Beim 36C3 habe ich einen Vortrag über menschliche Faktoren der IT-Sicherheit gehalten:

Die überwältigende Mehrheit der erfolgreichen Hacks in freier Wildbahn setzen auf menschliche Faktoren. Wie können wir Systeme und Interfaces gestalten, um diese Schwachstellen zu mindern?

Ob Ransomware oder Phishing, APT-Angriffe oder Stalking: Die am häufigsten ausgenutzte Schwachstelle ist der Mensch.

Ein Problem, das nur wenig Forschung tatsächlich angehen will. Stattdessen begnügen wir uns damit, den Usern Dummheit zu unterstellen und menschliche Faktoren der IT-Sicherheit “out of scope” zu sehen.

Der Vortrag wurde aufgezeichnet und ist bei YouTube und auf media.ccc.de verfügbar:

• Youtube: Hirne Hacken – Menschliche Faktoren der IT-Sicherheit
• media.ccc.de: Hirne Hacken – Menschliche Faktoren der IT-Sicherheit

Der Vortrag kann unter diesem Link anonym bewertet werden.
Ausführlicheres Feedback und Anregungen nehme ich auch gern direkt entgegen.

In den letzten Monaten haben Thorsten Schröder und ich endlich mal wieder ein kleines CCC-Projekt zusammen gemacht, das wir beim Congress endlich der Öffentlichkeit präsentieren konnten: Wir haben den Staatstrojaner Finspy in der Android-Version analysiert.

Anlass ist die Strafanzeige der Gesellschaft für Freiheitsrechte. Wie immer ist das Ganze ein bisschen eskaliert und am Ende haben wir nicht einen, sondern 28 Versionen des Staatstrojaners analysiert und die Samples natürlich auf Github veröffentlicht, um der Community weitere Analysen zu ermöglichen.

Der Fall ist politisch pikant, weil auch deutsche Strafverfolger FinSpy kaufen und einsetzen, während diese Schadsoftware aus völlig unerklärlichen Gründen immer wieder in autoritären Regimen beim Einsatz gegen demokratische Kräfte entdeckt wird. Die Zusammenhänge sind in diesem Tagesschau-Beitrag gut erklärt.

Es ist immer eine große Freude und Ehre, mit Thorsten zu arbeiten.
Ich freue mich, dass es sich gelohnt hat:

• CCC analysiert Münchner Staatstrojaner FinSpy (Pressemitteilung)
• Evolution einer privatwirtschaftlichen Schadsoftware für staatliche Akteure – FinFisher FinSpy für Android 2012-2019  (60 Seiten PDF, ~3MB)
• Github-Repo mit Dokumentation und Samples
• Github-Repo mit Analyse-Tools

Pressespiegel (Auswahl)

• Youtube: Ermittlungen gegen FinFisher: Gutachten des CCC (Tagesschau vom 28.12.2019) 
• Deutschlandfunk: Deutsche Spionagesoftware gegen türkische Oppositionelle?
  
• br.de: Chaos Computer Club verfolgt Spur von Spähsoftware
• sueddeutsche: FinFisher: Spionagesoftware made in Germany?
• Deutschlandfunk: Kein Export von Spionagesoftware
• heise.de: Bundestag: Auch Zollfahnder dürfen künftig den Bundestrojaner einsetzen
• zeit.de: Exportkontrolle von Digitalwaffen funktioniert nicht

Mit dem Spiegel habe ich über Darknet-Marktplätze gesprochen.

Gestern habe ich bei der Schwarzkopf-Stiftung Junges Europa einen Vortrag über die großartigen Chancen und aktuellen Probleme des Internets für die Demokratie gehalten:
Verheißung oder Bedrohung? Das Internet und seine Auswirkungen auf die Demokratie [YouTube-Link].

Mein persönliches Highlight war die anschließende Diskussion.
Continue reading →

“Wann, wenn nicht wir*” erscheint am 4. September 2019 im Verlag S. Fischer. Das Buch versammelt Fakten über bereits sichtbare Folgen der Klimakrise und ruft zum Handeln auf. Für alle nachvollziehbar, konkret und undogmatisch erklärt es, wie sich das Rebellieren organisieren lässt: Von der gewaltfreien Kommunikation über das Errichten von Straßenblockaden und die Vorbereitung anderer Protestaktionen bis hin zum Kochrezept für mehrere hundert Menschen.

