Mit ‘Twitter’ getaggte Beiträge

„◾Aber ich muß es einmal sagen: dieser Kampf scheint aussichtslos . . . Ich resigniere, ich kämpfe weiter, aber ich resigniere.“ – Kurt Tucholsky

Vor kurzem wurde ich gefragt, ob ich es wirklich so „bedenklich“ finde in sozialen Netzwerken aktiv zu sein und sein Leben dort zu dokumentieren. Die Frage musste früher oder später hoch kommen, da ich immer und immer wieder Freunden und Bekannten dazu rate nicht jeden Mist zu Facebook,  Twitter & Co. hoch zu laden.
Man möchte meinen die Menschen haben aus den Informationen der letzten Zeit (NSA, Greenwald, Snowden…) absolut nichts gelernt. Oder, noch viel schlimmer: es scheint ihnen egal zu sein, was mit den eigenen Daten passiert!

Meine Antwort war und ist „JA“. Auf die weitergehend Frage, was denn so schlimm sei, habe ich meinem Gegenüber (IT-Administrator in einer relativ großen Firma) erklärt warum ich es nicht nur für „bedenklich“, sondern sogar fahrlässig halte, wenn man seine Daten ins Netz schleudert.

Fast jeder große Anbieter, der eine entsprechend große Plattform (oder auch „soziales Netzwerk“ genannt) betreibt, hat auch ein angebundenes API für Entwickler in der Hinterhand. Und genau über dieses API ist es quasi jedermann (der etwas programmieren kann) möglich, sich ein mehr oder weniger mächtiges Tool zur Datenauswertung zu programmieren.

Facebook-API: persönliche Daten im gezielten Abruf

Facebook-API: persönliche Daten im gezielten Abruf

Im Falle der NSA kann ich mir neben speziellen Zugriffsrechten, die dem Normalentwickler vorenthalten werden, aber auch vorstellen, dass von der frei zugänglichen API genauso ergiebig gebrauch gemacht wird. So ein API bietet schließlich nahezu alles was man braucht, um einen Schnappschuss von einem User-Profil zu erstellen.

Nehmen wir als erstes Beispiel doch einfach Facebook und das Facebook-API. Hier kann man im Bildschirmfoto schön sehen, wie beschrieben wird, wie auf das Userprofil und persönliche Daten zugegriffen werden kann. Nun ist es immer auch von dem API abhängig, aber meist ist die Abfragemöglichkeit nicht auf das eigene Profil begrenzt, sondern mindestens doch auf den Bereich der „Freunde“, „Follower“ oder „Kontakte“ ausgedehnt.

Die Daten die in einem Profil auf „Public“ (also „Öffentlich“) stehen sind natürlich ebenso abrufbar und könnten als zeitlicher Schnappschuss in einer eigenen Datenbank gespeichert werden. So schreibt sich im einfachsten Fall der Freizeitspion von heute seine eigenen Tools, um ein „Ziel“ über längere Zeit im Auge zu behalten und etwas über dessen Gewohnheiten, Vorlieben oder sonstige Verhaltensweisen in Erfahrung zu bringen.

Bist du auf Facebook aktiv? Wie viele deiner Facebook-„Freunde“ kennst du wirklich im wahren Leben? Würdest du einem Fremden auf der Straße einfach so ein Bild deiner letzten privaten Party zeigen? Würdest du eine fremde Person auf der Straße einfach so in dein Leben „integrieren“? Vermutlich nicht.

Warum machst du es dann auf Facebook oder anderen sozialen Netzwerken?

Was auch immer jemanden dazu bewegt seine Erlebnisse mit fremden Menschen zu teilen. Man darf nie vergessen, dass es sich hierbei um Informationen handelt.
Informationen sind Geld wert. Informationen über real existierende Personen lassen es zu diese Person zu analysieren. Das muss nicht der NSA-Mitarbeiter sein, der „ausgerechnet DICH“ ganz gezielt auswertet. Nein! Es sind Computer, die aus diesen Informationen und Metadaten ein Profil erstellen.
Vollautomatisch. Jeden Tag erneut. Und wenn du dann wirklich irgendwann interessant werden solltest (für eine Regierung oder andere Stellen, mit denen man lieber keinen Kontakt haben möchte), dann werden diese Daten u.U. gesichtet, ausgewertet und dein Leben mit ein paar Klicks durchleuchtet.

