Sicherheit: Was lernen wir aus dem Promi-Doxing von Dezember 2018?
[podloveaudio src=“https://www.goneoserver.de/podcastgenerator/media/2019-01-09_goneopodcast_63_lehren-aus-doxingattacken.mp3″]
#hackingangriff: Das war der Hashtag auf Twitter, unter dem ein größerer Daten-Leak in Deutschland diskutiert worden ist und immer noch diskutiert wird.
Folgendes ist passiert.
Schon im Dezember (2018) hat jemand über Twitter geleakte Informationen, sensible personenbezogene Daten gestreut. Jeden Tag ein bisschen mehr, in Adventskalendermanier. Betroffen sind Politiker aller Ebenen, also Abgeordnete, Funktionsträger in Parteien, aber auch Künstler, Youtubestars, Medienleute.
Die Aufregung war groß, es sind so um die 900 bis 1000 Personen betroffen.
Aktuell ist noch nicht so klar, woher die Daten stammen, aus welchen Quellen, wo es da eventuell Sicherheitslücken gab oder ob das mehrere Quellen sind, aus denen Informationen, die eigentlich nicht an die Öffentlichkeit sollen, zusammengetragen worden sind.
Doxing
Außerdem weiß man nicht so recht. was die Aktion überhaupt soll. Geht es um Schadwirkung, geht es um Aufmerksamkeit, um Erpressung?
Was vielen nicht so bewusst war: Offenbar sind schon immer viele Youtuber von solchen Aktionen betroffen gewesen. Doxing nennt man das. Youtuber werden gerne von Fans der Konkurrenten gehackt oder gedoxed. Einerseits, weil man deren Reichweite nutzen will, um irgendwelche Messages zu verteilen, andererseits, um den Leuten zu schaden.
Auch der Account, über den im Dezember die geleakten Infos rausgegeben wurden, wurde feindlich übernommen, irgendwann mal.
Für die Betroffenen ist das unterschiedlich problematisch. Von vielen wurden solche Dinge wie Mailadresse oder Mobilfunknummer geleakt, teilweise auch oft die echte Adresse, manchmal auch – in weniger häufigen Fallen Bilder, E-Mail-Texte, Scans von Ausweisen und so weiter. Das kann im Einzelfall peinlich sein, und in keinem Fall waren diese Informationen für die Öffentlichkeit gedacht.
Weil es sich um Prominente handelte, ist die Bekanntgabe, das Leaking der Privatadresse ein Sicherheitsproblem. Die Leute bekommen dann von Spinnern und Hatern absurdeste Drohungen und Beleidigungen. Das hat in der Vergangenheit dazu geführt, dass Leute ihre Wohnungen aufgeben mussten, weil sie sich da nicht mehr sicher fühlten.
Echte Bedrohung
Vielleicht wird angesichts dieser Nachrichten mehr Leuten klar, dass die Sicherheitsbedrohung nicht nur abstrakt denkbar ist, sondern dass es da draußen viele Personen gibt, die ein auch kriminelles Interesse daran haben, personenbezogene Daten zu sammeln und in ihrem Interesse zu verwenden. In diesem Ausmaß wird das Ganze mal publik, aber passieren tut so etwas jeden Tag.
Dies ist auch der Grund, warum immer wieder darauf hingewiesen wird, dass man doch bitteschön alle zur Verfügung stehenden Möglichkeiten nutzt, um seine Onlinekommunikation, sofern sie nicht wirklich sowieso öffentlich ist, abzusichern.
Klar ist auch, dass es keinen absoluten Schutz und keine absolute Sicherheit gibt. Aber: Man kann schon etwas tun.
Zunächst darf man sich endgültig von der Vorstellung verabschieden „ich habe doch nix zu verbergen, mir kann doch keiner was wollen, meine Telefonnummer, Mobilfunknummer, E-Mailadresse sind für niemanden wertvoll. Da brauche ich keine extra Schutzmaßnahmen ergreifen.“
Der Grund dafür, warum man sich von dieser Fehlannahme verabschieden sollte, ist, dass das so nicht stimmt.
