Notizen

    nacktimnetz

    6. November 2016

    Fragen der Zuschauer

    Weil viele Zuschauer aufgrund unserer #nacktimnetz Berichterstattung in den letzten Tagen viele Fragen hatten, gehe ich hier auf die drei wichtigsten davon ein:

    Wie kommt mein Name in die Daten?

    Gefunden haben wir die von uns angeschriebenen und zum Teil auch interviewten Protagonisten über ihre URLs. Wenn ein Nutzer zum Beispiel auf Twitter seine eigene Twitter Statistik anschaut, ergibt sich eine charakteristische URL, in der auch sein Nutzername steht. Das gleiche gilt z.B. auch für die Deutsche Bahn, wenn man sich für ein Ticket interessiert und passiert auch bei verschiedenen Email Fernzugriffen.

    Hier existiert auch eine Nachlässigkeit bei den jeweiligen Webseitenbetreibern, die den Benutzer- oder Klarnamen mit in die URL heben. Auf der anderen Seite sind das genau die personenbezogenen Daten, die ein Webdienst nicht ohne ausdrückliche Zustimmung des Nutzers verarbeiten und vor allem nicht weiterverkaufen darf.

    An dieser Stelle ein Dank an @wahl_beobachter, der uns eine Liste mit den Twitter Namen aller deutschen Politikern zu Verfügung stellte.

    Welche Add Ons sind noch betroffen?

    Nicht alle Protagonisten, die wir getroffen und interviewt hatten, hatten WOT installiert. Manche hatten ganz andere Add Ons installiert. Deshalb gehen wir davon aus, dass es noch weitaus mehr Browser-Erweiterungen gibt, die Daten unrechtmäßig sammeln und verkaufen. Wir haben für diesen Bericht nur WOT getestet und deshalb auch nur WOT genannt.

    Was kann ich tun?

    Weil die Add Ons weitreichende Rechte im Browser haben und viele sensible Informationen abgreifen können, macht es Sinn eine Art „Browser Hygiene“ zu betreiben. Sprich, sich gut anzuschauen, wo kommt dieses Add On her? Was steht in der Datenschutzerklärung? Wo ist der Sitz der herstellende Firma? Wie verdient die ihr Geld?

    Für eine gute Idee halte ich die Zwei-Browser Strategie von Matthias Eberl oder die Drei-Browser-Strategie von Mike Kuketz.

    Hacking VW

    30. Mai 2016

    Anatomie eines Verbrechens

    Am 21. November 2006, so belegen es unsere Recherchen, trifft sich eine kleine Riege von VW-Motorenspezialisten: Es gilt auf dem US-Markt erfolgreich zu werden. Das Problem ist der hauseigene Dieselmotor, der die strengen US-Grenzwerte (was den Ausstoß von Stickoxide betrifft) nicht einhält. Sie fällen eine folgenschwere Entscheidung.

    Eine kleine Manipulation in der Software des Autos scheint die schnelle und vor allem billige Lösung zu sein. Man ist sich sicher, niemand wird den Betrug bemerken (dazu muss man wissen, dass 2006 die Prüfmethoden auch noch nicht so fortgeschritten waren, wie heute).

    Das Auto soll fortan erkennen, wann es auf dem Prüfstand steht und getestet wird. Ist dies der Fall, fährt es in einem sauberen Modus. Hält die strengen Grenzwerte ein. Auf der Straße aber fährt es dreckig.

    Durch die Universität West Virginia wird dieser Betrug im Frühjahr 2014 aufgedeckt - Anstatt sofort aufzuklären, verschleiert und vertuscht VW monatelang - führt sogar Anfang 2015 in den USA eine Softwareaktualisierung durch, die Probleme “beheben” soll. Im September 2015 kommt alles durch die US-Behörden ans Licht. Der Rest ist Geschichte.

    Die Nadel im Heuhaufen

    Wir haben uns gefragt: Was genau ist während dieses mysteriösen Softwareupdates in den USA Anfang 2015 geschehen? Denn VW ist damals schon in ausführlichen Verhandlungen mit den US-Umweltbehörden. Eigentlich soll man das “Problem” mit den Stickoxiden beheben. Führt eine aufwendige und teure Rückrufaktion durch. Trotzdem aber können die Grenzwerte danach immer noch nicht eingehalten werden.

    Wozu das Ganze also?

    Dem wollten wir auf die Schliche zu kommen.

    Universitäten mit spezifischen Lehrstühlen zum Thema Auto und Motor stehen in Deutschland in einem besonderen Abhängigkeitsverhältnis mit der Industrie. Teilweise bekommen die Lehrstühle Forschungsgelder oder andere Mittel, teilweise gibt es enge Kooperationen. Keiner kann und will es sich mit der Industrie verscherzen. Im Fernsehen einen Betrug aufdecken, Interviews geben - damit würden sich viele selbst schaden.

    Anders bei Lehrstühlen, die sich allgemeiner mit Software auseinandersetzen. Doch das Feld ist hier sehr breit. Es mussten Experten sein, die sich mit ganz spezieller Maschinensteuerungssoftware auskennen.

