Starting in mid-december several Twitter users received a mail from the company telling them that they were target of state-sponsored hacking. I blogged in German about it. Today it is still unclear why Twitter sent out this mail.

Did you ask Twitter and received an answer? Do you have an explanation? Let’s meet at 32C3! Come at 20:00 to Hall 13. We’ll sit down and try to find some answers or develop strategies to find answers.

Nachdem ich von der Mail von Twitter schrieb, gab es einige Reaktionen. Unter anderem behauptete Alvar Freude, dass wir nur gehackt wurden, weil wir Tor benutzen. Constanze Kurz und ich verfassten bei Netzpolitik.org eine Antwort darauf.

Alvar schreibt in seinem Originalbeitrag:

Besonders unsinnig ist die Benutzung von Tor in der Regel dann, wenn man gleichzeitig mit Realname auf Twitter oder Facebook oder sonstwas unterwegs ist.

Diese Kritik hörte ich auch in anderen Kanälen. Viele fanden es merkwürdig bis sinnlos einen Dienst zu nutzen, bei dem man sich letztlich mit seinem richtigen Namen anmeldet. Bei Netzpolitik war dazu unter anderem zu lesen:

Doch selbst wenn jemand dort einen Namen angegeben hat, woher soll Twitter oder Facebook wissen, dass es sich tatsächlich um diese Person handelt? Es gibt keine Pflicht, sich mittels Personalausweis oder anderen Dokumenten anzumelden, und dies soll auch weiterhin so bleiben. Gerade Menschen, die Wert auf eine freiheitliche Nutzung der Netze legen, geben nicht immer ihren Realnamen an.

Nun ist es bei mir aber so, dass ich bei Twitter durchaus unter meinem wirklichen Namen schreibe und trotzdem Tor nutze. Warum mache ich das?

Zwischen mir und Twitter, Facebook oder anderen Webseiten liegt auch der Provider. Dieser kann auch erkennen und mitschneiden, welche Seiten ich besuche. Ich bin der Meinung, dass ihn das auch nichts angeht.

Wenn man davon ausgeht, dass man das Internet immer von zu Hause benutzt, so ist es sicher unwahrscheinlich, dass euer Provider eure Internetnutzung protokolliert. Sollte sich aber der Verdacht des staatlichen Hackings bestätigen, könnte es eben auch sein, dass jemand an den Provider herangetreten ist und alles mitschneiden lässt.

Aber selbst wenn das nicht der Fall ist, so benutzen viele das Internet eben nicht nur von zu Hause. Gerade in der IT-Branche wie auch bei anderen Arbeitgebern ist die private Nutzung des Internets erlaubt. Daneben gibt es Cafés, Hotels, Bahnhöfe und andere öffentliche Orte mit Internetzugang. Gerade mit Hotels habe ich einige merkwürdige Erfahrungen gemacht. Aus meiner Sicht benötigt man spätestens beim Verlassen des Hauses Schutzmaßnahmen. Das kann ein VPN, Tor oder anderes sein. Jedes Werkzeug hat seine Vor- und Nachteile.

Gerade wenn man unterwegs ist und daher verschiedene Netze benutzt, gibt man diese Informationen auch an Seiten, wie Twitter und Facebook weiter, da diese meist sehr lange, über mehrere Verbindungen genutzt werden.

Bei all diesen Szenarien bietet mir Tor Schutz vor Beobachtung von außen. Dies ist unabhängig von der Tatsache, ob ich mich irgendwo mit Realnamen anmelde oder nicht.

Heute morgen öffnete ich mein Postfach und fand eine E-Mail von Twitter vor. Darin stand, dass ich vermutlich Opfer eines staatlichen Hackerangriffs wurde.

Rein vorsorglich möchten wir Sie darüber informieren, dass Ihr Account zu einer kleinen Gruppe von Accounts gehört, die Ziel eines staatlich motivierten Hackerangriffs geworden sein könnte. Das bedeutet, dass die Hacker möglicherweise mit einer Regierung in Verbindung stehen. Wir vermuten, dass Daten und Informationen wie zum Beispiel Email-Adressen, IP-Adressen und Telefonnummern ausspioniert werden sollten.

Zunächst ging ich von Spam aus. Aber die ganze E-Mail war in gutem Deutsch verfasst. Auch die Header der Mail legten nahe, dass der Absender wirklich Twitter war.

Dann setzt Überraschung und Schock ein. Warum sollte ich Ziel eines Hackingangriffs sein und was kann ein Angreifer erkennen? Um die erste Teilfrage beantworten zu können, müsste man wissen, welcher Staat dahinter steckt. Die zweite ist schon leichter zu beantworten. Die E-Mail-Adresse, die ich für die Anmeldung bei Twitter und zur Kommunikation benutze, ist twitter@ (plus meine Domain natürlich). IP-Adressen sollten jeweils Tor-Exitknoten sein. Allerdings hatte die Twitter-App kürzlich Schluckauf. Daher sind dort vermutlich, ein paar Nicht-Tor-URLs zu finden. Ja, OPSEC ist eben schwer. Telefonnummer müsste keine zu finden sein. Denn bisher habe ich es geschafft, nie eine Nummer angeben zu müssen.

