All posts under Hack

WannaCry: Die Exploit-Policy der Behörden ist zum Heulen

Image (adpted) (Image by Markus Spiske)(CC0 1.0) via unsplash_crop

Die Erpressungs-Malware ‚WannaCry‘ legte vergangene Woche eine große Zahl von Computersystemen zeitweise lahm. Darunter waren auch einige Systeme, die in den Bereich kritischer Infrastrukturen fallen, etwa bei der Deutschen Bahn und zahlreichen Einrichtungen des englischen National Health Service (NHS). Mit verantwortlich für dieses Desaster ist der verantwortungslose Umgang der (US-)Geheimdienste mit Software-Schwachstellen und Werkzeugen zu deren Ausnutzung. Die Behörden müssen endlich aufhören, durch Geheimnistuerei und Herrschaftswissen die IT-Sicherheit zu gefährden.

WannaCry legte zahlreiche Computer lahm

Die Schadsoftware ‚WannaCry‘ legte Mitte Mai eine Vielzahl von IT-Systemen in aller Welt lahm. Laut dem Antivirus-Hersteller Kaspersky Labs wurden Rechner in mindestens 74 Ländern befallen. Besonders schwer betroffen war Großbritannien, wo zahlreiche IT-Systeme des NHS infiziert und in der Folge unbenutzbar waren, was für chaotische Zustände in einer Reihe von Krankenhäusern sorgte. Aber auch zahlreiche deutsche Unternehmen und Privatpersonen waren betroffen. Viele Rechner der Deutschen Bahn wurden durch ‚WannaCry‘ lahmgelegt, was teilweise zu (außergewöhnlich viel) Chaos und Verspätungen im Bahnverkehr führte.

‚WannaCry‘ gehört zur Kategorie der sogenannten Ransomware. Dabei handelt es sich um einen (aktuell nach einer mehrjährigen Flaute wieder sehr populären) Typ von Schadsoftware, der die Daten auf infizierten Geräten verschlüsselt. Nur nach Zahlung eines bestimmten Betrages (meist, wie auch bei ‚WannaCry‘, in Form von BitCoins oder anderer Krypto-Währung zu entrichten) wird den Betroffenen das Passwort zur Entschlüsselung zugeschickt. Daher stammt auch der Name: „Ransom“ ist das englische Wort für eine Lösegeld-Forderung, beispielsweise auch bei entführten Personen.

Schadsoftware aus den Laboren der NSA

Bei ‚WannaCry‘ handelt es sich nicht um irgendeine Standard-Schadsoftware aus einem russischen Trojaner-Baukasten. Die Vorarbeit für den Schädling wurde vielmehr vom US-Geheimdienst NSA geleistet. Die Behörde deckte die zugrunde liegende Windows-Schwachstelle auf und entwickelte auch ein Software-Werkzeug für deren Ausnutzung, einen sogenannten „Exploit“ (von englisch „to exploit“: ausbeuten, ausnutzen).

Dieser Exploit, Codename ‚Eternalblue‘ (womöglich eine lustige Anspielung auf Windows-Bluescreens?) diente dem Ziel, unbemerkt in die Rechner von Zielpersonen einzudringen. Er funktionierte auf Windows-Versionen von XP bis Server 2012 zuverlässig.

Vor Kurzem wurde ‚Eternalblue‘ zusammen mit einer ganzen Sammlung von NSA-Schadsoftware von der Hackergruppe „Shadow Brokers“ geleakt. Die Verantwortlichen hinter ‚WannaCry‘ mussten also nur noch eine entsprechende „Nutzlast“ schreiben, die Schaden auf den betroffenen Rechnern anrichtet – eine technisch eher triviale Aufgabe – und hatten die nun bekannt gewordene, potente Waffe in der Hand.

‚WannaCry‘ zeigt Baustellen bei der IT-Sicherheit auf

‚WannaCry‘ und der dadurch angerichtete Schaden zeigen eine ganze Reihe von aktuellen Problemen im Bereich der IT-Sicherheit auf, vom Umgang mit Ransomware über die Absicherung kritischer Infrastrukturen bis hin zur Tatsache, dass vielfach auch an wichtigen Stellen veraltete Betriebssysteme verwendet und Updates zu spät oder gar nicht aufgespielt werden.

Der Haupt-Diskussionspunkt aber ist ein anderer: der Umgang der Behörden, namentlich in diesem Fall der CIA und NSA, mit Software-Schwachstellen und Materialien zu deren Ausbeutung. ‚WannaCry‘ hat wieder einmal gezeigt, dass derartiges Wissen von den Behörden unter Verschluss gehalten wird.

Die Behörden müssen ihr Verhalten ändern

Wenn die Behörden sich benehmen wie IT-Kriminelle, indem sie Wissen über Sicherheitslücken für sich behalten und, statt gegen Angriffe auf Rechnersysteme vorzugehen, selbst Schadsoftware entwickeln, kann nichts Gutes dabei herauskommen. Es ist eine dumme, gefährliche Illusion, zu glauben, dass entsprechende Sicherheitslücken nicht früher oder später auch Kriminellen in die Hände fallen, sei es, weil diese unabhängig zum selben Forschungsergebnis kommen (auch in diesen Kreisen ist eine große Menge an Know-How vorhanden) oder weil, wie im Falle von ‚Eternalblue‘, die Behörden-Schadsoftware in unbefugte Hände fällt.

Für die Sicherheit der Bevölkerung ist es von großer Bedeutung, dass Sicherheitslücken in populärer Software, einmal entdeckt, sofort an die Hersteller der betroffenen Programme weitergeleitet werden, damit diese sie per Update beheben können. Von dieser Politik der „Responsible Disclosure“ dürfen auch Behörden nicht länger ausgenommen sein. Ebenso müssen die Geheimdienste aufhören, Staatstrojaner und andere Schadsoftware zu entwickeln. Allzu leicht fallen diese in die falschen Hände oder reißen durch fehlerhafte Konfiguration Sicherheitslücken auf den betroffenen Systemen auf. Wie ‚WannaCry‘ deutlich gezeigt hat, führt das Zurückhalten von sicherheitsrelevanten Informationen und heimliche Basteln mit Schadsoftware durch die Behörden keineswegs zu mehr Sicherheit – im Gegenteil.

