Category "Allgemein"

Allgemeine oder Spezielle Artikel.

Swisscom Smart Business Connect mit TAPI nutzen

- - Allgemein, IT, Tutorials

Eine Smart Business Connect Lösung inklusive virtueller Telefonanlage von Swisscom via TAPI nutzen? Unmöglich? Nicht ganz. Mit Fingerspitzengefühl, Brecheisen und genug Geduld bringt man es zum laufen.

Das Problem

Die Swisscom liefert die Geräte bei einer virtuellen Telefonanlage im „branded“ – Zustand aus. Das heisst: Die originale Firmware der Geräte wurde verändert (ähnliches passiert auch mit bei Swisscom gekauften Mobiltelefonen). Neben dem Vorladen der Konfiguration (eine gute Sache) hat die Swisscom dabei aber auch den Administrativen Benutzer des Geräts gesperrt – was entsprechend nur eine eingeschränkte Konfiguration ermöglicht.

Bei Yealink Phones ist es konkret die „Action – URL“ die so nicht bearbeitet werden kann – und damit auch kein TAPI ermöglicht.

TAPI wird aber von vielen Fremdprogrammen eingesetzt um das Telefon mit z.B. einem ERP oder CRM zu verknüpfen (Auslöser für diesen Fall war die PROFFIX Telefonintegration).

Wer nun denkt, man bekomme diese Zugangsdaten per Swisscom – Support  / Partner liegt falsch. „Das ist nicht möglich“, „Diese Daten hat nur der Hersteller“, „Die gibt es nicht“  u.ä. sind nur einige der zwar kreativen aber leider falschen Antworten die man erhält.

In Wahrheit möchten Sie diese Daten wohl einfach nicht herausgeben.

Die Lösung

Die Lösung ist mehrstufig und etwas komplexer. Im Groben sind es aber zwei Schritte:

  • Swisscom Branded Firmware entfernen, Original Firmware von Yealink aufsetzen
  • Korrekte SIP – Credentials besorgen

Sollte bereits ein debranded / unbranded Gerät vorhanden sein, kann direkt zum Schritt Korrekte SIP – Credentials besorgen gesprungen werden.

Swisscom HD Phone Yealink debranden

TFTP – Server vorbereiten

Idealerweise installiert man sich den TFTP – Server tftpd64 – hier gibts die portable Version (empfohlen)

Diesen entpackt / installiert man und führt ihn aus. Anschliessend erstellt man einen Ordner (z.B. Firmware) und verweist unter Current Directory  tftpd64 auf diesen Ordner (hier kommt später die Firmware hinein).

Unter Server Interfaces wählt man das korrekte Netzwerkinterface aus (das mit einer IP…)

„Current Directory“ auf Firmware-Ordner verweisen, Korrektes Netzwerk Interface auswählen

 

Original Firmware Yealink besorgen

Der nächste Stolperstein; Yealink stellt nur einen Teil der benötigten Firmware online zur Verfügung, welche für das Debranding nicht ausreichen.

Zum Glück findet man die passenden Files nach einigem Googlen:  Hier gibts die Yealink Recovery Firmware als Mirror

Je nach Modell (Yealink T46, T41, T42 oder T48) entpackt man das entsprechende Verzeichnis nun und kopiert den Inhalt in den im vorherigen Schritt erstellten Ordner Firmware.

 

Original Firmware flashen

Aufgrund fehlender Berechtigungen funktioniert das Flashen der Firmware nicht über den Webclient. Entsprechend muss das Yealink in den Recovery Mode versetzt werden. Das erreicht man wie folgt:

Für die gesamte SIP-Serie:

  1. Yealink vom Strom trennen (Ausstecken!)
  2. Lautsprechersymbol lange drücken und halten
  3. Wieder mit Strom verbinden

Auf dem Yealink muss anschliessend die IP – Adresse des TFTP – Servers angegeben werden. Diese entspricht in der Regel dem Server Interface aus dem ersten Schritt („TFTP – Server vorbereiten“). Anschliessend bestätigen – ist alles in Ordnung sieht das wie folgt aus:

Yealink Firmware Debranding

 

Nach erfolgtem Update empfiehlt sich das Yealink erneut mit der aktuellsten Firmware zu flashen (für T46 z.B. hier erhältlich):

yealink web upgrade

Auf dem Yealink selbst sieht das Ergebnis dann wie folgt aus:

Yealink Firmware Update

Sobald das abgeschlossen ist hat man ein aktuelles, unbranded Yealink mit sämtlichen Berechtigungen (Standarduser / Passwort: admin / admin)

Korrekte SIP – Credentials besorgen

Bei den Angeboten Business Telefonie kann man die SIP – Credentials direkt im Swisscom Kundencenter anfordern. Bei Smart Business Connect mit virtueller Telefonanlage (bzw. wie die Lösungen sonst noch heissen) klappt das nicht so einfach.

Die Lösungsidee dafür ist, dass egal wie viele Softclients, Apps etc. die Swisscom noch „vor die Lösung“ schaltet – schlussendlich doch immer eine gewöhnliche SIP – Verbindung dahinter steht.

Swisscom Client besorgen

Grundsätzlich sollte die Lösung mit jedem Client möglich sein – der Einfachheit halber verwenden wir aber den Windows Client alias Business Communication App.

Sobald dieser installiert ist besorgt man sich die Zugangsdaten aus dem Swisscom Kundencenter (Format: ***@***.join.swisscom.ch, Passwort scheint meist 8-stellig zu sein).

Business Communication App

Hier unbedingt ausprobieren, ob der Login funktioniert. Falls nicht, dafür sorgen, dass er funktioniert. Das ist die Grundvoraussetzung für die nächsten Schritte.

Anschliessend in der Business Communication App unter Einstellungen –> Erweitert den Haken setzen bei System-Proxy verwenden. Dann die Software schliessen (wichtig!).

Einfach einmal zuhören…

Der letzte Schritt ist das Sniffen des Netzwerktraffics – oder auf deutsch; Einfach einmal zuhören, was denn die Business Communication App so zu sagen hat…

Da die Verbindung über SSL läuft funktioniert das mit Standardtools wie Wireshark etc. nicht auf Anhieb. Einfacher gehts mit Charles Proxy.

  1. Charles Proxy hier herunterladen und installieren (30-Tage Demo reicht)
  2. Charles öffnen

Nun muss das Root – Zertifikat von Charles installiert werden (Wichtig: Unter Vertrauenswürdige Stammzeritfizierungsstellen installieren, sonst klappts nicht) :

Charles Proxy SSL Cert

Charles Proxy Root Certificate installieren. Wichtig: Unter Vertrauenswürdige Stammzertifizierungsstellen installieren

 

Nun muss das System noch so konfiguriert werden, dass sämtlicher Traffic über Charles Proxy läuft. Dazu Internetoptionen öffnen und folgende Einstellungen vornehmen:

System Proxy einstellen

Nun ist alles bereit um „zuzuhören“. Die Business Communication App sowie Charles können nun beide wieder geöffnet werden. Bei Charles startet man die Aufzeichnung des Traffics über den Record – Button in der linken oberen Ecke.

Listen Charles

 

Anschliessend kann man sich an der Business Communication App anmelden – in Charles sollten zeitgleich einige Anfragen auftauchen. Konkret interessiert uns dabei das config.xml unter folgendem Endpunkt:

Swisscom Business Creds

Nach etwas Suchen im entsprechenden XML findet man das gewünschte SIP-Passwort als Klartext (über Wireshare würde man hier nichts sehen, da SSL).

Dieses Passwort in Kombination mit dem Benutzernamen (der übrigens auch im config.xml steht) ermöglicht nun alle möglichen Geräte an die virtuelle Telefonanlage von Swisscom anzuschliessen – unabhängig von „Branded Devices“, irgendwelchen Softclients und ähnlichem.

Put it all together

Wir haben nun ein Gerät mit Originalfirmware und vollen administrativen Befugnissen sowie funktionierende SIP – Credentials. Zeit alles zusammenzuführen:

Yealink Final Config

Mit der Endziffer „-01“ des Benutzernamen kann etwas gespielt werden. Wenn’s nicht funktioniert einfach 00 oder 02 daraus machen…

Anschliessend alles testen – wenn sowohl ankommende als auch abgehende Anrufe funktionieren und auch evtl. Drittgeräte noch funktionieren ist alles in Ordnung.

Damit TAPI auch tatsächlich funktioniert und man Smart Business Connect auch mit Fremdlösungen wie z.B. der PROFFIX Telefonintegration einsetzen kann braucht es nun eigentlich nur noch die Software Phonesuite welche mit dem Yealink verknüpft wird.

Die Einrichtung derselben ist aber dank der vollen Administrativen Berechtigungen nun kein Problem mehr.

 

Leaking Switzerland – 8 Millionen sind erst der Anfang

- - Allgemein, IT, Web

Seit über einem Jahr sammelt und analysiert SwissLeak.ch nun geleakte Schweizer Accounts. Nach über 8  Millionen geleakten Schweizer Accounts ist es Zeit für einen kurzen Rückblick.

Am Anfang stand Dropbox

Begonnen hat SwissLeak mit den Datensätzen aus dem Dropbox-Leak. Mittlerweile sind Datensätze von mehr über 3000 Leaks in SwissLeak enthalten; Als Anmerkung – es werden nur solche gelistet, die auch Schweizer Accounts enthalten bzw. auf Schweizer Benutzer zurückgeführt werden können.

Effektiv sind es also wesentlich mehr – oder in Zahlen ausgedrückt; mehrere Milliarden von durchsuchten Datensätzen. Und es werden nicht weniger.

Im Gegenteil: Waren es anfangs vor allem geleakte Services aus den USA oder Asien, geraten vermehrt auch Services aus der DACH – Region ins Fadenkreuz.

SwissLeak hat mittlerweile neben den grossen und bekannten Datenleaks auch viele kleine, lokale aber nicht minder gefährliche Datensätze im Repertoire.

SwissLeak History

Anzahl und Zeitlicher Verlauf der importierten Accounts / Quellen. (Live-Grafik: swissleak.ch/history)

Die Kernidee

Wir haben SwissLeak mit der Idee aufgeschaltet, um zu zeigen dass Datenleaks auch die Schweiz in starkem Masse betreffen. Mit Absicht haben wir nur Organisationen von breitem, öffentlichem Interesse publiziert – wenn gleich private und KMUs im gleichen Massen betroffen sind.

Durch die Konzentration auf „nur ein Land“ (und erst noch ein verhältnismässig kleines) hat SwissLeak maximale Tiefe und Genauigkeit. Wo andere Millionen von Datensätzen einfach importieren, kann sich SwissLeak erlauben fehlerhafte oder unvollständige Leaks zu korrigieren und mit Metadaten anzureichern.

Ein weiterer Grund für die Realisation von SwissLeak ist das, was der Bund generell als Versorgungssicherheit bezeichnet. Wir bunkern Material, Öl, Waffen und Lebensmittel – Daten verteilen wir aber grosszügig in der ganzen Welt. Was dabei zu denken gibt ist nicht etwa das Auslagern von Daten sondern vielmehr unser Umgang mit dem Bereich IT.

Wir sind versucht insbesondere im Sicherheitsbereich nur noch auf Inputs von anderen Ländern zu reagieren – was und wie viel uns dabei mitgeteilt wird bleibt im Ungewissen. Dass solche Ideen keine Utopie sind und diese Inputs tatsächlich manipuliert werden zeigen diverse Vorkommnisse der jüngsten Verhangenheit (z.B: „WannaCry„).

Wenn wir uns also schon selbst als „digitales Land“ feiern sollten wir uns auch mit der Kehrseite der Medaille befassen – denn die hat es in sich…

Ein tieferes Verständnis von Datenleaks

Ein Datenleak ist nicht einfach ein Passwort und eine Emailadresse, welches durch Zufall ins Netz gelangt.

In der Summe sind sie ein Abbild des digitalen Lebens eines jeden einzelnen. Man kann dadurch nicht nur bestehende Interessen, Vorlieben und Schwächen eines Benutzer erkennen sondern auch zukünftige Verhalten erahnen.

