Deutsches Brights-Forum 2006 - 2014 (ARCHIV)

[Darth Nefarius]

Wiedereinmal scheint es eine Welle von Hackerangriffen gegeben zu haben - und zwar vor bereits einer Woche, in denen millionen Online-Konten gehackt wurden. Das BSI bietet (verspätet) den Service an, die E-Mailaccounts zu prüfen.
Bei der ganzen Geschichte stellen sich mir diverse Fragen: Wer hat (außer andere Regierungen) die Kapazitäten, millionen Konten zu hacken? Und wie genau prüft das BSI, ob mein Konto gehackt ist? Haben sie es auch gehackt? Warum wird es nur überwacht, aber nicht geschützt? Und hat alles vielleicht mit dem Beschluss Obamas zu tun, einfach munter weiterzuspionieren? Ich könnte mir persönlich gut vorstellen, dass irgendein Geheimdienstchef sich entweder gedacht hat, dass man jetzt die Deutschen erst recht ausspionieren muss, oder sie davon "überzeugen" muss, dass sie die Hilfe der USA brauchen, um sich vor solchen Hackerangriffen zu schützen. Auch wenn ich vielleicht etwas zu paranoid bin, denke ich, dass entweder die NSA hinter dem Angriff steckt, oder der Überprüfung, wer angegriffen wurde (also Kooperation mit dem BSI, dem ich gar nichts zutraue) oder beides. Ich schreibe das jetzt mal dreist ins Netz, auch auf die große Wahrscheinlichkeit hin, dass auch diese Informationen abgeschöpft werden!
Vielleicht wirken meine Verschwörungstheorien paranoid, aber bis jetzt haben die Enthüllungen über die Arbeit der Geheimdienste und die Unsicherheit von Online-Shopping und Facebook-Profilen nur meine Erwartungen erfüllt. Fragt sich also, ob man paranoid ist, oder der einzig klar denkende Mensch???

[Nanna]

Das BSI ist relativ zufällig in Besitz der abgegriffenen Daten gekommen und bietet jetzt an, dass man checken lässt, ob die eigenen darunter sind.

Genaueres und der Check sind hier zu finden: https://www.sicherheitstest.bsi.de/

Ich könnte mir persönlich gut vorstellen, dass irgendein Geheimdienstchef sich entweder gedacht hat, dass man jetzt die Deutschen erst recht ausspionieren muss, oder sie davon "überzeugen" muss, dass sie die Hilfe der USA brauchen, um sich vor solchen Hackerangriffen zu schützen.

Auch wenn es jetzt durch die Medien geht sind solche Hacks im Netz weltweit eher business as usual und ich halte es für wenig plausibel, dass jemand so eine Aktion als Propagandamotiv benutzen würde, dafür hat es viel zu wenig mit der Drohkulisse zu tun (Terroristen und organisiertes Verbrechen), die normalerweise im Rahmen von Argumentationen pro NSA & Co. aufgebaut wird.

Dass die deutsche Öffentlichkeit generell ein bisschen arg unbedarft an das Thema rangeht, hat Eric T. Hansen in der Zeit mal wieder schön provokativ auf den Punkt gebracht: http://www.zeit.de/politik/deutschland/ ... ionage-nsa
In dem Artikel wird auch darauf eingegangen, was - auch von deutscher Seite - der Normalfall in Sachen (Online)Spionage ist, da sticht der aktuelle Fall meines Erachtens nicht wirklich raus.

[Darth Nefarius]

Das BSI ist relativ zufällig in Besitz der abgegriffenen Daten gekommen und bietet jetzt an, dass man checken lässt, ob die eigenen darunter sind.

Ja, offensichtlich ist es immer ein "Zufall" - alles andere wäre auch zu verdächtig. Offensichtlich haben diese Profis, die 16 mio E-Mailkonten gehackt haben, den Lapsus begangen, ihre Liste der Beute abhanden kommen zu lassen - wer`s glaubt.

Auch wenn es jetzt durch die Medien geht sind solche Hacks im Netz weltweit eher business as usual und ich halte es für wenig plausibel, dass jemand so eine Aktion als Propagandamotiv benutzen würde, dafür hat es viel zu wenig mit der Drohkulisse zu tun (Terroristen und organisiertes Verbrechen), die normalerweise im Rahmen von Argumentationen pro NSA & Co. aufgebaut wird.

Naja, bevor man einen Terroranschlag inszeniert, um den Ruf der Geheimdienste zu retten, wird man wohl eher damit arbeiten, die Netzsicherheit auf die Probe zu stellen (zumindest im Westen). Alltäglich ist zwar die Onlinekriminalität, aber gewiss nicht in diesem Maßstab (allein die Menge an Ressourcen, die nötig ist, um das durchzuführen und diese Daten zu verwerten, wäre beträchtlich). Im amerikanischen Paranoia-Jargon würde man das Online-Terrorismus nennen und dann wäre es wieder legitim, alles und jeden auszuspionieren, um das zu verhindern. Es als Mafia zu bezeichnen, ist da zu lasch, heutzutage wird alles ab einem bestimmten Level als Terrorismus betrachtet (um die Angst besser zu mobilisieren).

Dass die deutsche Öffentlichkeit generell ein bisschen arg unbedarft an das Thema rangeht, hat Eric T. Hansen in der Zeit mal wieder schön provokativ auf den Punkt gebracht: http://www.zeit.de/politik/deutschland/ ... ionage-nsa
In dem Artikel wird auch darauf eingegangen, was - auch von deutscher Seite - der Normalfall in Sachen (Online)Spionage ist, da sticht der aktuelle Fall meines Erachtens nicht wirklich raus.

