Schlagwort-Archive: Security

Spammer droht, mich als Spammer dastehen zu lassen

Ich wundere mich ja immer wieder, wie dreist irgendwelche Arschlöcher versuchen, ihre Mitmenschen übers Ohr zu hauen. Ob jetzt in der analogen Welt mit Enkeltrick oder einem Telefonanruf:

“Hier die Kriminalpolizei, in Ihrer Nachbarschaft hat es Einbrüche gegeben. Auch Sie sind offenbar Ziel der Ganoven. Wir kommen jetzt gleich mal bei Ihnen vorbei, um Ihren Schmuck oder Ihre Bargeldbestände in Sicherheit zu bringen.”

(Ist allen Ernstes bei meinen Tanten so passiert – schade, dass ich nicht da war, sonst hätten wir ja mal drauf eingehen können und ich hätte dem Abholer mein Eisen 6 über die Rübe gezogen…) Aber damit hätte ich mich ja wiederum strafbar gemacht, klar.

Oder in der digitalen Welt mit irgendwelchen Quatsch-Mails: “Reklamieren Sie jetzt sofort ihren bislang nicht abgerufenen Lotto-Gewinn; oder den Nachlass des unglücklicherweise verstorbenen Ministers Wuggo Waggabuggo aus Nigeria…” Die ganzen Analog- und Cyber-Verarscher spekulieren ja auch “nur” auf die Dummheit der Menschen; am liebsten auf die von älteren oder aus anderen Gründen etwas argloseren. Teilweise kommen die Verarscher selbst aus benachteiligten gesellschaftlichen Gruppen (um das mal total “political correct” zu formulieren 🙂 ) oder aus Ländern mit Armut und gesellschaftlichen Problemen. Wahrscheinlich hatten auch viele von den Verarschern eine schwierige Kindheit.

Mein spontaner Impuls ist trotzdem, den Drecksäcken einfach mal so richtig die Fresse zu polieren. Kommen wir mal zu konkreten Beispielen. Die Masche mit dem Erpressungs-Spam:

“Ich habe Ihren Computer gehackt. Und Sie mit Ihrer eigenen Webcam dabei gefilmt, wie Sie beim Besuchen von Porno-Websites vor dem PC onanieren. Herzlichen Glückwunsch, Sie haben einen guten Geschmack! Wenn Sie nicht wollen, dass ich das Splitcam-Video an alle Ihre Kontakte maile, zahlen Sie soundsoviel Bitcoins an die Adresse soundso…”

– die ist ja nun mittlerweile schon etwas älter. So richtig überzeugend ist die Drohung ja auch nicht, wenn man wie ich gar keine Webcam hat. „Isch ‘abe gar keine Auto“ 🙂

Gestern habe ich aber mal einen originellen neuen Erpressungsversuch  bekommen, und zwar als Kommentareintrag auf einem WordPress-Blog:

Autor: Joshuaepimb (IP: 141.98.103.30, 141.98.103.30)
E-Mail: fgedufd@yfgeufds.com
URL:
Kommentar:
Hey. Soon your hosting account and your domain forsttierarzt.de will be blocked forever, and you will receive tens of thousands of negative feedback from angry people.

Pay me 0.5 BTC until June 1, 2019.
Otherwise, you will get the reputation of a malicious spammer, your site forsttierarzt.de will be blocked for life and you will be sued for insulting believers. I guarantee this to you.

My bitcoin wallet:19ckouUP2E22aJR5BPFdf7jP2oNXR3bezL

Here is a list of what you get if you don’t follow my requirements:
+ abuse spamhouse for aggressive web spam tens of thousands of negative
+ reviews about you and your website from angry people for aggressive
+ web and email spam lifetime blocking of your hosting account for
+ aggressive web and email spam lifetime blocking of your domain for
+ aggressive web and email spam Thousands of angry complaints from angry
+ people will come to your mail and messengers for sending you a lot of
+ spam complete destruction of your reputation and loss of clients
+ forever for a full recovery from the damage you need tens of thousands
+ of dollars
All of the above will result in blocking your domain and hosting account for life. The price of your peace of mind is 0.5 BTC.
Do you want this?
If you do not want the above problems, then before June 1, 2019, you need to send me 0.5 BTC to my Bitcoin wallet: 19ckouUP2E22aJR5BPFdf7jP2oNXR3bezL
How do I do all this to get this result:

  1. I will send messages to 33 000 000 sites with contact forms with offensive messages with the address of your site, that is, in this situation, you and the spammer and insult people.

And everyone will not care that it is not you.

  1. I’ll send messages to 19,000,000 email addresses and very intrusive advertisements for making money and offer a free iPhone with your website address forsttierarzt.de and your contact details.

And then send out abusive messages with the address of your site.

  1. I will do aggressive spam on blogs, forums and other sites (in my database there are 35 978 370 sites and 315 900 sites from which you will definitely get a huge amount of abuse) of your site forsttierarzt.de.