Das Handbuch von, zu und für Extinction Rebellion ruft zu massenhaftem gewaltfreien zivilen Ungehorsam gegen die Klimakrise und das Massenaussterben auf. Ich habe einen kurzen Beitrag über sichere digitale Vernetzung beigesteuert:

Sicherheit in selbst-organisierenden Systemen

Neben dem Zusammenkommen in den Aktionen im öffentlichen Raum ist die digitale Kommunikation die Grundlage für unsere Vernetzung und Zusammenarbeit. Das Internet ist das perfekte Werkzeug für Überwachung, Kontrolle und Macht – und gleichzeitig das perfekte Werkzeug für ihr Gegenteil: Dezentrale Vernetzung, Befreiung und soziale Veränderung. Es liegt an uns, das befreiende Potenzial der Dezentralität auszuschöpfen, Ihre Schwächen zu kennen, und uns gegen zentralisierte Überwachung zu schützen.
Aus technischer und sozialer Sicht birgt aber auch die Dezentralität einige Risiken – insbesondere im Digitalen: Die größte technische Gefahr besteht in den massenhaften digitalen Spuren, die wir hinterlassen. Das größte soziale Risiko ist die Unterwanderung.

In der vergangenen Woche war ich zu Gast bei Timster, einer Wissenssendung auf dem Kinderkanal. Ich war sehr positiv beeindruckt, wie viel Mühe, Vorbereitung, Nachdenken und Aufwand in die Produktion dieser Kindersendung geht. Das Team hat großen Wert darauf gelegt, die Dinge korrekt und kindergerecht zu erklären – gar keine einfache Aufgabe!

Nach dem öffentlichen Bekanntwerden konnten Täter und Mittäter hinter den ausführlichen Datenveröffentlichungen im “Doxing-Adventskalender” sehr zügig dingfest gemacht werden. Nun ist es Zeit, daraus die richtigen Lehren zu ziehen.

War das ein Superhack?

Nein. Es ist auch nichts, worauf man stolz sein könnte.

1. “Nur” 50 der 1.000 betroffenen Personen wurde wirklich gehackt – der Rest der Daten stammte aus diesen illegalen Zugriffen und vermutlich aus weiteren Recherchen.
2. Das Vorgehen war simpel, hatte keine besondere technische Komponente und
3. der Täter verstand es nicht, seine Spuren zu verwischen um sich nicht erwischen zu lassen.

Das bedeutet aber auch:

Für die Ausgabe 11/12.2018 von Report Psychologie habe ich einen Beitrag über die menschlichen Faktoren beim Hacking beigesteuert:

Wenn Hacker Menschen hacken

»Unser System ist unhackbar«, hören wir diverse Hersteller von Software oder Hardware immer wieder betonen. Und immer und immer wieder werden sie eines Besseren belehrt, sobald Fachkundige mit gutartiger oder bösartiger Motivation diese Aussage auf die Probe stellen.
Wie aber funktioniert eigentlich dieses Hacken? In der Breite der Gesellschaft herrscht über diese Frage eine ausgeprägte Unkenntnis, in deren Schatten sich allerlei mythische Theorien breitmachen…

Ein PDF des Artikels gibt es hier zum Download.

An ugly vulnerabilty in the wordpress plugin wp-gdpr-compliance was recently discovered and reported by Mikey Veenstra of wordfence. Please read his very comprehensive write-up of the vulnerability and its IOC right after updating to the latest version to be safe.

Since I was also using the plugin, this vulnerability was giving me a headache today. Based on wordfences report, I wrote a quick and dirty shellscript to search for indicators of compromise on the various wordpress hosts I am sadly administrating. As usual, please do not run the script without thouroughly checking und understanding what it does. You will likely need to modify constants and paths.

Also, please make sure you stay up to date and on top of things while other researchers discover more indicators of compromise and develop better detection techniques. Continue reading →

Im Heinz-Nixdorf-Forum zu Paderborn wurde heute die Ausstellung “Helfer oder Fälscher – Computer im Wahleinsatz” eröffnet.

Zu diesem Auftakt habe ich keinen kurzen Vortrag über Wahlcomputer gehalten, in dem ich (hoffentlich) leicht verständlich gemacht habe, warum der Einsatz von Computern als Wahlgeräte eine ziemlich dumme Idee ist.

Abschließend nehme ich noch kurzen Bezug auf verbleibende Sorgen, wie DER RUSSE(TM) die Bundestagswahl 2017 – laut BSI – hacken könnte.

Eine Aufzeichnung gibt es hier, bei Vimeo und auch bei Youtube.

[embedyt] https://www.youtube.com/watch?v=eqk4oAeUu1U[/embedyt]

starbug hat mal wieder einen Biometrie-Sensor überlistet.
Dabei kam dieses kleine Video heraus. (Ich hatte die Ehre, Kamera, Schnitt und Ton zu machen 😉

Das Video haben wir bei media.ccc.de veröffentlicht.

[embedyt] https://www.youtube.com/watch?v=4VrqufsHpS4[/embedyt]