Dieser Artikel wurde geupdated zu den Themen NN-Crew und Versicherungsdatei, die ich für einen Fake halte. Das Update findet sich unten am Textende. Ich verleihe hiermit die goldene Ananas der Kategorie „Peinlichkeit aus Steuergeldern“ an den Bundesvorsitzenden der Deutschen Polizeigewerkschaft, Rainer Wendt. Der findet im Kontext des Hacks von der NN-Crew auf die Bundespolizei, dass die Behörden im Netz offensiver werden müssen. Herrlich, das ist wahrscheinlich noch ernst gemeint! Es könnte helfen, erstmal ein bisschen von der Defensive zu lernen und sich insbesondere nicht von irgendwelchen Kinderchen herumschubsen zu lassen. Ich fasse mal chronologisch in wenigen, einfachen Absätzen zusammen, was genau da gelaufen ist:

Einer der zentralen Downloadserver der Bundespolizei verwendet als Serversoftware das sogenannte XAMPP. Was also ist XAMPP? XAMPP ist ein Testsystem. Wer einen Internetdienst (oder in dem Fall Downloadserver) installieren möchte, benötigt gewisse Serversoftware, die oft aus mehreren Komponenten besteht, die einzeln und mit etwas Erfahrung eingerichtet werden müssen. Wer darauf keine Lust hat weil er sowieso nur was testen will, der nimmt einfach XAMPP. Da sind die gängigen Komponenten enthalten, und es ist mit extrem wenig Aufwand und Fachwissen installiert, das schaffen auch Spezialexperten bei bundesdeutschen Behörden. Da es ein reines Testsystem ist, ist es überhaupt nicht auf Sicherheit ausgelegt. Wer ein bisschen Ahnung hat, kann da ohne weiteres einbrechen. Da braucht es keine „Hacker“ für. Es ist nicht so, dass diese Sicherheitsmängel verheimlicht werden, selbst der Wiki-Artikel über XAMPP spricht von bewusst in Kauf genommenen Einschränkungen in Hinblick auf die Sicherheit von XAMPP, vom XAMPP-Handbuch ganz zu schweigen. Kurz: Wirklich jeder Informatiker ab dem ersten Semester und jeder Admin ab dem dritten Lehrtag weiß, dass XAMPP ein nettes Testsystem ist, aber nichts für den Produktivbetrieb, schon gar nicht in sicherheitsempfindlichen Umgebungen. Das ist keine Lücke in der Sicherheit, da gibt es keine Sicherheit. Und das auf einem der zentralen Downloadserver.

Die NN-Crew hat also Kontrolle über den schlicht ungesicherten Downloadserver der Bundespolizei und infiziert die Programme darauf mit Trojanern. Die verschiedenen Ämter laden sich die Programme (samt Trojaner) fleißig herunter, und machen so über extrem lange Zeit alle möglichen Daten für die NN-Crew einsehbar. Hier ist mir spontan eingefallen, warum das jahrelang nicht entdeckt wird. Liest in sicherheitssensitiven Umgebungen keiner wenigstens mal die Trafficmetadaten auf ungewöhnliche Verbindungen mit? Gibt es da keine Beschränkungen für ausgehenden Datenverkehr?

Das ganze wird nicht etwa durch die Bundespolizei, sondern durch die NN-Crew bekannt, die ein paar Inhalte der kompromittierten Systeme online stellt. Darunter Telefonnummern, Kennzeichen, Orte und Koordinaten von überwachten Fahrzeugen, sowie interne Dokumente. Wäre ich einer der betroffenen Fahrzeughalter und die Welt wüsste jetzt, dass ich überwacht werde, würde ich versuchen, die Bundespolizei für ihre Sicherheitsmängel zu verklagen.

Der erste "Hacker" wird festgenommen. Ich wiederhole an dieser Stelle nochmal, dass man nicht viele Hackingkenntnisse braucht, um in XAMPP einzubrechen. Darum steht das hier in Anführungszeichen. Die Spezialeinsatzkräfte konnten jedoch nicht verhindern, dass der mutmaßliche Hacker sein Laptop zuklappte und damit seine Daten zum Teil verschlüsselte. Auch da musste ich wieder lachen. Damit hat ja nun NIE-MAND rechnen können. Ich bin gespannt, wann der erste Richter / Minister / Polizist völlig unbelastet jedweder Sachkenntnis anregt, Verschlüsselungen zu verbieten oder die Herausgabe der Kennwörter an öffentliche Stellen zu erzwingen. Zur ganz eigenen Realität mancher Richter sage ich unten gleich noch was.

Ein zweiter "Hacker" wird festgenommen. Den haben sie nicht etwa selbst aufgespürt, neinnein – ein anderer findiger Netzbürger hat ihn gefunden und seinen Fund dann ans Bundesamt für Sicherheit in der Informationstechnik gemeldet. Unsere Behörden lassen sich – im Guten wie im Schlechten – gerade von Internetkindern „fernsteuern“.

Und nun findet Herr Wendt (gleiches Zitat wie schon im Teaser zu diesem Artikel, nur länger): „Dieser Angriff war ein Schock, aber hoffentlich ein heilsamer. Die Behörden müssen daraus lernen und im Netz offensiver werden.“ Der Polizei müsse erlaubt werden, von sich aus gegen solche Attacken vorzugehen. Bei aller Liebe – Soviel Peinlichkeit geht auf keine grüne Kuhhaut. Es hätte auch gereicht, mal in die Handbücher zu gucken und einen sicherheitsrelevanten Produktivserver, der auch noch Programme für andere sicherheitsrelevante Systeme zentral anbietet, nicht mit XAMPP zu betreiben.

