Skip to content

Von Saudi-Arabien gehackt

Im Dezember 2015 erhielt ich eine Nachricht von Twitter. Der Dienst informierte mich, dass ich Opfer staatlichen Hackings wurde. Die Nachricht selbst war recht allgemein gehalten:

Rein vorsorglich möchten wir Sie darüber informieren, dass Ihr Account zu einer kleinen Gruppe von Accounts gehört, die Ziel eines staatlich motivierten Hackerangriffs geworden sein könnte. Das bedeutet, dass die Hacker möglicherweise mit einer Regierung in Verbindung stehen. Wir vermuten, dass Daten und Informationen wie zum Beispiel Email-Adressen, IP-Adressen und Telefonnummern ausspioniert werden sollten.

Durch meinen Blogeintrag und die Suche auf Twitter fand ich damals weitere Betroffene. Wir waren alle recht ahnungslos, wer uns aus welchem Grund hacken sollte. Netzpolitik.org warf damals einen Blick auf die Twitterkonten und fand wenig Gemeinsamkeiten. Am ehesten war ein Großteil der Betroffenen als Aktivisten tätig. Die Zusammensetzung an Sprachen, Ländern etc. war jedoch sehr divers.

Mittels eines offenen Briefes versuchten wir Antworten von Twitter zu erhalten. Doch weder gegenüber uns noch gegenüber Journalisten äußerte sich Twitter. Damit könnte die Geschichte zu Ende sein.

Mitte Oktober 2018 gab es nun neue Bewegung. Die New York Times veröffentlichte den Artikel »Saudis’ Image Makers: A Troll Army and a Twitter Insider«. Der Aufhänger des Artikels ist der Mord an Jamal Kashoggi. Dieser wurde vermutlich in der saudi-arabischen Botschaft in Istanbul auf brutale Weise getötet. Der Artikel berichtet, dass sich eine Troll-Armee mit dem Ziel an ihm festgebissen, ihn zum Schweigen zu bringen. Er selbst plante Gegenmaßnahmen:

Before his death, Mr. Khashoggi was launching projects to combat online abuse and to try to reveal that Crown Prince Mohammed was mismanaging the country. In September, Mr. Khashoggi wired $5,000 to Omar Abdulaziz, a Saudi dissident living in Canada, who was creating a volunteer army to combat the government trolls on Twitter. The volunteers called themselves the “Electronic Bees.”

Diese Troll-Aktivitäten wurden im Artikel auf das saudische Königshaus zurückgeführt. Daneben gab es auch Bestrebungen, Twitter direkt zu infiltrieren. Eine Person namens Ali Alzabarah wurde 2013 bei Twitter eingestellt und stieg dort Stück für Stück auf. Irgendwann hatte er direkten Zugang zu personenbezogenen Daten und saudische Geheimdienstler kontaktierten ihn. Er sollte diese Daten an die Saudis weitergeben. Twitter begann eine Untersuchung und entließ die Person. Im Rahmen der Untersuchung fand Twitter keine Hinweise, dass Daten an Saudi-Arabien weitergegeben wurden.

Damit sind zumindest einige der Fragen beantwortet. Jedoch frage ich mich immer noch, warum Saudi-Arabien gerade Interesse an meinen Daten haben könnte.

Gemeinsam Dokumente im Web erstellen

Ich treffe immer wieder Menschen, die gemeinsam an Dokumenten schreiben. Manchmal sind dies wissenschaftliche Veröffentlichungen, mal Pressemitteilungen, mal ganz andere Sachen. In vielen Fällen läuft es so, dass jemand einen Entwurf macht, den per E-Mail oder Messenger verteilt. Dann editieren andere Leute und schicken dies wieder weiter. Wenn ich solch ein Setup sehe, stelle ich den Leuten EtherPad vor und stoße auf helle Begeisterung.

Kürzlich fiel mir auf, dass es verschiedene EtherPad-ähnliche Software gibt und ich fragte nach, welche Software andere so kennen. Unten habe ich eine Liste von Software zusammengestellt, mit der man synchron im Web zusammenarbeiten kann. Sollte euch da etwas fehlen, hinterlasst bitte einen Kommentar.

