Die Themen dieses Newsletters

• 1. 2009: Der Sündenfall der Social Networks und die Radikalisierung des öffentlichen Diskurses - und mit viel Glück eine Korrektur durch den neuen DSA
• 2. Neues aus der Kryptowährungs-Szene
• 3. Hintergrundartikel zu 'Geld', Geschichte und Zukunft
• 3a. Stablecoins und digitales Zentralbankgeld
• 4. Kryptowährungen als Einladung für kriminelle Banden
• 5. Cyberangriffe im Ukraine-Krieg
• 6. Updates zum geplanten Digital Markets Act (DMA)
• 7. Immer wieder fehlende Cloud-Security
• 8. CCC-Oster Event: "Bridging Bubbles"
• 'Mastodon' als Alternative zu Twitter nach der Musk-Übernahme

 

183. Newsletter - sicherheitskultur.at - 30.04.2022

von Philipp Schaumann

Zum Archiv-Überblick

Hier die aktuellen Meldungen:

1. 2009: Der Sündenfall der Social Networks und die Radikalisierung des öffentlichen Diskurses - und mit viel Glück eine Korrektur durch den neuen DSA

2009 fand eine Veränderung in den Social Networks statt. Bis dahin bestanden diese frühen Social Networks aus Texten, die Nutzer für ihre Freunde, Bekannten, Friends, Follower schrieben. Jeder Social Network-Nutzer sah die Texte von den Menschen, die er bewusst ausgewählt hatte. Nutzer entdeckten als Schulfreunde oder Bekannte und informierten sich über ihre Erlebnisse, Freuden und Probleme, auch über größere Entfernungen und Ländergrenzen.

Was passierte in 2009? Facebook führt 'likes' ein und bewertete damit die Postings nach ihrer Beliebtheit. Die beliebtesten Postings werden nun auch anderen Nutzern gezeigt. Facebook Nutzer sehen in der Folge nicht mehr nur die Timelines der 'friends' sondern andere 'beliebte' Postings. Twitter führt 'retweet' ein, Facebook zieht mit 'share' nach. Postings werden bewertet und weiter gestreut.

Spätestens ab 2013 geht es um 'Viralität' von Postings und nicht mehr um Darstellung gegenüber dem eigenen Freundeskreis. Youtube und alle anderen Plattformen übernehmen des Konzept. Algorithmen 'entdecken' dass stark emotionalisierende Beiträge die Verweildauer auf der jeweiligen Plattform (und damit die Werbeeinnahmen) steigern.

Die Nutzer der Social Networks spüren, dass sie ihr Publikum vergrößern können, indem sie Postings bringen, die 'likes' bringen oder weiterverteilt werden. Aus Berichten für das eigenen Umfeld wird 'Performance' für ein unbekanntes Publikum, der Stil vieler Postings ändert sich. Nutzer erkunden, welche Inhalte weitere Verbreitung finden. Dies war der Beginn der 'Gladiatoren-Arena' wie wir sie heute in den Social Networks finden, mit Trollen, Hass-Postern und anderen die Freude am Konflikt haben.

Viel mehr Hintergründe in meinem neuen Text zum Sündenfall der Social Networks.

Aber nun kommt (hoffentlich) alles ganz anders: Der Digital Services Act (DSA)

Am 22. April 2022 wurde der Digital Services Act von den EU-Gremien entschieden, er soll Juli oder September 2022 entgültig verabschiedet werden und in der zweiten Jahreshälfte 2023 in Kraft treten: EU-Institutionen einigen sich auf strengere Regeln für das World Wide Web.

Viele der Punkte klingen sehr gut und sollen viele der Probleme mit den Social Networks eindämmen. So soll es massive Einschränkungen bei personalisierter Werbung geben und ein Totalverbot für Minderjährige, Daten wie sexuelle Orientierung, politische Einstellung und Religionszugehörigkeit dürfen gar nicht für gezielte Werbung genutzt werden. Illegale Inhalte müssen in 24 Stunden gelöscht werden.

