Darth Nefarius hat geschrieben:Ich könnte mir persönlich gut vorstellen, dass irgendein Geheimdienstchef sich entweder gedacht hat, dass man jetzt die Deutschen erst recht ausspionieren muss, oder sie davon "überzeugen" muss, dass sie die Hilfe der USA brauchen, um sich vor solchen Hackerangriffen zu schützen.
Nanna hat geschrieben:Das BSI ist relativ zufällig in Besitz der abgegriffenen Daten gekommen und bietet jetzt an, dass man checken lässt, ob die eigenen darunter sind.
Nanna hat geschrieben:Auch wenn es jetzt durch die Medien geht sind solche Hacks im Netz weltweit eher business as usual und ich halte es für wenig plausibel, dass jemand so eine Aktion als Propagandamotiv benutzen würde, dafür hat es viel zu wenig mit der Drohkulisse zu tun (Terroristen und organisiertes Verbrechen), die normalerweise im Rahmen von Argumentationen pro NSA & Co. aufgebaut wird.
Nanna hat geschrieben:Dass die deutsche Öffentlichkeit generell ein bisschen arg unbedarft an das Thema rangeht, hat Eric T. Hansen in der Zeit mal wieder schön provokativ auf den Punkt gebracht: http://www.zeit.de/politik/deutschland/ ... ionage-nsa
In dem Artikel wird auch darauf eingegangen, was - auch von deutscher Seite - der Normalfall in Sachen (Online)Spionage ist, da sticht der aktuelle Fall meines Erachtens nicht wirklich raus.
Darth Nefarius hat geschrieben:Nanna hat geschrieben:Das BSI ist relativ zufällig in Besitz der abgegriffenen Daten gekommen und bietet jetzt an, dass man checken lässt, ob die eigenen darunter sind.
Ja, offensichtlich ist es immer ein "Zufall" - alles andere wäre auch zu verdächtig. Offensichtlich haben diese Profis, die 16 mio E-Mailkonten gehackt haben, den Lapsus begangen, ihre Liste der Beute abhanden kommen zu lassen - wer`s glaubt.
Darth Nefarius hat geschrieben:Inwiefern der aktuelle Fall heraussticht, ist die Dreistigkeit, mit der man an die Öffentlichkeit geht (durch diesen Angriff) - die Tat ist nicht dezent und zielt darauf ab, Aufmerksamkeit zu erregen (zumindest ist dieser Eindruck naheliegend). Meist zielt Spionage nur auf Informationsgewinn ab, aber nicht auf Öffentlichkeit - solche Aktionen waren eher im kalten Krieg zu erwarten. Es ist bereits dreist genug, sich einem politischen Lippenbekenntnis wie diesem "No-Spy"-Abkommen zu verweigern, aber dann auch noch dreist zu zeigen, dass man tut, was man will und auch den öffentlichen Unmut nicht scheut, ist dreist.
Nanna hat geschrieben:Die Enthüllung des BSI hat mit Spionage nichts zu tun, sondern mit banaler Onlinekriminalität. Kriminelle Botnetze dieser Größenordnung findet man zwar nicht leicht, aber im Prinzip wortwörtlich an jeder Straßenecke.
Nanna hat geschrieben:
Die andere Geschichte, und da finde ich eben die Bettelei der deutschen Öffentlichkeit um eine No-Spy-Abkommen etwas naiv, ist die Spionage. Die wird es geben, so lange es Nationalstaaten gibt. In China fußt sogar die halbe Wirtschaft darauf. Ich bin für Symbolpolitik immer zu haben, aber die Energie, die in dieses Abkommen gesteckt wird, wäre bei effektiveren Abwehrmaßnahmen - etwa mehr Geld für Open-Source-Kryptografieentwickler - deutlich besser aufgehoben.
Darth Nefarius hat geschrieben:Die Größenordnung ist aber der springende Punkt - welche kleinkriminellen wollen denn 16000000 Konten hacken, wenn sie sie nicht auch alle auswerten können? Das ergibt keinen Sinn!
Darth Nefarius hat geschrieben:Kleinkriminelle würden es sogar meiden, solch eine Aufmerksamkeit zu erregen, um schließlich nicht erwischt zu werden
Darth Nefarius hat geschrieben:Die Politik der USA zeigt die Geringschätzung gegenüber dem Rest der Welt und die Arroganz - und die deutsche Regierung (anstatt darauf mit entsprechenden politischen und technischen Maßnahmen zu reagieren) bestätigt durch ihre Feigheit und Nachgiebigkeit diese Haltung.
Nanna hat geschrieben:Das BSI ist relativ zufällig in Besitz der abgegriffenen Daten gekommen und bietet jetzt an, dass man checken lässt, ob die eigenen darunter sind.
