Mit ‘Netwars’ getaggte Beiträge

„◾Aber ich muß es einmal sagen: dieser Kampf scheint aussichtslos . . . Ich resigniere, ich kämpfe weiter, aber ich resigniere.“ – Kurt Tucholsky

Vor kurzem wurde ich gefragt, ob ich es wirklich so „bedenklich“ finde in sozialen Netzwerken aktiv zu sein und sein Leben dort zu dokumentieren. Die Frage musste früher oder später hoch kommen, da ich immer und immer wieder Freunden und Bekannten dazu rate nicht jeden Mist zu Facebook,  Twitter & Co. hoch zu laden.
Man möchte meinen die Menschen haben aus den Informationen der letzten Zeit (NSA, Greenwald, Snowden…) absolut nichts gelernt. Oder, noch viel schlimmer: es scheint ihnen egal zu sein, was mit den eigenen Daten passiert!

Meine Antwort war und ist „JA“. Auf die weitergehend Frage, was denn so schlimm sei, habe ich meinem Gegenüber (IT-Administrator in einer relativ großen Firma) erklärt warum ich es nicht nur für „bedenklich“, sondern sogar fahrlässig halte, wenn man seine Daten ins Netz schleudert.

Fast jeder große Anbieter, der eine entsprechend große Plattform (oder auch „soziales Netzwerk“ genannt) betreibt, hat auch ein angebundenes API für Entwickler in der Hinterhand. Und genau über dieses API ist es quasi jedermann (der etwas programmieren kann) möglich, sich ein mehr oder weniger mächtiges Tool zur Datenauswertung zu programmieren.

Facebook-API: persönliche Daten im gezielten Abruf

Facebook-API: persönliche Daten im gezielten Abruf

Im Falle der NSA kann ich mir neben speziellen Zugriffsrechten, die dem Normalentwickler vorenthalten werden, aber auch vorstellen, dass von der frei zugänglichen API genauso ergiebig gebrauch gemacht wird. So ein API bietet schließlich nahezu alles was man braucht, um einen Schnappschuss von einem User-Profil zu erstellen.

Nehmen wir als erstes Beispiel doch einfach Facebook und das Facebook-API. Hier kann man im Bildschirmfoto schön sehen, wie beschrieben wird, wie auf das Userprofil und persönliche Daten zugegriffen werden kann. Nun ist es immer auch von dem API abhängig, aber meist ist die Abfragemöglichkeit nicht auf das eigene Profil begrenzt, sondern mindestens doch auf den Bereich der „Freunde“, „Follower“ oder „Kontakte“ ausgedehnt.

Die Daten die in einem Profil auf „Public“ (also „Öffentlich“) stehen sind natürlich ebenso abrufbar und könnten als zeitlicher Schnappschuss in einer eigenen Datenbank gespeichert werden. So schreibt sich im einfachsten Fall der Freizeitspion von heute seine eigenen Tools, um ein „Ziel“ über längere Zeit im Auge zu behalten und etwas über dessen Gewohnheiten, Vorlieben oder sonstige Verhaltensweisen in Erfahrung zu bringen.

Bist du auf Facebook aktiv? Wie viele deiner Facebook-„Freunde“ kennst du wirklich im wahren Leben? Würdest du einem Fremden auf der Straße einfach so ein Bild deiner letzten privaten Party zeigen? Würdest du eine fremde Person auf der Straße einfach so in dein Leben „integrieren“? Vermutlich nicht.

Warum machst du es dann auf Facebook oder anderen sozialen Netzwerken?

Was auch immer jemanden dazu bewegt seine Erlebnisse mit fremden Menschen zu teilen. Man darf nie vergessen, dass es sich hierbei um Informationen handelt.
Informationen sind Geld wert. Informationen über real existierende Personen lassen es zu diese Person zu analysieren. Das muss nicht der NSA-Mitarbeiter sein, der „ausgerechnet DICH“ ganz gezielt auswertet. Nein! Es sind Computer, die aus diesen Informationen und Metadaten ein Profil erstellen.
Vollautomatisch. Jeden Tag erneut. Und wenn du dann wirklich irgendwann interessant werden solltest (für eine Regierung oder andere Stellen, mit denen man lieber keinen Kontakt haben möchte), dann werden diese Daten u.U. gesichtet, ausgewertet und dein Leben mit ein paar Klicks durchleuchtet.

Ich male hier ein Horroszenario? Utopie? Ganz sicher nicht….

Die technischen Möglichkeiten sind schon lange vorhanden. Wertet man nun nicht nur das Facebook-Profil aus (was vermutlich eher private Inhalte zum Thema hat), sondern auch das Profil auf der Business-Plattform Xing, oder LinkedIn, so können die auswertenden Personen das User-Profil noch weiter abrunden und weiter gehende Rückschlüsse daraus ziehen.

