Was schon einmal gefloppt hat im Netz, muss nicht zwangsläufig hoffnungslos sein. Vielleicht war einfach 2007 die Zeit noch nicht reif. Jetzt ist zum Beispiel die praktisch flächendeckende Versorgung mit Smartphones beim kaufkräftigen Teil der Weltbevölkerung (es soll allerdings immer noch ein paar Technik-Verweigerer(innen) mit durchaus guten Renten geben 🙂 …) ein Argument, warum der zweite „Marketplace“-Launch von Facebook diesmal mit einem Akzent auf lokalen Privatangeboten erfolgreich sein könnte. Letztlich geht es allen Inserenten und allen Interessenten darum, dass auf einer Käufer-Verkäufer-Plattform möglichst viele Leute unterwegs sind.
Dass auch bei Marketplace 2.0 einige Spaßvögel sofort mit Facebook-inkompatiblem Schmutz und Schund hineingrätschen, war vorhersehbar. Da wird Mark Zuckerberg wohl sein Aufsichtspersonal wieder mal etwas aufstocken müssen.
Gerade haben wir noch gestaunt, mit welchen Datenmengen unbekannte Angreifer den IT-Journalisten Brian Krebs mundtot machen wollten, da kommt schon der nächste Rekordwert für eine DDoS-Attacke: 1,1 Terabit pro Sekunde soll in der Spitze auf die Server des französischen Webhosters OVH niedergegangen sein. Der Angriff zieht sich schon seit 10 Tagen hin, das berichtet der Gründer des Unternehmens, Octave Klaba, auf Twitter. Klaba vermutet, vom gleichen Botnetz wie im Falle von Brian Krebs attackiert zu werden – was ja noch nicht einmal heißen muss, dass auch die gleichen Verantwortlichen bzw. Auftraggeber dahinterstecken: Möglicherweise handelt es sich ja wiederum um „DDOs as a service“.
Auf jeden Fall kommt die Datenflut erneut von scheinbar „unschuldigen“ kleinen Internet-Dingen; hauptsächlich von gehackten Webcams – die Angreifer haben da offenbar Zugriff auf eine gewaltige Anzahl; zum Wochenanfang registrierte Klaba innerhalb von 48 Stunden 15.000 neu hinzugeschaltete Zombie-Cams, in den nächsten 24 Stunden waren es dann sogar weitere 18.000. Die neue Rekordattacke dürfte auch Admins in größeren Firmen und Medienhäusern die Sorgenfalten tiefer werden lassen – denn bei solchen Traffic-Dimensionen kann man auch mit einer gut ausgestatteten Firewall-Architektur die eigene Website nicht mehr verteidigen.
Fragt sich, ob die großen Content-Distribution-Anbieter der neuen Herausforderung noch gewachsen sind und ihren Kunden weiterhin bezahlbaren Schutz bieten können. Die aktuellen Rekord-Attacken könnten innerhalb von zwei Jahren der neue DDoS-Standard geworden sein, so sieht es auch Martin McKeay, „Senior Security Advocate“ bei Akamai und verantwortlich für den regelmäßigen „State of the Internet/Security Report“ des Unternehmens. Aber er bleibt zuversichtlich:
Mit jedem neuen Angriff lernen wir, unsere eigenen Fähigkeiten neu zu überprüfen, damit unsere Verteidigung besser und effizienter wird. Einerseits müssen wir sicherstellen, dass wir ausreichende Kapazitäten haben, um die Attacken zu absorbieren. Andererseits müssen wir aber auch mit neuen Entschärfungstechniken kontern, die nicht allein auf einer „noch dickeren Leitung“ beruhen. Es ist auch sehr wichtig, die Werkzeuge und die Fähigkeiten der Angreifer zu analysieren, um mit zukünftigen Attacken umgehen zu können.
Das Problem, so Martin McKeay, besteht nicht zuletzt darin, dass Angriffspakete aus dem IoT zunächst einmal überhaupt nicht exotisch daherkommen, es ist also keineswegs trivial, den „bösen“ und den „guten“ Traffic auseinanderzuhalten:
Die meisten „Internet-der-Dinge“-Geräte nutzen ganz herkömmliche Computerhardware, keine Spezialanfertigungen. Und auch die verwendete Software ist allgemeiner Standard, der Traffic sieht also praktisch genauso aus und verhält sich praktisch genauso wie bei jedem anderen Gerät oder Computer im Internet.
