Hacking

Von der Kunst der Bastelei und der Manipulation der Massenmedien

Mein Senf

Rechthaberische, arrogante Kommentare zu Medienberichten und aktuellen Ereignissen.

»Großer Hackerangriff«, schrien die Medien wieder einmal von den Dächern und warnten viel zu spät die Bevölkerung vor dem, was vielleicht die umfangreichste Attacke bisher war. Dabei war WannaCry eigentlich so vermeidbar.

Zu diesem Urteil müsste eigentlich jeder kommen, der sich mit der Thematik über die bestenfalls zweifelhaften Berichte der Medien hinaus beschäftigt, denn an sich war nichts an WannaCry wirklich neu - verbreitet mit einer hybriden Kampagne aus Social Engineering und traditionellen Exploits, die bereits gepatcht waren, hätte der Angriff doch zumindest an wichtigen Infrastrukturprovidern vorbeigehen müssen. Hätte.

Doch, oh Wunder: Natürlich nicht, im Gegenteil. Stattdessen nimmt Deutschland die Gelegenheit wahr, sich international ein weiteres Mal so richtig lächerlich zu machen. Als hätten die Neulandrede, die NSA-Affäre und die letzten hundert Cyberangriffe nicht ausgereicht, gelang es dem Äquivalent billiger Straßengangster, selbst Unternehmen auszuschalten, die wir noch vor 30 Jahren als kriegswichtig bezeichnet hätten.

Die Opferrolle, in die sich Unternehmen wie Behörden nach solchen Attacken stellen, mag bequem sein, hilfreich ist sie nicht, weder für die Allgemeinheit, noch für Betroffene, denn sie zeigt etwas, das wahrer nicht sein könnte: Deutschland ist, was digitale Sicherheit angeht, so sicher wie die alte, gutgläubige Dame, von der es regiert wird. Wir schmücken uns mit Kriminalstatistiken, die eine stetig sinkende Zahl von Onlinestraftaten suggeriert, während wir die steigende Dunkelziffer ignorieren.

Ständig werden mehr und mehr Unternehmen Opfer von Cyberkriminalität, während Behörden, Internetprovider, OS-Hersteller und co. sich ständig gegenseitig die Schuld zuweisen, statt die einzig vernünftige Linie zu fahren: Die einzige Person, die verhindern kann, dass in meine Wohnung eingebrochen wird, bin ich.

Nur vor den logischen Konsequenzen dieser Erkenntnis - die, dass bei der digitalen Verteidigung 20 Jahre lang geschlafen und damit versagt wurde - vor der hat man in Berlin scheinbar Angst. Da feiert man lieber seine selbstgebauten Statistiken, seien sie auch noch so falsch.

Mit dem neuen Medienzensurgesetz... äähm Netzwerkdurchsetzungsgesetz wird der freien Meinungsäußerung in sozialen Netzwerken der letzte Todesstoß verpasst. Nicht, dass sie jemals frei war, denn hinter sozialen Netzwerken stehen immer Konzerne, die ihren Kunden (oder sollte man von Handelswaren sprechen) mehr oder weniger freie Nutzung des Mediums erlauben. Jetzt ist ein weiterer Spieler am Markt der Internetzensur aufgetaucht, nämlich unsere neuerdings ziemlich DDR-inspirierte Regierung.

Zensur in sozialen Netzwerken ist nichts Neues, so wurden im US-Wahlkampf Anhänger von Donald Trump auf Twitter gezielt an der Verbreitung ihrer Tweets gehindert, zumindest wenn man Comiczeichner Scott Adams glaubt. Und soziale Netzwerke sichern sich das Recht, unliebsame Posts oder Kommentare zu entfernen in ihren Nutzungsbedingungen - meist in guter Absicht, um betrügerische oder bösartige Inhalte zu entfernen.

In letzter Zeit und im Angesicht der publizierten Fake News ist die Regierung aber mehr und mehr daran interessiert, zu zensieren, wenn sie beleidigende Inhalte wittert. Eine Regierung, die Sittenwächter spielt? Ja, wo führt uns das denn hin? Sehe ich da nicht Walter Ulbricht am Horizont winken und eine längst untergegangene Staatshymne summen?

Nun sind manche Inhalte im Internet natürlich ein großes Problem. Falsche Informationen können Sachschäden verursachen (Siehe manche Techsupportforen) oder sogar Menschenleben kosten (Gruß an die Impfgegner, Flacherdler und Reichsbürger dieser Welt). Wer solche Falschinformationen verbreitet, der muss für die verursachten Schäden geradestehen (zumindest das gibt unser Recht seit 1949 her).

Neu ist, dass das Ganze früher rechtsstaatlicher Kontrolle unterlag. Wer eine Information aus dem Internet entfernt sehen wollte, der konnte darauf klagen und erst auf richterlichen Beschluss musste die Information auch entfernt werden. Damit war sichergestellt, dass die Interessen beider Parteien abgewägt waren (Das Recht auf Meinungsfreiheit des Beklagten vs. das Recht auf Würde/Informationelle Selbstbestimmung des Klägers). Jetzt darf diese Zensur ohne Rechtsgrundlage vorgenommen werden und Unternehmen, die sich gegen diese Art der staatlichen Meinungskontrolle stellen, müssen eine strafrechtliche Verfolgung fürchten.

Die Wurzel dieses Übels ist jedoch nicht der deutsche Bundestag, die Merkelregierung oder die offensichtliche Leichtgläubigkeit des deutschen Volkes, die bei Kriminellen ja schon lange Allgemeinbildung zu sein scheint. Die Wurzel ist, dass kaum jemand sich noch die Mühe macht, seine eigene Homepage zu bauen, selbst heute, wo einfach zu nutzende Web-Frameworks für HTML-Anfänger und CMS mit Editoren auf dem Komplexitätslevel einer Textverarbeitung für technisch völlig unbedarfte Anwender existieren. Stattdessen geben wir unsere Meinung in die Hand von Konzernen, in der Hoffnung, dass sie ihre dadurch gewonnene Macht nicht missbrauchen, um ihre eigene politische Agenda voranzutreiben.

