Notizen

    Defcon25

    31. Juli 2017

    Vier Tage Wüstensand und Hackerschweiß

    Glühend heißer Wind schlägt mir ins Gesicht, als ich das Airport Terminal verlasse. Willkommen in der Wüste Nevadas, Willkommen in Las Vegas, Willkommen zur Defcon25.

    Es heißt, die Defcon sei die weltweit größte Hacker Konferenz und die „große“ Schwester des winterlichen, deutschen CCC-Kongresses. Mehr als 23.000 Geeks, Nerds, IT-Security Spezialisten treffen sich hier für vier Tage, in der niemals schlafenden Stadt der ewig klingelnden einarmigen Banditen.

    Bild Las Vegas von obenBild Las Vegas aus dem Hotelzimmer

    „Die Defcon soll eine Veranstaltung für jeden sein, der kommen mag“, so sagt es Hacker und Gründer Dark Tangent. Und weil das so ist, die Defcon ständig größer wird, muss beinahe jedes Jahr ein neuer Ort gefunden werden, an dem die Vorträge, Workshops und Hackerwettbewerbe statt finden können.

    Dieses Jahr ist die Konferenz zum ersten Mal im Ceasar’s Palace, im: „Center of the strip, where everything happens“, wie es der Taxifahrer ausdrückt, der mich vom Flughafen ins Hotel bringt.

    Bild Ceasers Palace

    Defcon

    Zeit, um viele Talks anzuhören, sich mit anderen auszutauschen und die kleinen „Villages“, die spezialisierten Bereiche mit ihren Workshops, aufzusuchen.

    Sehr beliebt ist die „Packet Hacking Village“ über der die „Wall of Sheeps“ prangt. Hier werden Logins aufgereiht, Nutzer die in einem der zahlreichen unverschlüsselten W-Lans surfen, dort ihre Emails checken. Die richtigen „Defcon-Pros“ reisen hier mit Zweitgeräten an, die sie vorher von allen Daten befreit haben, surfen nur mit VPN, verschlüsseln Mails und Textnachrichten.

    Foto Wall of Sheep

    Für mich interessant, die „Car Hacking Village“, dort werden Autos aufgemacht. Vor allem, um die Motorsteuerung zu manipulieren, die Autos zu tunen und um Sicherheitslücken zu finden. Nur zum Diesel-Skandal hackt hier keiner - „you are the first one asking about that“, sagt mir einer der Initiatoren.

    Manipulierte Wahlen

    Die „Voting Village“ ist für die US-Besucher der Hit dieses Jahr. Dort werden Wahlmaschinen in atemberaubendem Tempo gehackt. Dabei werden sie funktionsunfähig, spucken alte Wählerdaten aus oder übermitteln falsche Ergebnisse.

    Foto Voting Village

    Die Manipulation der US-Wahl, die mögliche Beeinflussung durch Hacker und durch soziale Netzwerke findet sich in einigen Talks. In einem sogenannten „Skytalk“, der nicht aufgezeichnet werden darf, bei denen Helfer kontrollieren, dass Mobiltelefone nicht benutzt werden, berichtet ein Security-Spezialist über den Weg von Fancy Bear/ Sofacy Group. Erzählt über „Guccifer 2.0“, der sich als „Hacktivist“ tarnte, aber doch eher ein „Faketivist“ war und kompromittierendes Material zu den US-Demokraten veröffentlichte.

    In „Rage against the Weaponized AI Propaganda machine“ stellt Chris Summer eine Studie vor, in der er vier verschiedene maßgeschneiderte Anzeigen auf Facebook getestet hat. „Wenn ich nichts zu verbergen habe, habe ich auch nichts zu befürchten“ ist dabei eine der definierenden Variablen. Je nachdem, in welche Richtung der Zeiger ausschlägt, wird die Anzeige passgenau auf die Zielgruppe zugeschnitten. Im Ergebnis werden diese Anzeigen (für mehr Überwachung, mehr staatliche Kontrolle) signifikant besser angeklickt.

    Interessante Erkenntnisse, auch vor dem Hintergrund der kommenden Bundestagswahl.

    Hackertreff

    Als Speaker treffen Andreas Dewes und ich vor allem andere Speaker. Da ist Nathan Seidle (diesjähriger Defcon Star) von Sparkfun Electronics mit seinem Safe-Cracking Robot. „Meine Frau hat mir einen gebrauchten Safe zu Weihnachten geschenckt“, erzählt er: „<Hier Nathan, die Kombination hat der Eigentümer vergessen>, hat sie gesagt und dann habe ich mich rangemacht“. Stolz zeigt er seinen Roboter, viele seiner Teile kommen aus dem 3-D Drucker, den Prozessor hat er selbst programmiert.