Und auch wenn man Botnetz-Traffic mit viel Know-How immerhin noch teilweise identifizieren könne – der Schlüssel zum Problem liege woanders, so McKeay.
Der entscheidende Faktor, mit den IoT-Bots fertig zu werden: Wir müssen den Geräteherstellern klarmachen, welche Gefahren sie mit ihren unsicheren und schlecht wartbaren Produkten schaffen.
Bislang ist auf dieser Seite allerdings von entsprechendem Problembewusstsein nichts zu spüren. Vielleicht müsste da einmal in einer Reihe von Fällen die ganz große Produkthaftungs-Keule zur Anwendung kommen.
DRadio Wissen – Hielscher oder Haase vom 30.09.2016 (Moderation: Till Haase)
Nachklapp 03.10.2016 – Mittlerweile weiß Brian Krebs höchst interessante Details zu der IoT-Attacke zu berichten: Ein Hacker, der sich „Anna-senpai“ nennt, macht den Quellcode seiner Botnetz-Malware öffentlich. Er (oder sie) selbst habe nicht vorgehabt, allzu lange im DDoS-Business zu bleiben. Und neben diesem „Mirai“-Toolkit kursiert noch ein weiteres namens „Bashlight“. Das ist ja großartig, dann werden IoT-Angriffe vielleicht bald schon etwas für Script-Kiddies. 🙂 Und um mal direkt mit dem Finger zu zeigen: Laut der Security-Firma Level 3 haben Webcams des Herstellers Dahua (Default-Passwort „7ujMko0admin“) im aktuellen Fall die Zombie-Armee gestellt.
Nachklapp 04.10.2016 – Ein Teil der Verantwortung liegt natürlich bei Kunden, die Default-Passwörter nicht ändern. Dabei ist anzumerken, dass ein „einfacher Konsument“ ein Smart-TV oder ähnliches eben „in Betrieb nimmt“ und nicht wie ein Admin oder Computerfachmann bewusst als neues Netz-System einrichtet. Hier gehören unübersehbare Hinweise in die Betriebsanweisungen und in den Setup-Ablauf. Richtig übel: Anscheinend gewährleistet die Wahl eines eigenen Passwortes im Web-Interface der Geräte noch lange nicht, dass nicht Telnet- oder SSH-Zugang munter weiter mit dem Default-Account erreichbar bleiben.
DRadio Wissen – Hielscher oder Haase vom 4.10.2016 (Moderation: Diane Hielscher)
Alle, die sich schon seinerzeit gefragt hatten, wie Facebook denn den nicht ganz billigen Einkauf von WhatsApp letztlich „monetarisieren“ wollte, wissen ja seit Ende August Bescheid: „Was kümmert mich mein Geschwätz von gestern?“; „Versprochen, Gebrochen“. Ach so.
Johannes Caspar, als Hamburger Datenschutzbeauftragter für die deutsche Facebook-Niederlassung zuständig, sieht das nicht so gelassen. Das nicht eingehaltene Versprechen, die Kundendaten beider Unternehmen nicht auszutauschen, sei eine Irreführung der Verbraucher – die Annahme dürfte wohl plausibel sein, dass viele WhatsApp-User (bei allen eigenen Privacy-Problemen dieses Unternehmens bzw. des Konzepts…) nicht begeistert davon sind, dass ihre Telefonnummern und Kommunikationsgepflogenheiten an Big Brother und dessen Werbekunden gehen. Und sich – korrekt informiert – einem Konkurrenz-Messenger zugewendet hätten.
Dann hätten sie ja bis 25. September widersprechen können, sagt Facebook. Nein, so herum läuft das hier bei uns nicht, sie hätten aktiv zustimmen müssen, sagt Caspar. Es gehört keine allzu große Prophetengabe dazu, um hier wieder einmal eine sehr, sehr langwierige juristische Auseinandersetzung vorherzusagen.
Es ist zwei Wochen her, da haben wir über ein reichlich dreistes Geschäftsmodell zweier Jugendlicher in Israel geredet. Enttarnt hatte die beiden ambitionierten Hacker der bekannte US-amerikanische IT-Journalist Brian Krebs. Und dessen Webseite wurde nun letzte Woche aus dem Netz gepustet – mit dem größten jemals registrierten DDoS-Angriff. Das klingt jetzt nicht unbedingt nach reinem Zufall. Mittlerweile ist der Kollege wieder erreichbar im Netz – unter den Fittichen von Googles „Shield“.