Ach, und wieso haben offensichtlich allein gestern 900.000 User festgestellt (ein kleiner Bruchteil der User insgesamt), dass sie betroffen sind (laut Angabe des BSI)? So unbedarft scheinen die Leute doch nicht zu sein.
Inwiefern der aktuelle Fall heraussticht, ist die Dreistigkeit, mit der man an die Öffentlichkeit geht (durch diesen Angriff) - die Tat ist nicht dezent und zielt darauf ab, Aufmerksamkeit zu erregen (zumindest ist dieser Eindruck naheliegend). Meist zielt Spionage nur auf Informationsgewinn ab, aber nicht auf Öffentlichkeit - solche Aktionen waren eher im kalten Krieg zu erwarten. Es ist bereits dreist genug, sich einem politischen Lippenbekenntnis wie diesem "No-Spy"-Abkommen zu verweigern, aber dann auch noch dreist zu zeigen, dass man tut, was man will und auch den öffentlichen Unmut nicht scheut, ist dreist.

[Nanna]

Das BSI ist relativ zufällig in Besitz der abgegriffenen Daten gekommen und bietet jetzt an, dass man checken lässt, ob die eigenen darunter sind.

Ja, offensichtlich ist es immer ein "Zufall" - alles andere wäre auch zu verdächtig. Offensichtlich haben diese Profis, die 16 mio E-Mailkonten gehackt haben, den Lapsus begangen, ihre Liste der Beute abhanden kommen zu lassen - wer`s glaubt.

Musst du ja nicht. Ich für meinen Teil finde es glaubwürdig, dass das bei einer Routineüberprüfung eines Bot-Netzes entdeckt wurde. Für mich ist es eher vertrauensbildend, dass das BSI damit offen umgeht und versucht, die Leute zu schützen. Aber jeder, wie er mag.

Inwiefern der aktuelle Fall heraussticht, ist die Dreistigkeit, mit der man an die Öffentlichkeit geht (durch diesen Angriff) - die Tat ist nicht dezent und zielt darauf ab, Aufmerksamkeit zu erregen (zumindest ist dieser Eindruck naheliegend). Meist zielt Spionage nur auf Informationsgewinn ab, aber nicht auf Öffentlichkeit - solche Aktionen waren eher im kalten Krieg zu erwarten. Es ist bereits dreist genug, sich einem politischen Lippenbekenntnis wie diesem "No-Spy"-Abkommen zu verweigern, aber dann auch noch dreist zu zeigen, dass man tut, was man will und auch den öffentlichen Unmut nicht scheut, ist dreist.

Ich sehe hier das Problem, dass du hier zwei Themen vermischt. Die Enthüllung des BSI hat mit Spionage nichts zu tun, sondern mit banaler Onlinekriminalität. Kriminelle Botnetze dieser Größenordnung findet man zwar nicht leicht, aber im Prinzip wortwörtlich an jeder Straßenecke. Das ist nicht derart ungewöhnlich und es ist wichtig, dass Behörden wie das BSI etwas dagegen unternehmen. Dass das etwas mit Spionage zu tun hat, ist deine Privattheorie, aber ich halte das für abwegig. Es ist nicht immer alles mit allem verbunden und was das BSI macht, interessiert unter Umständen schon im BND die meisten Abteilungen kaum mehr. Da ist keine propagandistische Großsteuerung klandestiner Zirkel am Werk, sondern viele verschiedene Akteure, deren Linien sich halt hin und wieder zufällig kreuzen. Ich würde da keine Bedeutung reininterpretieren.

Die andere Geschichte, und da finde ich eben die Bettelei der deutschen Öffentlichkeit um eine No-Spy-Abkommen etwas naiv, ist die Spionage. Die wird es geben, so lange es Nationalstaaten gibt. In China fußt sogar die halbe Wirtschaft darauf. Ich bin für Symbolpolitik immer zu haben, aber die Energie, die in dieses Abkommen gesteckt wird, wäre bei effektiveren Abwehrmaßnahmen - etwa mehr Geld für Open-Source-Kryptografieentwickler - deutlich besser aufgehoben.

[Darth Nefarius]

Die Enthüllung des BSI hat mit Spionage nichts zu tun, sondern mit banaler Onlinekriminalität. Kriminelle Botnetze dieser Größenordnung findet man zwar nicht leicht, aber im Prinzip wortwörtlich an jeder Straßenecke.

Die Größenordnung ist aber der springende Punkt - welche kleinkriminellen wollen denn 16000000 Konten hacken, wenn sie sie nicht auch alle auswerten können? Das ergibt keinen Sinn! Wie soll das von einer handvoll (gehen wir mal von so einer Gruppe aus) bewerkstelligt werden? Nur staatliche Organisationen hätten die Kapazitäten, diese Anzahl an Daten zu bewältigen (ich halte auch das bereits für schwierig genug).
Kleinkriminelle würden es sogar meiden, solch eine Aufmerksamkeit zu erregen, um schließlich nicht erwischt zu werden (die Chance ist grundsätzlich erhöht bei erhöhter Aufmerksamkeit und wenn sie immer nur einen bestimmten Typus Virus benutzen, könnte man hinter die Programmierungstaktiken kommen und dann haben sie beim nächsten Versuch noch schlechtere Karten).

