Lehren aus den Doxing-Angriffen

Nach dem öffentlichen Bekanntwerden konnten Täter und Mittäter hinter den ausführlichen Datenveröffentlichungen im “Doxing-Adventskalender” sehr zügig dingfest gemacht werden. Nun ist es Zeit, daraus die richtigen Lehren zu ziehen.

War das ein Superhack?

Nein. Es ist auch nichts, worauf man stolz sein könnte.

  1. “Nur” 50 der 1.000 betroffenen Personen wurde wirklich gehackt – der Rest der Daten stammte aus diesen illegalen Zugriffen und vermutlich aus weiteren Recherchen.
  2. Das Vorgehen war simpel, hatte keine besondere technische Komponente und
  3. der Täter verstand es nicht, seine Spuren zu verwischen um sich nicht erwischen zu lassen.

Das bedeutet aber auch:

Continue reading

Menschliche Faktoren der IT-Sicherheit

Für die Ausgabe 11/12.2018 von Report Psychologie habe ich einen Beitrag über die menschlichen Faktoren beim Hacking beigesteuert:

Wenn Hacker Menschen hacken

»Unser System ist unhackbar«, hören wir diverse Hersteller von Software oder Hardware immer wieder betonen. Und immer und immer wieder werden sie eines Besseren belehrt, sobald Fachkundige mit gutartiger oder bösartiger Motivation diese Aussage auf die Probe stellen.
Wie aber funktioniert eigentlich dieses Hacken? In der Breite der Gesellschaft herrscht über diese Frage eine ausgeprägte Unkenntnis, in deren Schatten sich allerlei mythische Theorien breitmachen…

Ein PDF des Artikels gibt es hier zum Download.

Have you been wp-gdpr-compliance’d?

An ugly vulnerabilty in the wordpress plugin wp-gdpr-compliance was recently discovered and reported by Mikey Veenstra of wordfence. Please read his very comprehensive write-up of the vulnerability and its IOC right after updating to the latest version to be safe.

Since I was also using the plugin, this vulnerability was giving me a headache today. Based on wordfences report, I wrote a quick and dirty shellscript to search for indicators of compromise on the various wordpress hosts I am sadly administrating. As usual, please do not run the script without thouroughly checking und understanding what it does. You will likely need to modify constants and paths.

Also, please make sure you stay up to date and on top of things while other researchers discover more indicators of compromise and develop better detection techniques. Continue reading

Damit es der Russe(TM) nicht macht: CCC hackt die Bundestagswahl

Zusammen mit Thorsten Schröder und Martin Tschirsich habe ich mir in den letzten Wochen die zur Organisation,  Erfassung, Berechnung, grafischen Präsentation, Meldung und statistische Nachbereitung von Wahlen verwendete Software PC-Wahl angeschaut.

Dabei ist uns einer Reihe an Sicherheitslücken aufgefallen, die sich zu drei unterschiedlichen praktikablen Angriffszenarien auf die Bundestagswahl kombinieren lassen. Die Ergebnisse haben wir in einem 23-seitigen Bericht zusammengefasst und die im Rahmen der Analyse entwickelten Angriffe auf github veröffentlicht.

Darüber berichtet die ZEIT auf Papier und online darüber, ebenso wie Spiegel Online und netzpolitik.org. In Logbuch:Netzpolitik 228 berichten wir darüber hinaus ausführlich und in lockerer Atmosphäre von der Analyse.

„Es ist einfach nicht das richtige Bundestagswahljahrtausend, um in Fragen der IT-Sicherheit bei Wahlen ein Auge zuzudrücken“, sagte Linus Neumann. „Wirksame technische Schutzmaßnahmen sind teilweise seit Jahrzehnten verfügbar. Es ist nicht nachvollziehbar, warum diese keine Anwendung finden.“

 

Continue reading

Austellungseröffnung “Wahlcomputer” im Heinz-Nixdorf-Forum

Im Heinz-Nixdorf-Forum zu Paderborn wurde heute die Ausstellung “Helfer oder Fälscher – Computer im Wahleinsatz” eröffnet.

Zu diesem Auftakt habe ich keinen kurzen Vortrag über Wahlcomputer gehalten, in dem ich (hoffentlich) leicht verständlich gemacht habe, warum der Einsatz von Computern als Wahlgeräte eine ziemlich dumme Idee ist.