Statt auf die Zensur falscher oder schädlicher Informationen auf Bildung zu setzen, wäre eine effektivere Lösung gewesen. Leider hat Bildungspolitik die nervige Angewohnheit, ihre Auswirkungen erst in der nächsten Legislaturperiode zu zeigen, und außerdem ist Demokratie mit einem leichtgläubigen, verdummten Volk doch einfacher. Verbrechen übrigens auch.

Aber wo kämen wir denn mit Aufklärung auch hin? Dummheit bringt Segen und Lesen, Schreiben und Veröffentlichen sollten ja ohnehin staatlich kontrollierte Rechte sein, das Nutzvieh muss ja eh nicht denken, sondern nur Arbeiten und Konsumieren.

Es ist ein alter Witz, den ich neulich in einem Internetforum gelesen habe: »Wer in Deutschland die 110 anruft, um einen Mord zu melden, der bekommt keine Hilfe. Warum? Mord ist verboten, deshalb kann das gar nicht sein.«

Sicher, das ist überspitzt und natürlich nicht ganz so ernst gemeint. Aber es gab mir zu denken, denn in Deutschland sind viele Verbote in Kraft. Manche davon ergeben Sinn, aber einige sind schlicht und ergreifend nutzlos.

Im Jahr 2005 zum Beispiel verbat die Regierung ganz allgemein den Besitz von Hackertools. Warum? Weil sie keine Ahnung hatten, was sie damit auslösten. Mir war das damals relativ egal, da ich ohnehin nichts Gutes damit vorhatte - aber heute würde mich so ein Verbot quasi arbeitslos machen und die Sicherheit vieler Menschen und Unternehmen gefährden. Warum? Weil fast alles ein Hackertool ist, und weil Kriminelle sich meist nicht großartig um Verbote scheren.

Mit Verboten schaffen wir eine Welt, in der die Menschen in der Illusion leben, sicher zu sein, während sie in Wirklichkeit nur noch angreifbarer werden.

Die Grenze zwischen Hackertools und normalen Bestandteilen des Netzwerkstacks eines Betriebssystems ist fließend. Schon ein ICMP-Ping oder eine DNS-Abfrage kann für Denial-of-Service-Attacken eingesetzt werden, der Portscanner NMAP ist dagegen komplett harmlos, obwohl er wohl bei mehr Attacken eingesetzt wird als die obengenannten Tools zusammen.

Sicherheit erreicht man nicht durch Verbote oder Überwachung, sondern durch Bildung. Je schneller wir das begreifen, je schneller wir schon an Grundschulen auch Hacken unterrichten, desto eher wird die Öffentlichkeit wirklich vor Cyberkriminalität geschützt.

Deutschland hat gewählt. Dass wieder 4 Jahre Merkel auf dem Plan stehen, war ja schon vorher klar, dass die AfD zwar leider in den Bundestag aber zum Glück in die Opposition gehen würde, auch.

Dass es dann nicht Schwarz-Rot sondern Jamaika wurde, war überraschend, macht aber vom taktischen Standpunkt Sinn, denn so kann sich die SPD die nächsten vier Jahre wieder auf ihrem eigenen Standpunkt positionieren, statt sich von der CDU einschränken zu lassen. Aber was hat das alles für uns zu bedeuten?

Dass weiterhin das Seniorenheim um Angela Merkel regiert, sind überraschenderweise sowohl gute als auch schlechte Nachrichten, je nachdem, auf welcher Seite der Branche man steht.

Als Krimineller freut man sich natürlich über ein "Weiter so" was den nutzlosen Kurs von Massenüberwachung, Vorratsdatenspeicherung, Internetzensur, Täterschutzjustiz und Waffenkontrolle angeht, weil man vom Staat unbehelligt seiner Arbeit nachgehen kann.

Als Sicherheitsprofi freut man sich, dass man zumindest die nächsten paar Jahre noch arbeiten kann, ohne dass der Staat mit seiner Ahnungslosigkeit alles zerstört und wieder mal gesetzestreue Bürger einsperrt.

Und als "Weiches Ziel"? Ja, da freut man sich auch, wie ein Schneemann auf den Sommer oder ein Reh auf die Jagdsaison. Wer sicherheitstechnisch aufrüsten will, der tue es jetzt, denn in den nächsten vier Jahren wird Berlin wohl seinen sicherheitspolitischen Dornröschenschlaf fortsetzen.

Was auch immer sich dort an weiteren Schildbürgerstreichen zusammenbraut - es werden spaßige vier Jahre. Nur auf wessen Kosten der Witz geht, das muss noch geklärt werden...

Dem ISC zufolge gibt es in Crapples Betriebssystemimitat "OSX" wieder einmal eine fatale Sicherheitslücke.

Das letzte Mal, als ich ein OSX-System geknackt habe, habe ich mich einer Privilege Escalation-Sicherheitslücke in der Implementation von malloc und rsh bedient (Userrechte hatte ich bereits). Dazu waren 20 Zeilen Pythoncode notwendig.

Der letzte Exploit namens PrintToAccess passte dann bereits in einen Tweet.

Jetzt toppt Crapple das wieder einmal, auch wenn man dieses Maß an Unfähigkeit nicht für möglich gehalten hätte: Der root-Account auf High Sierra hat standardmäßig einfach überhaupt kein Passwort mehr.

Quelle: [Lemi Orhan Ergin|https://twitter.com/lemiorhan]

Ob dahinter die passiv-aggressive Problemlösungsstrategie Marke "Wenn die bösen bösen Hacker immer root-Zugriff wollen, dann geben wir ihn ihnen einfach direkt, dann müssen sie nicht hacken und machen unseren schönen Schein vom OS nicht kaputt" steckt, ist unbekannt und ein Statement von Crapple steht noch aus. Öffentlich wollte Crapple sich nicht dazu äußern, man bat lediglich den Entwickler um private Kontaktaufnahme.

