Sonntag, 8. Januar 2017

TLS (2)


In meinem letzten Text hatte ich beschrieben, daß ein Server, betrieben im Auftrag der Stadt Wiesbaden, nur in bescheidenen Umfang gesichert ist. Und in diesem Text möchte ich darstellen, wofür man einen solchen Server mißbrauchen kann, nachdem man ihn gehackt hat.

Vorweg möchte ich aber klarstellen, daß ich kein Hacker bin (Danke für das Kompliment, aber dafür ich bin doch schon zu alt). Und diese Tätigkeit reizt mich nicht. Ausserdem, das wissen Sie doch, sind es immer die Russen, die fremde Computer hacken. Und ich besitze die deutsche Staatsbürgerschaft.

Es gibt diverse Möglichkeiten, als Aussenstehender einen Computer zu mißbrauchen, nachdem man in diesen eingedrungen ist. Ich möchte einmal zwei Möglichkeiten des Mißbrauchs herausgreifen und in diesem Text darstellen. Ich bescchreibe nicht, wie man in einen Computer eindringen kann1).


Plötzlicher Datenreichtum

Datensparsamkeit ist ein Grundprinzip unseres Umgangs mit Computersystemen und hat auch Eingang gefunden in unsere Gesetze. Auch Wikipedia hat einen Artikel dazu: Datenvermeidung und Datensparsamkeit.

Datensparsamkeit bedeutet, daß ein Unternehmen Daten über Sie speichern darf, aber nur die notwendige Mindestmenge. Bei einer Bestellung in einem Onlineshop darf das Unternehmen alle zur Abwicklung der Bestellung notwendigen Informationen auf seinen Computern speichern, also. z.B. welche Artikel sie bestellt haben, wohin die Bestellung geliefert werden soll, von welchem Konto der Betrag abgebucht werden darf usw. Und natürlich darf das Unternehmen auch speichern, wann die Bestellung versandt wurde, wann der Betrag abgebucht wurde, ob Sie reklamiert haben usw. Es darf aber keine Informationen speichern, die über diese Informationen hinausgehen, also darf z.B. nicht gespeichert werden, welche Haarfarbe Sie haben (es sei denn, Sie haben einen entsprechenden Artikel bestellt). Auch Ihre politische Meinung darf nicht abgefragt und nicht gespeichert werden, auch nicht ihre Religionszugehörigkeit usw.

Was aber ist, wenn ein Hacker, also ein Fremder, Nicht-Befugter, sich Zugang zu solch einem Computer verschafft? Er könnte dann die auf diesem Computer gespeicherten Daten abgreifen und auf einen Computer seiner Wahl transferieren, anschliessend auszuwerten und für weitere Aktionen zu verwenden. Möglicherweise erhält er Zugang zu Ihren Bankdaten und kann sie für eigene Zwecke ausnutzen. Oder er findet eine Liste der Anmeldenamen mit zugehörigen Passwörtern für diesen Computer. Und da Sie sicherlich keine 1.000 verschiedene Passwörter haben, könnte man damit versuchen, sich bei Onlineshops anzumelden - vielleicht klappt das ja mit einem Namen+Passwort aus der Liste. Und dann schnell noch die Lieferadresse ändern und sofort bestellen.......

Haben Sie schon einmal eine SPAM-Mail in Ihrem Postfach vorgefunden? Woher kennen die Absender Ihre Mail-Adresse und Ihrem Namen? Und mittlerweile sind diese SPAM-Mails soweit personalisiert, daß sie verdammt echt aussehen.

Auf dem PiWi-Server liegen vermutlich Daten, die nicht für jedermanns Augen bestimmt sind, denn der Server verlangt eine Anmeldung. Sofern Sie dort keinen Zugang haben oder sich nicht angemeldet haben, können Sie nur auf wenige Informationen zugreifen, u.a. auf die Daten zu den Ausschüssen des Parlaments, die Tagesordnungen, die Anträge usw. Daneben gibt es vermutlich noch weitere Informationen, auf die Sie ohne Anmeldung keinen Zugriff haben. Und mit einem Einbruch verschafft sich ein Hacker Zugriff auf diese Daten, unbefugterweise.

Einbrüche in ein Computer-System kommen häufiger vor. Hier einmal ein paar Beispiele:

Diese Beispiele genügen Ihnen nicht? Bitte, ich kann auch mit dieser Geschichte aufwarten: Unbekannte sind in die Computer des ThyssenKrupp-Konzerns eingedrungen. Der Angriff wurde eher zufällig entdeckt, die Abwehr dauerte Monate..

