Einbruch bei J.P. Morgan Chase Bank

J.P. Morgan Chase ist die größte US-Amerikanische Bank und das zweitgrößte an einer Börse notierte Unternehmen.

Im Sommer wurde die Bank Ziel eines Cyber Angriffs. Die Einbrecher haben Daten von 76 Millionen Retail Kunden (Privatpersonen) – und etwa 7 Millionen Firmen gestohlen. Betroffene sind Kunden, die sich mit J.P. Morgen in den vergangenen Jahren über Mobile Geräte oder das Internet verbunden haben.

Gestohlen wurden nur persönliche Daten (Name, Adresse, Telefonnummer, e-Mail Adresse etc.) aber keine Passwörter oder Kontoinformationen.

Die Bank versucht die Kunden zu beruhigen. Es wurden keine Kontodaten oder Kennwörter gestohlen. Es kann daher kein Geld von den Konten betroffener Kunden behoben werden.

Die Bank teilt Ihren Kunden nicht mit, wer genau betroffen ist, und welche Daten genau kompromittiert wurden. Diese Vorgehensweise ist aus meiner Sicht Haarsträubend. Wenn einer Bank derartiges widerfährt wäre auf jeden Fall eine penible Information der Kunden notwendig.

Auch wenn die Diebe keine Kontoinformationen gestohlen haben, ist damit zu rechnen, dass die Informationen dazu genutzt werden um an Geld zu gelangen. Die Wahrscheinlichste Variante ist die Versendung sogenannter Phishing Mails. Der Kunde Erhält dann eine Mail mit der Aufforderung sich über Telebanking anzumelden. Der Link der in der Mail enthalten ist, leitet den Kunden jedoch auf eine andere Seite – auf der dann die Login Informationen abgefangen werden. Damit erhalten die Diebe endgültig Zugang auf das Konto. Die erbeuteten Daten können genutzt werden um die Mail authentischer zu machen.

Angeblich sind von der gleichen Hackergruppe auch eine Reihe anderer Finanzdienstleister in den USA gehackt worden. Darunter angeblich auch Fidelity – bei der auch ich Kunde bin. Fidelity ist eine Investmentbank die Aktienkonten auch für sehr viele Mitarbeiterbeteiligungsprogramme verwaltet. So auch unter anderem für Microsoft.

Anders als in Österreich wo von den Banken Einmalpasswörter (TAN’s) verwendet werden – gibt es am Fidelity Konto nur einen PIN für den Handel mit Aktien. Sollte also jemand diesen PIN ergattern und an die Login Informationen gelangen – könnte er meine Aktien die im Depot von Fidelity liegen auch verkaufen und auch eine Anforderung des Verkaufserlöses auf ein beliebiges Konto machen.

US Banken (und auch Österreichische) verifizieren z.B. bei Telefongesprächen ob man tatsächlich der Anrufer ist, der man vorgibt zu sein darüber persönliche Informationen abzufragen. Wenn man diese Informationen weiß, geht der Bankmitarbeiter davon aus, dass man tatsächlich der Kontoinhaber ist. Genau auch dafür können die gestohlenen Informationen dienen. D.h. könnten die Angreifer auch beim Callcenter der Bank anrufen – und Phone Banking betreiben. Die erbeuteten Informationen können eben auch dazu dienen – die Verifikation beim Telefonanruf zu überstehen.

J.P. Morgan Chase ist bemüht das Problem herunterzuspielen. Die U.S. Behörden sind jedoch sehr besorgt. Das sollten sie auch sein. Der Einbruch ist – wenn auch bisher noch kein Schaden bekannt geworden ist, der größte Bankraub aller Zeiten. Er zeigt auch auf wie Notwendig es ist – dass sowohl die Bank – als auch die Kunden sehr sorgsam mit dem Thema Telebanking umgehen. Ich glaube, dass die Österreichischen Banken in diesem Thema wesentlich weiter sind, als die U.S. Banken. Dass aber auch bei uns etwas passieren kann, zeigte der Einbruch bei der Bank Austria aus dem vorigen Jahr.

Google Glass: Schöne neue Welt!

