Hacker – Zackbum

Schlagwortarchiv für: Hacker

Mutige NZZ

20. Februar 2024/2 Kommentare/in Allgemein/von René Zeyer

Als Longstory handelt das Blatt den Cyberangriff von vor knapp einem Jahr ab.

Das liest man nicht häufig. Ist eine Firma Opfer eines Cyberangriffs geworden, gibt sie normalerweise beruhigende Geräusche von sich und rückt nur so weit mit dem wahren Schaden heraus, wie sie unbedingt muss.

Die NZZ hat einen anderen Weg gewählt und lässt ihren IT-Menschen ein Protokoll des Angriffs krimineller Hacker publizieren. Chapeau. Es ist erstellt, dass offenbar keine politische oder terroristische Absicht dahinterstand.

Hacker haben sich durch einen sogenannten Ransomeware-Angriff Zugang zu den Datenbanken der NZZ verschafft. Da es eine Zusammenarbeit mit CH Media gibt, war auch dieses Medienhaus davon betroffen. Am 24. März hatten die Angreifer zahlreiche IT-Systeme verschlüsselt und damit unbrauchbar gemacht. Dazu gehören die sogenannten «Domain Controller», ohne die praktisch nichts läuft.

Das Vorgehen dieser Hackerbande «Play» ist immer das gleiche. Sie dringen in die IT-Systeme ein, laden vertrauliche Daten herunter und verschlüsseln die Systeme. Für die Entschlüsselung fordern sie Lösegeld, als Druckmittel drohen sie damit, interne Informationen ins Netz zu stellen.

Erste Entscheidung der NZZ: wenn irgend möglich kein Lösegeld bezahlen. Ausser, der Angriff wird zu einer existenziellen Bedrohung. In einer ersten Fehleinschätzung geht die NZZ davon aus, dass die Kriminellen nur rund 5 Gigabyte entwendet hätten, zudem seien diese Daten verschlüsselt.

Nachdem die NZZ nicht reagiert, dringen die Kriminellen am gleichen Tag nochmals in die Systeme ein und verschlüsseln weitere Teile, bis es gelingt, sie auszusperren. Um weitere Attacken zu verhindern, werden die IT-Systeme der NZZ und von CH Media getrennt und der Redaktionsschluss auf 21 Uhr vorverlegt. Gleichzeitig wird fieberbhaft nach dem Einfallstor gesucht.

Drei Wochen vor der Entdeckung hatten die Hacker eine Hintertür eingerichtet. Möglich war das durch eine winzige Sicherheitslücke; das Log-in, das die Gangster verwendeten, war nicht durch eine zweite Authentifizierung geschützt, auf dem entsprechenden Server war zudem die Sicherheitssoftware leicht veraltet.

Die Pause lässt sich so erklären, dass es inzwischen bereits eine Arbeitsteilung zwischen diesen Kriminellen gibt. Ein Händler von Hintertüren verkauft die an andere Gangster weiter.

Nach dem ersten Wüten vergleicht der Verantwortliche für die IT-Infrastruktur deren Zustand mit einem «zerbombten Hochhaus». Noch etwa die Hälfte der Systeme funktioniere, die rote Zone. Der andere Teil muss von Grund auf neu gebaut werden, die grüne Zone. Natürlich werden alle Importe aus der roten Zone sorgfältig kontrolliert.

Zwei Wochen nach dem Angriff findet der Switch auf die grüne Zone statt. Dafür haben die IT-Leute von Gründonnerstag am Abend bis am Nachmittag des Ostermontags Zeit. Ob es klappt? «Wir haben uns tief in die Augen geschaut und gesagt: Lasst es uns wagen!», so schildert es ein Beteiligter.

Es gelingt, der Verantwortliche ändert den Namen des Kanals auf der internen Chat-Plattform von «Cyber Restore Weekend» auf «Cyber Restore Marathon».

Am 12. April erhöhen die Erpresser den Druck, nachdem sie mitbekommen haben, dass die IT-Systeme restauriert sind und laufen. Sie drohen mit der Veröffentlichung interner Daten, Informationen über Projekte und Löhne.

Nun übernimmt die Kantonspolizei Zürich die Verhandlungen. Nicht übers Lösegeld, sondern in der Absicht, den Erpressern auf die Spur zu kommen. Die NZZ muss zur Kenntnis nehmen, dass 800 Gigabyte gestohlen wurden, unverschlüsselt.

