Nach oben

Aufgeblasener Spion in der Mailbox

Update: Live Fact checking bei Spiegel Online??

Ich lese den SPIEGEL jetzt seit etwa 15 Jahren und immer noch gern. Mir geht noch nicht mal die eigentlich penetrante Manie auf die Nerven, jeden Artikel mit einer persönlichen Begebenheit zu beginnen, um Authentizität zu suggerieren. Wenn Angie zu Münte sagt, er soll gefälligst seinen roten Schal abnehmen, bevor er sich zu ihr auf die Regierungsbank setzt — oder man dasselbe nur vermutet — ich find’s ganz lustig. Und auch diese pseudodramatisch ausklingenden Enden, wo ein bedeutungsschwerer Satz noch lange nachhallt (mehr im Heft als online), sind manchmal etwas übertrieben, aber wieso nicht.

Mir fällt allerdings auf, dass mir bei allen Themen, bei denen ich mich selbst etwas auskenne, dieselben Manierismen unglaublich auf die Nerven, vor allem da, wo es eigentlich keine Nachricht von Bedeutung zu vermelden gibt. Vor sechs Wochen war es Facts, das simples Googeln als sensationellen Hack verkaufte, heute ist es der Spiegel mit dem Artikel Spion in der Mailbox (aus der Ausgabe von Montag vorab online), der aus einer kleinen Meldung eine grosse Geschichte machen will.

Die Fakten sind nämlich schnell erzählt: Mit verschiedenen VoIP-Diensten kann man bei Anrufen seine Nummer faken, dadurch kann man auf Voicemail-Applikationen zugreifen, die so eingestellt sind, dass sie Anrufe von der „eigenen“ Nummer automatisch autorisieren. Mit einem zusätzlichen Trick kann man so auch gratis telefonieren: Man hinterlässt zuerst eine Nachricht mit Kennung der (z.B. ebenfalls gefaketen) Absendernummer, dann hört man diese ab und wählt die Option „Rückruf“. Ich nehme mal an, danach löscht man die Nachricht wieder. Der richtige Kunde merkt es nur, wenn er zufällig dazwischen selbst die Mailbox abhört.

So weit, so schlecht, aber auch nicht eben dramatisch. Es gibt eine neue technische Möglichkeit, die zu einer Verschlechterung der Sicherheit in einem bestimmten Aspekt führt, und nun muss man die Sicherheitsvorkehrungen anpassen. Im Gegensatz zu relevanten Fällen von Sicherheitslücken ist hier die Gegenmassnahme völlig trivial: Die richtige Nummer reicht einfach in Zukunft nicht mehr als Identifikationsmerkmal. (Die E-Mail-Absenderadresse zum Beispiel war nie ein sicheres Merkmal von Authentizität, leider eigentlich, aber abgesehen davon, dass ein paar Millionen Leute das nicht wissen und daher potenziell auf Phishing-Mails hereinfallen könnten, ist es kein grosses technisches Problem, Authentifizierungsprozesse via E-Mail werden einfach anders aufgebaut,nicht durch Senden wird eine Mailadresse beglaubigt, sondern durch Empfangen, vgl. Double-opt-in.) Und entsprechend wundert es auch nicht weiter, dass „alle Firmen versprachen, das leidige Problem innerhalb weniger Tage in den Griff zu bekommen“.

Natürlich, schon nervig, aber sowas wird sich nie ganz verhindern lassen, weil es halt immer den Tradeoff Convenience vs. Security gibt (vgl. PIN „1234“), und manchmal muss man da halt nachjustieren.

Aber nun wieder der Spiegel.

Erst dieses Intro, mit einem Typen, der eigentlich Videocassetten repariert. Sehr relevant. Und ausgerechnet so einer hat jetzt dieses RIESENding aufgedeckt. Wahnsinn. Leider kommt er dann in der Geschichte gar nicht mehr vor, nur war der Deal vermutlich, dass man ihn namentlich nennt, weil er es dem investigativen Spiegel-Reporter gesteckt hat.

Ohne großes technisches Equipment und mit relativ bescheidenem Fachwissen…

Ja, man muss halt ein bisschen VoIP-Equipment und einen Vertrag mit einem Anbieter haben (keine Ahnung, mit welchem das geht) und dort die Dialogbox finden, wenn ich mir so die Usability von VoIP-Bastelsystemen anschaue, eventuell schwieriger als man denkt. 🙂

Dann der „Bluebug“. Der überhaupt gar nichts mit dem vorliegenden Fall zu tun hat, aber zweifellos auch sehr gefährlich war. Aber „der Spion musste sich im Umkreis von höchstens zwei Kilometern um das Handy aufhalten“. Was? Mit Bluetooth? Zehn Meter, würde ich sagen, und das besser ohne Wand dazwischen. (Gefunden bei AVM: Unter „idealen Bedingungen“, das ist vermutlich auf dem Mond, und mit der neusten Generation kommt man maximal 400 m weit.)