Microsoft fordert Behörden zum Umdenken auf

Mittlerweile setzen sich auch namhafte Software-Unternehmen für ein verantwortungsbewussteres Handeln der Behörden ein. So fordert etwa US-Softwaregigant Microsoft, die Behörden müssten gefundene Sicherheitslücken künftig schnellstmöglich den betroffenen Software-Unternehmen melden, statt sie „zu horten, zu verkaufen oder auszunutzen“.

Hoffentlich wird diese einflussreiche Schützenhilfe in absehbarer Zeit ein Umdenken auslösen. Die einzige Möglichkeit, mit einer Software-Sicherheitslücke verantwortungsbewusst und zum Besten der Nutzergemeinde umzugehen, ist, ihre zeitnahe Behebung zu ermöglichen. Alles andere ist ein gefährliches Spiel mit dem Feuer. Das hat ‚WannaCry‘ noch einmal nachdrücklich gezeigt.

 


Image (adapted) by Markus Spiske  (CC0 Public Domain)


Weiterlesen »

Leaks und Fake News bei der Frankreich-Wahl

Frankreichleaks

Im Umfeld der französischen Präsidentschaftswahl wurden angebliche Leaks über den Kandidaten Emmanuel Macron gepostet. Den Wahlausgang konnten sie nicht nachhaltig beeinflussen. Sie zeigen aber zweifellos, wie kompliziert das Internet und die Suche nach der Wahrheit mittlerweile geworden sind. Das sollte uns natürlich nicht dazu bewegen, die Suche nach der Wahrheit aufzugeben – wohl aber dazu, Informationen und die Motive ihrer Urheber und derjenigen, die sie weiter verbreiten, stets kritisch zu hinterfragen.

Leak gegen Emmanuel Macron

In Frankreich wurde gewählt. Nachdem der parteilose Kandidat Emmanuel Macron und Marine Le Pen von der rechtspopulistischen Front National aus dem ersten Wahlgang als stärkste Kandidaten hervorgegangen waren, kam es zwischen ihnen am 7. Mai 2017 zu einer Stichwahl. Diese konnte Macron deutlich für sich entscheiden und wird somit nun das höchste Staatsamt in Frankreich bekleiden.

Das Wahl-Wochenende wurde allerdings von einigen spektakulären und chaotischen Meldungen überschattet. Im Internet tauchten große Mengen geleakter Dokumente über Macron, erbeutet in einem „spektakulären Hacker-Angriff“. Publiziert wurden diese von der „En Marche!“-Bewegung. Deren Identität ist unklar – Verbindungen zu WikiLeaks stellten sich bald als Gerücht heraus – doch es wird vermutet, dass sie rechtspopulistischen Bewegungen nahe stehen. Weiter verbreitet wurden die Dokumente jedenfalls ganz gezielt von Macrons politischen Gegnern.

Spekulationen, dass der Hack von russischen Kräften initiiert wurde – womöglich von denselben, die auch die US-Wahlen durch gezielte Leaks gegen Hillary Clinton zu beeinflussen versuchten – haben eine gewisse Plausibilität, lassen sich aber aktuell nicht endgültig beweisen.

Veröffentlichungs-Verbot

Den französischen Medien wurde untersagt, über die Leaks zu berichten. Auch Macron selbst und seine politische Gegnerin Le Pen durften sich nicht dazu äußern. Dabei handelt es sich allerdings nicht um eine sinistere Zensurmaßnahme. In Frankreich hat es vielmehr Tradition, dass in den letzten Stunden vor der Wahl keine politische Diskussion mehr stattfinden darf.

Zudem, so die französische Wahlkommission, enthalte der Leak falsche oder zumindest auf die Schnelle nicht überprüfbare Informationen. Das ist zweifellos richtig. In dem gigantischen Datenpaket finden sich sogar Dokumente, die Macron gar nicht direkt betreffen. Andere bedürfen einer wochen- oder gar monatelangen Recherche, um die Relevanz und den Wahrheitsgehalt zu überprüfen.

Ein taktisch günstiger Moment?

Was also bezweckte dieser Leak – und warum wurde er so kurz vor der Wahl an die Öffentlichkeit gebracht, obwohl der dahinter stehende Hackerangriff wahrscheinlich bereits Anfang April erfolgte?

Die wahrscheinlichste Antwort lautet, dass es sich um eine taktische Entscheidung von Leuten handelte, die Macron nicht gerade wohl gesonnen sind. Auch und gerade, wenn der Leak wenig inkriminierendes Material hergibt, stiftet seine Präsentation so kurz vor der Wahl und ohne Möglichkeit zur Stellungnahme reichlich Verwirrung. Dass Macron sich – wie viele andere Akteure in Zeiten des Internet – bereits zuvor mit Fake News und Desinformation herumschlagen musste – so wurde ihm ohne belastbare Anhaltspunkte Steuerhinterziehung unterstellt – macht dieses Szenario noch wahrscheinlicher.

Rund um die Vorfälle entwickelten sich schnell allerhand abstruse Theorien. Gerade über die Rolle der Russen wurde hitzig diskutiert. In vielen Fällen waren die vertretenen Thesen wohl eindeutig ins Reich der Verschwörungstheorien einzuordnen. Für eine sachliche politische Diskussion sorgte all das nicht gerade.

Kritisch bleiben – auch gegen Leaks

Auch wenn der Ausgang der Wahl letztendlich nicht beeinflusst wurde, sind die Geschehnisse in Frankreich sowohl interessant als auch Besorgnis erregend. Klar ist: Leaks sind eine effektive Waffe gegen Machtmissbrauch und unangemessene Geheimnistuerei von Regierungen und anderen Führungspersönlichkeiten.

Wie jedes Werkzeug kann allerdings auch dieses missbräuchlich eingesetzt werden. Genau das ist wohl im vorliegenden Fall geschehen. Wo Leaks nicht mehr der Suche nach der Wahrheit, sondern im Gegenteil nur noch der Desinformation und dem Anschwärzen missliebiger Personen dienen, verfehlen sie ihren eigentlichen Zweck meilenweit. Das müssen wir anprangern.

Der Fall Macron zeigt, wie wichtig es ist, Nachrichten kritisch zu hinterfragen und angeblichen Leaks ebenso wie jeder anderen Information zunächst mit Skepsis zu begegnen. Medienkompetenz war nie schwerer – doch sie war auch nie wichtiger.


