Author Archives: Linus Neumann

Hirne Hacken #36C3

Beim 36C3 habe ich einen Vortrag über menschliche Faktoren der IT-Sicherheit gehalten:

Die überwältigende Mehrheit der erfolgreichen Hacks in freier Wildbahn setzen auf menschliche Faktoren. Wie können wir Systeme und Interfaces gestalten, um diese Schwachstellen zu mindern?

Ob Ransomware oder Phishing, APT-Angriffe oder Stalking: Die am häufigsten ausgenutzte Schwachstelle ist der Mensch.

Ein Problem, das nur wenig Forschung tatsächlich angehen will. Stattdessen begnügen wir uns damit, den Usern Dummheit zu unterstellen und menschliche Faktoren der IT-Sicherheit “out of scope” zu sehen.

Der Vortrag wurde aufgezeichnet und ist bei YouTube und auf media.ccc.de verfügbar:

Der Vortrag kann unter diesem Link anonym bewertet werden.
Ausführlicheres Feedback und Anregungen nehme ich auch gern direkt entgegen.

Analyse des Staatstrojaners FinSpy #36C3

In den letzten Monaten haben Thorsten Schröder und ich endlich mal wieder ein kleines CCC-Projekt zusammen gemacht, das wir beim Congress endlich der Öffentlichkeit präsentieren konnten: Wir haben den Staatstrojaner Finspy in der Android-Version analysiert.

Anlass ist die Strafanzeige der Gesellschaft für Freiheitsrechte. Wie immer ist das Ganze ein bisschen eskaliert und am Ende haben wir nicht einen, sondern 28 Versionen des Staatstrojaners analysiert und die Samples natürlich auf Github veröffentlicht, um der Community weitere Analysen zu ermöglichen.

Der Fall ist politisch pikant, weil auch deutsche Strafverfolger FinSpy kaufen und einsetzen, während diese Schadsoftware aus völlig unerklärlichen Gründen immer wieder in autoritären Regimen beim Einsatz gegen demokratische Kräfte entdeckt wird. Die Zusammenhänge sind in diesem Tagesschau-Beitrag gut erklärt.

Tagesschau-Beitrag vom 28. Dezember 2019 (auch auf YouTube)

Es ist immer eine große Freude und Ehre, mit Thorsten zu arbeiten.
Ich freue mich, dass es sich gelohnt hat:

Thorsten hat die Ergebnisse beim 36C3 zusammen mit Ulf Buermeyer (Gesellschaft für Freiheitsrechte) präsentiert:

Pressespiegel (Auswahl)

Wann, wenn nicht wir* | Sicherheit in selbst-organisierenden Systemen

Wann, wenn nicht wir*” erscheint am 4. September 2019 im Verlag S. Fischer. Das Buch versammelt Fakten über bereits sichtbare Folgen der Klimakrise und ruft zum Handeln auf. Für alle nachvollziehbar, konkret und undogmatisch erklärt es, wie sich das Rebellieren organisieren lässt: Von der gewaltfreien Kommunikation über das Errichten von Straßenblockaden und die Vorbereitung anderer Protestaktionen bis hin zum Kochrezept für mehrere hundert Menschen.

Das Handbuch von, zu und für Extinction Rebellion ruft zu massenhaftem gewaltfreien zivilen Ungehorsam gegen die Klimakrise und das Massenaussterben auf. Ich habe einen kurzen Beitrag über sichere digitale Vernetzung beigesteuert:

Sicherheit in selbst-organisierenden Systemen

Neben dem Zusammenkommen in den Aktionen im öffentlichen Raum ist die digitale Kommunikation die Grundlage für unsere Vernetzung und Zusammenarbeit. Das Internet ist das perfekte Werkzeug für Überwachung, Kontrolle und Macht – und gleichzeitig das perfekte Werkzeug für ihr Gegenteil: Dezentrale Vernetzung, Befreiung und soziale Veränderung. Es liegt an uns, das befreiende Potenzial der Dezentralität auszuschöpfen, Ihre Schwächen zu kennen, und uns gegen zentralisierte Überwachung zu schützen.
Aus technischer und sozialer Sicht birgt aber auch die Dezentralität einige Risiken – insbesondere im Digitalen: Die größte technische Gefahr besteht in den massenhaften digitalen Spuren, die wir hinterlassen. Das größte soziale Risiko ist die Unterwanderung.