After such spam, the spamhouse will turn its attention on you and after several abuses your host will be forced to block your account for life.
Your domain registrar will also block your domain permanently.
All of the above will result in blocking your domain and hosting account for life.
If you do not want to receive thousands of complaints from users and your hosting provider, then pay before June 1, 2019.
The price of your peace of mind is 0.5 BTC.
Otherwise, I will send your site through tens of millions of sites that will lead to the blocking of your site for life and you will lose everything and your reputation as well.
But get a reputation as a malicious spammer.
My bitcoin wallet:19ckouUP2E22aJR5BPFdf7jP2oNXR3bezL

Mal zusammengefasst – das Erpresser-Arschloch droht, wenn ich ihm nicht etwas 🙂 Kohle per Bitcoin-Überweisung rüberschicke, in meinem Namen Millionen andere Webseiten zuzuspammen. Das hätte dann zur Folge, dass meine eigene Website entweder durch Anti-Spam-Blacklists oder sogar durch meinen eigenen Provider abgeschaltet und ich meine Netz-Reputation und meine “Kunden” verlieren würde. Abwenden kann ich das nur, wenn ich dem Erpresser schlappe 3.569,41 Euro (nach aktuellem Bitcoin-Kurs…) zahle. Natürlich hat sich das Erpresser-Arschloch nicht die Mühe gemacht, abzuchecken, ob die Drohung mit dem Reputations- und “Kunden”-Verlust bei einer Website wie “Forsttierarzt”  🙂 plausibel ist. Das Ganze ist genauso ein wohlfeiler Schuss ins Blaue wie die Porno-Webcam-Erpressungsmasche.

Das Erpresser-Arschloch ist sogar saublöd genug, um den Erpressungs-Blogkommentar auch noch wieder zu spammen. Da kam nämlich um 19.32 Uhr der erste Eintrag von:

Joshuaepimb (IP: 141.98.103.30, 141.98.103.30)

E-Mail: fgedufd@yfgeufds.com

Dann um 20.24 Uhr von:

WilliamFex (IP: 137.59.253.16, 137.59.253.16)

E-Mail: geugf@fgeuhfe.com

Dann um 21.40 Uhr von:

PatrickLip (IP: 137.59.253.16, 137.59.253.16)

E-Mail: gudfe@ufguef.com

Und um 22.24 Uhr von:

RichieTew (IP: 137.59.253.16, 137.59.253.16)

E-Mail: guhfue@fygsuf.com

Das heißt, auch wenn ich jetzt vielleicht als etwas minderbemittelter nicht-so-ganz-Checker angesichts des ersten Erpresser-Kommentareintrags verunsichert bin und eventuell sogar mit dem Gedanken spiele, die Kohle rauszurücken – spätestens hier wird mir klar, dass das Erpresser-Arschloch ja ewig weitermachen kann und mich morgen als RäuberHotzenplotz@Hotzenplotz.com und übermorgen als GottDerAllmächtige@GottDerAllmächtige.de weiter erpressen kann. Man kann einen netten, kleinen abgefuckten Erpressungs-Versuch eben auch übertreiben und vermasseln.

Das alles ist natürlich an sich lächerlich. Da hier das Erpresser-Arschloch aber nicht mit einer direkt als Fake durchschaubaren Drohung (wie bei der Onanier-Porno-Variante bei nicht vorhandener Webcam…) droht, sondern mit einer theoretisch tatsächlich beeinträchtigenden Handlung (ich hoffe mal, dass wenigstens Spam-Blacklists nicht auf gefälschte Mail-Header reinfallen…), werde ich jetzt mal Anzeige erstatten. Interessanterweise sind ja Bitcoin-Wallets längst nicht so anonym, wie sich das manche Arschlöcher vorstellen.

Ich werde hier über die Weiterentwicklung berichten; vielleicht landet ja am Ende ein Arschloch (vermutlich mit schwieriger Kindheit…) im Knast. Da glaube ich allerdings selbst nicht so ganz dran. Von daher mal – als Alternative zum Schlag in die Fresse folgendes:

Embed from Getty Images

Ich habe gerade eine Voodoo-Zeremonie durchgeführt. Har, har!!! Du Erpresser-Arschloch und alle deine Verwandten werden nun auf grausamste Weise sterben. Hilfsweise sind auch meine Russische-Mafia-Killer bereits ausgeschwärmt. Erwarte Dein bitteres Ende ab sofort in jeder Sekunde! Har, har, har!!!

Doxing-Affäre war wie erwartet Dummer-Jungen-Streich, bitte Hyperventilation jetzt einstellen

Der letzte, eigentlich vorgesehene Satz in meinem Script für das Netzreporter-Gespräch heute morgen lautete: “Ich persönlich tippe darauf, dass wir da relativ schnell etwas von den Ermittlungsbehörden hören werden.” Und dann kam beim Reingehen ins Studio die Eilmeldung: “Polizei hat Verdächtigen festgenommen”; SPON (und nicht die Witwenschüttler von BILD 🙂 , s.u.) hatte, so der Blick auf den Monitor dann im Studio, schon ein paar Details: Ein 20jähriger Schüler aus Mittelhessen (ein “Mittelhesse” 🙂 also…) war es offenbar, der die Republik für einige Tage in Schnappatmung versetzt hatte.

