Der Webserver hat seit heute ein neues Zertifikat. Ich bin jetzt von CAcert auf Let’s Encrypt umgestiegen. Bei den Übernauten ist die Einrichtung sehr einfach. Nachdem die Befehle uberspace-letsencrypt, letsencrypt certonly und uberspace-prepare-certificate eingegeben wurden, war alles fertig.
Wenn ihr das Zertifikat prüfen wollt, hier ist der SHA-256-Hash:
B8:8A:B3:34:0E:5F:97:6A:88:F0:A7:E7:91:73:F4:50:42:29:0A:73:07:54:68:2D:96:EB:36:29:BB:FC:58:A8
Nachdem ich von der Mail von Twitter schrieb, gab es einige Reaktionen. Unter anderem behauptete Alvar Freude, dass wir nur gehackt wurden, weil wir Tor benutzen. Constanze Kurz und ich verfassten bei Netzpolitik.org eine Antwort darauf.
Alvar schreibt in seinem Originalbeitrag:
Besonders unsinnig ist die Benutzung von Tor in der Regel dann, wenn man gleichzeitig mit Realname auf Twitter oder Facebook oder sonstwas unterwegs ist.
Diese Kritik hörte ich auch in anderen Kanälen. Viele fanden es merkwürdig bis sinnlos einen Dienst zu nutzen, bei dem man sich letztlich mit seinem richtigen Namen anmeldet. Bei Netzpolitik war dazu unter anderem zu lesen:
Doch selbst wenn jemand dort einen Namen angegeben hat, woher soll Twitter oder Facebook wissen, dass es sich tatsächlich um diese Person handelt? Es gibt keine Pflicht, sich mittels Personalausweis oder anderen Dokumenten anzumelden, und dies soll auch weiterhin so bleiben. Gerade Menschen, die Wert auf eine freiheitliche Nutzung der Netze legen, geben nicht immer ihren Realnamen an.
Nun ist es bei mir aber so, dass ich bei Twitter durchaus unter meinem wirklichen Namen schreibe und trotzdem Tor nutze. Warum mache ich das?
Zwischen mir und Twitter, Facebook oder anderen Webseiten liegt auch der Provider. Dieser kann auch erkennen und mitschneiden, welche Seiten ich besuche. Ich bin der Meinung, dass ihn das auch nichts angeht.
Wenn man davon ausgeht, dass man das Internet immer von zu Hause benutzt, so ist es sicher unwahrscheinlich, dass euer Provider eure Internetnutzung protokolliert. Sollte sich aber der Verdacht des staatlichen Hackings bestätigen, könnte es eben auch sein, dass jemand an den Provider herangetreten ist und alles mitschneiden lässt.
Aber selbst wenn das nicht der Fall ist, so benutzen viele das Internet eben nicht nur von zu Hause. Gerade in der IT-Branche wie auch bei anderen Arbeitgebern ist die private Nutzung des Internets erlaubt. Daneben gibt es Cafés, Hotels, Bahnhöfe und andere öffentliche Orte mit Internetzugang. Gerade mit Hotels habe ich einige merkwürdige Erfahrungen gemacht. Aus meiner Sicht benötigt man spätestens beim Verlassen des Hauses Schutzmaßnahmen. Das kann ein VPN, Tor oder anderes sein. Jedes Werkzeug hat seine Vor- und Nachteile.
Gerade wenn man unterwegs ist und daher verschiedene Netze benutzt, gibt man diese Informationen auch an Seiten, wie Twitter und Facebook weiter, da diese meist sehr lange, über mehrere Verbindungen genutzt werden.
Bei all diesen Szenarien bietet mir Tor Schutz vor Beobachtung von außen. Dies ist unabhängig von der Tatsache, ob ich mich irgendwo mit Realnamen anmelde oder nicht.
Heute morgen öffnete ich mein Postfach und fand eine E-Mail von Twitter vor. Darin stand, dass ich vermutlich Opfer eines staatlichen Hackerangriffs wurde.
Rein vorsorglich möchten wir Sie darüber informieren, dass Ihr Account zu einer kleinen Gruppe von Accounts gehört, die Ziel eines staatlich motivierten Hackerangriffs geworden sein könnte. Das bedeutet, dass die Hacker möglicherweise mit einer Regierung in Verbindung stehen. Wir vermuten, dass Daten und Informationen wie zum Beispiel Email-Adressen, IP-Adressen und Telefonnummern ausspioniert werden sollten.