Continue reading

Hack und Back vom BND?

In der vergangenen Woche wurden erstmals die konkreten Pläne der Bundesregierung bekannt, in den Cyber-Krieg zu ziehen. Ich sehe in diesem Vorgehen 3 Kernprobleme:

  1. Spontanes Hacking auf Befehl geht nicht – ein Hack braucht lange Vorbereitung, im Zweifelsfall muss die Infiltration schon lange erfolgt sein, bevor der Befehl zur Sabotage ausgeführt wird.
  2. Ein Hack setzt bekannte Schwachstellen voraus – diese müssen geheim gehalten werden und auf allen Systemen ungepatcht sein. So werden wir alle einem Risiko ausgesetzt, auf das Wannacry nur ein Vorgeschmack war.
  3. Schadenabwehr durch Gegenangriff funktioniert nicht – Es fällt auch der Bundesregierung schwer, einen Fall zu konstruieren, in dem ein Gegenangriff zu signifikanter Schadenminderung oder gar -abwehr beigetragen hat oder hätte.

Von den 3 Problemen möchte die Bundesregierung nur dem ersten begegnen: Weil spontane Hacks nicht funktionieren, sollen die Offensiv-Kapazitäten beim BND angesiedelt werden. Der BND würde damit von der reinen Spionage zur Sabotage übergehen, von der NSA zur CIA werden. Begriffe wie “Hackback”, “Abwehr” oder “Verteidigung” sind dabei nicht zutreffend, weil die Infiltration der Zielsysteme bereits vorher erfolgt. In Logbuch:Netzpolitik Folge 248 haben wir dafür den Begriff “Hack & Back” eingeführt.

Ausführlich haben wir das Thema mit Frank Rieger in “LNP272 Alles zerfragen” behandelt. In der aktuellen Folge von Logbuch:Netzpolitik gehen wir auf die aktuellen Entwicklungen ein. Teile meiner Kritik durfte ich bei Deutschlandfunk Nova und in der Tagesschau vertreten:

Tagesschau-Beitrag vom 29. Mai 2019 (auch auf YouTube)

Links:

Vortrag bei der #rp19 TINCON

Die Berliner Netz-Konferenz re:publica pflegt seit einiger Zeit auch eine erfolgreiche Sub-Konferenz, die sich spezifisch an Jugendliche richtet: die TINCON. Klarer Fall, dass das die coolere – und auch die wichtigere – Konferenz ist.

Ich durfte mit dem Vortrag “Wie Hacker hacken (und möglichst nicht mich)” einen Beitrag zum Programm leisten:

Please accept YouTube cookies to play this video. By accepting you will be accessing content from YouTube, a service provided by an external third party.

YouTube privacy policy

If you accept this notice, your choice will be saved and the page will refresh.

Lehren aus den Doxing-Angriffen

Nach dem öffentlichen Bekanntwerden konnten Täter und Mittäter hinter den ausführlichen Datenveröffentlichungen im “Doxing-Adventskalender” sehr zügig dingfest gemacht werden. Nun ist es Zeit, daraus die richtigen Lehren zu ziehen.

War das ein Superhack?

Nein. Es ist auch nichts, worauf man stolz sein könnte.

  1. “Nur” 50 der 1.000 betroffenen Personen wurde wirklich gehackt – der Rest der Daten stammte aus diesen illegalen Zugriffen und vermutlich aus weiteren Recherchen.
  2. Das Vorgehen war simpel, hatte keine besondere technische Komponente und
  3. der Täter verstand es nicht, seine Spuren zu verwischen um sich nicht erwischen zu lassen.

