Notizen

    Build your own NSA

    Dec 14, 2016

    Vortrag auf dem Chaos Communication Congress

    Gemeinsam mit dem Datenwissenschaftler Andreas Dewes werde ich zu den Hintergründen zu #nacktimnetz auf dem diesjährigen “Hackerkongress”, dem 33C3, vom 27.–30.12. in Hamburg, sprechen. Dabei werden wir zum Einen einen tieferen Einblick in die Recherche an sich geben und zum Anderen ausgewählte Ergebnisse vorstellen, die nochmal ein gutes Stück weiter als das gehen, was wir bislang veröffentlicht haben.

    Und so lautet die Ankündigung:

    When thinking about surveillance, everyone worries about government agencies like the NSA and big corporations like Google and Facebook. But actually there are hundreds of companies that have also discovered data collection as a revenue source. Companies which are quite big, with thousands of employees but names you maybe never heard of. They all try to get their hands on your personal data, often with illegal methods. Most of them keep their data to themselves, some exchange it, but a few sell it to anyone who’s willing to pay.

    We decided to do an experiment: Using simple social engineering techniques, we tried to get the most personal you may have in your procession. Your “click-stream data”, every URL you have been visiting while browsing the web.

    After a couple of weeks and some phone calls we were able to acquire the personal data of millions of German Internet users - from banking, over communication with insurance companies to porn. Including several public figures from politics, media and society. In the talk, we’ll explain how we got our hands on this data, what can be found inside and what this could mean for your own privacy and safety now and in the future.

    Rakete vor dem CCH in der Dunkelheit

    Hintergrundgespräch zu nacktimnetz in Berlin

    Nov 23, 2016

    Unsere Recherche hat viele Fragen aufgeworfen, vor allem im politischen Berlin. Schließlich hatten wir in den Daten auch zahlreiche Abgeordnete und deren Mitarbeiter gefunden, die natürlich genauso betroffen waren und sind, wie jeder “normale” Internetnutzer.

    Deshalb waren am Abend des Hintergrundgesprächs bei der Stiftung Neue Verantwortung viele interessierte Mitarbeiter aus den Behörden und Ämtern, einige Abgeordnete selbst und Medienvertreter vor Ort.

    Ich veröffentliche hier (mit Dank an die Stiftung) einen kleinen Auszug aus dem Hintergrundgespräch, das Julia Manske moderiert hat:

    Julia Manske: In den Berichten hieß es, Sie haben Zugang bekommen von den Browserdaten von drei Millionen Deutschen. Sie haben in Ihren Filmen gezeigt, dass Sie dafür eine Firma gegründet haben. Wie funktioniert denn das? Wie bekomme ich Zugang zu solchen Daten?

    Svea Eckert: Das war auf der einen Seite erstaunlich leicht und auf der anderen Seite harte Arbeit. Ich habe eine Webseite eines Tech-Startups erstellt mit ein paar schicken Fotos und einem passenden LinkedIn-Profil einer dort angestellten Senior Consultant. Damit hatte ich später mehr als 100 Kontakte. Das heißt, ich hatte irgendwann ein einigermaßen glaubwürdiges Profil als Senior Consultant dieses kleinen Tech-Startups.

    Unter diesem Namen und mit dieser Legende habe ich angefangen ziemlich großflächig, Firmen anzumailen und anzutelefonieren, in Deutschland aber auch international, also USA, England, Israel, auch Osteuropa. Ich habe im Prinzip eine Liste abgearbeitet.

    In der Regel habe ich das Sales-Team angeschrieben, habe geschrieben, dass wir ein junges Startup sind und eine bestimmte Analyse machen wollen. Dafür bräuchten wir ganz bestimmte Daten, Daten aus der „Customer Journey“. So heißt das in der Branche. Immer verbunden mit der Frage: „Was können Sie da anbieten?“.

    Julia Manske: Und was genau verstehen die unter Customer Journey?

