Moin Felix. Alles meine persönliche Meinung, andere können das anders sehen.
Am 2015-04-19 um 19:34 schrieb Felix Schuster:
Offenbar hat sie die Zugangsdaten zu Blomkvists Konto und sich mit diesen angemeldet.
Genau das. Richtiges Hacking (also wie die Zugangsdaten erlangt wurden) sieht man da nicht.
Kann man die Recherchen, welche sie daraufhin ausführt, bereits als "Google-Hacking" bezeichnen?
Nein, das ist schlicht und einfach normales Googeln.
Szene zwei zeigt Salander, die in einem Hauseingang die Geräusche, welche das Eingabepad eines Zahlenschlosses von sich gibt mithört, und anhand dessen den Code reproduzieren kann.
Wer ein Schloss baut, welches zur Taste passende DTMF-Töne von sich gibt, gehört mit einem vergammelten Fisch verprügelt. Es würde mich aber überraschen, wenn es nicht gleich mehrere Hersteller gibt, die dumm genug sind. Die Töne entsprechen den Tönen einer Telefontastatur und können mit gängiger, weit verbreiteter Software trivial dekodiert werden. Mit etwas Übung dürfte das auch ohne gehen. (Hm, könnte ich mal lernen wenn ich nix sinnvolleres tun will.)
Sie geht in den Keller und macht Fotos vom Sicherungskasten und dem Router (?) und einem Gerät mit dem Aufdruck "Shiva".
Das KTI-Gerät unten dürfte ein Switch oder Hub (evt. steht Hub drauf, kann man nicht richtig lesen) sein, das Shiva-Gerät eine Art ISDN-Router, wenn ich die Googleergebnisse richtig interpretiere. Beides ist Uralttechnik, könnte 2002 (laut Wiki spielen das Buch und die Erstverfilmung in dem Jahr) aber noch realistischerweise existiert haben. Die Fotos dienen natürlich dazu, zu wissen, womit man es zu tun hat, damit man zu Hause in Ruhe Schwachstellen finden kann. Für 2009 (Neuverfilmung laut de-wiki) wäre es massiv veraltet, aber was man so an Uraltzeug noch findet...
Was da angestöpselt wird und wo sieht man nicht so richtig, dürfte technisch ein kleiner Computer sein. Der kann z. B. Zugriff aus dem Internet auf das interne Netzwerk geben, oder in den Einstellungen der Geräte im Schrank rumpfuschen.
Gerade wenn das untere Gerät ein echter Hub ist, hat jedes daran angeschlossene Gerät vollständigen Zugriff auf den gesamten internen Netzwerkverkehr und kann mit den Geräten im Netzwerk (z. B. dem Computer des Opfers) kommunizieren. Von da dann Zugriff auf den Computer zu bekommen ist gerade für 2002 sehr realistisch, das war kurz vor dem goldenen Zeitalter der Netzwerkwürmer für Windows. Das Live-Beobachten des Bildschirms, da bin ich mir weniger sicher - die Bandbreite damals könnte dafür zu knapp sein, das wäre aber auch der einzige Grund der dagegen spricht. Könnte auch reichen. Die Tastatureingaben live zu sehen wäre hingegen auch damals 100% realistisch. 2009 wäre das alles kein Problem mehr.
Wieder sieht man das eigentliche Eindringen nicht wirklich, nur die Ergebnisse.
Heutzutage wären das gleiche mit etwas anders aussehenden Geräten genauso denkbar und 100% realistisch (wenn jemand beim Absichern des Netzes geschlampt hat, was üblich ist).
Szene 4 ist SQL. Realistisch. Die Hardware im Hintergrund sind v.a. externe Festplatten und USB-Hubs um sie anzuschließen. Realistisch.
Szene 5 ist schwierig. Das mit den Fenstern ist kein einzelner Tastendruck, sondern wiederholtes Drücken der "Fenster zu"-Tastenkombination (unter normalen Betriebssystemen ALT+F4, aber das da ist ein Mäc), realistisch.