Vorsicht bei Mail-Anhängen
Schon die E-Mailadresse ist für Spammer zum Beispiel wertvoll. Schickt jemand nämlich einer Person aus deinem Bekanntenkreis eine Mail mit deiner E-Mailadresse als Absender -und sowas geht mit Email ganz einfach – dann denkt er oder sie, sie Mail ist von dir und klickt vielleicht auf alles, was in dieser Mail an Links ist oder öffnet Anhänge.
Das kann fatal werden, wenn in den Anhängen Dokumente mit Schadsoftware wie Viren oder Trojaner beigemischt sind. Das ist so der typische Angriffsvektor, wie man sagt, wenn man bei jemanden einen Trojaner platzieren will. Man schickt eine Mail mit verseuchtem Anhang, der User klickt drauf, weil er der Mail vertraut und stellt dann mehr oder weniger enttäuscht fest, dass der Anhang gar nicht so spannend war. Das kann man mit Officedokumenten gut machen, weil in diesen Dokumenten Scriptcode eingefügt werden kann.
Manche Excel- oder Worddokumente nutzen das für ernsthafte Anhwendungen, man kann das aber auch nutzen, um es zu missbrauchen. Microsoft hat da zwar eine Sperre eingebaut. Das Dokument wird erst mal nur in einer Art Voransicht geöffnet und kein Code wird ausgeführt. Da steht dann am Bildschirm, dass man die Bearbeitung erst aktivieren müsse.
Aber wenn man glaubt, die Mail und damit das Dokument käme von einer vertrauenswürdigen Person, dann klickt man da schnell mal drauf. Dann passiert erst mal nichts, nur kann es eben sein, dass ein Trojaner platziert worden ist und aktiv wird und Daten an einen bestimmten Server schickt, was du gar nicht mit bekommst. Oder die Platte wird verschlüsselt, damit man den User erpressen kann.
So kann man auch Mobilfunknummern und Telefonnummern missbrauchen, um jemanden gezielt zu schaden. Man veröffentlicht als Troll die Nummer irgendwo und schon rufen lauter Spinner an, oder man wird verleumdet usw.
Nun ist es wenig praktisch, seine Telefonnummer oder Mailadresse geheim zu halten, wenn man Kontakt mit der Außenwelt haben will. Ich wollte damit nur demonstrieren, dass diese Daten eben nicht umsonst als sensibel einzustufen sind. Und je mehr an in der Öffentlichkeit steht oder sich als Influencer exponiert, desto mehr Spinner und Trolls gibt es, die einem was wollen.
Man kann natürlich sich nun auf den Standpunkt stellen. Okay, mir reichts. Ich melde mich von allen möglichen Plattformen ab, und online mache ich dann nichts mehr. Was am Ende ziemlich in die Absurdität führen müsste. Man kann schlecht in die Zeit von Bleistiften und Rechenschiebern zurück, oder Schiefertafeln, noch besser, da kann man es mit einem Wisch wieder löschen, was man geschrieben hat.
Der Punkt ist, dass man seine Daten schützen muss. Auch früher hat man seine Steuererklärung nicht per Postkarte eingereicht. Und was der Onkel Doktor so diganistiziert hat, hat man sich auch nicht auf die Stirn geschrieben. Und wieviel man verdient, erzählt man auch keinem. Darf man manchmal auch gar nicht, steht oft im Arbeitsvertrag. Ist in Deutschland so.
Manche Daten sind vertraulich. Schon immer gewesen. Nun ist 2019 und Daten sind digital. Das ist ja auch gut so. Daher brauchen wir aber auch heute wirksame Maßnahmen, um Daten zu schützen.
Auch 1980 gab es ein Fernmeldegeheimnis und ein Postgeheimnis. Das hat nichts damit zu tun, dass man nicht mit entsprechender krimineller Energie auch fremde Briefe lesen konnte, sehr leicht sogar. Oder Telefone abhören konnte. Man darf es eben nicht.