    Svea Eckert: Das ist die Reise des Nutzers im Netz, zum Teil über alle seine Geräte hinweg. Also die Reise des Nutzers, das können Tracker-Daten sein, das können auch Daten von verschiedenen Geräten sein, das können Desktopdaten sein, die aufzeigen was man im einzelnen angeklickt hat.

    Ich habe immer offen danach gefragt, weil ich erst mal ins Gespräch kommen wollte und gucken wollte: „Was bieten die Firmen an?“. Das steht oft nicht auf der Homepage. Und dann habe ich einfach abgewartet: „Was kommt zurück?“.

    Die Reaktionen waren sehr unterschiedlich. Es gab Firmen, die mir ziemlich deutlich zu verstehen gegeben haben, dass sie keine Nutzerdaten verkaufen. Aber es gab auch eine Handvoll mit denen ich ernsthaft ins Gespräch gekommen bin.

    Julia Manske: Und wie sieht das genau aus, also wie bekommt man nun die Daten? Bekommt man da eine CD geschickt und wie öffnet man die? Also mal so ganz praktisch.

    Svea Eckert: Es gibt im Netz, ich nenne es mal, virtuelle Ablagekörbe und dort liegen diese Daten drin. Man bekommt einen Zugangscode auf einen Server, dann kann man sich dort einloggen und kann auf dem Server mit den Daten arbeiten oder man kann sie auch herunterladen. Das sind aber solche Datenmassen, dass man sie nicht auf einem normalen Computer oder mit einer Festplatte sinnvoll verarbeiten kann.

    Man kann sie nicht mit Excel bearbeiten. Man kann sie nicht als Text-Datei speichern und selbst wenn man sich von den Daten einen Auszug als Text-Datei rausziehen würde, man könnte darin erstmal gar nichts lesen. Die Daten müssen schon irgendwie gefiltert werden, man muss sie aufbereiten.

    Ganz konkret heißt das, man kann nicht irgendwie Angela Merkel eintippen und dann kommt ein Ordner und dann steht da „Angela Merkel Best-of“. Man muss sich eine Strategie überlegen: „Wie werte ich die aus?“, weil diese Firmen, das sind ja keine Geheimdienste oder so. Die legen keine Ordner von jeder Person ablegen, sondern das sind Analysefirmen, Statistikfirmen, Tracker-Firmen. Man muss schon selbst heraus finden, was man dann mit den Daten machen kann.

    Julia Manske: Konnten Sie jetzt diese Daten öffnen? Haben Sie schon gesehen: „Oh, da ist der Richter, über den auch ein Bericht geschrieben wurde, der bestimmte sexuelle Präferenzen hat, den finde ich jetzt hier und kann jetzt anhand dieser Daten auch noch nachvollziehen, was der gerne abends nach 20 Uhr macht?“

    Wir haben nach einer Weile herausgefunden, dass sich Klarnamen finden, wenn die Nutzer sich irgendwo im Netz identifizieren, also zum Beispiel bei XING oder bei LinkedIn oder bei der Deutschen Bahn oder bei Twitter oder wenn sie über den Fernzugriff des Deutschen Bundestages E-Mails abrufen.

    Das heißt, wenn man zum Beispiel auf einem Fernzugriff seine E-Mails abruft, dann gibt man bei manchen Unternehmen oder Institutionen seine E-Mail-Adresse ein. Und dann gibt es manche Anbieter, bei denen springt der Name des Nutzers in die URL.

    Deswegen haben wir in diesem Datensatz gezielt nach Logins gesucht. Dann hatten wir am Ende Listen mit Login-Daten. Das heißt, das sind dann noch nicht die Daten der Personen selbst, sondern das ist einfach nur, wer da namentlich möglicherweise drin ist in dem Datensatz.

    Diese Login-Daten haben wir abgeglichen mit den Namen der Bundestagsabgeordneten zum Beispiel oder mit den Twitter-Namen der Bundestagsabgeordneten. So und da sind ein paar Leute sozusagen „unten rausgefallen“ und die haben wir dann angesprochen.