Die andere Geschichte, und da finde ich eben die Bettelei der deutschen Öffentlichkeit um eine No-Spy-Abkommen etwas naiv, ist die Spionage. Die wird es geben, so lange es Nationalstaaten gibt. In China fußt sogar die halbe Wirtschaft darauf. Ich bin für Symbolpolitik immer zu haben, aber die Energie, die in dieses Abkommen gesteckt wird, wäre bei effektiveren Abwehrmaßnahmen - etwa mehr Geld für Open-Source-Kryptografieentwickler - deutlich besser aufgehoben.

Klar wird es die geben, aber bereits ein Lippenbekenntnis (was ist denn Politik, wenn nicht das?) würde zumindest Reue zeigen, aber Obamas Rede hat eher gegenteilige Verachtung deutlich gemacht. Die Reaktion zeigt die Bereitschaft und die Energie, Partner auszuspionieren - wenn noch nichtmal verheimlich wird, dass man es tut, ist die Hemmschwelle sehr gering und Diplomatie anscheinend bedeutungslos. Mal ein Flug nach Berlin (oder umgekehrt Nach Washington), eine Unterschrift und wieder zurück kann kaum mit Open-Source-Krptografieentwicklern aufgerechnet werden.
Die Politik der USA zeigt die Geringschätzung gegenüber dem Rest der Welt und die Arroganz - und die deutsche Regierung (anstatt darauf mit entsprechenden politischen und technischen Maßnahmen zu reagieren) bestätigt durch ihre Feigheit und Nachgiebigkeit diese Haltung.

[Nanna]

Die Größenordnung ist aber der springende Punkt - welche kleinkriminellen wollen denn 16000000 Konten hacken, wenn sie sie nicht auch alle auswerten können? Das ergibt keinen Sinn!

Das sind ganz normale Größenordnungen.

Siehe auch: http://de.wikipedia.org/wiki/Botnet

Kleinkriminelle würden es sogar meiden, solch eine Aufmerksamkeit zu erregen, um schließlich nicht erwischt zu werden

Wer hat irgendwas von Kleinkriminellen gesagt?

Die Politik der USA zeigt die Geringschätzung gegenüber dem Rest der Welt und die Arroganz - und die deutsche Regierung (anstatt darauf mit entsprechenden politischen und technischen Maßnahmen zu reagieren) bestätigt durch ihre Feigheit und Nachgiebigkeit diese Haltung.

Emotionalität hilft hier wirklich nicht weiter.

[provinzler]

Das BSI ist relativ zufällig in Besitz der abgegriffenen Daten gekommen und bietet jetzt an, dass man checken lässt, ob die eigenen darunter sind.

Sind da mal wieder die Praktikanten beim Googlen draufgestoßen, sowie seinerzeit auf Mundlos Foto für den Tatort?

[Darth Nefarius]

Die Größenordnung ist aber der springende Punkt - welche kleinkriminellen wollen denn 16000000 Konten hacken, wenn sie sie nicht auch alle auswerten können? Das ergibt keinen Sinn!

Das sind ganz normale Größenordnungen.

Siehe auch: http://de.wikipedia.org/wiki/Botnet

Gerade dein Link zeigt, dass es keine normalen Größenordnungen sind - mit 16 mio wäre dieser Bot bereits auf Platz 2 und ausgeschlossen ist bei den größeren keineswegs eine Regierungsbeteiligung (welcher auch immer). Und du hast nicht auf meine Fragen geantwortet: Wie soll man diese Daten alle auswerten? Was für einen Sinn hat es, so viel Aufmerksamkeit zu erregen, wenn man es besser könnte? An die Mailadressen zu kommen ist eine Sache, um Spam zu verschicken, aber die Kontrolle über Konten zu erwerben (also sich auch die Mühe zu machen, das Passwort zu erwerben) ist etwas ganz anderes.

Kleinkriminelle würden es sogar meiden, solch eine Aufmerksamkeit zu erregen, um schließlich nicht erwischt zu werden

Wer hat irgendwas von Kleinkriminellen gesagt?

Und wie kannst du auschließen, dass es nicht staatliche Organisationen sind? Was ist plausibler ab einer bestimmten Größenordnung?

Sind da mal wieder die Praktikanten beim Googlen draufgestoßen, sowie seinerzeit auf Mundlos Foto für den Tatort?

Ja, das kann ich mir auch gut vorstellen.

[Nanna]

Gerade dein Link zeigt, dass es keine normalen Größenordnungen sind - mit 16 mio wäre dieser Bot bereits auf Platz 2 und ausgeschlossen ist bei den größeren keineswegs eine Regierungsbeteiligung (welcher auch immer).

Ein Molekularbiologe tut sich schwer mit Einheiten lesen?

Wie soll man diese Daten alle auswerten?

Also bitte, 16 Mio. Datensätze mit jeweils Login, Passwort und vielleicht noch ein paar Metadaten sind doch keine Größe. Das ergibt eine Datenbank von, puh, extrem grob geschätzt, vielleicht einem viertel Gigabyte - dick, ja, aber nichts, was nicht in einem mittelständischen Betrieb laufen könnte. Wer es hinkriegt, ein Botnet zu bedienen, vielleicht gar aufzubauen, der hat keine Schwierigkeiten damit, über ebenjenes Botnet automatisiert Logins durchprobieren zu lassen und dann automatisierte Aktionen ausführen zu lassen.

Was für einen Sinn hat es, so viel Aufmerksamkeit zu erregen, wenn man es besser könnte?