Aber es kommt noch besser, das Zitat geht noch weiter: Etwa indem sie Server, die der Ausgangspunkt für derartige Angriffe seien, attackiere, lahmlege oder zerstöre. Dazu solle sie Mittel und Befugnis erhalten, so Wendt. Aha. Soso. Wir „zerstören“ dann mal Server von denen etwas schädliches ausgeht. Weil ja auch alle Server in Deutschland stehen, und findbar und erreichbar sind, mh? Das erinnert mich an folgendes:

Vor ein paar Tagen habe ich mit einem Richter diskutiert (ohne jetzt auf die genaue Position einzugehen, es ist ein ranghöherer, der hockt hier also nicht irgendwo am Amtsgericht – um die Anonymität desjenigen zu wahren bleibe ich hier aber vage). Der wollte auch eine Art roten Knopf für Internetseiten, den man drückt, und sodann würde die Internetseite sofort gelöscht, egal wo sie auf der Welt gehostet ist, mitsamt aller weltweiten Kopien. Und die Naturwissenschaftler, mit denen könne man nicht reden, da würde man ja gegen Wände reden, die würden immer sagen „das geht so nicht“. (Ja klar, wir Naturwissenschaftler machen das aus Frackigkeit!)

Allerdings habe ich im Verlauf des Gespräches auch verstanden, wie Gesetze entstehen. Sinngemäß gab es folgenden Wortwechsel:

• Ich: „Wenn wir für irgendetwas eine Filter-Infrastruktur schaffen, kann man damit alles mögliche zensieren, und nicht nur das, wofür es ursprünglich gedacht war. Wenn Sie heute eine solche Infrastruktur für z.B. Kinderpornographie schaffen (was ehrenhaft ist), wird die in der nächsten Generation relativ sicher gegen missliebige Meinungen genutzt. Was möglich ist, wird auch gemacht.“
• Richter: „Ich kümmere mich aber nur um die Probleme dieser Generation und denke nicht an die nächste.“

Na dann ist ja alles klar.

P.S.: Kommt nicht auf die Idee mich nach dem Namen des Richters zu fragen, hier wird niemand verpetzt und nach dem fachlichen Streitgespräch, in dem ich auch viel über die Denkweise von Juristen lernen durfte (was gut ist), haben wir uns auch die Hand gegeben. Ich werde viel daran setzen, mich mit demjenigen nochmals auf eine Diskussion einzulassen. Das Problem ist nämlich, dass die Juristen mit den Naturwissenschaftlern (und umgekehrt) nach kurzer Zeit nicht mehr diskutieren und man einfach etwas länger durchhalten muss, bis man einander länger versteht.

Ich habe Kommentare erhalten, warum ich nichts zu der von der NN-Crew in Umlauf gebrachten Versicherungs-Datei schreibe. Kurzer Hintergrund: Das ist eine von der NN-Crew in Umlauf gebrachte verschlüsselte Datei mit angeblich sehr vielen Bundespolizei-Daten, für die das Passwort automatisiert bei Festnahme der NN-Crew-Mitglieder in Umlauf gebracht werden sollte. Seit dem Abschalten der Internetseite der NN-Crew hat sich die Datei natürlich extrem weit verbreitet. Würde das Passwort veröffentlicht, wären also mit einem Schlag die Bundespolizeidaten verbreitet.

Ich sage dazu nichts, weil ich die Datei für einen Fake halte. Das sagt mir mein Bauchgefühl nach Betrachtung der NN-Crew-Webseite, gestützt durch winzige Aspekte wie den auf der NN-Crew-Webseite veröffentlichen Javascript-Countdown, von dem ich relativ sicher bin, dass er bei seinem Ablauf kein Passwort nachgeladen hätte . Darum hätte ich anstelle der Polizei auch die Seite nicht abgeschaltet um noch zusätzlich Aufmerksamkeit zu erzeugen.

Die Screenshots auf der Seite waren so generisch, die hätte eigentlich jeder machen können, und die Seite strotzte auch nur so von Klischees (grüne Konsole auf schwarzem Grund, schlechte Rechtschreibung, die spätpubertäre Formulierung der Motive, das Hintergrundbild, und so weiter). Eigentlich hat nur noch ein animierter Matrix-Hintergrund und das „Worm-Creator-Tool“ aus dem Film „Password: Swordfish“ gefehlt. Kurzfristig habe ich darüber nachgedacht, ob das sogar ein Inside Job sein könnte, um Internetsicherheitsgesetzgebungen zu ermöglichen, ich sehe aber noch zu viel Gutes in unseren Behörden als dass ich das glauben möchte (und zu wenig IT-Kompetenz).

Ockhams Rasiermesser sagt, dass die einfachste Lösung meistens auch die richtige ist. Ich würde also sagen, das waren irgendwelche besseren Scriptkiddies, die dann Angst bekommen haben und dachten, sie könnten die Polizei mit einer solchen Versicherungsdatei unter Druck setzen, was aber nicht geklappt hat. Eine Verzweiflungstat sozusagen, die aber zeigt, von was für Leuten sich unsere Behörden an der Nase herumführen lassen.

An dieser Stelle möchte ich auch der NN-Crew sagen: Herzlichen Dank. Ihr habt keine relevanten Informationen aufgedeckt, und im Austausch dafür habt ihr Argumente für Internetüberwachung geliefert. Das habt ihr toll gemacht. Ich wünsche euch, dass ihr mal an Leute geratet, die es ernsthaft können.

Also ehrlich, ich komme immer noch nicht darüber hinweg, dass die XAMPP auf einem sicherheitssensitiven Server einsetzen.