Viele Benutzer können oder wollen die kurz-, mittel- und langfristigen Konsequenzen eines Datenleaks aber nicht verstehen – mitunter ein Grund, dass viele Schweizer Benutzer / Passwortkombinationen auch nach einem bzw. mehreren Leaks immer noch Gültigkeit haben.

Auf Organisationsebene scheint der Wille, die Datensicherheit zu erhöhen bzw. das Benutzerverhalten zu korrigieren nur in der IT- oder PR – Abteilung vorhanden zu sein. Der bereits im Artikel Hacking Switzerland: Dataleaks erwähnte Grundsatz  „Dementieren, Entschärfen, Vergessen“ findet auch hier rege Anwendung.

SwissLeak verhindert das nicht bzw. drängt weder die Organisation noch den Benutzer dazu, entsprechende Massnahmen zu treffen und entfernt den öffentlich zugänglichen Eintrag unkompliziert und ohne grosse Formalitäten. Da dieses Entfernen aber einer Kenntnisnahme gleichkommt, behält sich SwissLeak natürlich vor, in einem Ernstfall die entsprechenden Stellen auch nachträglich zu informieren.

Medien und Berichterstattung

Gerade in letzter Zeit gibt es vermehrt Medienmitteilungen, Zeitungsberichte und Onlinereportagen die über Datenleaks und die Schweiz berichten.

Praktisch alle Artikel sind relativ flach, schüren Ängste und sind in erster Linie purer Populismus.

Die Aussagekraft entsprechender Artikel tendiert gegen Null – wenn überhaupt werden alte und oftmals auch halbwahre Behauptungen aufgestellt bzw. einfach „nachgeplappert“.

Dazu auch ein Beispiel: SwissLeak.ch hatte im Jahr 2017 eine Anfrage eines grösseren Schweizer Medienhauses, welche mit folgender Einleitung begann:  „Um einschätzen zu können, ob sich ein Bericht darüber lohnt…“

Eigentlich sollte die erste Frage eines Journalisten in so einem Fall sein „Stimmt der Unsinn den ihr da verbreitet überhaupt und könnt ihr das beweisen?“ und nicht „Wieviel Publicity bekommen wir denn damit?“

So viel dazu. Generell weiss man in der Schweiz manchmal nicht so recht, nach welchen Kriterien die Berichterstattung erfolgt.

Zwar wurde lang und breit über die vom Dropbox-Leak betroffenen Politiker berichtet oder aber ein Wirbel um die 21’000 Userdaten in der COMBO-Liste von MELANI gemacht – Details zu den fast 800’000 Schweizer Accounts aus der Anti – Public Combo List scheinen den Medien aber entgangen zu sein.

Oder ist das etwa, weil man 20 geleakte Politiker besser verkaufen kann, als ein paar Millionen geleakte Accounts von Steuerzahlern?

Bund, Kantone und Gemeinden

Zugegeben – in der Schweiz „lästern“ wir auf hohem Niveau. Es gibt aber in letzter Zeit immer wieder die Tendenz, dass Bund, Kantone und Gemeinden Aufgaben übernehmen die sie weder etwas angehen noch eigentlich in ihren Aufgabenbereich gehören.

Entsprechend üppig fällt der ganze Behördenapparat mittlerweile aus – und findet sich zu einem nicht unbeträchtlichen Teil auch wieder in der Datenbank von SwissLeak.

Tatsächlich haben wir in der Schweiz mit MELANI gerade in diesem Bereich sogar eine staatliche Organisation, deren Aufgabe unter anderem der Schutz von Informationsdienstleistungen ist.

Wenn wir ehrlich sind – MELANI scheint diesbezüglich in der Schweiz sogar die einzige, offizielle Anlaufstelle.

Abgesehen von der sicher nicht immer einfachen Anspruchsgruppe, dem für ihren Aufgabenbereich viel zu tiefen Budget und der häufig fehlenden Anerkennung ist MELANI für die Schweiz so etwas wie die „letzte Bastion“, der letzte Schutzwall gegen Aussen.

Trotzdem gehören sensible Benutzerdaten von Einwohnern genauso wenig in die Hand einer staatlich kontrollierten Organisation wie in die eines ausländischen Nachrichtendienstes. Das hat nichts mit Misstrauen gegenüber einzelnen Mitarbeitern zu tun, sondern mit einem gesunden Argwohn gegenüber dem System „Staat“ an sich.

Gerade in Bezug auf das neue Nachrichtendienstgesetz der Schweiz bzw. den „natürlichen Austausch verschiedener Stellen untereinander“ ist es nur eine Frage der Zeit bis solche Datensätze auch von anderen Stellen angefordert und genutzt werden.

Gleichgültigkeit

Mit SwissLeak Research haben wir eine Erweiterung ins Leben gerufen, welche die Betroffenheit jeder Schweizer Gemeinde von Datenleaks zeigt.

Mittlerweile sind über 3800 Organisationen mit geleakten Accounts, über 1400 Gemeinden und total über 8,3 Millionen geleakter Schweizer Accounts in der Masterdatenbank von SwissLeak.

Anmerkung: Sollten Organisationen oder Gemeinden auf SwissLeak.ch nicht aufgeführt sein liegt das nicht an fehlenden Rohdaten sondern daran, dass diese noch nicht zugewiesen sind (beinahe der grösste Aufwand…)

Entsprechend dürfte man doch annehmen, dass obige Publikationen eine Reaktion provozieren, oder?

Weit gefehlt. Zwar haben sich einige Organisationen gemeldet, verglichen mit der Anzahl Betroffener aber ein schlechter Witz.

In einen ähnlichen Bereich gehört „die fehlende Bereitschaft zuzuhören„.  Originalaussagen wie „ich bin jetzt seit 20 Jahren in der IT und wir hatten noch nie Probleme mit Datenleaks…“ mögen vor 20 Jahren Gültigkeit besessen haben – heute sind sie  in Anbetracht von IoT, Cloud und Socialnetworking einfach nur falsch!

Automatische Suche

In diversen Gesprächen wurden Aussagen gemacht, dass man „Leaks auch automatisch suchen kann“.

Es gibt genau zwei Gründe, wann dies tatsächlich automatisch funktioniert:

  • Die Daten werden von einem Fremdanbieter in bereits aufbereiteter Form importiert („Resale…“)
  • Es wird nur nach Emailadressen gesucht (ohne Zusammenhang oder Metadaten)

Beide Varianten sind ungenau (was importieren wir eigentlich?), nicht aktuell und lassen die interessanten Informationen (Passwörter, Metadaten) weg.

SwissLeak nutzt – bis auf wenige Ausnahmen – ausschliesslich Rohdaten die manuell geprüft, analysiert, bereinigt, angereichert und importiert werden.

Dazu vielleicht auch noch als weitere Klarstellung – es gibt keine zentrale Datenbank, wo jeder „seine Leaks“ in einer schön formatierten „Excel – Tabelle“ hochlädt (bei Datensätzen von 5GB+ sowieso ein Ding der Unmöglichkeit…)

Leaks werden gehandelt, getauscht und – wen überrascht es – geleakt.

Die Datensätze die man erhält bzw. findet sind von „formatiert“ bis hin zum „absoluten Chaos“ immer unterschiedlich aufgebaut. Damit zumindest eine grundlegende Übersicht entstehen kann, müssen diese manuell vereinheitlicht und analysiert werden – etwas das (noch) kein System automatisch hinbekommt.

Quo vadis?

Wohin wir bezüglich Schweiz und Datenleaks steuern ist ungewiss – weder kennen wir die ganzen Dimensionen („8 Mio sind erst der Anfang“) noch die langfristigen Auswirkungen.

Gewiss hingegen ist, dass wir weder genügend darauf vorbereitet sind noch dass wir auch nur im Ansatz genügend Sorgfalt mit unseren Onlineaccounts und Passwörtern walten lassen.

In bisherigen Beiträgen haben wir immer wieder einen Ausblick in die Zukunft gewagt. Teile davon sind bereits eingetroffen (z.B. Phishingmails im Namen von Behörden; Woher stammen wohl die Emailadressen?) – andere Zukunftsszenarien sind noch ausstehend.

Was wir heute machen ist nicht nachhaltig; Weist man einen Benutzer auf ein Datenleak hin, wird er dort sein Passwort ändern müssen – vielleicht ändert er sein Passwort auch noch bei einem zweiten oder dritten Account mit demselben, neuen Passwort – ganz sicher aber wird er nicht einen halben Tag aufwenden nur um sämtliche Passwörter zu ändern.

Ähnlich verhält es sich mit den Tools um Online zu prüfen ob man betroffen ist; in den meisten Fällen überwiegt die Erleichterung, dass man nicht betroffen ist der Tatsache, dass dieses Tool nur einen Ausschnitt von möglichen Leaks zeigt.

Das Problem ist die ihr zugrunde liegende Annahme: Wir gehen davon aus, dass nur einige Benutzer von Datenleaks betroffen sind.

Eigentlich ist es aber genau anders. Nur einige Benutzer sind nicht von Datenleaks betroffen!

Entsprechend liefern solche Tools auch nicht die Gewissheit, dass man nicht betroffen, sondern nur, dass man definitiv betroffen ist. Oder vereinfacht formuliert: Die Chance, dass zumindest ein persönlicher Account geleakt wurde ist höher, als dass man bis jetzt noch von keinem Leak betroffen ist.

 

Deep Trouble in High Society

- - Allgemein, IT

Eine ungewöhnliche, teilweise abstruse Fernwartung mit einem Mitglied der High Society. Und ja – das ist wirklich so passiert…

Der Anruf

Es ist ein Mittwochabend, kurz vor 15 Uhr. Das Telefon klingelt – eine Dame meldet sich:

„Der Concierge des Hotels Q. hat Sie empfohlen. Ich habe ein Problem mit meinem iPhone. Können Sie kommen?“

Hm. Ich war noch nie im Hotel Q. – geschweige denn dass ich den Concierge kenne. Nichts desto trotz – helfen kann ich der Dame bestimmt, also antworte ich:

„Wir sind in Münchwilen – das ist etwa eine Stunde Fahrt zum Hotel Q.“

„Können Sie kommen?“

„Was ist denn genau das Problem? Können Sie mir etwas genauer erklären, was nicht funktioniert?“

„Normalerweise bin ich in Miami oder New York.  Ich weiss es auch nicht so recht – das Internet meines iPhones funktioniert nicht mehr!“

Miami? New York? Definitiv das Hotel Q.

„Wie wissen Sie denn, dass das Internet nicht mehr funktioniert?“

„Es kommt immer eine Meldung, dass mein Passwort nicht stimmt!“

iPhone, Passwort – wahrscheinlich meint die Dame damit Ihre Apple – ID. Ein Versuch ist es wert, also:

„Wie genau lautet der Text auf Ihrem iPhone?“

„Please enter your password!“

„Und oberhalb dieses Textes?“

„Sign in to iCloud…“

„Ok. Das iPhone benötigt das Passwort für Ihre Apple – ID“

„Apple – was?“

„Apple-ID; Damit identifizieren Sie sich bei Apple. Haben Sie in letzer Zeit ein Passwort geändert?“

„Nein“

„Sind Sie ganz sicher?“

Etwas mehr nachhaken und diverse Fragen später kommt heraus – die Assistentin der Dame hat nach Ihrer Kündigung sämtliche Passwörter geändert. Irgendwie müssen wir das Passwort also wieder zurücksetzen.

„Haben Sie das Passwort bereits versucht zurückzusetzen?“

„Ja – jetzt hat mich Apple komplett blockiert!“

„Wie das?“

„Die Frau meines Sohnes hat sich als mich ausgegeben und bei Apple angerufen – Sie konnte aber nicht alle Fragen beantworten und jetzt…“

Dumme Idee – Apple belügt man nicht ungestraft. Aber die Hoffnung stirbt zuletzt, also versuchen wir es…

„Wissen Sie, welche Emailadresse Sie für die Apple – ID verwendet haben?“

„Was?“

„Mit welcher Emailadresse melden Sie sich bei Apple an?“

„Gar nicht!“

An diesem Punkt nützt alles Erklären nichts. Versuchen wir also einen anderen Weg.