Auch heute darf man sich nicht fremder Daten bemächtigen. Wer das tut, macht sich strafbar. Das ist das eine.
Wir haben auch heute keine absolute Sicherheit, dass nicht jemand unserer Daten stiehlt. Natürlich geht das mit entsprechender Kenntnis von Lücken oder Tricks. Das andere ist, dass man es Datendieben möglichst schwer machen sollte. Wir wissen alle, dass Einbrecher eigentlich in jedes Haus einsteigen können, auch wenn es verboten ist. Dennoch machen wir es Einbrechern schwer und schließen die Tür ab, haben vielleicht auch Gitter davor und eine Alarmanlage.
So sollte man auch mit den Daten umgehen.
A und O: Passwörter schützen
Online sind Zugriffe oft per Passwort geschützt. Das ist die erste Hürde für jemanden, der an die Daten will aber sie nicht bekommen sollte.
Das Passwort ist ein Geheimnis. So sollte man es behandeln. Dazu gehört, dass man es nicht so ohne weiteres erraten kann. Also: Passwörter möglichst komplex gestalten. Manche Systeme setzen Mindestanforderungen, aber es sich MINDESTanforderunngen, die du auch übertreffen darfst. Es ist keine gute Idee, für jeden Zugriff in verschiedenen Systemen die gleiche Kombination aus Benutzername und Passwort zu verwenden.
Irgendwann stellt sich aber die Frage, wie merke ich mir denn die ganzen geheimen unterschiedlichen Passwörter. Dafür gibt es Passwortmanager. Teilweise sind die in einem Betriebssystem schon drin, egal ob Mobil, Notebook oder Desktop.
Vielleicht wird nun ein bisschen deutlich, warum goneo als Serveranbieter bzw. Hostinganbieter immer wieder darauf hinweist, nur neue und neuste Updates und Versionen von WordPress, Joomla, TYPO3 usw zu verwenden.
Auch PHP Versionen, die nicht mehr von den Entwicklern mit Updates versorgt werden, fallenzulassen, also kein PHP 5.6 mehr nutzen, sondern PHP 7.1 mindestens, aktuell gerade bei goneo.
Weil diese Sicherheit in älteren Versionen weniger gegeben ist als in neuen. Und man bekommt vielleicht keine absolute Sicherheit, aber man kann die Sicherheit otpimieren. So wie man die Performance optimiert oder die Sichtbarkeit, wenn wir über ein Marketingthema reden wollen. Also machen, was geht. Das ist das Ziel.
Also auch für die Administrationszugänge in E-Mail-Konten, Datenbankzugängen (mysql), Content Management Systemen keine zu einfachen Passwörter nutzen. Es gibt diese Brute Force Attacken, da wird einfach alles durchprobiert. Je weniger komplex ein Passwort ist, desto höher die Wahrscheinlichkeit, dass die Brute Force Algos die richtige Zeichenkombination finden.
Https nutzen
In diesem Zusammenhang wichtig: Nutze SSL. Secure Socket Layer. Dafür brauchst du ein SSL Zertifikat. Bei goneo sind die neueren Webhosting Produkte so aufgebaut, dass du SSL-Zertifikate von lets encrypt verwenden kannst. Das ganze Thema ist mit einem Klick erledigt.
Das führt dazu, dass, wenn du dich via Web anmeldest in WordPress, Joomla oder so das Passwort und auch alles andere verschlüsselt über das Internet übertragen wird. Bei einfachem http ist das nicht der Fall, aber bei https.
Wenn dein Webhostingpaket SSL nicht von Haus aus unterstützt, kannst du bei goneo dennoch SSL verwenden, indem du eine Hilfsdomain verwendest. Das kannst du um Kundencenter anlegen. Der Link zu dem Wikiartikel wie du das machst, steht hier in den Shownotes.
