeicherten Passwörter in !!Klartext!! ansehen kann...

Wie schnell tippst du überhaupt dein Passwort? Jemand könnte dir über die Finger geschaut haben...

Bist du mal auf irgend eine Phishing Site reingefallen? Erklärung
Solche Spammails scheinen zur Zeit recht häufig sein...

Ist dein Passwort "sicher"? Könnte es jemand, der dich kennt erraten?

3) sind die mails eventuell noch zu retten? wenn ja, wie?

Der Provider muss eigentlich ein Backup von seinem Mailserver haben. Du müsstest ihn "nur" dazu bringen, das wieder einzuspielen...

4) welche konsequenzen sollte ich daraus ziehen?

Bewahre deine wichtigen Daten selbst auf, und geh sicher, dass sie nicht so einfach verloren gehen können. Also mache Backups.

5) könnt ihr mir zusätzlicher sicherheits-tipps zur vermeidung von so etwas geben? (ich verwende kerio-personal-firewall und den antivir-guard -alles regelmäßig aktualisiert)

Tritt den IE in die Tonne und verwende eine Alternative.
Verwende einen POP3 Client und mach von deinen wichtigen Daten regelmässig Backups.
Überlege dir ein "sicheres" Passwort, hier ein Auszug aus der FAQ, die bei Crack-md5 dabei ist:

>Q.16 How can I generate safe passwords?
>
>You can't. The key word here is GENERATE. Once an algorithm for
>creating passwords is specified using upon some systematic method, it
>merely becomes a matter of analysing your algorithm in order to find
>every password on your system.
>
>Unless the algorithm is very subtle, it will probably suffer from a
>very low period (ie: it will soon start to repeat itself) so that
>either:
>
> a) a cracker can try out every possible output of the password
> generator on every user of the system, or
>
> b) the cracker can analyse the output of the password program,
> determine the algorithm being used, and apply the algorithm to other
> users to determine their passwords.
>
>A beautiful example of this (where it was disastrously assumed that a
>random number generator could generate an infinite number of random
>passwords) is detailed in [Morris & Thompson].
>
>The only way to get a reasonable amount of variety in your passwords
>(I'm afraid) is to make them up. Work out some flexible method of your
>own which is NOT based upon:
>
> 1) modifying any part of your name or name+initials
> 2) modifying a dictionary word
> 3) acronyms
> 4) any systematic, well-adhered-to algorithm whatsoever
>
>For instance, NEVER use passwords like:
>
>alec7 - it's based on the users name (& it's too short anyway)
>tteffum - based on the users name again
>gillian - girlfiends name (in a dictionary)
>naillig - ditto, backwards
>PORSCHE911 - it's in a dictionary
>12345678 - it's in a dictionary (& people can watch you type it easily)
>qwertyui - ...ditto...
>abcxyz - ...ditto...
>0ooooooo - ...ditto...
>Computer - just because it's capitalised doesn't make it safe
>wombat6 - ditto for appending some random character
>6wombat - ditto for prepending some random character
>merde3 - even for french words...
>mr.spock - it's in a sci-fi dictionary
>zeolite - it's in a geological dictionary
>ze0lite - corrupted version of a word in a geological dictionary
>ze0l1te - ...ditto...
>Z30L1T3 - ...ditto...
>
>I hope that these examples emphasise that ANY password derived from ANY
>dictionary word (or personal information), modified in ANY way,
>constitutes a potentially guessable password.

Hoffe ich konnte dir etwas helfen...

[Ghettomaster]

Willst du weiterhin einen Webmail Service verwenden such dir was vernünftiges, ich kann da www.fastmail.fm sehr empfehlen. Kostet halt was, bietet aber grundsätzlich SSL Login und je nach Paket den üblichen Spam und Virenschutz. Außerdem werden fehlgeschlagene Logins dort nachvollziehbar geloggt und bei enstprechender Häufigkeit auch Maßnahmen ergriffen.