Die meisten Regeln gelten für große Internetplattformen, die Parameter ihrer Empfehlungsalgorithmen (die für die Polarisierungen verantwortlich gemacht werden, siehe oben) müssen offengelegt werden und Nutzer müssen diese Parameter ändern können. Große Plattformen müssen gegen sogenannte Rache-Pornos ("revenge porn") vorgehen.

Wenn das denn alles so Realität wird wie das jetzt klingt, so muss ich größere Veränderungen auf meiner Website vornehmen, ein großer Teil meiner 'Wehklagen' würde dann entfallen - aber ich warte erst mal ab. ;-)

Hier ein früherer Beitrag zu den EU-Aktivitäten. Im Nov. 2022 tritt das DSA dann wirklich in Kraft.

2. Neues aus der Kryptowährungs-Szene

Nachvollziehbarkeit der Geldströme bei Kryptogeld
Derzeit gibt es eine ganze Reihe von Artikeln zur Nachvollziehbarkeit der Geldströme bei Kryptogeld. Hier zum Beispiel:
Die ausführliche Story zu Inside the Bitcoin Bust That Took Down the Web's Biggest Child Abuse Site. Die Hinweise zu den vielen nun aufgeflogenen Tätern kam primär über Nachverfolgung der Bitcoin-Geldströme. Genutzt wird die Software Chainalysis, Details im wired-Artikel und auch in der verlinkten Wikipedia.

Zur "revolutionären Jugendbewegung" Bitcoin
Schon fast wieder lustig: Peter Thiel, der (indirekte) Chef von Sebastian Kurz (und sein direkter Chef) schimpfen auf Warren Buffett und andere Investoren als angebliche Feinde der "revolutionären Jugendbewegung" Bitcoin und auf Umweltbewusstsein und Social Investment.

Außerdem kämpfen sie heftig gegen das Konzept von Demokratie wie wir es kennen - Das ist schon wieder nicht mehr lustig. Ich halte die politischen Aktivitäten von Peter Thiel für recht gefährlich für die Demokratie in den USA und letztendlich auch bei uns. Peter Thiel nennt Warren Buffett "Feind Nr. 1" der "revolutionären Jugendbewegung" Bitcoin.

Update zu 'Ethereum versucht, den Stromverbrauch zu reduzieren: 'Proof-of-Stake', siehe der vorige Newsletter.
Die Umstellung weg von 'proof-of-work' ist wieder verschoben (wie öfters schon), der Plan ist derzeit Q3 oder Q4 in 2022 Ethereums Weg zu Proof of Stake: Das Ende des Minings verschiebt sich wieder - Hoffen wir das beste, falls das klappt gehen hoffentlich andere Währungen einen ähnlichen Weg.

NFT als Geldanlage
Der erste Tweet, den Jack Dorsey zum Test von Twitter abgesetzt hatte, war von Dorsey zum Kauf angeboten wurden und für 2,9 Mill. US$ gekauft worden, wohl mit der Hoffnung auf Wertsteigerung. Nun soll das NFT per Auktion weiterverkauft werden, es werden derzeit statt der erhofften 50 Mio nur ca. 31 000 US$ (Stand 22.4.). Die Story (mit etwas Schadenfreue): NFT-Auktion: Kein Millionengebot für ersten Tweet, nirgends.

Eine überwiegend kritische Meinung zu NFT-Kunst hat auch Barbara Wimmer von futurezone.at: NFTs sind nicht sexy, sondern uncool. Auch sie berichtet von Verlusten bei solchen Investitionen und viel Betrug. Mehr absurde NFT-Stories im nächsten Newsletter.

3. Guter Hintergrundartikel zu 'Geld', Geschichte und Zukunft

Der Artikel Money is about to enter a new era of competition ist eine recht gute Einführung in die Geschichte des 'Papiergelds' (d.h. die 'Schaffung' von Geld entweder [durch Staaten oder Private wie Händler (China) oder Banken (England)] - ohne die Nutzung eines 'knappen Gutes' wie 'edle Metalle'). Der Artikel geht von chinesischen Aktivitäten in vor-christlicher Zeit bis ins 20. Jhdt. Dann geht er auf mögliche Zukunftsoptionen ein. Er seht digitale Währungen im Aufwand, ist aber nicht sicher, ob Bitcoin auf die Dauer eine wichtige Rolle spielen wird.