Es beweist, was ich schon lange sage: OSX ist das Äquivalent zu Windows ME in Sachen Usability, Stabilität und jetzt auch in Sachen Sicherheit. Glückwunsch Crapple zum gelungenen Nachbau des wohl unsichersten OS der Welt (Von C64 Basic mal abgesehen). Beim kleinen Linux-1x1 habt ihr wohl geschlafen, als ihr euch bei BSD bedient habt.

Software-Hacks

Fortgeschrittene Codemagie.

...für die anderen der vielleicht beste Cloud-Passwortmanager der Welt.

Ja, auch der Pinguin eures Vertrauens nutzt einen Passwortmanager in der Cloud. Nur, da leider keine gute Selfhosted-Alternative existiert und Drittanbieter bestenfalls drittklassig sind, macht er es natürlich selber.

Alles, was dazu benötigt wird, ist ein Server mit einer (bestenfalls aktuellen) Version von sshd, eine Kiste Bier und etwas Zeit.

Auf einem Linuxclient ist fuse-sshfs nötig, für Windows gibt es ebenfalls Software. KeePass-Implementationen existieren sowohl für Android als auch für iOS und können per SFTP angebunden werden.

Jetzt noch KeePass 2, den freien, kostenlosen Passwortmanager installieren und eine mit einer Schlüsseldatei abgesicherte Passwortdatenbank innerhalb des SSHFS-Verzeichnisses erzeugen.

Die Schlüsseldatei kann jetzt auf jedem autorisierten Gerät platziert werden, ebenso wie der RSA-Schlüssel zum Verbinden mit dem Server.

Die Schlüsseldatei wird nicht auf dem Server platziert, sondern ist auf allen Clients.

Wird der Server kompromittiert, so bekommt der Angreifer lediglich eine verschlüsselte Datenbank in die Hände.

Wird einer der Clients kompromittiert, können die Passwörter kinderleicht geändert werden - ebenso wie der Key der Datenbank.

Alles in allem deutlich sicherer und dabei auch weit komfortabler als die SAAS-Version. Und weniger kosten tut's auch noch.

Ratschläge

Ernst gemeinte Ratschläge für jeden, der sie lesen möchte.

Wie oft wird man als IT-Profi eigentlich gefragt, welches Antivirusprodukt denn nun das beste sei? Zu oft.

Man darf den Marketingabteilungen der Antivirushersteller gratulieren, denn kein anderes Produkt wird so effektiv als Ersatz für ein komplettes Sicherheitskonzept vermarktet.

Sich wie ein Großteil aller Endanwender - und ein stetig steigender Anteil aller Firmen - ausschließlich auf ein Antivirusprodukt zu verlassen, das ist an sich schon eine schlechte Idee. Den Rest des eigenen Sicherheitssetups zu vernachlässigen ist fahrlässig. Wer mich nach einer guten AV-Software fragt, der bekommt normalerweise diese vier Antworten:

Erstens: Ein komplettes Sicherheitskonzept erfordert natürlich Arbeit und ein wenig Zeit, sich mit dem Thema auseinanderzusetzen. Zeit, deren Einsatz sich zu Beginn nicht oder kaum auszahlt. Sicherheit wird bei IT-Systemen aller Art gerne vernachlässigt, denn die Resultate einer guten Absicherung sind eben nicht sichtbar. Es passiert nichts - eben das ist das tückische. Man erkennt auch seine Fehler nicht, bis es zu spät ist.

Zweitens: Ein gutes Sicherheitskonzept startet mit einer Inventur, denn wer blindlings Firewall-Appliances, Sicherheitssoftware und dergleichen kauft, kauft normalerweise zweimal. Wer ein Netzwerk, egal wie groß oder klein, absichern will, der muss wissen, was und wer sich darin bewegt.Der Kenntnisstand der jeweiligen Nutzer spielt dabei eine wichtige Rolle, das Alter und der Hersteller von Geräten, die Verfügbarkeit von Sicherheitsupdates und, ob zwischen mir und dem Gerät vielleicht noch ein Zwischenhändler steht, der die Auslieferung von Sicherheitsupdates zusätzlich verzögert.

Drittens: Nicht immer ist derjenige, der für die Geräte bezahlt hat auch die sinnvollste Besetzung für einen Administrator (Die "Ich hab das bezahlt und ich administriere das jetzt auch"-Ideologie hat sicherlich an mehr als einem Fall von Cyberkriminalität mindestens eine Teilschuld). Technische Entscheidungen sollten von qualifiziertem, vertrauenswürdigem Fachpersonal getroffen werden - Die meisten Geschäftsführer, die ich kenne, passen nicht unbedingt zu dieser Beschreibung.

Viertens: Über kurz oder lang werden immer Löcher entstehen, es ist wichtig, sie klein zu halten. Es wird immer den einen User geben - der Opa oder die Sekretärin, Fräulein Tochter oder den leicht senilen Bilanzbuchhalter, der schon zu Windows 95-Zeiten Probleme mit diesem neumodischen Zeug hatte, diesen User, der eine Phishingmail beantwortet oder diesen einen Mailanhang herunterlädt und (am Virenfilter vorbei, wenn der Angreifer das kleine 1x1 des Social Engineering beherrscht) ausführt oder der, um die elterliche oder unternehmenseigene Internetzensur zu umgehen, unbeabsichtigterweise eine Sicherheitslücke öffnet. Dagegen gibt es keine wirksame Verteidigung.

Ja, du bist schuld, wenn dein verseuchter USB-Stick das gesamte Firmennetzwerk lahmlegt.
Ja, die Abmahnung hast du verdient, denn wir haben da eine Richtlinie, die du missachtet hast.

