Sony Pictures hat ein ziemliches Problem: Irgendjemand hat Filme von den unternehmenseigenen Servern geklaut bzw. kopiert – und schnurstracks auf den einschlägigen Kanälen im Netz in Umlauf gebracht – peinlicherweise vor dem geplanten Kinostart. Aber man kann wohl sagen – der Hack war ein richtiger Super-GAU für Sony; außer den Filmen sind den Angreifern ja auch noch alle möglichen internen Daten in die Hände gefallen, das Unternehmensnetzwerk war komplett kompromittiert und musste erst einmal abgeschaltet werden. Möglicherweise stecken ja die nordkoreanischen Super-Schurken hinter der Aktion, berichtet recode – schließlich hat der Diktator mit der komischen Frisur ein Hühnchen mit Sony zu rupfen. Und hatte – wie ja schon des öfteren – der USA und der Welt „gnadenlose Vergeltung“ angedroht…
Ich bin nicht bei WhatsApp. Das hat verschiedene Gründe: Das Alter. Ein ausreichendes SMS-Kontingent in meinem Mobilfunk-Tarif. Eine generelle Unlust, jederzeit und sofort auf Kommunikationsanstöße antworten zu müssen. Speziell dann bei der Geburt von WhatsApp der damals völlig intransparente Background, was Betreiber, Datenschutz und Support anbelangte. Und dann wurde das Ding auch noch ausgerechnet von Facebook geschluckt.
„The Empire strikes back.“ So sehen wohl gewisse Netzbewohner die internationale Polizeiaktion „Onymous“; inklusive wahrscheinlich der frohen Hoffnung auf eine nur vorübergehende Dauer dieses Rückschlags. Aber wer hier eigentlich auf der dunklen Seite der Macht steht, das ist ziemlich fraglich. Schon der Silkroad-1.0-Betreiber „Dread Pirate Roberts“ propagierte ein idyllisches Weltbild mit anarchischer Freiheit vor gesetzlichen Restriktionen. Für die Ermittlungsbehörden hingegen heißt der Tummelplatz der User hinter der Tor-Maske „Darknet“ – und was sich dort abspielt, ist nach dieser Lesart zu einem überwiegenden Teil schlichtweg Internetkriminalität.
Die alles entscheidende Frage betrifft aber auch alle, die Tor wirklich nur aus legitimen Privacy-Gründen nutzen – gibt es einen fundamentalen Bug im Konzept oder in der Software?
Wir sollen unsere Daten verschlüsseln, empfehlen uns selbst so unverdächtige Zeitgenossen wie Mitglieder unserer Bundesregierung. Andererseits hat nicht nur der US-amerikanische FBI-Chef, sondern haben auch deutsche Ermittler schreckliche Bauchschmerzen mit wirklich wirksamen Datenschutz – sie reklamieren also die Notwendigkeit nicht nur einer Hintertür, sondern sogar einer Vordertür in die Handies und Computer der potentiell kriminellen Staatsbürger.
Nur wie sie garantieren wollen, dass der angestrebte exklusive Zugang für Ermittler auch wirklich exklusiv bleibt, nicht von kriminellen Hackern gehackt wird oder nicht von nicht-gesetzestreuen Gesetzeshütern (ja, so was gibt es tatsächlich…) oder Spionen des eigenen Landes oder einer fremden Macht missbraucht wird – das wollen und können uns die Befürworter von Hinter- und Vordertüren nicht verraten.
Natürlich erschweren die verfassungsmäßig garantierten Rechte auf Privatsphäre, auf Unverletzlichkeit der Kommunikation und der Wohnung die Ermittlungsarbeit im konkreten Ermittlungsfall – aber das genau ist der Unterschied zwischen einer freiheitlichen Demokratie und einem Überwachungsstaat.