Meine Güte, es werden doch jeden Tag tausende Kriminelle gefasst. Alle paar Monate wird irgendwo ein LKW voller Kokain aufgegabelt, obwohl das von professionellen Mafiaclans organisiert wird, die sich im Vergleich auf mittlerer Konzerngröße aufhalten. Man konnte es halt nicht besser, irgendwo ist irgendwem ein Fehler passiert, oder oh, die Leute des BSI sind vielleicht doch nicht ganz so merkbefreit, wie provinzler unterstellt.

An die Mailadressen zu kommen ist eine Sache, um Spam zu verschicken, aber die Kontrolle über Konten zu erwerben (also sich auch die Mühe zu machen, das Passwort zu erwerben) ist etwas ganz anderes.

Ach komm. Ich kannte als Jugendlicher mindestens fünf Leute mit mittlerer IT-Begabung, die spaßeshalber Accounts gehackt haben, und ich hatte jetzt nicht gerade einen bizarren Underground-Hacker-Freundeskreis. Wie gesagt: Organisierte Kriminelle, die die manpower haben, so ein Botnet zu überwachen, haben längst bewiesen, dass sie wissen, was sie tun, da ist ein Kontenhack, vielleicht nach vorheriger Filterung der Daten, keine Zauberei mehr.

Und wie kannst du auschließen, dass es nicht staatliche Organisationen sind? Was ist plausibler ab einer bestimmten Größenordnung?

Du bist derjenige, der Szenarien ausschließt, nicht ich. Ich sage nur, dass solche Hacks in dieser Größenordnung problemlos von nicht-staatlichen Akteuren durchgeführt werden können und es deshalb nichts bringt, im Brustton der Überzeugung zu behaupten, die NSA hätte absichtlich ein Botnet auffliegen lassen, damit das BSI der deutschen Öffentlichkeit Angst machen kann und alle nach mehr Überwachung schreien.

[Darth Nefarius]

Gerade dein Link zeigt, dass es keine normalen Größenordnungen sind - mit 16 mio wäre dieser Bot bereits auf Platz 2 und ausgeschlossen ist bei den größeren keineswegs eine Regierungsbeteiligung (welcher auch immer).

Ein Molekularbiologe tut sich schwer mit Einheiten lesen?

Nein, aber offensichtlich einer wie du - schau doch einfach bei deinem eigenen Link auf "Größte Botnetze" auf die Tabelle und die maximale Anzahl der Bots - Platz 1 ist bei 30.000.000 und Platz 2 auf 14.000.000 (oder 13) meine ich. Naja, und diesmal waren eben 16.000.000 Konten betroffen - und wenn jeder für einen Computer steht und jeder einen Bot abbekommt, scheint mir dieser Angriff auf Platz 2 zu kommen. Aber vielleicht habe ich einfach einen falschen Zusammenhang zwischen "Bot" und Anzahl der befallenen Computer hergestellt - das glaube ich allerdings nicht. Kannst mich aber gern aufklären.

Also bitte, 16 Mio. Datensätze mit jeweils Login, Passwort und vielleicht noch ein paar Metadaten sind doch keine Größe. Das ergibt eine Datenbank von, puh, extrem grob geschätzt, vielleicht einem viertel Gigabyte - dick, ja, aber nichts, was nicht in einem mittelständischen Betrieb laufen könnte. Wer es hinkriegt, ein Botnet zu bedienen, vielleicht gar aufzubauen, der hat keine Schwierigkeiten damit, über ebenjenes Botnet automatisiert Logins durchprobieren zu lassen und dann automatisierte Aktionen ausführen zu lassen.

War klar, dass ein Gesellschaftswissenschaftler nicht versteht, was "auswerten" bedeutet - es bedeutet nicht, dass man die Daten allein sammelt in Textform, sondern auch etwas mit ihnen anfängt (also sich die Konten, Profile anzugucken, die bevorzugten Einkäufe oder die Korrespondenzen durchzulesen....). Zumindest würde ich versuchen, die Identitäten ausreichend imitieren zu können, bevor ich sie anwenden würde - ansonsten fliegt der Betrug zu schnell auf.

Meine Güte, es werden doch jeden Tag tausende Kriminelle gefasst. Alle paar Monate wird irgendwo ein LKW voller Kokain aufgegabelt, obwohl das von professionellen Mafiaclans organisiert wird, die sich im Vergleich auf mittlerer Konzerngröße aufhalten. Man konnte es halt nicht besser, irgendwo ist irgendwem ein Fehler passiert, oder oh, die Leute des BSI sind vielleicht doch nicht ganz so merkbefreit, wie provinzler unterstellt.

Ja, solche Gruppen werden fahrlässig, wenn der Staat es auch ist und sich nicht interessiert. Aber soll man sich etwa immer auf das Glück verlassen wie im Falle des NSU, der NSA oder dem Bananencocain?

Du bist derjenige, der Szenarien ausschließt, nicht ich. Ich sage nur, dass solche Hacks in dieser Größenordnung problemlos von nicht-staatlichen Akteuren durchgeführt werden können und es deshalb nichts bringt, im Brustton der Überzeugung zu behaupten, die NSA hätte absichtlich ein Botnet auffliegen lassen, damit das BSI der deutschen Öffentlichkeit Angst machen kann und alle nach mehr Überwachung schreien.

Ich hätte es an deren Stelle genauso gemacht, und ich glaube, dass bei denen genug Skurpellosigeit vorhanden ist, um es auch so zu machen.