Nein, ich respektiere dich nicht weniger, wenn dir ein Fehler passiert ist.
Ich respektiere dich weniger, wenn du nicht aus deinem Fehler lernst und ihn zum dritten Mal in Folge begehst.

Ja, du hast den Link in dieser Mail angeklickt und du hast dein Passwort eingegeben.
Ja, das hätte dich dein gesamtes Geld und deinen Ruf kosten können, also lerne etwas daraus.

Nein, ich diskriminiere dich nicht. Ich behandle dich nur so, wie auch ein richtiger Krimineller dich behandeln würde.
Nein, wenn du glaubst, Malware oder Betrug betrifft dich nicht, weil du schwarz, eine Frau oder schwul bist, bist du dümmer, als ich dich eingeschätzt hätte.

Ja, noch vor 7 Jahren hätte ich dir dein Konto auf diese Weise leergeräumt, deinen Server als Spamschleuder oder C&C-Server benutzt oder deine E-Mailkontakte betrogen.
Ja, vor 7 Jahren hätte die menschliche Dummheit dich in genau das selbe Messer laufen lassen. Sei froh, dass es diesmal nicht scharf war.

Nein, niemand zwingt dich, Computer zu benutzen. Fühl dich frei, auszusteigen, wenn du nichts neues lernen willst.
Nein, was wir tun, ist kein Geheimwissen. Jeder kann es lernen und jeder, der es lernen will, bekommt jede Hilfe, die er braucht.

Ja, die Opferrolle ist bequem, setz dich hin und heul rum, bis dir jemand hilft.
Ja, es erfordert Arbeit, das zu lernen was wir tun und vom weichen Ziel zum Kombattanten zu werden.

Nein, der Staat hilft dir nicht. Deine Sicherheit im Internet ist deine Verantwortung.
Nein, dein ISP hilft dir nicht. Deine Sicherheit im Internet ist deine Verantwortung.

Ja, Es gibt viel zu lernen und du hast kein Interesse daran, weil du deinen Computer "nur zum Surfen und Mailen" brauchst.
Ja, es sind Leute wie du, die jeden Tag betrogen, verseucht und gehackt werden.

Nein, dieses Angebot ist nicht zu wichtig, um den Virenscanner zu ignorieren und die Makroausführung deiner Textverarbeitung zu aktivieren.
Nein, das Programm auf dieser Werbeanzeige kann deinen Computer nicht um 150 % beschleunigen. Wenn es das könnte, hätten wir es dir schon installiert.

Ja, wir wissen, dass du für deinen Job deinen Computer brauchst und dass du nicht die Zeit hast, zu lernen, ihn auch richtig zu benutzen.
Ja, du glaubst, dein Job ist wichtiger als unserer. Bis du mal eine Woche ohne uns auskommst und merkst wie unfähig du bist.

Nein, wir können dich nicht zwingen zu lernen, wie man seinen Computer benutzt oder sein Gehirn einschält.
Nein, wir werden uns nicht schützend vor dich stellen, wenn deine eigene Ignoranz dich in die Scheiße reitet.

Disclaimer: Dieses Gedicht ist ein innerer Monolog von Antworten, die man so manchem Anwender gerne mal an den Kopf werfen möchte. Und ja, das reimt sich nicht. Verklag mich doch.

Es war einmal ein Portscan mit nmap, der brachte mir etwas, das ich schon fast ignorieren würde: Port 21 offen und es lauscht ein 6 Jahre alter ProFTPD.

Und dann die Frage. Warum? Und: Warum überhaupt noch FTP?

Fragt man den Laien (aka Webdesigner), dann ist FTP natürlich der einzige Weg, Dateien zu übertragen und SSH existiert quasi nicht.

Wer ein wenig über Betriebssysteme und Netzwerkdienste weiß, der kennt die zahlreichen Vorteile von SSH, nicht nur zur Fernadministration, sondern als die Allzweckwaffe für alles, was man auf einem fremden Server so tun möchte.

So beginnt ein simpler SCP-Dateitransfer noch nicht einmal, die Fähigkeiten von SSH auszureizen - tunneln wir doch gleich ein ganzes Dateisystem durch.

Der nächste Vorteil von SSH ist die Tatsache, dass Verbindungen immer verschlüsselt sind, und das ohne SSL-Konfiguration. Warum also für den privaten Fileserver ein Selfsigned-Zertifikat erstellen und trusten, wenn man auch einfach gleich SSH benutzen kann? DNS Hijacking wird auch sofort erkannt und die Verbindung wird verhindert, bis das Problem gelöst ist. Ignorieren? Möglich, aber zu schwer für "Webdesigner".

Die Tatsache, dass im Quasistandard OpenSSH deutlich weniger Sicherheitslücken existieren als in den meisten FTP-Clients, ist ein weiterer Grund, FTP einfach sterben zu lassen. Und die, die SSH immer noch für "nur eine Shell" halten, bitte gleich mit.

Und jetzt endet diese Rant, denn auf mich wartet eine root-Shell. Ratet mal, wie ich zu der gekommen bin?

Philosophie

Denkanstöße und schwerverdauliches. Nicht als Gutenachtgeschichte geeignet.

"Die Menschheit wird seit Jahren immer intelligenter" - so der Konsens zahlreicher wissenschaftlicher Untersuchungen.

Zeitgleich werden die Menschen immer anfälliger für Betrugsdelikte, Falschinformationen und kümmern sich immer weniger um das, was um sie herum passiert.

Diese zwei Ergebnisse scheinen im Widerspruch zueinander zu stehen. Wie kann eine immer intelligenter werdende Menschheit zeitgleich immer leichtgläubiger werden? Sind wir vielleicht so intelligent, dass wir unsere gesunde Skepsis nicht mehr brauchen? Glauben wir nicht mehr an Tatsachen, sondern ziehen wir uns in unsere kleine Illusionswelt zurück? Im Internet zeigt sich das deutlich, weil es ein Verstärker ist. Ein Verstärker, der 7 Milliarden Menschen in einen Raum bringt, in die scheinbare Anonymität der Masse.