Mein eigenes Fazit: Anonabox kann durchaus nach dem Ausbügeln der entdeckten Software-Probleme wie versprochen „funktionieren“ – und trotzdem ist das Verschleierungsnetzwerk Tor eigentlich nix für Laien oder für „Normalsurfer“, da stimme ich Heise.de uneingeschränkt zu…
DRadio Wissen – Schaum oder Haase vom 17.10.2014
Nachklapp 18.10.2014 – Aus für Anonabox
Und da ist es auch schon passiert: Die Crowdfunding-Plattform Kickstarter hat sich das Projekt aufgrund der geäußerten Kritik angeschaut – und der Anonabox den Stecker gezogen; der (wenn auch modifizierte…) Weiterverkauf von bereits existierenden Gütern verstößt nämlich gegen die Kickstarter-Spielregeln. Das Geld der Projekt-Unterstützer bleibt also in deren Taschen.
Der Initiator August Germar will die Box angeblich trotzdem fertig entwickeln (der Aufwand dafür dürfte sich ja nun auch bekanntlich in Grenzen halten 🙂 ) und über die eigene Website verkaufen.
Auf der einschlägig bekannten Plattform Pastebin.com hat ein oder hat eine Hacker/Hackerin Username/Password-Kombinationen von Dropbox-User(inne)n gepostet – und zwar als „Teaser“, als „Appetizer“ – die komplette Liste von angeblich insgesamt 7 Millionen Accounts soll nämlich erst herausgerückt werden, wenn genügend User ihre „Unterstützung“ per Bitcoin-Spende dokumentiert haben – zunächst belief sich das Interesse allerdings nur auf 0,03 Euro-Cents.
Dropbox selbst sagt: „Unsere Server sind nicht gehackt worden, die eventuellen Probleme kommen von ‚Drittanbietern'“ – so ähnlich wie beim „Snappening“ vielleicht ? Wenn nämlich die API, die Authentifizierungs-Schnittstelle gehackt oder reengineert worden ist, dann hat Dropbox (wie Snapchat…) ein Riesen-Problem. Die veröffentlichten Accountdaten seien auch nicht mehr gültig oder nie gültig gewesen, sagt Dropbox – aber erstens berichten einige Reddit-User, manche Kombinationen aus Username/Passwort hätten durchaus zunächst funktioniert. Auch im Dropbox-Blog schreiben Anwender, sie hätten ihre (sogar exklusiv für Dropbox verwendeten…) Account-Daten auf den Pastebin-Listen wiedergefunden.
Und auch meine eigenen „stichprobenartigen“ Recherchen zeigen: einzelne „geleakte“ Dropbox-Account-Daten waren definitiv zumindest zeitweise gültig. Und sie passen sogar in Einzelfällen für die Mailaccounts von Anwender(inne)n, die Usernamen/Passwort eben nicht nur für Dropbox benutzt haben – ein häufiger, aber nicht ratsamer Lapsus 🙁 .
Eine betroffene Anwenderin hat mir berichtet, sie habe eine Mitteilung von Dropbox erhalten, ihr Passwort sei geändert worden – und zwar von einem iPhone aus, das sie gar nicht besitzt.
Des Rätsels Lösung: auf Pastebin, wo der oder die „böse“ Hacker(in) die Passwörter gepostet hat, hat auch ein „guter“ Hacker reagiert – und zwar mit einem Script, einem kleinen Programm, das die geouteten Accounts bei Dropbox mit einem zufällig generierten neuen Passwort versehen hat – nach dem Motto: „besser die legitimen Account-Inhaber temporär aussperren (die sich ja ein neues Passwort einrichten können…), als irgendwelchen Kiddies Zugriff auf die Accounts zu gestatten…“
Die geposteten Account-Daten sind also nicht (oder definitiv nicht komplett…) gefaked, und auch nicht so irrelevant wie Dropbox behauptet – wo aber die eigentliche Sicherheitslücke besteht, das ist immer noch unklar… Aber das wird schon bald etwas klarer sein, vermute ich…
Fazit: wo immer auch die Daten herstammen, und egal, ob tatsächlich 7 Millionen Accounts betroffen sind – das Dropbox-Passwort zu ändern (und dabei auch gleich die 2-Wege-Authentifizierung zu aktivieren…) ist auf jeden Fall eine sehr gute Idee. Und Fazit 2: Ein und dieselbe Username/Passwort-Kombination (und vor allem noch die des Mailaccounts, wo ja die Infos der übrigen Accounts meist zusammenlaufen…) bei verschiedenen Web-Diensten zu verwenden, ist eine sehr schlechte Idee.