Am 3. Mai werden dann unter grossem Medienecho Lohnlisten und andere sensible Daten ins Netz gestellt. Und am 11. Mai werden weitere 500 Gigabyte auf einen Schlag online gestellt. Nun wird das Ganze zu einem internen Problem. Wie informiert man die Mitarbeiter? Welche juristischen Implikationen hat es? Gibt es eine finanzielle Entschädigung (nein).

Damit ist die Attacke für die Kriminellen abgeschlossen, nichts zu holen. Anders für die Betroffenen: «Die privaten Informationen aus ihrem Leben stehen nun öffentlich im Darknet. Jeder kann sie einsehen. Und Cyberkriminelle können diese Informationen verwenden, um zum Beispiel gezielte Phishing-Angriffe durchzuführen. … Die Opfer müssen damit leben.»

CS: Wer war’s?

23. Februar 2022/3 Kommentare/in Allgemein/von René Zeyer

Das ist doch die einzig interessante Frage. Deshalb wird nichts dazu gesagt.

Ihr freiwilliger Beitrag für ZACKBUM

Die Credit Suisse hat bestätigt, dass es sich bei den geklauten Kontodaten um Informationen über ihre Kunden handelt. Das ist oberpeinlich und müsste zu Massenentlassungen in den zuständigen Abteilungen führen.

Datendiebstähle sind schwierig zu lokalisieren, da in Wirklichkeit nur eine Kopie vorhandener Datensätze hergestellt wird, das Original also unverändert bleibt. Meistens haben Banken keine sauberen Daten-Audit-Trails, also Zugriffe werden nicht sauber protokolliert. Zudem ist die Frage, wie viele Kopien solcher Kundendaten sowieso schon aus verschiedenen Gründen innerhalb und ausserhalb der Bank herumschwirren.

Wichtiger noch ist aber die Frage: wer war das? Es gibt nur vier Möglichkeiten.

Der Insider

Ein CS-Mitarbeiter, vielleicht aus dem Bereich Compliance, will der Bank aus unbekannten Motiven eine reinbrennen. Dazu sammelt er nach nur ihm bekannten Kriterien Kundendaten. Sobald er bei 30’000 Betroffenen angelangt ist, stellt er das ein und verschenkt seine Beute an die «Süddeutsche». Rache? Moralische Entrüstung? Misslungene Bereicherungsabsicht? Als U-Boot von einer dem Schweizer Finanzplatz nicht wohlgesonnenen Macht in die CS eingespeist? Opfer einer Erpressung?

Die Datenverbindung tropft

Es ist ein altbekanntes Problem. Wer Daten von A nach B transportieren will, schafft das nie absolut abhörsicher. Es ist ein ewiger Kampf zwischen Verschlüsslern und Codeknackern, der von beiden Seiten immer hochgerüsteter geführt wird. Der Einsatz von Quantencomputern mit ihrer brachialen Rechenkraft gibt mal wieder den Knackern einen Vorteil. Allerdings sprächen wir hier im wahrsten Sinne des Wortes von Big Data. Wer könnte mit welchen Programmen aus diesen Datenfluten signifikante Beispiele herausfischen?

Der Zulieferer war’s

Banken haben seit vielen Jahren fahrlässig wenig Geld in die Aufrüstung der IT-Infrastruktur investiert. Viel zu langfristig für die auf Quartalsgewinne fixierten Managerheinis. Viele pensionierte Programmierer verdienen sich bis heute ein nettes Zubrot damit, dass nur noch sie Uralt-Programme verstehen, auf die x-mal Neues draufgepatcht wurde. Hier muss häufig mit Klarnamen gearbeitet werden. Auch die Zulieferer aus der Nähe (bspw. Polen) oder der Ferne (bspw. Indien), wohin immer mehr auch heikle Daten übermittelt werden, könnten die Quelle sein.

