I keep my head above the surface.
Trying to breathe, looking for land.
I keep an eye at the distant horizon.
Waiting for help, clutching the sky.Covenant, Phoen IX
Tja, nach dem Hack… ist vor dem nächsten Hack. Es ist nun einmal jeder Rechner im Internet ein Opferrechner, und zurzeit sind meine Projekte jeden Tag mindestens zehn Versuchen einer »feindlichen Übernahme« ausgesetzt, die von Kinderkram bis zu sehr ernsthaften Angriffen reichen. Das ist der ganz normale Irrsinn, vor dem sich jeder gestellt sieht, der etwas im Internet macht – vor allem, wenn dieses Etwas eine Beachtung findet, die weit über den persönlichen Wirkkreis hinaus geht und damit Begehrlichkeiten weckt.
Ich habe mir dieses Mal allerdings gesagt, dass ich auf diese Art Scheiße gar keine Lust mehr habe, dass ich mich viel lieber meinem Leben neben dem Internet widmen möchte, das ich doch immer noch für die Hauptsache in meinem Dasein halte. Ich möchte schon seit Monaten etliche Projekte einstampfen, da ich mich leergeschrieben wie ein Einwegkugelschreiber im Mülleimer fühle – da reicht denn manchmal schon eine »Kleinigkeit«, um das Fass zum Überlaufen zu bringen. Nur das Bloggende Hannover hätte ich um jeden Preis retten wollen, und noch einige weniger beachtete Projekte, an denen mir wirklich etwas liegt.
Dennoch, der Vollständigkeit halber hier ein kleiner Rückblick auf den bislang miesesten Tag dieses Jahres, das auch ansonsten nicht gerade arm an miesen Tagen war.
Am späten Montag Nachmittag – gar nicht hell zur Sommersonnenwende – erblickte ich fern einer guten Internetanbindung ein vollständiges Defacement des Blahblogs, des Spamblogs, des Bloggenden Hannover, der Homepage zur deutschen Sprachdatei für bbPress und des »offiziellen« deutschen Verschwörungsblogs. Meine nächste Tat war es… zunächst gar nichts Überstürztes zu tun, sondern ganz schnell einen »richtigen« Arbeitsplatz zu bekommen, an dem ich die Sache unter die Lupe nehmen kann. Deshalb rief ich Frank an, ob ich schnell vorbei kommen könnte (und mit der Frage, ob er einen strammen Kaffee für mich hat, den ich für diese Nacht brauchen würde), und anschließend schwang ich mich auf mein Fahrrad und legte den Weg in einer für mich rekordverdächtig guten Zeit zurück, mit Stöpseln und der Musik von Ordo Rosarius Equilibrio in den Ohren und einer so schlechten Laune, dass mir fast schon wieder zum Lachen zumute war. Immerhin, ich habe keine kleinen Kinder vorsätzlich angefahren. Aber ich habe daran gedacht…
Nein, die kleinen Kinder können nichts dafür, wenn ich dartige Lücken offenlasse, die einem Cracker derartige Möglichkeiten bieten. Auf dem Weg hatte ich mich noch gefragt, wie der Angriff wohl gelaufen sein könnte. Das Blahblog und das Spamblog liefen ja schon unter WordPress 3.0, und die »Punkt-Nuller« von WordPress haben oft ihre Anfälligkeiten, es konnte also gut sein, dass »ich« hier über einen ganz frischen Exploit übernommen wurde. Ich verwünschte mich schon innerlich dafür, dass ich entgegen meinen sonstigen Gewohnheiten eine »Punkt-Nuller« genommen hatte, statt auf den ersten Bugfix zu warten, der gewöhnlich nach spätestens einen Monat kommt. Aber die lange Beta-Phase von WordPress 3.0 und der gute Eindruck in einer Testinstallation hatten mich überzeugt, dass es diesmal wohl nicht so schlimm sein werde.
Nun, ich sollte in dieser Entscheidung Recht behalten. Es war keine Lücke in WordPress, mit der meine Projekte übernommen wurden. Aber dazu später etwas mehr.
Als ich bei Frank ankam – ziemlich außer Atem und beswingt drauf – hatte ich beinahe gute Laune. Ich fuhr meinen dort bereit stehenden Arbeitsrechner hoch, es ist einer von diesen Rechnern, an denen ich so oft sitze, eigentlich ein wahrer Schrotthaufen, den jeder andere Mensch wegwerfen würde und der allein zum Hochfahren eine kleine Ewigkeit benötigt. Statt mir entspannt die Bootmeldungen anzuschauen, machte ich mir einen Kaffee, der deutlich jenseits der Grenze jeder Genießbarkeit liegt. Gut, dass ich für alles, was ich noch vor mir hatte, keine grafische Oberfläche benötigte… 😉
Meine erste Tat, nachdem ich mich über ssh mit dem Server verbunden hatte, war ein Check, ob der automatisierte, jeden Tag durchlaufende Backup der Datenbanken auch wirklich fehlerfrei war. Technik – von griechisch techne, Kunst – hat ja die unangenehme Eigenschaft, genau dann zu versagen, wenn es einmal darauf ankommt, und ich lasse mir die Meldung, dass der Backup gelungen ist, nur einmal in der Woche zumailen. Ärgerlicherweise war das schon ein paar Tage her, und daher meine Unsicherheit. Oh, wie ich mich gefreut habe, in den gzip-komprimierten Dateien richtige SQL-Dumps zu sehen, die völlig plausibel aussahen.