[xander1]

Wer hat (außer andere Regierungen) die Kapazitäten, millionen Konten zu hacken?

Ein Konto verbraucht ein paar Bytes. Vielleicht 100. Millionen Konten sind dann 100 Mio Bytes. 100 Mio Bytes sind 100 Megabyte. Wenn man eine SQL-Abfrage macht, muss man ja nicht die ganze Datenbank runterladen, sondern es reichen die Konten. 100 Megabyte zu downloaden - diese Kapazitäten kann ein einzelner Hacker mit einem 0 8 15 Rechner haben.

Und wie genau prüft das BSI, ob mein Konto gehackt ist? Haben sie es auch gehackt? Warum wird es nur überwacht, aber nicht geschützt?

Das BSI hat einfach den Datensatz der betroffenen Firma bekommen, die wird das mit forensscher Analyser herausgefunden haben. Ich habe dazu ein ebook, aber noch nicht gelesen. Schützen geht nicht richtig, weil es fast nie 100%ige Sicherheit gibt. Man kann höchtens mit einem gigantisch großem Aufwand mathematisch beweisen, dass es keine Sicherheitslücken gibt. Allerdings dann auch nur solche Sicherheitslücken, die man inbetrachtzieht.

Und hat alles vielleicht mit dem Beschluss Obamas zu tun, einfach munter weiterzuspionieren? Ich könnte mir persönlich gut vorstellen, dass irgendein Geheimdienstchef sich entweder gedacht hat, dass man jetzt die Deutschen erst recht ausspionieren muss, oder sie davon "überzeugen" muss, dass sie die Hilfe der USA brauchen, um sich vor solchen Hackerangriffen zu schützen. Auch wenn ich vielleicht etwas zu paranoid bin, denke ich, dass entweder die NSA hinter dem Angriff steckt, oder der Überprüfung, wer angegriffen wurde (also Kooperation mit dem BSI, dem ich gar nichts zutraue) oder beides.

Nee die USA können uns vor Hackern nicht besser schützen, als Europa selbst. Das wäre sonst Unsinn! Außerdem brauchen Geheimdienste niemanden Hacken, weil sie einfach das Unternehmen zwingen können, die Daten rauszugeben.

Vielleicht wirken meine Verschwörungstheorien paranoid, aber

Paranoid zu sein ist die richtige Einstellung, wenn man im Netz surft! Ich habe mal einen paranoiden gekannt, der durch seine Paranoia verhindert hat, dass ihm etwas geklaut wurde, was dann einem Bekannten von ihm geklaut wurde. Das hat jetzt mit dem Thema nicht so viel zu tun, aber ich will damit sagen, dass Paranoia vorteilhaft sein kann, nicht nur im Netz. Achso warum im Netz Paranoia die richtige Einstellung ist? Na das sagen vor allem die Experten, die sich mit IT-Sicherheit beschäftigen. Und die müssens ja wissen! Darüber gibts Bücher und alle diese Bücher warnen sehr stark davor leichtsinnig im Internet zu sein.

EDIT:
Ach ja, die Experten haben alle schon vor Edward Snowden gewarnt und Bücher darüber geschrieben. Es gibt ältere Menschen, die das Verhalten der Presse wegen Snowden als heucheln bezeichnen und meinen, dass Snowden nicht viel neues gebracht hat, außer dass die Vermutungen zur Gewissheit wurden. Für viele Menschen waren das aber noch nicht mal Vermutungen. Solche Menschen verlachen sowas dann oft. Sollen sie!

[ujmp]

Wer hat (außer andere Regierungen) die Kapazitäten, millionen Konten zu hacken?

Ein Konto verbraucht ein paar Bytes. Vielleicht 100. Millionen Konten sind dann 100 Mio Bytes. 100 Mio Bytes sind 100 Megabyte. Wenn man eine SQL-Abfrage macht, muss man ja nicht die ganze Datenbank runterladen, sondern es reichen die Konten. 100 Megabyte zu downloaden - diese Kapazitäten kann ein einzelner Hacker mit einem 0 8 15 Rechner haben.

Hm... nach gängigen Sicherheitsstandards werden aber Passwörter nur verschlüsselt in Datenbanken abgelegt. D.h. wenn man sich anmeldet wird das Passwort in seine verschlüsselte Form (z.B. mit MD5) konvertiert und dann wird nur diese verschlüsselte Form mit der verschlüsselten Form in der Datenbank verglichen. Man kommt also nur an das Passwort, wenn man es direkt beim Anmeldeprozess mitschneidet. Das geht nicht mal eben so, das muss man über längere Zeit systematisch machen...

[Darth Nefarius]

Na endlich einmal 2 Experten... ich bin gespannt auf die Infos. Ein kleiner Zusatz noch: Ich muss präzisieren, dass vielleicht das Hacken selbst keinen großen Aufwand bedarf, das Auswerten aber bestimmt schon (und damit meine ich nicht nur, die Passwörter zu erhalten) - das hatte ich aber auch zu Nanna schon geschrieben. Ich bin mir ja selbst bewusst, wie gut man Informationen komprimieren kann mit der richtigen Software - die strukturelle Aufklärung von Molekülen mit 40 kDa benötigt schon einige Zeit, aber die Daten zu sammeln, kann Sekunden dauern.