Abschließend nehme ich noch kurzen Bezug auf verbleibende Sorgen, wie DER RUSSE(TM) die Bundestagswahl 2017 – laut BSI – hacken könnte.

Eine Aufzeichnung gibt es hier, bei Vimeo und auch bei Youtube.

Please accept YouTube cookies to play this video. By accepting you will be accessing content from YouTube, a service provided by an external third party.

YouTube privacy policy

If you accept this notice, your choice will be saved and the page will refresh.

Zu Gast im SWR Forum zum Bundestagswahlkampf

Mit der Einflussnahme auf Wahlen beschäftige ich mich seit einem Jahr ausführlich.
Nicht nur im Logbuch:Netzpolitik behandeln wir das Thema regelmäßig – auch im Bundestag musste ich inzwischen mehrmals dazu Rede und Antwort stehen.

Am Mittwoch habe ich im SWR mit

  • Dr. Jeanette Hofmann, Professorin für Internetpolitik an der Freien Universität Berlin
  • Robert Heinrich, Wahlkampfmanager Bündnis90/Die Grünen

darüber diskutiert. Moderiert wurde die Sendung von Claus Heinrich.

Anzeigen bei Google, persönliche Tweets mit Hilfe von Big-Data, die Abwehr von Fake-News. Noch nie wurde in Deutschland von den Parteien so viel in digitale Medien investiert wie bei diesem Bundestags-Wahlkampf. Für die meisten Politiker heißt das experimentieren im “Neuland”. Lohnt sich der Aufwand? Welche Online-Strategien sind bei welchen Zielgruppen erfolgreich? Führt das “Like” bei Facebook tatsächlich zum Kreuz bei der Wahl? In den USA haben Hacker den Ausgang der Präsidentenwahl über sogenannte Social Bots beeinflusst. In Deutschland wollen alle Parteien auf diese Meinungsroboter verzichten. Reicht das aus, um den Wahlkampf im Netz vor Manipulation zu schützen?

Die Sendung gibt es hier auch direkt zum Download.

Stellungnahme zum Staatstrojaner

Am 31.05.2017 fand im Rechtsausschuss eine Sachverständigenanhörung zum Einsatz von Staatstrojanern im Rahmen der StPO statt. Mit der vorgeschlagenen Gesetzesänderung würden Staatstrojaner nicht mehr wie bisher zur Abwehr von Terrorismus, sondern auch zur Verfolgung von “Alltagskriminalität” zugelassen werden.

Als Vertreter des Chaos Computer Clubs habe ich mich in der Anhörung vehement dagegen ausgesprochen. Meine schriftliche Stellungnahme findet sich hier. Continue reading

Sendung mit dem Chaos: Samsung S8 Iris Scanner

starbug hat mal wieder einen Biometrie-Sensor überlistet.
Dabei kam dieses kleine Video heraus. (Ich hatte die Ehre, Kamera, Schnitt und Ton zu machen 😉

Das Video haben wir bei media.ccc.de veröffentlicht.

Please accept YouTube cookies to play this video. By accepting you will be accessing content from YouTube, a service provided by an external third party.

YouTube privacy policy

If you accept this notice, your choice will be saved and the page will refresh.

Zum Heulen (#wannacry)

Der Cryptotrojaner WannaCry sorge Mitte Mai für allerlei Aufruhr.
Meine Einschätzung dazu habe ich in einem Gastbeitrag bei Spiegel Online veröffentlicht: “WannaCry”-Cyberattacke – Die Lehren aus dem weltweit größten Angriff mit Erpressungssoftware. (Titel macht bei Spon die Redaktion 😉

In einem “Facebook live” mit der Tagesschau habe ich schon am Vorabend ein paar Fragen dazu beantwortet:

Please accept YouTube cookies to play this video. By accepting you will be accessing content from YouTube, a service provided by an external third party.

YouTube privacy policy

If you accept this notice, your choice will be saved and the page will refresh.

Einige Tage später nahm die Sendung ZDF aspekte dan Angriff zum zum Anlass, sich mit der IT-Sicherheit im allgemeinen auseinander zu setzen:

Please accept YouTube cookies to play this video. By accepting you will be accessing content from YouTube, a service provided by an external third party.

YouTube privacy policy

If you accept this notice, your choice will be saved and the page will refresh.