Nun hätte ich einfach zurückspielen können, aber ich saß ja vor einem kompromittierten System, dem ich nicht mehr trauen konnte. Ich musste herauskriegen, was los war. Deshalb warf ich mich zunächst auf die betroffenen WordPress-Installation und überprüfte mit Hilfe des find-Befehles, ob sich in diesen Installationen in den letzten 24 Stunden Dateien geändert hatten oder ob welche neu angelegt wurden. Erfreulicherweise war das nicht der Fall. Was immer der Angreifer getan hatte, dachte ich mir, er hat seine Spuren gut verwischt. Beim letzten Angriff, den ich abwehren musste, lagen ca. 50 Hintertüren aller Art im System verstreut, und die Bereinigung der Installationen war kein Spaziergang. Mira, die das damals miterlebte, war wirklich erstaunt über meinen ausgesprochen deftigen Wortschatz, den ich dabei aus meinem Munde entließ. 😉
So übel war es diesmal nicht. Aber es war übel genug. Ich hätte nun einfach die Datenbanken zurückspielen können – es waren noch nicht einmal Daten gelöscht, so dass der ebenfalls automatisch angelegte Vollbackup nicht erforderlich gewesen wäre – aber da war immer noch ein irgendwie offengelegtes System, und ich hatte zu verstehen, auf welche Weise das System offen gelegt wurde, bevor ich etwas anderes mache. Wenn man es gar nicht weiß, kann das eine recht knifflige Suche werden. Darüber hinaus stellte ich fest, dass sowohl mein Twitter-Account als auch mein ICQ-Account übernommen worden waren – ich nehme beides nicht besonders ernst und legte deshalb keinen Wert auf wirklich sichere Passwörter. Da war jemand schon sehr erpicht darauf, mir Probleme zu bereiten. Auf Twitter hinterließ der freundliche Sparringpartner eine deftige Selbstbeschimpfung, die dort als meine erschien, aber sprachlich so gestaltet war, dass jedem klar sein musste, dass sie nicht von mir sein konnte, und was er mit ICQ anfing, wusste ich noch nicht. Ich sollte es bald erfahren.
Ich holte mir erstmal Twitter zurück und gab dort eine kleine Information heraus, dass in größerem Maße Projekte von mir kompromittiert sind und dass meiner Kommunikation der letzten Stunden nicht unbedingt zu trauen ist. Außerdem löschte ich die etwas kindisch anmutende Kritzelei auf Twitter.
Nach einigen Minuten des Forschens auf einem kompromittierten Server wußte ich auch, wie der Angriff verlaufen war. Er geschah über einen FTP-Zugang.
Nun stellt sich noch die Frage, wie der freundliche Angreifer wohl an Zugangsdaten aller Art gekommen ist. Zum näheren Verständnis dieses Vorganges hier nur der Log eines ICQ-Gespräches zwischen »goebelmasse« (dem Angreifer, der fröhlich mit meinem Konto schnatterte und sich als mich ausgab) und yyy (einem Menschen, der mich kennt), der mir zugestellt wurde:
(18:21:41) goebelmasse: oh XD darf doch nich war sein!
(18:22:04) goebelmasse: du sagmal, hast du noch die zugangsdaten von [Von mir entfernt]? kann die nich mehr finden o.0
(18:22:21) yyy: öhm ich hatte nie die zugangsdaten von Wut
(18:23:01) goebelmasse: hm das ist nich gut.,… weil auf meine email komm ich auch nich mehr drauf 🙁
(18:23:16) yyy: ich habe nur den zugang zu den statistiken
(18:23:50) yyy: wieso kannst du nicht mehr auf deine Email zugreifen?
(18:24:57) goebelmasse: pw funktioniert nich mehr… also nich bei der googlemail sondern bei der [Mailadresse von mir entfernt]
[… Ein paar Zeilen »persönlicher« Kommunikation von mir entfernt]
(18:26:09) yyy: ok
(18:40:45) yyy: bist du bei [Name von mir entfernt]?
(18:41:00) goebelmasse: elias
(18:41:02) goebelmasse: 😀
(18:41:08) yyy: ?
(18:41:12) yyy: äh?
