Skip to content

Von Saudi-Arabien gehackt

Im Dezember 2015 erhielt ich eine Nachricht von Twitter. Der Dienst informierte mich, dass ich Opfer staatlichen Hackings wurde. Die Nachricht selbst war recht allgemein gehalten:

Rein vorsorglich möchten wir Sie darüber informieren, dass Ihr Account zu einer kleinen Gruppe von Accounts gehört, die Ziel eines staatlich motivierten Hackerangriffs geworden sein könnte. Das bedeutet, dass die Hacker möglicherweise mit einer Regierung in Verbindung stehen. Wir vermuten, dass Daten und Informationen wie zum Beispiel Email-Adressen, IP-Adressen und Telefonnummern ausspioniert werden sollten.

Durch meinen Blogeintrag und die Suche auf Twitter fand ich damals weitere Betroffene. Wir waren alle recht ahnungslos, wer uns aus welchem Grund hacken sollte. Netzpolitik.org warf damals einen Blick auf die Twitterkonten und fand wenig Gemeinsamkeiten. Am ehesten war ein Großteil der Betroffenen als Aktivisten tätig. Die Zusammensetzung an Sprachen, Ländern etc. war jedoch sehr divers.

Mittels eines offenen Briefes versuchten wir Antworten von Twitter zu erhalten. Doch weder gegenüber uns noch gegenüber Journalisten äußerte sich Twitter. Damit könnte die Geschichte zu Ende sein.

Mitte Oktober 2018 gab es nun neue Bewegung. Die New York Times veröffentlichte den Artikel »Saudis’ Image Makers: A Troll Army and a Twitter Insider«. Der Aufhänger des Artikels ist der Mord an Jamal Kashoggi. Dieser wurde vermutlich in der saudi-arabischen Botschaft in Istanbul auf brutale Weise getötet. Der Artikel berichtet, dass sich eine Troll-Armee mit dem Ziel an ihm festgebissen, ihn zum Schweigen zu bringen. Er selbst plante Gegenmaßnahmen:

Before his death, Mr. Khashoggi was launching projects to combat online abuse and to try to reveal that Crown Prince Mohammed was mismanaging the country. In September, Mr. Khashoggi wired $5,000 to Omar Abdulaziz, a Saudi dissident living in Canada, who was creating a volunteer army to combat the government trolls on Twitter. The volunteers called themselves the “Electronic Bees.”

Diese Troll-Aktivitäten wurden im Artikel auf das saudische Königshaus zurückgeführt. Daneben gab es auch Bestrebungen, Twitter direkt zu infiltrieren. Eine Person namens Ali Alzabarah wurde 2013 bei Twitter eingestellt und stieg dort Stück für Stück auf. Irgendwann hatte er direkten Zugang zu personenbezogenen Daten und saudische Geheimdienstler kontaktierten ihn. Er sollte diese Daten an die Saudis weitergeben. Twitter begann eine Untersuchung und entließ die Person. Im Rahmen der Untersuchung fand Twitter keine Hinweise, dass Daten an Saudi-Arabien weitergegeben wurden.

Damit sind zumindest einige der Fragen beantwortet. Jedoch frage ich mich immer noch, warum Saudi-Arabien gerade Interesse an meinen Daten haben könnte.

Blog entflickt

In einem Beitrag vor ein paar Tagen kam ich zu der Ansicht, dass spätestens mit der Anwendung der Datenschutz-Grundverordnung am 25. Mai 2018 Flickr nicht mehr genutzt werden kann. Das bedeutete für mich, dass ich mein Blog auf Bilder prüfen muss, die über Flickt eingebunden werden. Soweit ich das sehe, ist das jetzt abgeschlossen. Es sollten keine Bilder mehr über Flickr und andere fremde Quellen kommen.

Weiterhin habe ich geprüft, ob ich bei YouTube-Videos die Domain youtube-nocookie.com verwende. Auch dies sollte jetzt der Fall sein. Damit kommen die Videos hier im Blog entweder von obiger YouTube-Seite oder von media.ccc.de.

Solltet ihr noch Sachen finden, die von woanders eingebunden werden, freue ich mich über einen Hinweis in den Kommentaren.

