Qbi's Weblog

Vor vielen Jahren legte ich mir bei Amazon eine Wunschliste an. Diese war zum einen als Merkzettel für mich gedacht und zum anderen konnten andere darauf zugreifen, um mir einen Wunsch zu erfüllen.

Dort landete unter anderem auch das Buch »Privacy on the line« von Whitfield Diffie und Susan Landau (Sie ist u.a. auch Tor-Unterstützerin.). Die Beschreibung klang sehr interessant:

In Privacy on the Line, Whitfield Diffie and Susan Landau strip away the hype surrounding the policy debate over privacy to examine the national security, law enforcement, commercial, and civil liberties issues. They discuss the social function of privacy, how it underlies a democratic society, and what happens when it is lost. This updated and expanded edition revises their original—and prescient—discussions of both policy and technology in light of recent controversies over NSA spying and other government threats to communications privacy.

Aber weder kaufte ich das Buch noch kaufte es mir eine andere Person. Aber jetzt habe ich einen Grund, es zu lesen. Das Buch kann über die Webseite kostenlos heruntergeladen werden. Auf https://mitpress.mit.edu/books/privacy-line findet ihr einen Download-Link, der euch direkt zur PDF-Version bringt. Das Buch ist weiterhin im Handel erhältlich und vermutlich werde ich es nach einigem Schmökern, dann doch endlich kaufen.

Starting in mid-december several Twitter users received a mail from the company telling them that they were target of state-sponsored hacking. I blogged in German about it. Today it is still unclear why Twitter sent out this mail.

Did you ask Twitter and received an answer? Do you have an explanation? Let’s meet at 32C3! Come at 20:00 to Hall 13. We’ll sit down and try to find some answers or develop strategies to find answers.

Heute morgen öffnete ich mein Postfach und fand eine E-Mail von Twitter vor. Darin stand, dass ich vermutlich Opfer eines staatlichen Hackerangriffs wurde.

Rein vorsorglich möchten wir Sie darüber informieren, dass Ihr Account zu einer kleinen Gruppe von Accounts gehört, die Ziel eines staatlich motivierten Hackerangriffs geworden sein könnte. Das bedeutet, dass die Hacker möglicherweise mit einer Regierung in Verbindung stehen. Wir vermuten, dass Daten und Informationen wie zum Beispiel Email-Adressen, IP-Adressen und Telefonnummern ausspioniert werden sollten.

Zunächst ging ich von Spam aus. Aber die ganze E-Mail war in gutem Deutsch verfasst. Auch die Header der Mail legten nahe, dass der Absender wirklich Twitter war.

Dann setzt Überraschung und Schock ein. Warum sollte ich Ziel eines Hackingangriffs sein und was kann ein Angreifer erkennen? Um die erste Teilfrage beantworten zu können, müsste man wissen, welcher Staat dahinter steckt. Die zweite ist schon leichter zu beantworten. Die E-Mail-Adresse, die ich für die Anmeldung bei Twitter und zur Kommunikation benutze, ist twitter@ (plus meine Domain natürlich). IP-Adressen sollten jeweils Tor-Exitknoten sein. Allerdings hatte die Twitter-App kürzlich Schluckauf. Daher sind dort vermutlich, ein paar Nicht-Tor-URLs zu finden. Ja, OPSEC ist eben schwer. Telefonnummer müsste keine zu finden sein. Denn bisher habe ich es geschafft, nie eine Nummer angeben zu müssen.

Ich werde das Mal im Auge behalten und ein Update bringen, wenn es etwas Neues gibt. Auf Twitter fand ich bisher 10 Accounts, die betroffen sind.

Update: Laut der Meldung bei der Frankfurter Rundschau bestätigte Twitter nochmals die Echtheit der E-Mail. Sie sagte, dass sie den Vorfall aktiv untersuchen und machten ansonsten keine weiteren Angaben dazu.

• TheVerge: Twitter users targeted by state-sponsored attackers
• Motherboard: Twitter Told a Bunch of Users They May Be Targets of a ‘State Sponsored Attack’
• Annalist: Post von Twitter: Du wirst staatlich gehackt
• Frankfurter Rundschau: #StateSponsoredActors: Twitter warnt vor “staatlich motiviertem Hackerangriff”
• Spiegel Online: E-Mail-Benachrichtigung: Twitter warnt Nutzer gezielt vor Hackerangriff
• Zeitleiste der Tweets bei Twitter

Gestern war ich auf dem IT-Sicherheitstag bei der IHK Gera eingeladen. Dort hielten verschiedene Fachleute Vorträge oder Workshop. Die einleitenden Vorträge kamen von einem Experten für Spionageabwehr beim Bundesamt für Verfassungsschutz und von mir.

Der Referent des Verfassungsschutzes erklärte, woher die Bedrohungen für die Wirtschaft kommen, wie die aussehen können und was die Firmen dagegen tun können.

Woher kommen die Bedrohungen? Anfangs wurden insbesondere Russland und China mit ihren diversen Einheiten genannt. Die im weiteren Vortrag folgenden Beispiele wurden immer von chinesischen Bürgern ausgeführt. Zum Abschluss stellte der Redner fest, dass der Verfassungsschutz ja einen 360°-Blick hat und es keine Bedrohungen von westlichen Diensten gibt. Hauptgrund war die Tatsache, dass es keine Anzeigen aus der Wirtschaft gibt. Bedeutet das, dass Spionageabwehr nur aus dem Warten auf Anzeigen besteht?

Ich griff den Ball dann in meinem Vortrag nochmal auf und verwies auf den Fall Enercon, wo die NSA spionierte. Daneben verwies ich auf den DGSE und andere Dienste, deren Ziel Wirtschaftsspionage ist und in deren Fokus auch westliche Unternehmen stehen.