Auch LinkedIn und Xing bieten natürlich hierfür schon ein API an, das uns Daten liefert. Aber seht selbst:

Xing-API: "Shows a particular user's Profile..."

Xing-API: „Shows a particular user’s Profile…“

Wer es ausprobieren möchte kann sich hier schon ein schönes Beispielscript beschaffen KLICK bzw. HIER  und HIER etwas einlesen.

LinkedIn steht all dem natürlich in nichts nach und liefert uns auch auf Anfrage reichlich auswertbare Daten:

LinkedIn-API

LinkedIn-API

Fehlt als letztes natürlich noch Twitter im Bund der auswertbaren Daten:

Twitter-API

Twitter-API

Die Gefahr besteht darin all diese Daten aus verschiedenen Plattformen für eine einzelne Person zusammen zu führen und dann auswertbar zu machen. Am besten kombiniert mit einem Web-Intelligence-Tool wie Recorded Future.

Und ich zitiere von deren Seite:

We constantly scan hundreds of thousands of quality public web sources, including news publications, high-caliber blogs, social media platforms, financial databases, government websites, and much more. From these open sources, we identify text references to entities and events. Then we detect time periods: when the events are predicted or reported to occur. Each reference links back to the original source. You can explore the past, present, and predicted future of almost anything in a matter of seconds. Our analysis tools facilitate deep investigation to better understand complex relationships, resulting in actionable insights.

Nutzt nun jemand auch noch ein und den selben „Nickname“ im Internet immer wieder für unterschiedliche Plattformen, so macht derjenige es potentiellen Verfolgen sogar noch wesentlich einfacher. Denn auch hierzu gibt es Tools (wie z.B. namechk.com) um sich eine Übersicht zu einem Nickname zu verschaffen und zu schauen wo dieser überall schon registriert wurde.

Für mich ist es inzwischen bereits zur festen Gewohnheit geworden mir über diese und weitere Wege Informationen zu Personen zu beschaffen.
Und das gar nicht mal in böser Absicht. Die Informationen sind da draußen. Sie wurden von den Usern dieser Dienste selbst und absichtlich ins Netz gestellt. Egal ob via Facebook, Twitter, Xing oder eine andere Plattform.

Und dass nun Geheimdienste oder clevere Firmen diese Daten abgreifen ist daher eigentlich selbst verständlich! Was erwartet man denn bitte von einem Geheimdienst? Er sammelt nun mal auch Daten. Es ist ja in diesem Fall nicht mal so, dass diese Daten irgendwo illegal erworben oder gar von der heimischen Festplatte oder vielleicht dem Einwohnermeldeamt geklaut wurden!

Aus vielen kleinen Bausteinen fügt sich also – unter den für den User denkbar schlechtesten Bedingungen – unter Umständen ein großes Ganzes, welches einem unbekannten Dritten ungeahnte Einblicke ermöglicht.

Immer wieder hört man den Satz „Aber ich habe doch nichts zu verbergen“. Ist das wirklich so? Gab es da vielleicht irgendwann nicht doch mal eine abfällige Bemerkung über einen Freund, den Chef oder die Schwiegermutter in einem der sozialen Netzwerke? Und was ist mit dem peinlichen Bild vom Partybesäufnis von vor 4 Jahren, dass der damals beste Freund auf Facebook hochgeladen hatte?

Manche Dinge und Informationen über einen selbst entziehen sich bereits dadurch, dass andere Personen sie online stellen (und wenn auch nur in einem vermeintlich eingeschränkten Userkreis), dem eigenen Einflussbereich.

An dieser Stelle kann ich nur zum Abschluss den Slogan vom Netwars-Project als dringenden Aufruf hier in leicht veränderter Form wiedergeben “ Start now to gain back CTRL!„.

Warum sollte ein Angreifer also neue Waffen erfinden, wenn er bereits mit den von uns freiwillig geteilten Daten die mächtigste Waffe gegen uns in Händen hält?

„Wenn du noch nicht zu Tode erschreckt bist, hast du noch nicht genug Informationen gesammelt“ – Quelle unbekannt

Advertisements

„◾Vom heut’gen Tag, von heut’ger Nacht verlange nichts, als was die gestrigen gebracht.“ – J.W. v Goethe

Zusammen mit einem Freund kam ich in den Genuss die Netwars-Präsentation in Berlin besuchen zu dürfen.
Nach Anfahrt von 4 Stunden und einer Präsentation von ca. 2 Stunden, sowie 3,5 Stunden Rückfahrt bleibt ein
eher ernüchterndes Ergebnis. Um nicht zu sagen: aus dem Osten nichts Neues!

Als IT-Security’ler und -wie mein Kumpel sagen würde- „Kenner der Materie“, kann ich nur feststellen es gab nichts an Information, was mich vom Hocker gehauen hätte.