Ich male hier ein Horroszenario? Utopie? Ganz sicher nicht….

Die technischen Möglichkeiten sind schon lange vorhanden. Wertet man nun nicht nur das Facebook-Profil aus (was vermutlich eher private Inhalte zum Thema hat), sondern auch das Profil auf der Business-Plattform Xing, oder LinkedIn, so können die auswertenden Personen das User-Profil noch weiter abrunden und weiter gehende Rückschlüsse daraus ziehen.

Auch LinkedIn und Xing bieten natürlich hierfür schon ein API an, das uns Daten liefert. Aber seht selbst:

Xing-API: "Shows a particular user's Profile..."

Xing-API: „Shows a particular user’s Profile…“

Wer es ausprobieren möchte kann sich hier schon ein schönes Beispielscript beschaffen KLICK bzw. HIER  und HIER etwas einlesen.

LinkedIn steht all dem natürlich in nichts nach und liefert uns auch auf Anfrage reichlich auswertbare Daten:

LinkedIn-API

LinkedIn-API

Fehlt als letztes natürlich noch Twitter im Bund der auswertbaren Daten:

Twitter-API

Twitter-API

Die Gefahr besteht darin all diese Daten aus verschiedenen Plattformen für eine einzelne Person zusammen zu führen und dann auswertbar zu machen. Am besten kombiniert mit einem Web-Intelligence-Tool wie Recorded Future.

Und ich zitiere von deren Seite:

We constantly scan hundreds of thousands of quality public web sources, including news publications, high-caliber blogs, social media platforms, financial databases, government websites, and much more. From these open sources, we identify text references to entities and events. Then we detect time periods: when the events are predicted or reported to occur. Each reference links back to the original source. You can explore the past, present, and predicted future of almost anything in a matter of seconds. Our analysis tools facilitate deep investigation to better understand complex relationships, resulting in actionable insights.

Nutzt nun jemand auch noch ein und den selben „Nickname“ im Internet immer wieder für unterschiedliche Plattformen, so macht derjenige es potentiellen Verfolgen sogar noch wesentlich einfacher. Denn auch hierzu gibt es Tools (wie z.B. namechk.com) um sich eine Übersicht zu einem Nickname zu verschaffen und zu schauen wo dieser überall schon registriert wurde.

Für mich ist es inzwischen bereits zur festen Gewohnheit geworden mir über diese und weitere Wege Informationen zu Personen zu beschaffen.
Und das gar nicht mal in böser Absicht. Die Informationen sind da draußen. Sie wurden von den Usern dieser Dienste selbst und absichtlich ins Netz gestellt. Egal ob via Facebook, Twitter, Xing oder eine andere Plattform.

Und dass nun Geheimdienste oder clevere Firmen diese Daten abgreifen ist daher eigentlich selbst verständlich! Was erwartet man denn bitte von einem Geheimdienst? Er sammelt nun mal auch Daten. Es ist ja in diesem Fall nicht mal so, dass diese Daten irgendwo illegal erworben oder gar von der heimischen Festplatte oder vielleicht dem Einwohnermeldeamt geklaut wurden!

Aus vielen kleinen Bausteinen fügt sich also – unter den für den User denkbar schlechtesten Bedingungen – unter Umständen ein großes Ganzes, welches einem unbekannten Dritten ungeahnte Einblicke ermöglicht.

Immer wieder hört man den Satz „Aber ich habe doch nichts zu verbergen“. Ist das wirklich so? Gab es da vielleicht irgendwann nicht doch mal eine abfällige Bemerkung über einen Freund, den Chef oder die Schwiegermutter in einem der sozialen Netzwerke? Und was ist mit dem peinlichen Bild vom Partybesäufnis von vor 4 Jahren, dass der damals beste Freund auf Facebook hochgeladen hatte?

Manche Dinge und Informationen über einen selbst entziehen sich bereits dadurch, dass andere Personen sie online stellen (und wenn auch nur in einem vermeintlich eingeschränkten Userkreis), dem eigenen Einflussbereich.

An dieser Stelle kann ich nur zum Abschluss den Slogan vom Netwars-Project als dringenden Aufruf hier in leicht veränderter Form wiedergeben “ Start now to gain back CTRL!„.