So richtig prophetische Gaben waren für meine Prognose nicht erforderlich – mit der Durchsuchung bei Jan Schürlein war ja schon klar, dass die Polizei da ziemlich sehr nah am Täter dran war – ich hätte jetzt auch ganz ehrlich gesagt meine Hand nicht ins Feuer gelegt dafür, wie eng da der Zeuge mit dem Urheber der Aktion verbunden war 🙂 und lege auch jetzt in Bezug auf eine eventuelle Mitwisser- oder Mittäterschaft noch nicht meine Hand ins Feuer; das soll man ja bekanntlich auch nie tun – selbst meine Sportreporter-Kollegen halten sich an diese Regel, auch wenn es in der 93zigsten Minute 3-0 steht 🙂

Aber wie dem auch alles sei – dass die ganze Aktion eine totale Luftnummer, ein lächerlicher “Heranwachsenden”-Streich (gottlob bringt das ja Ermäßigungen beim Strafmaß…) war, das war doch von Anfang an klar. Als die ersten Meldungen reinkamen, war ich gerade im Skiurlaub – aber ich hab direkt nach den anfänglichen Informationen gedacht: Das ist keine “Hacking”-Affäre, sondern der ganz normale Alltag – da hat sich bestenfalls jemand annähernd zielgerichtet die Mühe gemacht, die ganz normale Schlampigkeit bei den Passwörtern von “Prominenten” mal auszunutzen.

Ich wiederum hab mir auch noch nicht mal die Mühe gemacht, die Daten-Konvolute runterzuladen. Was interessiert mich, ob ein YouTuber, von dem ich noch nie was gehört habe, sich entgegen seines im Netz postulierten Saubermann-Images für Scat- und Piss-Videos begeistert? Kleiner-Jungen-Kram. Was interessiert mich die private Kommunikation von Grünen-Chef Robert Habeck? Null. Gar nicht. Aber klar – da haben jetzt ein paar zigtausend Leute draufgeguckt – das ist definitiv unangenehm. 

Wie der von Habeck angekündigte Rückzug aus den Social Media zu bewerten ist, da kann man noch lange drüber streiten – fest steht: Eine Pflicht, an dem ganzen Exhibitionismus- und Pseudo-Relevanz-Scheiß teilzunehmen, besteht nicht. Für Normalbürger jedenfalls; wie es bei Spitzenpolitikern aussieht, ist noch mal eine andere Frage. Fazit: Es war überhaupt nix los. Es gab keinen herbeigeschwafelten “Angriff auf die Demokratie”; es gab kein Versäumnis bei Ermittlungsbehörden oder beim BSI oder beim Innenminister. Klar, die Opposition ist natürlich verpflichtet, wohlfeil in die Pseudo-Schwachstelle reinzutröten – schon mal die eigenen Passwörter auf Nachhaltigkeit abgeklopft??

Embed from Getty Images

Klar, die Regierung ist verpflichtet, Pseudo-Gegenmaßnahmen einzuleiten – das Cyber-Abwehrzentrum Plus. Ich mach da bei etwaigem Personalbedarf gerne mit; eine anständige Bezahlung vorausgesetzt, eine gute Pension brauch ich auch noch. Alles Bullshit. Es gab nur den ganz normalen Alltag. Jeden Tag werden Accounts “gehackt”, ob das jetzt Lieschen Müller oder Robert Habeck ist. Aber eines können wir natürlich alle aus der ganzen Sache lernen – es ist ziemlich unangenehm, wenn einem das passiert; zielgerichtet wie im vorliegenden Fall oder einfach zufällig.

Die Plattformen machen dabei auch keine gute Figur – sie sind in dem Dilemma: Account kapern soll nicht so einfach klappen. Den Zugang zu einem Account (nach einem vergessenem oder geklautem Passwort…) wiederherstellen soll aber auch nicht so schwierig sein. Also – wie steht es denn um Ihr Passwort für Ihren Haupt-Mail-Account? Ein Wort, das in einem Wörterbuch steht? (Ich gestehe zu meiner Schande, ich hab so was mal bei einer Freundin von mir, deren Account ich eingerichtet habe, zugelassen. Der wurde dann auch im Dezember “gehackt”…) Ein Geburtsdatum, das sich aus Social-Media-Quellen erschließen lässt? Böse, ganz böse.

Überprüfen Sie das mal. Jetzt. Fügen Sie mal zu Ihrem “leicht zu merkenden” Schrott-Passwort (das Sie aber eh nicht jedesmal neu eingeben müssen, sondern in Ihren Mail-Programmen oder Ihren Geräten gespeichert haben…) ein paar Sonderzeichen hinzu – Sie brauchen das ja schließlich nur ein einziges Mal überall zu aktualisieren. Und können anschließend wieder besser schlafen.