Es wird oft argumentiert, dass der Durchschnitt nicht die Kenntnisse unserer Zunft hat, und dass daher für uns völlig offensichtliche Onlinebetrugsmaschen für sie nicht so offensichtlich sind.

Ich kann dieses Argument nicht nachvollziehen, und das aus einem einfachen Grund:?Ich bin zwar kein Herzchirurg, aber trotzdem weiß ich, dass es wahrscheinlich keine gute Idee ist, mir ein Messer in die Brust zu rammen. Ich bin zwar kein Anwalt, aber trotzdem frage ich nach dem Dienstausweis, wenn jemand in Uniform etwas von mir will. Ich bin zwar kein Polizist, aber trotzdem prüfe ich die Kammer meiner Pistole, bevor ich daran herumbastele.

Das hat nichts mit Fachkenntnissen oder meinem Alter zu tun, auch nicht mit meiner Schulbildung oder meinem Beruf. Das ist nichts, was mir in die Wiege gelegt wurde.

Und wenn man sich die Statistiken ansieht, macht mich das scheinbar zum Teil einer Minderheit. Wenn Betrüger sich so oft erfolgreich als Polizeibeamte ausgeben, wenn falsche Ärzte so viele Leben zerstören können - rechtfertigt das dann nicht die Frage, ob wir wirklich immer intelligenter werden?

H4kd

Kurzgeschichten aus dem Arbeitsalltag eines (fiktiven) Blackhats

Mit ruhigen Fingern rauchte ich die letzten Züge meiner Zigarette, bevor ich sie im Aschenbecher ausdrückte.

Die Uhr bewegte sich auf die Mittagsstunde zu, die ersten Nachwuchskaufleute strömten aus der nahen Berufsschule in das Einkaufszentrum, während ich mein Handy zückte. Der Gastronomiebereich - neudeutsch Food Court - würde voll sein um diese Uhrzeit, ausgezeichnet für mich und den Job, den ich vorhatte.

Das Bild auf dem Display meines Telefons musste für jeden normalen Beobachter wie ein Systemabsturz aussehen, so ungewohnt waren die Leute die Terminalsitzungen, die noch bis ins letzte Jahrzehnt hinein Gang und Gäbe bei der Bedienung von Computern waren.

Was sich in Wirklichkeit abspielte, erschloss sich nur dem einen Prozent der Menschheit, dem ich angehöre, und es bedarf einer kleinen Erklärung, um es zu verstehen.

Mein Handy war über einen Bluetooth-Adapter mit dem Einplatinencomputer in meinem Rucksack verbunden, den ich beim Suchen nach meiner Zigarettenschachtel mit einem kurzen Handgriff an eine Powerbank angeschlossen hatte, mit der man einen Desktopcomputer hätte betreiben können.

Wenige Minuten - eine Zigarette - später war das Gerät mit seinen zwei WiFi-Antennen hochgefahren und der Bluetooth-Adapter gab eine serielle Konsole weiter. Eine serielle Konsole, die ich über mein Handy aufrufen konnte.

Ich meldete mich mit meinem Usernamen und Passwort an und ein "sudo -i" später arbeitete ich in einer root-Shell weiter.

root@pi:/home/darkblood #>wifiphisher.py -jI wlan0 -aI wlan1 -e "OEZ Kunden_WLAN" -p oauth-login

Wenig später sendete mein Rucksack ein Signal aus, das das WLAN-Signal des örtlichen Einkaufszentrum überdeckte und die Geräte im Umkreis von etwa 20 Metern um mich herum stattdessen in einem gleichnamigen Accesspoint einwählte.

Dieser Accesspoint erlaubte zwar keine Verbindung ins Internet, stellte aber einen lokalen Webserver zur Verfügung, der eine Authentifizierung mit den Zugangsdaten eines sozialen Netzwerkes vortäuschte - eine scheinbare Maßnahme zum Schutz vor Internetkriminalität, nationale Sicherheit, Blablabullshit. Für die Sorglosen sah es echt aus, woher sollten sie es besser wissen?

Ich drückte mich durch die Tür zum Einkaufszentrum und setzte mich unauffällig in der Nähe einiger Blondinen auf eine öffentliche Bank - die alte Raucherlunge war auch nicht mehr die Beste. Wie sich herausstellte, waren die Smartphonemissbraucherinnen gerade irritiert aus ihren Chats, Flirtereien und Pay-to-win-Casualgame-Sitzungen geflogen und sollten jetzt auf einmal ihr wahrscheinlich wichtigstes Passwort eingeben...

»Hey, steht da bei euch auch was von Anmelden?«, fragte Blondi Nr. 1

»Ja... Ich mach mal...«, beschloss Blondi Nr. 2, worauf Blondi Nr. 3 skeptisch den Kopf schieflegte (nicht ohne Ähnlichkeit mit einem Golden Retriever):

»Ja aber... Das ging doch bisher ohne? Nicht dass uns da einer hacken will.«

Ein verächtliches Lächeln schlich sich auf meine Lippen. Wenn du wüsstest, wer dich da hackt und wie wenig dein lächerlicher Account im Darknet wert wäre, dachte ich.

»Ach quatsch, wer würde denn schon was von uns wollen...« , schloss Blondi Nr. 1 messerscharf. Die letzten Worte eines Schafs auf der Schlachtbank, wie sich herausstellen sollten, denn die ein kurzer Blick auf mein Handy bestätigte drei Logins dreier wenig einfallsreicher Klarnamen-Accounts. 3 Euro mehr in meiner Bitcoinwallet, mir soll es recht sein.