Ein sehr gutes Übersichtsbuch zu 'Geld an sich', das noch viel weiter zurückblickt habe ich an anderer Stelle kommentiert: David Graeber: "Schulden. Die ersten 5000 Jahre" - Zur Geschichte des Geldes .

3a. Stablecoins und digitales Zentralbankgeld

Ein wichtige Rolle könnten sog. Stablecoin spielen, das sind Kryptowährungen deren Wert an eine konventionelle Währung wie US$ oder Euro oder Yuan gebunden sind, sie stehen nicht so in der öffentlichen Diskussion wie Bitcoin und andere, aber stellen mit 30 Währungen mit einem derzeitigen Gesamtwert (Anfang 2022) von 185 Milliarden US$ einen erheblichen Wert dar.
Update Mitte Mai 2022: Nach dem Einbruch der Börsen und dem folgenden Einbruch bei den meisten Kryptowährungen kommen nun auch die Stablecoins unter Druck - wenn auch unterschiedlich stark: Abstürzende Kurse und steigende Sorge um Stablecoins. Der Artikel führt aus, dass die an den US$ gekoppelte Luna zwischendurch auf 0,3 US$ stand und sich dann auf 0,5 US$ erholte. Tether ist von Dollar-Parität lediglich auf 0,95 gesunken, aber das Vertrauen in die Stabilität der stablecoins hat einen Knacks bekommen.
Update 1 Monat später: Es gab einen ordentlichen Absturz bei sog. Stablecoins.

Ein weiteres Konzept sind die CBDCs (central-bank digital currencies), das sind Währungen die von Zentralbanken herausgegeben sind, China, Japan, Schweden sind sehr aktiv. Für den Euro ist auch so was geplant. Hier die Fortsetzung zum digitalen Euro und anderer Stelle gibt es viel mehr zu CBDCs (Zentralbankgeld, digital) generell.

4. Kryptowährungen als Einladung für kriminelle Banden

Betrug mit Hilfe von Kryptowährungen plus Einbruch in alle Arten von Kryptogeld-Infrastruktur scheint die neue Zukunft für Groß-Kriminalität zu sein. Die US-Regierung listet die Ziele auf:

• cryptocurrency exchanges,
• decentralized finance (DeFi) protocols,
• play-to-earn cryptocurrency video games,
• cryptocurrency trading companies,
• venture capital funds investing in cryptocurrency,
• and individual holders of large amounts of cryptocurrency or valuable non-fungible tokens (NFTs)

2022 habe ich schon wieder was Neues gelernt: Blockchain Bridges
Sie gehören zu 'decentralized finance' (DeFi) und konvertieren zwischen unterschiedlichen Kryptowährungen. Sie sind wohl eine (für Angreifer) wichtige Schwachstelle: Aktuelle Beispiele

• 540 Mio US$ sind an der Schnittstelle zwischen Ethereum und USDC stablecoin verschwunden
• $80 Mio US$ of cryptocurrency from Qubit Bridge
• $320 Mio US$ from Wormhole Bridge
• $4.2 Mio US$ days later from Meter.io Bridge
• $611 Mio US$ von Poly Network bridge

Die Details sind kompliziert, irgendwie geht es darum, dass Services/Firmen die zwischen Kryptowährungen konvertieren wollen einen ausreichenden Vorrat an jeder dieser Währungen vorhalten müssen. Und diese Vorräte sind wohl das Ziel der Angreifer: What Are Blockchain Bridges and Why Do They Keep Getting Hacked?.

Hier zum Kriminalitätsboom: In 2021 waren die Verluste an Kriminelle wohl $3.2 Milliarden US$, das sind 6x mehr als 2020. In 2022 gab es bereits 6 erfolgreiche Angriffe mit mehr als $100 Mio US$ und dutzende mit mehr als 10 Millionen: A $620 million hack? Just another day in crypto.

