Vorsicht beim Datenaustausch mit sich wechselnden Partnern!
Die USB-Schnittstelle eignet sich hervorragend zur Sabotage und Industriespionage, dies hat Stuxnet eindrucksvoll gezeigt. Das Problem ist nun, dass die USB-Schnittstelle über keinerlei Sicherheitsmechanismen verfügt. Ein unbekannter USB-Stick kann ausreichen, um ein System zu infiltrieren. Über die USB-Schnittstelle kann man die gesamte Hardware ansteuern und auf alle Daten zugreifen, ohne dass es der Anwender bemerkt.
Das tolle an USB ist, dass man auch an besonders gesicherte offline Systeme herankommt, denn auch diese müssen ja irgendwie konfiguriert werden oder Updates erhalten.
Wie Stuxnet nun gezeigt hat, kann man selbst in hochgesicherte Bereiche problemlos per USB eindringen. Ein normaler Anwender kann die daraus resultierenden Gefahren gar nicht mehr überblicken oder auch nur einschätzen.
Der Schaden kann schlimm sein, wenn der PC mit Viren verseucht ist.
Ein gefundener USB-Stick reicht aus. Sobald dieser an den PC angeschlossen wird, kann alles vorbei sein. Die Autostartfunktion von Windows ist dafür nicht notwendig, sollte aus Sicherheitsgründen aber dennoch immer deaktiviert sein. Ein manipulierter USB-Stick könnte sich als USB-Tastatur am Rechner anmelden und beliebige Kommandos an ihn senden, ganz wie eine Tastatur. Der Anwender bekommt davon nichts mit, wenn diese Kommandos geschickt ausgeführt werden. Man könnte auch per Werbegeschenk USB-Mäuse an bestimmte Schlüsselpositionen in Firmen versenden. Diese USB-Mäuse installieren dann beim Anschluss an den PC ihre Trojaner und ermöglichen den Zugriff von außen auf das gesicherte Firmennetzwerk.
Aber inzwischen hat ja fast alles eine USB-Schnittstelle. Wer kommt schon auf die Idee, dass der Fernseher verseucht sein könnte. Ein Film den man per USB am Fernseher gesehen hat kann unbemerkt dort Schadsoftware installieren. Diese verbreitet sich dann weiter über jeden weiteren USB-Stick, der am Fernseher angeschlossen wird.
Jedes Handy hat inzwischen eine USB-Schnittstelle. Ein manipuliertes USB-Ladegerät kann problemlos alle Daten vom Handy runterladen und einen Trojaner auf dem Handy installieren. Das Ladegerät kann dann auch gleich unbemerkt über das Stromnetz angesteuert werden und die erbeuteten Daten versenden.
Oder es wird ein teures Handy zum Testen zugesendet. Sobald es am PC angeschlossen wird, um das Adressbuch oder Termine abzugleichen, kann das Handys den PC übernehmen.
Keine Panik, die Hacker sind die Guten!
Die Komplexität eines PC kann schon lange nicht mehr von einem normalen Anwender überblickt werden. Es wäre sehr naiv zu glauben, dass ein normaler Anwender alle sich ständig ändernden Sicherheitslücken kennt und weiß wie er auf sie reagieren muss. Selbst das Betriebssystem auf dem neusten Stand zu halten, kann über die Auto-Update-Funktion zur Gefahr werden, denn wer weiß schon was da alles von wo nachinstalliert wird. Die Banken wissen dies längst. Wer aber beim Homebanking Probleme hat muss der Bank erst einmal nachweisen, dass er alles richtig gemacht hat. Dies ist unmöglich bei heutigen Systemen und die Homebanking-Software müsste ganz anders konstruiert sein, um auf diese Gefahren reagieren zu können. Statt dessen stellen viele Banken ihr Verfahren so um, dass sie die Transaktionscodes über das Mobilfunknetz senden. Wohl wissend, dass diese Übertragung nicht abhörsicher ist und das Handy auch eine sehr unsichere Plattform ist.