Zunächst ging ich von Spam aus. Aber die ganze E-Mail war in gutem Deutsch verfasst. Auch die Header der Mail legten nahe, dass der Absender wirklich Twitter war.
Dann setzt Überraschung und Schock ein. Warum sollte ich Ziel eines Hackingangriffs sein und was kann ein Angreifer erkennen? Um die erste Teilfrage beantworten zu können, müsste man wissen, welcher Staat dahinter steckt. Die zweite ist schon leichter zu beantworten. Die E-Mail-Adresse, die ich für die Anmeldung bei Twitter und zur Kommunikation benutze, ist twitter@ (plus meine Domain natürlich). IP-Adressen sollten jeweils Tor-Exitknoten sein. Allerdings hatte die Twitter-App kürzlich Schluckauf. Daher sind dort vermutlich, ein paar Nicht-Tor-URLs zu finden. Ja, OPSEC ist eben schwer. 
Telefonnummer müsste keine zu finden sein. Denn bisher habe ich es geschafft, nie eine Nummer angeben zu müssen.
Ich werde das Mal im Auge behalten und ein Update bringen, wenn es etwas Neues gibt. Auf Twitter fand ich bisher 10
Update: Laut der Meldung bei der Frankfurter Rundschau bestätigte Twitter nochmals die Echtheit der E-Mail. Sie sagte, dass sie den Vorfall aktiv untersuchen und machten ansonsten keine weiteren Angaben dazu.
Hier, wie auch in Zeitungen, gilt die Regel, wenn der Titel eine Frage enthält, ist die Antwort nein.
Die längere Antwort: Flashpoint Global Partners machen Eigenwerbung, dass sie das Dark Web beleuchten und Auskünfte zu Jihadisten bieten können. Im letzten Jahr haben sie sich angeschaut, ob sich die Verwendung von Verschlüsselungswerkzeugen bei Jihadisten seit den Veröffentlichungen von Snowden geändert hat (komplettes PDF). Dazu haben sie das Dark Web abgegrast und versucht, Hinweise zu finden.
Die Firma schaute sich die Veröffentlichungszyklen von entsprechender Software (Mujahedeen Secrets, Asrar al-Dardashah etc.) an. Nach Snowden gab es nicht mehr oder häufigere Veröffentlichungen als vorher. Weiterhin suchten sie nach bestimmten Schlagworten (Verschlüsselung, Name der Software etc.). Hier gingen die Diskussionen nach Snowden entweder zurück oder blieben gleich.
Daher geht die Firma davon aus, dass Snowden keinen oder nur geringe Effekte auf den Einsatz von Verschlüsselung durch Jihadisten hat.
Der UN-Berichterstatter für die freie Meinungsäußerung (freedom of expression), David Kaye, hat heute den Report on encryption, anonymity, and the human rights framework veröffentlicht. In dem Bericht geht es um zwei Fragen:
Das Dokument ist im DOC-Format auf der Seite zu finden. Ich habe auch eine Variante als PDF auf meiner Seite abgelegt.
Das Dokument beginnt mit ein paar einleitenden Worten und diskutiert dann Sicherheit sowie Privatsphäre in digitalen Medien. Die Kapitel 3 (Encryption, anonymity and the rights to freedom of opinion and expression and privacy
) und 4 (Evaluating restrictions on encryption and anonymity
) beschäftigen sich dann detaillierter mit den obigen Fragen. Das fünfte Kapitel hat dann Schlussfolgerungen und Empfehlungen an Staaten sowie verschiedene Organisationen.
Vom ersten Überfliegen bietet der Report einige wichtige Aussagen. So wird anerkannt, dass Verschlüsselung wie auch Anonymisierung wichtige Werkzeuge sind, um das Recht auf freie Meinungsäußerung ausüben zu können. Staaten wird nahegelegt, entsprechende Gesetze auf den Weg zu bringen und die Diskussion nicht immer nur im Hinblick auf möglichen Missbrauch (Stichwort: Terrorgefahr) zu führen. So steht in Absatz 59:
States should promote strong encryption and anonymity. National laws should recognize that individuals are free to protect the privacy of their digital communications by using encryption technology and tools that allow anonymity online. Legislation and regulations protecting human rights defenders and journalists should also include provisions enabling access and providing support to use the technologies to secure their communications.