Zuvor hatte Akamai mit seinem – ebenfalls gratis zur Verfügung gestellten – CDN und DDoS-Schutz das Handtuch geworfen; ob das letztlich eine kluge und ökonomisch sinnvolle Entscheidung war, das kann man getrost bezweifeln. Kapitulation vor den Netz-Bösewichtern ist kein geschäftsförderndes Signal, auch wenn das Dagegenhalten richtig Geld kostet. Wie nah das Netz wirklich an der Kippe und in der Hand von Vandalen oder Plattmachern ist, darüber kann man jetzt trefflich spekulieren. Denn ganz klar – der Angriff auf Krebs war eine Machtdemonstration; dass die Attacke von den doch eigentlich arrestierten israelischen Sportsfreunden stammt, ist relativ unwahrscheinlich – außer, die beiden wollen ihre Zukunft hinter Gittern noch signifikant verlängern 🙂 …
Aber Krebs hat ganz recht mit seiner aktuellen Überschrift – die Möglichkeit zur Zensur, dazu, unliebsame Stimmen im Netz zum Schweigen zu bringen, die hat mittlerweile jeder böswillige Akteur. Nicht zuletzt, weil Hersteller millionenfach vermeintlich simple und dumme Devices ins „internet der Dinge“ bringen – simple, dumme, einfach ausnutzbare und niemals gestopfte Sicherheitslücken inklusive. Die Webcams, Router, Fernseher und Android-Zombies bringen aber ein ganz ordentliches Botnet zusammen. Das kann so nicht weitergehen.
DRadio Wissen – Hielscher oder Haase vom 27.09.2016 (Moderation: Till Haase)
Nicht immer ist die größte Zahl auch Garant für höchste Qualität. Das gilt für Einschaltquoten, Follower im Netz und auch für Hacking-Aktionen. Im Fall von Yahoos Desaster gleichermaßen für Täter und Opfer: Bevor wir Näheres über die Art und Weise wissen, wie denn jetzt die angeblichen Staats-Hacker in das Netz der digitalen Resterampe eingedrungen sind, können wir die Hacking-Leistung nicht beurteilen. Vielleicht war das ja völlig simpel. Und bevor wir nicht wissen, wieviel der „mindestens 500 Millionen“ betroffenen Kundenkonten Karteileichen waren, können wir auch den tatsächlichen Schaden für die Yahoo-Nutzer bzw. das Netz nicht abschätzen.
Aber dass das Yahoo-Management, allen voran die vielleicht schlechteste Totes-Pferd-Reiterin aller Zeiten, Marissa Mayer, die Angelegenheit heruntergespielt hat, um den Verkaufspreis von Yahoo und die eigene Versager-Prämie nicht zu schmälern – da würde ich jetzt mal glatt drauf wetten. Vielleicht klärt sich das ja noch in den nächsten Tagen oder Wochen – dann wird das u.U. eine richtig happige Sache, wenn man da die Öffentlichkeit, den potentiellen Käufer Verizon und die Aktionäre hinters Licht geführt haben sollte.
DRadio Wissen – Hielscher oder Haase vom 23.09.2016 (Moderation: Diane Hielscher)
P.S. (29.09.2016): Da war wohl etwas dran an den Gerüchten um zwar erkannte, aber nicht behobene Sicherheitsschlampereien, wie nun die New York Times berichtet.
Es ist ja bekanntlich nicht besonders tapfer oder originell, auf Opfern herumzutrampeln. Und wie auch schon gesagt – ein richtig happiger Hack kann jedem mal passieren. Wenn die führende Webseite für Wissenschafts-News (und darunter eben auch die „kritischen“ „embargoed“ News der führenden wissenschaftlichen Fachzeitungen…) es allerdings nach über einer Woche nicht hinbekommt, ihre gehackte Webseite neu und sicher aufzusetzen – dann ist das trotz allen Mitgefühls ein Armutszeugnis und ein Indiz von Unprofessionalität.
Dear EurekAlert! Registrants,
We have re-launched the public sections of the EurekAlert! website, consisting of an archive of some 300,000 science news releases dating back two decades, as a first step towards restoring services following the aggressive cyber-attack of September 9.
While the website is updated with news releases submitted to us prior to our September 12 closure, reporter- and PIO-registrants will not be able to login and no new registrations will be accepted until we complete security upgrades to the restricted-access sections of the site. No new press-release submissions will be accepted at this time.
