Ein paar Gedanken und Thesen dazu, was wir alle aus dem „Politikerhack“ Weihnachten 2018 lernen sollten.
Als erstes: Es war kein Politikerhack. Es war maximal ein Promi-Hack. Kein fremder Geheimdienst ist in Regierungsrechner eingedrungen. Es waren vermutlich nicht einmal richtige Hacker, es waren meiner Meinung nach Script-Kiddies.
Und während ich diesen Blogpost schreibe stellt sich heraus: Der Urheber war ein 20jähriger Schüler.
Script-Kiddies – wie er – nehmen altbekannte Sicherheitslücken und zum größten Teil vorgefertigte Scripte (also Programme) und suchen nach Angriffszielen, die diese Sicherheitslücken (noch) aufweisen.
Das sind zum Beispiel Smartphones, die nicht mehr die aktuellsten Sicherheitslevel des Betriebssystems haben, weil sie zu alt sind. Oder Smartphones von NutzerInnen, die „Never change a running system“ denken und erst gar keine Updates einspielen.
Oder Accounts mit unsicheren, weil leicht zu errratenden Passwörtern. Beispielsweise Webmail-Accounts, die heute mit Adressbuch und dem Kalender ein komplettes und professionelles Bürokommunikationssystem mit haufenweise interessanten Daten liefern.
Unsicher ist übrigens auch ein ausgewürfeltes und eigentlich starkes Passwort, wenn es für mehrere Systeme genutzt wird.
Genau das ist vermutlich passiert: Es wurde eine größere Zahl von privaten Accounts gehackt
Der „Hacker“ hat seit dem 1.12. über einen kleinen und nicht sonderlich promoteten Twitter-Account Daten „geleaked“. Sehr erfolglos. Richtige Hacker im Auftrag einer Regierung oder mit krimineller Energie hätten die Daten entweder einem Geheimdienst zugeführt, verkauft oder pressewirksam über WikiLeaks & Co verbreitet.
Um das mal bildlich zu machen: Der Hackerangriff auf das Netz des Bundestages kann damit verglichen werden, dass Agenten eines fremden Staates in das Gebäude eindringen und sich heimlich im Keller einnisten, um von dort gezielt Spionage zu betreiben.
Was hier geschah, das entspricht eher Halbstarken, die in der Umkleide vom Sportstudio Taschen durchwühlen und dabei Adressbücher und Briefe kopieren. Irgendetwas Interessantes wie die Telefonnummer eineR Prominenten oder gar PolitikerIn wird schon dabei sein, wenn man das Spiel lange genug und flächendeckend betreibt.
Hier sind keine ausspionierten Daten „geleaked“ worden. Ein solcher Leak soll in der Regel zusammenhängende Sachverhalte mit öffentlichem Interesse offenlegen – also verbotswidrig über ein privates Postfach abgewickelte präsidiale Mails. Verstrickungen des Militärs in Plünderei. Steuerhinterziehung durch Ausnutzung von Gesetzeslücken. Kurz: Skandale!
Hier waren es mal eine private Mail, mal eine Handynummer. Ein wirrer Gemischtwarenladen.
Es handelte sich daher um reinstes Doxing. Also das Veröffentlichen von privaten Unterlagen und Daten. Ohne Zusammenhang mit einem konkreten übergeordneten Ziel, wie der Aufdeckung von Korruption.
Der Täter tat es einfach nur, um Schaden anzurichten, zu mobben, sich wichtig zu tun.
Und „gehackt“ wurden mit einiger Wahrscheinlichkeit auch nur in den wenigsten Fällen die Personen, deren Daten gedoxed wurden:
[…] bleibt unklar, wie schwierig es wirklich ist, Martin Schulz‘ Telefonnummer herauszufinden, die hier beispielhaft für Informationen aus dem Datensatz steht. Denn wer sie finden will, muss dafür nicht unbedingt den SPD-Spitzenpolitiker persönlich hacken. Im Grunde reicht es an die Kontaktliste von jemandem zu kommen, der Schulz eingespeichert hat – so hat es im konkreten Fall wohl auch funktioniert, denn zu Schulz findet sich im Datensatz sonst kaum etwas. (Quelle)
Wsa mag genau passiert sein? Hier meine These.
In den letzten Monaten gab es mehrere Wellen von Erpressungsmails, in denen behauptet wurde, dass man Account und PC geknackt habe und nun im Besitz von Webcam-Videos sei, die man aufgenommen habe, als der Besitzer der Mailadresse sich Pornos angeschaut habe. Auf diese Weise wollte man BitCoin erpressen, um eine Weitergabe des Videos an die Kontakte des Opfers zu vermeiden.
Die Mails enthielten Passwörter im Klartext um zu belegen, dass man Zugang zum genannten Account habe.
Tatsächlich stimmten die Passwörter in den meisten Fällen – auch bei mir. Allerdings war es bei mir ein ausgewürfteltes, starkes Passwort, das ich laut meiner privaten (und verschlüsselten) Passwortliste ca. 2005 zuletzt bei Amazon benutzt habe. Die für die Erpressung genutzten Daten müssen also alt bis uralt gewesen sein.
Ich hatte im privaten Bekanntenkreis dennoch mehrere Fälle, wo die Empfänger dieser Mails ein Passwort vorfanden, dass sie tatsächlich noch heute einsetzen.
Die Passwörter stammen von Listen, die bei echten Hacks von Onlineshops, Foren und anderen Webseiten erbeutet wurden.