  • EtherPad bzw. Etherpad Lite: ist der Klassiker auf dem Gebiet. In einem Browserfenster kann man gemeinsam Dokumente bearbeiten, den Text exportieren, chatten etc. Die Software kann selbst gehostet werden. Probieren und benutzen kann man u.a. auf https://pad.riseup.net/ (auch als Tor Onion Service) oder https://pad.systemli.org/. Auf Github gibt es eine Liste von Instanzen.
  • Google Docs: ist eine relativ bekannte Möglichkeit, Dokumente gemeinsam zu bearbeiten. Die Oberfläche lehnt sich an die entsprechenden Microsoft-Programme an. Dokumente können nur mit einem Google-Account angelegt werden. Je nach Freigabe kann man diese ohne Account lesen oder bearbeiten.
  • Ethercalc: ist eine kollaborative Tabellenkalkulation. Auf der Ethercalc-Seite kann man die Benutzung probieren.
  • Firepad: ist recht ähnlich zu EtherPad.  Die Liste an Beispielen macht den Eindruck, dass Firepad wesentlich mehr kann (Code editieren, Rich Text etc.). Ein Spielplatz zum Testen gibt es auf der Demoseite.
  • Hiro: bietet Editieren mit oder ohne Login. Im Gegensatz zu EtherPad scheint es keine Möglichkeit zu geben, Rich-Text-Strukturen in den Text einzubringen. Dagegen lassen sich sehr leicht neue Dokumente anlegen und in einer Instanz verwalten. Der Zugriff kann explizit per Mail oder Telefonnummer vergeben werden. Aber innerhalb der Anwendung lässt sich auch ein Link zum Verteilen erzeugen. Ein Testdokument kann man direkt auf der Webseite anlegen.
  • Sandstorm: ist eine Lösung mit der sich verschiedene Software betreiben lässt. Das Angebot reicht von Etherpad über Wikis bis hin zu Projektmanagementsoftware uvm. Wer einen Account auf einer Sandstorm-Instanz hat, kann nach Bedarf diese Software mit einem Klick installieren und nutzen. Eine Version zum Probieren ist verfügbar.

Die obigen Lösungen würde ich als allgemein nutzbare einschätzen. Daneben gibt es einige, die spezielle Wünsche befriedigen oder mit denen sich bestimmte Dokumentformate bearbeiten lassen:

  • ShareLaTeX bzw. Overleaf: Beide Varianten eignen sich zum Bearbeiten von LaTeX-Dokumenten. ShareLaTeX benötigt einen Login. Bei Overleaf kann man das Editieren vorab testen.
  • Fiduswriter: wie oben kann mit dem Programm LaTeX-Dokumente editieren und es wird ebenso ein Login benötigt. Nach meinem Eindruck ist die Eingabe zum Teil etwas komplizierter als oben, aber gerade bei der Literaturverwaltung scheint Fiduswriter mehr zu können. Mit einem Login kann man die Anwendung testen.
  • HackMD: eignet sich Bearbeiten von Dateien im Markdown-Format. Die Seite benötigt auch einen Login und ihr könnt ausprobieren.
  • Oinker: ist eine Plattform, die sich eher eignet, um Inhalte mit Text, Bildern etc. zu veröffentlichen. Das Einführungsvideo zeigt die Möglichkeiten der Plattform. Um dies zu benutzen, muss man angemeldet sein.
  • Smashdocs: ist wie Oinker eher zum Bearbeiten kompletter Texte mit Bildern und mehr Informationen gedacht. Wie bei Word gibt es eine Änderungsverfolgung und anderen Features, die an Textverarbeitungen erinnern. Eine Demo ist nur mit Login verfügbar.
  • CryptPad: legt die Dokumente verschlüsselt ab. Der Schlüssel ist Teil der URL. Das heißt, Personen mit einer korrekten URL bekommen Zugriff auf die Datei. Der Betreiber selbst hat nicht notwendigerweise Zugriff. Testen lässt sich die Software direkt bei CryptPad oder auch beim C3W.