Robert Habeck: Datenklau, Shitstorm, Twitter-Ausstieg

Deutschlandfunk Nova – Hielscher oder Haase vom 08.01.2019 – Moderation: Diane Hielscher

Sicherheit mit Kollateralschäden: “https” macht Probleme in Entwicklungsländern

Klar, https ist eine gute Sache. Das Protokoll fängt jede Menge potentieller Internet-Gefahren ab, vom Surfen im offenen WLAN bis hin zum Mitlauschen von Geheimdiensten (vorausgesetzt, die haben nicht ihr gefälschtes Zertifikat irgendwo in den Vertrauens-Schlüsselbund geschmuggelt – wovon man im Zweifelsfall ausgehen darf 🙂 – für den Anwender ist es ohne jeden Mehraufwand, für den gewerblichen Content-Anbieter eine kleine Fußnote im IT-Gesamtpaket, und für den Blogger eine Frage des inneren Schweinehundes. Tja, ich hab’s ja zugegebenerweise auch immer noch nicht gemacht mit der SSL-Umstellung, obwohl Chrome meine völlig unverdächtigen Seiten seit kurzem als unsicher bemosert.

Embed from Getty Images

Aber keine Frage, es gibt überhaupt nichts einzuwenden gegen https – dachte ich bislang auch. Das ist allerdings eine Mainstream-Sicht aus der Perspektive eines gut ans Netz angebundenen Normal-Surfers oder Protokoll-Entwicklers. Im hintersten Uganda, an einer Schule mit teurem, langsamen und fehlerträchtigen Satelliten-Internetzugang kann das ganz anders aussehen, berichtet Eric Mayer. Da war nämlich bislang ein Proxy bzw. Cache zwischen den “Originalseiten” und den Browsern seiner Schüler das Mittel der Wahl – aber seit der allgemeinen Umstellung auf https mag sich keine Website mehr einfach so zwischenspeichern lassen – technisch gesehen ist der Proxy schließlich ein “böser” “Man-in-the-Middle”.

Die an sich vorgesehene Ausnahme-Lösung funktioniert dummerweise nur auf neuen Rechnern mit aktuellen Browsern. Fazit: Die neugewonnene Sicherheit bringt kleine, oder eben doch recht gravierende Kollateralschäden mit sich – für die Leute “fernab von unseren Datencentern und unseren Gedanken”.

Hypertext Transfer Protocol Secure: “https” ist nicht immer gut · Dlf Nova

Deutschlandfunk Nova – Hielscher oder Haase vom 20.08.2018 (Moderation: Diane Hielscher)

Wieder mal neues vom Bundeshack

Nach dem totalen Informationschaos der letzten Woche, den (offenbar entweder teilweise unzutreffenden oder aber missverstandenen…) Durchsteck-Portiönchen nicht genannter “Sicherheitsexperten” und den eifrigen, aber wenig hilfreichen Einlassungen aus den Reihen der Politik gibt es nun wieder einmal eine neue Version, was sich eigentlich abgespielt haben könnte. Und weil in dieser neuen Version der FAS doch recht viele und auch ziemlich unspektakuläre Details genannt werden, die auch zu vorhergegangenen Statements passen (wie dem von T-Systems, der IVBB sei eigentlich “nicht direkt betroffen” gewesen…), würde ich einmal sagen: das klingt jetzt für mich ziemlich plausibel.

Malware-verseuchte Schulungsunterlagen aus der Bundesakademie für öffentliche Verwaltung, die dann von Behördenmitarbeitern heruntergeladen und auf ihrem Arbeitsplatzrechner geöffnet werden, das wäre ein ganz alltägliches Szenario. Natürlich bleiben noch allerhand Fragen offen. Wenn die Infektion in der Brühler Akademie schon vor zwei jahren passiert sein soll – warum ist das damals oder seit damals nicht aufgefallen? Steckt da Schlampigkeit, Fahrlässigkeit oder – im allerschlimmsten, aber doch sehr unwahrscheinlichen Fall – bewusste Sabotage dahinter? Da ist im Grunde alles denkbar; es wäre z.B. auch nicht das erste Mal, dass Schulungsrechner an einem kritischen Netz hängen, ein Schulungsteilnehmer seinen USB-Stick anschließt und “drin” ist.

Der nach bisherigem Ermittlungsstand ganz gezielte Zugriff auf einige wenige Dokumente lässt die Dimension des Vorfalls zunächst einmal viel weniger dramatisch erscheinen, als zunächst angenommen. Nur wer sagt, dass es nicht weitere, bislang unentdeckt verseuchte Dokumente, Rechner oder Netzwerkkomponenten gibt? Schon letzte Woche hatte man ja gehört, das BSI habe praktisch alle Kräfte im Dauereinsatz (und aus anderen Projekten abgezogen…), um hier etwas Licht ins Dunkel zu bekommen. Angesichts der offenbar knappen personellen Ressourcen ist man da ja schon fast froh, dass nicht alle laufenden Infiltrationsbemühungen der internationalen Cyber-Bösewichter gleichzeitig auffliegen – oder von “Sicherheitsexperten” durchgesteckt werden… 🙂

Deutschlandfunk Nova – Hielscher oder Haase vom 05.03.2018 (Moderation: Diane Hielscher)