Nanna hat geschrieben:Darth Nefarius hat geschrieben:Die Größenordnung ist aber der springende Punkt - welche kleinkriminellen wollen denn 16000000 Konten hacken, wenn sie sie nicht auch alle auswerten können? Das ergibt keinen Sinn!
Das sind ganz normale Größenordnungen.
Siehe auch: http://de.wikipedia.org/wiki/Botnet
Nanna hat geschrieben:Darth Nefarius hat geschrieben:Kleinkriminelle würden es sogar meiden, solch eine Aufmerksamkeit zu erregen, um schließlich nicht erwischt zu werden
Wer hat irgendwas von Kleinkriminellen gesagt?
provinzler hat geschrieben:Sind da mal wieder die Praktikanten beim Googlen draufgestoßen, sowie seinerzeit auf Mundlos Foto für den Tatort?
Darth Nefarius hat geschrieben:Gerade dein Link zeigt, dass es keine normalen Größenordnungen sind - mit 16 mio wäre dieser Bot bereits auf Platz 2 und ausgeschlossen ist bei den größeren keineswegs eine Regierungsbeteiligung (welcher auch immer).
Darth Nefarius hat geschrieben:Wie soll man diese Daten alle auswerten?
Darth Nefarius hat geschrieben:Was für einen Sinn hat es, so viel Aufmerksamkeit zu erregen, wenn man es besser könnte?
Darth Nefarius hat geschrieben:An die Mailadressen zu kommen ist eine Sache, um Spam zu verschicken, aber die Kontrolle über Konten zu erwerben (also sich auch die Mühe zu machen, das Passwort zu erwerben) ist etwas ganz anderes.
Darth Nefarius hat geschrieben:Und wie kannst du auschließen, dass es nicht staatliche Organisationen sind? Was ist plausibler ab einer bestimmten Größenordnung?
Nanna hat geschrieben:Darth Nefarius hat geschrieben:Gerade dein Link zeigt, dass es keine normalen Größenordnungen sind - mit 16 mio wäre dieser Bot bereits auf Platz 2 und ausgeschlossen ist bei den größeren keineswegs eine Regierungsbeteiligung (welcher auch immer).
Ein Molekularbiologe tut sich schwer mit Einheiten lesen?
Nanna hat geschrieben:Also bitte, 16 Mio. Datensätze mit jeweils Login, Passwort und vielleicht noch ein paar Metadaten sind doch keine Größe. Das ergibt eine Datenbank von, puh, extrem grob geschätzt, vielleicht einem viertel Gigabyte - dick, ja, aber nichts, was nicht in einem mittelständischen Betrieb laufen könnte. Wer es hinkriegt, ein Botnet zu bedienen, vielleicht gar aufzubauen, der hat keine Schwierigkeiten damit, über ebenjenes Botnet automatisiert Logins durchprobieren zu lassen und dann automatisierte Aktionen ausführen zu lassen.
Nanna hat geschrieben:Meine Güte, es werden doch jeden Tag tausende Kriminelle gefasst. Alle paar Monate wird irgendwo ein LKW voller Kokain aufgegabelt, obwohl das von professionellen Mafiaclans organisiert wird, die sich im Vergleich auf mittlerer Konzerngröße aufhalten. Man konnte es halt nicht besser, irgendwo ist irgendwem ein Fehler passiert, oder oh, die Leute des BSI sind vielleicht doch nicht ganz so merkbefreit, wie provinzler unterstellt.
Nanna hat geschrieben:Du bist derjenige, der Szenarien ausschließt, nicht ich. Ich sage nur, dass solche Hacks in dieser Größenordnung problemlos von nicht-staatlichen Akteuren durchgeführt werden können und es deshalb nichts bringt, im Brustton der Überzeugung zu behaupten, die NSA hätte absichtlich ein Botnet auffliegen lassen, damit das BSI der deutschen Öffentlichkeit Angst machen kann und alle nach mehr Überwachung schreien.
Darth Nefarius hat geschrieben:Wer hat (außer andere Regierungen) die Kapazitäten, millionen Konten zu hacken?
Darth Nefarius hat geschrieben:Und wie genau prüft das BSI, ob mein Konto gehackt ist? Haben sie es auch gehackt? Warum wird es nur überwacht, aber nicht geschützt?
Darth Nefarius hat geschrieben:Und hat alles vielleicht mit dem Beschluss Obamas zu tun, einfach munter weiterzuspionieren? Ich könnte mir persönlich gut vorstellen, dass irgendein Geheimdienstchef sich entweder gedacht hat, dass man jetzt die Deutschen erst recht ausspionieren muss, oder sie davon "überzeugen" muss, dass sie die Hilfe der USA brauchen, um sich vor solchen Hackerangriffen zu schützen. Auch wenn ich vielleicht etwas zu paranoid bin, denke ich, dass entweder die NSA hinter dem Angriff steckt, oder der Überprüfung, wer angegriffen wurde (also Kooperation mit dem BSI, dem ich gar nichts zutraue) oder beides.