Der AIA war’s

Eine hübsche Theorie geht dahin, dass im Rahmen des Automatischen Informationsaustausches eine nie gekannte Menge an Kundenklardaten zwischen den teilnehmenden Ländern ausgetauscht werden. Und natürlich auch von anderen Ländern abgefangen werden könnten. Mit AIA und Swift wäre es in erster Linie den USA möglich, die bekanntlich nicht am Informationsaustausch teilnehmen, aus solchen Daten plus Transaktionsdaten als eine Art Big Data Mining eine Kollektion von ihnen unliebsamen Kontenbesitzern zusammenzustellen.

Kann man den Kreis der Verdächtigen noch weiter einengen?

Sollte es zutreffen, dass die SZ tatsächlich keinen Cent für diesen Datenraub bezahlt hat, stünde das im Widerspruch zu einer Einzeltäterthese. Denn wie auch immer, diese Datenmenge kann nur über einen längeren Zeitraum und unter Inkaufnahme persönlicher Gefährdung gewonnen worden sein. Bei Entdeckung würde nicht nur der sofortige Rauschmiss, sondern strafrechtliche Verfolgung und allenfalls Schadenersatzansprüche in Multimillionenhöhe drohen.

Schliesslich kann es durchaus sein, dass einer der wenigen von diesem Datenklau betroffenen wirklichen Gangster es überhaupt nicht lustig findet, so ans Licht der Öffentlichkeit gezerrt worden zu sein. In solchen Kreisen ruht man normalerweise nicht, bis man den Übeltäter identifiziert – und entsorgt hat.

All diese Risiken soll jemand (oder eine kleine Gruppe) auf sich nehmen, um dann aus moralischer Entrüstung diesen Datenschatz gratis wegzugeben? Das ist doch sehr dünn als These.

Welche Hintergedanken hat eine anonyme Quelle?

Jeder Anfänger im Journalismus weiss, dass man einer Quelle, die anonym bleiben möchte, mit höchster Vorsicht zu begegnen hat. Vor allem deswegen, weil man weder sicher sein kann, dass die Informationen akkurat und vollständig sind, noch, welche Motive den Täter antreiben.

Der Aspekt potenzielle Gefährdungen plus Aufwand plus Risiko ohne Entgelt schliesst eine moralisch motivierte Täterschaft eigentlich aus. Bleibt also nur eine Täterschaft, die es gewohnt ist, einfach für ihre Arbeit bezahlt zu werden – unabhängig von den Resultaten. Ob es um Industriespionage geht, um das Sabotieren von Konkurrenten, das Manipulieren von politischen Entscheidungen, das ist diesen Hackern im Staatssold herzlich egal.

Es ist ihnen auch egal, wie lange sie dafür brauchen und wie lange sie herumprobieren müssen, bis sie die entsprechenden Filterprogramme entwickelt haben. Also spricht vieles dafür, dass die Täterschaft in einer staatlichen Organisation zu suchen ist, wohl am ehesten in den USA.

Was ist denn deren Motivation? Keinesfalls Moral oder Ethik. Sondern knallhartes Kalkül. Alles, was dem immer noch grössten Vermögensverwalter der Welt schadet, nützt den anderen. Was in dieser Kriegsführung noch fehlte, war ein direkter Angriff auf den Finanzplatz Schweiz. Der sich sowieso noch bis heute von den verheerenden Folgen des Schleifens des Bankgeheimnisses erholen muss. Von den Folgen dieses Kunden- und Mitarbeiterverrats.

Der Datenklau ist in der Wirkung verheerend

Denn unabhängig von der Ergiebigkeit des Materials – alleine die Tatsache, dass der zweitgrössten Bank der Schweiz eine solche Menge an Kundendaten abhanden kommen kann, sorgt dafür, dass sich viele Besitzer einer Bankverbindung mit der CS reiflich überlegen, ob ihnen das sicher genug erscheint.

Denn neben unedlen Motiven gibt es auch durchaus eine ganze Reihe von edlen, wieso man sein Geld bei einer Schweizer Grossbank anlegen möchte. Zum Beispiel, weil es dort sicher ist und diese Kundenbeziehung – im Rahmen des gesetzlich Erlaubten – vertraulich und diskret abgehandelt wird. Denn welchem tapferen Kritiker der Schweizer Gesetze, die solche kriminellen Aktivitäten sanktionieren, würde es wohl gefallen, wenn er plötzlich seinen Namen in der Zeitung läse – als einer der 30’000 verabscheuungswürdigen Kunden der CS.