    Zum vollständigen Protokoll des Gesprächs

    nacktimnetz

    Nov 6, 2016

    Fragen der Zuschauer

    Weil viele Zuschauer aufgrund unserer #nacktimnetz Berichterstattung in den letzten Tagen viele Fragen hatten, gehe ich hier auf die drei wichtigsten davon ein:

    Wie kommt mein Name in die Daten?

    Gefunden haben wir die von uns angeschriebenen und zum Teil auch interviewten Protagonisten über ihre URLs. Wenn ein Nutzer zum Beispiel auf Twitter seine eigene Twitter Statistik anschaut, ergibt sich eine charakteristische URL, in der auch sein Nutzername steht. Das gleiche gilt z.B. auch für die Deutsche Bahn, wenn man sich für ein Ticket interessiert und passiert auch bei verschiedenen Email Fernzugriffen.

    Hier existiert auch eine Nachlässigkeit bei den jeweiligen Webseitenbetreibern, die den Benutzer- oder Klarnamen mit in die URL heben. Auf der anderen Seite sind das genau die personenbezogenen Daten, die ein Webdienst nicht ohne ausdrückliche Zustimmung des Nutzers verarbeiten und vor allem nicht weiterverkaufen darf.

    An dieser Stelle ein Dank an @wahl_beobachter, der uns eine Liste mit den Twitter Namen aller deutschen Politikern zu Verfügung stellte.

    Welche Add Ons sind noch betroffen?

    Nicht alle Protagonisten, die wir getroffen und interviewt hatten, hatten WOT installiert. Manche hatten ganz andere Add Ons installiert. Deshalb gehen wir davon aus, dass es noch weitaus mehr Browser-Erweiterungen gibt, die Daten unrechtmäßig sammeln und verkaufen. Wir haben für diesen Bericht nur WOT getestet und deshalb auch nur WOT genannt.

    Was kann ich tun?

    Weil die Add Ons weitreichende Rechte im Browser haben und viele sensible Informationen abgreifen können, macht es Sinn eine Art „Browser Hygiene“ zu betreiben. Sprich, sich gut anzuschauen, wo kommt dieses Add On her? Was steht in der Datenschutzerklärung? Wo ist der Sitz der herstellende Firma? Wie verdient die ihr Geld?

    Für eine gute Idee halte ich die Zwei-Browser Strategie von Matthias Eberl oder die Drei-Browser-Strategie von Mike Kuketz.

    Hacking VW

    May 30, 2016

    Anatomie eines Verbrechens

    VW Krimi NDR Titelbild

    Am 21. November 2006, so belegen es unsere Recherchen, trifft sich eine kleine Riege von VW-Motorenspezialisten: Es gilt auf dem US-Markt erfolgreich zu werden. Das Problem ist der hauseigene Dieselmotor, der die strengen US-Grenzwerte (was den Ausstoß von Stickoxide betrifft) nicht einhält. Sie fällen eine folgenschwere Entscheidung.

    Eine kleine Manipulation in der Software des Autos scheint die schnelle und vor allem billige Lösung zu sein. Man ist sich sicher, niemand wird den Betrug bemerken (dazu muss man wissen, dass 2006 die Prüfmethoden auch noch nicht so fortgeschritten waren, wie heute).

    Das Auto soll fortan erkennen, wann es auf dem Prüfstand steht und getestet wird. Ist dies der Fall, fährt es in einem sauberen Modus. Hält die strengen Grenzwerte ein. Auf der Straße aber fährt es dreckig.

    Durch die Universität West Virginia wird dieser Betrug im Frühjahr 2014 aufgedeckt - Anstatt sofort aufzuklären, verschleiert und vertuscht VW monatelang - führt sogar Anfang 2015 in den USA eine Softwareaktualisierung durch, die Probleme “beheben” soll. Im September 2015 kommt alles durch die US-Behörden ans Licht. Der Rest ist Geschichte.