Nachklapp 06.03.: Und wieder mal eine neue Version, diesmal wieder von der Süddeutschen (die ja auch schon letzte Woche zu den Erstmeldern gehörte, leider aber mit zum Teil falschen Informationen…). Der Artikel ist allerdings in weiten Passagen fürchterlich verschwurbelt und in den Details nebulös, vielleicht war der tippgebende Experte ja maskiert und hat nur undeutlich in das Whistleblower-Telefon der SZ hineingeflüstert.  🙂 Die Outlook-Geschichte (natürlich würde das auch mit einem anderen Mail-Client gehen…) würde aber immerhin erklären, wie eine Malware in einem ansonsten abgeschotteten Netzwerk mit ihren “Auftraggebern” “kommunizieren” kann. Wobei das eigentlich nur für den Input-Kanal (also Steuerungsbefehle…) richtig plausibel ist, da gab es übrigens auch schon ähnlich kreative Lösungen über Twitter-Messages. Eine rausgehende Mail hingegegen muss ja an jemand gerichtet sein, und da wird die Malware die abgegriffenen Infos eher nicht an turla@kreml.ru 🙂 geschickt haben können. Theoretisch könnten die Angreifer natürlich auch Zugriff auf den Mailaccount oder das System eines aus der Sicht des Behörden-Netzwerkes legitimen Mail-Empfängers haben und sich die Infos dann von dort aus weiterleiten. Ganz schön kompliziert. Wir bitten um weitere Aufklärung!

Hackerangriff auf Regierungsnetz: Super-GAU oder Bärenfalle? (Update)

Als wir heute morgen nach dem zu diesem Zeitpunkt verfügbaren Informationsstand über den Cyberangriff auf das Regierungsnetz “Informationsverbund Berlin-Bonn” (IVBB) berichtet haben, da sah ja alles nach einem recht deftigen erneuten Desaster aus – wieder einmal die russischen Freunde von der Gruppe APT28 alias “Fancy Bear” mitten in einem Top-heiklen Honigtopf deutscher Daten. Am Mittag dann die wundersame Wende – die Attacke liefe sogar noch, hieß es nun; aber deutsche Sicherheitsdienste hätten sie frühzeitig und umfassend erkannt und “den Angreifer” erstmal weiter am Honeypot naschen lassen, um seine Methoden und auch seine Herkunft niet- und nagelfest zu durchleuchten.

Und deswegen habe man auch den zuständigen Parlamentariern nichts sagen können; klar, sonst wär der Bär ja gewarnt worden (von den Linken bestimmt 🙂 …) Das ist eine Geschichte, die man jetzt mal so glauben kann oder auch nicht. Ich glaube zwar gern, dass man die Infektion eines oder einiger weniger Computer mitbekommen kann und diese dann eben auch “kontrolliert” oder “isoliert” weiterbetreibt. Wie die “Sicherheitskreise” aber sicher sein wollen, dass die APT28-Rasselbande nicht doch vielleicht unbemerkt auch noch in anderen Segmenten des Netzwerkes ihr Unwesen treibt, das ist mir einstweilen ein Rätsel.

Embed from Getty Images

Das bleibt auf jeden Fall noch eine spannende Fortsetzungs-Geschichte. Und welche Seite hier einen großartigen Erfolg zu verzeichnen hat, da würde ich mich noch nicht ganz festlegen.

Cyberkriminalität: Hackerangriff auf deutsches Regierungsnetz · Dlf Nova

Deutschlandfunk Nova – Hielscher oder Haase vom 01.03.2018 (Moderation: Till Haase)

P.S. – Jetzt soll plötzlich auch der IVBB gar nicht “direkt” betroffen gewesen sein – das ist ja dann echt eine schöne Ente, die uns Presseheinis und nebenbei auch den deutschen Bundestagsabgeordneten da gebraten worden ist. Zwischenfazit: Wir wissen gerade überhaupt nichts mehr gewisses, alles ist top-secret. Ich biete hier vorsichtshalber schon mal ein paar Alternativen an: Es waren die Chinesen. Die Nordkoreaner. Die Türken. Die Israelis. Eine Hobby-Hackerinnen-Truppe aus Winsen an der Luhe. Es war Anonymous.

P.S.2 – Ach nee, es “soll” Snake, nicht Fancy Bear gewesen sein. Jetzt passen meine schönen Wortspielereien mit der Bärenfalle und dem Honigtopf nicht mehr. Macht irgendwie heute alles keinen Spaß.

P.S.3 – Ich kann mich nicht erinnern, einen solch grausamen Desinformations- und Fake-News-Tag schon mal erlebt zu haben. Jetzt war auch noch ein Geheimnisverrat mit im Spiel (nämlich von dem Informanten, der den Käse der dpa bzw. der Süddeutschen gesteckt hat…). Und ganz offenbar haben halt die ganzen Politiker im Innenministerium bzw. den Kontrollgremien technisch keinen Schimmer und sondern irgendwelche Bullshit-Bruchstücke ab, die zur weiteren Verwirrung beitragen.

Nachklapp 02.03.2018 – Wir haben heute früh noch einmal ein Update gebracht – als kleine Momentaufnahme im andauernden Info-Nebel.