Obwohl er doch eigentlich ein völlig unbescholtener Bürger ist. Wie so viele der in der Vergangenheit medial Beschuldigten, Vorverurteilten und Gekreuzigten.

Süss-saure Geheimnisse

22. Februar 2022/10 Kommentare/in Allgemein, Medienschelte/von René Zeyer

Wem nützt der «Suisse Secrets»-Skandal?

30’000 Kunden der Credit Suisse sind enttarnt worden. Offensichtlich handelt es sich um echte Kontounterlagen, die vor einem Jahr der SZ von einer anonymen Quelle zugespielt wurden.

Ihr freiwilliger Beitrag für ZACKBUM

Angeblich flossen dafür keine Gelder, obwohl das in Deutschland schon lange üblich ist. Die Frage «cui bono» bleibt unbeantwortet, ist aber zentral wichtig bei der Beurteilung dieses Datenklaus.

Wer hat etwas davon, die bereits schwer angeschlagene Bank weiter zu schädigen? Wer hat etwas davon, damit dem ganzen Finanzplatz Schweiz einen weiteren Fleck auf die gar nicht weisse Weste zu klecksen?

Keine Firewall, kein Schutzsystem ist perfekt. Spätestens auf Ebene NSA (Datenkrake der USA) und ihren Pendants in Russland oder China, möglicherweise auch in Nordkorea und zwei, drei anderen Ländern, kann alles geknackt werden.

Nun handelt es sich beim Kundenstamm einer Schweizer Grossbank um das wohl am besten geschützte Datengebirge überhaupt, abgesehen von allfälligen militärischen Geheimnissen. Darin einzudringen, Irrtum vorbehalten, schafft nicht der Amateur-Hacker oder ein kleines Kollektiv von moralisch entrüsteten IT-Nerds.

Kundendaten einer Bank zu klauen ist nicht einfach

So ein Hack, der offenbar auch unbemerkt blieb, ist gehobenes Kunsthandwerk. Das unbemerkte Abfliessenlassen solcher Daten ist eine kitzlige Angelegenheit, die nicht innerhalb von 24 Stunden erledigt ist. Ganz zu Schweigen vom Aufwand, aus allen Kunden der CS eine solche Auswahl zusammenzustellen.

Natürlich kann man beim Herumwühlen, ein paar Namen von venezolanischen Verbrechern eingeben, oder auch nach den üblichen Verdächtigen weltweit suchen, Potentaten, Diktatoren, korrupte Staatsdiener. Aber obwohl es viele solcher Gestalten gib, sind 30’000 Kunden dann doch eine ziemliche Menge. Wie wurden die gefiltert?

Erste Schlussfolgerung: Dahinter steckt Energie, Aufwand und Zeit. Normalerweise werden solch Datendiebstähle durchgeführt, um die bestohlene Firma zu erpressen. Sie muss die Daten zurückkaufen, sonst wird mit Veröffentlichung oder Weitergabe an die Konkurrenz gedroht.

In diesem Fall und bei diesem Ausmass und bei der offenbar sehr delikaten Auswahl wären Zahlungen in Multimillionenhöhe denkbar. Darauf sollen die Hacker menschenfreundlich verzichtet haben?

Alles Robin Hoods?

Wenn es stimmt, dass die SZ mitsamt ihren Helfershelfern ein Jahr zur Auswertung brauchte; in dieser ganzen Zeit ist es innerhalb der CS nicht aufgefallen, dass es zu einem Datendiebstahl kam? Was für ein Monitoring haben die denn, eines aus der Steinzeit?

Wenn das Hacken selbst und vor allem das Suchen in den ganzen Kundendatenbanken zeit- und geldaufwendig war, ist es dann wirklich glaibhaft, dass eine Ansammlung von «Robin Hoods» das Ergebnis seiner Anstrengungen einfach der SZ rüberschiebt? Garniert mit eher banal wirkender moralischer Begründung?

Es sind 30’000 Kunden. Wer auf der Liste ist, hat Pech gehabt, so er Dreck am Stecken haben sollte. Wie viele haben das nicht? Wer entscheidet, ob der Dreck ausreichend sei, den Kontobesitzer mit Namen an den medialen Pranger zu stellen? Warum werden auch die staatlichen Behörden nicht beliefert? Um die Beute selbst genügend ausschlachten zu können, mal wieder Ankläger, Richter und Terminator in einer Person spielen zu können.