    Die Nadel im Heuhaufen

    Wir haben uns gefragt: Was genau ist während dieses mysteriösen Softwareupdates in den USA Anfang 2015 geschehen? Denn VW ist damals schon in ausführlichen Verhandlungen mit den US-Umweltbehörden. Eigentlich soll man das “Problem” mit den Stickoxiden beheben. Führt eine aufwendige und teure Rückrufaktion durch. Trotzdem aber können die Grenzwerte danach immernoch nicht eingehalten werden.

    Wozu das Ganze also?

    Dem wollten wir auf die Schliche zu kommen.

    Universitäten mit spezifischen Lehrstühlen zum Thema Auto und Motor stehen in Deutschland in einem besonderen Abhängigkeitsverhältnis mit der Industrie. Teilweise bekommen die Lehrstühle Forschungsgelder oder andere Mittel, teilweise gibt es enge Kooperationen. Keiner kann und will es sich mit der Industrie verscherzen. Im Fernsehen einen Betrug aufdecken, Interviews geben - damit würden sich viele selbst schaden.

    Anders bei Lehrstühlen, die sich allgemeiner mit Software auseinandersetzen. Doch das Feld ist hier sehr breit. Es mussten Experten sein, die sich mit ganz spezieller Maschinensteuerungssoftware auskennen.

    Schließlich enthält eine Motorsteuerung tausende Zeilen an Code, ist umfangreich wie eine Enzyklopädie, kompliziert zu lesen und zu verstehen. Der Code in der Steuerung ist nicht einfach lesbar, sondern muss zunächst “rückübersetzt” und dann (richtig!) interpretiert werden. Außerdem sind die wenigen Zeilen, die den Betrug ausmachen, die regelrechte Nadel im Heuhaufen.

    Für den technischen Teil der Recherche konnten wir den Softwarespezialisten und Hacker Felix Domke gewinnen. Er hatte während des jährlichen Hackerkongresses (Chaos Communication Congress) in Hamburg bereits die Aufarbeitung des Skandals von Softwareseite geleistet. Hatte die Motorsteuerungssoftware seines eigenen VW Sharans analysiert und aufgezeigt, wo und wie Volkswagen den Betrug eingebaut hatte.

    Gemeinsam mit einem weiteren Team von Spezialisten rund um Professor Thorsten Holz von der Ruhr-Universität Bochum machten sich die Experten daran die Software zu entschlüsseln.

    Dabei arbeiten sie parallel, jeder soll unabhängig vom anderen auf seine Ergebnisse kommen.

    Die Spezialisten treffen sich in Hamburg

    Rechercheglück

    Zum Glück hatte ein US-VW Händler das VW interne Rückrufdokument in einem VW-Forum (ja, so etwas gibt es!) ins Netz gepostet. Darin fanden wir vier äußerst wertvolle Zahlen. Die Nummern des spezifischen Updates. Mit Hilfe dieser Zahlen, konnten wir wiederum die Datei finden, die den Code für die Motorsteuerung enthielt.

    Und die galt es jetzt zu entschlüsseln:

    Codefragment des Softwareupdates mit der Nummer _7444

    Wie sieht der Abgasbetrug im Code aus? Am Ende sind es wenige Zeile. Sie verstecken sich in einem Teil, der “Akustikfunktion” genannt wird. Ursprünglich war dieser Teil tatsächlich dafür benutzt worden, während des Fahrens auf der Straße für ein angenehmes Motorengeräusch zu sorgen. Auf dem Prüfstand aber war der Klang des Motors unwichtig, die Funktion konnte abgeschaltet werden. Und um zuverlässig zu arbeiten, musste sie den Prüfstand erkennen.

    Wie aber erkennt ein Auto, ob es auf dem Prüfstand steht?

    Um nachvollziehbare Abgastests zu gewährleisten, fährt der Prüfer auf dem Prüfstand einen genau vorgegebenen “Prüfzyklus” ab. Dieser soll möglichst das Fahren in der Stadt oder auf dem Land simulieren. Also ruckartig anfahren, bremsen, beschleunigen. Wie der Fahrer fährt, ist streng vorgegeben und die Daten für diese Prüfzyklen öffentlich.