[Nanna]

Nein, aber offensichtlich einer wie du - schau doch einfach bei deinem eigenen Link auf "Größte Botnetze" auf die Tabelle und die maximale Anzahl der Bots - Platz 1 ist bei 30.000.000 und Platz 2 auf 14.000.000 (oder 13) meine ich. Naja, und diesmal waren eben 16.000.000 Konten betroffen - und wenn jeder für einen Computer steht und jeder einen Bot abbekommt, scheint mir dieser Angriff auf Platz 2 zu kommen. Aber vielleicht habe ich einfach einen falschen Zusammenhang zwischen "Bot" und Anzahl der befallenen Computer hergestellt - das glaube ich allerdings nicht. Kannst mich aber gern aufklären.

Ich weiß nicht, wie viele Passwörter du benutzt, aber ich benutze allein mehrere dutzend. Dazu kommen dann noch Freunde, die sich auf meinem Rechner einloggen. Würde ich ein Internetcafé betreiben, würden täglich vielleicht hunderte Passwörter auf einem meiner PCs eingegeben. Das sind einfache Beispiele dafür, dass die Zahl der befallenen Rechner höchstwahrscheinlich viel geringer ist, als die Zahl der Datensätze. Dazu kommt, dass das BSI nirgendwo gesagt hat, dass die Daten aus genau einem Botnet stammen, es könnte also auch eine Sammlung aus mehreren kleinen Botnets sein, die irgendeine Gruppe zusammengeklaut / gekauft hat.

War klar, dass ein Gesellschaftswissenschaftler nicht versteht, was "auswerten" bedeutet - es bedeutet nicht, dass man die Daten allein sammelt in Textform, sondern auch etwas mit ihnen anfängt (also sich die Konten, Profile anzugucken, die bevorzugten Einkäufe oder die Korrespondenzen durchzulesen....). Zumindest würde ich versuchen, die Identitäten ausreichend imitieren zu können, bevor ich sie anwenden würde - ansonsten fliegt der Betrug zu schnell auf.

Der Gesellschaftswissenschaftler versteht möglicherweise mehr als du denkst, hat nur vielleicht nicht so ein starkes Interesse, sich dauernd zu profilieren.

Selbst wenn die Liste wirklich nur Login und Passwort enthält, ist es ironischerweise schon aufgrund der Datenmenge relativ leicht, Konten zu knacken. Man muss nur einem Botnet befehlen, die Logins bei den bekanntesten Mailanbietern oder den 100 wichtigsten Banken durchzuprobieren (je nachdem, was halt das Angriffsziel ist), und schon purzeln tausende geknackte Konten unten raus. Die restlichen fünzehnkommanochwas Millionen Datensätze schmeißt man halt weg. Das ist dasselbe Prinzip wie beim Spam, wo aufgrund der geringen Kosten für das Versenden von Mails auch nur einer in zehntausenden etwas kaufen muss, damit es sich gelohnt hat. Und das Betreiben von Botnets kostet nunmal auch nicht viel, ein paar gute Hacker reichen da vollkommen aus. Selbst den Strom zahlen ja die Betreiber der Zombie-Rechner.

Du bist derjenige, der Szenarien ausschließt, nicht ich. Ich sage nur, dass solche Hacks in dieser Größenordnung problemlos von nicht-staatlichen Akteuren durchgeführt werden können und es deshalb nichts bringt, im Brustton der Überzeugung zu behaupten, die NSA hätte absichtlich ein Botnet auffliegen lassen, damit das BSI der deutschen Öffentlichkeit Angst machen kann und alle nach mehr Überwachung schreien.

Ich hätte es an deren Stelle genauso gemacht, und ich glaube, dass bei denen genug Skurpellosigeit vorhanden ist, um es auch so zu machen.

Einer von uns beiden weiß, dass du kein sehr kreativer Stratege bist.
Nichts von deinem Szenario taugt außerhalb wilder Paranoidenkreise dazu, irgendwen aufzuregen. Jeder Marketingpraktikant würde dir in zehn Minuten fünf effektivere Strategien zur Popularisierung der Internetüberwachung auftischen, von der Entdeckung eines Kinderporno-Forums bis hin zur medienwirksamen Verhaftung eines Terroristen am Flughafen. Alles, was Bilder macht, Emotionen weckt, einfache Freund-Feind-Kategorisierungen zulässt, dem Feind ein Gesicht gibt, physische Bedrohungsgefühle weckt, am besten noch verbunden mit Globalisierungs- und Einwanderungsressistements, sowas zieht. Datenschutz und Internetkriminalität interessiert keinen Menschen, keiner wird deshalb nach der NSA schreien.

[ujmp]

Na endlich einmal 2 Experten... ich bin gespannt auf die Infos.

Wenn du wüsstest, was du nicht weißt, würdest du dich vor Angst flach auf die Erde legen und laut schreien!

(War'n Spaß, ich hab nicht wirklich Ahnung davon.)

[xander1]

Man kommt also nur an das Passwort, wenn man es direkt beim Anmeldeprozess mitschneidet. Das geht nicht mal eben so, das muss man über längere Zeit systematisch machen...

nein ... das stimmt so nicht.
Ich werde ggf. später mehr dazu schreiben.
Das geht doch eben mal so.

Nachtrag:
Siehe hier:
http://de.wikipedia.org/wiki/Md5#Sicherheit

man kann aus nem md5 hash nen klartext berechnen
siehe rainbow tables (mal googeln)
außerdem kann man zu einem gegebenen hash einen manipulierten klartext generieren
siehe Geburtstagsangriff

Allerdings ist seit langem bekannt, dass md5 unsicher ist.
Das ist vielleicht auch der Grund, warum das hier übers BSI läuft, statt über die betroffenen Firmen, denen das zu peinlich ist, so dass sie diese Aktion übers BSI machen.