Es wurde Zeit für mich, zu lange an einer Stelle zu bleiben war auffällig und schließlich wollte ich eingentlich in den Food-Court. Auf dem Weg dorthin gingen mir fünf weitere ins Netz - was Menschen nicht alles machen, um ein paar Megabyte Datenvolumen zu sparen.

Beim Chinesen um die Ecke stellte ich mich in die Schlange, die zur Hälfte aus Mitarbeitern lokaler IT-Konzerne zu bestehen schien (10 Accounts, mein Handy vibrierte im 5-Sekunden-Takt), die andere Hälfte ein unbestimmbarer Mix aus Berufsschülern verschiedener Fachrichtungen.

Als ich an der Reihe war, bestellte ich mir eine Portion gebratenen Reis für 5 Euro, setzte mich an eine der öffentlichen Bänke und aß in Ruhe auf, während mir die Palmenblätter der strategisch ungünstig platzierten Topfpalme den Nacken massierten.

Den Rucksack zwischen den Beinen aß ich scheinbar bedächtig, während mehr und mehr Leute in meine Richtung - und mehr und mehr Accountdaten in meinen Speicher floßen.

Nur zu, dachte ich herausfordernd, einen Mundwinkel verächtlich nach oben ziehend. Spammt mich zu, gebt es mir, da sind 16 Gig SD-Karte drin und die soll schon voll werden.

Es war immer wieder erstaunlich - noch in den 1980er Jahren hatten Verschwörungstheoretiker behauptet, die Regierung würde den Menschen Computerchips mit Peilsendern und Wanzen implantieren, heute waren die Leute verdummt genug, dass sie ihre eigenen kauften.

Das Zeitalter der digitalen Sorglosigkeit war auf seinem Höhepunkt wie mir schien, und mir hatte der Nachmittag schon an die 100 Euro in Zugangsdaten eingebracht - mehr sogar, wenn ich heute Abend meinen Accountprüfer darüberjagen würde - als mich ein älterer Mann ansprach.

»Entschuldigen Sie, wissen Sie was das da bedeutet?«, fragte er mich, während er mir den Bildschirm seines Smartphones zeigte. Mit genau dem Loginformular, das ich selbst noch vor wenigen Stunden designt hatte.

»Hm... Komisch... Das kenn ich nicht, ich wähl mich hier nie ein«, log ich aufgeregter als ich hätte sein müssen. Trotzdem fühlte sich das falsch an, es ist eine Sache, die Leute ins offene Messer laufen zu lassen, zuzustechen wieder eine ganz andere... War das diese Doppelmoral, derer mich die Leute immer wieder mal bezichtigten?

»Naja, ich geb doch da nicht einfach meine Daten ein«, beschloss der Mann entschieden - meine Gelegenheit zum Aufatmen, immerhin musste ich ihm keine Lügengeschichte auftischen.

»Gehen Sie doch mal zur Info, vielleicht gibt's ja einen Weg, das zu umgehen«, log ich. Moral hin oder her, wie die Info damit umging, das wollte ich jetzt wissen.

»OK... Kommen Sie doch mit, dann wissen wir's beide«, bot der Mann in einem freundlichen Tonfall an. In einem Anfall geistiger Umnachtung sagte ich zu und stand auf.

Wir trotteten also los auf der Suche nach kompetentem Personal und an einen Informationsstand - ich suchte schon nach einem Ausweg, denn im Kopf malte ich mir aus, was der Infomitarbeiter sagen würde...

Würde er bemerken, dass es sich bei der Seite um einen Fake handelte - und dass sie in seiner Nähe gehostet sein musste? Würde er skeptisch werden, den Sicherheitsdienst rufen? Die IT-Abteilung? Die Polizei?

Der Infostand rückte näher, abhauen konnte ich wohl nicht mehr, also Augen zu und durch. Falls jemand fragte, hatte ich wohl keine wirklich plausible Erklärung für das Zeug in meinem Rucksack.

Als wir den Infostand endlich erreichten und uns durch die kurze Schlange von weinenden Kevin-Chantall-Justins gekämpft hatten, brachte der Anzugträger die Loginseite zur Sprache.

Der Mitarbeiter besah sich die Sache und zog sein eigenes Handy hervor, das - oh Wunder über Wunder - dieselbe Seite anzeige. Kunststück, schließlich war er in meinem Netzwerk und sah, was ich wollte.

»Hmm... Das wird schon seine Richtigkeit haben«, vermutete Mister Infostand, seine Kompetenzen offenbar um das hundertfache überschreitend. »Melden Sie sich einfach mal an. Umgehen kann ich das leider auch nicht für Sie.«

Ich konnte mein Glück noch nicht glauben, ich war vom Haken. Der Alte bedankte sich, deaktivierte sein WLAN und verabschiedete sich von uns, der Infomitarbeiter, der sich selbst gerade um seinen Job geredet hatte, schaute mich an.

»Ist noch was?«, fragte er mich gestresst.

»Nein, ich hab dem Herrn nur gezeigt wo die Info ist... Schönen Tag noch«, wünschte ich. Offensichtlich machte ich immer noch den Fehler, die Menschen zu überschätzen. Habe ich schon erwähnt, dass ich blinden Gehorsam liebe?

Eilig ließ ich die Reste meines Mittagessens in einen Mülleimer fallen und ging aus dem Einkaufszentrum in den Raucherbereich. Mittlerweile war meine Sammlung auf gute 130 Datensätze angewachsen, die Früchte von zwei Stunden Arbeit.

Während ich meine Zigaretten hervorzog nahm ich den Stecker der Powerbank aus dem Minicomputer.

Was für ein Arbeitstag...

Intro

Hacken... Die meisten Menschen denken da an Mr. Robot, Anonymous und co.

Nur vergleichsweise wenige wissen um die Dinge außerhalb der Massenmedien, darum, dass Hacking mehr ist als nur das aushebeln von Sicherheitsmaßnahmen, dass es um die Kultivierung von Achtsamkeit, Selbstkritik, Kreativität und technischem Verständnis geht, kurz: Darum, nicht nur die Technik zu verbessern, sondern auch, sich als Mensch zu verbessern.