„Wie lautet Ihre Emailadresse?“

„Wieso brauchen Sie die?“

„Nennen Sie mir bitte einfach kurz Ihre Emailadresse.“

„****@aol.com“

Damit lässt sich arbeiten. Also nichts wie auf zu Apple.com, „Passwort vergessen“ auswählen und die Emailadresse eingegeben. Und tatsächlich – es scheint zu funktionieren!

„Apple stellt nun ein paar Fragen, um Ihre Identität zu überprüfen. Können Sie mir sagen, wo Sie geboren sind?“

„In Berlin“

„Wann sind Sie geboren?“

„19. August 1948“

„Ok“

„Warten Sie – eine Kollegin hat mir geraten, niemals das richtige Geburtsdatum einzugeben. Ich habe mich 10 Jahre jünger gemacht!“

Aha. Die Idee an sich ist nicht schlecht aber erneut – Apple belügt man nicht ungestraft…

Also das Geburtsdatum erneut korrigiert, die letzte Frage beantwortet und – ERROR „Sie haben zu oft versucht Ihre Sicherheitsfragen zu beantworten“

Aber wir haben ja noch ein Ass im Ärmel – versuchen wir es also über das Zurücksetzen per Email mit der Emailadresse der Dame. Und tatsächlich – es scheint zu funktionieren.

„Können Sie einmal prüfen, ob Sie eine Email auf Ihrem iPhone erhalten haben?“

„Email funktioniert nicht mehr!“

„Seit wann?“

„Seit meine Assistentin das Passwort geändert hat!“

Aha – noch eine Rücksetzung. Also auf zu AOL.com. Glücklicherweise brauchen wir hier nur eine Telefonnummer und keine Sicherheitsfragen, also weiter im Text:

„Wie lautet Ihre Telefonnummer?“

„Welche? Ich habe mehrere!“

„Die Ihres Mobiltelefons.“

„Ich habe eine amerikanische Nummer und eine deutsche Nummer.“

AOL = America Online; Also wahrscheinlich die amerikanische. Und tatsächlich, gleich beim ersten zurücksetzen scheint alles zu klappen.

„Sie haben eine SMS mit einem Code bekommen. Können Sie mir diesen nennen?“

„Ich habe keine SMS bekommen!“

„Können Sie zu den Nachrichten gehen? Und mir die oberste Nachricht vorlesen?“

„Das ist so ein komischer Code….“

„Können Sie mir diesen nennen?“

„538232“

Perfekt! Wir haben zumindest wieder Zugriff auf die Emails der Dame. Und tatsächlich – sogar der Apple Bestätigungscode ist angekommen! Endlich machen wir Fortschritte – dementsprechend noch kurz das Passwort der Apple-ID ändern…

„Ich habe Ihnen für Ihre Apple-ID ein neues Passwort vergeben.“

„Was?“

„Ist das Fenster auf Ihrem iPhone bezüglich der Passwortabfrage noch offen?“

„Nein“

„Schalten Sie das iPhone einmal aus.“

Während wir warten stellt sich heraus, dass die Dame auch noch mehrere Notebooks hat. Ich frage nach:

„Was für ein Notebook ist das?“

„Zum zuklappen“

„Ist es ein Windows oder Apple Notebook?“

„Was? Weiss ich nicht“

So kommen wir nicht weiter – also tief in die Trickkiste greifen:

„Wenn Sie Ihre Notebook zuklappen – haben Sie einen Apfel auf dem Notebook?“

„Was?“

„Eine Apfel. Vorne auf dem Notebookcover.“

„Jaja – es ist ein MacBook“

Aha. Es geht doch.

„Und das andere Notebook?“

„Das ist so ein kleines.“

„Ein Tablet?“

„Nein, nein – ein kleines Notebook.“

„Hat es eine Tastatur?“

„Nein – ich habe Ihnen doch gesagt, dass es ein Kleines ist.“

„Ist es ein iPad?“

„Jaja.“

„Das ist ein Tablet.“

„Nein – ein iPad.“

Ok. An diesen Punkt werden wir noch einige Male gelangen. Es bringt nichts, hier eine Erklärung zu versuchen – wir lassen es also einfach einmal so stehen.

„Können Sie das iPad einstellen?“

„Weiss nicht. Ich glaube, es ist nicht geladen.“

„Können Sie es aufladen?“

„Ich weiss nicht, wie das geht!“

Der Tonfall wird etwas ruppiger. Ich frage aber trotzdem nach, wieso Sie denn ein iPad hat, wenn Sie nicht weiss, wie man es auflädt. Alle Ihre Kolleginnen hätten Ihr gesagt Sie solle auf Apple umstellen – das sei viel besser. Und sicherer, habe man Ihr gesagt.

Aha. Zum Thema Sicherheit werden wir aber noch kommen, also weiter:

„Können Sie das MacBook starten?“

„Das was?“

„Das Notebook – den Laptop.“

„Ja der funktioniert.“

„Funktioniert hier auch das Email?“

„Nein! Das habe ich doch bereits gesagt!“

Da wir sowohl das Passwort für die Apple – ID als auch für die Email geändert haben, müsste eigentlich beim aufstarten eine Meldung kommen.

„Es kommt eine Meldung! Password required!“

„Ich habe Ihnen dieses Passwort zurückgesetzt. Können Sie sich bitte folgendes notieren? ********“

„Was ist das?“

„Ihr neues Passwort.“

„Ich will das nicht. Das ist viel zu kompliziert. Können wir nicht einfach „Hotel Q“ nehmen? Oder den Ort wo das Hotel steht?“

„Nein. Das ist zu einfach.“

„Das Name des Hotels hat aber 12 Buchstaben!“

Ich versuche, zu erklären, dass ein langes Passwort nicht gleich ein sicheres Passwort ist – aber irgendwie hört Sie mir nicht zu. Da kommt gleich der nächste Hammer:

„Wissen Sie – ich muss mir das Passwort merken können, denn alle fragen mich ständig danach.“

„Nach dem Passwort? Wer fragt Sie nach dem Passwort?“

„Alle. Meine Freundinnen, meine Mitarbeiter, mein Sohn, Mitarbeiter des Apple Stores in New York…“

Ich bin zuerst einmal sprachlos. Dann versuche ich der Dame langsam zu erklären, dass ein Passwort etwas sehr persönliches ist, dass Sie es unter keinen Umständen an Drittpersonen weitergeben soll.

Nach einigen Wiederholungen und einer längeren Diskussion einigen wir uns darauf, dass Sie das Passwort nur noch Mitarbeiter des Apple Stores in New York mitteilt – obwohl ich auch damit nicht ganz einverstanden bin.

Glücklicherweise akzeptiert Sie das von mir vergebene Passwort nun – ich bitte Sie es auf dem MacBook einzugeben:

„Die Meldung ist weg!“

Tadaa. Problem gelöst, Fehler behoben – aber…

„Ich kann immer noch keine Emails abrufen!“

„Wie haben Sie vorher Emails abgerufen?“

„Weiss auch nicht.“

„Können Sie mir vorlesen, was unten am Bildschirm steht?“

„Safari“

„Ok.“

„App..“

„Ok.“

„So ein blaues Symbol mit zwei Pfeilen.“

Auf so viel Glück wagte ich nicht zu hoffen, ist es etwa tatsächlich eine installierte Version von Teamviewer?

„Können Sie drauf drücken?“

„Ja“

Im ähnlichen Stil wie oben geht es dann weiter – bis ich Sitzungscode und Passwort der Teamviewer – Session habe vergehen lange Minuten des Bangens, bis dann endlich eine Sitzung steht.

Ich korrigiere der Dame also den Apple Mailclient mit dem neuen Passwort.

„Das sieht anders aus als vorher.“

„Wie anders?“

„Ich kann es nicht lesen.“

„Ich habe Ihnen den Kontrast und die Schriftgrösse bereits auf das Maximum eingestellt.“

„Vorher hat es aber funktioniert!“

Also – der Apple Mailclient wars definitiv nicht. Nach etwas suchen finde ich auch noch „Outlook for Mac“. Wiederum einrichten, anpassen, dann:

„Das ist nicht dasselbe wie vorher. Wo ist der Trashbin?“

„Der was?“

„Der Papierkorb!“

Nach einigen Versuchen, der Dame „Outlook for Mac“ schmackhaft zu machen, gebe ich auf. Das wars definitiv auch nicht. Da Sie immer wieder vom „Trashbin“ – Symbol erzählt, öffne ich erneut den Apple Mailclient.

„Hier ist das Symbol! Können Sie die Schrift grösser machen?“

Da waren wir doch schon einmal, also:

„Nein das geht nicht.“

„Können Sie kurz dranbleiben? Ich habe nichts gegessen und möchte kurz beim Room Service etwas bestellen.“

Mittlerweile ist es 18 Uhr – dass ich auch Hunger habe scheint untergegangen zu sein. Aber der Kunde ist König(in). Nach einigen weiteren Versuchen das richtige Mailprogramm zu finden, legt mich die Dame erneut auf Eis und fragt recht erbost beim Zimmerservice nach:

„Ich warte schon 10 Minuten. Wo ist meine Bestellung?“

Also ich warte normalerweise länger als 10 Minuten auf Essen aber anscheinend ist das Hotel Q. besonders fix. Plötzlich überkommt mich eine Idee. Ich öffne per Teamviewer Safari, gehe auf AOL.com, melde mich mit dem zurückgesetzten Passwort an und präsentiere den Webclient.

„Hat Ihr Email so ausgesehen?“

„Ja Genau! Das sieht genauso aus!“

Mittlerweile bin ich über 4 Stunden am Telefon. Langsam möchte ich zu einem Ende kommen – doch plötzlich entwickelt die Dame ungeahnte Energie und möchte auch noch Dokumente bearbeiten. Also erkläre ich auch das im Groben – irgendwann sage ich dann aber:

„Jetzt funktioniert wieder alles, oder?

„Alle ist super! Herzlichen Dank. Es hat noch nie jemand so viel Geduld mit mir gehabt!“

Das geht herunter wie Öl – und ist die 4,5 Stunden wert, die es gebraucht hat.

„Können Sie mir eine Karte senden?“

„Ich lege eine Visitenkarte der Rechnung bei, die ich ans Hotel Q. auf Ihren Namen sende. Ist das in Ordnung?“

„Ja. Vielen Dank! Darf ich Sie wieder anrufen?“
„Selbstverständlich.“

Nächtliche Emails

Müde und erschöpft aber im Wissen jemandem geholfen zu haben verlasse ich das Büro und schlafe den Schlaf des Gerechten – bis etwa 2 Uhr in der Frühe.

Da erhalte ich ein Email:

„Sie hätten mir sagen müssen, dass Sie oder Ihr Unternehmen von mir verlangen einen Vertrag blind zu unterzeichnen, ohne diesen zuvor gesehen zu haben. Ich hätte meine Zeit nicht verschwendet. Ich werde so etwas niemals machen. Wieso haben Sie mir das nicht von Anfang an mitgeteilt?“

Ich bin schlagartig wach – und komplett verwirrt. Nicht nur, dass ich keine Ahnung habe von welchem Vertrag die Dame erzählt, mich stört auch die Formulierung „Zeit verschwendet“.

Würde ich jetzt um 2 Uhr in  der Frühe eine Antwort geben – Sie wäre nicht sehr freundlich. Also weiterschlafen – das kann man auch morgen (bzw. heute) erledigen.