Gegenüber dem neuentdeckten Leck wirkt der Klassiker aber wie ein Kindergeburtstagsspaß…

Abgesehen von der albernen Formulierung, ist das wirklich so? Ob jemand Adressbuch und Kalender von meinem Handy kopiert oder löscht oder meine Voicemails abhört? Natürlich ist beides doof, aber wenn man es in Menge geklauter Information umrechnet, ist der Zugriff auf die Handy-Daten wohl eher schlimmer.

Von der neuen Sicherheitslücke dagegen sind Handys jeder Bauart betroffen. Der Hacker kann Tausende Kilometer entfernt sitzen. Er muss nur die Rufnummer des Mobiltelefons kennen, das er illegal aushorchen will. Und das Problem, so vermuten Experten, betrifft fast alle Netze weltweit.

Ja, das erste stimmt, weil es mit dem Handy überhaupt nichts zu tun hat. Wenn auf der Autobahn Stau ist, sind auch Autos jeder Bauart betroffen. Und dass man Tausende Kilometer entfernt sein kann beim Telefonieren, potz, das ist auch so, aber schon länger. Und dreimal ja, es dürfte alle Netze betreffen, zumindest alle, die ihren Kunden diesen komfortablen Autologin angeboten haben, weil es, wie gesehen, ein logisches Problem ist, kein technisches.

Die Lücke riss offenkundig auf, als etwas anderes zusammenwuchs: klassische Telefonnetze und Internet.

Das stimmt. Jetzt kommen ja auch die drei Absätze mit dem eigentlichen Inhalt, der knapp die Hälfte des Artikels ausmacht und den ich mir erlaubt habe vorzuziehen. Aber wenn man erstmal nicht schreibt, worum es geht, und die Leser über 20 Zeilen in dem Glauben lässt, es habe jemand sonstwas für einen Hack zustande gebracht, dann wird es natürlich viel spannender.

Voice over IP (VoIP) heißt das Zauberwort im Jargon der Techniker.

Also, der Videocasettenbügler hat mit Klaus-Peter Kerbusk schon mal nicht unbedingt den Technikexperten des Spiegel erwischt. Hier wird über VoIP geschrieben, als wäre es ein obskurer Geheimbund. Wenn das Frank Patalong liest (Chef Ressort „Netzwelt“ bei SpOn), dann wird er sich auch seinen Teil denken, denn bei SpOn gibt es schon ein ganzes Dossier über VoIP.

Zwischendurch kommt’s dann nochmal ganz dicke: In einem „ähnlich gelagerten Fall“ habe ein Hacker neulich schon das private Telefonverzeichnis von Paris Hilton „ausspioniert“. Ähnlich gelagert? Damals ging es darum, dass Paris Hilton den „Sidekick“ von T-Mobile hatte, der automatisch einen Backup des Adressbuchs im Web speichert. Was praktisch ist, wenn man das Gerät verliert. Aber weniger sicher als wenn man die Daten nur lokal hat. Siehe oben zum Tradeoff. Wenn ich mich recht entsinne, hatte Paris als Username ihren Namen und als Passwort den Namen ihren Hundes, Tinkerbell, den jeder GALA-Leser kennt. Das war so dämlich, dass man gar nicht von einem Hack sprechen konnte, sondern der Typ hat sich einfach regulär eingeloggt. Cool war nur, dass er alle Promi-Telefonnummern gleich gepostet hat, und nur deswegen stand es auch am Ende in „20 Minuten“. Diese beiden Sicherheitslücken sind nun wirklich überhaupt nicht „ähnlich gelagert“, ausser dass beide etwas mit Computern zu tun haben, aber, sorry, das ist das Niveau, auf dem meine Mutter unseren Nachbarn erklärt, „unser Sohn macht was mit Computern“.

Ja, und am Ende kommt dann natürlich noch der Nachhall-Ausklang:

Die Lösung scheint relativ einfach: Ab sofort werden sich alle Handy-Nutzer vor der Abfrage ihrer Mobilbox über eine Geheimnummer identifizieren müssen, wenn sie nicht direkt aus dem eigenen Netz heraus anrufen.

Eben. Gefahr erkannt, Gefahr gebannt.

Die entsprechende Zahlenkombination sollen sie bei speziellen Hotlines erfahren oder zugeschickt bekommen – per SMS.

Nicht im Ernst! Was soll denn das jetzt heissen? So konspirativ hatte der Artikel doch schon angefangen, und dann war rausgekommen, dass die Riesensicherheitslücke ein kleines, unangenehmes, aber schnell zu behebendes Leck ist. Und am Ende will der Autor uns en passant doch noch mal schnell weismachen, dass eigentlich doch alles unsicher ist, was mit Handys zu tun hat??

Also auch SMS…

Denn — man weiss ja nie.

Kommentare

Kommentar schreiben

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.