Die Probleme mit der populären Unix-Shell Bash sind anscheinend noch längst nicht endgültig ausgestanden – es kommen laufend neue Erkenntnisse über Schwachpunkte bzw. Angriffsmöglichkeiten, und es kommen laufend neue Patches, die schnell eingespielt werden sollten.
Aber wo der Hase mit Langzeitwirkung im Pfeffer liegt: potentiell betroffen sind neben Webservern (auf die ja ein Admin sein wachsames Auge wirft…) auch Geräte mit Unix/Linux-Betriebssystem, die selten überprüft und selten upgedatet werden oder deren Hersteller selten oder spät Updates liefern: Router, Multimediaboxen, Smart-TVs (?), Industrie- und Heimsteuerungsanlagen…
Prominente spielen eine Rolle in der Öffentlichkeit – und dazu gehört manchmal auch der gezielte Einsatz von offenherzigen Auftritten. Andererseits sind Prominente auch ganz normale Menschen – mit ganz normalen zeitgemäßen Angewohnheiten; etwa denen, private und intime Situationen mit dem Handy zu dokumentieren und das zum Beispiel dem Partner zukommen zu lassen. Und eben nur dem Partner, und nicht der Öffentlichkeit. Dumm nur, wenn man sich auf die erhoffte Privacy und die erhofften (und auch so kommunizierten…) technischen Vorkehrungen von Cloud-Anbietern, Privates auch wirklich privat zu behandeln nicht verlassen kann.
Bei Apples iCloud-Dienst gab es offenbar eine Sicherheitslücke, die mit dem quasi unbegrenzt möglichen Ausprobieren von Passwörtern zusammenhing – auch wenn das Unternehmen sich um ein Schuldeingeständnis noch peinlich herumdrückt. Immerhin sollen die Lücken gestopft werden – die gehackten Bilder sind hingegen im Netz. Für immer; trotz der späten Reaktion von Reddit, wenigstens den Hauptumschlagplatz des Materials dichtzumachen.
Über Angriffe aus dem Netz kann selbst der Betreiber einer kleinen Blog-Klitsche berichten – da versuchen irgendwelche Besucher aus Korea oder von sonstwo auf der großen weiten Welt Spam-Links oder Malware zu platzieren. Aber wenn eine Webseite über die Zustände in einem undemokratischen Land berichtet, wenn sie unliebsame Fakten publiziert, weil es am Ort der Berichterstattung keine funktionierende Presse mehr gibt, dann steht diese Webseite oft unter ganz gezieltem Beschuss. Denn zum Schweigen bringen kann man einen Webauftritt nicht nur durch eine Sperre, sondern auch durch Überlastungsangriife aus dem Netz. Große, finanzstarke Anbieter können dagegen Vorsorge treffen – für die kleinen Betreiber hat Google jetzt ein (vorerst kostenloses…) Angebot…
Das größte Sicherheitsrisiko sitzt immer noch vor der Tastatur – das ist so eine banale wie unverwüstliche Erkenntnis von Computer-Security-Experten. Aber zumindest könnte man ja dafür sorgen, dass sich einmal erkannte Sicherheitslücken auch herumsprechen – und dass nicht zig Leute oder Firmen auf den gleichen Trick hereinfallen… (Fachkonferenz Cybersicherheit in Bonn 2012)
Früher brauchte man für eine ordentliche Verschwörung einen Umhang oder eine Kutte wie beim Ku-Klux-Klan oder zumindest eine Gesichtsmaske aus Stoff, Leder oder Pappmaschee – und die geheime Übereinkunft wurde dann stilvoll mit dem eigenen Blut besiegelt. Heute braucht man sich nur irgendwelche Open-Source-Software aus dem Netz runterzuladen und zu starten. Dann stattet einem mit etwas Glück sieben Monate später die vereinigte Anti-Terror-Kavallerie von FBI, CIA und NSA einen kleinen Überraschungsbesuch ab. Schwarz vermummte und bis an die Zähne bewaffnete Elitekämpfer stellen die Bude gründlich auf den Kopf, packen alles ein, was einen Prozessor und einen Internetzugang hat – und man selbst landet schnurstracks, Gegenwehr empfiehlt sich nicht, in einem Verlies. Wegen „mutwilliger Beschädigung eines gesicherten Computersystems“ und wegen „Conspiracy“ – wegen Verschwörung also.