Wer ist auf der Liste, wer nicht?

Schliesslich: Wer ist nicht auf der Liste, und warum? Konnte man sich vielleicht freikaufen? Beherbergt die CS genau 30’000 Kunden, denen man etwas vorwerfen kann? Kein einziger darüber hinaus? Kann man allen 30’000 Fehlverhalten vorhalten?

Wenn ja, wie viele Strafuntersuchungen wird es diesmal geben? Wie viele Verurteilungen? Hält sich der Schnitt, werden es ein paar Dutzend Untersuchungen und eine Handvoll Verurteilungen sein, am Schluss.

Schliesslich ist auch hier auffällig, dass es mit schöner Regelmässigkeit die Konkurrenten der grössten Schwarzgeldbunker, der grössten Geldwaschmaschinen der Welt erwischt. Nämlich der USA und von Grossbritannien. Obwohl fast die gesamte lateinamerikanische Drogenmafia ihren Geldhaushalt via US-Finanzdienstleister regelt, hat es noch nie einen solche Hack dort gegeben. Obwohl diverse Bundesstaaten der USA bis heute unversteuerte Gelder ohne die geringsten Fragen zu stellen empfangen, gab es noch nie ein Leak in Delaware.

Reiner Zufall? Wer an den Osterhasen plus Weihnachtsmann glaubt, mag das so sehen. Sind das alles Gründe, von einer Veröffentlichung abzusehen? Gute Frage. Es ist eindeutig Hehlerware, es ist eindeutig ein Diebstahl, es sind eindeutig Daten, die nicht nur in der Schweiz von Gesetzes wegen geschützt sind

Dass Tamedia sich fröhlich am Ausschlachten beteiligt, wenn es nach der Devise «weit weg, und wo kein Kläger ist …» gefahrlos möglich ist, hier aber feige zurücktritt, wo es strafrechtliche Konsequenzen haben könnte, ist schwach. Stattdessen zu fordern «Die Medien müssen recherchieren dürfen», hat etwas leicht Lächerliches.

Denn natürlich dürfen sie das, wie gerade der Schreiber des Kommentars, Tamedia-Oberchefredaktor Arthur Rutishauser, aus eigener Erfahrung weiss. Allerdings ist die Verwendung von Hehlerware mit legalen Risiken verbunden. Das ist in einem Rechtsstaat so, zudem ist’s nicht Neues.

Ein Geschrei anzustimmen, dass Schweizer Gesetze Schweinebacken mit ihren Bankkonten schützen, ist daher völlig verfehlt.

Bösartigkeit ist die höchste Form der Anerkennung

25. Juni 2021/5 Kommentare/in Allgemein, Skandal/von René Zeyer

Seit Dienstag ist ZACKBUM unablässigen Versuchen ausgesetzt, die Plattform zu hacken.

Wir nehmen’s als Kompliment. Von gefälschten IP-Adressen aus aller Welt (China, Europa, USA, Lateinamerika) aus wird versucht, sich Zugang als Administrator auf die Webseite ZACKBUM.ch zu verschaffen.

So schaut’s aus bei einem Stupid-Hack.

Im weiten Feld der schmutzigen Kriegführung ist das eine eher harmlose Variante. Eine gute Firewall wird damit fertig. Wir haben eine gute Firewall. Einen solchen Angriff kann nun nicht gerade der IT-affine Sprössling eines der vielen beleidigten Leberwürste starten, die sich von ZACKBUM schon verunglimpft fühlten.

Gerne und immer wieder wird gegen uns das Argument ins Feld geführt, dass wir zu polemisch, unanständig, kritisch, ausfällig, ja bösartig seien. Das ist alles Unsinn. Ermüdender Unsinn. Immer der Offenbarungseid, dass einem inhaltlich nichts einfällt. Kein Gegenargument, keine Erwiderung, einfach nur flatlining. So bezeichnet man auf Englisch den Zustand, wenn die Messung der Hirnaktivitäten eine flache, gerade Linie ergibt.

Flatlining ist leider überall

Zuletzt widerfuhr uns das an der wohl letzten Veranstaltung des Clubs der Zürcher Wirtschaftsjournalisten. Dort stellte sich Markus Somm einer Podiumsdiskussion und verriet nichts über die Performance seiner Internetplattform «Nebelspalter». Abozahlen, Klicks, Single Visitors, Werbung? Nichts.