Wer sich auf diese Reise begibt, der mag viele falsche Eindrücke erhalten von dieser Szene, die sich als verschwiegen und elitär darstellt - aber im 21. Jahrhundert ist vieles, was Hacking betrifft, nicht mehr elitäres Geheimwissen, sondern vielmehr Grundwissen, das schon Kinder instinktiv beherrschen.

Disclaimer (für Juristen, besorgte Bürger und andere Kleingeister)

Teile der hier verfügbaren Informationen könnten als Anleitung zu Straftaten verwendet werden.

Ich vertraue darauf, dass wir uns alle wie Erwachsene verhalten und dass kein Leser meiner Website in der Absicht handelt, anderen Menschen zu schaden oder die Schädigung in Kauf nimmt. Solltest genau DU das machen, dann stell dich in die Ecke und schäm dich.

Von jeder missbräuchlichen Verwendung der hier gezeigten Informationen distanziere ich mich ausdrücklich.

Die Verwendung im legalen Rahmen hängt von der Rechtsprechung am jeweiligen Ort ab. Kontaktieren Sie im Zweifelsfall Ihren Anwalt.

Social Engineering

'There is no fix for human stupidity' - Anonym.

Ist Social Engineering unter unserer Würde?

Als Angreifer - Blackhat oder Pentester, das sei jetzt mal dahingestellt - steht man gelegentlich vor der Frage, technische Angriffe technisch sein zu lassen und stattdessen auf gute alte Psychologie zu vertrauen. Und in unseren Kreisen nennt man das dann Social Engineering.

Wer jetzt nur an Phishingmails denkt, der hat die Fragestellung nicht verstanden. Social Engineering ist mehr als "nur" Mails mit falschem Absender oder virenverseuchte Dokumente.

Was würde wohl Sun Tzu (siehe auch meine "Leseliste") sagen, wenn er die Frage hören könnte? »Der Zweck heiligt die Mittel«? »Wenn es den Sieg bringt, mach es«? Ich weiß es nicht, aber eine solche Antwort würde ich ihm wohl unterstellen.

Ist es ehrenwert, das ist keine Frage, die man sich angesichts unserer Herausforderungen stellen sollte, denn eine Sache ist klar: Ein realer Angreifer wird niemals auf eine Gelegenheit verzichten.

Während die technischen Systeme immer ausgereifter und Sicherheitslöcher immer weniger wahrscheinlich werden, Exploits immer weniger aussichtsreich und immer komplexer, bleibt eines gleich: Die menschliche Tendenz dazu, zu glauben, was gesagt wird.

Ob falsche Ärzte, die tausende Menschen töten oder verletzen können, falsche Polizeibeamte, die Millionen erbeuten oder Phishingmails und DDOS-Erpressungen, die Zugangsdaten und Bitcoins im Wert hunderttausender Euro erbeuten: Wer nicht auch auf solche Möglichkeiten testet, der verschenkt Territorium.

Sun Tzu bewertet die faire Schlacht als das riskanteste aller Szenarien. Kriminelle setzen dieses Wissen selbst um, wenn sie das Buch nicht gelesen haben, weil es letztlich gesunder Menschenverstand ist: Bringst du ein Messer zu einer Schießerei mit, bist du der erste Tote, bringst du eine Pistole zu einer Messerstecherei mit, dann bist du wahrscheinlich der Sieger.

Und deshalb: Nein. Ist es nicht. Social Engineering ist das, was die Armeen der Welt als Tarnen und Täuschen kennen, was zwei Weltkriege entschieden und den dritten verhindert hat. Social Engineering verwandelt eine Feldschlacht in einen Häuserkampf. Es ist der Vorteil, den Angreifer haben und den sie immer haben werden. Diesen Vorteil zu ignorieren, nicht zu testen und keine Aufklärung und Verteidigung dagegen zu schaffen, ist Selbstmord.

Als IT-Profi verliert man gelegentlich den Blick für das "einfache Volk." Das ist eine erwiesene Tatsache, aber wie sehr, das hatte selbst ich unterschätzt.

So neulich geschehen, während einer geselligen Runde unter Freunden. Aus Anstand (und in der Absicht, weiterhin sämtliche Körperteile zu behalten) verzichte ich auf Namen und genauere Umnstände, eines sei gesagt: Niemand unter 18 war mehr ganz nüchtern und es war zu später Stunde.

»Du, du bist doch Informatiker?« - Einer der meistgehassten Gesprächsanfänge.

»Ja?«

»Wann wurde Google gegründet«

»Wieso?«

»Google macht ein Quiz, da kann ich ein IPhone gewinnen.«

Und jetzt wird der Cybersicherheitsspezialist hellhörig, denn man ist ja gerade sowieso am PC.

Google muss seinen Namen ja bei allen möglichen Betrugsmaschen als "vertrauenswürdiger Dritter" hinhalten. So auch hier.

Ein einfacher (oder vielleicht auch nicht ganz so einfacher) Redirect Marke "Sie sind unser Millionster Besucher." beeindruckt den IT'ler, der so etwas in Minuten selbst realisiert, wenig und austricksen lassen sich Profis davon erst recht nicht. Aber Endanwender offensichtlich doch.

Eine kurze Prüfung der Domain bestätigt: Fälschung. Eine von vielen.

»Aber da ist doch das Logo von Google drauf«. Der ausschlaggebende Kommentar, der das Ganze überhaupt erst einer Erwähnung auf meiner Website würdig machte, weil er mich zum Nachdenken brachte...

...wenn Logos solch eine Aussagekraft haben, wie einfach wäre es dann, einer Zielperson gefälschte Dokumente unterzujubeln, die diese als Echt betrachten würde?