Auch der elektronische Personalausweis, kann nur so sicher sein, wie sein Lesegerät, das per USB angeschlossen wird. Von der Regierung ist es mehr als naiv zu erwarten, der Bürger könne ein sicheres System betreiben, auf dem er dann den neuen Personalausweis einsetzt. Identitätsdiebstahl wird, sobald das System verbreiteter und damit lohnender für Kriminelle ist, ein großes Problem werden.
Da Sicherheit auch immer eine Kostenfrage ist und Profit die einzige Antriebskraft im Kapitalismus ist, stehen uns unsichere Zeiten bevor.
Wenn man sich etwas auf den Untergrundseiten im Netz rumtreibt, dabei hin und wieder was sinnvolles dort postet, dann hat man sie früher oder später an der Backe. Die Noobs, die entweder wollen, dass du den Facebook-Account der Ex-Freundin hackst, irgendwas peinliches aus dem Netz löscht oder sie wollen wissen wie man Hacker wird. Ihr Wissen über Hacker haben sie meistens aus dem Fernsehen von eher wenig realistischen Darstellungen. Wenn man denen dann ein paar gute Links mit Tutorials gibt, kommt nur zurück: „Du glaubst doch nicht, dass ich mir das alles durchlese?“
Deswegen hier die Schnellanleitung, wie man ohne viel Aufwand ein cooler Hacker wird:
Zuerst einmal braucht ihr den richtigen Browser. Die meisten Hacker schwören da auf Firefox, weil man ihn so gut mit diversen Plugins konfigurieren kann. Dies geht zwar am besten, wenn man die Konfiguration selbst vornimmt und abstimmt, aber dafür haben wir keine Zeit. Deswegen empfehle ich Mantra, dort ist schon alles eingestellt.
Einmal Hacker spielen, mit dem richtigen Browser kein Problem ...
Jetzt müsst ihr nur noch ein paar Webseiten mit coolen Bildern und welche, die nach hacken aussehen aufrufen und dann über das „Tile“-Menü alles entsprechend über das Browserfenster verteilen.
Dort könnt ihr beliebig auf der Tastatur herumtippen und es sieht so aus, als wenn ihr was cooles hackt.
Das Ganze trainiert ihr jetzt etwas und dann geht es ab ins Internet-Café oder Rechenzentrum der Uni. Bildschirm vorbereiten mit entsprechenden Bildern und Webseiten und dann fängt man an elegant auf der Tastatur rumzuklimpern. Jetzt dauert es nicht mehr lange und die Chicks schauen euch neugierig über die Schultern und hauchen euch von hinten zu: „Eay, kannste den Facebook-Account von meinem Ex-Freund hacken, bekommst auch alles was du willst von mir dafür …“
Ich will euch aber auch nicht verschweigen, dass der Hacker selten die Braut bekommt. Die wollen euch nämlich nur dafür, dass ihr denen Bezahl-Apps kostenlos auf das iPhone installiert, ihnen Filme besorgt und die dann auch gleich so auf DVD brennt, dass sie die ohne PC am DVD-Player schauen können, oder um ihnen das Office-Paket kostenlos auf den PC zu packen, wenn sie nicht gleich eine komplette Neuinstallation von dem Teil haben wollen.
Falls ihr doch etwas tiefer in die Hacker-Materie einsteigen wollt, dann schaut euch die Plugins vom Mantra an. Lernt sie zu verwenden und meldet euch dann wieder. Mein zweites Tutorial über Hacker setzt nämlich darauf auf, dass ihr diese Plugins sicher verwenden könnt.
Wichtiger Hinweis für die Noobs: Testet die Plugins nicht unbedingt an einer Regierungswebsite. Wenn ihr sie an Google testet, könnt ihr wahrscheinlich danach für mehrere Stunden keine Suchanfragen mehr absenden, weil Google euch gesperrt hat.
Verschlüsselung ist inzwischen zum regelrechten Selbstschutz geworden, wo unsere Politiker glauben eine Email würde nicht unter das Postgeheimnis fallen und im Namen der Sicherheit überall ihre Nase reinstecken. Um private Daten wirklich privat zu halten muss man sie schützen durch eine Verschlüsselung.