Solltet ihr mehr solche Dienste kennen, schreibt es in die Kommentare.

Neues Theme und aktuelle Software

Kürzlich trafen sich Teile der S9Y-Gemeinde im Linux-Hotel zum S9YCamp. Im Rahmen des Treffens wurde unter anderem eine neue Version der Blogsoftware herausgegeben. Ich habe das mal zum Anlass genommen und die Software auf den aktuellsten Stand gebracht. Ein unerwarteter Nebeneffekt war, dass mein bisher verwendetes Theme nicht mehr verfügbar war. Ich habe mich daher entschieden, zunächst RESY einzusetzen. Falls ihr ein anderes oder besseres Theme kennt, schlagt gern etwas vor. Derzeit bin ich für alle Vorschläge offen. ;-)

Gründe des Hackingangriffs auf Twitter-Nutzer weiter im Dunkeln

Vor über einem Monat erhielt ich zusammen mit einigen anderen eine E-Mail von Twitter. Darin informierte uns das Unternehmen, dass wir Ziel eines staatlichen Hackingangriffs wurden. Insgesamt fand ich 51 betroffene Accounts. Netzpolitik analysierte die Accounts und fand keine Gemeinsamkeiten, die für alle Konten gültig sind. So tappen wir alle im Dunkeln, warum wir die Mail von Twitter bekamen und was der Grund dafür ist.

Wir haben daher eine Liste von Fragen erarbeitet, die wir gern von Twitter beantwortet hätten. Schließlich möchten alle gern wissen, warum gerade sie Ziel der Angriffe waren. Auch wenn ein Teil der Antworten uns verunsichern würde.

Bei unserem Treffen auf dem 32C3 haben wir alle mögliche Theorien und Phantasien hin und hergewälzt. Aber gefühlt sind wir dem Thema nicht näher gekommen. Kennt jemand von euch noch Leute, die eine ähnliche Mail bekamen? Habt ihr vielleicht Ideen, warum Twitter diese Mails verschickte? Hinterlasst doch hier oder auf unserer Seite einen Kommentar.

Weitere Blogpostings:

#StateSponsoredActors-Meetup at 32C3

Starting in mid-december several Twitter users received a mail from the company telling them that they were target of state-sponsored hacking. I blogged in German about it. Today it is still unclear why Twitter sent out this mail.

Did you ask Twitter and received an answer? Do you have an explanation? Let’s meet at 32C3! Come at 20:00 to Hall 13. We’ll sit down and try to find some answers or develop strategies to find answers. ;-)

Ich bin Opfer staatlichen Hackings

Heute morgen öffnete ich mein Postfach und fand eine E-Mail von Twitter vor. Darin stand, dass ich vermutlich Opfer eines staatlichen Hackerangriffs wurde.

Rein vorsorglich möchten wir Sie darüber informieren, dass Ihr Account zu einer kleinen Gruppe von Accounts gehört, die Ziel eines staatlich motivierten Hackerangriffs geworden sein könnte. Das bedeutet, dass die Hacker möglicherweise mit einer Regierung in Verbindung stehen. Wir vermuten, dass Daten und Informationen wie zum Beispiel Email-Adressen, IP-Adressen und Telefonnummern ausspioniert werden sollten.

Zunächst ging ich von Spam aus. Aber die ganze E-Mail war in gutem Deutsch verfasst. Auch die Header der Mail legten nahe, dass der Absender wirklich Twitter war.

Dann setzt Überraschung und Schock ein. Warum sollte ich Ziel eines Hackingangriffs sein und was kann ein Angreifer erkennen? Um die erste Teilfrage beantworten zu können, müsste man wissen, welcher Staat dahinter steckt. Die zweite ist schon leichter zu beantworten. Die E-Mail-Adresse, die ich für die Anmeldung bei Twitter und zur Kommunikation benutze, ist twitter@ (plus meine Domain natürlich). IP-Adressen sollten jeweils Tor-Exitknoten sein. Allerdings hatte die Twitter-App kürzlich Schluckauf. Daher sind dort vermutlich, ein paar Nicht-Tor-URLs zu finden. Ja, OPSEC ist eben schwer. :-) Telefonnummer müsste keine zu finden sein. Denn bisher habe ich es geschafft, nie eine Nummer angeben zu müssen.