Gute Verschlüsselung ist schwer zu umgehen, *falls* das Opfer ein vernünftiges Passwort hat. Gerade auf Mac dürfte damals viele Verschlüsselung nicht gut gewesen sein. Einfacher Passwortschutz des Rechners lässt sich bei bestimmten Systemen z. B. über Firewire umgehen und der Rechner entsperren. Der entsprechende Angriff war spätestens 2004 bekannt, ist auf neueren Macs aber behoben. Es dürfte aber zig andere Möglichkeiten geben, an sowas vorbeizukommen, vor allem wenn es einen nicht stört dass der Besitzer es mitbekommt. Vollverschlüsselung, die sowas unangenehm macht, gab es 2002 nicht wirklich. 2009 gab es da schon deutlich ernsthaftere Sachen, die aber auch nur helfen wenn sie richtig benutzt werden. Das unrealistischste an der Szene war sicherlich die Dreistigkeit.
Die Abfälligkeit ggü. gängiger Verschlüsselung wäre für 2002 vermutlich sogar angebracht, auch wenn die Szene insgesamt etwas übertrieben erschien. Technisch unmögliches wird auch da nicht gezeigt, liegt aber auch daran, dass der eigentliche Angriff nicht gezeigt wurde.
Oh, wenn das Passwort auf einem Zettel steht, der in der Wohnung rumliegt (das war wohl im Buch der Fall), dann ist natürlich die beste Verschlüsselung für'n A...
Bei Szene 6 gefallen mir einige technische Details nicht. Hätte das Bild nicht geflimmert, wäre das absolut realistisch - z. B. VNC des Kameracomputers gehackt. Dass der Hersteller der Überwachungsanlage "filmreife" Software mit Logs und Blink-Blink baut ist absolut realistisch (vergleiche: Windows-Druckersoftware von Billigdruckern), das Logo auch - entweder das ist der Hersteller der Kamerasoftware, oder er hat bei Auslieferung das Logo des Kunden als Deko eingebaut.
Flackern *ohne* Bedienelemente könnte bedeuten, dass unverschlüsselte Funkkameras abgehört werden, Artikel dazu gibts in jedem IT-Nachrichtenmagazin. Flackern mit Bedienelementen... naja, man kann sich Szenarien vorstellen wo das passiert, aber eher unrealistisch. Darüber kann man hinwegsehen. Vielleicht fällt jemandem auch noch ne realistische Erklärung ein.
Szene 7: Könnte auf Wardriving hindeuten, oder einfach Kommunikation mit was-auch-immer-sie-in-den-Keller-gesteckt-haben (vermutlich was ähnliches wie in Szene 3). Wardriving *alleine* gibt aber keinen Zugriff auf den Bildschirm des Rechners, nur auf das Netz.
Das mit dem Handy ist zwar technisch auch machbar, 2002 für Einzelgänger aber vermutlich noch nicht praktikabel. 2009 vermutlich schon, heutzutage auf jeden Fall (jeweils zumindest festzustellen ob jemand telefoniert hat). Mit Hardware für ein paar hundert Euro kann man interessante Dinge tun.
Die Szenen in voller Auflösung würden da evtl. etwas mehr über die angeblich verwendete Software verraten. Ansonsten fehlen auch hier technische Details die den eigentlichen Angriff beschreiben, man sieht nur die Ergebnisse.
Das mit dem Firmenkonto - wieder nur Ergebnisse. Wenn man die Zugangsdaten hat und die Bank keine Zwei-Faktor-Authentifizierung verlangt (viele Länder sind da noch nicht so weit wie DE), geht alles.
Geldwäsche (Konten unter falschem Namen eröffnen etc.) dürfte etwas vereinfacht dargestellt sein, aber das hat nix mit Hacking zu tun, da müsste man Leute fragen die sich damit auskennen.
Auch alte Handys kann man benutzen um Computer übers Handynetz ins Internet zu lassen, man nimmt was man so zur Hand hat. Was die für Symbole benutzen, kommt nur auf den Hersteller an. Vielleicht ist die Stelle ungenau, himmelschreiend unrealistisch ist es nicht. Könnte aber auch echt sein, in vielen Fällen ist faken schwieriger als es richtig zu machen. Das alte Handy haben sie vielleicht genomen, weil man auf einem modernen Smartphone nix interessantes sieht, wenn man es auf diese Art verwendet.
Kurz: Der geschickteste Schachzug war, die Details der eigentlichen Angriffe nicht zu zeigen, sondern nur die Ergebnisse, und die sind durchaus realistisch, evtl. von der Bankingszene (und kleineren Ungenauigkeiten) abgesehen.
Ob die angedeuteten Angriffsarten unbedingt das erste Mittel der Wahl wären, ist jeweils auch noch so eine Frage. Ich fand jetzt keine der Szenen absolut unrealistisch. Für einen Film eine echt gute Leistung.
Gruß Jan