    Foto Nathan und der Safe-Cracking Robot

    Der Roboter „spürt“ bei den minimalen Drehbewegungen, die er macht, um den Safe zu öffnen, die noch so kleinsten Abweichungen (nicht ertastbar für die menschliche Hand) und kann so innerhalb von wenigen Sekunden die Kombination erraten und den Safe öffnen. Hier, einer, der vielen Artikel über den Safe-Cracking Robot.

    Viele, die wir hier treffen, präsentieren in diesen Tagen Sicherheitslücken, die sie entdeckt haben. Sie berichten von stunden- tage- monatelanger Kleinstarbeit. Sind Wissenschaftler, arbeiten an Universitäten oder für IT-Secutity Unternehmen. Ihre Talks kann man auf der Seite der Defcon25 nachschauen - ihre Folien nachlesen (Stoff für Monate).

    Und abends? Feiert die Defcon. Beim Hackerjeopardy, das doch sehr anders ist, als der Ableger auf dem CCC-Kongress, bei elektronischer Musik, in den Bars und Casinos.

    Die Defcon, für mich ein sehr besonderes Erlebnis.

    An dieser Stelle Dank an die Robert-Bosch Stiftung, deren Stipendium „Tauchgänge in die Wissenschaft“ mir, zumindest teilweise, die Konferenz ermöglicht hat.

    Wannacry

    14. Mai 2017

    Digitaler Bankraub

    Mehr als 200.000 kompromittierte Systeme weltweit, in mehr als einhundert Ländern. Mit diesem Erfolg hätten wohl die Erpresser selbst nicht gerechnet. Eine Art digitaler Bankraub. Ohne Waffen und ohne Tresor aufbrechen. Dafür aber an tausenden Orten, mehr oder weniger zeitgleich. Aber von Anfang an:

    Kurz vor Ostern veröffentlichte eine Gruppierung, die sich selbst „Shadow Brokers“ nannte eine außergewöhnliche Sammlung. Was in der Tech- und IT-Welt das gesamte Osterwochenende und in den Folgewochen für Aufruhr sorgen sollte, blieb zunächst einer breiten Öffentlichkeit verborgen.

    Vier Wochen später kam „Wannacry“:

    Quelle: Tagesthemen

    Die Dateien, die die „Shadow Brokers“ veröffentlichten befand so manch ein Experte „als die größte Enthüllung bislang“ oder als ein bemerkenswertes „Waffenarsenal“. Darin enthalten zahllose Schwachstellen. Schlupflöcher, die es Kriminellen leicht machen, in Computer und Systeme einzudringen. Untersuchungen von IT-Spezialisten legen nahe: Die Sammlung stammte aus den Beständen der NSA, dem US-Geheimdienst oder einem ihrer Vertragspartner. Dieser NSA, die eigentlich für die Sicherheit von US-Bürgern zuständig ist. Und dessen Selbstverständnis sich in den letzten Jahren zunehmend verändert hat.

    Glaubt man dem Whistleblower und ehemaligen NSA-Mitarbeiter Edward Snowden, so ist die NSA in ihrer jüngeren Vergangenheit zu einer Art „Hacking Agency“ geworden.

    Interessanterweise hatte zum Beispiel Microsoft für zahlreiche der veröffentlichten Sicherheitslücken bereits Wochen zuvor ein „Update“ herausgegeben. Ein kleines Stück Code, das das System repariert und die Schwachstelle schließt. Allerdings, und das wir später wichtig werden, nur für aktuelle Versionen des hauseigenen Betriebssystems Windows (und nicht etwa für das abgelaufene Windows XP).

    Was dann geschah

    In den folge Wochen beobachteten Experten immer wieder kleinere Angriffe, die sich auf die verschiedenen veröffentlichten Schwachstellen zurück führen ließen.

    Und da Windows ja bereits Updates heraus gegeben hatte und auch andere Firmen entsprechend reagierten, hätte man meinen können, das Potential des veröffentlichten „Waffenarsenals“ wäre verpufft. Oder Angriffe würden im Verborgenen laufen, Kriminelle würden ihre Informationen abziehen und die Schwachstelle unverhohlen weiter nutzen.

    Mit den Geschehnissen vom 12. Mai änderte sich das radikal. Ein sogenannter Ransomware Angriff, ungezielt durchgeführt, traf auch deutsche Computersysteme und vor allem aber viele Unbeteiligte.