Image (adapted) „227710“ by Gandosh Ganbaatar (CC0 Public Domain)


Weiterlesen »

Der Hack der Referendumspetition zeigt, dass sogar die Demokratie getrollt werden kann

Stupid Computer (adapted) (Image by James Lee [CC BY 2.0] via Flickr)

Die dem Parlament vorgelegte elektronische Petition, die ein erneutes Referendum über den Austritt Großbritanniens aus der Europäischen Union fordert, ist eine bemerkenswerte Entwicklung der digitalen Demokratie. Die Zahl der Unterzeichner hat die vier Millionen bereits überschritten – wie viele wären notwendig, um aus der Petition eine legitime Form des Massenprotestes zu machen, die eine politische Antwort verdient? Es ist mit Sicherheit das bedeutendste Beispiel für Clicktivism, das die Welt je gesehen hat. Das Internet hat die Petition von einem umständlichen Papierstapel in ein Echtzeit-Messgerät der Unzufriedenheit derer verwandelt, die zu viel zu tun haben, um sich persönlich zu treffen und Banner zu bemalen und zu marschieren, aber dennoch engagiert genug sind, um einem Link auf Facebook zu folgen. Eine Online-Petition kann ein virales Vergeltungsinstrument sein, wie die Kontroverse um die Erschießung des Gorillas Harambe im Zoo von Cincinnati zeigte. Obwohl die Eltern des Jungen, der in das Gorillagehege gefallen war, von den Vorwürfen der vernachlässigten Aufsichtspflicht freigesprochen wurden, hatten viele Menschen das Gefühl, dass die Ermittlungen gegen die afroamerikanische Familie überhaupt erst aufgrund einer rassistisch motivierten Petition aufgenommen wurden. E-Petitionen sind eine legitime Form des Protestes mit einigen bemerkenswerten Erfolgen: Sie haben BBC Radio 6 Music gerettet und sorgten für die Nominierung von Malalai Joya für den Nobelpreis. Allerdings scheinen sie auch verstärkt anfällig für Missbrauch und Manipulation zu sein. Das britische Unterhaus untersucht nun die Möglichkeit, dass 77.000 Unterschriften für ein zweites Referendum für die Neuverhandlung mit der EU über einen Brexit durch Betrug zustande kamen, da eine Vielzahl von Unterzeichnern aus Ländern wie Ghana und Nordkorea stammten – wohl kaum Hochburgen einer pro-europäischen Geisteshaltung. Der verräterischste Hinweis waren vermutlich die 39.000 Unterschriften aus dem Vatikan, der lediglich eine Gesamtbevölkerungszahl von 800 hat.

Laut der früheren Parlamentsabgeordneten Louise Mensch von der Tory-Partei waren die Verantwortlichen für diesen Betrug keine technisch versierten, leidenschaftlichen „Remainer“, die die Grenzen der demokratischen Legalität austesteten, sondern eine undurchsichtige Gruppe von unzufriedenen 4chan-Usern. Die Webcommunity 4chan hat ungefähr 22 Mio. Nutzer im Monat, die anarchische, geschmacklose, clevere und manchmal giftige Kommentare abgeben. Während viele Internet-Memes wie „lolcat“ und das „Rickrolling“ von der 4chan-Community erfunden wurden, gibt es auch eine gut dokumentierte dunkle Seite – beispielsweise der Diebstahl und die Verbreitung intimer Fotos von Prominenten. Dass diese Petition gehackt wurde, zeigt einen besorgniserregenden Trend – es werden nicht mehr nur Individuen ins Visier genommen, sondern versucht, die Politik zu beeinflussen. Während der Europameisterschaft in Frankreich 2016 wollten russische Regierungsmitglieder nachweisen, dass russische Fans in Marseille von englischen Fans provoziert worden waren – aber die Twitter-Posts, die als Beleg angegeben wurden, stammten von Fake-Accounts. Britische Geheimdienste deuteten an, dass die Spur in den Kreml führe. Der russische Präsident Wladimir Putin betrachtet Hacking, Propaganda und die Manipulation der Medien als zentrale Bestandteile seiner hybriden Kriegsführung gegen den Westen. Wie der Islamische Staat gezeigt hat, können die sozialen Medien nicht nur zu Propagandazwecken genutzt werden, sondern als Waffe, mit der sich weltweit Terror verbreiten lässt. Das erklärt immer noch nicht so ganz, warum die User von 4chan die Demokratie untergraben wollen. Vielleicht ist die Antwort im Forum der Seite zu finden, das den unverfänglichen Namen „/b/“ trägt. Der Wissenschaftler Jamie Bartlett von der Ideenfabrik Demos identifiziert /b/ als einen Teil des Dark Net, der als Basis für die Art von extremem, aggressivem Trolling dient, das die 4chan-Nutzer einen „Life Ruin“ nennen. Life Ruins sind Streiche, deren Intensität und technischer Einfallsreichtum das Leben der Zielperson so gut wie komplett zerstören können. Obwohl /b/ nur einen kleinen Teil der Aktivitäten auf 4chan ausmacht, vermittelt es doch einen realistischen Eindruck von der Art von Grausamkeit, die stattfinden kann. Also war es vielleicht nur eine Frage der Zeit, bis Menschen mit solchen Einstellungen unvermeidlich gemeinsame Sache mit denjenigen machen, die eine ruchlose politische Agenda verfolgen. Das Trollen der Demokratie in Form der gehackten Referendumspetition ist vergleichsweise kaum mehr als ein Streich. Es ist offensichtlich, dass die Demagogie weltweit zunimmt. Insbesondere das unbedachte Referendum im Vereinigten Königreich hat gezeigt, dass die öffentliche Meinung ganz einfach durch falsche Informationen beeinflusst werden kann. Während die Zahl der gefälschten Unterschriften relativ klein ist, richtete ihr Vorhandensein großen Schaden an: Diese 77.000 Spam-Unterschriften haben die Rechtmäßigkeit der restlichen 4 Millionen Unterschriften in Frage gestellt und ließen uns an ihrer Macht zweifeln. (Anm. d. Red.: Mittlerweile hat sich die EU dazu entschieden, kein erneutes Referendum zuzulassen.) Dank Demagogen wie Nigel Farage von UKIP und dem US-Präsidentschaftskandidaten Donald Trump, die aus den Vorurteilen und den falschen Vorstellungen der Menschen Kapital schlagen, und Politikern wie Michael Gove oder Boris Johnson, die sich über die Welt der Fakten und Experten lustig machen, besteht die Möglichkeit, dass das Trolling im Internet eine völlig neue Dimension erreicht. In Wirklichkeit war Cyber-Mobbing nie virtuell. Seine Auswirkungen waren immer greifbar und gewalttätig, nur sind sie jetzt aus den Schatten hervorgetreten und auf einer nationalen Ebene spürbar. Wenn ein Land von einer falschen Statistik auf einer Werbefläche auf einem Bus überzeugt werden kann, dann stellen Sie sich vor was passiert, wenn den Witzbolden auf 4chan bewusst wird, dass die Trolle sich nicht länger unter der Brücke zu verstecken und auf ihre Opfer zu warten brauchen, sondern dass sie jetzt die nationale Bühne betreten und ihren Platz neben Farage, Trump, Le Pen und all den anderen Monstrositäten unserer neuen Politik des Hasses einnehmen können. Dieser Artikel erschien zuerst auf „The Conversation“ unter CC BY-ND 4.0. Übersetzung mit freundlicher Genehmigung der Redaktion.