Dieses FAQ (Antworten auf häufige Fragen) soll ein Praxisleitfaden sein für alle die eben mall schnell etwas verschlüsseln wollen. Wer sich genauer mit dem Thema beschäftigen möchte kann den Links im FAQ folgen. Für die meisten Anwender ist aber nur entscheidend, dass ihre Daten sicher sind. Dabei sollte man keine Anfängerfehler begehen. Continue Reading
Erinnert ihr euch noch, an die Proteste in Ägypten gegen das dortige Unrechtsregime? Die damalige Regierung hatte mit der Hilfe von Vodafone[1][2] das Mobilfunknetzwerk abgeschaltet, um zu verhindern, dass die Demonstranten miteinander kommunizieren können. Dieser Schritt wurde von westlichen Regierungen damals scharf kritisiert und als Machtmissbrauch und Unterdrückung der Demonstrationsfreiheit gewertet.
Dann gab es noch die sogenannte Twitter-Revolution im Iran, wo sich angeblich Obama persönlich an Twitter gewendet hat, um eine Wartungsabschaltung zu verhindern, die die Kommunikation der Demonstranten im Iran erschwert hätte. Die Versuche der iranischen Regierung, den Zugriff auf Twitter zu verhindern, wurde als Zensur vom Westen kritisiert.
Jeder der an die freiheitlich demokratische Grundordnung glaubt, müsste jetzt spätestens aufwachen und merken, dass da was schief läuft. Da unsere Politiker aber nichts merken zeigt: Wir haben ein gewaltiges Problem!
Ein Unrechtsregime erkennt man weltweit daran, dass es immer zuerst versucht die Kommunikation der Demonstranten einzustellen und sich nicht damit beschäftigt, was die Ursachen der Proteste sind und ob sie berechtigt sind. Leider können wir unsere angeblich demokratischen Politiker nicht zur Nachschulung senden. Insofern zwingen sie uns regelrecht in den Widerstand. Wer sich nicht klar von dem Unrecht distanziert, das gerade in der westlichen Welt abläuft macht sich mitschuldig. Wohin es führt, wenn man seiner Regierung blind vertraut, weiss das deutsche Volk leider nur allzu gut aus der jüngeren Vergangenheit. Sollten wirklich Gesetze beschlossen werden, die die Anonymität im Internet einschränken und den Zugriff auf das Internet erschweren, kommt dies mutmaßlich einem Ermächtigungsgesetz gleich.
Damit könnte in naher Zukunft ein Holodeck wie in Star Treck möglich werden. Dies würde ganz neue Möglichkeiten für die Wissenschaft öffnen. Man könnte Simulationen viel wirklichkeitsgetreuer und anschaulicher durchführen. Schulungen wären auf einem ganz anderen Niveau möglich.
Ein interessante Sache wären natürlich auch ganz neuartige Computerspiele. Endlich mal wie Lara Croft rumhüpfen und kämpfen, ganz ohne Gefahr. Man könnte im Adventure selber durch die Gegend laufen und sich mit Leuten unterhalten. Die Rätsel mit den eigenen Händen lösen …
Bradley Manning: Ist es ein Verbrechen, die Welt über ein Verbrechen zu informieren?
Man stelle sich eine Welt vor, in der man im Internet frei kommunizieren kann und freies Wissen ohne Beschränkungen austauschen kann. Menschen könnten sich selbständig weiterbilden, Menschenrechtsverletzungen und Korruption anprangern und Kunst und Kultur weiter entwickeln. Forschungsdaten würden frei ausgetauscht werden und zum Wohle aller genutzt. Demokratie und Wissenschaft würden zu einer nie dagewesenen Blütezeit entwickelt werden zum Nutzen für die gesamte Menschheit.
Leider wissen wir spätestens seit Wikileaks, dass diese Utopie auch in den westlichen Demokratien nicht gewünscht wird. In den USA wurde Bradley Manning inhaftiert und es stellt sich die Frage: Ist es ein Verbrechen, die Welt über ein Verbrechen zu informieren? Aber vielleicht ist dies auch die Strategie eines Unrechtsregimes, wenn man seine Verbrechen nur durch angebliche Verbrechen aufdecken kann, dann kann man leicht ein rechtschaffenes Volk ohne Gegenwehr versklaven.