Du solltest dir aber in einem klar sein, wenn du nur einmal im Internetcafe dein Passwort eingibst und der Besitzer nenn Keylogger insntalliert hat, also ein Programm oder ein Hardware-Dongle das jeden Tastendruck protokolliert, isses vorbei, ganz egal wie kompliziert das Passwort ist und wie genau du darauf achtest das dir keiner über die Schulter schaut. Daher rate ich auch grundsätzlich davon ab sicherheitsrelevante Dinge auf einem anderen PC als dem eigenen einzugeben.

Zweite Möglichkeit wäre eben der Mailclient, teste ein wenig rum welcher dir am ehesten zusagt (mit Thunderbird machste jedenfalls mal nix falsch) und fertige in regelmäßigen Abständen Backups an.

CU
Ghettomaster

[mukenukem]

Der Provider muss eigentlich ein Backup von seinem Mailserver haben. Du müsstest ihn "nur" dazu bringen, das wieder einzuspielen...

Ich denke, als "dummer, kein Geld bringender" Privatkunde bist du denen ziemlich wurst und die pfeifen dir was, selbst wenn sie ein Backup hätten (was ich eigentlich bezweifle).

Was gefährlich ist: Viele POP3 Mailprogramme sind per default so eingestellt, daß die Mail nach dem Abruf vom Server gelöscht werden, Outlook Express imho auch (habs allerdings seit Jahren nicht benutzt). Hast du vielleicht mit sowas herumexperimentiert ?

Ich kann mich an die Vorredner nur anschließen: Mach regelmäßige Backups deiner Mailbox (mit einem POP3/IMAP fähigen Client). Der Unterschied zwischen POP3 und IMAP: Während du bei POP3 nicht wirklich weißt, welche Mails du abrufst, bekommst du bei IMAP die Möglichkeit, dir die Kopzeile anzusehen und auszuwählen, was du runterlädtst. War vor allem bei Einwähl-Verbindungen durchaus interessant, mit DSL sollte die Zeitersparnis gering sein.

Wichtige Daten vertraust du besser niemandem an, schon gar nicht eim Provider.

Ich weiß, das wird dir für dein aktuelles Problem nicht mehr viel nützen, aber vielleicht hilft es in Zukunft, solche Ereignisse zu vermeiden....

[Gilgamesh]

Also, dann darf ich auch mal....

Der grundlegende Unterschied zwischen IMAP und POP3 ist eben der, dass bei IMAP die Mails und Ordner auf dem Server bleiben. Das mit der Kopfzeile, ist nur ein nettes zusätzliches Features, aber nicht das Grundprinzip.
Der eigentliche Grund ist, dass man auf jeden PC seine Mails hat, da sich der Client immer mit dem Server abgleicht....
POP3 hingegen dient dem Zweck, dass der Client sich die original Mails downloadet und somit danach Offline arbeiten kann...

Weiter....
Bei einem Zugriff mittels Webinterface ladet man sich aber überhaupt nichts runter. Denn man greift nicht direkt auf die Mails zu, sondern eben via Schnittstellen...
Also, kann man da auch nichts per Zufall runterladen.

Zu Datenklau....
Ich denke nicht, dass Deine Mails von so hoher Relevanz sind, dass sich jemand die Mühe macht diese zu klauen. Außer, es war nur ein genereller Hack und Du warst schlicht ein anonymes Opfer. Ich denke mehr, dass Arcor da einen riesigen Bock geschossen hat und man jetzt nur sagt, ja das wurde ja abgerufen. Und? Von wem wurden diese Mails abgerufen? Von welcher IP-Adresse???

Was diese Frau Fronk angeht....
Tja, spätestens nach dem Satz, „wären sie doch bei der Telekom geblieben“, hätte sie mich zu ihrem Vorgesetzten verbinden dürfen....
Wenn ihre Vorgesetzter diese „Firmenrepräsentanz“ verteidigt, kann man sicher sein, dass der Fehler bei Arcor liegt.

Du hast sicher recht, Dich über diese Frau Fronk aufzuregen, aber dass gerade Du Dich über einen rüden Ton echauffierst....