Image (adapted) „Stupid Computer!“ by James Lee (CC BY 2.0) 


Weiterlesen »

FollowUs – Die Netzpiloten-Tipps aus Blogs & Mags

Follow me

  • APPLE sueddeutsche: Apple wirft App aus dem Store, die zeigt, ob Ihr iPhone gehackt wurde: Wurde das eigene iPhone gehackt? Diese Frage konnten Nutzer nun für knapp eine Woche beantwortet bekommen. Nun allerdings nicht mehr. Die App „System and Security Info“ von der Firma Sektion Eins aus Köln wurde aus dem App-Store entfernt. Innerhalb kürzester Zeit gelang es der App in mehreren Ländern auf Platz Eins der App-Charts zu landen. Den Grund für die Verbannung lässt Apple unkommentiert und verweist auf zwei Klauseln.

  • FACEBOOK thenextweb: Facebook wants to personalize emoji with your face: Nun kann aus vieler Leute Traum, vielleicht schon bald die Realität werden – Das eigene Gesicht als Emoji. Facebook testet wohl nach einer Möglichkeit, dass Nutzer ihre eigenen Bilder als Emoji nutzen können. Das Patent dazu wurde schon eingereicht. In Zukunft könnten uns also individuelle Smileys über den Weg laufen als ein „Daumen hoch“ oder ein Grinse-Smiley.

  • GOOGLE Wired: Chrome wird Adobe Flash künftig standardmäßig blockieren: Der Flash Player wird von Googles Chrome-Browser bald auf kaum einer Website mehr unterstützt. Damit verfolgt das Unternehmen weiter seinen Plan, HTML5 zum Standard zu machen. Google verspricht sich dadurch ein „integrierteres mediales Erlebnis mit schnelleren Ladezeiten und einem geringeren Energieverbrauch“. Nur Top-Websites können die Sperrung noch zeitweilig umgehen.

  • BANKEN Gründerszene: Sparkassen starten Bargeld-Lieferservice: Sätzen wie „Bitte 250€ an die Bahnhofsstraße 8“ könnten wir schon bald öfters zu hören bekommen. Warum? Bayrische Sparkassen wollen Bargeld bequem zu den Einheimischen liefern. Der Grund ist naheliegend: In diesem Jahr sollen in vielen Regionen Bayerns ca. 220 Filialen geschlossen werden. Gerade die etwas ältere Generation würde dadurch sehr lange Wege auf sich nehmen müssen. Der heimische „Geldbote“ soll mit dem Lieferdienst Abhilfe schaffen.

  • POLITIK carta: Nach dem Generationenstunk. Plädoyer für einen neuen Politikstil: Der Politikstil der Babyboomer ist am Ende. Und bei den Jungen mangelt es an der Bereitschaft, sich selbst in die notwendigen Kämpfe um die gesellschaftliche Ordnung einzumischen. Es fehlt die praktische Utopie, die den Weg nach vorne zeigen könnte. Das ist gefährlich, denn die Sehnsucht nach dem Befreiungsschlag bereitet den Nährboden für Populisten. Um den Status Quo zu verändern, braucht es deshalb eine breite transformative Allianz.


Image chalabala / 123RF Lizenzfreie Bilder


Weiterlesen »

Was bei einem gehackten Twitter-Account zu tun ist

Laptog (image by geralt [CC0 Public Domain] via flickr)

Montagnachmittag wurde der Twitter-Account des Münchner Tech-Blogs CHIP Online von einem Unbekannten gehackt. Dieser twitterte dann unter dem Namen von CHIP Online lauter Unsinn. Die Redaktion kam wohl noch einmal mit dem Schrecken davon, denn solch ein Fall kann auch weitaus schlimmer ausgehen. Wenn das einem Twitter-Nutzer passiert, sollte dieser schnellstens aktiv werden und folgende Schritte durchführen.

Hat ein Dritter das eigene Twitter-Konto gehackt, kann man sich unter Umständen vielleicht auch noch selber anmelden. Dann sollten Nutzer folgendermaßen vorgehen:

  1. Zuerst muss das Passwort geändert werden. Dazu muss unter “Einstellungen” (Zahnrad-Symbol) der Menüpunkt “Passwort” aufgerufen werden. Jetzt können Nutzer das Passwort ändern, indem sie das alte Passwort angeben und dann zweimal das neue Passwort bestätigen.

  2. Durch den Hack das Twitter-Accounts können Dritte auch Zugang zum E-Mail-Account des Nutzers erhalten haben, weshalb gleich auch das Passwort für das E-Mail-Konto geändert werden muss. Dies ist von Mail-Anbieter zu Mail-Anbieter unterschiedlich und muss individuell versucht werden.

  3. Inzwischen melden sich immer mehr Nutzer mit Twitter auch für andere Dienste an oder erlauben Apps den Zugriff auf das eigene Nutzerkonto. Beides ist keine gute Idee. Ebenfalls unter dem Menüpunkt “Einstellungen” kann der durch einen Klick auf “Apps” gesehen werden, welche Apps Zugriff haben und einem unbekannte Dienste entfernt werden.