Unter dem Missbrauch des Urheberrechts wurde schon oft gegen unliebsame Inhalte im Internet vorgegangen, beispielsweise von Sony bei der Playstation oder bei Schwächen von Wahlmaschinen.
Inzwischen kommt ein weiterer größerer Fall von Missbrauch des Urheberrechts zur Zensur im Web hinzu, die Razzia gegen die Suchmaschine für Streaming-Links unter der Domain kino.to. Die Nutzer waren also ganze 2 Minuten damit beschäftigt sich ein neues Streaming-Portal per Suchmaschine zu suchen. Denn wie das so ist bei einer Suchmaschine oder einem Portal, das nur die Links auf andere Server speichert, bekommt man mit dem Abschalten des Linkverteilers die Inhalte nicht aus dem Netz. Dies musste ja auch schon Zensursula mit ihrer „Sperren statt Löschen“ Kampagne schmerzhaft lernen. Zum Glück liegt es nicht in der Hand der deutschen Polizei alle Suchmaschinen weltweit zu sperren, insofern ist die Aktion als sinnlos zu bezeichnen.
Dennoch versucht die GVU weiter zu verunsichern und meint jetzt, dass sich die Nutzer dieser Portale strafbar machen, weil sie zumindest kurzfristig die Daten in den Speicher ihres Computers kopieren. Dabei galt Streaming gerade als nicht strafbar, weil die Inhalte nicht kopiert sondern sofort angeschaut werden. Bei der tollen Erklärung der GVU, warum es doch strafbar ist, übersieht diese, dass auch eine DVD zum abspielen auf dem Computer ihren Inhalt in den Speicher kopiert. Dies wäre dann ja auch eine illegale Kopie. Demnach dürfte man urheberrechtlich geschützte Filme gar nicht mehr abspielen, was ja jeder leicht als rechtlichen Schwachsinn erkennen kann.
Es sollte bekannt sein, dass die Content-Mafia hinter der GVU steht, damit sich die Wut des Kunden gegen die GVU richtet und nicht gegen z.B. Sony. Schließlich soll man am Regal im Laden nicht daran denken, dass man gerade von Sony verklagt wird, wenn man deren Produkte kauft.
Aber das Internet schaut inzwischen nicht mehr tatenlos zu, wie Regierungen auf den Rechten der Bürger rumtrampeln und Menschenrechte und freies Internet im Iran und China fordern, im eigenen Land davon aber nichts wissen wollen. Die Gruppe Anonymous hat den Kampf um ein freies Internet aufgenommen:
Das interessante an der Gruppe Anonymous ist, dass es einfach und allein die Idee der Freiheit im Internet ist, die diese Gruppe verbindet. Dabei gibt es keine Anführer. In anonymen Chats werden Aktionen besprochen und bei entsprechender Mehrheit durchgeführt. So war die Gruppe bei den Revolutionen im arabischen Raum beteiligt und jüngst bei den Protesten in Spanien und der Türkei.
Die westlichen Demokratien haben sich Menschenrechte und Demokratie auf die Fahne geschrieben. Beides ist aber inzwischen zum politischen Druckmittel verkommen, dass bei wirtschaftlichen Interessen schnell über Bord geworfen wird. Die USA planen gerade ein Schattennetzwerk für Dissidenten. Im Auge haben sie wohl Länder wie den Iran, China und Nordkorea. Dabei übersieht man, dass die eigene Bevölkerung sowas gerade im eigenen Lande errichtet, um sich gegen die Zensur der US-Regierung zu wehren. Man möchte mehr Transparenz und weniger Korruption in den verkrusteten Machtstrukturen und vor allem mehr Mitsprache in einer Demokratie, wo die Macht vom Volke ausgehen soll. Die USA werden sich wohl damit abfinden müssen, dass sie den Cyberwar gegen das eigene Volk werden führen müssen, wenn sie diesen neunen Demokratiebewegungen nicht nachgeben …
Ich war neulich etwas länger in Italien und habe dort einige erschreckende Demokratiemangelerscheinungen festgestellt. Es begann damit, dass ich in einem Internetcafé einige Informationen abrufen wollte. Man erklärte mir dort, dass man zunächst meinen Personalausweis kopieren müsse wegen den italienischen Anti-Terror-Gesetzen, um meine Identität später noch feststellen zu können.