Zusammenfassung: mit einem solchen Einbruch in ein Computersystem verschafft sich ein Unbekannter einen Zugriff auf Anmeldenamen und möglicherweise die zugehörigen Passwörte, sowie auch auf weitere, auf diesem Computer vorhandenen Dateien und Datenbanken. Dies nenne ich einen plötzlichen Datenreichtum.

Bisher war Datensparsamkeit eine Tugend, aber die Dinge ändern sich:
"Der bisher gültige Grundsatz, dass Datensparsamkeit das Übermaß der Dinge ist, der hat sich überholt, der muss weg"

"Datenreichtum muss der Maßstab sein, nach dem wir unsere Politik ausrichten."

Quelle: Alexander Dobrindt: Grundsatz der Datensparsamkeit "muss weg"

Und damit steht Herr Dobrindt nicht allein:
In deutlichen Worten verabschiedet sich Merkel von den Prinzipien der Datensparsamkeit und der Zweckbindung, die seit dem Urteil des Bundesverfassungsgerichts aus dem Jahr 1983 und dem damit etablierten Grundrecht auf informationelle Selbstbestimmung eine wichtige Grundlage aller rechtlichen Regeln im Umgang mit Daten über Menschen geworden sind.

Quelle: CDU-Parteitag: Merkel preist Datenreichtum und Überwachung
Je mehr Daten gespeichert werden, desto mehr Daten kann man nach einem Einbruch abgreifen. Aber jetzt schweife ich ab, zurück zu meinem Thema.


DDOS

"Sie erinnern sich doch sicherlich noch an die Angriffe auf Telekom-Router Ende November 2016." so begann mein letzter Text. Damals wurden Router der Telekom attackiert, diese Router sind kleine und relativ leistungsschwache Computer, die bei Ihnen zu Hause stehen und den eigentlichen Zugang zum Internet realisieren. Vermutlich war das Ziel der damaligen Attacke, auf diesen kleinen Computern unbemerkt eine Software zu platzieren, die man von außen ansteuern und ihr eine Aufgabe zuteilen kann. Diese Aufgabe kann sein, unsinnige Anfragen an einen bestimmten Server zu senden. Und wenn solche unsinnigen Anfragen von sehr vielen Computern kommen, dann geht der angefragte Server in die Knie auf Grund der Menge der Anfragen, und möglicherweise gibt er ganz auf.

Der Fachbegriff für solche Angriffe lautet DDOS, ein distributed denial of service. ditributed, denn es sind viele Computer, die einen Ziel-Computer attackieren; denial of service, das Ziel der Attacke ist eine absichtlich herbeigeführte Serverüberlastungen. Einige Beispiele dazu:

Aktuell ist es ja kalt in Deutschland; in der Nacht vom 5. auf den 6. Januar zeigte das Themometer bei mir eine Aussentemperatur von -8° Celsius an. Wie wäre es, wenn die Heizung im Haus aufgrund einer Computerattacke auf die entsprechende Steuerung ausfällt? Sie halten solch eine Aktion für unwahrscheinlich? Alles schon passiert: DDos-Attacke: Hacker schalten Heizungen in Finnland ab.

Genug der Beispiele.

Zusammenfassung: ein Computer kann von Fremden für ihre eigenen Zwecke mißbraucht werden, z.B. um unsinnige Datenpakete auf einen Ziel-Server zu schicken, damit dieser Server keine vernünftige Arbeit mehr leisten kann.


Fazit

Server, oder allgemeiner: Computersysteme, muß man auf einem aktuellen Stand halten. Dies bedeutet, daß bekannt gewordene Lücken gestopft werden, damit die bösen Buben (oder die bösen Mädels) diese Lücken nicht mehr ausnutzen können.

Konkret heisst dies, daß die zur Verfügung gestellten Patches (=Flicken) eingespielt werden. Allgemein muß die Software auf einem aktuellen Stand gehalten werden, denn alte Versionen enthalten Fehler, die durch neuere Versionen dieser Software beseitigt werden. Sehen Sie dies wie bei einem Auto, das nach einer gewissen Kilometerleistung in die Inspektion muß und dort neben frischem Öl ausserdem neue Bremsklötze und ein Paar neue Reifen erhält.

Und genau dies wurde beim PiWi-Server der Stadt Wiesbaden nicht gemacht. Dieser Server kann mißbraucht werden für die hier beschriebenen Aktivitäten.

Sollte dieser Server einmal gehackt werden, dann hören wir sicher, daß diese Aktion von Russen durchgeführt wurde.


Nachtrag

19. Januar 2017: Teil 3 des Textes





Anmerkungen:
1) Davon habe ich nämlich keine Ahnung.
2) Man vermutet, daß mind. 150.000 Geräte an dieser Attacke beteiligt waren