Natürlich können Hacker auch bereits das Passwort des Twitter-Konto geändert haben und die obere Anleitungen nützt einem gar nichts mehr. Dann helfen nur noch diese beiden Schritte:

  1. Beim Versuch sich einzuloggen, können Nutzer das alte Passwort zurücksetzen, ein neues Passwort beantragen und Twitter sendet dem Nutzer eine Mail zum Festlegen des neuen Passworts zu.

  2. Im äußersten Notfall hilft nur noch den Support von Twitter zu kontaktieren und den Vorfall in all seinen Details zu schildern. Dies kann aber ein paar Tage in Anspruch nehmen.


Teaser & Image “Passwort” by geralt (CC0 Public Domain)


CHIEF-EDITOR’S NOTE: Wenn Ihnen unsere Arbeit etwas wert ist, zeigen Sie es uns bitte auf Flattr oder indem Sie unsere Reichweite auf Twitter, Facebook, Google+, Soundcloud, Slideshare, YouTube und/oder Instagram erhöhen. Vielen Dank. – Tobias Schwarz

Weiterlesen »

Hacking Team: Hackt die Hacker – überwacht die Wächter!

A modern hacker #1 (adapted) (Image by Davide Restivo [CC BY-SA 2.0] via Flickr)

Der Hack des Überwachungssoftware-Anbieters Hacking Team ist nicht nur technisch interessant – er kann uns auch gesellschaftlich und politisch vieles lehren. Der italienische Überwachungssoftware-Anbieter Hacking Team wurde seinerseits Opfer eines Hackerangriffs. Große Mengen interner Daten wurden von den Angreifern kopiert und anschließend im Internet veröffentlicht. Die geleakten Daten geben Einblick in das zutiefst unmoralische Verhalten von Hacking Team, das wohl typisch für die Branche ist. Insofern ist der Leak eine Chance: Die Gesellschaft sollte endlich erkennen, wie problematisch diese Branche ist, und sich dafür einsetzen, dass derartige Unternehmen geächtet werden.

Aus Hacking Team wird Hacked Team

Bereits am vergangenen Montag wurde bekannt, dass der italienische Überwachungssoftware-Anbieter Hacking Team seinerseits Opfer eines Hacker-Angriffs wurde. Die Angreifer kopierten über 400 GB an internen Daten (darunter Überwachungsprotokolle, technische Dokumentation, Rechnungen, interne E-Mails sowie ein Spreadsheet mit Details über Kunden des Unternehmens).

Nach Bekanntwerden des Vorfalls warnte Hacking Team seine Kunden, im Einsatz befindliche Software zu deaktivieren, während untersucht wird, welche Daten kompromittiert wurden.

Alles andere als ein sauberes Unternehmen

Hacking Team ist in vieler Hinsicht ein typischer Vertreter der Überwachungsindustrie – einer zutiefst problematischen Branche. Das Unternehmen bietet Software an, die der Infiltration von IT-Systemen und der Überwachung von deren Nutzern dient. Dabei werden meist Sicherheitslücken in populärer Software (im konkreten Fall etwa ein Zero-Day-Exploit im Adobe Flash Player, den Adobe nun schnellstmöglich durch ein Sicherheitsupdate beheben will) ausgenutzt. Hacking Team verkauft diese Software und das zugehörige Know-How an Regierungsbehörden.

Allerdings bietet das Unternehmen seine Dienste nicht nur westlichen Regierungen an. Unter den Kunden sind auch autoritäre Regimes, die sich bekannter Maßen Menschenrechtsverletzungen schuldig machen, wie Ägypten, Äthiopien, Kasachstan, Saudi-Arabien und der Sudan. Hacking Team hatte derartige Geschäfte mit autoritären Staaten – in denen derartige Software häufig gegen Aktivisten, Dissidenten und Journalisten eingesetzt wird – in der Vergangenheit stets abgestritten. Nun wird deutlich, dass das Unternehmen diesbezüglich gelogen hat.

Hacking Team ist dabei in Fachkreisen keineswegs unbekannt: Die Pressefreiheits-NGO “Reporter ohne Grenzen” nannte das Unternehmen bereits Anfang 2014 einen der “Feinde des Internets”.

Eine Goldgrube für IT-Sicherheitsexperten

Die bei dem Hack geleakten Daten sind für IT-Sicherheitsforscher eine wahre Goldgrube. Es lassen sich äußerst interessante Rückschlüsse auf das Vorgehen des Unternehmens und ausgenutzte Sicherheitslücken ziehen. Diese Informationen dürften das IT-Sicherheitsniveau im Netz auf mittlere und lange Sicht verbessern, da sie es ermöglichen, effektivere Verteidigungen gegen derartige Angriffe zu entwickeln und die in den Daten dokumentierten Sicherheitslücken zu schließen (wie es im Falle des fraglichen Flash-Exploits wohl schon bald geschehen wird).

Stoppt Hacking Team und den Rest der Branche!

Noch interessanter, als die aus der Causa Hacking Team zu lernenden, technischen Lektionen sind aber die gesellschaftlichen und politischen. Das zutiefst unethische Verhalten von Hacking Team, seine Geschäfte mit Unrechtsregimes und seine Lügen, sollten Grund genug sein, das Unternehmen und die ganze Branche entschieden zu bekämpfen. Noch immer sind Restriktionen und Kontrollen für derartige Firmen viel zu lax, weil die Regierungen von diesen Unternehmen immerhin erheblich profitieren. Es wird Zeit, massiven politischen Druck auszuüben, um diese Situation zu ändern.

Die geleakten Informationen bestätigen dabei die über ein Jahr zurückliegende Einschätzung des Unternehmens von “Reporter ohne Grenzen” – und zeigen damit, was für eine wichtige Arbeit diese und ähnliche NGOs machen. Wir sollten sie mehr unterstützen und öfter auf sie hören.

Hacking Team geht vor wie eine Gruppe gewöhnlicher Cyberkrimineller – und verkauft seine Dienste an Menschen, die den üblichen Gangsterbossen in punkto Skrupellosigkeit in nichts nachstehen. Alleine die Kooperation mit Regierungsbehörden und der Anschein eines legalen, respektablen Unternehmens unterscheiden die Firma von einem handelsüblichen Syndikat von Cybergangstern. Wollen wir diese Unterscheidung wirklich treffen? Oder wollen wir nicht vielmehr aufhören, Regierungen und ihren Zuträgern derart weitreichende Sonderrechte auf Kosten unserer Menschenrechte einzuräumen? Ich würde sagen: Es ist Zeit, Hacking Team und ähnliche Unternehmen wie die Kriminellen zu behandeln, die sie sind.