Hackerangriff: Informationschaos rund um den #Bundeshack · Dlf Nova

Deutschlandfunk Nova – Hielscher oder Haase vom 02.03.2018 (Moderation: Till Haase)

P.S.4 – hier kommt mal wieder ein neuer Erkenntnisstand; das hört sich jetzt schon etwas konkreter und plausibler an. Von dem “den Angriff hatten unsere Sicherheitsbehörden die ganze Zeit unter Kontrolle” kann ja wohl absolut nicht die Rede sein. Eine Formulierung wie “die Hacker griffen weltweit an” bei der Darstellung der derzeitigen 🙂 “exklusiven” Informationen von NDR, WDR und Süddeutscher Zeitung “aus Kreisen, die mit den Vorgängen vertraut sind” (die Informationen der dpa und der Süddeutschen am Mittwoch waren ja auch aus solchen “Kreisen”…) ist  (mit Verlaub, liebe Kollegen) auch Bullshit. “Weltweiter Angriff” klingt ja schon wieder nach Cyber-Armageddon. Bei angeblich nur 17 betroffenen Rechnern in Deutschland und einer Handvoll abgegriffener Dokumente würde ich stattdessen einfach (wie schon gestern in der ersten Sendung…) sagen: Da machen einfach ein paar Leute ihren täglichen Routine-Job und versuchen gezielt für sie interessante Informationen abzugreifen. Ganz normales Aufklärungs-Business 🙂 … Ach so; offenbar besteht ja auch noch Begriffs-Verwirrung zwischen dem mutmaßlich verwendeten Angriffs-Tool bzw. Trojaner (Snake/Uroburos/Turla) und der danach benannten Hackergruppe – theoretisch könnten natürlich auch APT28 oder die Hackergirls aus Winsen aus der Luhe oder Anonymous den Trojaner Snake/Uroburos/Turla verwendet haben. Aber das wird ganz bestimmt noch aufgeklärt, da bin ich völlig zuversichtlich.

Gesichtserkennung plus Captcha lösen soll mehr Sicherheit bringen

Einfach das Smartphone mit dem eigenen Gesicht entsperren, das geht nicht nur bei Apples derzeitigem Spitzenmodell, dem iPhone X – wobei ja trotz des technisch aufwendigen Verfahrens mit der projizierten Punktematrix auch hier noch gewisse Zweifel an der Sicherheit bleiben. Deutlich simplere Lösungen gibt es bei vielen Android-Modellen schon seit einigen Jahren. Zu Beginn konnte man die Zugangssperre allerdings oft schon mit einem Foto austricksen. Bessere Systeme überprüfen also, ob sich im Gesicht etwas bewegt – das aber lässt sich wiederum mit einem Video oder einer 3-D-Konstruktion aushebeln. Amerikanische Informatiker haben jetzt eine neue Idee: Sie wollen die Gesichtserkennung mit Captchas kombinieren.

Image shows part of the flow diagram of the Real-Time Captcha system. (Bild: Georgia Tech)

Auch bei diesen kleinen Rätseln oder Aufgaben, die einem Menschen leicht fallen, einer Software oder einem Bot aber schwer, gibt es seit Jahren ein Katz-und-Maus-Spiel – Captchas lösen ist geradezu ein Showcase für die Fortschritte bei maschinellem Lernen und KI. Trotzdem – nimmt man beides zusammen, Bewegt-Gesichtserkennung plus Captchas lösen und setzt für die Antwort ein relativ knappes Zeitfenster, dann taugt das nach Ansicht der Informatiker vom Georgia Institute of Technology noch ein Weilchen als zuverlässige Zugangskontrolle – offenbar selbst für hochkritische Szenarien: Die Forschung wurde vom “Office of Naval Research” (ONR) und der “Defense Advanced Research Projects Agency” (DARPA) gefördert. 🙂

Datenschutz: Mehr Sicherheit durch Captchas · Dlf Nova

Deutschlandfunk Nova – Hielscher oder Haase vom 20.02.2018 (Moderation: Diane Hielscher)

Aufregung um Scriptkiddie-Angriffstool “Autosploit”

In der richtigen, der analogen Welt kann man ja sehr intensiv darüber diskutieren, ob es gut oder schlecht ist, völlig unproblematisch an Waffen heranzukommen – in den USA z.B. flammt der Streit darüber ja nach jedem Amoklauf an einer Schule oder sonst wo neu auf. In der digitalen Welt, im Netz gibt es die Diskussion auch. Sollte man Hackingtools, mit denen sich fremde Computersysteme lahmlegen lassen, verbieten oder den Zugang irgendwie einschränken – oder sind solche Programme nützlich und notwendig, für Sicherheitstests z.B? Im Moment streiten die Experten gerade über “Autosploit”.

Das ist ein ziemlich kurzes Stückchen Code, das ein Unbekannter vor ein paar Tagen auf der Code-Plattform Github bereitgestellt hat. Und wie der Name schon andeutet: Das Tool spürt auf Knopfdruck verwundbare Computersysteme im Netz auf und versucht dann, den oder die Opfer-Rechner zu infiltrieren oder lahmzulegen – im Extremfall, indem es alle überhaupt bekannten Angriffsvektoren durchprobiert. Eine Universal-Hacking-Komfortlösung für jedermann – auch für programmiertechnisch völlig ahnungslose; für Scriptkiddies.