Ich werde das Mal im Auge behalten und ein Update bringen, wenn es etwas Neues gibt. Auf Twitter fand ich bisher 10 Accounts, die betroffen sind.

Update: Laut der Meldung bei der Frankfurter Rundschau bestätigte Twitter nochmals die Echtheit der E-Mail. Sie sagte, dass sie den Vorfall aktiv untersuchen und machten ansonsten keine weiteren Angaben dazu.

• TheVerge: Twitter users targeted by state-sponsored attackers
• Motherboard: Twitter Told a Bunch of Users They May Be Targets of a ‘State Sponsored Attack’
• Annalist: Post von Twitter: Du wirst staatlich gehackt
• Frankfurter Rundschau: #StateSponsoredActors: Twitter warnt vor “staatlich motiviertem Hackerangriff”
• Spiegel Online: E-Mail-Benachrichtigung: Twitter warnt Nutzer gezielt vor Hackerangriff
• Zeitleiste der Tweets bei Twitter

In meiner Inbox fand ich heute dieses nette Stück Spam:

<html>                                                                                                             
<head><title>401 Authorization Required</title></head>                                                             
<body bgcolor=“white”>                                                                                             
<center><h1>401 Authorization Required</h1></center>                                                               
<hr><center>nginx/1.2.1</center>                                                                                   
</body>                                                                                                            
</html>
 

Wenn man das HTML interpretiert, kommt dann sowas raus:

Ich verstehe nicht, warum man sowas als Spam in die Welt hinaus schickt. Die Nachricht wurde von einer IP-Adresse aus Südafrika eingeliefert. Neben der From:-Adresse hat der Spammer keine weiteren Header-Zeilen übermittelt. Vielleicht wollte derjenige einfach, dass ich das blogge.

Um den Staatstrojaner ist es nach den diversen Veröffentlichungen wieder recht ruhig geworden. Daher haben die Macher von 0zapftis.info Aktionstage gegen den Staatstrojaner ausgerufen. Zuerst wird es in Berlin am 19. November 2011 eine Demonstration gegen staatliche Überwachung geben. Alle Teilnehmer treffen sich am Rathaus Neukölln und wandern anschließend zum BKA. Ich würde mich sehr freuen, wenn es in anderen Bundesländern ähnliche Aktionen geben würde.

In Deutschland dreht sich derzeit die Diskussion um den Bundestrojaner, der vom CCC gefunden wurde. Derweil spielt sich in den USA ein anderes Drama ab.

Jacob Appelbaum kann man nur als vielseitigen Zeitgenossen bezeichnen. Er arbeitet beim Tor-Projekt als Entwickler, hat in der Vergangenheit einige spektakuläre Ergebnisse im Bereich der IT-Sicherheit gefunden, engagiert sich bei WikiLeaks, half Hurrikanopfern usw. Die Liste lässt sich beliebig erweitern. Doch eines seiner Hobbys brachte ihm Probleme ein. Auf der Konferenz The Next HOPE hielt er im Juli 2010 einen Vortrag zu WikiLeaks (siehe unten). Seitdem wird Jacob bei jedem Grenzübertritt aus den USA oder in die USA kontrolliert. Das heißt, er wird zum Teil stundenlang festgehalten und befragt. Ihm wurden Geräte weggenommen und anderes mehr. Jetzt werdet ihr euch fragen, auf welcher Basis dies passierte. Dies ist bis heute unklar! Es gibt keine Anklage. 

Nachdem das Justizministerium Informationen von Twitter über Jacob Appelbaum und andere Aktivisten wollte, geht die US Regierung noch einen Schritt weiter. Sie forderte von Google und von dem Provider Sonic alle E-Mail-Adressen mit denen Appelbaum in den letzten zwei Jahren kommunizierte. Ein Artikel im Wall Street Journal hat weitere Details zu der Sache.

Welchen Erkenntnisgewinn soll eine solche Sache bringen? Wenn man die diversen Schritte der Behörden verfolgt, drängt sich der Verdacht auf, dass es nur um Schikane geht. Jacob kann man wohl nichts Böses nachweisen und so scheinen die Behörden einfach ein Exempel zur Abschreckung aufzubauen. Ich kann nur hoffen, dass die Vorgang ein Ende hat und Jacob sich wieder seinen Interessen widmen kann.  