Image (adapted) “A modern hacker #1” by Davide Restivo (CC BY-SA 2.0)


 

Weiterlesen »

5 Lesetipps für den 8. Januar

In unseren Lesetipps geht es heute um #JeSuisCharlie, Facebook und die Pegida, Google und das Urheberrecht, einen neuen Meilenstein für WhatsApp und einen Hacker-Angriff auf die Websites von Angela Merkel und dem Bundestag. Ergänzungen erwünscht.

#JeSuisCharlie

  • JE SUIS CHARLIE Irgendwie jüdisch: #JeSuisCharlie – Gedanken zum Anschlag auf Charlie Hebdo in Paris: [Linktipp von Tobias Schwarz] Worte können den Verlust nicht beschreiben, den wir gestern in Paris erlitten. 12 Menschen wurden umgebracht, weil sie Meinungsfreiheit nicht nur forderten, sondern tagtäglich praktizierten oder Menschen schützten, damit sie dies tun können. Die ermorderten Journalisten und Polizisten standen schon durch ihre Berufswahl symbolisch für Freiheit, ihr Schicksal hat dies nur unterstrichen. Viel wird über den Terroranschlag geschrieben, doch keine Meldung oder Analyse war es meiner Meinung nach wert, wirklich gelesen zu werden. Ganz anders die Worte einer meiner liebsten Bloggerinnen, die es in dieser dunklen Stunde schafft, sich für mehr Freiheit auszusprechen und damit zumindest mir mehr Mut machte. Diese Worte habe ich gestern gebraucht. Vielleicht helfen sie dem ein oder anderen Leser auch heute noch. Je suis Charlie.

  • SOCIAL MEDIA Spiegel Online: Sascha Lobo über Facebook, Pegida und die AfD: Mehr als 120.000 „Gefällt mir“-Angaben kann Pegida auf Facebook versammeln und erreicht damit fast 50.000 Likes mehr als die SPD. Das soziale Netzwerk entwickelt sich so zum Forum der politisch Unzufriedenen, meint Sascha Lobo auf Spiegel Online. So erweist sich Facebook als ein guter Kanal, um politische Massenunzufriedenheit zu bündeln. Damit zeigt Pegida, dass durch die sozialen Medien Politik beeinflusst werden kann. 

  • URHEBERRECHT FAZ: Urheberrecht im Internet: Google und Piraten: Im vergangen Jahr erhielt der Suchmaschinengigant Google so viele Anfragen zur Löschung von Links wie noch nie. Ganze 345 Millionen Links zu Downloads von urheberrechtlich geschützten Materials wurden zur Löschung von den Rechteinhabern angefragt. Ein neuer Höchststand, sind alleine vom Jahr 2013 zu 2014 die Anfragen um 75 Prozent gestiegen. Doch auch, wenn Google so stark in die Suchergebnisse eingreift, fordern viele Urheberrechteinhaber eine höher Verantwortung und ein höheres Zuständigkeitsgefühl des amerikanischen Unternehmen.

  • WHATSAPP Golem: Messenger: Whatsapp hat 700 Millionen Nutzer: Mit nun insgesamt 700 Millionen Nutzern kann WhatsApp einen weiteren Meilenstein vorweisen. Gleichzeitig zeigt dieser aber auch, dass das Wachstum damit langsamer wird. So habe der Messaging-Dienst für den Sprung von 600 auf 700 Millionen Nutzern sechs Monate gebraucht, von 500 auf 600 Millionen jedoch nur vier Monate. Bis Mark Zuckerberg mit WhatsApp Geld verdienen möchte, wird es somit noch ein wenig dauern. Der Facebook-Gründer hatte angekündigt erst ab einer Milliarde Nutzer zu versuchen, WhatsApp zu monetarisieren.

  • HACK Spiegel Online: Bundestag und Angela Merkel: Websites wegen Hackern nicht erreichbar: Zum Besuch des ukrainische Ministerpräsidenten Arseni Jazenjuk in Berlin hat die pro-russische, ukrainische Hackergruppe CyberBerkut die Websites von Bundeskanzlerin Angela Merkel, des Auswärtigen Amtes und des Bundestags mit einer DDoS-Attacke lahmgelegt. Ein „schwerer Angriff“ wie Regierungssprecher Steffen Seibert betont, der aber nicht der Erste ist. Bereits letztes Jahr hatte das Hackerkollektiv, welches zu den größten Hackergruppen im Ukrainie-Konflikt gilt, die Website der Nato lahmgelegt.

Die morgendlichen Lesetipps und weitere Linktipps am Tag können auch bequem via WhatsApp abonniert werden. Jeden Tag informiert dann Netzpiloten-Projektleiter Tobias Schwarz persönlich über die lesenswertesten Artikel des Tages. Um diesen Service zu abonnieren, schicke eine WhatsApp-Nachricht mit dem Inhalt arrival an die Nummer +4917622931261 (die Nummer bitte nicht verändern). Um die Nachrichten abzubestellen, einfach departure an die gleiche Nummer senden. Wir werden, neben dem Link zu unseren morgendlichen Lesetipps, nicht mehr als fünf weitere Lesetipps am Tag versenden.

Nutze Netzpiloten 1-Klick: Mit nur einem Klick werden dir bequem alle 40 Sekunden die hier besprochenen Seiten „vorgeblättert“ START.

Weiterlesen »

Sony kämpft nach Hack um das Vertrauen der Nutzer

Show me the way of hacking (adapted) (Image by Alexandre Dulaunoy [CC BY-SA 2.0] via Flickr)

Ende November wurde Sony Pictures durch einen massiven Hack getroffen. Experten zweifeln nun aber an den Aussagen des Unternehmens, das noch nie viel Wert auf Sicherheit gelegt hat. Das volle Ausmaß des Schadens, den Sony Pictures durch den Hacker-Angriff Ende November erlitten hat, ist immer noch nicht vollständig bekannt. Neben diversen, bisher unveröffentlichten Filmen sind auch die Gehälter der Mitarbeiter, Drehbücher kommender Filme und Passwörter der Mitarbeiter an die Öffentlichkeit gelangt. Sony hat die Attacke als beispiellos, einmalig und nicht bemerkbar bezeichnet. Unabhängige Experten zweifeln nun allerdings daran – vielmehr scheint Sony dadurch zu versuchen, von eklatanten Sicherheitslücken abzulenken, was ein weiterer Hack allerdings erschwert.