Embed from Getty Images

Und tatsächlich ist Autosploit nicht viel mehr als ein Script, das die Sicherheitslücken-Suchmaschine Shodan und die Penetration-Werkzeugkiste Metasploit kombiniert. Übrigens: Auch ich probiere ja aus technischem (und sonstigem…) Interesse alles mögliche ab und zu mal selbst aus (die Gesichts-Austausch-Fakeapp z.B. 🙂 ) – aber mal eben Autosploit vom heimischen PC (oder noch schlimmer von dem bei der Arbeit…) in Gang zu setzen, ist weder für Nerds noch für Möchtegern-Hacker eine gute Idee. Bei den Spuren, die man dabei hinterlässt, hiilft auch die schönste schwarze Kapuze nichts mehr.

Deutschlandfunk Nova – Hielscher oder Haase vom 02.02.2018 (Moderation: Till Haase)

Strunzen mit Strava: Fitnesstracker verrät Militärbasen

Ich muss gestehen – anlässlich der letzten anstehenden Verlängerung meines Mobilfunkvertrages habe ich einmal etwas intensiver darüber nachgedacht, ob ich mir vielleicht eine iWatch zulegen soll. Und mich dann erstmal dagegen entschieden (erstens, weil ich gerade etwas Ebbe in der Kasse hatte; zweitens, weil die Eignung der doch recht dicken Uhr als Golf-Gadget am linken Handgelenk noch nicht so ganz erwiesen ist 🙂 …). Aber an sich sind Smartwatches und Fitness-Armbänder ja mittlerweile extrem beliebt: Da kann man halt checken, ob man sein “Bewegungs-Soll” erfüllt hat.

Und herumstrunzen geht auch: Wenn man nämlich die Daten der Gadgets ins Netz hochlädt – und das ist ja praktisch bei allen Apps vorgesehen – dann können alle “Freunde” staunen, wie fit und fleißig man ist. Wenn man allerdings einen etwas heiklen Job hat; Soldat oder Spion oder so – dann ist das mit dem herumstrunzen und Daten hochladen vielleicht doch keine allzu gute Idee. Natürlich – in den Zeiten von Google Earth oder anderen Satellitenkarten-Diensten sind die einstmals “geheimen” Flecken auf der Erde, Militärbasen z.B., nicht mehr wirklich geheim. Wobei Google zumindest bei den Standorten von “Verbündeten” einen “Sichtschutz” drüberblendet, so dass Details wie Straßen, Wege, Landebahnen und Gebäude nicht mehr sichtbar sind.

The movements of soldiers within Bagram air base – the largest US military facility in Afghanistan Bild: Strava/BBC

Auf der “Heatmap” der Fitness-App “Strava” werden nun solche unter Umständen doch recht heiklen Details sehr schön erkennbar – vor allem in Ländern, in denen außer fremdem Militärpersonal sonst praktisch niemand mit einem Fitnessarmband einhertrabt. 🙂 Neben der reinen Jogging-Topologie der Areale lässt sich aus der Heatmap auch noch ablesen, ob denn an einem Standort (Botschaft z.B.) eher “tote Hose” angesagt ist; oder ob da plötzlich viele junge, unternehmungslustige und fitte Männer (oder vielleicht auch Frauen…) für einen bevorstehenden Einsatz mit den Hufen scharren. An so etwas kann eigentlich eine verantwortliche Militär- oder Geheimdienstführung trotz aller moderner Offenheit keine rechte Freude haben.  🙂

Fitnesstracker verrät Militärbasen · Deutschlandfunk Nova

Deutschlandfunk Nova – Hielscher oder Haase vom 29.01.2018 (Moderation: Till Haase)

Nachklapp 30.01.2018: Das Pentagon lässt die Sicherheitsauswirkungen “prüfen”

Nachklapp 06.02.2018: Strava hat auch noch etwas “nachgebessert”…

Cyberwährungsbörse Coincheck gehackt, eine halbe Milliarde Dollar futsch

So richtig gut ist die Stimmung in der Cyberwährungswelt momentan ohnehin nicht, der Kurs des Platzhirschs Bitcoin ist  – zumindest von den Höchstständen im Dezember aus gesehen – gewaltig auf Talfahrt gegangen. In China droht die Stilllegung der Mining-Farmen mit ihrem absurden Stromverbrauch, in Südkorea ist Schluss mit dem schrankenlosen Cyber-Handel, und allerorten platzen Abzock-Modelle, die geldgierigen Ahnungslosen ganz ungerührt die Kohle aus der Tasche ziehen.

