Vor ein paar Tagen habe ich eine Anfrage einer Redakteurin von ka-news.de erhalten. Der Artikel ist mittlerweile veröffentlicht. Die Bitte war, noch einmal für Laien zu erklären, wie der Angriff auf den Mail-Server der HsKA ablief. Da die Mail eine beachtliche Länge erreicht hat, und ich in ihr noch mal einiges auf einem verständlicheren Niveau erläutert habe, möchte ich den Inhalt hier gerne noch einmal verwerten. Einige persönliche Details sind natürlich angepasst, und die privaten Teile der Kommunikation entfernt. Viel Spaß:
Ich werde versuchen, das Problem möglichst anschaulich für Außenstehende zu beschreiben. Falls ich zu sehr in Technikblabla abdrifte oder etwas zu unverständlich beschrieben habe, fragt gerne noch mal nach.
In der HsKA gibt es verschiedene Server-Systeme. Diese werden vom IZ („Informationszentrum“) betrieben (wo anders heißt das üblicherweise „Rechenzentrum“/RZ). Jede/r MitarbeiterIn und StudentIn hat dort einen Account. Mit dem können Daten zentral abgelegt werden, mit dem WLAN verbunden werden, E-Mails abgerufen werden und so weiter. Es gibt zwei Komponenten die für den Angriff genutzt wurden; und die man an und für sich eigentlich nicht unbedingt als klassische „Sicherheitslücke“ beschreiben würde. Aber sie haben das Potenzial, das man damit Schabernack treiben kann.
Diese beiden Komponenten sind zum einen der Unix-Server und zum anderen der Mail-Server.
Auf den Unix-Server kann man sich über eine Kommandozeile einloggen. Das sieht dann in etwa so aus: http://www.elated.com/res/Image/articles/management/unix/ssh-and-basic-commands/putty-logged-in.jpg
Das ist allerdings nichts besonderes. Früher war DAS quasi der Standard wenn man mit Computer gearbeitet hat. Die meistens von uns sind allerdings etwas zu jung, um das noch live miterlebt zu haben :) Bei Servern ist das allerdings immer noch vollkommen üblich.
Was kann man nun also machen, wenn man sich auf diesen Server der HsKA eingeloggt hat? Dort gibt es eine Datei, in der alle Nutzer stehen. Dort stehen zum einen die Benutzerkürzel (etwas wie „muli1045“) und zum anderen die Vor- und Nachnamen (also beispielsweise „Lieschen Müller“). Für Außenstehende hört sich das jetzt vielleicht etwas beunruhigend an. Aber im Grunde ist das wie damals im Telefonbuch: Es steht halt jeder mit seinem Namen und Adresse drin. Für Unix-Server ist das vollkommen üblich. Dort stehen im Fall der HsKA etwa 10600 Nutzer drin. Als solche Systeme konzipiert wurden, war das auch für den internen Betrieb ganz interessant: Man konnte einfach nachschauen, wie der Benutzername vom Kollegen ist, dem man eine Mail schicken wollte.
Das war Schritt 1 – denn die Benutzerkürzel sind der vordere Teil der E-Mail Adresse (muli1045@hs-karlsruhe.de).
Jetzt muss man nur noch die Mails versenden. Dazu benutzt man einen Mail-Server. Mit diesem Mailserver können sich Mail-Programme verbinden. Zum Beispiel „Thunderbird“ oder „Outlook“. Wenn man diese Programme einrichtet gibt man den Mail-Server an, den man zum Versenden nutzen möchte. Die meisten Mail-Server verlangen dabei, dass man sich dafür einloggt. Dann muss man seinen Benutzernamen und sein Passwort übermitteln. (Vielleicht geben Sie das Passwort auch jedes mal ein, wenn Sie eine Mail senden. Wenn nicht, dann hat Thunderbird das Passwort vermutlich für Sie gespeichert und macht das automatisch.) Bei der HsKA war dies nicht der Fall. Um genauer zu sein: Es war nur manchmal der Fall. Und zwar musste man ein Passwort eingeben, wenn man eine Mail von muli1045@hs-karlsruhe.de an mueller@example.org geschrieben hat. Wenn der Empfänger also außerhalb der HsKA war. (Um mal eine Analogie zu wählen: Wenn man Post nach draußen versenden will, dann verlangt die interne Poststelle den Dienstausweis) Wenn der Empfänger jedoch innerhalb war (also muli1045@hs-karlsruhe schickt eine Mail an hufe1064@hs-karlsruhe.de), dann musste kein Passwort eingegeben werden. (Analogie: Das war quasi Hauspost. Wenn intern Post versendet wird, dann glaubt der Postbote einfach, dass kein Quatsch gemacht wird und verzichtet auf den Dienstausweis.)
