Author Archives: Linus Neumann

TR-069, die Telekom, und das was wirklich geschah

[For a detailed analysis, move on to RPW’s post]

Am Montag und Dienstag versetzte ein Ausfall mehrerer hunderttausend Telekom-Router die deutsche Cyberlandschaft in Aufruhr. Dass der Ausfall mit einem Angriff in Verbindung steht, wurde recht früh von Telekom und Innenministerium bestätigt.

Das Einfallstor, so stellte sich bald heraus, war eine offen dem Internet ausgesetzte Fernwartungsschnittstelle. Ein kurzes Lauschen auf Port 7547 einer öffentlichen IP bestätigte (spätestens) nach wenigen Minuten eine Angriffswelle mit versuchter command injection:

TR069 Exploit Code

Der abgebildete Request will eine Lücke im TR-069 Befehl für das Setzen eines NTP-Servers ausnutzen, um eine Datei von einer fremdem Domain per wget herunterzuladen und auszuführen.

Für viele (auch mich) schien der Fall klar: Die Telekom-Router schienen eine Remote Code Execution im TR-069 zu haben – viel schlimmer hätte es kaum kommen können.

Es blieben jedoch eine wichtige Frage offen: Warum stürzten die Router ab, statt sich mit der Payload zu infizieren? Die Vermutung lag nahe, dass die Angreifer einen Bug in Payload oder Exploit-Code hätten. So könnten der Crash und die ausbleibende Infektion der Geräte erklärt werden. Den Angreifern schien irgendwo ein kleiner, aber entscheidender Fehler zu unterlaufen sein, der ihnen die Übernahme von 900.000 Geräten zu verhageln schien. Oder etwa nicht? Continue reading →

Deutschlandfunk zu IT-Sicherheit und Sabotage

1 Reply

Für den Chaos Computer Club habe ich dem Deutschlandfunk heute morgen ein paar Fragen zur IT-Sicherheit beantwortet. Es gibt eine MP3 davon zum Download und ein Transkript des Gesprächs. Continue reading →

Zu Gast bei SWR1 Leute

2 Replies

Am 16.11. war ich zu Gast bei SWR1, um über das Netz und die Welt zu plaudern. Die Moderatorin Nicole Köster hat mich durch ihre ausführliche Vorbereitung und ihre treffsicheren Fragen sehr beeindruckt.

Die Sendereihe ist auch als Podcast abonnierbar und aufgrund der vielfältigen interessanten Themen wärmstens empfohlen.

Die Video-Aufzeichnung gibt es hier,
und die mp3 hier zum Download.

Logbuch:Netzpolitik Folge 200

Leave a reply

Am 5. November haben Tim Pritlove und ich in Berlin die 200. Folge unseres Podcasts Logbuch:Netzpolitik mit einer Live-Sendung gefeiert.

Im ehemaligen Stummfilmkino Delphi haben wir die 5 Jahre des Bestehens von Logbuch:Netzpolitik gebührend mit 400 Gästen gefeiert. Dank dem C3VOC gibt es davon eine Video-Aufzeichung:

Als Pre-Show hatten wir unsere Freunde von Methodisch Inkorrekt zu Gast:

Die Shownotes, viele Photos, und weitere Infos zu Logbuch Netzpolitik gibt es an der gewohnten Stelle.

Das Darknet.

2 Replies

Mit der Vorstellung des Bundeslagebilds Cybercrime 2015 war in dieser Woche das Darknet in aller Munde. Insbesondere war zuvor bekannt geworden, dass der ein rechtsradikaler Münchner Terrorist und Amokläufer im Darknet vor der Tat nach einer Waffe gesucht, und sie dort vermeintlich auch gefunden habe. Continue reading →

Zapp über “Social Bots”

Leave a reply

Das Medienmagazin ZAPP berichtete gestern über Social Bots – automatische, nicht menschliche Accounts in sozialen Netzwerken. Forscher der Universität Siegen haben diese zu nichts geringerem als einer Gefahr für die Demokratie erklärt.

Diese Einschätzung teile ich nicht, wie ich schon in Logbuch:Netzpolitik 175 ausgeführt habe. Eine größere (aber ebenso vernachlässigbare) Gefahr für die Demokratie ist wahrscheinlich, dass das Bundesministerium für Bildung und Forschung im Jahr 2016 noch derartige “Forschung” fördert, nachdem Spam und Bots vermutlich älter sind, als die meisten der beteiligten Forscher.

Schade, dass dieser Teil meines Interviews im Beitrag nicht besonders gewürdigt wurde.