We are working with our journal partners to provide limited services to reporters while AAAS IT continues to work around-the-clock to bring back the full suite of EurekAlert! services. We will provide further updates as they become available. Please contact webmaster@eurekalert.org for additional assistance.
Brian Lin
Director, Editorial Content Strategy, EurekAlert!
American Association for the Advancement of Science
(202) 326-6213 / blin@aaas.org
Mal ganz schlicht angemerkt: Wenn eine kommerzielle Website über eine Woche „tot“ ist – dann ist das der Exitus für die Website und deren Geschäftsmodell. Die verantwortlichen Personen dürfen sich anschließend gern neue Jobs suchen. Keine Ahnung, wie Eurekalert organisiert und finanziert wird – da gibt es ganz offensichtlich jede Menge Verbesserungspotential.
Ich brauchte mal wieder eine neue Pulle meines Parfums Eau de Toilettes. Das kaufe ich seit längerem bei der iparfumerie. (Logisch, als Apple-Fanboi 🙂 , meist ist aber auch der Preis der beste im Mitbewerb…) Aber dieses Mal waren die aufgerufenen 59,97 € für die 200ml-Flasche; und das selbst für einen eingeloggten Stammkunden doch etwas sportlich.
Screenshot iparfumerie.de
Geht’s nicht vielleicht etwas billiger? Kurzes Googeln und das Ergebnis bei idealo.de: Es geht etwas billiger. 50,40€; und zwar: auch bei der iparfumerie. Ein Klick und tatsächlich – stimmt:
Screenshot iparfumerie.de
Der Unterschied bzw. der Weg zum „Rabatt“ bzw. realistischen Preis ist der hier:
Klar, versuchen kann man es ja mal. Das ist eben die Marktwirtschaft. Immerhin, für Besucher mit einem iPad Pro ruft die iparfumerie keinen noch mal höheren Preis auf. 🙂
Die Sache ist sehr peinlich und sehr teuer für Samsung – das neue Flaggschiff-Modell entpuppt sich als Rohrkrepierer. Statistisch gesehen vielleicht immer noch im Promille-Bereich, aber vom Risiko her nicht mehr akzeptabel. Jetzt hat auch die US-Verbraucheragentur CPSC ein klares Statement abgegeben – das Problem mit den überhitzenden und explodierenden Akkus ist sehr ernst – nicht nur an Bord von Flugzeugen.
Das pseudo-imagebewahrende Herumgesülze auf der Samsung-Seite ist also auch völlig fehl am Platz – wenn „nur“ der Akku ein kleines, seltenes Explosions-Problem hat, dann ist halt die Kacke ausreichend am Dampfen. Und zwar ernsthaft. Insofern ist also der Umtauschdie einzige Option – ein vorheriges Backup bzw. Löschen der persönlichen Daten sollte allerdings auch noch drin sein. Eine Löschdecke oder einen schönen Eimer mit Sand kann man ja sicherheitshalber bereithalten 🙂
DRadio Wissen – Hielscher oder Haase vom 16.09.2016 (Moderation: Till Haase)
P.S. 21.09.2016 – Während Samsung mit einem Zwangs-Update (das die Ladekapazität des Akkus begrenzt…) einerseits das Risiko senkt und andererseits den Anreiz an die Kunden erhöht, das Gerät umzutauschen, taucht ein neuer kleiner, großer Haken auf: Paketdienste in den USA und jetzt anscheinend auch hierzulande verweigern offenbar den Transport der potentiellen Mini-Bömbchen. Da ergeben sich weitere sehr aparte juristische und finanzielle Konsequenzen, denn letztlich ist klar, dass auch für dieses Problem Samsung einstehen muss.
P.S. 23.09.2016 – Samsung lässt sich etwas einfallen für das Umtausch-Problem. Das wird wie gesagt teuer – aber das ist jetzt mal ein Wort.
Edward Snowden ist kein Verräter, sondern eher ein Held. Sagt die Unterstützerplattform https://www.pardonsnowden.org, auf der (bzw. auf dem Amnesty International-Pendent für nicht-US-Bürger…) ich übrigens auch unterzeichnet bzw. gemausklickt habe. Ich mag das Wort „Held“ eher nicht so, aber für mich steht fest: Snowden hat die ganze Aktion, die zu einer – leider nicht allzu positiven – Neubewertung unserer gesamten Welt und Realität geführt hat, nicht aus bösen Motiven, aus Eitelkeit oder gar als klassischer „Verräter“ unternommen.