An anderer Stelle mehr zu Kriminalität und Kryptowährungen, u.a. über die lukrativen Erfolge der nordkoreanischen Staatshacker (Russland überlegt wohl derzeit, ihre staatsnahen Hacker ebenfalls so einzusetzen, die Sanktionen scheinen weh zu tun).

5. Cyberangriffe im Ukraine-Krieg

In der Fachpresse wird derzeit gefragt, warum zu Beginn des Angriffs auf die Ukraine nicht mehr Cyberangriffe gegeben hat. Dazu scheint es zwei Antworten zu geben: 1. haben Angriffe stattgefunden, die vereitelt wurden und 2. war der Angriff gegen das Satelliteninternet-Netzwerks KA-Sat sehr erfolgreich, sogar in Deutschland.

Bereits Ende Februar kam es zu einem Ausfall der Satellitenkommunikation bei Tausenden von Windrädern in Deutschland. Die Stromproduktion wurde nicht unterbrochen, allerdings konnten Mitarbeiter des Windkraftanlagenherstellers Enercon die 5.800 Anlagen nicht mehr aus der Ferne überwachen und steuern. Hintergrund war ein mutmaßlicher Cyberangriff auf das Satellitennetzwerk KA-SAT im Zusammenhang mit dem Ukrainekrieg. Die Verbindungen fielen wochenlang aus. Mehrere Geheimdienste untersuchten, ob der russischen Regierung nahestehende Hacker für den Angriff verantwortlich seien. Weitere Details in: Viasat confirms satellite modems were wiped with AcidRain malware. Die US-Behörden warnen vor ähnlichen Angriffen.

Ein Grund dass die ukrainischen Handynetze noch funktionieren scheint zu sein, dass die russische Armee darauf angewiesen ist da ihre eigene Kommunikation bald ausgefallen war. Das hat wohl auch zum Tod mindestens eines der russichen Generäle geführt. Denn beiden Armeen nutzen fliegende IMSI-Catcher in die die Handys aller Soldaten sich einbuchen und damit ihren Standort preis geben. Die Informationen werden auch von beiden Seiten für psychologische Kriegsführung genutzt, Demoralisierung der Gegner durch SMS (Doxing).

Außerdem gab es wohl mindestens einen starken Angriff gegen die Stromversorgung der Ukraine mittels einer Software die gegen Industriesteuerungen eingesetzt wird: Russian Hackers Tried Damaging Power Equipment, Ukraine Says. Und: Russia's Sandworm Hackers Attempted a Third Blackout in Ukraine. So ein Angriff war gegen die Stromversorgung war ja in 2016 in der Ukraine sehr erfolgreich. Von einem ähnlichen Angriff in 2015 gibt es sogar ein Video.

Es gab auch einige Angriffe gegen die Ukraine mit sog. Wiper-Software. Dies sind Angriffe die wie Ransomware aussehen, aber einfach nur entgültig Verschlüsseln oder Löschen. Die war aber diesmal nicht so erfolgreich wie der NotPetya-Angriff 2017 der auch im Westen riesige Schäden angerichtet hat. Die Ukraine hat wohl was die IT-Sicherheit betrifft einiges dazu gelernt. Und einige Cyberangriffe gegen die Ukraine wurden wohl durch Microsoft vereitelt.

6. Der geplante EU-Digital Markets Act (DMA): Zahnloser Tiger oder revolutionäres EU-Gesetz?

Viele Hintergründe in meinen früheren Postings - es geht um ein Einbremsen der großen Monopolisten, der 'Gatekeeper'. Einige kritische Stimmen, z.B. Bei der Interoperabilität wäre mehr möglich gewesen.

Auch der Standard ist kritisch: Weitere 3 Jahre sollen marktdominante Anbieter von Messaging Systemen wie Whatsapp Zeit haben, um Gruppenchats interoperabel zu bekommen. Aber aus technischer Sicht sei diese lange Übergangszeit lächerlich und zieht nur den Status Quo unnötig in die Länge. Keine Interoperabilität soll es hingegen bei Sozialen Netzwerken geben (z.B. Instagram, Twitter, TikTok, etc). Das hätte man sehr wohl auch fordern können.