Falsch gedacht.  Um 3 Uhr bimmelt das Mobile wieder – noch eine Email:

„Ich sehe, dass Sie mich geblockt haben. Ich hatte wirklich vor zu bezahlen, aber mache das nicht abhängig davon eine Vertrag auf dem Computer zu unterzeichnen. Bitte respektieren Sie meine Wünsche und halten Sie mich nicht als Geisel indem Sie mich blockieren. Entschuldigen Sie, dass ich Ihre und meine Zeit verschwendet habe.“

Und wieder verstehe ich kein Wort. Ich wüsste nicht, wie ich die Dame um 3 Uhr früh blockieren sollte – weder weiss ich, von welchem Vertrag Sie spricht. Obwohl ich zugeben muss – das mit dem Blockieren klingt mittlerweile recht verlockend…

Glücklicherweise lässt man mich dann schlafen, sodass ich am Morgen ausgeruht wenn auch immer noch etwas verwirrt das Hotel Q. anrufen kann um das was auch immer hier vorgefallen ist, zu klären.

„Ich suche **. Sie hat mich gestern von dieser Nummer angerufen.“

„Ich verbinde Sie gleich aufs Zimmer. Bitte warten Sie einen Moment.“

Leider scheint die Dame entweder noch zu schlafen (ist erst 9 Uhr…) oder mich mit Absicht nicht anzunehmen. Also auf zu Plan B – und eine kurze Nachfrage mit der Bitte mich zur Klärung anzurufen per Email gesendet.

Dass diese ankommen, weiss ich ja mittlerweile.

Im Verlauf des Nachmittages werde ich dann auch noch versuchen, die Dame über das Mobiltelefon zu erwischen – was aber ebenfalls fehlschlägt.

Nach zwei Tagen – ich habe die Geschichte schon fast abgehakt, erhalte ich wiederum eine Email.

Eigentlich  eine ganze Emailflut. Zuerst ein Email mit dem Betreff und Inhalt „TEST“, dann ein Email mit folgendem Inhalt:

„Ich werde diesen Computer nicht so verwenden, wie er jetzt aufgesetzt ist. Wir haben zuviel Zeit verschwendet. Ich mochte es auch nicht, dass Sie mich als Geisel gehalten haben und nicht mehr herausgelassen haben, bis ich den Vertrag unterzeichnet habe. Sogar wenn ich Ihn gesehen hätte, hätte ich niemals unterschrieben. Wieso haben Sie nicht von Anfang an gesagt, dass es das war, was sie wollten?“

Auch wenn ich dieses Email noch hundertmal erhalte – ich weiss immer noch nicht, welchen Vertrag die Dame meint. Und die Tatsache, dass ich während der Zeit als Sie „Geisel“ war tief und fest geschlafen habe, macht das Email auch nicht verständlicher.

Obwohl mir die unbegründeten Beschuldigungen der Dame langsam aber sicher das Blut in Wallung bringen, schreibe ich noch einmal ein sehr freundliches und verständnisvolles Email mit der Bitte, mich doch anzurufen. Sollte Sie mit den Schweizer Telefonnummern nicht klar kommen, schlage ich ihr vor, Sie solle doch die Rezeption (oder den Concierge, der alles ausgelöst hat) bitten, uns direkt zu verbinden.

Und tatsächlich – ich erhalte fast umgehend eine Antwort per Email.

„Ich bin zurzeit in der Therapie, anschliessend beim Frisör. Ich rufe Sie heute abend spät oder morgen an.“

Da Freitag ist und das bedeutet, dass Sie mich entweder Freitag Abend oder Samstag anruft, trägt nicht gerade zur Stimmungshebung bei – aber ich möchte die Sache aus der Welt schaffen.

Also warte ich. Und warte. Doch weder am Freitag noch am Samstag erhalte ich einen Anruf.

Am Montagmorgen hat sich mein Groll gegen die haltlosen Unterstellungen komplett gelegt. Mittlerweile empfinde ich Anteilnahme – die Dame wurde in der Vergangenheit mehrfach über den Tisch gezogen. „Gebrannte Kinder fürchten das Feuer“ – wie man so schön sagt.

Ein letzter Versuch solls dann auch richten – denn mittlerweile habe ich eine Ahnung von welchem „Vertrag“ sie gesprochen hat.

Da Sie mehrere Wochen ohne Apple-ID unterwegs war, hat Sie auch keine Updates auf Ihrem MacBook erhalten. Nach der Korrektur hat sich iOS dann automatisch ein Update gezogen – darauf habe ich während der Teamviewer – Sitzung sogar hingewiesen – doch ich bezweifle, dass Sie wusste was damit gemeint ist.

Nach dem Reboot bzw. Update des MacBooks wurde Ihr wahrscheinlich eine aktualisierte Endbenutzervereinbarung von Apple eingeblendet – die Sie bestätigen musste.

Dass diese Vereinbarung zwischen Ihr und Apple ist und nicht im geringsten etwas mit mir zu tun hat, hat Sie wahrscheinlich überlesen bzw. wollte es auch gar nicht mehr lesen. Zu diesem Zeitpunkt war es wesentlich einfacher, die Schuld dem einzigen Menschen zu geben, der versucht hat Ihr zu helfen.

Ich schreibe Ihr meine Überlegungen also noch einmal in sehr verständlichen Worten – und hoffe, dass Sie die Logik nachvollziehen kann.

Selbstverständlich schliesse ich mit der Bitte, mich doch trotzdem kurz anrufen.

Gedanken

Alles in diesem Dialog ist echt und so passiert – zwar habe ich einzelne Passagen etwas vereinfacht aber nichts davon ist beschönigt oder verändert.

Während der Fernwartung hat mir die Dame von Ihrer Familie erzählt, von Ihrem verstorbenen Gatten – von der Assistentin die Sie betrogen hat, vom Zimmermädchen das Sie bestohlen hat. Auch einige sehr persönliche Details die man hier nicht veröffentlichen kann.

Ich gehe deshalb davon aus, dass zumindest ein Grundvertrauen vorhanden war – wieso dann praktisch über Nacht eine 360°-Kehrtwende erfolgte – wer weiss?

Trotzdem trage ich vor diesem Hintergrund der Dame die absolut haltlosen, ungerechtfertigten Beschuldigungen die aus dem Nichts kamen nicht nach – im Gegenteil. Ich kann bis zu einem gewissen Grad sogar nachvollziehen, wieso Sie die Schuld beim letzten (und vielleicht auch einzigen) Menschen gesucht hat, der Ihr geholfen hat.

Gerade „wir aus der IT“ müssen uns immer bewusst sein, dass Dinge die für uns selbstverständlich, logisch und absolut klar erscheinen von anderen als „Hexenwerk“ wahrgenommen werden können. Uns was der Mensch nicht versteht, das fürchtet er…

Nicht nachvollziehbar ist für mich hingegen, dass Sie einerseits zwar behauptet, Sie würde anrufen, andererseits aber genau dies nicht macht und auch keine Anrufe annimmt.

So löst man  definitiv keine Probleme – weder in der IT noch in jedem sonstigen Bereich.

Apropos Probleme; Beim nächsten Anruf aus dem Hotel Q. werde ich definitiv zuerst darauf hinweisen, dass unsere Verträge nicht auf Englisch sind…

Die Schweiz in der Anti Public Combo List

- - Allgemein, IT

Datenleaks? Schon wieder? Nun – wenn fast eine halbe Milliarde (458’000’000…) Benutzeraccounts geleaked werden, ist das schon einen Artikel wert, nicht?

Für Besucher aus Deutschland: Anscheinend hat das Deutsche BKA die „Liste“ mittlerweile auch gefunden (2 Monate später…)
Der Folgeartikel Deutschland in der Anti Public Combo List findet man hier.

Anti Public Combo List

Im eigentlichen Sinne handelt es sich dabei nicht um einen Leak sondern viel mehr eine direkte Folge von Leaks. Eine sogenannte „Combo List“ ist nicht anderes als zusammengefasste und aufbereitete Datenleaks in Form von Benutzername oder Email und Passwort. Das sieht dann in etwa so aus:

Anti Public Combo List Schweiz[email protected]:ultrasupergeheim
[email protected]:meinpasswort
….

 

Die Daten dafür stammen aus den unterschiedlichsten Leaks und werden so „ready-to-use“ bereitgestellt.

Speziell an der „Anti Public Combo List“ in dieser Hinsicht ist sicher die Grösse;  Mit fast einer halben Milliarde Accounts (6% der gesamten Weltbevölkerung, 14,3% der Weltbevölkerung mit Internetzugang…) handelt es sich doch um ein etwas umfassenderes „Werk“ in dem selbstverständlich auch Schweizer Benutzer wieder recht gut vertreten sind…

Die Schweiz in der Anti Public Combo List

Total Accounts aus der Schweiz oder Liechtenstein: 796’983 davon 663’558 einzigartige Emailadressen
Total Accounts aus der Schweiz:  782’212 davon 651’338 einzigartige Emailadressen
Total Passwörter im Klartext: 793’853
Total (noch) verschlüsselte Passwörter: 2’545 davon 183 bereits entschlüsselt
Durchschnittliche Passwortlänge: 8.08 Stellen

Die Anti Public Combo List enthält etwa 1315 Accounts des Bundes und mindestens 1768 Accounts von Kantonen.

Prozentual sind zwar „nur“ gerade 0,17 % der Liste Schweizer Benutzer – verglichen mit der Weltbevölkerung (Anteil Schweiz: 0,11 %) aber überdurchschnittlich viel. Nicht zu vergessen auch das generelle Interesse an der Schweiz (sehr hohes BIP = viel „Ertrag“ pro Account) das Schweizer Accounts überdurchschnittlich attraktiv macht.

Häufigste Passwörter

PasswortVorkommen ComboVorkommen SwissLeak.ch
1234560.34110.6561
1234567890.07740.1178
123450.06710.0811
123456780.06550.0932
12340.05830.0899
hallo0.02740.0336
passwort0.02620.0330
1111110.02620.0461
12345670.02550.0409
qwertz0.02390.0367

Abbildung: Prozentuale Verteilung der häufigsten Passwörter von Schweizer Accounts im Vergleich zur Datenbank von SwissLeak.ch

Die häufigsten Passwörter sind – nicht überraschend – ähnlich wie bereits im Artikel „Alles über Schweizer Passwörter“ beschrieben.

Hier muss man aber vielleicht auch einmal erwähnen, dass die interessanten Passwörter niemals unter den häufigsten zu finden sind…

Betroffenheit

Betroffen ist grundsätzlich jeder. In der Liste findet man vom grossen Finanzinstitut bis hin zur Pensionär eigentlich alles.
Unterschiedlich ist allerdings die Verteilung bzw. Betroffenheit pro Domain („das Ding nach dem @ in der Emailadresse…“).

DomainVorkommen ComboVorkommen SwissLeak.ch
bluewin.ch31.8127.85
gmx.ch22.4818.24
hispeed.ch3.783.34
sunrise.ch2.732.49
bluemail.ch2.702.13
freesurf.ch1.641.33

Abbildung: Prozentuale Verteilung der betroffenen Schweizer Accounts nach Domains im Vergleich zur Datenbank von SwissLeak.ch

Aus obiger Abbildung lassen sich eine Reihe von Schlussfolgerungen ziehen. Zum Einen liegt die Vermutung nahe, dass die „Anti Public Combo List“ echt ist. Die Verteilung der Domains ist zu ähnlich um von jemandem manuell zusammengebastelt worden zu sein.

Zum anderen zeigt sich aber auch, dass Benutzer mit Bluewin und GMX Emailadressen überdurchschnittlich oft in Datenleaks enthalten sind. Ein Grund ist sicher die hohe Verbreitung dieser Emailadressen in der Schweiz – vor allem unter Anwendern die sonst mit IT+EDV nicht viel am Hut haben.

Anti Public Combo List und SwissLeak.ch

Auf SwissLeak.ch haben wir Millarden von geleakten Daten durchsucht und die Schweizer Benutzer gefiltert und mit Metadaten angereichert. Dadurch sind viele der geleakten Benutzer aus der Anti Puplic Combo List bereits in SwissLeak vertreten (allerdings in etwas ausführlicher Form…).

Konkret findet man nur 44’563 oder 6.7%  neue Schweizer Benutzer in der Anti Public Combo List.