Das bedeutet aber auch:

Continue reading

Menschliche Faktoren der IT-Sicherheit

Für die Ausgabe 11/12.2018 von Report Psychologie habe ich einen Beitrag über die menschlichen Faktoren beim Hacking beigesteuert:

Wenn Hacker Menschen hacken

»Unser System ist unhackbar«, hören wir diverse Hersteller von Software oder Hardware immer wieder betonen. Und immer und immer wieder werden sie eines Besseren belehrt, sobald Fachkundige mit gutartiger oder bösartiger Motivation diese Aussage auf die Probe stellen.
Wie aber funktioniert eigentlich dieses Hacken? In der Breite der Gesellschaft herrscht über diese Frage eine ausgeprägte Unkenntnis, in deren Schatten sich allerlei mythische Theorien breitmachen…

Ein PDF des Artikels gibt es hier zum Download.

Have you been wp-gdpr-compliance’d?

An ugly vulnerabilty in the wordpress plugin wp-gdpr-compliance was recently discovered and reported by Mikey Veenstra of wordfence. Please read his very comprehensive write-up of the vulnerability and its IOC right after updating to the latest version to be safe.

Since I was also using the plugin, this vulnerability was giving me a headache today. Based on wordfences report, I wrote a quick and dirty shellscript to search for indicators of compromise on the various wordpress hosts I am sadly administrating. As usual, please do not run the script without thouroughly checking und understanding what it does. You will likely need to modify constants and paths.

Also, please make sure you stay up to date and on top of things while other researchers discover more indicators of compromise and develop better detection techniques. Continue reading

Damit es der Russe(TM) nicht macht: CCC hackt die Bundestagswahl

Zusammen mit Thorsten Schröder und Martin Tschirsich habe ich mir in den letzten Wochen die zur Organisation,  Erfassung, Berechnung, grafischen Präsentation, Meldung und statistische Nachbereitung von Wahlen verwendete Software PC-Wahl angeschaut.

Dabei ist uns einer Reihe an Sicherheitslücken aufgefallen, die sich zu drei unterschiedlichen praktikablen Angriffszenarien auf die Bundestagswahl kombinieren lassen. Die Ergebnisse haben wir in einem 23-seitigen Bericht zusammengefasst und die im Rahmen der Analyse entwickelten Angriffe auf github veröffentlicht.

Darüber berichtet die ZEIT auf Papier und online darüber, ebenso wie Spiegel Online und netzpolitik.org. In Logbuch:Netzpolitik 228 berichten wir darüber hinaus ausführlich und in lockerer Atmosphäre von der Analyse.

„Es ist einfach nicht das richtige Bundestagswahljahrtausend, um in Fragen der IT-Sicherheit bei Wahlen ein Auge zuzudrücken“, sagte Linus Neumann. „Wirksame technische Schutzmaßnahmen sind teilweise seit Jahrzehnten verfügbar. Es ist nicht nachvollziehbar, warum diese keine Anwendung finden.“

 

Continue reading

Austellungseröffnung “Wahlcomputer” im Heinz-Nixdorf-Forum

Im Heinz-Nixdorf-Forum zu Paderborn wurde heute die Ausstellung “Helfer oder Fälscher – Computer im Wahleinsatz” eröffnet.

Zu diesem Auftakt habe ich keinen kurzen Vortrag über Wahlcomputer gehalten, in dem ich (hoffentlich) leicht verständlich gemacht habe, warum der Einsatz von Computern als Wahlgeräte eine ziemlich dumme Idee ist.

Abschließend nehme ich noch kurzen Bezug auf verbleibende Sorgen, wie DER RUSSE(TM) die Bundestagswahl 2017 – laut BSI – hacken könnte.

Eine Aufzeichnung gibt es hier, bei Vimeo und auch bei Youtube.

Please accept YouTube cookies to play this video. By accepting you will be accessing content from YouTube, a service provided by an external third party.

YouTube privacy policy

If you accept this notice, your choice will be saved and the page will refresh.