    Die Ingenieure bauten in den Code Funktionen ein, die diese spezifische Art des Fahrens erkennen können. Die nachvollziehen können, wie stark z.B. beschleunigt, wie stark gebremst wird, welche Geschwindigkeiten der Fahrer in welcher Zeit fährt.

    Wie VW seinen Betrug fort entwickelte

    Nun hatte VW das Problem, dass die Autos zu oft im “falschen” Modus fuhren. Sprich, auf der Straße dachten, sie seien in einem Prüfzyklus. Sie fuhren dann zwar “sauber”, belasteten allerdings Bauteile im Auto. Zum Beispiel rußten die Partikelfilter schneller zu. Dies wiederum führte zu verärgerten Kunden, die ständig in die Werkstatt mussten, um ihren Partikelfilter austauschen zu lassen. Die VW Ingenieure mussten also den Betrug erweitern. Sie mussten die “Akustikfunktion” ausbauen und damit dafür sorgen, dass das Auto noch zielsicherer erkannte, wann es auf dem Prüfstand steht und wann es auf der Straße fährt.

    Sie erlaubten dem Auto zu erkennen, ob das Lenkrad sich bewegt. Denn: Auf dem Prüfstand steht das Lenkrad starr. Auf der Straße aber macht der Fahrer typische Lenkbewegungen. Immer also, wenn das Auto keine Lenkbewegungen feststellen konnte, der Motor aber lief und es die typischen Geschwindigkeiten fuhr, wusste es nun, dass es getestet wurde und schaltete in den “sauberen” Modus um.

    Sowohl Felix Domke, als auch das Team um Thorsten Holz konnten unabhängig voneinander diese neue “Lenkwinkelfunktion” im Code nachweisen. Dafür verglichen sie die Software der Motorsteuerung vor dem Update und nach dem Update in den USA und konnten feststellen, dass an der Betrugsfunktion gearbeitet worden war. Das Auto erkennte jetzt den Lenkwinkel und brachte ihn in Verbindung mit der Abgassteuerung.

    Kurven

    Dieses Dokument, gezeichnet von Felix Domke, zeigt die spezifischen Prüfzyklen in den USA. Diese Zyklen sind in der Motorsteuerung hinterlegt. Bewegt sich das Auto innerhalb der Prüfzyklen weiß die Motorsteuerung, dass das Auto gerade getestet wird und schaltet in seinen “sauberen” Modus um.

    Die Ergebnisse sind zu sehen in der Tagesschau und in den Tagesthemen - vom 10.03.2016

    Und abschließend in der der Dokumentation der “VW-Krimi” im NDR Fernsehen - vom 25.05.2016

    Der Spion in meiner Kamera

    Feb 5, 2016

    Die Geschichte hinter den Spy Cams

    Seit einigen Jahren taucht das Thema in meinen Recherchen immer wieder auf: Webcams und ihre Tücken.

    Zum ersten Mal davon gehört, habe ich während eines Vortrags auf dem Chaos Communication Congress. Ein „Hacker“ schaltete sich auf diverse Kameras mit Hilfe von Shodan (eine Suchmaschine für das Internet der Dinge). In Waschanlagen, hinter Kassierer, in Klassenräume. Sehr beeindruckt war ich da.

    Live im OP-Saal

    Für unsere Dokumentation „Schlachtfeld Internet“ waren wir auf der Suche nach Industrieanlagen. „Maschinen“, die ans offene Internet angeschlossen sind und vor deren Steuerung kein Passwort eingegeben werden muss. Der Pen-Tester (das ist so etwas wie ein professioneller Hacker, den Unternehmen anheuern können) Götz Schartner hat in einer mehrwöchigen Aktion Millionen von IP-Adressen für uns „gescannt“. Das heißt, er hat geschaut, ob Industriesteuerungsanlagen (vom Fließband bis zum Kraftwerk) erreichbar sind, das heißt man von außen auf sie zugreifen kann. Manchmal brauchen Techniker das zu Wartungszwecken und manchmal vergessen sie, dass man da ein Passwort setzten muss, damit nicht jeder reinschauen bzw. die Steuerungen manipulieren kann.