Vergleicht man aber die einzigartigen, neuen Passwörter so haben diese mit der Anti Public Combo List für Schweizer Benutzer um 72’415 Stück zugenommen. Oder anders ausgedrückt; Zu 27’852 bereits betroffenen Schweizer Benutzern sind neue Passwörter hinzugekommen.

Auswirkungen auf die Schweiz

Anders als bei einem herkömmlichen Leak müssen bei einer Combolist nicht mühsam die Daten extrahiert und Passwörter entschlüsselt werden – alles hat bereits jemand erledigt („Fastfood – Leak“…).

Automatisierte Angriffe

Eine solche „ready-to-use“ Liste zieht erheblich mehr Personen an, die diese Daten nutzen und ermöglicht eine wesentlich speditivere Verarbeitung.

Die Swisscom hat das – gemäss Ihrem Security Report 2017 (Seite 11) – am eigenen Leib erfahren als nur an einem Tag über 10’000 verdächtige (aber erfolgreiche…) Logins auf Emailkonten erfolgten (…10,000 suspicious yet successful logins on Bluewin e-mail servers). Bemerkt wurde das nur, da die Angreifer die Zugriffe lediglich mittels einer IP-Adresse ausführten(…from one single foreign IP address“).

Hand auf Herz – wer glaubt allen Ernstes, dass Personen mit etwas ernsteren Absichten in Zeiten des „Machine Learning“ nicht ein simples Skript schreiben können, welches solche Zugriffe zufällig aber kontinuierlich erhöht – mit unterschiedlichen IP-Adressen? Und wieso nur 10’000? Alleine in der Public Combo List sind über 250’000 Bluewin Adressen mit Passwort enthalten…

Solche automatisierten, massentaugliche Angriffe auf Schweizer Benutzer werden massiv zunehmen; Sofern sie mit etwas Kreativität durchgeführt werden, wird ein Grossteil der Benutzer diese Angriffe nicht einmal bemerken – bzw. erst wenn es zu spät ist.

Kombinierte Angriffe

Die Schweiz befindet sich mitten im digitalen Umbruch; Versicherungen, Steuern, Rechnungen – alles wird immer stärker digitalisiert und ein Austausch erfolgt vermehrt auf elektronischem Weg.

Zwar mögen entsprechende Schnittstellen „sicherer“ sein – die betreuenden Benutzer (z.B. Bank – und Versicherungsangestellte, Beamte…) sind es definitiv nicht und genauso von Leaks betroffen. Wer das nicht glaubt, kann einfach auf SwissLeak.ch einmal nach solchen Organisationen suchen.

Abgesehen von den sensiblen Daten die durch solche gelakten, „hochwertigen“ Benutzer zugänglich sind ergeben sich wesentlich mehr Gefahren, wenn man Sie auch noch als Köder nutzt. Bereits auf herkömmliche Phishing – Emails fallen immer wieder Benutzer herein – wie hoch wird die Erfolgsquote sein, wenn ein falsches Email vom richtigen Ansprechpartner kommt?

Sensible Quellen

Was man gerne vergisst – alleine in SwissLeak stammen fast 100’000 Schweizer Benutzer aus sensiblen Quellen – viele auch mit der Emailadresse des Arbeitgebers. Dementsprechend wird für diese Benutzer simple Erpressung das effizienteste Mittel sein – im Sinne von „Ich weiss, wo du dich letzten Sommer herumgetrieben hast…“.

Im Gegensatz zu Ransomware ist das Druckmittel nicht das Sperren von Daten sondern das Blossstellen des persönlichen Images – wahrscheinlich für viele wesentlich wichtiger als reine Daten.

Umdenken

Gerade in letzter Zeit liest man viel über „Sicherheitskonzepte“ oder wie sich gewisse Organisation vor Hackerangriffen schützen möchten.

Bei grösseren Organisationen und Staatsbetrieben werden Unsummen in Sicherheitsprodukte investiert, die man nicht aus Wissen und Erfahrung sondern aus Angst kauft. Angst vor Angriffen, Angst vor Unsicherheit – aber vor allem aus Angst vor Verantwortung.  Es könnte ja der Vorwurf laut werden – man habe nicht alles erdenkliche getan…

Auf der anderen Seite die typischen KMUs. Die bereits in anderen Artikeln angesprochene „Mich triffts schon nicht“ – Haltung führt dazu, dass – wenn Sicherheitsprodukte überhaupt vorhanden sind, diese als reine Alibiprodukte fungieren. Eine spezifische und individuelle Anpassung fehlt meistens.

Diese beiden typischen Einstellungen werden lediglich durch kurze, mediale Aufschreie unterbrochen (z.B. „WannaCry“, Dropbox Datenleak). Einzelne Punkte werden daraufhin vielleicht verbessert – meistens jedoch wieder durch das Prinzip „Hoffnung“ ersetzt.

Den effizientesten Sicherheitsfaktor vergisst man dabei oft. Ein aufgeklärter, selbständig denkender und kritisch hinterfragenden Benutzer ist mehr wert als jedes noch so ausgeklügelte Sicherheitskonzept oder Software. Selbstverständlich setzt das ein Minimum an Interesse des Benutzers voraus – doch gerade dass scheint immer mehr verloren zu gehen.

Man möchte „neue Technologien“ zwar nutzen, interessiert sich aber überhaupt nicht dafür wie diese funktionieren.

Es braucht ein Umdenken; Weniger künstliche und mehr „echte Intelligenz“ würde Datenleaks nicht verhindern – zumindest aber die Auswirkungen und Risiken drastisch reduzieren.

Hacking Switzerland: Dataleaks

- - Allgemein, IT

Die Schweizer nutzen gerne und oft Webservices wie Dropbox, Linkedin, Badoo, Facebook und ähnliches. Gerade in dieser Hinsicht werden aber immer mehr und immer grössere Leaks bekannt – d.h. das Abgreifen von sensiblen Benutzerdaten im grossen Stil. Doch wie stark sind Schweizer Behörden,Spitäler, Schulen und Unternehmen von diesen Leaks betroffen?

Um was geht es?

Im November 2016 berichteten diverse Schweizer Medien darüber, dass die Dropbox-Accounts von Schweizer Politikern gehackt wurden (z.B. Tagesanzeiger, Blick).

Die Reaktionen darauf waren (politisch) selbstverständlich; Dementieren, Entschärfen, Vergessen…

In Bezug auf die Schweiz interessieren aber die Politiker nicht einmal besonders; Viel interessanter ist der mittlerweile „recht umfangreiche“ Staatsapparat mit all seinen Behörden, Kommissionen und Delegationen aber auch bundesnahe Unternehmen, Spitäler und Kliniken oder Bildungseinrichtungen.

Und genau das ist die Grundidee von SwissLeak.ch.

SwissLeak

SwissLeak listet Behörden, Schulen, Kliniken und bundesnahe Unternehmen der Schweiz, deren Benutzer von einem Datenleak betroffen sind.

Was wäre, wenn man die grösseren Leaks der letzten Zeit gezielt nach Mitglieder von Schweizer Behörden, Schulen,Kliniken und Unternehmen absucht? Sie geografisch darstellt? Ihre Passwörter – wo möglich – entschlüsselt?

Intro zu Datenleaks

Damit man das volle Ausmass der Daten in den richtigen Zusammenhang stellt, braucht es ein kurzes Intro zu den bereits erwähnten Leaks. Wenn Sie bereits wissen um was es geht – hier gehts direkt zu SwissLeak im Detail

Irrtum 1: Datenleaks enthalten Passwörter im Klartext

Oftmals wird irrtümlich angenommen, dass ein Datenbank-Leak bedeutet, dass sämtliche Passwörter der Benutzer bekannt sind. Das ist nicht korrekt.

Passwörter werden in Datenbanken in der Regel nicht als Klartext sondern als sogenannte Hashes gespeichert (anstelle von „MeinPasswort“ also z.B. „1de0d5e5c412890d4071af8ecd8c8ad7“). In den meisten Fällen wird dieser Hash zusätzlich mit einem Salt versehen, sodass es sehr schwierig ist, das Passwort aus dem Hash zu entschlüsseln.

Bei einigen der grössten Leaks der letzten Zeit wurde aber genau das nicht gemacht, d.h. die Passwörter können mit relativ wenig Aufwand als Klartext aus dem Hash berechnet werden.

Gehashtes Passwort aus dem Dropbox-Leak

Gehashtes Passwort eines Mitarbeiters des Bundesamtes für Gesundheit aus dem Dropbox-Leak

Irrtum 2: Datenleaks enthalten nur Passwörter und Emails

Wird ein Onlineservice gehackt, denkt man in erster Linie nur an die Passwörter. Oftmals vergessen werden dabei, dass auch andere sensible Angaben in diesen Leaks enthalten sind. Beliebte Angaben sind:

  • Passworthinweise
  • Geburtsdatum
  • Gewicht
  • Alter
  • „Vorlieben“

Bei speziellen Leaks (z.B. „Partnerbörsen“) kann auch bereits nur das Vorhandensein des entsprechenden Benutzers kompromittierend wirken.

Berndeutscher Passworthinweis aus Leak

Der Berndeutsche Passworthinweis spricht Bände…

Irrtum 3: Benutzer verwenden immer andere Passwörter

Das Verhalten der gehackten Onlineservices ist immer ähnlich; Der Benutzer wird relativ unauffällig zum Ändern seines Passwortes aufgefordert. In den wenigsten Fällen wird erwähnt, wieso das notwenig ist (kein Service gibt gerne zu, dass Benutzerdaten abhanden gekommen sind…).

Dementsprechend wird das Passwort durch den Benutzer oftmals nur angeglichen (z.B. aus Passwort1234 wird Passwort12345).

Gleichzeitig verwenden praktisch alle Benutzer dasselbe Passwort bei den unterschiedlichsten Services – das Motto „Seen one, seen ‚em all“ bekommt hier eine neue Bedeutung.

Irrtum 4: Benutzer ändern nach Bekanntwerden eines Leaks sämtliche Passwörter

Auch wenn Medien und IT-Verantwortliche nach Bekanntwerden eines Leaks darauf hinweisen, dass sämtliche (gleichen) Passwörter geändert werden sollten, wird das nur in den wenigsten Fällen auch wirklich gemacht. In der Datenbank von SwissLeak.ch gibt es genügend Beispiele von Benutzern, die von mehreren Leaks betroffen sind, aber immer wieder dasselbe Passwort verwenden.

Wenn wir ehrlich sind, ist es für uns mittlerweile auch fast nicht mehr möglich,  uns an alle Services zu erinnern wo wir diese Passwörter verwendet haben – geschweige denn, sämtliche Passwörter in annehmbarer Zeit zu ändern…

Irrtum 5: Passworthinweise sind sicher

Passworthinweise werden grundsätzlich nicht verschlüsselt gespeichert. Je nach Service können Sie bei einem fehlgeschlagenen Anmeldeversuch auch ganz einfach angezeigt werden.

Wer nun also sein Passwort als Passworthinweis nutzt (!!) muss damit rechnen, dass sich früher oder später jemand einloggt, der nicht dazu berechtigt ist. Etwa 5 – 15 % begehen diesen Fehler…

Selbstverständlich sollte der Hinweis in einem Passworthinweis auch immer nur subjektiv betrachtet ein Hinweis sein.  Einige Beispiel von für schlechte Passworthinweise („Echte Daten“):

  • OS aus dem Jahr 2000
  • Min name in Bärndütsch
  • Postleitzahl Wabern

Irrtum 6: Je länger das Passwort, umso sicherer

Die Passwortlänge spielt nur bei der Entschlüsselung mittels Brute-Force eine Rolle. Da aber praktisch kein einziger Benutzer ein zufällig generiertes Passwort aus Ziffern, Buchstaben und Sonderzeichen (z.B: d73C#H*0+) verwendet, sondern immer ein Wort als Grundlage nutzt (z.B. punkt1982),  sind Wörtebuch-Attacken wesentlich effizienter.