Zu Gast im SWR Forum zum Bundestagswahlkampf

Mit der Einflussnahme auf Wahlen beschäftige ich mich seit einem Jahr ausführlich.
Nicht nur im Logbuch:Netzpolitik behandeln wir das Thema regelmäßig – auch im Bundestag musste ich inzwischen mehrmals dazu Rede und Antwort stehen.

Am Mittwoch habe ich im SWR mit

  • Dr. Jeanette Hofmann, Professorin für Internetpolitik an der Freien Universität Berlin
  • Robert Heinrich, Wahlkampfmanager Bündnis90/Die Grünen

darüber diskutiert. Moderiert wurde die Sendung von Claus Heinrich.

Anzeigen bei Google, persönliche Tweets mit Hilfe von Big-Data, die Abwehr von Fake-News. Noch nie wurde in Deutschland von den Parteien so viel in digitale Medien investiert wie bei diesem Bundestags-Wahlkampf. Für die meisten Politiker heißt das experimentieren im “Neuland”. Lohnt sich der Aufwand? Welche Online-Strategien sind bei welchen Zielgruppen erfolgreich? Führt das “Like” bei Facebook tatsächlich zum Kreuz bei der Wahl? In den USA haben Hacker den Ausgang der Präsidentenwahl über sogenannte Social Bots beeinflusst. In Deutschland wollen alle Parteien auf diese Meinungsroboter verzichten. Reicht das aus, um den Wahlkampf im Netz vor Manipulation zu schützen?

Die Sendung gibt es hier auch direkt zum Download.

Stellungnahme zum Staatstrojaner

Am 31.05.2017 fand im Rechtsausschuss eine Sachverständigenanhörung zum Einsatz von Staatstrojanern im Rahmen der StPO statt. Mit der vorgeschlagenen Gesetzesänderung würden Staatstrojaner nicht mehr wie bisher zur Abwehr von Terrorismus, sondern auch zur Verfolgung von “Alltagskriminalität” zugelassen werden.

Als Vertreter des Chaos Computer Clubs habe ich mich in der Anhörung vehement dagegen ausgesprochen. Meine schriftliche Stellungnahme findet sich hier. Continue reading

Sendung mit dem Chaos: Samsung S8 Iris Scanner

starbug hat mal wieder einen Biometrie-Sensor überlistet.
Dabei kam dieses kleine Video heraus. (Ich hatte die Ehre, Kamera, Schnitt und Ton zu machen 😉

Das Video haben wir bei media.ccc.de veröffentlicht.

Please accept YouTube cookies to play this video. By accepting you will be accessing content from YouTube, a service provided by an external third party.

YouTube privacy policy

If you accept this notice, your choice will be saved and the page will refresh.

Zum Heulen (#wannacry)

Der Cryptotrojaner WannaCry sorge Mitte Mai für allerlei Aufruhr.
Meine Einschätzung dazu habe ich in einem Gastbeitrag bei Spiegel Online veröffentlicht: “WannaCry”-Cyberattacke – Die Lehren aus dem weltweit größten Angriff mit Erpressungssoftware. (Titel macht bei Spon die Redaktion 😉

In einem “Facebook live” mit der Tagesschau habe ich schon am Vorabend ein paar Fragen dazu beantwortet:

Please accept YouTube cookies to play this video. By accepting you will be accessing content from YouTube, a service provided by an external third party.

YouTube privacy policy

If you accept this notice, your choice will be saved and the page will refresh.

Einige Tage später nahm die Sendung ZDF aspekte dan Angriff zum zum Anlass, sich mit der IT-Sicherheit im allgemeinen auseinander zu setzen:

Please accept YouTube cookies to play this video. By accepting you will be accessing content from YouTube, a service provided by an external third party.

YouTube privacy policy

If you accept this notice, your choice will be saved and the page will refresh.

Tagesschau zum Netzwerkdurchsetzungsgesetz

Gestern wurde das Netzwerkdurchsetzungsgesetz vom Kabinett beschlossen. Über sein Ziel, strafrechtlich relevante Äußerungen schneller aus dem Netz entfernen zu lassen, schießt es weit hinaus.