Warum sollte ein Angreifer also neue Waffen erfinden, wenn er bereits mit den von uns freiwillig geteilten Daten die mächtigste Waffe gegen uns in Händen hält?

„Wenn du noch nicht zu Tode erschreckt bist, hast du noch nicht genug Informationen gesammelt“ – Quelle unbekannt

„◾Suche nicht nach Fehlern, suche nach Lösungen.“ – Henry Ford

Wie bereits im Beitrag Twitter-Passwortrecovery im Jahr 2012 von mir erwähnt, halte ich absolut nichts von der Art und Weise, wie Twitter es zulässt, sein Passwort zurück setzen zu können. Dabei geht es nicht darum dass es diese Funktion gibt, sonder darum, dass man so sehr einfach an gültige und personenbezogene Mailadressen (und sogar Telefon- nummern!) heran kommen kann.

Testweise habe ich mir ein paar Promi-Accounts auf Twitter vorgenommen und recherchiert, welche Domains die Promis so registriert haben. Mit dieser Liste und ein paar Standardwerten (wie Info@, webmaster@, twitter@, socialmedia@) und Namensfragmenten der Promis habe ich dann auf gültige E-Mailadressen geprüft.

Die Trefferquote war so erschreckend hoch, dass ich zu diesem Beitrag hier schon fast gezwungen war….

Hier ein Screenshot, in dem ich die (offenbar auch private) Mailadresse (eines bekannten deutschen Rappers) natürlich unkenntlich gemacht habe:
[UPDATE] Auch die E-Mailadresse von Papst Franziskus ist inzwischen für Twitter gefunden und bestätigt!

*** Ich fordere nochmals mit Nachdruck auf die Spielerein an Accounts von fremden Personen, mit den aus diesem Blog gewonnen Informationen, zu unterlassen! ***

Berliner-Rapper-ThisIs

 

Es ist nichts falsch daran eine Funktion zum Rücksetzen des Passwort anzubieten, aber dann prüft man das doch bitte in gar keinem Fall öffentlich zur Schau gestellt gegen die eigene Datenbank?!?!

Es gibt aber (bedingt) Abhilfe in Form von erweiterten persönlichen Angaben, um überhaupt das Kennwort schlussendlich ändern zu können:

Twitter-Security

Wenn jetzt jemand damit kommt, dass man bei Twitter ja durchaus auch die Suche nach der eigenen Person anhand der E-Mail-Adresse abschalten kann, dann sei gesagt, dass dies KEINE Voreinstellung bei Twitter und mein Hauptkritikpunkt an Twitter in diesem Bereich ist!

Twitter-Security E-Mailadresse

– Was genau kann jemand mit meiner Mailadresse schon anfangen? Wo ist also das Problem?

Das Problem entsteht, wenn diese Mailadresse z.B. von Fans zugespamt wird, weil man dahinter den direkten Draht zu seinem Idol (Promi) vermutet. Die weitere Gefahr dahinter ist, dass nun gezielt Mails mit fragwürdigem Inhalt (z.B. gezielten Links zu einem vermeintlichen Twitter-Login) an diese Mailadressen übersendet werden könnten.

Und solche Mails sind heute von Profis wirklich gut,….nein sogar SEHR gut – gemacht!

Warum sich also freiwillig einem erhöhten Risiko aussetzen? Um beim Eingangszitat zu bleiben:

Suche nicht nach Fehlern, suche nach Lösungen“ – Twitter sollte die Suche anhand der Mailadresse voreingestellt abschalten. Und die User sollten optional frische und sonst nicht gemeinhin bekannte oder leicht erratbare Mailadressen für den Account auf Twitter verwenden. Bei den Promis und den dahinter stehenden PR-Firmen sollte das bei den ganzen Domains doch wohl im Hostingpaket enthalten sein….. ;-)

<Sarkasmus>
An dieser Stelle einen schönen Gruß an die Promis, deren Mailadressen ich so sammeln konnte ;-/
</Sarkasmus>

„Die größte Leistung besteht darin, den Widerstand des Feindes ohne einen Kampf zu brechen“ – Sunzi

Viele Internetnutzer sind so leichtgläubig, dass man nur vor Ehrfrucht erstarren kann. Zuletzt wurde ich vor
etwa zwei Wochen gefragt, warum ich nicht bei Facebook wäre. Das wäre doch alles so toll und klicki bunt!
Man könne in jeder Lebenslage sofort Bilder hochladen und teilen, sowie seinen Senf ungefiltert zu jeder Kleinigkeit
dazugeben…

Aber wer kann diese Daten einsehen? Nur Freunde? Wen haben Sie in den Freunden einsortiert? Und dürfen diese
evtl. Inhalte wiederum mit deren Freunden teilen? Woher wissen sie, dass Ihre Informationen nicht zu Dritten gelangen?
Und weiter: wissen Sie, was besagte Dritte damit alles anstellen können?