7. Immer wieder fehlende Cloud-Security

Eine traurige Dauergeschichte (siehe frühere Newsletter): Die Absicherungder Cloud-Services wird immer stärker zur Achilles-Ferse der Firmen-IT-Sicherheit. Eine Studie von Palo Alto Networks zu IAM polices (Identity and Access Management, d.h. die Verwaltung von Benutzer-Logins): Untersucht wurden 680 000 Accounts in 18,000 cloud environments von 200 Organisationen. Fast nirgendwo hat alles gepasst.

• Cloud identities are too permissive: 99% of cloud users, roles, services, and resources were granted excessive permissions which were ultimately left unused (we consider permissions excessive when they go unused for 60 days or more).
• Built-in cloud service provider (CSP) policies are not managed properly by users: CSP-managed policies are granted 2.5 times more permissions than customer-managed policies, and most cloud users prefer to use built-in policies. Users are able to reduce the permissions, but often don't. - Die Default Policies die in AWS (Amazon) und Azure (Microsoft) angeboten werden, sind viel zu "großzügig" (um einen Faktor 2-3).
  Grund ist vermutlich, dass so die Nutzer weniger oft auf Einschränkungen stoßen, aber so haben es Angreifer auch leicht. Passworte sind zu kurz und können mehrfach genutzt werden. Dies eröffnet viele Angriffsmöglichkeiten.
• Password reuse: 44% of organizations allow IAM password reuse.
• Weak passwords (<14 characters): 53% of cloud accounts allow weak password usage.

Die Lösung sind natürlich 2-Faktor-Authentisierung, aber die werden zu wenig genutzt:
" . . . only around third of organisations have any requirement for two-factor authentication on user accounts - the figure stands at 37% for businesses and 31% for charities."
Hier eine Studie der UK-Regierung.

Aber es geht noch schlimmer: in 2/3 der Organisationen wurden einzelne Buckets oder Datenbanken ganz ohne Authentisierungsschutz gefunden (wohl weil dies die Default-Einstellung der Cloud-Anbieter ist). - Wie finden die Angreifer solche offenen Resourcen? Ganz einfach, es gibt Programme die ständig automatisiert danach suchen.

Mein früheres Posting zum Bucket-Problem.

8. CCC-Oster Event: "Bridging Bubbles"

Mein persönlicher (subjektiver) Bericht vom virtuellen CCC-Oster Event: "Bridging Bubbles". (CCC = Chaos Computer Club) Das fiel mir auf:

Lea Richter: Digitale Manipulationsresilienz: So fallen wir nicht auf manipulative Kommunikation rein
Manipulative Kommunikation macht uns im digitalen Raum das Leben schwer. Problematische Phänomene wie Populismus, Propaganda, Radikalisierung und Verschwörungsideologie nutzen unter anderem psychologische Andockstellen die wir alle in uns tragen. Lea zeigt sehr gut verständlich (mit Beispielen) die psychologischen Andockstellen die uns empfänglich machen für Populismus, Propaganda, Radikalisierung und Verschwörungsideologien.

Thema Ukraine:

André Igler: Der allrussische Traum oder Was treibt Putin wirklich an
André bringt eine tiefergehende - historische - Auseinandersetzung mit der russisch/ukrainischen Geschichte, beginnend von den Wikingergründungen des heutigen Kiews, den Anfängen einer ukrainischen Nationalidee im damaligen Lemberg bis zum heutigen Konflikt. Vor allem geht er auch tief in die philosophischen Ideen eines eurasischen Großreiches ein die in der augenblicklichen russischen Führungsschicht viele Anhänger haben.
Sehr gute Artikel zur ukrainisch-russischen Geschichte Stephen Kotkin: The Weakness of the Despot, im Falter (leider hinter Paywall), ohne Paywall zum Neonazi-Argument.