Künftig soll Webseitenbetreiber und soziale Netzwerke die Löschentscheidung selbst treffen. Dabei können sie natürlich Fehler machen. Löschen sie eine strafrechtlich relevante Äußerung nicht, so drohen empfindliche Strafen. Andererseits könnten sie eine von der Meinungsfreiheit gedeckte Äußerung fälschlich löschen. In diesem Fall droht ihnen jedoch keine relevante Sanktion.

Es ist offenkundig, welcher bias dabei entsteht: Um nicht das Risiko einer Strafe einzugehen, werden die Unternehmen im Zweifel “gegen den Angeklagten” und für eine Löschung entscheiden.

Meinungsfreiheit spielt sich jedoch genau am Rande des Legalen ab, und soll genau dort unseren Diskurs und unseren Austausch vor Zensur und Gleichschaltung schützen. Aus diesem Grund sollte die Entscheidung darüber, was von der Meinungsfreiheit gedeckt ist, einem qualifizierten Richter obliegen – und nicht einem Unternehmen, das unter Zeitdruck und Strafandrohung handeln muss.

Eine ausführliche Analyse der weiteren Risiken findet sich bei netzpolitik.org. Darüber hinaus haben wir das Thema letzte Woche und im gestern erschienenen Logbuch:Netzpolitik behandelt.

Please accept YouTube cookies to play this video. By accepting you will be accessing content from YouTube, a service provided by an external third party.

YouTube privacy policy

If you accept this notice, your choice will be saved and the page will refresh.

Der Russe manipuliert die Wahl!1!

Gestern morgen habe ich im Deutschlandfunk erklärt, mit welchen Methoden in sozialen Medien der Versuch unternommen wird, auf das Ergebnis von Wahlen einzuwirken. Das Interview gibt es online in der ARD Mediathek und hier zum Download.

Ich hoffe, dass ich auch in der kurzen Zeit einerseits das Potenzial, andererseits auch die Limitationen dieser Ansätze verdeutlicht habe. Sehr viel ausführlicher haben wir uns dem Thema in LNP203 Unglück im Glück im Unglück gewidmet (Kapitel Big Data & Fake News, insgesamt über 90min)

Am gestrigen Abend hat “hr2 Kultur – Der Tag” dem Thema auch noch eine ganze Stunde gewidmet (Download hier).

TR-069, die Telekom, und das was wirklich geschah

[For a detailed analysis, move on to RPW’s post]

Am Montag und Dienstag versetzte ein Ausfall mehrerer hunderttausend Telekom-Router die deutsche Cyberlandschaft in Aufruhr. Dass der Ausfall mit einem Angriff in Verbindung steht, wurde recht früh von Telekom und Innenministerium bestätigt.

Das Einfallstor, so stellte sich bald heraus, war eine offen dem Internet ausgesetzte Fernwartungsschnittstelle. Ein kurzes Lauschen auf Port 7547 einer öffentlichen IP bestätigte (spätestens) nach wenigen Minuten eine Angriffswelle mit versuchter command injection:

TR069 Exploit Code

Der abgebildete Request will eine Lücke im TR-069 Befehl für das Setzen eines NTP-Servers ausnutzen, um eine Datei von einer fremdem Domain per wget herunterzuladen und auszuführen.

Für viele (auch mich) schien der Fall klar: Die Telekom-Router schienen eine Remote Code Execution im TR-069 zu haben – viel schlimmer hätte es kaum kommen können.

Es blieben jedoch eine wichtige Frage offen: Warum stürzten die Router ab, statt sich mit der Payload zu infizieren? Die Vermutung lag nahe, dass die Angreifer einen Bug in Payload oder Exploit-Code hätten. So könnten der Crash und die ausbleibende Infektion der Geräte erklärt werden. Den Angreifern schien irgendwo ein kleiner, aber entscheidender Fehler zu unterlaufen sein, der ihnen die Übernahme von 900.000 Geräten zu verhageln schien. Oder etwa nicht? Continue reading