    Eine Art „Beifang“ dieses Scans waren auch einige Web-Cams. Für unsere Dokumentation haben sie uns nicht interessiert, wir waren ja auf der Suche nach Produktionsstraßen, Hochöfen und Kraftwerken (Web-Cams waren einfach zu „klein“). Aber damals war es schon beeindruckend, wer alles so ungesichert, live ins Netz streamt. Darunter zum Beispiel eine Schönheitsklinik mit OP-Sälen. Ist gewiss nicht unbedingt der Ort, wo man als Patient beobachtet werden möchte.

    Der Fall Aldi und Maginon

    Jetzt ist an dem aktuellen Fall besonders interessant, dass wir so viele private Kameras finden konnten. Das war damals nicht so. Wir können heute in sehr viele Privatwohnungen, Garagen und Hauseingänge schauen. Warum ist das so?

    Aldi und Hofer haben in einer Aktion kurz vor Weihnachten preiswerte Kameras von Maginon im Angebot gehabt. Ich schätze, dass einfach sehr, sehr viele Privatanwender das als „Chance“ gesehen haben „Haus und Hof“ zu überwachen.

    In einem oberflächlichen Scan auf Shodan finden sich weltweit 10.000 Webcams dieser Art, rund 4000 gibt es davon in Deutschland. Ein Teil der Kameras verbindet sich automatisch mit dem öffentlich zugänglichen Internet, das ist das erste Problem. Das zweite liegt dann im Nutzer selbst, der nicht daran denkt, die Kamera zu konfigurieren und ein Passwort zu vergeben. Und so kommt es dazu, dass wir hunderte Kameras haben, auf die jeder zu jeder Zeit zugreifen kann.

    Schlafende Babys

    Während unserer Recherchen finden wir viele Eltern, die die Kameras als Babyphone einsetzen. Und da sich die Kameras vom Internet aus steuern lassen, können Fremde sich auch im Kinderzimmer umschauen. Genauso einige Kameras, die in Wohnzimmern und Esszimmern aufgestellt sind. Manchmal wohl um die Haustiere zu „überwachen“, einmal hatten wir den Eindruck in eine Ferienwohnung zu schauen.

    Es ist ein gruseliges und unangenehmes Gefühl, Menschen so beobachten zu können. Wir hatten gelegentlich den Eindruck, dass wir nicht die einzigen waren, die gerade zuschauten. Immer wieder gab es neue Kamerapositionen oder die Namen der Kameras waren zum Beispiel in „p0wned“ (Hackersprech für „gehackt“) umgeändert worden.

    Wir sind mit einem NDR-Kamerateam dann in ein Nagelstudio in Braunschweig gegangen, um die Besitzerin zu fragen, was sie davon hält, dass sie ihre Kunden ins Netz streamt.

    NDR Interview Nagelstudio

    Ihre Reaktion zeige ich in einem meiner Beiträge für das ARD-Mittagsmagazin und Brisant am Safer Internet Day.

    Was tun?

    Ein Gutes hatte unsere Medienberichterstattung in diesem Fall gewiss: Zunehmend mehr Käufer dieser unsicheren Kameras wurden auf das Problem aufmerksam und vergaben ein Passwort. Und: Jeder der eine Webcam, auch von anderen Anbietern, für sich arbeiten lässt, kann noch einmal nachschauen, ob die nicht ins offene Internet streamt bzw. sich ohne Passwort erreichen lässt.

    Für mehr technische Details empfehle ich den Artikel von Dominik Herrmann, Informatiker und Sicherheitsexperte von der Deutschen Gesellschaft für Informatik.