Was am 29. Dezember passiert ist, war dass dieser interne Versand genutzt wurde (alle Empfänger waren ja HsKA-MitarbeiterInnen/Studierende). Um in der Analogie zu bleiben wurde dem Postboten ein großer Stapel Briefe vorgelegt. Auf allen Briefen stand ein interner Absender und interner Empfänger. Der Postbote hat also einfach brav die Post an alle Nutzer ausgetragen.
Wie kommt jetzt der Chaos Computer Congress ins Spiel? In jeder Mail steht „versteckt“ eine „IP-Adresse“. Das ist eine Identifikationsnummer, die zu meiner Internetverbindung gehört. In Thunderbird werden Sie meine IP-Adresse auch sehen können. Wenn sie STRG+U drücken, können Sie mal nach „46.23.42.5“ suchen. Das ist meine aktuelle IP-Adresse. Für potenzielle Angreifer ist das ein Problem: In Deutschland gibt es die Vorratsdatenspeicherung und die Provider sind verpflichtet, diese Verbindungsdaten zu speichern. (Das ist ein eigener Themenkomplex, auf den ich nicht weiter eingehe.)[Notiz: Hier habe ich Bullshit erzählt. Die Vorratsdatenspeicherung wurde 2010 für verfassungswidrig erklärt. IP-Speicherungen sind bei der Telekom aber beispielsweise für kurze Zeit dennoch üblich.] Wenn der Angreifer von Zuhause aus mit seinem Telekom-Internet-Anschluss die Mails verschickt hätte, könnte er sich sicher sein, dass die Telekom sofort seine Daten rausrückt. (So war das beispielsweise bei dieser RedTube-Porno-Abmahnungs-Geschichte vor einigen Monaten.) Was macht der Angreifer also? Er nutzt eine IP-Adresse, die nicht auf ihn zurückverfolgbar ist. Dies ist beispielsweise beim 30. Chaos Computer Congress (30C3) der Fall gewesen. Da gibt es Internet für alle und die IP-Adressen gehören dem Chaos Computer Club (CCC). Der CCC widersetzt sich jedoch der Vorratsdatenspeicherung[Notiz: Da es diese nicht mehr gibt, müsste man eher sagen: Der CCC protokolliert halt nichts.]. Wenn dort jemand ins Internet geht wird nichts protokolliert (und schon gar nicht mit einer Person in Verbindung gebracht). Die HsKA hat wohl beim CCC angefragt, wer die IP genutzt hat. Der CCC hat vermutlich nur geantwortet „keine Ahnung“.
Vom 30C3 aus hatte der Angreifer also die Möglichkeit, einen guten Stapel Mails zu versenden.
Aber ich hatte doch vorher gesagt, dass man von intern nach intern kein Passwort angeben muss. Wie verhält sich das, wenn man beim 30C3 sitzt? Dem Mail-Server ist das egal. Auf der Mail kann dennoch ein interner Absender stehen. Ob man dem Postboten die Briefe übergibt während man in der Hochschule sitzt oder auf dem 30C3 – das interessiert ihn nicht.
Okay. Das kann man, wenn man möchte, als Sicherheitsproblem bezeichnen. Es wäre vielleicht etwas geschickter, wenn der Postbote bei der Hauspost auch nach dem Dienstausweis fragt. Das ist in der Regel üblich und wurde jetzt auch an der HsKA eingeführt. Wenn man nun Mails von intern nach intern schicken will, wird man nach seinem Passwort gefragt.