Ein großer Hack und die Frage nach dem Ursprung

Vor gut zwei Wochen haben Hacker mit einem Angriff Sony Pictures lahmgelegt. Soweit erst mal nichts allzu ungewöhnliches, zumal gerade Sony in der Vergangenheit bereits des Öfteren Ziel derartiger Angriffe war. 2011 erbeuteten Hacker die Login-Daten für mehrere Online-Dienste wie das PlayStation Network und zwangen die Nutzer zum Ändern der Passwörter. Der letzte Hack unterscheidet sich allerdings im Ausmaß von bisherigen Angriffen. Neben Gehaltslisten, Passwörtern und sogar Filmen, die bisher noch nicht veröffentlicht waren, haben die Hacker Unmengen an Daten erbeutet, deren genaues Ausmaß bisher noch gar nicht bekannt ist, da bis heute fast jeden Tag neue Informationen an die Öffentlichkeit gelangen.

Sony hat schnell Nordkorea als Schuldigen auserkoren. Die verantwortliche Malware ist in koreanischer Sprache programmiert, und als Motiv wird vermutet, dass Kim Jong Un in dem Film „The Interview“ getötet wird, was bei der Regierung nicht gerade für Freude gesorgt hat. Stichhaltige Beweise dafür, dass Nordkorea tatsächlich hinter dem Angriff steckt, gibt es allerdings keine. Die Nordkoreanische Regierung hat die Vorwürfe allerdings wenig überraschend mehrfach dementiert. Experten vermuten jedenfalls, dass die Angreifer hinter dem Sony-Hack die gleichen sind, die schon 2012 mit einer sehr ähnlichen „Wiper-Malware“ 30.000 Computer der Ölfirma Saudi Aramco und im vergangenen Jahr diverse Südkoreanische Banken und Fernsehsender getroffen hat.

Don’t believe the Hype

Und genau diese Vermutung lässt nun große Zweifel an Sonys Aussagen über den Angriff aufkommen. Kevin Mandia, Chef der von Sony für die Untersuchung des Angriffs angeheuerten Sicherheitsfirma Mandiant hat in einem Schreiben erklärt, dass der Angriff „von beispielloser Natur gewesen sei, die Malware von Antivirus-Software, die Industriestandards entspricht, nicht nachweisbar sei und genug Schaden angerichtet hat um das FBI zu veranlassen, andere Unternehmen vor derartigen Attacken zu warnen“. Außerdem fügt er hinzu, dass es ein noch nie dagewesenes und gut durchgeplantes Verbrechen einer organisierten Gruppe war, für das weder Sony Pictures, noch andere Unternehmen vorbereitet wären. Die bereits angesprochenen ähnlichen Fälle sprechen allerdings dagegen.

Vielmehr schleicht sich der Eindruck ein, dass es sich bei der Öffentlichkeitsoffensive um ein Ablenkungsmanöver von den Unzulänglichkeiten in Sachen Sicherheit handelt. So haben Mitarbeiter zum Beispiel Passwörter als Klartext in Word-Dokumenten aufbewahrt. Und dass der damalige Executive Director und heutiger Vice President of Information Security Jason Spaltro 2005 erklärt hat, es sei eine valide Geschäftsentscheidung, das Risiko eines Angriffs in Kauf zu nehmen, untermauert diesen Eindruck. Die Sicherheitsexperten Adam Caudill und Adrian Sanabria haben zudem gegenüber Mashable erklärt, dass selbst wenn Sony die Schadsoftware tatsächlich nicht bemerkt hätte, die daraus resultierenden Aktivitäten die Alarmglocken hätten auslösen müssen. Es sollte eigentlich nicht möglich sein, dass über 40 GB Daten systematisch kopiert und unbemerkt an externe Server transferiert werden – es sei denn, niemand schaut hin.

Scheitern als Chance

Natürlich will Sony mit den Aussagen versuchen, das eigene Image zu wahren und in der Öffentlichkeit nicht als unsicher dazustehen, was auf lange Sicht viele Nutzer vergraulen und Sony in ernste Schwierigkeiten bringen könnte. Doch nachdem die Wogen um den Sony Pictures-Hack immer noch nicht geglättet wurden, steht schon das nächste Unheil ins Haus. Hackern ist es gelungen den PlayStation Store inklusive PSN, wenn auch nur für einen kurzen Zeitraum, lahmzulegen. Das Ausmaß des Schadens, also ob auch Nutzerdaten entwendet wurden, ist bisher allerdings noch unklar.

Sony befindet sich also unter Dauerbeschuss und sollte der Konzern das Thema Sicherheit weiter auf die leichte Schulter nehmen, dürften diese Attacken in Zukunft nicht gerade weniger werden. Gefährlich ist dies für Sony vor allem, da das Unternehmen Gefahr läuft, das Vertrauen der Kunden zu verspielen. Natürlich versucht das Unternehmen, durch Aussagen von angeheuerten Sicherheitsexperten das eigene Image zu schützen, doch dem muss auch ein grundlegender Kurswechsel bei der Sicherheitspolitik folgen. Sollten weitere Hacks folgen wird sicher kaum ein Nutzer bereit sein, seine Daten, inklusive Zahlungsinformationen an die Japaner zu übermitteln und Schauspieler werden sicher auch zwei Mal überlegen in ein Projekt von Sony einzusteigen, wenn später die Telefonnummern und andere vertrauliche Details an die Öffentlichkeit gelangen. Auch wenn das Ausmaß des Schadens noch immer nicht bekannt ist, ist Sony mit einem blauen Auge davon gekommen, muss nun aber an der eigenen Verteidigung arbeiten, um nicht in der nächsten Runde zu Boden zu gehen.


Image (adapted) „Show me the way of hacking“ by Alexandre Dulaunoy (CC BY-SA 2.0)


Weiterlesen »

5 Lesetipps für den 3. September

In unseren Lesetipps geht es heute um Crowdfunding im Journalismus, BuzzFeed, die Startseite, Kritik am Nacktfoto-Hack und die Paywall. Ergänzungen erwünscht.