Der Vortrag des BfV-Referenten hatte viele Filme zur Illustration dabei. Wenn es dabei um Wirtschaftsspionage ging, kamen die Beispiele aus der Schweiz oder Österreich. Ich fragte mich, warum es keine Beispiele deutscher Unternehmen gibt und was das BfV mit schweizer oder österreicher Unternehmen zu tun hat. Eigentlich soll die Behörde Informationen sammeln, die sich gegen die FDGO richten oder deutsche Unternehmen gefährden.

Den Abschluss des Vortrages bildete ein wenig Werbung für die Behörde. Den schließlich würde diese diskret mit Informationen umgehen und, was dem Vortragenden wichtig zu sein schien, sie unterliegt nicht dem Legalitätsprinzip. Das heißt, bei Kenntnis von Straftaten müssen diese nicht angezeigt werden.

Insgesamt hinterließ der Vortrag bei mir einen recht faden Beigeschmack und bestätigte mein Bild von den »Verfassungsschützern«.

Benjamin machte eine Fragerunde nach 10 Büchern, die ich und andere bemerkenswert fanden. Folgende Bücher kamen mir dabei in den Sinn:

1. Angerichtet von Herman Koch
   Das gehört zu den Büchern, die mich sehr beeindruckt haben. Darin geht es um zwei Ehepaare, die sich zum Essen treffen und recht dramatische Geschichten zu besprechen haben. Das Buch endet bei der Nachspeise und ich brauchte damals einen längeren Verdauungsspaziergang. Ihr findet im Blog noch eine Einschätzung des Buches.
2. Amon: Mein Großvater hätte mich erschossen von Jennifer Teege
   Die Autorin ist die Enkelin von Amon Göth. Viele kennen den KZ-Kommandanten vermutlich aus dem Film Schindlers Liste. Teege entdeckt durch Zufall ihre Verwandtschaft zu ihm und fällt in ein tiefes Loch. Das Buch handelt davon, wie sie damit umgeht und was sie auf ihrem Weg erlebt.
3. Fourier Analysis: An Introduction (Princeton Lectures in Analysis) von Elias M. Stein und Rami Shakarchi
   Wie der Titel verrät, geht es darin um Fourier-Analysis. Das Buch selbst ist gut und verständlich geschrieben. Ich war damals der Meinung, einen Fehler in einem Beweis gefunden zu haben. Ich wandte mich an die beiden Autoren, beides hochrangige Mathematik-Professoren und war beeindruckt, dass sie mir freundlich antworteten und den Fehler bestätigten.
4. This machine kills secrets von Andy Greenberg
   Das Buch erzählt in sehr detaillierter und gut recherchierter Weise die Geschichte verschiedener Whistleblower. Ich habe damals einen längeren Blogartikel zu dem Buch geschrieben. Leider habe ich das verborgt und ich weiß nicht mehr an wen. Seit längerem überlege ich, das nochmal zu kaufen.
5. Das kompetente Kind von Jesper Juul
   Als ich wusste, dass wir Eltern werden, machte ich das, was viele Neu-Eltern machen: Ratgeber lesen. Das Buch von Jesper Juul zeigte mir damals eine ganz andere Sicht auf die Kindererziehung auf und tat das in nachvollziehbarer Weise. Das hat sicher meinen Erziehungsstil sehr geprägt.
6. Cryptonomicon von Neal Stephenson
   Neal Stephensons Bücher sind alle empfehlenswert. Nach meiner Erinnerung war das Cryptonomicon eines der ersten, die ich las. Darin geht es um zwei Helden, die in zwei Zeiten leben. Wie auch in anderen Stephenson-Büchern spielen sich beide Handlungsstränge parallel ab. Erst gegen Ende wird klar, wie die zusammenfließen. Die Bücher von ihm sind immer bis zum Ende spannend.
7. Das Kollegenschwein von Hans L. Herder
   Vermutlich lässt sich das Buch am besten verstehen, wenn man, wie ich, mal in einer Bank gearbeitet hat. Denn darin geht es um die Intrigen innerhalb einer Bank. Ich fand das damals sehr witzig und spannend beschrieben.
8. Daemon und Darknet von Daniel Suarez
   Beide Bücher gehören zusammen und sollten nicht einzeln gelesen werden. Suarez beschreibt darin, wie die Welt nach dem Tod eines Spieleprogrammierers von einem Computerprogramm übernommen wird. Im zweiten Teil wird dann klar, dass der Daemon vielleicht die Rettung sein kann. Das Buch regt auch stark zum Nachdenken über die Welt an.
   
9. The art of computer programming von Donald E. Knuth
   Das Buch ist so ein Standardwerk aus der Informatik, dass noch nicht zu Ende geschrieben ist. Gleichzeitig finde ich das Buch zeitlos. Ich nutze das zumeist als Nachschlagewerk und finde darin immer wieder großartige Ideen.
10. Manufacturing Consent: The Political Economy of the Mass Media
    Chomsky analysiert Geschichten der Medien und zeigt, dass viele davon interessengeleitet sind. Ein aktuelleres Beispiel ist Weiße finden, Schwarze klauen. Chomsky fand Presseberichte über Wahlen. Je nach Land war die legitim oder undemokratisch, obwohl die Wahlen unter ähnlichen Bedingungen stattfanden. Das Buch ist ein Augenöffner, was Presseberichte betrifft und kann gut auf heutigen Pressemeldungen angewendet werden.

Leider durfte ich nur zehn Bücher erwähnen. Beim Nachdenken fielen mir noch einige ein, die mich beeindruckten. Wenn der nächste fragt, nehme ich vielleicht zehn andere.