Wenn jetzt also einer von den vielen Besuchern an dem Tag was illegales im Internet anstellt, lässt sich die Polizei die ganzen kopierten Ausweise geben und ich darf dann erklären, dass ich unschuldig bin und wenn ich das nicht kann bin ich dran. Genauso stelle ich mir einen totalitären Staat vor und keine Demokratie.
Nehmen wir mal an, dass Internet hätte schon zu Columbos Zeiten existiert, wie hätte er dann möglicherweise den Fall gelöst?
Nehmen wir an es wäre ein größerer eBay-Betrug, wo jemand Geld kassiert hat ohne die Waren zu liefern. Columbo besorgt sich also die IPs und stellt fest, dass diese zu verschiedenen Internetcafés gehören, von wo mit den Opfern per Email kommuniziert wurde und die eBay-Angebot eingestellt wurden. Er fährt zu diesen Internetcafés aber man kann ihm dort nicht sachdienliches mitteilen.
Da diese Spur ins Leere geführt hat, werden die Geldflüsse überprüft, die auf ein Konto im Ausland in einem Steuerparadies fließen. Die Adressauskunft von der Bank führt wieder ins leere und das Konto wird elektronisch über Proxy-Server im Ausland geführt. Allerdings wird kein Geld von dem Konto abgehoben, sondern Waren bestellt, die an eine existierende Adresse geliefert werden. Es handelt sich um ein größeres Krankenhaus.
In der Poststelle dort erfährt Columbo, dass hin und wieder Warenlieferungen ankommen, die nicht zugeordnet werden konnten und deswegen wieder zurück gesendet wurden. Columbo stellt so seine Fragen, ermittelt und beobachtet den Vorgang einige Zeit und stellt fest, dass die Lieferungen ein Muster enthalten. Ein bestimmter Mitarbeiter ist für die Rücksendung an bestimmten Tagen zuständig. Dieser Mitarbeiter hat die Waren aber nicht zurückgesendet sondern eingesteckt.
Täter durch normale Polizeiarbeit ohne Personalausweiskopien und Vorratsdatenspeicherung gefunden!
Wie würde jetzt die italienische Polizei ermitteln, die ja viel mehr Daten und Technik zur Verfügung hat?
Man holt sich die Ausweiskopien aus dem Internetcafé und speist diese in das Fahndungssystem ein. Alle Personen mit Vorstrafen oder verdächtigen Eigenschaften werden ausgespukt. Alle diese Personen werden angeschrieben und nach ihrem Alibi befragt. Wer nicht Antwortet wird zum Verhör vorgeladen. Dabei ist jetzt ein labiler Verschwörungstheoretiker, der unter dem Verhör heulend zusammenbricht. Er wird als Täter eingebuchtet – Fall gelöst.
Die moderne Technik verführt die Polizei leider dazu, dass sie nur noch Datenbanken abfragen, die dann die Täter ausspucken soll. Dabei wird das Gehirn gerne ausgeschaltet, weil es ja so schön einfach ist und man so viel zu tun hat. Die Kriminellen wissen das auch und verhalten sich so normal, sodass sie in den Datenbanken nicht auffallen. Erwischt werden dann Personen, die sich nicht angepasst haben an das Maß was vom Durchschnitt als normal angesehen wird.
Eine andere erschreckende Erfahrung in Italien war, dass mein Facebook-Zugang gesperrt war. Dieser hatte sich temporär deaktiviert, weil er meinen Zugriff als Angriff wertete, da ich das erste Mal aus dem Ausland zugreifen wollte. Dabei dachte ich immer Facebook wäre gerade dazu da seine Urlaubsfotos dort hochzuladen (nicht dass ich das vorgehabt hätte). Da haben die das bei Facebook wohl etwas mit der Sicherheit übertrieben, denn so ist das ja unbenutzbar?