Verwendet ein Benutzer als Passwort also etwa „gartenlaube2016“ in der festen Überzeugung, damit ein sicheres Passwort (15 Stellen…) gewählt zu haben, liegt er leider falsch.

Die Passwortlänge spielt in solchen Fällen nur eine nebensächliche Rolle. Am sichersten ist also nicht ein möglichst langes, sondern ein möglichst einzigartiges Passwort zu nutzen (die „Einzigartigkeit“ steigt mit der Länge des Passwortes).

SwissLeak im Detail

Klarstellung

Zuerst noch einmal zur Klarstellung; SwissLeak listet keine „gehackten Organisationen“ sondern Organisationen, deren Benutzer von Datenleaks betroffen sind.

Beispiel:

  1. Max Müller, Mitarbeiter des BAKOM, hat sich mit seiner Emailadresse [email protected] bei einem Onlineservice angemeldet.
  2. Dieser Onlineservice wird gehackt bzw. ein Leak dieses Onlineservices wird publik.
  3. SwissLeak besorgt sich das Rohmaterial, analysiert dieses und entschlüsselt vorhandene Passwörter.
  4. Max Müller wird anonymisiert unter der Organisation BAKOM auf SwissLeak aufgeführt.

Bezug zur Organisation

Die gelistete Organisation hat also theoretisch kein direktes Datenleck. Praktisch stellen sich aber einige Fragen.

  • Wieso nutzen so viele Mitarbeiter Ihre „geschäftliche Emailadresse“ für Onlineservices?
  • Wieso wird die „geschäftliche Emailadresse“ für Services genutzt, deren Bezug ganz klar nichts mit dem geschäftlichen Tätigkeitsfeld zu tun haben?
  • Wenn schon dieselbe Emailadresse wie „geschäftlich“ verwendet wird; Wird auch dasselbe Passwort genutzt?
  • Wenn Geschäftliches und Privates bereits so vermischt wird – was findet sich in den „Privaten Bereichen“ ?
  • Wozu passen die Passwörter noch?

Da gerade Staatsangestellte Ihre Stelle verhältnismässig selten wechseln oder aber nur „in eine andere Organisationseinheit wechseln“ stellt sich folgende, zusätzliche Frage:

  • Wieviele Mitarbeiter nehmen Ihre Passwörter beim Wechsel in eine „andere Organisationseinheit“ mit?

Entschlüsselte Passwörter

Sämtliche auf SwissLeak.ch aufgeführten Datensätze werden – wo möglich – entschlüsselt. Das hat mehrere Gründe:

Bei Leaks wird generell nur von „entschlüsselbaren Hashes“ oder „unsicherer Verschlüsselung“ gesprochen – ein Entschlüsseln scheint also nur theoretisch möglich.

Diese theoretische Wahrscheinlichkeit führt aber zu einem komplett falschen Bild und ermöglicht die üblichen Ausreden:

  • Mein Passwort interessiert sowieso keinen…
  • Wer macht sich denn die Mühe, mein Passwort zu entschlüsseln…
  • Ich habe ein sicheres Passwort…(vgl. Irrtum 6)

Um diese Ausreden gleich von Beginn zu verhindern, sind sämtliche Passwörter, die auf SwissLeak.ch als entschlüsselt markiert sind effektiv entschlüsselte Passwörter.

Das Entschlüsseln bringt aber noch weitere „Vorteile“:

  • Generierung einer spezifischen Passwortliste für die Schweiz
  • Querverbindungen nutzen, um komplexe Verschlüsselungen effizienter zu entschlüsseln

Fehlende Hashes

Teilweise kann es vorkommen, dass ein Benutzer zwar in einem Leak enthalten ist, beispielsweise aber der Hashwert fehlt. Das kann folgende Gründe haben:

  • Technischer Fehler: der Hash ging während dem „Dump“ bzw. beim Import in SwissLeak verloren
  • Manuelles Entfernen: der Hash wurde manuell von jemandem entfernt („Eigenbedarf“…)

Die Möglichkeit, dass der Hashwert durch den betroffenen Onlineservice selbst entfernt wurde ist sehr gering, da kein Hash auch kein Passwort bedeutet – und damit grundsätzlich kein Grund für das weitere Aufbewahren des Accounts besteht.

Auch das „Anmelden“ aber nicht bestätigen eines Onlineaccounts ist kein logischer Grund für einen leeren Hashwert; den entweder hat der Benutzer das Passwort bereits bei der Registrierung angeben oder aber das Passwort wird automatisch generiert; In beiden Fällen wäre ein Hash vorhanden.

Präzision und Plausabilität

Gerade weil sich SwissLeak nur mit „Swiss Data“ beschäftigt, ist die Präzision im Gegensatz zu anderen Services höher. Es kann also durchaus vorkommen, dass SwissLeak mehr betroffene Accounts als andere Services anzeigen. Die Hauptgründe dafür:

  • „Alte Domains“ werden soweit möglich berücksichtigt (d.h. wenn die Organisation sich etwa umbenannt hat / neue Domain)
  • Evtl. Schreibfehler werden korrigiert (z.B. [email protected]c)
  • Bei inkonsistenten Quellen / Leaks werden die Daten rekonstruiert
  • Betroffene Benutzer werden nur auf die Schweiz eingeschränkt (Beispiel: Credit Suisse Schweiz enthält nur Schweizer Benutzer)
  • Als „Spassbenutzer“ erkenntliche Accounts werden gelöscht (z.B. [email protected])

Da SwissLeak nicht nur die Emailadressen sondern auch die Hashwerte, Passwörter und wo möglich persönlichen Details abgleicht, kann es selbstverständlich auch zu Duplikaten führen; diese werden aber wo immer möglich verhindert.

„Falsche Leaks“

Teilweise werden Leaks veröffentlicht, die gar keine sind. Oder anders ausgedrückt; jemand „bastelt“ sich aus vorhandenen oder erfundenen Datensätzen einen gefälschten Leak um Publicity zu bekommen. Für die entsprechenden Benutzer bzw. Organisation besteht aus diesem Leak also eigentlich gar keine Bedrohung.

Auch hier kann es in Einzelfällen vorkommen, dass „Falsche Leaks“ für SwissLeak verwendet werden. Wiederum kommt in diesem Fall aber die verhältnismässig kleine Datenmenge von SwissLeak der Präzision zugute, denn:

  • Die Chancen, dass für erfundene Leaks .ch – Adressen bzw.  Schweizer Organisationen genutzt werden sind sehr gering
  • Das Format (z.B. [email protected]) muss stimmen, ansonsten fällt das beim Upload auf
  • Falls die Emailadresse in einem erfundenen Leak tatsächlich existiert, ist die Chance hoch, dass der entsprechende Benutzer trotzdem betroffen ist (kopieren ist einfacher als erfinden…)

Insofern ist Aussagekraft von SwissLeak durch „falsche Leaks“ nicht beeinträchtigt.

Zweifaktor Authentifizierung

Die Zweifaktor Authentifizierung ist grundsätzlich eine gute Sache; durch die Identifikation mit etwas das man besitzt (z.B. Smartphone, Smartcard…) und etwas das man weiss (Passwort), scheint man relativ gut geschützt.

Anders sieht die Sache aus, wenn man zwar noch etwas besitzt, das Wissen aber mittlerweile auch anderen bekannt ist. Aus einer Zweifaktor Authentifizierung wird eine Einfaktor Authentifizierung.

Dazu kommen folgen Punkte:

  • Der zweite Faktor wird zu einem Grossteil über das Medium SMS abgewickelt. Dieses gilt seit einiger Zeit als unsicher.
  • Eine Rücksetzung des zweiten Faktors über persönliche Details (z.B. Geburtsdatum, Mail an Private Email…) ist oftmals möglich.

Vor allem in Bezug auf die Masse der geleakten Accounts ist eine Zweifaktor Authentifzierung damit allenfalls eine Hürde – ganz sicher aber keine Unüberwindbare.

Noch mehr Daten?

Die Schweiz verfügt über ein Milizsystem – das heisst öffentliche Aufgaben werden von Privatpersonen nebenberuflich ausgeübt. Dazu zählen etwa Mitgliedschaften in Geschäftsprüfungs-, Sicherheits- und Beratungskommissionen, Verbänden oder diversen Räten.

SwissLeak listet aber „nur“ die Betroffene, die Ihre „geschäftliche Emailadresse“ für Onlineservices verwenden.

Oder anders ausgedrückt; das Milizsystem wird bei SwissLeak vernachlässigt.

Nun ist es aber relativ einfach, interessante Personen und Ihre privaten Emailadressen auf den Webseiten der Organisationen zu finden und deren Daten dann mit den Leaks abzugleichen. Das dies auch praktisch funktioniert, zeigt die Kategorie Politik auf SwissLeak.ch…

Gerade im privaten Bereich werden diese Leaks häufiger auftreten und die Sicherheit (z.B. keine Zweifaktor Authentifizierung) wird wesentlich tiefer ausfallen.

Datenschutz

Dass geleakte Accounts vom Datenschutz her problematisch sind, versteht sich von selbst. Insbesondere die Frage nach dem Besitzer bzw. Inhaber eines Accounts scheint problematisch.

Erstellt beispielsweise der Mitarbeiter Max Müller einen Dropbox – Account mit seiner Firmen Emailadresse, stellt sich sofort die Frage wer denn nun der Besitzer dieses Dropbox – Accounts ist; Max Müller oder die Firma?

Was bei einem Dropbox – Account vielleicht noch unproblematisch scheint (da relativ unverfänglich), wir wesentlich anspruchsvoller, wenn sich Max Müller z.B. bei Ashley Madison oder einem ähnlichen Netzwerk angemeldet hat. Darf der Arbeitgeber (=Firma) in diesem Fall die entsprechende Quelle erfahren? Oder greift hier Art. 9b des Schweizer Datenschutzgesetzes (Einschränkung Auskunftspflicht aufgrund Interessen Dritter) ?

Um diese Diskussion gar nicht erst aufkommen zu lassen und weil in der Vergangenheit gewisse Schlaumeier das Gefühl hatten, gemäss EDÖB ein „kostenloses Auskunftsbegehren“ zu stellen , wird sie bei SwissLeak  von Beginn weg technisch verunmöglicht. SwissLeak speichert sowohl Email und entschlüsseltes Passwort nicht im Klartext sondern nur als sogenannte Fingerprints mit den jeweiligen Metainformationen.

Die „Rohdaten“ bleiben aber selbstverständlich erhalten und könnten auch erneut durchsucht werden…

Tendenz

Datenleaks werden in Zukunft vermehrt auftreten, gleichzeitig wird bei sämtlichen Organisationen eine Generation nachrücken, die mit der Nutzung von Onlineservices aufgewachsen ist.

Die Technik entwickelt sich weiter; Leistungsfähigere Geräte werden es ermöglichen, längere und komplexere Passwörter zu entschlüsseln.

Für den Administrator einer Organisation bieten sich nur relativ wenige Möglichkeiten, die Gefahr von Datenleaks zu vermindern; denn Benutzer die sich mit Organisationsadressen an externen, leakgefährdeten Onlineservices anmelden entziehen sich praktisch vollständig seiner Kontrolle.

Ohne ein (erzwungenes) Umstellen des Benutzerverhalten und innovative, technische Authentifizierungsmechanismen, die vielleicht sogar ohne Passwort auskommen, wird sich die Problematik also mittelfristig verschärfen.

Zukunft?

SwissLeak ist weder perfekt noch vollständig; Es zeigt aber den Trend der „Big Data Leaks“ und inwiefern die Schweiz davon betroffen ist zumindest im Ansatz auf.

Auch wenn einige in diesem Zusammenhang sicherlich gerne von „Einzelfällen“ sprechen würden – es geht nicht nur um einzelne Benutzer oder Accounts, sondern um die kreative Interpretation des „Grossen Ganzen“.

Was passiert etwa, wenn geleakte Daten mit bereits heute gängigen „Möglichkeiten“ kombiniert werden (E-Whoring, Ransomware, Phishing…)? Wenn Benutzer gezwungen werden, anstelle von Geld, Daten einer bestimmten Organisation zu liefern? Oder ganz einfach als „Köder“ für andere Ziele genutzt werden?