Vielleicht waren die Erwartungen ganz einfach zu hoch gesteckt? Weder war der „Salesman“ Nikolai Kinski anwesend, wie ursprünglich suggeriert wurde, noch der hoch gelobte Hacker „FX“.

Netwars-Berlin

So wurde leider auch in der Talkrunde um Prof. Volker Roth (FU Berlin), Frank Boldewin (IT-Experte) und Eberhard Öhler (Stadtwerke Ettlingen) kein Thema wirklich bis zu einem (für uns) interessanten Punkt vertieft.

Wie z.B. lief der „Hack“ der Stadtwerke ab? Da hätte ich mir mal Beispiele aus der Praxis gewünscht.

Z.B. in diese Richtung (wie es wohl tatsächlich gelaufen ist kann man hier lesen):

„…über eine Suche innerhalb der Suchmaschine Shodan haben wir unser Ziel (Stadtwerke Ettlingen) ausfindig gemacht und auf mögliche Angriffoptionen gecheckt. Anschließend, bewaffnet mit diesen ersten Daten, wurden dann mögliche Exploits unter Verwendung des Metasploit-Framework angewendet, um uns Zugriff zu verschaffen….“

DAS wäre mal Info gewesen. So etwas hat mir über den ganzen Abend hinweg gefehlt! Es muss nicht zu sehr ins fachliche oder technische abdriften, dennoch hätte es einen tieferen Blick offenbart. Zu wenig wurde thematisiert, wie man sich Informationen über ein Ziel beschafft (siehe OSINT) und wie wir alle davon „getroffen“ werden können.

Das man u.U. leicht Opfer wird (besonders wenn man sich mit IT-Sicherheit nicht beschäftigt) und womöglich stillschweigend Teil eines global operierenden Botnetzes mit seinem Rechner wird, dass haben viele schon gehört.
Was so ein Bot mit dem eigenen Rechner anstellen kann, ist den wenigsten jedoch wirklich klar.

Netwars-Talk

Die Lesung aus „Netwars“ war interessant und das Buch ist durchaus auf den ersten Blick eine Kaufempfehlung wert.
Die App werde ich mir persönlich nicht ansehen. Das geht mir zu sehr in die Kommerz und Taschenbuch-Comic Ecke ;-P

Es bleibt abzuwarten wie ernst (und weniger auf Kommerz getrimmt) dieses Projekt weitergeführt wird.
Es spricht nichts dagegen mit diesem ohne Frage genialen Projekt Geld zu verdienen. Aber dann muss auch auf solchen Veranstaltungen der Hammer kreisen und man mit neuen und spannenden Informationen ums Eck kommen.

Wie wäre es mit einem „Live-Hack“? Ein verwundbares System aufsetzen in einer VM, dann einen Angriff simulieren mit den gängigen Hackertools (auf GUI-Ebene natürlich ;-)  und die Besucher staunen lassen.

Wenn Snowden schon mit seinen leaked-Documents es kaum schafft, die Massen nachhaltig zu mobilisieren und wirklich aufzurütteln, dann kann man mit einem „ja, es ist grundsätzlich alles möglich und Passwörter sollten sicher sein“ heute schlichtweg keinen Preis mehr gewinnen.

Da müssen harte visuelle Fakten auf den Tisch! Zeigt den Normalo-Usern doch mal, was man über sie bei Facebook, Twitter und Co. finden könnte! Wo ist der aktuelle Verzweig auf die von Glenn Greenwald vor wenigen Tagen öffentlich abrufbar gestellten NSA-Dokumente?

NSA-Leaked Documents

Ich möchte das Projekt nicht zerreden oder schlecht machen, denn dafür bin ich den Machern viel zu dankbar, die Thematik überhaupt in Angriff genommen zu haben. Das Netwars-Project ist eine Bereicherung, aber es muss eben auch m.E. berechtigte konstruktive Kritik erlaubt sein.

IT-Security Awareness lebt davon visualisiert zu werden. Bilder und konkrete Beispiele bleiben viel länger im Gedächtnis.

Das dieses Projekt selbst auf Seiten der Homepage mit kleineren Problemchen zu kämpfen hatte, wäre auch als netter Hinweis gut angekommen. Was vielleicht als PR-Killer von vielen Firmen angesehen wird (eigene Verwundbarkeit), hätte in diesem Fall sogar als zusätzliches positives PR-Mittel dienen können.Hätte es doch unterstrichen, dass auch die Spezialisten von Netwars nicht frei von Überraschungen sind.

Das Netz ist eben ein tückisches „kleines“ Ding ;-)

 

Weiterführende Quelle zum Thema: Zeit.de
Empfehlungslink zum Thema SHODAN & SCADA/ICS