Webseiten, die in aller Regel entgegen dem Stand der Sicherheitstechnik seit den 1990ern Passwörter im Klartext gespeichert haben und nicht nur einen Hashwert – eine Art hochkomplexer Prüfsumme -, über den man ein beim Login eingegebenes Passwort zwar prüfen, aber das zum Hash passende Passwort nicht mehr mit vernünftigem Aufwand „rückwärts“ ermitteln kann.
Derartige Listen mit Kombinationen aus Mailadressen und Kennwort kann man in den dunklen Ecken des Internet für überschaubare Summen kaufen, was auch die Absender der Erpressermails taten. Nach der Security-Homepage des Hasso Plattner Instituts sind derzeit fast 6 Milliarden Mailadressen von Leaks wie diesen betroffen.
Meine These: Ein Angriffsvektor des „Hacker“ nutzte genau solche Listen. Er hat sie erworben oder ist anders in deren Besitz gekommen und hat sie zunächst grob nach interessanten Mailadressen durchsucht. Beispielsweise, indem nach Namen von PolitikerInnen oder anderen Promis oder Mailadressen auf passenden Domains gefiltert wurde.
Das macht man natürlich mit einem Programm.
Danach probierte er durch, ob irgendwo das Passwort noch stimmt. Auch das geschieht automatisch. Mit einer recht lahmen 6 MBit-Telekom-Leitung wird man problemlos zehntausende solcher Tests pro Tag machen können.
Erfahrungsgemäß werden bei ausreichend großen Listen immer Adressen dabei sein, die ein seit 15 Jahren ungeändertes Passwort haben.
Oder gar – wie beim „Fappening„, dem Angriff auf private iCloud-Accounts von Prominenten im Jahr 2014 – Passwörter aus der Liste der häufigsten Passwörter einsetzen („12345678“, „asdfghjk“ etc.).
Das „Fappening“ belegt, dass die Zahl der getesteten Accounts nur groß genug sein muss, damit ein Angriffsziel dabei ist.
Hat man den Account geknackt, hat man erstmal Zugriff auf Mails, Adressbücher, Kalender, alles, was das jeweilige System bietet.
Hier wurde also nicht gezielt gefragt „wie kommen wir an die Handynummer von Schulz/die Mail von Böhmermann“ dran.
Vielmehr wurde ein Schleppnetz ausgeworfen, mit dem möglichst viele Accounts aus dem Umfeld von TV-Produktionsfirmen und -Sendern sowie Parteien abgefischt wurden. Dass Schulz und Böhmermann Opfer wurden, war also ein Zufall. Es hätten auch Johannes B. Kerner und Claudia Roth sein können.
Wie geht die Politik damit um?
Ich wette: Mit neuen Gesetzen, die das Doxing unter harte Strafe stellen. Was unsinnig ist, denn das Hacken der Daten ist nach §202a des Strafgesetzbuches als „Ausspähen von Daten“ schon seit Ewigkeiten strafbar. Und auch Doxing ist schon strafbar.
Und dem Wunsch, zurück hacken zu dürfen. Also, wie von Politikern gefordert wurde, notfalls auch Server im Ausland von Deutschland aus zu hacken und außer Betrieb zu nehmen, wenn auf ihnen solche Inhalte veröffentlicht werden.
Einen Hack gegen Facebook, weil dort Doxing gegen den Bundesinnenminister betrieben wird, stelle ich mir amüsant vor, zumal es sicherlich der letzte „Hackback“ gewesen sein wird.
Sinnvoll wären Gesetze, die alle BetreiberInnen von Webseiten mit Nutzeraccounts ausdrücklich zwingen, von den NutzerInnen sichere Passwörter zu verlangen. Aber auch in Deutschland gibt es noch heute Firmen, die beim Ausführen der Passwort-vergessen-Funktion das aktuelle Passwort im Klartext per Mail schicken (dazu muss es – siehe oben – erstmal im Klartext gespeichert sein, vom irrwitzigen Versand des Passworts in einer unverschlüsselten Mail mal abgesehen)
Und Banken – bis heute gibt es Banken, die als „Passwort“ zum Online-Banking maximal eine 6stellige numerische PIN vorsehen. Ich hab mal die IT einer solchen Bank befragt, wieso man dort keine zeitgemäßen Passwörter nutzen könne – weil man bei vielen Kunden dann regelmäßig Supportfälle hätte, die Mehrheit könne sich sichere Passwörter eh nicht merken.
Also riskiert man, dass viele Kunden ihr Geburtsdatum als PIN nehmen.
Und sowas hat eine Bankzulassung!
Wie gehen wir damit um?
- Wir sichern unsere Computer. Denn so schützen wir auch unser Umfeld. Updates einspielen, Virenscanner, bei WORD-Dokumenten aus dem Netz Scripte abschalten.
- Wir ändern alle Passwörter. Die lassen wir uns auswürfeln und stopfen sie danach in einen verschlüsselten Passworttank. 1Password, LastPass, Bitwarden, es gibt reichlich davon.
- Wir laden keine Adressbücher bei Twitter, Facebook, Instagram & Co hoch, um dort nach unseren Freunden suchen zu lassen.
- Wir ersetzen alle Passwörter durch ausgewürfelte Passwörter.
- Ach, das hatten wir schon?
- Wir reduzieren die Anzahl der Accounts. Wenn wir für den Download eines exotischen Scannertreibers einen Account anlegen müssen, nutzen wir eine Wegwerfmailadresse, wie sie auf Trashmail-Diensten angeboten werden, und vergessen den Account danach.
Oder lest einfach bei Jawl.