Komfortabler und schöner bzw. eleganter wird es sein, du machst sein Upgrade auf ein aktuelles Hostingpaket. Mach das im goneo Kundencenter unter Produkte bestellen. Da werden deine Pakete aufgelistet und es wird gezeigt, welche Upgrademöglichkeiten du hast und welche Vorteile damit verbunden sind.
In diesem Zusammenhang. In vielen Fällen hast du bei Plattformen die Möglichkeit, ein vergessenes Passwort zurückzusetzen. Oft in Verbindung damit, dass du eine Sicherheitsfrage, die du vorher festgelegt hattest, richtig beantworten musst. Meist sind die Fragen vorgegeben: „Wie lautete der zweite Vorname deines Vaters?“ oder „Wie hieß dein erstes Haustier?“
Ungefähr auf diesem Niveau sind die vorgegebenen Fragen. Wenn du dies wahrheitsgemäß beantwortest, besteht das Risiko, dass auch andere Personen als du diese Frage richtig beantworten können. Mit ein bisschen Recherche lässt sich sowas herausfinden oder man probiert brute-force-mäßig einfach männliche Vornamen durch.
Vorsicht bei „verlorenen“ und neu registrieren Domainnamen
Noch eine Falle: Gerade wir als Besitzer eines eigenen Domainnamens nutzen gerne eine E-Mailadresse mit diesem Domainnamen wenn wir uns bei verschiedenen Diensten anmelden. Nun kann es passieren, dass man die Domain nicht mehr verlängert oder verliert. Aus irgendeinem Grund. Die Mailadresse bleibt aber bei den Diensten, bei denen man sich damit registriert hat, stehen. Dann schicken die Systeme die Passworterinnerungen usw. weiter an diese Adresse. Das Fatale jetzt: Eventuell registriert jemand den gleichen Domainnamen nach dir und nutzt vielleicht noch die Catchallfunktion für Mailadressen, so dass alle Mails, die an irgendeine Adresse unter dieser Domain zugestellt werden. Damit können Zugangsdaten in fremde Hände fallen.
Wenn altmodischerweise einfach das existierende Passwort nochmal zugeschickt wird (sowas soll es noch geben), kann man als „Hacker“ in Anführunsgzeichen einfach mal auf anderen Diensten probieren, ob die Zugangsdaten da nicht auch funktionieren, denn viele, viele Menschen nutzen einfach das gleiche Passwort in verschiedenen Situationen. Weil man es sich schwer merken kann.
Also: Passwortsicherheit bedenken, das ist ein wichtiges Moment.
Umstritten ist, Single-Sign-On-System zu nutzen. Es gibt da mehrere, also gmeinsame Logins wie die von Facebook oder Google. Oder OpenID. Du kannst dich mit deinem Facebookkonto oft bei anderen Diensten authentifizieren. Das ist schön und bequem, aber was, wenn genau dieser Dienst gehackt wird? Sowas passiert auch Facebook. Vor kurzem wurde bekannt, dass jemand oder eine Gruppe Daten von angeblich 120 Millionen Facebook-Usern erbeutet hat.
Was man an dieser Stelle noch tun kann, ist, wo immer möglich, die Zwei-Faktor-Authentifizierung zu nutzen. Das geht auf Facebook, auf Twitter, Google, und bei vielen vielen weiteren Diensten. Unter anderem übrigens auch in Joomla Version 3.5. Schon seit 3.2. Für WordPress gibt es Plugins.
Das heißt: Wenn du dich einloggen willst, gibst du Nutzername und Passwort ein und dann noch ein weiteres Geheimnis, das dir auf einem anderen Weg zugestellt wird, beispielsweise über dein Mobiltelefon, per SMS oder auch über einen Token-Generator, der ein einmal gültiges zusätzliches Passwort generiert.
Wurde auch deine E-Mail-Adresse schon einmal in einem Hack erbeutet? Checke haveibeenpawned.com
In dem aktuellen Hack, bei dem sich so langsam heraus stellt, dass der Begriff Doxing angemessener wäre, was aber nicht so viele Leute kennen, wurden auch Privatfotos und Dokumente geleakt. Nehmen wir mal an, die lagen irgendwo auf einem Speicher, vielleicht in der Cloud.