    So wie es sich hier eindrücklich zeigt:

    Tweet mit Bild einer befallenen Anzeigetafel

    Fotos von Twitternutzern, die die Anzeigetafeln der Deutschen Bahn zeigen, die nicht mehr funktionierten.

    Tweet mit Bild einer mit Kreide beschriebenen Tafel mit Abfahrtszeit und Zielort

    Großer Schaden - wenig Ertrag

    Bei einem Ransomware Angriff geschieht nichts weiter, als dass das Schadprogramm sofort anfängt wichtige Dateien zu verschlüsseln. Verschlüsselt heißt in diesem Fall, sie sind für den Anwender weder lesbar, noch nutzbar.

    Meist dauert das eine kleine Weile und mehr oder weniger schnell erscheint dann die Nachricht, man müsse jetzt zahlen oder alle Dateien blieben für immer verschlüsselt.

    Ich habe mich für einen früheren Bericht mit verschiedenen Opfern von Ransomware unterhalten. Manche von ihnen werden sehr gezielt angegriffen. Das heißt, der Angreifer weiß genau, wie hoch die Summe sein darf, die er fordern kann. Bei einem Hotel, mit dem ich zum Beispiel Kontakt hatte, verschlüsselte eine Ransomware das Buchungssystem. Die Besitzer zahlten sofort, rund 3000 Euro. Der Verlust der Daten wäre teurer gewesen.

    Im aktuellen Fall allerdings, ist die Forderungssumme vergleichbar niedrig. 300 US Dollar, rund 270 Euro, fordern die Erpresser. Das passt zum massenhaften Aussenden der Schadsoftware, spricht aber nicht für Professionalität. Denn viel Geld haben die Kriminellen mit ihrer Aktion bislang nicht verdient. Rund 31.000 Euro, Stand 14. Mai. Aktuelle Informationen dazu hier.

    Der gesellschaftliche Schaden indes ist immens und lässt sich kaum beziffern. Auch drei Tage später funktionieren Anzeigetafeln nicht.

    Screenshot von strecke.info der deutschen Bahn mit Angabe der ausgefallenen Anzeigetafeln

    Quelle: Streckeninfo Deutsche Bahn

    Schlimmer ist es in England, wo der Angriff vor allem das als marode geltende Gesundheitssystem trifft. Computer sperren sich oder müssen aus Sicherheitsgründen abgeschaltet werden. In Folge lehnen Krankenhäuser Patienten mit weniger dringenden Anliegen ab. Nur noch Notfälle können behandelt werden. Jedes 5. Krankenhaus ist am 13.05.2017 von dem Computerschädling betroffen.

    Genauso bei einigen Renault Werken in Frankreich, in denen ebenfalls aus Sicherheitsgründen Systeme abgeschaltet werden müssen.

    Weiter werden Schwierigkeiten bei der spanischen Telefongesellschaft Telefonica bekannt.

    Valide Informationen zur Verbreitung des Angriffs liefert ein britischer IT-Forscher auf seinem Blog Malwaretech. Ihm gelang es auch die Attacke vorerst zu stoppen.

    Die Frage nach der Verantwortung

    Wer das Update installiert hätte, dem hätte ja keine Gefahr gedroht. Sprich bei allen anderen wäre es Selbstverschulden gewesen. So formuliert es Arne Schönbohm, Chef des Bundesamt für Sicherheit in der Informationstechnik und sicher hat er damit auch ein Stück weit recht.

    Doch die Kritik lässt sich weiter fassen: Wer betreibt, warum noch das veraltete Betriebssystem Windows XP? (Wahrscheinlich die Bahn auf ihren Anzeigetafeln).

    Und inwiefern sehen wir hier die Folgen einer ausufernden „Verwandlung“ einer US-Behörde, von einer Schutz-Behörde zu einer Angriffs-Behörde? Und so liegt die Verantwortung eben nicht allein bei jedem Nutzer, sondern gewiss auch bei denen, die diese Schwachstellen fanden, ausnutzten und nicht den Herstellern zurück meldeten.

    Nackt im Netz

    8. Mai 2017

    Talk auf der re:publica

    Was könnte man machen, wenn man Zugriff auf dein Persönlichstes hätte? Auf das Intimste, was du hast? Ziemlich viel. Was genau, haben wir in einer monatelangen Recherche herausgefunden. Für ein Experiment haben wir unzählige Firmen unter falschem Namen kontaktiert und am Ende deine persönlichen Daten erhalten. Deine „Click-Stream Daten“, jede URL, jede Seite, die du im Internet an gesurft hast.

    Unser Talk zur Recherche und mehr am 10. Mai auf der re:publica Link - Stage 5, 13:45–14:15