Infosec Bytes -- Videoanleitungen zur sicheren Kommunikation

Ich habe in den letzten Tagen ein wenig mit Infosec Bytes zusammengearbeitet. Die Organisation enstammt dem Centre for Investigative Journalism und möchte anderen Journalisten Trainings im sicheren Umgang mit dem Rechner und dem Netz bieten. Hierzu wurden eine Reihe von Videos veröffentlicht, andere Publikationen sind noch in der Pipeline.

Hier findet ihr beispielsweise eine kleine Einführung zu Tor:

Why journalists and whistleblowers need to understand infosecurity

Vorsicht vor gefälschten PGP-Schlüsseln

Wer mir eine OpenPGP-verschlüsselte E-Mail schicken will, sollte demnächst doppelt vorsichtig sein. Ich entdeckte heute, dass es zur Key-ID 0xEA3E4D61 zwei Schlüssel gibt. Einer der beiden wurde vermutlich automatisch erzeugt und gehört mir nicht! Der Fingerabdruck meines derzeitig aktiven Schlüssels ist:

pub   4096R/0x65B3F094EA3E4D61 2010-01-15
Schl.-Fingerabdruck = 60D8 5B8D 9A1C D2D1 355E  BE9F 65B3 F094 EA3E 4D61
uid                  Jens Kubieziel <jens@kubieziel.de>
uid                  Jens Kubieziel <jens@freie-re.de>
uid                  Jens Kubieziel <kubieziel@gmx.de>
uid                  Jens Kubieziel <lugjena@kubieziel.de>
uid                  Jens Kubieziel <jens@torservers.net>
sub   4096R/0x7A0A527D47FFDBE1 2010-01-15

Wenn ihr mir eine verschlüsselte E-Mail schicken wollt, vergleicht unbedingt die obige zweite Zeile. Im Allgemeinen empfiehlt es sich in der Konfigurationsdatei von GnuPG die Variable keyid-format 0xlong oder gleich long zu setzen. Die kurze Key-ID ist, wie oben zu sehen, leicht zu fälschen.

Update: Das Problem betrifft nicht nur mich. Auf Twitter war von mehreren Fällen zu lesen und auch die Kernel-Entwickler sind betroffen.

Neue Wege, um den Tor Browser herunterzuladen

GetTor-LogoVor kurzem war ich zu Vorträgen bei der Stoyschule in Jena eingeladen. Dabei ging es zumeist um Datenschutz und Überwachung. Unter anderem kam ich dabei auch auf den Tor Browser zu sprechen. Als ich auf die Webseite des Tor-Projekts gehen wollte, scheiterte ich an einem Filter. Seitens jena.de wird ein Webfilter betrieben, der unter anderem die Webseite blockiert und auch TLS-Verbindungen aufbricht (Man-in-the-middle-Angriff). Leider hatte ich keine eigene Kopie des Tor Browser einstecken und wollte auch keine Zeit mit weiteren (eventuell erfolglosen) Versuchen verbringen. Aber seit ein paar Tagen gibt es mehr Möglichkeiten, an eine Kopie der Software zu kommen.

Das Tor-Projekt erklärte heute in einem Blogbeitrag, welche neuen Wege existieren. Die Grundlage hierfür ist das Projekt GetTor. Dort sollen alternative Methoden entwickelt werden und die Ergebnisse sind:

  • Twitter: Schickt eine Direktnachricht (DM) an den Account @get_tor. Anfangs reicht es help zu schicken und der Bot schickt euch Anleitungen zurück. Derzeit könnt ihr den Namen des Betriebssystems (windows,linux,osx oder android) oder das Wort mirrors zu schicken. Ihr bekommt dann Downloadlinks zu verschiedenen Seiten oder eine Liste von alternativen Downloadseiten (Mirrors) zurück.
  • XMPP/Jabber: Das XMPP-Konto get_tor@riseup.net nimmt ebenfalls die obigen Anweisungen entgegen.

Falls ihr also Probleme habt, an die Software zu kommen, so nutzt die obigen Wege oder sucht einen funktionierenden Mirror. Viel Spaß beim sicheren und anonymen Surfen! ;-)

tweetbackcheckcronjob