Freut Ihr Euch auch schon auf die schöne neue Welt? Google Glass kann technisch sein gegenüber identifizieren. Die Brille macht ein Foto von seinem Gegenüber. Das Foto wird parametriert (Biometrische Merkmale) – und die Parameter lässt man im Hintergrund durch eine Datenbank laufen. Sobald eine Übereinstimmung gefunden wird – werden die vorhandenen Daten über die Brille angezeigt.
.
Endlich! Ich brauche nie wieder Angst zu haben, dass mir gerade in dem Moment der Name meines gegenüber nicht einfällt. Praktische Erfindung. Woher ich die Bilderdatenbank nehme. Nun nehmen wir im einfachsten Fall einfach mal Facebook her oder Xing, LinkedIn oder was auch immer. In Facebook findet man schon eine erkleckliche Anzahl an verwendbaren Gesichtsfotos mit dazugehörigen Daten. Das wäre vollkommen ausreichend für meinen Zweck. Da könnte ich dann auch gleich immer zum Geburtstag gratulieren – oder wüsste auch den Namen der Ehefrau.

Jetzt könnte jemand einwenden, dass Google solche Anwendungen in den Nutzungsbedingungen verbietet. Nunja wen interessiert es wenn Google etwas verbietet. Wenn es machbar ist, wird es gemacht und was will Google denn unternehmen, wenn jemand der die Brille gekauft hat, anders verwendet als man es sich wünscht?

Jetzt könnte man natürlich auch einwenden, dass es nicht möglich ist in einer Bilderdatenbank Matches zu den eben gesehenen Personen zu finden. Nun, es ist technisch möglich das zu machen und es funktioniert auch in einer akzeptablen Zeit. Das zeigt unter anderem auch die Applikation MedRef die so etwas für Krankenhauspersonal implementiert. Ein Pfleger kommt in ein Zimmer und kann alle Patienten mit Namen ansprechen. Dank elektronischer Gesundheitsdaten weiß er auch, dass Frau Müller Diabetikerin ist und sie keinen Zucker für den Kaffee bekommt. Sehr praktisch.

Natürlich kann man Glass auch für noch praktischere Dinge verwenden. Zum Beispiel bei der Exekutive. Es wäre doch enorm praktisch könnte ein Polizist sofort alle verfügbaren Informationen über sein Gegenüber im Glass eingeblendet sehen. Dass es technisch funktioniert haben wir ja schon bewiesen. Es würde in diesem Fall natürlich auf die Polizeidatenbank zugegriffen werden – angereichert mit öffentlich verfügbaren Informationen. Darüber wie fundiert solche Polizeidatenbanken sein können wurde ja bereits vor kurzem berichtet. Die Deutsche Polizei markiert ihre Klientel einfach nach Gutdünken, ohne Verurteilung und ohne je vor einem Richter gestanden zu sein.

Übrigens diese Applikation die das tut, gibt es ebenfalls bereits. Die Polizei in Dubai plant bereits die Anschaffung von Google Glass für Ihre Polizeieinheiten.

Wenn wir jetzt nicht nur mit den offiziellen Dateidatenbanken die Verknüpfungen herstellen sondern auch mit anderen Informationen wie z.B. die Datenbanken die durch diverse Vorratsdatenspeicherungen, Überwachungskameras, oder auch die von Geheimdiensten, dann sind wir wohl nicht so weit weg vom FIlm Minority Report – wo Personen bereits verfolgt werden, weil sie etwas anstellen könnten. Precrime nennt man das.

Ist doch toll, wenn man Personen bereits aus dem Verkehr ziehen kann, bevor sie etwas anstellen. Das ist ja auch das, was die Geheimdienste versuchen. Das macht Euch nichts? Ihr habt doch nichts angestellt? Ihr habt nichts zu verbergen? Nun das hatte John Anderton in Minority report auch nicht …

Engadget: Medref für Glass
Deutsche Polizei markiert 150000 Bürger als Drogensüchtig
Dubai will Google Glass für Polizei anschaffen
Minority Report

Twitter verklagt US Regierung wegen Maulkorberlass

Wie mittlerweile hinlänglich bekannt ist, betreibt die US Regierung und deren Geheimdienst NSA ein recht breit angelegtes Massenüberwachungsprogramm.

Dabei entscheiden nicht öffentliche Geheimgerichte darüber wer, wann und wie zu überwachen ist. Die betroffenen Unternehmen dürfen aber nicht einmal darüber sprechen, dass eine derartige Überwachung stattfindet.