Edward Snowden ist ein Verräter, kein Held – das ist das Resümee des Geheimdienstausschusses des US-Repräsentantenhauses; eingereicht am Vorabend des Filmstarts von Oliver Stones Portrait des NSA-Whistleblowers. Sorry, aber die Meinungsführer des Anti-Begnadigungs-Verdikts realisieren immer noch nicht, dass die US-Geheimdienste auch die verfassungsmäßigen Rechte der US-Bürger den vermeintlichen Erkenntnissen über „Terroristen“ geopfert haben, dass die vermeintlichen „Good Guys“ eben nicht nur good sind und der Zweck eben nicht alle Mittel heiligt.
Wer das nicht versteht oder nicht verstehen will, hat eben die US-Verfassung nicht verstanden oder will sie nicht verstehen. Trotzdem bin ich leider etwas skeptisch, ob Barack Obama es wagen wird, Snowden zu begnadigen oder seine vorgesehene Strafe zu reduzieren – in den USA ist ja offensichtlich eine gute Hälfte der Bevölkerung ohnehin auf dem Sprung, einen Irren zum Präsidenten zu wählen.
Dradio Wissen – Hielscher oder Haase vom 16.09.2016 (Moderation: Till Haase)
Mal richtig schön gehackt zu werden – davor ist ja eigentlich keine Website ernsthaft gefeit. Obwohl da jetzt vielleicht Admins Protest einlegen und argumentieren, dass sie auf ihrem System immer brav alle Sicherheitsprobleme und Sicherheitsupdates mitverfolgen und diese sofort einspielen, dass sie bekannte Maßnahmen wie die Wahl eines zeitgemäßen Verschlüsselungs- und Hash- und Salt-Algorithmus für ihre Userdaten und Passwörter implementiert haben. Was jetzt genau bei Eurekalert schief gelaufen ist, das wissen die Betreiber am besten.
Auf jeden Fall wurde die Website gehackt.
Screenshot Eurekalert
Und die Brisanz liegt in diesem Fall darin, dass Eurekalert halt die Plattform ist, über die sich Journalisten vorab über die Veröffentlichungen informieren können, die in den führenden wissenschaftlichen Magazinen anstehen. Da gibt es jeweils eine Sperrfrist – nämlich das offizielle Erscheinungsdatum der Zeitschriften wie „Science“ oder „Nature“. Der Sinn dieser Sperrfrist ist, dass man in Ruhe seine Interviews mit den Studienautoren führen kann, dass nicht ein einzelner vorprescht, der Zeitung den Neuigkeitseffekt versemmelt und der übrigen Berichterstattung vorzeitig und egoistisch die Luft rauslässt. Was letztlich dazu führen würde, dass weniger über die wissenschaftlichen Studien berichtet werden würde.
Ein bewährtes System also; Zuwiderhandlungen gegen die Sperrfrist werden übrigens ziemlich humorlos geahndet. Kürzlich hatte z.B. mal motherboard.vice.com eine Sperrfrist von „Science“ gebrochen und musste dann recht peinlich Kotau machen. Im jetzigen Hacking-Fall hat allerdings der Hacker seine Beute per Twitter „angeboten“ und wohl auch mindestens eine der gesperrten („embargoed“) News geleakt. Als Reaktion blieb Eurekalert nichts anderes übrig, als die Notbremse zu ziehen und die Seite komplett vom Netz zu nehmen – offenbar sind News mit und ohne Sperrfrist nicht konzeptuell so getrennt, als dass man sich nur auf die „heiklen“ Informationen hätte beschränken können.
Man darf also vermuten, dass in dieser Woche die Berichterstattung von Wissenschaftsjournalist(inn)en über aktuelle Studien etwas schwierig wird 😉 – und die vom Hack betroffenen Kollegen und Kolleginnen (ich auch…) müssen sich halt ein neues Passwort ausdenken. Und wenn sie auf der Eurekalert-Seite ein „Master-Passwort“ verwendet haben, dann sollten sie dieses bei anderen Webdiensten auch schleunigst ändern. Ich bekenne mich ja übrigens auch schuldig: Mein Eurekalert-Passwort war so alt und so einfach, dass ich eigentlich schon lange mal gedacht hatte, das sollte ich mal ändern. Sonst wäre ich plötzlich auf der „schwarzen Liste“ der Embargo-Brecher gelandet… Gottlob war das ja jetzt kein individueller, sondern ein globaler Hack 🙂 .