Sachverständigenauskunft zum Entwurf eines Gesetzes zur Modernisierung des Besteuerungsverfahrens

1 Reply

Im Finanzausschuss wird heute unter anderem der Einsatz von Risikomanagement-Systemen im Vollzug des Steuerrechts diskutiert.
Auf Einladung der Grünen Bundestagsfraktion vertrete ich dabei den Chaos Computer Club als Sachverständiger.

Meine schriftliche Stellungnahme findet sich hier: Einsatz von Risikomanagement-Systemen im Vollzug des Steuerrechts.

Weitere Stellungnahmen finden sich auf den Seiten des Bundestags.

Update: Eine Aufzeichnung der Anhörung findet sich auf den Seiten des Bundestags, sowie hier als Backup:

Anhörung zu dem Gesetzentwurf der Bundesregierung "Entwurf eines Gesetzes zur Modernisierung des Besteuerungsverfahrens" from Linuzifer on Vimeo.

BR2 radiowissen über Hass im Netz

Leave a reply

Ich bin in der Sendung Hass im Netz Shitstorms und andere Grausamkeiten zu Wort gekommen. Den Beitrag gibt es hier als mp3.

Trolle werden trollen oder getrollt werden

Leave a reply

Beim Easterhegg 2016 in Salzburg habe ich einen kleinen Vortrag über das Trollen gehalten.
Der Vortrag ist eine Weiterentwicklung von “Gut drauf trotz Social Media” in Anbetracht jüngster politischer Phänomene wie dem Erfolg der AfD und dem Wahlkampfgebaren von Donald Trump.

Crypto-Trojaner bei “Quarks & Caspers”

4 Replies

Für die Sendung Quarks und Caspers haben Thorsten Schröder und ich uns den Crypto-Trojaner Locky angeschaut.

32C3

Leave a reply

Großes Lampenfieber hatte ich vor der Eröffnung, die Carina Haupt zusammen mit mir bestritten hat:

Das großartige Eröffnungsvideo stammte übrigens von Frederic Brückner, mit Sound von Erich Lesowsky.
Das Design-Gesamtkonzept stammte von Roland Brückner. Continue reading →

Chaosradio 217: “Professional Hackers”

Leave a reply

Gestern Abend haben wir uns im Chaosradio über Hacken als Beruf unterhalten. Die Audio-Aufzeichnung gibt es hier zum Download.

Keynote bei den Datenspuren 2015

Leave a reply

Am Wochenende fanden in Dresden die Datenspuren 2015 statt. Continue reading →

“Gut drauf trotz Social Media – Die Kunst des Trollens”

3 Replies

Beim Zündfunk Netzkongress habe ich einen Vortrag über Kommunikation in sozialen Netzen gehalten. Von der Sueddeutschen Zeitung wurde ich dafür als Hacker mit der einhornartigen Tolle vom Chaos Computer Club ausgezeichnet.

Ich konnte den Vortrag in der BR Mediathek gefinden. Da man ja nie weiß, ob und wann Mediathek-Beiträge depubliziert werden, hier die YouTube-Version:

Continue reading →

“Sensoren der Cloud” – Beitrag im Buch “Internet der Dinge”

1 Reply

Zum Band “Internet der Dinge – Über smarte Objekte, intelligente Umgebungen und die technische Durchdringung der Welt” habe ich ein Kapitel beigesteuert. Das Buch ist im Transcript Verlag erschienen und online sowohl als eBook, als auch als gedruckte Fassung unter der ISBN 978-3-8376-3046-6 erhältlich. Das Manuskript meines Beitrags gibt es hier als pdf.

Sensoren der Cloud

Linus Neumann

Programmierbarkeit

Mein erster Computer war ein Commodore 64, den mein Vater mir zu Weihnachten schenkte. Ich sah darin zunächst eine uncoole Streber-Alternative zu den Produkten aus dem Hause Nintendo, aber mein Vater grummelte irgendwas von meiner Zukunft und brachte mir die ersten Kommandozeilen-Befehle bei.

Unter dem Schriftzug »Commodore 64« prangte die Erläuterung, worum es sich bei diesem Gerät handele, nämlich um einen »Personal Computer«, ein vollständiger Rechner, dimensioniert für einen einzelnen Nutzer. Das war nicht immer so üblich gewesen: In der grauen Vorzeit gab es nur raumfüllende, klobige Großrechner, die sich mehrere Nutzer teilen mussten.