Ich werde das Mal im Auge behalten und ein Update bringen, wenn es etwas Neues gibt. Auf Twitter fand ich bisher 10 Accounts, die betroffen sind.

Update: Laut der Meldung bei der Frankfurter Rundschau bestätigte Twitter nochmals die Echtheit der E-Mail. Sie sagte, dass sie den Vorfall aktiv untersuchen und machten ansonsten keine weiteren Angaben dazu.

Ist Open Source besser als Closed Source?

Die operative Hektik angesichts der Heartbleed-Lücke bei OpenSSL legt sich langsam. Ein Großteil der Server scheint gepatcht zu sein und diverse Zeitungen wie andere Medien bringen zur Prime-Time Warnungen an die Nutzer. Jetzt beginnt die Zeit der Spekulation, woher der Bug kommt, ob der absichtlich eingebaut wurde und es wird auch die Frage diskutiert, ob Open Source sicherer bzw. besser als Closed Source ist.

Auf der einen Seite steht u.a. Linus’ Law als Argument. Der Erschaffer von GNU/Linux wird mit dem Spruch »Given enough eyeballs, all bugs are shallow« zitiert. Das heißt, wenn nur genügend Leute einen Blick in den Quellcode werfen, so wird jeder Bug gefunden und am Ende ist die Software »rein«. Am Beispiel des Linuxkernel ist zu sehen, wie gut das Modell funktioniert. Allerdings gibt es eine Reihe von anderer Open-Source-Software, wo offensichtlich niemand einen Blick in den Quellcode wirft. Dort bleiben dann zahlreiche Fehler unentdeckt. Das ist dann auch gleich das Argument der Befürworter von Closed Source. Denn dort bekommt niemand den Code zu sehen und kann daher auch keine Fehler finden. So lautet die etwas vereinfachte Argumentation.

Forscher vom Lehrstuhl für Betriebssysteme der TU Dresden haben sich dieser Frage im Jahr 2010 genähert. Für ihre Veröffentlichung The Mathematics of Obscurity: On the Trustworthiness of Open Source schufen sie ein Modell, in dem verschiedene Personen versuchen, Schwachstellen in Code zu finden. Wenn die Verteidiger zuerst sind, können sie die Lücke schließen. Die Angreifer haben auf der anderen Seite eine Lücke, über die sie ins System eindringen können.

Das Modell widerspricht dem obigen Gesetz von Linus Torvalds. Das Modell erbringt die Aussage, dass die Angreifer bei Open Source immer leicht im Vorteil sind. So nehmen die Forscher an, dass bei einem Open-Source-Projekt die Verteidiger in 6 von 10 Fällen einen Fehler vor dem Angreifer finden. Je nach den weiteren Modellannahmen braucht das Projekt mehr als Tausend oder gar mehr als Zehntausend Mitwirkende. Für den Fall, dass sogar in 9 von 10 Fällen der Fehler von den Verteidigern gefunden wird, können die Forscher zeigen, dass dies unmöglich ist. Alles in allem erscheint Closed-Source-Software besser aufgestellt zu sein.

Jedoch sagen die Forscher weiter, dass sie hier einen eingegrenzten Aspekt betrachten. In der Realität beheben die Hersteller von Closed Source die Fehler nicht sofort. Außerdem gibt es dort wirtschaftlichen Druck, Programme zu einem festen Datum herauszubringen. Dies führt dann dazu, dass die Programme nicht getestet sind. Alldies bringt die Forscher zu der Meinung, dass Open Source in der Gesamtschau vermutlich doch Vorteile mit sich bringt. Letztlich bringt gerade Freie Software die Vier Freiheiten mit.

Alles in allem kann ich nur nochmal den Aufruf aus meinem letzten Eintrag wiederholen. Nutzt Freie Software, schaut in den Quellcode oder versucht anderweitig zu der Software beizutragen. Damit helft ihr allen!

tweetbackcheck