Da passt natürlich die Nachricht von einem erneuten Cyberbörsen-Superhack (wieder mal in Japan…) mit rekordverdächtiger Schadenssumme wie die Faust aufs Auge; ein deftiger Schlag ins Cyber-Kontor :), wie es ein früherer Kollege immer so schön formuliert hat. Wie der Hack genau abgelaufen ist, darüber werden wie in der nähsten Zeit vielleicht noch näheres erfahren. Aber nahezu sensationell: Die Betreiber von Coincheck stellen eine Entschädigung ihrer Kunden in Aussicht, immerhin 90% der Schadenssumme wollen sie wiedergutmachen – aus “Rücklagen”.

Embed from Getty Images

Donnerwetter – das Cyberbörsen-Betreiben scheint ja noch lukrativer zu sein als das Zocken mit den Währungen selbst.  Ob das Versprechen auch eingehalten wird; da bin ich aber mal sehr gespannt.

Hack auf Cyberwährungsbörse Coincheck: 400 Millionen Euro in Kryptowährung gestohlen

Deutschlandfunk Nova – Hielscher oder Haase vom 29.01.2018 (Moderation: Till Haase)

P.S. Die entwendeten 523 Millionen XEM sind ja natürlich und tröstlicherweise noch irgendwie in der NEM-Blockchain sichtbar – mittlerweile versuchen der oder die Hacker aber wohl, die halbe Milliarde etwas zu stückeln 🙂

P.S. 2 Die japanische Finanzaufsicht hat jetzt auch mal bei Coincheck vorbeigeschaut und einen umfassenden Bericht zu dem Desaster angefordert.

Elektronische Gesundheitskarte: IT-Desaster oder Hängepartie mit glücklichem Ende?

Bekanntlich bekommen wir in Deutschland seit geraumer Zeit nichts mehr auf die Reihe. Jedenfalls kein Großprojekt. Ein paar Beispiele gefällig? Der Flughafen Berlin. Als nächster Kandidat in der Pipeline: Stuttgart 21. Die Hubschrauber und U-Boote bei der Bundeswehr. (Oder eigentlich alles.) Dann die IT-Kracher: Toll Collect. Der Bundestrojaner. DE-Mail. Das gesicherte Anwaltspostfach. Und natürlich; mit schon epischer Anlauf- bzw. Erprobungsphase: Die Elektronische Gesundheitskarte.

Die ist so ein typisches Beispiel für eine geplante Neuerung, von der praktisch alle betroffen sind, bei der viel auf dem Spiel steht, bei der viel schiefgehen kann und bei der man gern möglichst alles richtig machen will. Und bei der es von vornherein jede Menge Leute gibt, denen die ganze Sache sowieso überhaupt nicht in den Kram passt. Bei der Gesundheitskarte sind das u.a. die Ärzte, die in ihren Praxen investieren müssen und sich mit herumzickenden Kartenlese-Terminals und lebensfremden Sicherheitskonzepten (das grenzdemente Mütterlein oder die bildungsferne Patientin aus Anatolien wissen natürlich ihre PIN nicht… Alle anderen: dito 🙂 ) herumschlagen müssen.

Embed from Getty Images

Und von wegen Sicherheit: Natürlich gibt es bei einem Konzept, das die zentrale Speicherung höchst sensibler, für potentielle Angreifer höchst wertvoller Daten vorsieht, Datenschutzbedenken. Nur – dass an sich recht unverdächtige Personen wie der ehemalige Bundesdatenschutzbeauftragte Peter Schaar der Gesundheitskarte an sich ein ganz gutes Zeugnis ausstellt, das deutet doch darauf hin, dass dieses Konzept trotz aller Bedenken vielleicht doch weit besser und sicherer ist, als der Status Quo. Momentan nämlich werden Arztbriefe und heikelste Information völlig ungeschützt und unverschlüsselt in der Gegend herumgeschickt, per ganz normaler Mail. Oder Post.

Auch Experten wie Matteo Cagnazzo vom Institut für Internet-Sicherheit sehen bei der Gesundheitskarte keine konkrete oder konzeptionelle Schwachstelle – aber natürlich: Die Technologie, möglicherweise auch die Kryptografie auf dem Karten-Chip ist durch die jahrelange Verzögerung nicht mehr unbedingt Stand der Technik. Ob die Konnektor-Boxen z.B. gegen die neu bekannt gewordenen IT-Super-GAU-Szenarien Meltdown und Spectre anfällig sind, ist bislang völlig offen. Und “Security by Obscurity” (also die Weigerung der Betreibergesellschaft Gematik, die verwendeten Komponenten zu dokumentieren bzw. unabhängigen Fachleuten für Sicherheitsaudits zur Verfügung zu stellen…) war noch nie eine gute Idee.

Aber dennoch: Es kann eigentlich nicht sein, dass wir in Deutschland, Stand 2018, nicht allmählich einen zu vertretenden Übergang von einer analogen bzw. Wildwuchs-digitalen Patientendatenverwaltung zu einem zeitgemäßen System hinbekommen. Von daher bin ich in diesem Fall mal ausnahmsweise optimistisch. Und ausnahmsweise nicht im Lager der Bedenkenträger.

Elektronische Gesundheitskarte – Potenzial nicht ausgeschöpft · Deutschlandfunk Nova

DLF Nova – Grünstreifen vom 24.01.2018 (Moderation: Sebastian Sonntag)