Continue reading "Behördenwillkür bei Jacob Appelbaum"

Bei Twitter war kürzlich mal wieder ein nettes Mem zu beobachten. Es entstand eine Folge von „The great thing about $PROTOCOL jokes is $PROTOKOLLEIGENSCHAFT.“-Sätzen. Zu finden ist das Ganze unter dem Hashtag #protolol. Naja, lest selbst:

• The great thing about TCP jokes is that you always get them.
• The great thing about IP over Avian Carrier jokes is that if your joke gets fragmented, you at least get free dinner.
• The great thing about WebDAV jokes is you can tell many different versions of the same joke and people will still listen.
• The great thing about Zeroconf jokes is that you can just walk up to strangers and tell them, no introduction necessary.
• The great thing about IPP jokes is that you always end up with a paper record of the joke in question.
• The great thing about Nessus jokes is that they’re often inaccurate and poorly worded.
• The great thing about rsync jokes is that it only tells them if you haven’t heard them before.
• The great thing about bacterial transformation jokes is that there are always a lot of fungis involved.
• The great thing about DHCP jokes is that you can lend them to others and take them back when you want.
• The great thing about DNS jokes is that you don’t have to tell them with authority.
• The great thing about BGP jokes? Anyone can claim they are their own, all you can do is hope your neighbours like them.
• The great thing about nerdy jokes is that they follow a general pattern of self-referentiality that can be abstracted out.
• The great thing about ASLR jokes is you never know where they’re going.
• The great thing about antivirus jokes is you only need to change them a little and they’re funny again.
• The great thing about encryption jokes is d0842c7091158f8a8e6c89ed0cf4ec07.
• The great thing about gmail jokes is the chinese read them before you do.
• The great thing about TLS jokes is that you can tell if it’s not original.
  
• The great thing about XML jokes is that you can put anything into them.
• The great thing about Java jokes is waiting for them to begin.
• The great thing about Teredo jokes is that you can tell smart jokes even when surrounded by dumb peers.
  
• The great thing about PGP email encryption jokes is that nobody can read their own encrypted email because it’s so unusable.
• The great thing about RFC 862 jokes is the great thing about RFC 862 jokes.
• The great thing about source routing jokes is that someone else get in trouble for telling them at your instigation.
• The great thing about DNS jokes is that they work on so many levels.
• The great thing about fragmentation jokes is
• The great thing about IGMP jokes is that you can be selective in who gets them.
• The great thing about ARP jokes is they’re unauthenticated.
• The great thing about IPv6 jokes is that there are so many of them.
• The great thing about ICMP error jokes is that nobody can ever reply to them.
• The great thing about UDP jokes is that even if you don’t get them, nobody notices.
• The worst part of SSH jokes is that, even when they’re not funny, you suck it up and just pretend they were anyway.
• The best thing about XMPP jokes is that you can tell when they’re available.
• The problem with greylisting jokes is, that you always have to tell them twice.
• The sad thing about Kerberos jokes is that you first have to buy a ticket to join the laughter.
• The problem with PGP jokes is that you need to gain everybody’s trust before they can laugh with it.
• The best GFW jokes are inaccessible from China.
• The sad thing about IPv6 jokes is that almost no one understands them and no one is using them yet.
• The best thing about proprietary protocol jokes is REDACTED. 
• The best thing about SMTP jokes is, you had me at HELO. 
• The best part about WAF jokes is there are a hundred ways to tell them, and everyone is sure to get them.
• The problem with git jokes is everyone has their own version.
• Everybody loves MitM jokes. Well, everybody except Alice and Bob that is.
• The worst thing about Perl jokes is that next morning you can’t understand why they seemed so funny.
• I don’t make SQLi jokes myself, I get them FROM USERS.
• The good thing about OTR jokes is that you forget the punchline afterwards.
• The best thing about Skype jokes is the ridiculous lengths they’ll go to, to be told at all.
• The best thing about mathematical jokes is left as an exercise for the reader.
• The best thing about Twitter API jokes is that you can only make 100 of them per hour.
• The problem with 802.11 jokes is that somebody far away is always listening.
• The problem with BGP jokes is the need for a local default joke, just in case you reject all of the other jokes coming in!
• The problem with telling NTP jokes is that you’re constantly adjusting your timing.
• The worst thing about HTML jokes is that your audience doesn’t always GET it.
• The good thing about pure functional jokes is, telling them has no side effects.
• The good thing about Twitter jokes is they’re so short.
  
• The problem with ASCII jokes is having to leave out the good bits.
• The bad thing about DVCS jokes is they’re all clones of each other …
• The best part about a CISSP joke, is you don’t have to know anything about security to get it.
• The problem with CSS jokes is that everyone understands them differently.
• The great thing about integer overflow jokes is that GCC doesn’t think they’re funny.
• The problem with standards jokes is that there are so many to choose from.
• The problem with IPv4 jokes is there aren’t enough for everyone.
• The problem with dining cryptographers network jokes is that you never know who told them.
• The problem with DRM jokes is that you can’t share them with your friends.
• The best part about TTL jokes is that they can only be told so many times.
• The problem with anonymity jokes is that any jackass can take the credit for them.
• The problem with TCP jokes is that people keep retelling them slower until you get them.
• The bad thing about Turing machine jokes is you never can tell when they’re over.
• The great thing about HTML jokes is that you’re never quite sure when they end.

Eine Zusammenstellung gibt es auch bei attrition.org.