Jetzt kommen wir aber zu einem Teil, der über das Oberflächliche hinaus geht, und vielleicht Potenzial zur Beunruhigung hat: Für die meisten Nutzer hört sich das an, als könnten jetzt keine gefälschten Mails mehr ankommen. Aber eigentlich funktioniert das immer noch. Das ist nicht die Schuld unseres Rechenzentrums, sondern eine Schwäche des Mail-Protokolls.
Ich möchte die Analogie mit den Briefen fortführen. Stellen wir uns einen Brief mit Umschlag vor. Auf diesem Umschlag steht vorne „Lieschen Müller, ka-news-Straße 23“ und hinten steht „Diddi Debuglevel, ka-news-Straße 23“ (angenommen ich würde auch bei ka-news arbeiten). Das was auf dem Umschlag steht, hat die Hauspost benutzt um den Brief zuzustellen. Der Postbote hat das auf Ihren Schreibtisch gelegt und ist (hinkende Analogie) so nett, die Briefe gleich auszupacken. Sie kommen also morgens in die Redaktion und haben die geöffneten Briefe vor sich – Sie sehen also nie, was auf dem Umschlag stand. Auf dem Briefpapier steht jetzt also „Hi Lieschen! Ich habe dich gestern in der Kantine gesehen und war total verliebt. Liebe Grüße Johannes“. Nur hat Johannes (der süße neue Volontär von ka-news) diesen Brief nie geschrieben, sondern Diddi. Da steht allerdings nur auf dem Umschlag – und den haben Sie nie gesehen. Da hat es am Ende auch nichts gebracht, dass die Hauspost von Diddi den Dienstausweis beim Absenden verlangt hat.
Irgendwie doof. Aber es kommt noch blöder: Chris, ihr hoffentlich nicht existierender saufieser Ex, schreibt ebenfalls einen Brief an „Lieschen Müller, ka-news-Straße 23“. Er wirft den Brief in den Postkasten, der wird ausgetragen und landet wieder geöffnet auf ihrem Schreibtisch. Von wahren Absender wissen sie nichts. Was sie bisher nicht wussten: Der Postbote ist so nett und lässt den Briefumschlag ebenfalls auf dem Tisch liegen. Falls Sie also Verdacht schöpfen, können Sie sich den Briefumschlag anschauen. Und da steht dann der wahre Absender drauf. Naja zumindest vielleicht. Wir kennen es von Briefen: man kann als Absender jeden Quatsch draufschreiben. Chris hätte also genau so gut „Johannes Schlüter, Regenbogenstraße 12″ als Absender draufschreiben können.
Was ich mit dem zweiten Teil versucht habe klarzumachen: Mail (so wie Briefe) sind nicht vertrauenswürdig. Man kann sich im Grunde nie wirklich sicher sein, ob a) der Absender stimmt, b) der Inhalt unterwegs nicht von der NSA gelesen wurde, d) der Inhalt unterwegs nicht von jemand verändert wurde.
Das sind Probleme, die Konzeptions“fehler“ der Mail sind. (vermutlich hat man damals einfach nicht gedacht, dass das mal ernsthaft benutzt und entsprechend missbraucht wird.) Diese Probleme lassen sich durch gewisse Zusatzmethoden beheben. Man kann zum Beispiel seinen Brief verschlüsseln – und nur der Empfänger kann ihn wieder entschlüsseln und lesen. Und man kann eine Unterschrift unter seinen Brief setzen. Mit der Unterschrift kann man prüfen, ob der Absender wirklich derjenige ist, der er vorgibt zu sein. Allerdings ist es für normale Nutzer vergleichsweise schwierig, das zu überprüfen. Das ist nicht unmöglich, aber eben nicht sonderlich gängig und für normale Nutzer eher alles kontraintuitiv.
Okay… ich glaube, ich habe irgendwie alles halbwegs behandelt, was wichtig war. Zur Ausladung von Constanze Kurz… nun, das ist Politik. Den Artikel auf Golem.de kennen Sie vermutlich ebenso wie den Offenen Brief von Tim R. und den Blog-Artikel auf Funkenstrahlen.de.