Naja... Eine E-Mail an die Abuse-Mailadresse war das einzige, was ich in diesem Fall tun konnte. Die fragliche Website ist bereits offline. Den Provider nenne ich mit Absicht nicht.

Wer seine Social Engineering-Fähigkeiten verbessern oder auf die Probe stellen will, der hat ein Problem: Wo?

Für das, was wir tun, für die Vermutungen, die wir aufstellen, existiert keine Laborumgebung. Wir arbeiten immer im "Produktivsystem".

Wenn ich bei einer Software eine Sicherheitslücke nachstellen möchte, dann ist es kein großes Problem, eine virtuelle Laborumgebung aufzusetzen, eine Kopie der Software zu installieren und zu testen, was zu testen ist.

Was tut man aber bei Menschen, besonders bei Massenangriffen wie Phishing oder Malvertising aller Art? Hier kann man nicht auf eine virtuelle Umgebung zurückgreifen und eine Studie zu veranstalten ist für einen Forscher fast unmöglich.

Die rechtlichen Rahmenbedingungen sind klar: Wer psychologische Experimente durchführen möchte, der muss sich vorher eine Einwilligung holen. Nur, wer kann die geben? Wie kann der CEO einer Firma einwilligen, dass ein Social Engineer in den Köpfen seiner Angestellten herumfuhrwerkt, möglicherweise noch eine private Information entlockt.

Als Krimineller hat man es da einfacher. Aber das ist ja sowieso immer so.

Was? Der Guerilladatenschützer und Konzernhasser ilPinguino bedankt sich ausgerechnet bei Faceboot? Ja, genau bei denen.

Früher war es harte (und teure) Arbeit, Informationen über eine Zielperson zu beschaffen: Man rennt von Amt zu Amt, wo man entweder seine Informanten hat, für Infos bezahlt und/oder Mitarbeitern auf die eine oder andere Art die gewünschten Infos entlockt. Doch das war einmal.

Heute ist das größte Soziale Netzwerk Betrügers bester Freund und erlaubt die Informationsbeschaffung über nahezu jede Person von 0 bis 99. Und die Hälfte vom Rest gleich mit.

Früher musste man eine Zielperson beschatten, heute reicht eine kurze Suchanfrage, um herauszufinden, wo Sie (Ja, Sie!) arbeiten. Und bei der Gelegenheit auch: Auf welche Schule Ihre Kinder gehen, welches Auto Sie fahren und wann Sie wieder bei Lady Olgas Dungeon ähm... anderweitig beschäftigt sind. Keine Sorge, Ihre Frau weiß noch nichts davon.

Ach ja: Die Schließnummer Ihres Wohnungsschlüssels, Ihre Privatadresse und den Terminplan Ihrer Frau hab ich auch schon. Ich geh' dann mal Ihre Wohnung ausräumen, viel Spaß mit Olga.

Aber nicht nur Betrüger kommen auf ihre Kosten: Fakebook ist ein Selbstbedienungsladen für Triebtäter. Musste sich Pädo-Harald früher noch am Strand mit seiner Spiegelreflex postieren, immer mit dem Risiko von besorgten Eltern mit dem Kopf voran in den nächsten Mülleimer gestopft zu werden, kann er sich heute im klimatisierten Wohnzimmer aus dem asozialen Netzwerk munter die Myriaden an Nacktfotos anschauen, die genau dieselben Eltern von ihren Kindern hochladen - für die ganze Welt sichtbar und ganz und gar freiwillig!

Davon, was Dokumentenfälscher Horst dann mit besagten Bildern alles anstellen kann, um Betrüger Hannes und Pädo-Harald gleichermaßen glücklich zu machen, davon reden wir jetzt mal nicht.

Und das alles kratzt noch nicht mal an der Oberfläche dessen, was man aktiv auf der Plattform tun könnte, wenn man russischer (oder amerikanischer) Propagandastreuer, Onlinebetrüger, Schneeballsystembetreiber oder oder oder wäre. Was man ja nicht ist.

Also, für all die Stunden an Beschattungen, Fototerminen, Gesprächen mit Informanten und diversen Dominas geschuldete Gefallen, die du Pentester Pingu, Pädo-Harald, Dokumentenfälscher-Horst und Betrüger Hannes erspart hast:

Danke Faceboom! Und danke an deine leichtgläubigen User!

Leseliste

Eine Liste von Büchern, die ich angehenden und erfahrenen Hackern ans Herz legen möchte.

Sun Tzu beschreibt die Kriegslisten der weisesten Generäle des fernen Ostens in seinem quasi-Standardwerk für Offiziere, Spione und Informationssicherheitsexperten weltweit.

Auch wenn dieses Buch lange vor dem Informationszeitalter entstand, kann man sich als Hacker an vielen Stellen daraus ein oder zwei Weisheiten entnehmen, vor allem philosophischer Natur, aber auch, was die Planung komplexer Sicherheitssysteme angeht.

In jedem Fall räumt Sun Tzu mit der Idee der Fairness auf, denn: Im Krieg ist alles erlaubt. Dieses Buch ist vor der Idee von Menschenrechten und vor der Genfer Konvention entstanden und beschreibt damit sehr genau die Zustände, wie sie heute noch im Untergrund herrschen.

Wer sich in Richtung Social Engineering orientieren will, findet hier einige der wichtigsten Grundprinzipien.

Macchiavelli erklärt durch Kommentare und Einsichten in die Weltgeschichte, wie sich Fürsten und Tyrannen an der Macht halten können - und bis heute können. Diese Einsichten können auch dem geneigten Social Engineer helfen.

Die Erkenntnisse, die Macchiavelli schon zeitgenössischen Herrschern wie den Medici mitgab und die Päpste, Monarchen und Diktatoren an die Macht brachten und an der Macht hielten, können auch uns in unserer täglichen Arbeit helfen. Nicht zu vergessen, dass wir in unserer modernen Demokratie alle politische Macht haben, die wir nicht verstehen oder die wir unterschätzen.