Wie es sich für einen Hacker_innen-Kongress gehört gibt es einige Vorträge zum Thema 'Ukraine und Cyberwar', auch zu Privatpersonen die in diesem Krieg mittels IT aktiv werden (Hacktivism). Janine Schmoldt erklärt die Bestimmungen des Völkerrechts in Bezug auf Nicht-Soldaten die in kriegerische Handlungen eingreifen. Werden sie dadurch zu Kombatanten mit einem gewissen Schutz durch die Genfer Konvention oder sind sie dadurch irreguläre Kombatanten ohne jeglichen Schutz?
Janine Schmoldt: Geschützt oder Gejagt? Hacker im Ukraine-Krieg - Eine völkerrechtliche Analyse.

'Cyberlaw' konzentriert sich bei genau diesem Thema auf die ethischen Aspekte von Hacktivism: ist das politischer Hacktivism oder nur Cybercrime. In der 2. Hälfte geht es um das sog. Hackback das sich deutsche Innenminister_innen immer mal wieder wünschen, d.h. das Recht des deutschen Staates, im Falle eines Cyberangriffs zurückschlagen zu können, wie immer das aussehen könnte - ein recht problematischer Wunsch wie dieser und andere Vorträge aufzeigen: Das Cybercrime von Anonymous? "Nicht überall, wo Cyberwar draufsteht, ist auch Cyberwar drin".

Hackback ist auch das Thema von Manuel (HonkHase) Atug in der Keynote 'Krieg in Ukraine - Bomben statt Cyber'.

Andere Themen
Konstantin Macher (Digitalcourage), khaleesi and Tom (Digitale Gesellschaft): Briefgeheimnis wahren - Chatkontrolle stoppen!
Die Referenten berichten über die aktuellen EU-Aktivitäten zur Kontrolle privater Kommunikation (siehe Newsletter_182). Sie fürchten, das wird auf ein Verbot von Ende-zu-Ende-Verschlüsselung oder deren Untergraben durch den verpflichtenden Einsatz von Client-Side-Scanning hinauslaufen. Angedacht werden nicht nur das Scannen auf bereits bekannte Missbrauchsfotos (über einen Hashcode), sondern sogar das Entdecken von unbekanntem Material und sogar das Erkennen von Grooming in den Chat-Texten. Das wäre primär durch AI-Systeme (zentral oder dezentral) die alle Chat-Texte mitlesen und analysieren müssten - falls die AI dann Verdacht schlägt wird nachkontrolliert durch sog. 'Cleaner', grausliche Jobs die meist/oft in den globalen Süden ausgelagert werden. Chatkontrolle würde Missbrauchsmöglichkeiten durch Diktatoren aller Art bieten.

Leonard Follner: Datenethik in der »Smart City« - ein Bericht über Smart City Initiativen in deutschen Städten, zum Teil begleitet durch lobenswerte kritische Aktivitäten die versuchen, die häufig beobachteten Probleme wie Ausschluss von Bevölkerungsteilen oder Diskriminierung zu minimieren.

Diese und viele andere Vortrage alle auf https://media.ccc.de/c/divoc_bb3
Hier das Programm mit weiteren Links zu Vortragenden und mehr.

'Mastodon' als Alternative zu Twitter nach der Musk-Übernahme

Die Übernahme von Twitter durch den 'schillernden' Elon Musk hat einige Twitter-Nutzer aufgescheucht. Kritiker befürchten, dass Musks Forderung nach mehr "freie Meinungsäußerung" auf Twitter dazu führen könnte, dass (noch) weniger moderiert wird und Hassrede und Fake-News (noch) deutlich zunehmen könnten. Zumindest scheint dies die Erwartung vieler US-Right-Wings zu sein: Right-Wing Trolls Are Trying to Break Back Into Twitter.

Die Twitter-Alternative Mastodon berichtet über verstärkte Neu-Anmeldungen. Hier ein Artikel dazu und zu Alternativen zu Twitter: Warum Facebook- und Twitter-Alternativen anstrengend sind, aber dennoch gut tun.

Hier eine Anleitung für einen Mastodon-Einstieg zum Ausprobieren und noch ein Link für den Einstieg: joinmastodon.org.