Darth Nefarius hat geschrieben:Vielleicht wirken meine Verschwörungstheorien paranoid, aber
xander1 hat geschrieben:Darth Nefarius hat geschrieben:Wer hat (außer andere Regierungen) die Kapazitäten, millionen Konten zu hacken?
Ein Konto verbraucht ein paar Bytes. Vielleicht 100. Millionen Konten sind dann 100 Mio Bytes. 100 Mio Bytes sind 100 Megabyte. Wenn man eine SQL-Abfrage macht, muss man ja nicht die ganze Datenbank runterladen, sondern es reichen die Konten. 100 Megabyte zu downloaden - diese Kapazitäten kann ein einzelner Hacker mit einem 0 8 15 Rechner haben.
Darth Nefarius hat geschrieben:Nein, aber offensichtlich einer wie du - schau doch einfach bei deinem eigenen Link auf "Größte Botnetze" auf die Tabelle und die maximale Anzahl der Bots - Platz 1 ist bei 30.000.000 und Platz 2 auf 14.000.000 (oder 13) meine ich. Naja, und diesmal waren eben 16.000.000 Konten betroffen - und wenn jeder für einen Computer steht und jeder einen Bot abbekommt, scheint mir dieser Angriff auf Platz 2 zu kommen. Aber vielleicht habe ich einfach einen falschen Zusammenhang zwischen "Bot" und Anzahl der befallenen Computer hergestellt - das glaube ich allerdings nicht. Kannst mich aber gern aufklären.
Darth Nefarius hat geschrieben:War klar, dass ein Gesellschaftswissenschaftler nicht versteht, was "auswerten" bedeutet - es bedeutet nicht, dass man die Daten allein sammelt in Textform, sondern auch etwas mit ihnen anfängt (also sich die Konten, Profile anzugucken, die bevorzugten Einkäufe oder die Korrespondenzen durchzulesen....). Zumindest würde ich versuchen, die Identitäten ausreichend imitieren zu können, bevor ich sie anwenden würde - ansonsten fliegt der Betrug zu schnell auf.
Nanna hat geschrieben:Darth Nefarius hat geschrieben:Du bist derjenige, der Szenarien ausschließt, nicht ich. Ich sage nur, dass solche Hacks in dieser Größenordnung problemlos von nicht-staatlichen Akteuren durchgeführt werden können und es deshalb nichts bringt, im Brustton der Überzeugung zu behaupten, die NSA hätte absichtlich ein Botnet auffliegen lassen, damit das BSI der deutschen Öffentlichkeit Angst machen kann und alle nach mehr Überwachung schreien.
Ich hätte es an deren Stelle genauso gemacht, und ich glaube, dass bei denen genug Skurpellosigeit vorhanden ist, um es auch so zu machen.
Darth Nefarius hat geschrieben:Na endlich einmal 2 Experten... ich bin gespannt auf die Infos.
ujmp hat geschrieben: Man kommt also nur an das Passwort, wenn man es direkt beim Anmeldeprozess mitschneidet. Das geht nicht mal eben so, das muss man über längere Zeit systematisch machen...
Nanna hat geschrieben:Ich weiß nicht, wie viele Passwörter du benutzt, aber ich benutze allein mehrere dutzend. Dazu kommen dann noch Freunde, die sich auf meinem Rechner einloggen.
Nanna hat geschrieben:Würde ich ein Internetcafé betreiben, würden täglich vielleicht hunderte Passwörter auf einem meiner PCs eingegeben. Das sind einfache Beispiele dafür, dass die Zahl der befallenen Rechner höchstwahrscheinlich viel geringer ist, als die Zahl der Datensätze. Dazu kommt, dass das BSI nirgendwo gesagt hat, dass die Daten aus genau einem Botnet stammen, es könnte also auch eine Sammlung aus mehreren kleinen Botnets sein, die irgendeine Gruppe zusammengeklaut / gekauft hat.
Nanna hat geschrieben:Selbst wenn die Liste wirklich nur Login und Passwort enthält, ist es ironischerweise schon aufgrund der Datenmenge relativ leicht, Konten zu knacken. Man muss nur einem Botnet befehlen, die Logins bei den bekanntesten Mailanbietern oder den 100 wichtigsten Banken durchzuprobieren (je nachdem, was halt das Angriffsziel ist), und schon purzeln tausende geknackte Konten unten raus. Die restlichen fünzehnkommanochwas Millionen Datensätze schmeißt man halt weg. Das ist dasselbe Prinzip wie beim Spam, wo aufgrund der geringen Kosten für das Versenden von Mails auch nur einer in zehntausenden etwas kaufen muss, damit es sich gelohnt hat. Und das Betreiben von Botnets kostet nunmal auch nicht viel, ein paar gute Hacker reichen da vollkommen aus. Selbst den Strom zahlen ja die Betreiber der Zombie-Rechner.