Ich wette nicht!

Ein Angreifer könnte in etwa nach folgendem Schema vorgehen, um seine Zielperson in die Mangel zu nehmen:

1. Informationsbeschaffung durch Auswertung von:

1.1 – Twitter (Statusmeldungen, Retweets, Favoriten, Follower/ Follows, Bilder+Links, Standorte)
1.2 – Facebook (Statusmeldungen, Likes, Freunde, Bilder, Verwandschaftsgrade, Bilder+Links, Standorte)
1.3 – Google (cross-Nicknamecheck, Homepages auswerten, Forenbeiträge analysieren…)

2. Kontaktanbahnung zur weiteren (direkten) Informationsgewinnung über:

2.1 – Anfreundung via soziale Netzwerke (Verbindung über gleiche Interessen)
2.2 – gezielter Einkauf bei Ebayangeboten der Zielperson (bei Abholung von Waren -> Informationsgewinnung
ggf. sogar flüchtig in der Wohnung der Zielperson….)
2.3 – Hilfe bei Fragen in Foren (bei IT-Fragen kompetent helfen erhöht spätere Reputation bei Aufforderung von
Klick auf externe Links -> Ausspähen von Daten)

3. Verwendung der beschafften Informationen via:

3.1 – Vertrauensstellung nutzen um Zielperson auf preparierte Seiten zu locken
3.2 – Versand von Dateien an Zielperson mit persönlichen Aufforderungen und Themenbezug
(z.B. im Text einer gespooften EMail: „Schau mal was Tante Anni beim Geburtstag von Onkel Kurt passiert ist! Bilderordner im Anhang…“)

Insbesondere auf Punkt 3.1 möchte ich an dieser Stelle näher eingehen.
Ist jemandem bekannt, dass Sie gerne und oft bei z.B. Ebay einkaufen, so könnte ihnen eine Person mit entsprechender
Reputation bzw. Vertrauensstellung auch den einen oder anderen Phishing-Link unterjubeln, der Ihre Logindaten
an den Angreifer überträgt und parallel tatsächlich einen Login auf Ebay vornimmt. Sie bekommen von dem Vorgang
praktisch gar nichts mit und schauen sich lediglich ein empfohlenes Objekt auf Ebay an…

So bietet beispielsweise das Social Engineering Toolkit genau solche Funktionen um gezielt Webseiten zu klonen und die dort eingegebenen Daten an den Angreifer zu übertragen. Mit den erbeuteten Zugangsdaten können weitere Informationen über die Zielperson beschafft werden und ggf. im Namen der Zielperson agiert werden.

In diesen ersten Schritten legt der Angreifer großen Wert darauf verdeckt zu operieren und so präziese Informationen wie möglich zu erhalten. Die Zielperson darf weder erkennen, dass der Angreifer gezielt Informationen beschaffen möchte, noch darf die eigentliche Intention des Angreifers erkennbar sein.

Es braucht Zeit und Ausdauer, sich als Angreifer durch diverse Seiten auf Google & Co. zu wühlen, erhöht aber die Erfolgschancen deutlich. Informationsbeschaffung bedarf einer genauen Planung, Nachforschung und natürlich der Gabe
strategisch aus der Sicht eines Angreifers heraus zu denken.

Open Source Intelligence (OSINT) ist eine Hauptquelle für (indirekte) Informationsbeschaffung. Unten stehendes Diagramm veranschaulicht beispielhaft die Aufbereitung gewonnener Daten zur weiteren strategischen Planung.
Es werden Beziehungen aufgezeigt, die teilweise automatisiert gewonnen wurden (OSINT-Tools).