[Darth Nefarius]

Ich weiß nicht, wie viele Passwörter du benutzt, aber ich benutze allein mehrere dutzend. Dazu kommen dann noch Freunde, die sich auf meinem Rechner einloggen.

Nicht viele - nur für die nötigsten Dinge habe ich überhaupt Konten (und niemals mit Finanzdaten). Andere Leute lasse ich sowieso nicht an meinen Rechner.

Würde ich ein Internetcafé betreiben, würden täglich vielleicht hunderte Passwörter auf einem meiner PCs eingegeben. Das sind einfache Beispiele dafür, dass die Zahl der befallenen Rechner höchstwahrscheinlich viel geringer ist, als die Zahl der Datensätze. Dazu kommt, dass das BSI nirgendwo gesagt hat, dass die Daten aus genau einem Botnet stammen, es könnte also auch eine Sammlung aus mehreren kleinen Botnets sein, die irgendeine Gruppe zusammengeklaut / gekauft hat.

Das scheint mir weniger wahrscheinlich, wenn es nur eine Liste gibt (warum sollte eine Gruppe mehrere Botnetze aber nur eine Liste benutzen? Ist das nicht zu aufwendig auf der einen Seite, aber zu unvorsichtig auf der anderen?). Nein, die Nachrichtensprechung und die Experten unterstellen nur ein Botnet.

Selbst wenn die Liste wirklich nur Login und Passwort enthält, ist es ironischerweise schon aufgrund der Datenmenge relativ leicht, Konten zu knacken. Man muss nur einem Botnet befehlen, die Logins bei den bekanntesten Mailanbietern oder den 100 wichtigsten Banken durchzuprobieren (je nachdem, was halt das Angriffsziel ist), und schon purzeln tausende geknackte Konten unten raus. Die restlichen fünzehnkommanochwas Millionen Datensätze schmeißt man halt weg. Das ist dasselbe Prinzip wie beim Spam, wo aufgrund der geringen Kosten für das Versenden von Mails auch nur einer in zehntausenden etwas kaufen muss, damit es sich gelohnt hat. Und das Betreiben von Botnets kostet nunmal auch nicht viel, ein paar gute Hacker reichen da vollkommen aus. Selbst den Strom zahlen ja die Betreiber der Zombie-Rechner.

Nein, das sind nicht die einzigen Risiken oder Anwendungsmöglichkeiten. Auch die Annahme von Identitäten (also nicht nur den Namen, sondern auch ein Profil beispielsweise) wird ernstes Risiko betrachtet. Das hat weit größeres Missbrauchspotential. Es ist ja nicht so, dass nur Spam verschickt werden würde, sondern dass ganze Profile ausgespäht werden. Es sind ja nicht nur die Paranoiden, die so einen Missbrauch für ein relevantes Risiko halten. Deine Sorglosigkeit bezüglich auch nicht-finanzieller Daten bereitet mir wiederum Sorgen.

Datenschutz und Internetkriminalität interessiert keinen Menschen, keiner wird deshalb nach der NSA schreien.

Eine großartige Einstellung.

[Nanna]

Das scheint mir weniger wahrscheinlich, wenn es nur eine Liste gibt (warum sollte eine Gruppe mehrere Botnetze aber nur eine Liste benutzen? Ist das nicht zu aufwendig auf der einen Seite, aber zu unvorsichtig auf der anderen?). Nein, die Nachrichtensprechung und die Experten unterstellen nur ein Botnet.

Ich habe irgendwo einen Artikel gelesen, wo der Autor davon ausging, dass die Daten wahrscheinlich nicht alle auf dieselbe Klau-Aktion zurückgehen, finde ihn jetzt aber gerade nicht in meiner History.

Nein, das sind nicht die einzigen Risiken oder Anwendungsmöglichkeiten. Auch die Annahme von Identitäten (also nicht nur den Namen, sondern auch ein Profil beispielsweise) wird ernstes Risiko betrachtet. Das hat weit größeres Missbrauchspotential. Es ist ja nicht so, dass nur Spam verschickt werden würde, sondern dass ganze Profile ausgespäht werden. Es sind ja nicht nur die Paranoiden, die so einen Missbrauch für ein relevantes Risiko halten.

Ich habe nicht gesagt, dass ich das nicht für ein Risiko halte. Ich habe nur gesagt, dass man in den 16 Mio. Daten nur wenige Treffer braucht, etwa was Bankdaten angeht, damit das Sammeln sich bereits rentiert hat.

Deine Sorglosigkeit bezüglich auch nicht-finanzieller Daten bereitet mir wiederum Sorgen.

Wo habe ich gesagt, dass ich sorglos bin?

Datenschutz und Internetkriminalität interessiert keinen Menschen, keiner wird deshalb nach der NSA schreien.

Eine großartige Einstellung.

Den meisten Leuten ist die Bedrohung viel zu komplex, und genau deshalb ist deine Theorie vom gezielten Leak des/ans BSI etwa durch die NSA auch so unplausibel. Es gibt bereits mehr als genug und weit plastischere Bedrohungsszenarien durch Datenklau, die aber ebenso niemanden außerhalb von Piratenpartei und Co. wirklich jucken. Selbst der Klimawandel wird als bedrohlicher wahrgenommen, weil man sich unter einer Dürre, Borkenkäferplage oder Überflutung dank entsprechender Fernsehbilder oder eigener Erfahrungen etwas vorstellen kann und die damit verbundenen Imaginationen auch viel emotionaler sind als die Meldung "Botnet klaut Passwörter". Da denken die meisten Leute sich "Meine Mails will eh keiner lesen und solange meine Bankdaten sicher sind, ist das doch nicht so wild".