Die Entwicklung des Personal Computers (PC) führte weg von diesen Zentralrechnern hin zu persönlichen, individuell konfigurierten Geräten, mit denen auch immer mehr persönliche Dinge erledigt wurden. Da der PC in der Lage war, eine ansprechendere Oberfläche zur Verfügung zu stellen, ebnete er nicht zuletzt auch den Weg für den Siegeszug der Computerspiele. Für ansprechende Grafiken und einen spannenden Spielfluss wurde und wird immer mehr Rechenleistung benötigt. Doch der PC eignete sich nicht nur zum Spielen. Er war programmierbar. Wer einen PC sein Eigen nannte, konnte darauf Programme schreiben, die alle kompatiblen PCs weltweit ausführen konnten. Es war also möglich geworden, individuelle Programme zu entwickeln, auszuführen und zu teilen. Diese recht trivial erscheinende Eigenschaft des PCs führte zu einigen bedeutsamen Entwicklungen, die unsere Gesellschaft heute noch prägen: Die Open Source Community begann, Programme zu schreiben und frei und kostenlos mit der Welt zu teilen und zu verbessern. Die unabhängige Entwickler-Szene setzte auf die Möglichkeit, ein Programm im stillen Kämmerlein auf einem herkömmlichen PC zu entwickeln, und damit einen großen wirtschaftlichen Erfolg zu erlangen. Der PC war ein universell programmierbares Gerät und bot den Usern unendliche Möglichkeiten. Continue reading →

Tagesschau zur Abschaltung der Bundestags-IT

1 Reply

Die Tagesschau hat sich heute mit der Abschaltung des Parlakom-Netzes beschäftigt.
In der 12h-Sendung bin ich etwas länger zu Wort gekommen, dafür wurde in der 20h-Sendung mein neuer Lieblingsaufkleber prominent platziert:

Tagesschau vom 20.08.2015 – Bildschirmphoto

An dieser Stelle gilt noch einmal mein persönlicher Dank der Gruppe um wintermute vom Hannoveraner CCC, die diesen Sticker beim Chaos Communication Camp kostenlos verteilt, und die Druckvorlage kostenlos zugänglich gemacht hat.

12:00h-Beitrag:

20:00h-Beitrag:

Vortrag: “Politische Lösungen für technische Probleme” (Chaos Communication Camp 2015)

Leave a reply

Beim CCCamp 2015 habe ich einen kleinen Vortrag zum IT-Sicherheitsgesetz gehalten.
Die Aufzeichnung ist wie gewohnt bei media.ccc.de erhältlich.

IT-Sicherheitsgesetz tritt in Kraft

Leave a reply

Vom Bundestag am 24.07. verabschiedet, ist das IT-Sicherheitsgesetz nun in Kraft getreten. Zu diesem Gesetz hatte ich Gelegenheit, als Sachverständiger eine Stellungnahme für den CCC vorzutragen.

Nicht eine einzige der im Gesetzesentwurf vorgeschlagenen Maßnahmen ist zielführend, um die IT-Sicherheit tatsächlich zu erhöhen. Man hat offenbar ein Verständnis von IT-Sicherheit in ein Gesetz gegossen, wonach lediglich durch mehr verpflichtende Dokumentations- und Berichtsregularien und Checklisten in den Unternehmen wirksame Verbesserungen herbeigeführt werden könnten. Doch der nun vorgesehene enorme Bürokratieaufwand ist nicht nur zeitaufwendig und in der Sache nutzlos, sondern hält auch noch die an einer wirksamen IT-Sicherheit Arbeitenden von wirklich sinnvollen Maßnahmen ab.

Meine Kritikpunkte wurden zur Kenntnis genommen, jedoch nicht vor Verabschiedung des Gesetzes weiter berücksichtigt.

Als Trostpflaster gab es einen kritischen Beitrag in der Tagesschau, bei der ich auch zu Wort kommen durfte.

Chaosradio: 2 Jahre Snowden

Leave a reply

Gestern waren Anne Roth und Andre Meister im Chaosradio, um über die Aufarbeitung der zahlreichen Snowden- und Geheimdienstskandale zu berichten. Anne ist als Referentin im NSA-Untersuchungsausschuss tätig, Andre berichtet ausführlich aus dessen öffentlichen Sitzungen. Der Part des CCC durfte ich übernehmen.

Dank Moderator Markus Richter ist uns ein – wie ich finde – hoffentlich –interessanter und unterhaltsamer Rück- und Ausblick gelungen.
Hier gibt es die Aufzeichnung: Chaosradio 212 “Was von Snowden übrig blieb” mit Anne Roth, Andre Meister und Linus Neumann.

Continue reading →

Stellungnahme zum IT-Sicherheitsgesetz (Anhörung am 20. April 2015)

3 Replies

Heute bin ich in den Innenausschuss des Deutschen Bundestags geladen, um als Sachverständiger Auskunft zum IT-Sicherheitsgesetz zu geben. Dazu habe ich auch eine Stellungnahme verfasst: Stellungnahme zum Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme.

Die Kernpunkte lauten: Continue reading →