Der „Cyberwar“ ist eben in vollem Gang – bei Polizei, Geheimdiensten und Militär werden Task Forces und neue Kommandozentralen zu Verteidigungs- und Angriffszwecken aus dem Boden gestampft, mit Tausenden von Beschäftigten und mit Milliarden-Budgets. Wo plötzlich all die dafür benötigten Experten herkommen sollen, ist noch nicht so ganz klar, aber das macht ja nichts – schließlich erwägen Strategen ganz ernsthaft auch „konventionelle Vergeltungsschläge“ nach gravierenden digitalen Attacken. Die martialische Rhetorik passt natürlich auch den Medien bestens ins Konzept – da wird dann im Zweifelsfall kein großer Unterschied gemacht: die Stuxnet-Attacke auf iranische Atomanlagen, eine für zwei Tage lahmgelegte Website oder die Veröffentlichung eines sieben Jahre alten Speiseplans aus einer NATO-Kantine: alles gefährliche Hacker-Angriffe, alles Cyberwar.
Die Dauer-Aufgeregtheit nervt. Aber andererseits: Die „Hacker“ mit der digitalen Gesichtsmaske, Anonymous, LulzSec samt ihrer regionalen Ortsvereine, Splitter- oder Konkurrenzgruppen – die nerven auch. Vor allem die, die mit Sendungsbewusstsein daherkommen, mit aufgeplusterten Begründungen für eine schlichte DDoS-Attacke oder für das Ausnutzen einer uralten SQL-Lücke, mit spätpubertärem Geschwafel von Widerstand und Krieg gegen „das System“. Dabei sind ja, wenn nicht alles täuscht, politische Teilhabe und demokratische Veränderung zumindest in den „westlichen Staaten“ durchaus noch möglich – aber dazu muss man halt den Allerwertesten auch einmal aus dem Hocker heben und Chipstüte und Pizza-Box liegen lassen. Notfalls geht es sogar vom Hocker aus, aber sowohl analoge als auch digitale Beteiligungsformen sind natürlich immer etwas mühsam und zumindest in den unteren Etagen weitgehend unglamourös.
Wer meint, mit einer DDoS-Aktion per „Low Orbit Ion Cannon“ an einer legitimen „digitalen Demonstration“ teilzunehmen, der täuscht sich: Bei einer analogen Kundgebung tritt man nämlich als Individuum persönlich und identifizierbar für oder gegen etwas ein, auch wenn man dabei für gewöhnlich kein Namensschildchen trägt. Aber ganz klar – so schlimm ist ein solcher Irrtum allerdings nun auch wieder nicht, als dass die vereinigte Anti-Terror-Kavallerie anrücken müsste; schwerste Kriminalität ist halt schon noch einmal etwas ganz anderes.
Immer schön auf dem Teppich bleiben, so lautet also die Devise für alle Beteiligten. Wobei ja übrigens nichts gegen einen richtig schönen, durchdachten Hack gesagt sein soll, wie die Aktion gegen die selbst großmäulige „Sicherheitsfirma“ HBGary – und auch nicht gegen die Aufdeckung von Informationen über wirkliche Skandale oder Missstände. Aber wenn’s geht, alles immer mit etwas Augenmaß. Eines natürlich muss man dem ganzen Rumgehacke und Cybergekriege ja lassen: Es sichert Arbeitsplätze. Bei „Sicherheitsfirmen“ und Behörden. Und hier bei uns, in der Presse.