Abbildung: Beispielfall Max Miller. Information beschafft über OSINT-Tools und manuelle Recherchen:

Von unserer Zielperson „Max Miller“ wissen wir am Anfang nur den Namen und haben eine EMailadresse gefunden. Zudem haben wir ein auf die Person lautendes Facebookprofil gefunden. Nun wertet unser Tool anhand unterschiedlicher öffentlich zugänglicher Quellen aus, wo die Zielperson mit diesen Daten Spuren im Internet hinterlassen hat. Max Emailadresse wird über Google mit einer Datingseite und seiner Firmenwebsite in Verbindung gebracht. Eine genauere Recherche auf der Datingseite zeigt, dass Max mit einer anderen Person im Datingnetzwerk kommuniziert hat (Kommentare auf deren Profilseite -> Kristin Flopp).

Da Max auf Facebook Freunde sammelt wie andere Menschen Muscheln am Strand, fällt es uns leicht mit ihm über einen Fakeaccount auf Facebook schnell befreundet zu sein. Um seine Aufmerksamkeit und sein Vertrauen über die Zeit zu gewinnen kommentieren wir wohlwollend seine für uns freigegebenen Beiträge, Bilder etc. Über die Zeit gewinnen wir nicht nur aus privaten Facebooknachrichten Informationen, sondern schaffen es u.U sogar in den engeren Freundeskreis. Mit noch mehr Berechtigungen, um gepostete Inhalte von Max einzusehen. Der Beziehungsstatus von Max auf Facebook zeigt uns, dass er mit Franzi Miller verheiratet ist. Was Franzi wohl zu Max Bekanntschaft auf der Datingseite (Kristin Flopp) sagen würde?

Wir lernen aufgrund der Einträge auf Facebook eine Menge über Max. Z.B., dass er gern mit Dingen angibt, die er bei EBay gekauft hat. So, wie sein nagelneu erstandenes Smartphone Samsung Galaxy S3, für das es einen schönen Exploit gibt, mit dem wir sein Gerät (wann immer wir wollen) zurücksetzen können. Dazu muss Max nur einem unserer Links auf seinem Handy folgen…

Die planlose Verknüpfung sozialer Netzwerke von Max führt uns zu seinem Twitteraccount mit dem Accountnamen „Virenschreiber“. Die Tweets von Max werten wir natürlich ebenfalls aus, folgen ihm auf Twitter und stellen fest, dass er gelegentlich sogar seinen Standort in den Tweets mit sendet. Am 12.12.2012 ist Max in Berlin. Das ist komisch, da er doch auf Facebook geschrieben hat, dass er für 3 Tage nach Dortmund muss, um von seiner Arbeit aus bei einem Kunden einen Auftrag abzuwickeln?! Ist es nur ein kurioser Zufall, dass unsere Recherchen ergeben haben, dass Kristin Flopp ebenfalls in Berlin wohnt?!

Jetzt, wo wir wissen, dass Max sich offenbar in Berlin vergnügt wird es Zeit die Remotelöschung auf seinem Smartphone zu forcieren…

Ob das wohl seinen Stressfaktor in die Höhe treibt? Zeitgleich nehmen wir seine Homepage unter heftiges Denial of Service-Feuer, damit auch bei ihm im Büro Alarmstufe Rot ausgerufen wird. Ob die Mitarbeiter von Max wohl versuchen werden ihn zu erreichen? ;) Unter der IP die zum Mailserver von Max gehört loggen wir uns außerdem kurzerhand via Telnet auf Port 25 ein und nutzen den schlecht konfigurierten Server (Open Relay), um in seinem Namen noch eine EMail an seine „Noch-Frau“ zu senden, in der wir ihr schreiben, dass es „aus“ ist.

Zugegeben, das Szenario ist konstruriert und böse, aber es ist nicht unmöglich. Nein, es ist sogar sehr wahrscheinlich, dass über längere Zeit observierte Personen früher oder später in die eine oder andere Falle tappen werden. Ein geschulter Angreifer mit entsprechend hoher Motivation kann durchaus mehr als nur Kollateralschaden anrichten!

Um auf das eingangs erwähnte Social Engineering Toolkit zurück zu kommen: mit einer sorgfältigen Zielanalyse und den richtigen Softskills muss die Zielperson am Ende nur noch zum passenden Exploit gelockt werden (Website die unseren Code ausführt).

Doch dazu im nächsten Blogbeitrag mehr….

Be careful who you open up to. Only a few people actually care, the rest just want information to infiltrate and benefit.