Organisationen, die mit sensiblen Informationen arbeiten und deren Benutzer in Leaks gefunden wurden, gibt es in der Schweiz zu Genüge.

Leider ist es aber utopisch, zu glauben, das „Darauf hinweisen“ oder „Bekannt machen“ von Leaks würde irgendetwas am Benutzerverhalten ändern.

Gerade in der Schweiz haben wir in diesen Belangen gerne einmal eine „lange Leitung“ und glauben, dass wir (schon) nicht davon betroffen sind.

Ob das historisch bedingt ist oder aufgrund unserer geografischen Lage; Fest steht, dass uns weder die Neutralität noch die Alpen vor Datenleaks und anderen digitalen Gefahren schützen…

Also – wie sicher ist die Schweiz?

Fehler: Kein zulässiger Kurzname für eine Datei

- - Allgemein, IT

Bei der Installation von Kaspersky Small Office Security 4 tritt unter Umständen folgendes Problem auf:

Kein zulaessiger Kurzname Kasperksy

Die Meldung „Fehler 1325. *** ist kein zulässiger Kurzname für eine Datei“ ist natürlich nicht gerade hilfreich.

Diverse Anpassungen an der Registry (z.B. Force Windows to use short filenames) bringen nicht den gewünschten Erfolg.

Im spezifischen Fall stellte sich heraus, dass der Preloader (Tool das die Installationdateien vom Kasperksy-Installationsserver „nachlädt“) nicht oder nur teilweise mit Roaming – Profilen zurechtkommt.

Abhilfe schafft in diesem Fall die Installation ohne Preloader.

Doch woher nehmen und nicht stehlen?

Der volle Installer ist dermassen gut „versteckt“, dass man ihn auch dann nicht findet, wenn man eigentlich weiss wo man suchen muss…

Kaspersky Small Office Security 4 Full Install

Für all diejenigen die sich die Suche sparen möchten – hier der direkte Link.

From Russia with Love

- - Allgemein, IT, Web

Ginge es nach den Mitteilungen in unseren SPAM-Ordnern, bekäme man nicht nur täglich unglaubliche Erbschaften sondern auch noch gleich die grosse Liebe frei Haus. Dass diese nicht immer ganz so einfach aufgibt und manchmal auch zur Brechstange greift zeigt folgender Artikel.

Teil 1: Liebe auf den ersten Blick

Alles Beginnt mit einem Mail das vielen bekannt vorkommen dürfte. Solche Mails erhalten wir täglich –  sehen sie als offensichtlichen SPAM zum Glück aber praktisch nie.

Russia with Love

Diese SPAM-Nachricht ist aber etwas anders; Zum einen erfolgt die Personalisierung der Nachricht nicht nur im Mail selbst (Hello…) sondern bereits in der Absenderadresse (…@bezeqint.net).

Welchen Vorteil sich der Spammer (= Evgeniya ;)) wohl davon erhofft?

Wirft man dann einen Blick in den E-Mailheader wird schnell klar, dass diese SPAM anscheinen tatsächlich über den Mailserver von Bezeqint.net (israelische Telekommunikationsgesellschaft) gesendet wurde. Der SPF-Fehler / Softfail hingegen zeigt, dass der Empfängerserver (in diesem Fall Google Apps) festgestellt hat, dass die Mailadresse beim Empfänger gar nicht existiert.

Dies hat folgende Punkte  zur Folge:

  • Diese E-Mail wird als SPAM klassifiziert
  • Die Absenderdomain hat keine Konsequenzen zu befürchten (Blacklist…)

Das System funktioniert in diesem Fall fast perfekt;

Teil 2: Mit der Brechstange

Nachdem man Evgeniya in Teil 1 nicht weiter beachtet hat, geht man davon aus, dass sie sich anderweitig umgesehen hat.

Leider scheint sie aber von hartnäckiger Natur zu sein und versucht es nun anstelle von Blumen mit der Brechstange. Diverse Mitteilungen „Delivery Status Notification Failure“ (=Mail gleich unzustellbar) im Posteingang zeugen von ihrem hartnäckigen Werben…

Mail Delivery Failed

Der Inhalt derselben ist identisch mit der ursprünglichen Nachricht – mit zwei Unterschieden:

  • Absender ist neu eine gefälschte Mailadresse der Domain aus Teil 1
  • Empfänger ist neu (=Teil der Mailadresse vor dem @)

Spoofing

Was hat Evgeniya versucht? Nun – nichts anderes als im Namen der ersten Mail weitere „Kunden“ anzulocken. Die Mailadresse, die dabei als Absender genutzt wird ([email protected]) exisitiert nicht und wird gefälscht (sog. Spoofing).

Es ist davon auszugehen, dass auch beim nächsten Empfänger als Absender wieder eine gefälschte Phantasieadresse des Vorgänger verwendet wird.

Das entsprechende Schema dazu dürfte bekannt vorkommen; ein typisches Schneeballsystem.

Spoofing

Spoofing alias Evgeniyas Way of Love…

Durch die Kombination von Spoofing und Spamming wird zwar die „Erfolgsquote“ von Evgeniya drastisch sinken, andererseits gibt es dafür keinen konkreten SPAM-Mailserver bzw. SPAM-Domain die man sperren könnte. Bei jedem Versand sind andere Domains und Mailserver betroffen…raffiniert, nicht?

Kollateralschäden

Problematisch an dieser Art von Spam + Spoof ist dabei nicht nur die verschmähte Liebe sondern v.a. dass durch das Spoofing leicht an sich unschuldige Dritte als Spammer gekennzeichnet werden können.

Wenn bei einer Domain keine korrekten SPF – Einträge gesetzt sind (d.h. der Empfänger kann nicht überprüfen ob die ensprechenden Mails auch vom authorisierten Absendern kommen) oder dies anderweitig überprüft wird (z.B. standardmässig mit Google Apps) wird der Absender bei ausreichender Anzahl an Beschwerden als Spammer markiert…

 

Um solche Fälle zu vermeiden empfiehlt sich dringend korrekte SPF-Records zu setzen. Einen entsprechenden Generator dazu gibt es etwa hier oder hier. Der so erstellte Eintrag muss anschliessend als TXT in den DNS-Einträgen der Domain hinterlegt werden.

Zwar braucht das etwas Zeit, langfristig macht man Evgeniya damit aber einen Strich durch die Rechnung…

SPAM – Back to the roots

- - Allgemein, IT, Web

Wir bekommen täglich Dutzende von SPAM-Mails. Dass diese Mails nicht immer „harmlos“ sind und wie weit man sie zurückverfolgen kann – in diesem Artikel.

Das Mail

Ricardo SPAMAm 9. September 2014 wurde im Namen von Ricardo.ch nebenstehendes Mail versendet. Auf den ersten Blick brilliert es nicht unbedingt durch übermässig viel Inhalt – interessant ist es trotzdem.

„Bestellung“, „Ricardo“? Passt irgendwie nicht  zusammen…

RTF – Datei im Anhang? Höchst suspekt…

Nichtsdestotrotz schlägt weder Google noch Kaspersky Alarm – Grund genug dem Ganzen einmal detailliert auf die Spur zu gehen.

 

Der Absender

Eigenschaften  SPAM MailWas bereits „gefühlsmässig“ klar ist bestätigt sich nach einer kurzen Analyse. Ricardo hat mit diesem E-Mail überhaupt nichts zu tun. Im Mailheader („Kopfbereich…“) findet man bereits den ersten Hinweis – abgesendet wurde es in Spanien mithilfe von Outlook Express.

Ursprung SPAM MailWenn man noch tiefer gräbt findet man sogar den ungefähren Sendestandort – Madrid. Selbstverständlich wird man den Absender nicht (mehr) am angegebenen Ort finden – er war aber physisch oder digital zumindest einmal an diesem Ort.

 

 

Das Ziel

Spätestens an diesem Punkt stellt sich die Frage, was der Absender mit diesem Mail überhaupt bezweckt. Da wir die „Aussenstelle Spanien“ von Ricardo bereits ausgeschlossen haben, bleiben nicht viele Alternativen. Phishing kann ebenfalls ausgeschlossen werden – es würde reichen einen Link anstelle eines angehängten Dokumentes zu senden. All das führt zum Schluss, dass das angehängte RTF – Dokument alles andere als harmlos ist.

Der Köder

Virtuelle Maschine als KöderUm der Spur weiter zu folgen bleibt in diesem Fall nichts anderes übrig, als das Dokument zu öffnen. Selbstverständlich nicht in einem produktiven System sondern in einer abgesicherten Umgebung. Als Köder dient ein ungepatchtes Windows XP ohne jeglichen Virenschutz aber mit aktivierter Windows –  Firewall. Wir wollen es den „Besuchern aus Spanien“ ja nicht zu leicht machen 😉 …

Der Anhang im Detail

Mail Ihre BestellungWer jetzt eine ausgeklügelte Masche in fehlerfreiem Deutsch erwartet, wird leider enttäuscht. Das Öffnen des RTF-Dokumentes im Anhang bewirkt nämlich noch nicht viel.

Erst nachdem man einen Doppeklick auf die vermeintliche Quittung durchgeführt hat, wirds interessant.

Anhang entpacktDas File „entpackt“ sich direkt in die temporären Dateien – an sich noch nichts aussergewöhnliches. Allerdings injiziert es sich zeitgleich in Systemprozesse…

 

Eine etwas tiefere Analyse zeigt dann – es handelt sich um eine Variante des Schadprogrammes Zbot.Trojanbesser bekannt als Zeus. Primäres Ziel ist das Abgreifen von sensiblen Zugangsdaten wie etwa E-Banking.

Back to the roots?

Bis zu diesem Punkt zeigen sich keine verdächtigen Netzwerkverbindungen. Wieso auch? Es gibt ja noch nichts von Interesse.

NetzwerkverbindungenSobald aber ein potentielles E-Banking genutzt wird (im Beispiel: UBS.com) kommt Bewegung in die Sache. Die recht sonderbaren AAAA Records korrespondieren dabei immer mit einem im System erstellten Unterverzeichnis. Die wohl interessanteste Verbindung kommt aber erst gegen Schluss:
8762 426.518167000 192.168.1.1 192.168.1.80 DNS 260 Standard query response 0xaa68 CNAME p-awse-211774586.us-east-1.elb.amazonaws.com A 50.17.221.235 A 50.17.201.27 A 50.17.183.39 A 54.225.68.181 A 23.21.241.69 A 54.225.231.249 A 50.16.245.116 A 50.16.191.165

Da die UBS ihre E-Bankingplattform garantiert nicht auf Servern von Amazon hostet (!!!) ) dürfte unter diesen Adressen bereits die C&C (Command-and-Control-Engine)  der Trojaners sein. Die entsprechenden DNS – Einträge verweisen zumindest allesamt auf die Amazon Web Services…

Wieso gerade die Cloud von Amazon bei den „Bad Guys“ so beliebt ist liegt auf der Hand; Günstig, Schnell und praktisch anonym. Fliegt das Ganze auf wird einfach der Account gewechselt und das Spiel beginnt von Neuem.

Toter Winkel

Dieser Versuch an sensible Daten von Schweizer Kunden zu kommen ist zwar von der Aufmachung her eher schlampig gemacht – nichts desto trotz werden ausreichend Schweizer davon betroffen sein, dass sich auch ein solcher „Low Cost“ Angriff lohnt.

Gefährlich scheint hier insbesondere der „tote Winkel“, d.h. der Zeitraum zwischen dem Versenden und Erkennen des Schadprogrammes.  Das infizierte RTF-Dokument ging problemlos durch Googles „Cloudfilter“ und passierte auch eine aktuelle Version von Kaspersky. Erst nach ca. 11 Stunden warf Kaspersky eine Warnung aus.

Es lohnt sich also durchaus nicht alles in die Hände von Sicherheitssoftware oder der Cloud zu legen sondern ab und zu auch etwas gesunden Menschenverstand zu gebrauchen- oder?