Nanna hat geschrieben: Datenschutz und Internetkriminalität interessiert keinen Menschen, keiner wird deshalb nach der NSA schreien.
Darth Nefarius hat geschrieben:Das scheint mir weniger wahrscheinlich, wenn es nur eine Liste gibt (warum sollte eine Gruppe mehrere Botnetze aber nur eine Liste benutzen? Ist das nicht zu aufwendig auf der einen Seite, aber zu unvorsichtig auf der anderen?). Nein, die Nachrichtensprechung und die Experten unterstellen nur ein Botnet.
Darth Nefarius hat geschrieben:Nein, das sind nicht die einzigen Risiken oder Anwendungsmöglichkeiten. Auch die Annahme von Identitäten (also nicht nur den Namen, sondern auch ein Profil beispielsweise) wird ernstes Risiko betrachtet. Das hat weit größeres Missbrauchspotential. Es ist ja nicht so, dass nur Spam verschickt werden würde, sondern dass ganze Profile ausgespäht werden. Es sind ja nicht nur die Paranoiden, die so einen Missbrauch für ein relevantes Risiko halten.
Darth Nefarius hat geschrieben:Deine Sorglosigkeit bezüglich auch nicht-finanzieller Daten bereitet mir wiederum Sorgen.
Darth Nefarius hat geschrieben:Nanna hat geschrieben:Datenschutz und Internetkriminalität interessiert keinen Menschen, keiner wird deshalb nach der NSA schreien.
Eine großartige Einstellung.
Nanna hat geschrieben:Ich habe irgendwo einen Artikel gelesen, wo der Autor davon ausging, dass die Daten wahrscheinlich nicht alle auf dieselbe Klau-Aktion zurückgehen, finde ihn jetzt aber gerade nicht in meiner History.
Nanna hat geschrieben:Darth Nefarius hat geschrieben:Nein, das sind nicht die einzigen Risiken oder Anwendungsmöglichkeiten. Auch die Annahme von Identitäten (also nicht nur den Namen, sondern auch ein Profil beispielsweise) wird ernstes Risiko betrachtet. Das hat weit größeres Missbrauchspotential. Es ist ja nicht so, dass nur Spam verschickt werden würde, sondern dass ganze Profile ausgespäht werden. Es sind ja nicht nur die Paranoiden, die so einen Missbrauch für ein relevantes Risiko halten.
Ich habe nicht gesagt, dass ich das nicht für ein Risiko halte. Ich habe nur gesagt, dass man in den 16 Mio. Daten nur wenige Treffer braucht, etwa was Bankdaten angeht, damit das Sammeln sich bereits rentiert hat.
Nanna hat geschrieben:Darth Nefarius hat geschrieben:Deine Sorglosigkeit bezüglich auch nicht-finanzieller Daten bereitet mir wiederum Sorgen.
Wo habe ich gesagt, dass ich sorglos bin?Darth Nefarius hat geschrieben:Nanna hat geschrieben:Datenschutz und Internetkriminalität interessiert keinen Menschen, keiner wird deshalb nach der NSA schreien.
Eine großartige Einstellung.
Nanna hat geschrieben:Den meisten Leuten ist die Bedrohung viel zu komplex, und genau deshalb ist deine Theorie vom gezielten Leak des/ans BSI etwa durch die NSA auch so unplausibel.
Darth Nefarius hat geschrieben:Darth Nefarius hat geschrieben:Nanna hat geschrieben:Datenschutz und Internetkriminalität interessiert keinen Menschen, keiner wird deshalb nach der NSA schreien.
Eine großartige Einstellung.
Darth Nefarius hat geschrieben:Nanna hat geschrieben:Den meisten Leuten ist die Bedrohung viel zu komplex, und genau deshalb ist deine Theorie vom gezielten Leak des/ans BSI etwa durch die NSA auch so unplausibel.
Inwiefern ist sind mangelnde kognitive Leistungen der Meisten ein relevantes Argument???? Ich denke, dass Kriminalität am erfolgreichsten ist, wenn sie gerade nicht offensichtlich und simpel zu erkennen ist! Deswegen werden Drogen in Bananen und Teppichen in riesigem Maßstab transportiert und nicht in durchsichtigen Tütchen von zwielichtigen Gestalten!
Zurück zu Gesellschaft & Politik
Mitglieder in diesem Forum: 0 Mitglieder und 6 Gäste