(18:41:28) goebelmasse: elias schwerdtfeger
(18:41:31) yyy: ?
(18:41:38) yyy: wo bist du im moment?
(18:42:30) goebelmasse: na zu hause ? o.0
(18:42:38) yyy: okey
(18:42:45) yyy: muß jetzt los, bis dann
Einmal ganz davon abgesehen, dass ich sogar beim Chatten ein deutlich besseres Deutsch ohne dieses Übermaß an Emoticons und Abkürzungen von mir gebe, zeigt sich hier, dass der Cracker nicht besonders gut vorbereitet war und eher ein »Standardprogramm« beim Social Hacking abspulte. Offenbar hat er mehrere derartige »Konversationen« parallel betrieben und die Frage »bist du bei xxx« beim flüchtigen Lesen gar nicht richtig verstanden, weil er sich nicht einmal die Mühe machte, diese Frage richtig zu lesen und sie halbautomatisch mit meinem Vornamen beantwortete. Und die durch schlichtes Lesen mit Leichtigkeit zu ermittelnde Tatsache, dass ich obdachlos bin, hat der unfreundliche Zeitgenosse auch nicht zu »recherchieren« gewusst, so dass er sich dazu hinreißen ließ, zu sagen, dass ich »zu hause« wäre. Nun, in genau diesem Moment war für »yyy« alles klar. Er musste auch nicht etwa »los«, sondern setzte alle Hebel in Bewegung, um mich wegen des laufenden Hacks zu warnen. Daraufhin konnte ich mir auch sehr genau vorstellen, auf welche Weise das FTP-Passwort herausgegangen ist…
So kann sich jede Nachlässigkeit in der Vergabe von Passwörtern rächen. Ich werde mir das jedenfalls gut merken und bedanke mich bei meinem anonymen Sparringpartner für das kostenlose Sicherheitstraining. Ein derartiger Angriff – mit einem bisschen mehr Recherche und Mühe im Vorfeld durchgeführt – hätte deutlich übler verlaufen können.
Da habe ich tatäschlich noch einmal Glück gehabt. Nun, manchmal braucht man eben auch Glück. Ebenfalls zum Glück weiß ich, auf welchem Hintergrund versucht wurde, meine Projekte aus dem Internet zu entfernen – es handelt sich um diesen (recht moderat geschriebenen) Artikel im Spamblog dessen weitere Hintergründe schon klar machen, womit man es bei diesen Leuten zu tun hat. Um den Artikel etwas resistenter gegen weitere Attacken derartiger Leute zu machen, habe ich zum Abschluss meiner Tätigkeiten zur Wiederherstellung der Projekte eine Spiegelung des gegenwärtigen Standes des Spamblogs bei WordPress.com angelegt. Damit auch ja niemand auf die unsäglich dumme Idee kommt, »Browserspiele« zu spielen, die über Spam angeboten werden!
Abschließendes
Ich kann einen Tag nach diesen Ereignissen nur davor warnen, allzuviel Vertrauen in die Kommunikation über Instant Messaging oder ICQ zu haben. Neben den direkt sichtbaren Bereichen wurden mit derart abgephishten Passwörtern noch ganz andere Dinge übernommen, unter anderem auch einige Forenaccounts. Grundsätzlich würde ich jedem Menschen raten, niemals ein bekanntes Passwort über ICQ oder über Mail herauszugeben, weil jemand Bekanntes darum bittet – denn so kann aus einer einzelnen erfolgreichen Übernahme schnell eine Lawine werden, in der jemand untergeht. Alle Alarmglocken sollten schrillen, wenn der sprachliche Stil des Gegenübers vom Gewohnten abweicht.
Ebenfalls muss ich im Moment davor warnen, einer Mail nur wegen ihrer Absenderadresse zu trauen, denn auch die lässt sich leicht fälschen oder könnte aus einem übernommenen Account stammen. Da ich mir wirklich »Freunde« gemacht habe, gilt dies in ganz besonderer Weise bei Mails, die scheinbar von mir stammen. Denn von denen gibt es gerade eine ganze Menge. Ich versende grundsätzlich keine Links ohne besonderen Grund, und mein normaler sprachlicher Stil ist auch in Mails unverändert, wenn auch oft dezent informeller. Wer mich kennt, weiß übrigens auch, dass ich ganz besondere, gesellschaftlich eher unübliche Grußformeln in Mails verwende, die ich hier jetzt aus naheliegenden Gründen nicht genauer erläutere. Wenn solche Grußformeln fehlen, stammt die Mail mit an Sicherheit grenzender Wahrscheinlichkeit nicht von mir. Wenn sie vorhanden sind, ist dies aber auch nicht gerade ein Zeichen, dass ich der Verfasser der Mail bin.
Von daher werde ich wohl demnächst zu signierter Mail übergehen, um den Missbrauch ein bisschen schwieriger zu machen.