Veschlüsselung nutzen
Wenn man dort Dokumente ablegt, die geheim bleiben sollte, verschlüssele sie. Du kannst die Dateien einzeln verschlüsseln oder insgesamt ein Verzeichnis verschlüsseln. Bei owncloud oder nextcloud geht das sowieso. In öffentlichen Clouds müsstest du im Zweifelsfall selbst die Verschlüsselung vornehmen. Das ist etwas umständlicher, aber wenn das Material diskret bleiben soll und sensibel ist, lohnt sich das sicher.
Ähnlich ist das auch mit Sticks, Speichersticks. Diese Dinger verliert man schnell, oder vergisst sie irgendwo. Jemand findet das und hat Zugriff auf die Daten da drauf. Wenn man da mal eine Telefonliste abgespeichert hat, mit Privatnummern von Prominenten, dann ist der Schaden umso größer.
Außerdem kann dein Notebook gestohlen werden oder dein PC. Oder jemand bemächtigt sich deines Computers. Es gibt so viele Möglichkeiten. Verschlüsselung kann da helfen. Leider ist es dann aber eben schwieriger, sowas wie Suchläufe zu machen. Und der Zugriff wird länger dauern, je nach Situation.
Juchhuu! Offenes Wlan. Vorsicht, es könnte ein Honeypot sein
Übrigens: WLAN. Wir sind in Deutschland, LTE Volumen ist knapp und apothekenmäßig teuer für die meisten. Da ist man immer ganz froh, ein offenes WLAN, einen Hotspot zu finden. Hier ist eine Gefahr, dass jemand einen Honeypot hinstellt. Also einen Zugangspunkt, der so tut als wäre er ein Hotspot. Oft ist die Kennung auch so benannt, dass man meinen könnte, das ist das Gäste-WLAN des Cafés oder Restaurants. Dabei stehen vielleicht Angreifer dahinter, die den Datenverkehr analysieren und versuchen, zumindest abzugreifen, was man sich an Webseiten ansieht. Das ist dann gefährlich, wenn man nicht auf Anwendungsebene verschlüsselt, also https benutzen kann. Dann werden Passwörter usw. im Klartext üebrtragen, was man mit http mitlesen kann. Wer da auf Nummer sicher gehen will, müsste einen VPN Dienst verwenden.
Wenn der Apple-Support anruft und dein Kundenkonto will
Eins noch: Es kann sein, dass dein Telefon klingelt und angeblich ist der Support von Apple dran. Oder der von Microsoft. Hatten wir auch schon. Das ist so der neuste Trick an Zugangsdaten zu kommen. Ansonsten ist dieses Social Hacking in allen Varianten schon gespielt worden. Man schickt die User auf irgendeine Website und versucht da, Daten abzufischen oder irgendetwas herunterladen zu lassen, angeblich weil eine Kontosicherheitsüberprüfung stattfindet oder unter irgendeinem anderen Vorwand. Hat man so einen Account einmal ergaunert, übernimmt man praktisch die Identität des wahren Besitzers. Und dann kann es kritisch werden.
Was hilft dagegen: Man kann nur aufpassen. Es wird immer wieder passieren, dass Betrüger versuchen, Daten abzufischen. Und leider perfektionieren sie Ihre Methoden immer weiter.
Fazit
Tipps:
- Sichere Passwörter
- Zwei Faktor Authentifizierung nutzen, wenn möglich
- Sensible Daten verschlüsseln (das geht in ownCloud und Nextcloud sehr gut)
- Auf https achten – besonders in öffentlichen WLANs, dort gegebenenfalls VPN-Dienste nutzen
- Social Hacking: Gehirn einschalten, aufpassen.
- Vorsicht bei Unified-Signup-Diensten (Logindienste): Auch die Großen werden gehackt