    Schließlich enthält eine Motorsteuerung tausende Zeilen an Code, ist umfangreich wie eine Enzyklopädie, kompliziert zu lesen und zu verstehen. Der Code in der Steuerung ist nicht einfach lesbar, sondern muss zunächst “rückübersetzt” und dann (richtig!) interpretiert werden. Außerdem sind die wenigen Zeilen, die den Betrug ausmachen, die regelrechte Nadel im Heuhaufen.

    Für den technischen Teil der Recherche konnten wir den Softwarespezialisten und Hacker Felix Domke gewinnen. Er hatte während des jährlichen Hackerkongresses (Chaos Communication Congress) in Hamburg bereits die Aufarbeitung des Skandals von Softwareseite geleistet. Hatte die Motorsteuerungssoftware seines eigenen VW Sharans analysiert und aufgezeigt, wo und wie Volkswagen den Betrug eingebaut hatte.

    Gemeinsam mit einem weiteren Team von Spezialisten rund um Professor Thorsten Holz von der Ruhr-Universität Bochum machten sich die Experten daran die Software zu entschlüsseln.

    Dabei arbeiten sie parallel, jeder soll unabhängig vom anderen auf seine Ergebnisse kommen.

    Rechercheglück

    Zum Glück hatte ein US-VW Händler das VW interne Rückrufdokument in einem VW-Forum (ja, so etwas gibt es!) ins Netz gepostet. Darin fanden wir vier äußerst wertvolle Zahlen. Die Nummern des spezifischen Updates. Mit Hilfe dieser Zahlen, konnten wir wiederum die Datei finden, die den Code für die Motorsteuerung enthielt.

    Und die galt es jetzt zu entschlüsseln:

    Codefragment des Softwareupdates mit der Nummer _7444

    Wie sieht der Abgasbetrug im Code aus? Am Ende sind es wenige Zeile. Sie verstecken sich in einem Teil, der “Akustikfunktion” genannt wird. Ursprünglich war dieser Teil tatsächlich dafür benutzt worden, während des Fahrens auf der Straße für ein angenehmes Motorengeräusch zu sorgen. Auf dem Prüfstand aber war der Klang des Motors unwichtig, die Funktion konnte abgeschaltet werden. Und um zuverlässig zu arbeiten, musste sie den Prüfstand erkennen.

    Wie aber erkennt ein Auto, ob es auf dem Prüfstand steht?

    Um nachvollziehbare Abgastests zu gewährleisten, fährt der Prüfer auf dem Prüfstand einen genau vorgegebenen “Prüfzyklus” ab. Dieser soll möglichst das Fahren in der Stadt oder auf dem Land simulieren. Also ruckartig anfahren, bremsen, beschleunigen. Wie der Fahrer fährt, ist streng vorgegeben und die Daten für diese Prüfzyklen öffentlich.

    Die Ingenieure bauten in den Code Funktionen ein, die diese spezifische Art des Fahrens erkennen können. Die nachvollziehen können, wie stark z.B. beschleunigt, wie stark gebremst wird, welche Geschwindigkeiten der Fahrer in welcher Zeit fährt.

    Wie VW seinen Betrug fort entwickelte

    Nun hatte VW das Problem, dass die Autos zu oft im “falschen” Modus fuhren. Sprich, auf der Straße dachten, sie seien in einem Prüfzyklus. Sie fuhren dann zwar “sauber”, belasteten allerdings Bauteile im Auto. Zum Beispiel rußten die Partikelfilter schneller zu. Dies wiederum führte zu verärgerten Kunden, die ständig in die Werkstatt mussten, um ihren Partikelfilter austauschen zu lassen. Die VW Ingenieure mussten also den Betrug erweitern. Sie mussten die “Akustikfunktion” ausbauen und damit dafür sorgen, dass das Auto noch zielsicherer erkannte, wann es auf dem Prüfstand steht und wann es auf der Straße fährt.

    Sie erlaubten dem Auto zu erkennen, ob das Lenkrad sich bewegt. Denn: Auf dem Prüfstand steht das Lenkrad starr. Auf der Straße aber macht der Fahrer typische Lenkbewegungen. Immer also, wenn das Auto keine Lenkbewegungen feststellen konnte, der Motor aber lief und es die typischen Geschwindigkeiten fuhr, wusste es nun, dass es getestet wurde und schaltete in den “sauberen” Modus um.

    Sowohl Felix Domke, als auch das Team um Thorsten Holz konnten unabhängig voneinander diese neue “Lenkwinkelfunktion” im Code nachweisen. Dafür verglichen sie die Software der Motorsteuerung vor dem Update und nach dem Update in den USA und konnten feststellen, dass an der Betrugsfunktion gearbeitet worden war. Das Auto erkannte jetzt den Lenkwinkel und brachte ihn in Verbindung mit der Abgassteuerung.

    Kurven

    Dieses Dokument, gezeichnet von Felix Domke, zeigt die spezifischen Prüfzyklen in den USA. Diese Zyklen sind in der Motorsteuerung hinterlegt. Bewegt sich das Auto innerhalb der Prüfzyklen weiß die Motorsteuerung, dass das Auto gerade getestet wird und schaltet in seinen “sauberen” Modus um.