Wie The Hacker News unlängst meldetet, gibt es diverse professionelle Schad-Software im Quellcode als Download.
Das ZeuS-Botnet dürfte bekannt sein; mit BlackHole und Impassioned sind jetzt noch zwei Exploit-Frameworks hinzugekommen. Für diese Software zahlt man auf den dunklen Seiten im Internet knapp über $1000. Jetzt ist sie zwar nicht in der neusten Version aber dennoch kostenlos im Quellcode verfügbar.
Warum ist die Schad-Software frei verfügbar? Das Folgende ist reine Spekulation: Im Botnet-Bereich herrscht schon lange ein Krieg zwischen verschiedenen Betreibern um Marktanteile. Vielleicht wollte man das ZeuS-Botnet vom Markt verdrängen. Durch die Verfügbarkeit des Quellcodes wird man ZeuS besser aufspüren und entfernen können.
Eventuell hat auch ein großer Kunde nicht gezahlt. Dadurch, dass der Quellcode jetzt verfügbar ist, ist ZeuS praktisch nichts mehr wert.
Es könnte aber auch eine Werbeaktion sein, um auf die Dienste aufmerksam zu machen, die man anbietet. Man schmeißt eine alte Version auf den Markt als Köder und bietet dann kostenpflichtigen Support und Updates an. So gewinnt man Kontakt zu Kunden aber auch zu fähigen Programmierern, die man anwerben kann.
Die Software könnte Hintertüren enthalten. Jeder der sie installiert wird dadurch ungewollt teil des Botnets oder wird ausspioniert. Man könnte dann wichtige Daten stehlen und Lösegeld fordern. Die Opfer werden wohl kaum zur Polizei rennen, da sie ja ansonsten den Einsatz von illegaler Software gestehen müssten.
Welche Konsequenzen hat dies für das Internet?
Zum einen wird das Internet sicherer, weil jetzt die Virenscanner-Hersteller den Quellcode analysieren können und ihre Scanner somit die Schad-Software besser erkennen können.
Andererseits werden sich aber auch viele Scriptkiddies und Cracker die Software runterladen. Diese werden sie modifizieren und damit neue Angriffswellen starten. Da davon auszugehen ist, dass viele nicht richtig gepatchte Windowsversionen im Betrieb sind, könnte eine neue Botnet-Plage auf das Internet zukommen.
Soll ich mir die Software herunterladen?
Na ja die frage ist ja wenn man sich diese Schad-Software herunterlädt, ob man sie auch ausprobieren soll. Erst mal sollte man C/C++ und PHP verstehen, sonst kann man mit dem Quellcode nichts anfangen. Wenn man die Software ausprobiert, dann nur in einer sicheren Umgebung, damit man niemanden gefährdet, was dann auch rechtliche Konsequenzen nach sich ziehen könnte.
Wenn man also kein professioneller Programmierer ist und Ahnung von IT-Sicherheit hat, sollte man die Finger davon lassen. Die Software ist nicht vertrauenswürdig und kommt auch nicht aus einer vertrauenswürdigen Quelle. Es könnten Hintertüren und ungeahnte Nebenwirkungen enthalten sein.
Im folgenden könnt ihr sehen, wie die Verwertungsindustrie das Copyright gerne hätte und versucht es in die Köpfe der Youtube-User einzuhämmern:
Dabei wird immer noch versucht am völlig überholten Copyright aus dem letzten Jahrtausend festzuhalten, dass auf moderne Entwicklungen wie die Mashup-Kunst im Internet überhaupt nicht eingeht. Schon in der Musik hat das Copyright die Kunstform der Rap-Samples getötet, weil es zu aufwendig ist für jeden Sampleschnippsel eine Erlaubnis einzuholen.
Zu allem Überfluss mussten dann die Politiker noch ACTA auf dem Weg bringen, anstatt das Urheberrecht zeitgemäß zu reformieren
Welche Kritik am aktuellen Urheberrecht zu recht besteht und wie man es reformieren könnte, wenn man denn wollte, kann man sich hier ansehen:
Flattr
Hier könnt ihr meine Nerdalert-Podcasts die unter CC-BY Lizenz stehen flattrn. Danke :)