 

PS: Das Entfernen des Trojaners ist übrigens relativ leicht – ZBot Killer von Kaspersky erledigt das schnell und schmerzlos 😉

Cloud um jeden Preis?

- - Allgemein, IT, Web

Egal in welcher Branche man sich heute umhört – der Begriff „Cloud“ und „Daten auslagern“ ist allgegenwärtig. Es scheint die Lösung für alle Probleme zu sein – ohne Rücksicht auf Konsequenzen. Aber ist das wirklich so?

Die Nutzung einer Cloud ist selbstverständlich geworden. Egal ob Google, Dropbox, Microsoft oder wie sie sonst noch heissen – fast jeder lagert bei einem dieser grossen Anbieter einen Teil seiner Daten.

Cloud um jeden Preis?Der Grund dafür? Nun – Daten in der Cloud zu lagern ist einfach ungemein praktisch. Weder muss man sich um ein Backup kümmern, noch müssen die Daten in irgendeiner Form mit sich geführt werden. Selbst unterwegs hat man vollen Zugriff auf wichtige Informationen und kann diese nach Belieben mit allen teilen.

Hinzu  kommen die verhältnismässig geringen Kosten die bei den grossen Cloudanbietern teilweise sogar ganz entfallen.

Doch gibt es dabei keinen Haken? Keine Hintergedanken?

Alles hat seinen Preis

Alles hat seinen Preis, auch Dinge, von denen man sich einbildet, man kriegt sie geschenkt.

Jeder weiss es, nicht immer ist man sich dessen aber bewusst. (Nur) Nichts ist gratis.
Selbstverständlich bezahlt man beispielsweise für OpenSource Produkte die man kostenlos herunterladen kann nicht mit Geld – dafür aber mit Zeit, die man braucht um sich damit vertraut zu machen.

Auch bei Demoversionen und Gratisproben bezahlen wir mit Zeit – die wir einsetzen um uns mit dem Produkt zu befassen.

Wo also liegt der Preis der Cloud?

In der Zeit? In den meisten Fällen nicht – den Cloudprodukte sind praktisch „idiotensicher“ aufgebaut. Ein paar Klicks dort, ein paar Klicks da – und komplexe Vorgänge sind  plötzlich auch für Neueinsteiger möglich.

Für viele alltägliche Probleme finden sich heute findige Cloudprovider die eine Lösung anbieten – was darunter leidet ist das Verständnis und die Möglichkeit sich selbst weiterzuentwickeln.

All dies führt zu einer starken Abhängigkeit vom jeweiligen Anbieter. Man mag argumentieren, dass gerade im IT-Bereich immer eine Abhängigkeit von Systemen oder Produkten vorhanden ist – doch in der Cloud ist diese wesentlich stärker, da die Daten nicht nur technisch sondern auch räumlich vom Benutzer abgetrennt werden.

Ein Beispiel? Bei einer Serverlösung im Büro wissen Sie, dass Ihre Daten in Griffweite liegen. Bei einer Cloudlösung hingegen wissen Sie – …nichts.
Ihre Daten könnten theoretisch überall auf der Welt verteilt liegen, das Dokument XY liegt in einem Rechenzentrum in den USA, Video Y liegt auf einem Server in Deutschland…

Kurzum – wenn Sie totale Abhängigkeit suchen, in der Cloud werden Sie fündig!

Verblendung

Die monetären Kosten eine Cloudlösung versperren uns die Sicht auf den wahren Preis.

Es beginnt bereits im kleinen.
Sätze wie „Sichern Sie sich jetzt 5 GB kostenlosen Speicherplatz“ oder „Lager Sie Ihre Daten jetzt sicher und kostenlos in der Cloud“ klingen gut und verleiten uns, dieses Angebot gleich zu nutzen – denn was kann schon passieren?

Das wir dabei nicht nur unser Benutzerverhalten sondern auch unsere persönlichen Daten offenlegen spielt kurzfristig keine Rolle – denn das Angebot  ist ja einfach „zu gut“…

Dasselbe gilt für jede andere virtuelle Dienstleistung; E-Mail, Dokumentenbearbeitung, Musik– alles bekommt man heute in der Cloud – günstiger oder kostenlos und überall verfügbar!

Das Problem dabei, ist nicht einmal die Suche nach dem „günstigsten“ (oder billigsten?) Anbieter, denn jeder hat das Recht für sich oder sein Unternehmen das günstigste Angebot zu wählen. Problematisch ist  ist die „Geiz-ist-geil“ Mentalität; Wir fahren 20 km weiter, weil die Tankstelle dort das Benzin 2 Rappen günstiger anbietet. Wir bestellen Elektronikprodukte online aus China weils 30.- Franken günstiger kommt. Wir lagern Daten in der Cloud weils günstiger oder sogar kostenlos ist. Kurz – wir ordnen sämtliche Vor- und Nachteile den monetären Kosten unter – ohne Rücksicht auf langfristige Folgen.

Wir lassen uns vom Faktor Preis (ver)blenden – auf Kosten unserer Individualität und Unabhängigkeit.

Von Vordenkern und Mitläufern

Wer eine Cloudlösung verwendet, spielt nach den Regeln seines Anbieters. Alle Prozesse und Abläufe wurden vordefiniert – es gibt wenig Platz für eigene Anpassungen. Selbstverständlich lassen sich gewisse Punkte individualisieren (Logo, Texte) – aber immer nur bis zu einem gewissen Punkt. Jemand hat für Sie vorgedacht – jetzt müssen Sie mitlaufen.

Grundsätzlich ist die Idee eines vordefinierten Systems, dass sofort produktiv eingesetzt werden kann zwar absolut in Ordnung. Problematisch ist nur die Tatsache, dass dieses System sagt, was man wie tun muss. Die Notwendigkeit sich selbst mit einem Problem zu befassen entfällt fast vollständig – damit aber auch der Lerneffekt und die Chance individuelle Abläufe zu optimieren.

Macht die Cloud dumm?

Cloud_DenkenDie Frage ist heikel, muss aber dennoch gestellt werden. Wo wären wir heute, wenn die Menschheit immer nur vordefinierten Prozessen gefolgt wäre? Nur „fixfertige“ Produkte eingekauft hätte? Grundlegende Fragen einfach übergangen worden wären, weil die Lösung ja bereits da ist?

Wohin kommen wir, wenn die Antwort auf jede Frage nur noch lautet „die Cloud“?

Wo sind meine persönlichen Finanzdaten? In der Cloud.
Wo ist mein Erspartes? In der Cloud.
Woher erfahre ich, welches Wetter morgen ist? Aus der Cloud.
Woher erfahre ich den schnellsten Weg nach Zürich? Aus der Cloud.

Selbstverständlich ist die Cloud nicht durch und durch schlecht. Im Gegenteil. In gesundem Masse kann sie tatsächlich Dinge vereinfachen und Kosten senken. Doch genau dieses Mass findet bei weitem nicht jeder – inbesondere da „die Cloud“ immer mehr zum Statussymbol avanciert und Personen ohne Cloudnutzung als altmodisch oder ängstlich abstempelt.

Die Cloud kann „dumm machen“ indem uns komplexe Vorgänge als absolut simpel verkauft werden. Wir reichen ein Problem ein und erhalten die Lösung – wo, wie und womit diese aber entstanden ist bleibt  unverständlich.  Die Cloud denkt für uns und löst unsere Probleme, nimmt uns dabei aber auch die Gelegenheit uns selbst weiterzuentwickeln und neue Lösungswege zu finden.

Macht die Cloud abhängig?

Auf jeden Fall. Je komplexer die Cloudlösung, desto komplizierter ist der Zugriff auf Rohdaten. Bei reinen Speicherlösungen wie Dropbox, Google Drive oder Backup in der Cloud ist der Zugriff und der Erhalt von Daten noch relativ problemlos möglich. Werden hingegen ganze Systeme wie Server oder virtuelle Arbeitsplätze in der Cloud hinterlegt ist ohne Zustimmung des Anbieters oftmals nur ein teilweiser Zugriff möglich. Eine schnelle Möglichkeit den Anbieter zu wechseln gibt es dann nicht mehr – selbst der Export von simplen Datensätzen kann zu einer Herkulesaufgabe werden.

Bei jeder Entscheidung für eine Erweiterung oder Ergänzung des  System muss der Anbieter miteinbezogen werden. Kann z.B. mit einer physischen Infrakstruktur, die im Büro steht recht einfach ein Benutzer oder Gerät hinzugefügt werden, fehlen Ihnen bei einer in der Cloud hinterlegten Lösung dazu meist die Berechtigungen. Sie müssen zuerst nachfragen, ob das möglich ist bzw. was das zusätzlich kostet – und sind damit wiederum abhängig vom Anbieter.

Ist die Cloud sicher?

Sicherheit wird immer wichtiger – insbesondere wenn theoretisch jeder auf die Clouddaten zugreifen kann. In diesem Punkt müssen Sie sich aber auf Ihren Cloudanbieter verlassen – Sie haben wenig Möglichkeiten die Sicherheit zu überprüfen geschweige denn zu erhöhen. Sie spielen nach den Regeln Ihres Cloudproviders und müssen sich danach richten.

Auch der gern und oft erwähnte Standortvorteil Schweiz ist kein Garant für Sicherheit. Zwar mag dadurch eine gewisse rechtliche Sicherheit gegeben sein – wie stark sich ausländische Geheimdienste aber um das Recht in der Schweiz bzw. in Europa scheren, dürfte aber hinlänglich bekannt sein. Da jede Cloudlösung auch immer einen Teil  Soft- oder Hardware „Made in USA“ beeinhaltet, lässt sich auch die Gefahr für mögliche Hintertürchen nicht vollständig ausschliessen. Kurz – es ist eine Illusion zu glauben, nur weil eine Lösung in Europa gehostet wird,  sei man gegen Datenschnüffelei vollständig geschützt.

Dass Sicherheit gerade im Web schnell zum Problem werden kann, zeigte beispielsweise die Sicherheitslücke „Heartbleed„. Zwar kann sie auch lokale Installationen betreffen, der Schwerpunkt wird aber bei Cloudlösungen liegen. Welche Schäden dadurch entstanden sind wird sich erst langfristig zeigen.

Weg ohne Wiederkehr?

Die Cloud ist nicht ohne Grund nach einer Wolke benannt. Zwar hat man jederzeit Zugriff auf seine Daten, auf welchem physischen Medium diese Daten dann schlussendlich aber lagern kann oft gar nicht oder nur schwer festgestellt werden – alles liegt im „Nebel der Cloud„.
Zugegeben – dies mag für Urlaubsbilder oder private Mails keine grosse Rolle spielen.  Sobald  aber sensible Informationen wie Passwörter, persönliche Informationen oder Geschäftsdaten gespeichert werden, ist die Frage in welchen Teilen der Welt diese Daten denn nun kursieren, sicherlich berechtigt.

Da der Weg der Daten bei Cloudlösungen nicht immer nachvollzogen werden kann, ist auch die Enfernung derselben immer mit einem gewissen Risiko behaftet. Anders ausgedrückt – was einmal in der Cloud liegt ist nur sehr schwer wieder zu entfernen.

Relativierung

Den Preis der Cloud lässt sich nicht monetär beziffern. Wir bezahlen nicht nur mit Geld sondern auch mit nur schwer messbaren Werten wie Abhängigkeit, Persönlichen Informationen und Verlust von Selbständigkeit. Gleichzeitig ist die Cloud aber auch nicht durch und durch schlecht – in vernünftigem Masse verwendet, kann sie durchaus nützlich sein und den Alltag erleichtern.

Wie so oft gibt es nicht nur schwarz und weiss (Cloud vs. Offline) sondern auch grau – z.B. in Form einer privaten Cloud oder einer ausgeglichenen Hybridlösung. Alternativen zur Cloud insbesondere im Geschäftsbereich gibt es zu Genüge – sofern man denn dem Cloud-Hype widerstehen kann…