ZACKBUM gestattete sich dann die höflich gestellte Frage, wieso der Verlagsleiter, CEO und Hersteller der IT-Insellösung für den «Nebelspalter» vor einiger Zeit nicht geruht habe, auf einen Katalog konkreter und naheliegender Fragen zu antworten, sondern es bei «kein Kommentar» bewenden liess. Ob die Fragen ehrenrührig waren oder nicht, kann man hier nachlesen.

Auch Markus Somm ging sofort in den ausweichenden Verteidigungsmodus, dass die Fragen dermassen polemisch und unanständig und aggressiv gestellt worden seien, dass man darauf gar nicht habe antworten können. Ein weiteres Armutszeugnis des modernen Journalismus.

Direkte Konfrontation möglichst vermeiden. Sich gegenseitig lobhudeln oder zumindest nicht zu sehr ins Gärtchen trampen. Austeilen ja, einstecken nein. Ausrufen ja, auf Fragen antworten, die Möglichkeit zur Stellungnahme ausnützen? Nein.

Konfliktfähig? Diskursfähig? Debattenfähig?

ZACKBUM gibt immer allen Kritisierten die Gelegenheit, auf unsere sachliche Kritik zu reagieren. Natürlich vor Erscheinen des Artikels. Oder auch danach. So sind wir wohl das einzige Medium der Schweiz, das mehrfach allen Unterzeichnern des Tagi-Protestschreibens (und auch alle Nicht-Unterzeichner) Gelegenheit gab, auf einen Fragenkatalog zu antworten. Reaktion: null.

Für journalistisch tätige Kritiker, die mit ziemlich massiven Anschuldigungen gegen ihren Arbeitgeber angetreten sind, ist das ein Armutszeugnis sondergleichen. Das gilt auch für andere öffentliche Personen, die weltmeisterlich austeilen, aber sich wie eine Mimose zusammenfalten, wenn es darum ginge, zu kritischen Fragen Stellung zu nehmen.

Was das alles mit dem Versuch zu tun hat, ZACKBUM zu sabotieren? Es kann natürlich sein, dass es zufällig einem Hacker, einem Black Hat aus Spass an der Tollerei eingefallen ist, mal ein wenig an ZACKBUM rumzupickeln.

Warum die Attacke, warum gerade jetzt?

Wir verbergen allerdings keine Geschäftsgeheimnisse oder einen Giftschrank an internen Dokumenten. Wir sind werbefrei und daher auch hier nicht anzupinkeln. Da wir von Anfang an mit Griffen unter die Gürtellinie rechneten, haben wir ein wenig in IT-Sicherheit investiert, was die Angreifer offenbar unterschätzten.

Wir selbst unterschätzen die weltweite Bedeutung von ZACKBUM keineswegs. Wir wissen aus gut unterrichteten Quellen, die vertraut mit diesen Abläufen sind, dass sich alle deutschsprachigen Regierungsmitglieder jeden Morgen im Medienbriefing zuerst die Artikel von ZACKBUM vorlegen lassen. Das gilt natürlich auch für alle Chefredaktoren, Verlagsmanager und Besitzer von Medienkonzernen. Wir respektieren den Wunsch nach Anonymität unserer Quellen.

Auf der anderen Seite wollen wir unsere Bedeutung doch nicht überschätzen. Was die Erklärung «Zufall» für den Angriff ausschliesst. Da es müssig ist, den Verursacher ausfindig zu machen (zumindest eher teuer), sagen wir ruhig: es schon mal mit einem Gegenargument versucht?

Statt solchen Pipifax zu unternehmen, zu finanzieren, wäre doch viel sinnvoller, sich zu einem Kommentar, zu einer Replik gar aufzuraffen. Da ist unsere Firewall sehr, sehr niedrig. Alles, was keinen juristischen Ärger gibt, alles, was nicht nur aus Beschimpfung oder persönlichen Angriffen besteht, wird gebracht. Denn bei uns hört Liberalität nicht dort auf, wo sie anfangen sollte: bei der Meinung des anderen. Und der erkenntnisfördernden Auseinandersetzung damit.