Mittlerweile hat in der Technologieindustrie ein Umdenken stattgefunden. Statt diese Maulkorberlässe einfach hinzunehmen beginnen die Technologieunternehmen sich dagegen zu wehren. Twitter reichte eine Klage dagegen ein, dass sie Ihre Benutzer nicht über Überwachungsmaßnahmen informieren darf. Diese Auflagen seien gegen das Recht der freien Meinungsäußerung.

Weitergehende Informationen:
http://www.zeit.de/digital/datenschutz/2014-10/twitter-klage-ueberwachung

VAP: DNS Sperren unzureichend

Seit letzter Woche (Donnerstag 2.10.2014) gibt es in Österreich Netzsperren. Der Verein für Antipiraterie in Österreich (VAP) hat über ein Gerichtsverfahren erreicht, dass Internet Seiten von den Internet Providern auf Zuruf (ohne weiteres Gerichtsverfahren und ohne Anordnung eines Richters) gesperrt werden müssen.

Die Internet Provider sind mit diesem Zustand sehr unzufrieden, denn sie werden zu Hilfssheriffs ernannt, die selbst Recht sprechen müssen. Sie müssen beurteilen ob die behauptet Rechteverletzung tatsächlich vorliegt – und dann eine Seite sperren. Dies kann natürlich auch nach hinten los gehen, denn wenn der Provider eine Seite sperrt könnte ein Kunde den Provider verklagen weil er seine Verträge nicht erfüllt.

Ich muss auch vorausschicken, dass ich grundsätzlich Verständnis für das Urheberrecht habe – ich habe meine Brötchen auch schon mit Softwareentwicklung verdient und ich verstehe dass ein Urheber (in meinem Fall Programmierer) mit seiner Arbeit Geld verdienen möchte..Wir müssen uns als Gesellschaft überlegen wie wir das Problem lösen können. Der derzeit eingeschlagene Weg ist aus meiner Sicht aber der falsche.

Zudem ist es aus meiner Sicht auch Fragwürdig ob Seiten wie kinox.to oder andere derartige Seiten überhaupt selbst Urheberrechtsverletzungen begehen. Zumeist sind auf solchen Seiten selbst keine urheberrechtlich geschützten Werke gespeichert. Die (in diesem Fall) Filme liegen nicht auf dem betroffenen Server selbst – sondern sind meist übers Internet verstreut auf unterschiedlichen File Sharing Plattformen gespeichert. Die Seite beinhaltet nur eine “Suchmaschine” und Links auf die Werke. Man müsste eigentlich also bei den Plattformen ansetzen die die Werke tatsächlich zum Download anbieten – das ist jedoch schwierig, weil es derer sehr viele gibt. Zum anderen bieten diese Plattformen auch legale Inhalte an (je nachdem was die Benutzer eben auf diese Server laden).

Ich selbst finde auch kinox.to nicht sehr sympathisch und sehr mühsam. Die Filme die dort angeboten werden können nur schlecht gefunden und gestreamt werden – man wird mit Werbepopups und teilweise auch Malware überschüttet – und die Wahrscheinlichkeit dass man sich Adware und andere Dinge auf den PC holt ist größer als dass man einen annehmbaren Filmgenuss hat. Der Hintergrund ist dass Seiten wie kinox.to viel Geld mit Werbung verdienen – die ihre Seite zupflastert. Der gratis Download von Filmen ist gar nicht so gratis und die Portalbetreiber verdienen nicht schlecht damit. Betreiber kino.to (vorläufer von kinox.to) Kim Schulz (aka Kim Dotcom) – war immerhin einer der reichsten Neuseeländer. Das ist unfair, denn das Geld wäre nicht diesem Typen sondern den Urhebern der FIlme zugestanden.

Die Implementierung der Netzsperren erfolgt über eine Falscheintragung im DNS Server des betroffenen Providers. DNS Server sind jene Server die Einen Namen  (kinox.to) auf eine vom Computer verständliche IP Adresse (91.202.61.170) umsetzen. Wenn man also im Browser http://kinox.to eintippt landet man eigentlich auf http://91.202.61.170.

Wenn nun der Provider eine “Netzsperre” vornimmt, dann gibt der DNS Server eine falsche Antwort. Im Normalfall wird man auf eine Web Seite des Providers umgelenkt, die einem mitteilt,, warum man die Seite nicht erreichen kann.