    Die Ergebnisse sind zu sehen in der Tagesschau und in den Tagesthemen - vom 10.03.2016

    Und abschließend in der der Dokumentation der “VW-Krimi” im NDR Fernsehen - vom 25.05.2016

    Der Spion in meiner Kamera

    5. Februar 2016

    Die Geschichte hinter den Spy Cams

    Seit einigen Jahren taucht das Thema in meinen Recherchen immer wieder auf: Webcams und ihre Tücken.

    Zum ersten Mal davon gehört, habe ich während eines Vortrags auf dem Chaos Communication Congress. Ein „Hacker“ schaltete sich auf diverse Kameras mit Hilfe von Shodan (eine Suchmaschine für das Internet der Dinge). In Waschanlagen, hinter Kassierer, in Klassenräume. Sehr beeindruckt war ich da.

    Live im OP-Saal

    Für unsere Dokumentation „Schlachtfeld Internet“ waren wir auf der Suche nach Industrieanlagen. „Maschinen“, die ans offene Internet angeschlossen sind und vor deren Steuerung kein Passwort eingegeben werden muss. Der Pen-Tester (das ist so etwas wie ein professioneller Hacker, den Unternehmen anheuern können) Götz Schartner hat in einer mehrwöchigen Aktion Millionen von IP-Adressen für uns „gescannt“. Das heißt, er hat geschaut, ob Industriesteuerungsanlagen (vom Fließband bis zum Kraftwerk) erreichbar sind, das heißt man von außen auf sie zugreifen kann. Manchmal brauchen Techniker das zu Wartungszwecken und manchmal vergessen sie, dass man da ein Passwort setzten muss, damit nicht jeder reinschauen bzw. die Steuerungen manipulieren kann.

    Eine Art „Beifang“ dieses Scans waren auch einige Web-Cams. Für unsere Dokumentation haben sie uns nicht interessiert, wir waren ja auf der Suche nach Produktionsstraßen, Hochöfen und Kraftwerken (Web-Cams waren einfach zu „klein“). Aber damals war es schon beeindruckend, wer alles so ungesichert, live ins Netz streamt. Darunter zum Beispiel eine Schönheitsklinik mit OP-Sälen. Ist gewiss nicht unbedingt der Ort, wo man als Patient beobachtet werden möchte.

    Der Fall Aldi und Maginon

    Jetzt ist an dem aktuellen Fall besonders interessant, dass wir so viele private Kameras finden konnten. Das war damals nicht so. Wir können heute in sehr viele Privatwohnungen, Garagen und Hauseingänge schauen. Warum ist das so?

    Aldi und Hofer haben in einer Aktion kurz vor Weihnachten preiswerte Kameras von Maginon im Angebot gehabt. Ich schätze, dass einfach sehr, sehr viele Privatanwender das als „Chance“ gesehen haben „Haus und Hof“ zu überwachen.

    In einem oberflächlichen Scan auf Shodan finden sich weltweit 10.000 Webcams dieser Art, rund 4000 gibt es davon in Deutschland. Ein Teil der Kameras verbindet sich automatisch mit dem öffentlich zugänglichen Internet, das ist das erste Problem. Das zweite liegt dann im Nutzer selbst, der nicht daran denkt, die Kamera zu konfigurieren und ein Passwort zu vergeben. Und so kommt es dazu, dass wir hunderte Kameras haben, auf die jeder zu jeder Zeit zugreifen kann.

    Schlafende Babys

    Während unserer Recherchen finden wir viele Eltern, die die Kameras als Babyphone einsetzen. Und da sich die Kameras vom Internet aus steuern lassen, können Fremde sich auch im Kinderzimmer umschauen. Genauso einige Kameras, die in Wohnzimmern und Esszimmern aufgestellt sind. Manchmal wohl um die Haustiere zu „überwachen“, einmal hatten wir den Eindruck in eine Ferienwohnung zu schauen.

    Es ist ein gruseliges und unangenehmes Gefühl, Menschen so beobachten zu können. Wir hatten gelegentlich den Eindruck, dass wir nicht die einzigen waren, die gerade zuschauten. Immer wieder gab es neue Kamerapositionen oder die Namen der Kameras waren zum Beispiel in „p0wned“ (Hackersprech für „gehackt“) umgeändert worden.

    Wir sind mit einem NDR-Kamerateam dann in ein Nagelstudio in Braunschweig gegangen, um die Besitzerin zu fragen, was sie davon hält, dass sie ihre Kunden ins Netz streamt.

    Ihre Reaktion zeige ich in einem meiner Beiträge für das ARD-Mittagsmagazin und Brisant am Safer Internet Day.

    Was tun?

    Ein Gutes hatte unsere Medienberichterstattung in diesem Fall gewiss: Zunehmend mehr Käufer dieser unsicheren Kameras wurden auf das Problem aufmerksam und vergaben ein Passwort. Und: Jeder der eine Webcam, auch von anderen Anbietern, für sich arbeiten lässt, kann noch einmal nachschauen, ob die nicht ins offene Internet streamt bzw. sich ohne Passwort erreichen lässt.