Aber auch Firmen und private Unternehmen sollen Verschlüsselung und sichere Kommunikation fördern!
Nach dem ersten Überfliegen habe ich den Eindruck, dass das ein sehr interessantes Dokument ist. Wir sollten es inbesondere diversen Politikern als Bettlektüre mitgeben.
Die aktuellen Nachrichten über Wanzen in Festplatten oder geknackte SIM-Karten hören sich auf der einen Seite sehr bedrohlich an, auf der anderen Seite werden viele dies abtun, als Verschwörungstheorie oder »Betrifft-mich-nicht«. Doch dann war von Barbies zu lesen, die alles mithören und ins Internet übertragen und Samsung warnt, vor seinen Fernsehgeräten nichts Privates zu erzählen. Im letzteren Fall werden die Daten im Klartext übertragen und damit kann jeder mithören, was vor dem gerät erzählt wird. Der große Lauschangriff mal ganz anders.
Die EFF beobachtet seit längerem den Status von Zertifikaten mit dem SSL Observatory und meldete, dass sie in dem Datensatz 44.000 dieser SuperFish-Mitm-Zertifikate fanden. Das Bild links zeigt ein wenig Quellcode. Demnach versucht die Software ihr Zertifikat in verschiedene Browser zu importieren. Das erklärt auch, warum u.a. auch Firefox betroffen ist. Denn im Gegensatz zu Google Chrome nutzt dieser nicht die Zertifikatsverwaltung von Windows.
Robert Graham hat neben anderen Forschern das Zertifikat aus der Software extrahiert und in kurzer Zeit das Passwort ermittelt (Das Passwort »komodia« liefert dann auch den Hinweis auf den Komodia SSL Digestor). Wie er schreibt, benötigte er keine Spezialkenntnisse. Ein geschickter Angreifer kann dies ebenfalls tun. Damit lässt sich dann auch für Dritte sämtliche verschlüsselte Kommunikation brechen. Aber der Superfish Software scheint auch der Status fremder Zertifikate egal zu sein. In einer Diskussion auf Hacker News berichtete jemand, dass die Software beliebige (auch ungültige) fremde Zertifikate akzeptiert. Ähnliches geht auch mit fakehost.lenovo.com oder CanIBesuperFished.com. Insgesamt reißt die Software damit ein riesengroßes Loch in die Sicherheit der Rechner. Mich erinnerte das spontan an den Fall von Sony, die auch Malware auf die Rechner installieren.
Was lässt sich nun gegen die Infektion tun? Die Software selbst ist in der Liste der installierten Programme von Windows zu finden und kann dort einfach deinstalliert werden. Allerdings bleiben eine Reihe von Einträgen in der Registry und das Zertifikat noch erhalten. Hier ist dann Handarbeit angesagt. Dazu müsst ihr den certmgr von Windows öffnen und das Zertifikat entfernen. Bei der EFF gibt es eine Schritt-für-Schritt-Anleitung, wie das zu tun ist.
Lenovo hat mittlerweile reagiert und einerseits ein schönes Statement bei Twitter abgegeben:
We’re sorry. We messed up. We’re owning it. And we’re making sure it never happens again. Fully uninstall Superfish: http://t.co/mSSUwp5EQE
— Lenovo United States (@lenovoUS) 20. Februar 2015
Daneben gibt es eine Veröffentlichung, die den Vorfall klar als Vulnerability mit hohem Impact benennt. Die Veröffentlichung hat auch eine Liste der Produkte, die betroffen sind.
Überwachung ist überall. Mittlerweile gibt es verschiedene Initiativen, die sowohl politisch wie auch technisch etwas dagegen tun wollen. Eines dieser Projekte startet demnächst in Dresden. Unter dem Projekttitel »Echt Dezentrales Netz (EDN)« findet am 16. und und 17. Januar (folgendes Wochenende) ein Geekend statt. Am Freitag abend werden einige existierende Lösungen, wie Freenet, AN.ON und andere vorgestellt. Samstags geht es mit Vorstellungen weiter. Der Nachmittag ist dann für Workshops reserviert.
Falls ihr teilnehmen wollt, tragt euch im Dudle. Für Leute, die nicht nach Dresden kommen können, gibt es einen Mumble-Raum.