Die betroffenen Provider sind Tele2, A1, UPC und 3. Wenn man also Kunde von einem dieser Provider ist, deren DNS Server nutzt und kinox.to ansurft, gelangt man auf eine Website die einem mitteilt dass man das nicht darf.

Ich habe mittlerweile in diesem Text bereits zwei Methoden dargestellt wie man diese Netzsperren umgehen kann:

  1. Wenn man die IP Adresse des Servers kennt benötigt man den DNS Server gar nicht. Mittels http://91.202.61.170. landet man auch auf kinox.to – der DNS Server wird nicht gefragt – daher funktioniert das auch bei den betroffenen Providern.
  2. Wenn man einen anderen DNS Server als den des Providers verwendet.
    Die bekanntesten “freien” DNS Server sind die von Google: 8.8.8.8 und 8.8.4.4. Trägt man diese beiden Server unter den Einstellungen der Netzwerkkarte im IPv4 Protokoll als Name Server ein – funktioniert die Sperre der Seiten auch nicht.

es gibt noch weitere Möglichkeiten:

  1. Kinox.to hat sofort reagiert und ist nun auch unter http://kinox.tv und http://kinox.me erreichbar. Da ein anderer Name verwendet wird, müssen die Provider auch diese sperren. Das wird wieder einige Zeit dauern – und irgendwann werden auch diese Seiten gesperrt werden.
  2. VPN
    Virtuelle Private Netzwerke verwenden sogenannte Tunnelprotokolle. Wenn ich mich von zu Hause mit einem VPN Server verbinde, dann sieht es für den Rest der Welt so aus, als ob ich das Internet aus dem Blickpunkt des VPN Servers verwenden würde. Ich sitze also sozusagen zum Surfen im Netzwerk des VPN Servers. Wenn der VPN Server im Ausland steht, dann haben Österreichische Sperrvorschriften keinen Einfluss auf diesen Server. Man kann daher das Internet verwenden wie es dieses Land / dieser VPN Provider zulässt.
  3. TOR
    TOR ist ein “Verschleierungsnetzwerk” – Es macht es schwieriger nachzuvollziehen wer von wo, welche Seiten ansurft. Auch die Verwendung von TOR würde die Sperrlisten unwirksam machen.

Die VAP sagt nun, dass sie die Sperrmaßnahmen für die Seiten für unzureichend hält. Man verlangt nun von den Providern weitergehende Sperren als die Seite nur im DNS Server zu blocken. Man legt nahe, dass man Sperren von gewissen IP Adressen wünscht.

Die VAP übersieht dabei, dass auch diese Sperren leicht zu umgehen sind. VNP’s oder TOR ist auch die IP Adresssperre egal. Da man mit VPN sozusagen von einem anderen Land aus surft sind Sperren des eigenen Providers irrelevant.

Was kommt dann als nächstes? Sperre von VPN Zugängen. Natürlich könnten die Provider auch alle VPN Zugänge aus ihrem Netz blockieren. VPN ist aber eine Technologie die vor allem von Unternehmenskunden verwendet wird. In Unternehmen werden VPN’s dazu verwendet – dass ein Mitarbeiter von zu Hause oder unterwegs – sicher auf Unternehmensdaten zugreifen kann. Eine Sperre der VPN Technologie würde also dazu führen, dass Unternehmen die Netzwerke der betroffenen Provider nicht mehr nutzen können.

Da VPN’s also voraussichtlich nicht verboten werden können – müsste man noch einen “Sittenwächter” neben jeden Benutzer stellen. Das wäre die einzige Möglichkeit Flächendecken sicherzustellen, dass der Benutzer nicht “böse” Seiten ansurft. Da das vermutlich zu teuer wäre könnte man die Internet Provider dazu verpflichten Benutzer zu “vernadern” – und dann erst die “Sittenwächter” losschicken um die bösen Benutzer zur Rechenschaft zu ziehen.

Kommt Euch dieses Szenario bekannt vor? Mir auch. Und mir läuft ein kalter Schauer über den Rücken. Solche Systeme gab es schon mal in der Geschichte und nein, sie haben nicht nur dazu gedient Urheberrechtsverletzungen zu verfolgen. Wenn die Mechanismen einmal da sind, kann man sie natürlich auch anders verwenden. In so einem System will ich nicht leben.