[Darth Nefarius]

Ich habe irgendwo einen Artikel gelesen, wo der Autor davon ausging, dass die Daten wahrscheinlich nicht alle auf dieselbe Klau-Aktion zurückgehen, finde ihn jetzt aber gerade nicht in meiner History.

Wenn das so ist, lese ich ihn mir gerne durch - bis jetzt habe ich noch nie von so einer Position gehört, die argumentativ untermauert wurde. Ich meine, ich wünsche mir ja nicht, dass es ein einziger Angriff war und meine Theorie stimmt - ich wäre wirklich glücklicher, wenn ich unrecht hätte, aber wenn ich eine Auswahl von Positionen habe, nehme ich im zweifelsfall die ein, die die schwierigste ist, um dann wenigstens gefasst zu sein, wenn es tatsächlich so ist und eher damit umgehen zu können.

Nein, das sind nicht die einzigen Risiken oder Anwendungsmöglichkeiten. Auch die Annahme von Identitäten (also nicht nur den Namen, sondern auch ein Profil beispielsweise) wird ernstes Risiko betrachtet. Das hat weit größeres Missbrauchspotential. Es ist ja nicht so, dass nur Spam verschickt werden würde, sondern dass ganze Profile ausgespäht werden. Es sind ja nicht nur die Paranoiden, die so einen Missbrauch für ein relevantes Risiko halten.

Ich habe nicht gesagt, dass ich das nicht für ein Risiko halte. Ich habe nur gesagt, dass man in den 16 Mio. Daten nur wenige Treffer braucht, etwa was Bankdaten angeht, damit das Sammeln sich bereits rentiert hat.

Ja, richtig. Und genau deswegen lohnt es sich doch gar nicht, gleich 16 Mio. anzuzapfen, weil auch bestimmt bei einer noch geringeren Anzahl sich dieses Verfahren lohnen würde (besonders wenn es durch den kleineren Maßstab nicht so auffällig ist und die Gegenmaßnahmen dann auch nicht so heftig ausfallen). Ich wette, es würden ein paar hundert ausreichen, damit man für sein Leben ausgesorgt hat (selbst in dem Fall, dass es nur bei 10% funktioniert hat).

Deine Sorglosigkeit bezüglich auch nicht-finanzieller Daten bereitet mir wiederum Sorgen.

Wo habe ich gesagt, dass ich sorglos bin?

Datenschutz und Internetkriminalität interessiert keinen Menschen, keiner wird deshalb nach der NSA schreien.

Eine großartige Einstellung.

Ja, direkt da drunter: "...interessiert keinen Menschen...". Von der Prämisse ausgehend, dass du dich auch dazu zählst (zu den Menschen), interessiert es dich auch nicht und bereitet dir folglich auch keine Sorgen.

Den meisten Leuten ist die Bedrohung viel zu komplex, und genau deshalb ist deine Theorie vom gezielten Leak des/ans BSI etwa durch die NSA auch so unplausibel.

Inwiefern ist sind mangelnde kognitive Leistungen der Meisten ein relevantes Argument???? Ich denke, dass Kriminalität am erfolgreichsten ist, wenn sie gerade nicht offensichtlich und simpel zu erkennen ist! Deswegen werden Drogen in Bananen und Teppichen in riesigem Maßstab transportiert und nicht in durchsichtigen Tütchen von zwielichtigen Gestalten!

[Nanna]

Datenschutz und Internetkriminalität interessiert keinen Menschen, keiner wird deshalb nach der NSA schreien.

Eine großartige Einstellung.

Ja, direkt da drunter: "...interessiert keinen Menschen...". Von der Prämisse ausgehend, dass du dich auch dazu zählst (zu den Menschen), interessiert es dich auch nicht und bereitet dir folglich auch keine Sorgen.[/quote]
Du nimmst schon wieder zu viel an.

Den meisten Leuten ist die Bedrohung viel zu komplex, und genau deshalb ist deine Theorie vom gezielten Leak des/ans BSI etwa durch die NSA auch so unplausibel.

Inwiefern ist sind mangelnde kognitive Leistungen der Meisten ein relevantes Argument???? Ich denke, dass Kriminalität am erfolgreichsten ist, wenn sie gerade nicht offensichtlich und simpel zu erkennen ist! Deswegen werden Drogen in Bananen und Teppichen in riesigem Maßstab transportiert und nicht in durchsichtigen Tütchen von zwielichtigen Gestalten!

Lies dir doch nochmal durch, was dein ursprüngliches Szenario war. Da hattest du behauptet, dass das BSI von den Identitäten nur berichtet, weil die NSA eine Drohkulisse aufbauen wollte. Das Szenario funktioniert aber nur, wenn genügend Leute die Drohkulisse erkennen und dafür sind kognitive Leistungen selbstverständlich relevant. Um Kriminalität ging es an dem Punkt gar nicht.

Mach dir mal bewusster, was du sagst und wofür du bist. Du wechselst deine Argumente und Argumentationsziele schneller als manche Schuhtickbetroffene ihre Fußbekleidung. Du vergisst ja selbst schon permanent, wofür du am Anfang des Threads mal warst. Kein gutes Zeichen.