  • CROWDFUNDING Fachjournalist: Crowdfunding im Journalismus – wenn Leser Magazine mitfinanzieren: Auf Fachjournalist.de schreibt unsere Autorin Katharina Brunner über journalistische Startups. Im ersten Teil ihrer zweiteiligen Artikelserie stand die Finanzierung durch Werbung im Vordergrund. Doch Werbung ist nicht der einzige Weg, um mit Journalismus Geld zu verdienen. Im zweiten Teil ihrer damit beendeten Artikelserie stellt sie journalistische Crowdfunding-Projekte vor, bei denen die Leser die Magazine mitfinanzieren.

  • BUZZFEED Inc.com: The Data Genius Behind Buzzfeed’s Success: Auf Inc.com stellt Christine Lagorio-Chafkin die Geheimwaffe von BuzzFeed vor: Dao Nguyen. Mit fast der gleichen Überschrift habe ich zwar BuzzFeeds Wundermathematiker Ky Harlin schon vorgestellt, aber das ist hier keine Highlander-Situation. Der Erfolg von BuzzFeed kann durchaus auch auf zwei Geheimwaffen beruhen. Nguyen ist bei BuzzFeed für Daten und Wachstum zuständig und hat es geschafft, dass sich de Traffic von BuzzFeed in den letzten zwei Jahren verfünffacht hat. Und auch wenn Journalismus nur eine Facette von BuzzFeed ist, zeigen Leute wie Nguyen, worauf es in Zukunft stärker ankommt.

  • STARTSEITE The Guardian: i100 and Quartz prove homepages are increasingly irrelevant: Auf der Website des The Guardian schreibt der Medienberater Jon Bernstein über die totgesagte Startseite. Quartz hat es mit seinem Redesign erst vor wenigen Tagen wieder deutlich gemacht, die Leser sehen bei ihrem Einstieg in Medien niemals die Startseite als erstes, weshalb die Darstellung jedes einzelnen Artikels wichtig ist, um die Website angemessen zu präsentieren. Doch diese Logik ist die Folge der von mir erst gestern kritisierten Abhängigkeit von sozialen Netzwerken. Jede Seite sollte das Medium als ganzes präsentieren, aber unsere meist aufgerufene Seite ist jeden Tag aufs neue die Startseite. Entweder geht der Medienwandel an uns vorbei (Ha!) oder Startseiten sind und bleiben für Marken eine relevante Seite, wie jede andere Seite auch.

  • NETZKRITIK ReadWrite: For Once, The Entire Internet Isn’t Blaming The Victims Of This Nude Celebrity Photo Leak: Der jüngste Hack samt Veröffentlichung von Nacktfotos zahlreicher Prominente zeigte einmal wieder deutlich, dass absolute Sicherheit eine technische Utopie ist und dass das Internet alles andere als ein für Frauen angenehmer Ort sein kann. In den ersten Reaktionen mischte sich wie immer das Slut-shaming, Victim-blaming und soziale Verurteilung der vom Leak betroffenen Frauen. Doch Helen Popkin schreibt auf ReadWrite über ihre Beobachtung, dass es diesmal auch differenziertere Stimmen gab. Denn nicht das Aufnehmen von privaten Nacktfotos ist ein Verbrechen, sondern der Hack und die Veröffentlichung. Nur Kritik daran, liest man leider selten in Kommentaren.

  • PAYWALL Rhein-Zeitung: So entwickelt sich Rhein-Zeitung.de seit Einführung der verschärften Bezahlschranke: Im Blog der Rhein-Zeitung kommentiert Marcus Schwarze die Auswirkungen der seit August aktiven, verschärften Bezahlschranke. Zwar brachen die Seitenaufrufe um 17 Prozent ein, doch es wurden 430 mehr Tagespässe verkauft – vier Mal so viele wie im Juli. Das klingt zwar nicht danach, dass der eine Paywall rechtfertigende Mehrwert hinter der Bezahlschranke ein Grund für das Plus war, sondern mehr nach Ausnutzung der regionalen Bedeutung der Zeitung, aber Schwarze hat verstanden, dass zu der Paywall mehr Abonnenten-Service gehört, um eine stärkere Bindung mit den Lesern zu erreichen. Mich überzeugt die Paywall zwar immer noch nicht als gangbarer Weg, aber kurzfristig scheinen Online-Medien damit Geld zu verdienen.

Nutze Netzpiloten 1-Klick: Mit nur einem Klick werden dir bequem alle 40 Sekunden die hier besprochenen Seiten „vorgeblättert“ START.

Weiterlesen »

Schon wieder Sony gehackt

Bei SONY weiß man offenbar nicht, dass es Software gibt, die im RAM von Servern sitzt und unabhängig von der Benutzerrolle und ACL einfach bestimmte Zugriffsmuster auf Datenbanken überprüft. Dabei sind vor allem SQL-Injection-Angriffe und das Abgrasen ganzer Nutzerdatenbanken vielfach relativ leicht zu erkennen – wenn man solche Lösungen einsetzt. Da Sony sich aber offenbar mit den Falschen angelegt hat, wird nun beständig das gesamte IT-Personal bei Sony einem Stresstest unterzogen. Und wir hatten es uns gedacht: Die extreme Schludrigkeit, die der eine oder andere Berater selbst fassungslos bestaunen darf, wenn er bei Kunden Details über die dortige IT-Architektur – bzw. Security erfährt, hat einen Namen: Kosten senken. Denn aus Dummheit können die ganzen Lecks bei Sony gar nicht entstehen, oder doch? Sind die Security-Beauftragten wirklich so grün hinter den Ohren. Es ist ja leider bekannt, dass viele Security-Menschen das Netzwerk absichern. Wenn Angriffe aber gar nicht über das Netzwerk kommen, hat man freie Fahrt ins Wochenende…

Heute jedenfalls wurde bekannt, dass die japanische Website, wie bereits die thailändische, indonesische und griechische Site, gehackt wurde. Die Hacker aller Welt machen sich also einen Spaß daraus, die Websites und Netzwerke von Sony abzugrasen, um leichte und leichtere Einfallstore gnadenlos auszunutzen. Wenn Sonys Playstation Network wieder online ist, haben sie sicher Besseres zu tun und zocken weiter BRINK oder Bulletstorm. Bis dahin erreicht der Ruf der IT-Security-Kompetenz bei Sony fast erkennbare Werte.

(via @fefesblog)

Weiterlesen »