2017-06-21
Kurze Unterbrechung der Ratlosigkeit anlässlich des G20-Protestes in Deutschland
2001 bin ich im Rahmen eines Linken Projektes in den südlichen Senegal gereist, um dort eine Internet-Infrastruktur aufzubauen und die Leute im Umgang mit Computer und Internet zu schulen. Das Ziel war es vor allem, den ungehinderten Zugang zu Informationen zu fördern und somit Bildung voranzutreiben.
Heute zerstören andere linke Gruppen die Internet-Infrastruktur in Deutschland. Weil hier "insbesondere Daten" fließen. "Daten als Basis der Erfassung zur Be- und Ver-wertung von allem. [sic!]" (Link)
Ihr seid so arrogant. Glaubt ihr denn, die in Deutschland lebenden Menschen benötigen keinen ungehinderten Zugriff auf Informationen und Bildung?
Als Mitbegründer einer in den 90er Jahren gestarteten linken Kommunikations-Infrastruktur in Deutschland habe ich mich lange schon mit der Fragestellung der Dezentralisierung wichtiger Infrastruktur befasst - das ist heute aktueller denn je: Wir müssen mehr Mail- und Jabber-Server betreiben und TOR-Nodes bereitstellen. Im idealen Fall betreibt jeder Mensch einen eigenen Mailserver um repressiven Schlägen gegen zentrale Mailprovider vorzubeugen. Die heutige Technik erlaubt all das, wovon wir in den 90ern geträumt haben: In den meisten deutschen Ballungsregionen ist der Betrieb eigener Server mit den vorhandenen Breitbandanschlüssen technisch umsetzbar.
Und genau hier setzt eure Sabotage-Aktion an: Die Zerstörung der Kommunikations-Leitungen an Bahntrassen trifft Privatleute. Die Konzerne und Banken gegen die sich eure Wut zurecht richtet besitzen redundante Rechenzentren mit mehreren Internetanbindungen. Im Bankenumfeld ist dies sogar gesetzlich vorgeschrieben.
Im Lower Class Magazine wird völlig zurecht die Bewegung 2. Juni zitiert:
Die Aktionen "sollten Menschen politisch für uns gewinnen und sie nicht dem Staat in die Arme treiben. Es ist keineswegs besonders revolutionär, auf die Sympathien des Volkes zu scheißen." (Link)
Eure Aktion bewirkt das Gegenteil dessen, was ihr wirklich wollt.
Unser Land entwickelt sich wie andere westliche Staaten auch, zu einem Überwachungsstaat der die freie Nutzung des Internet mit allen Mitteln bekämpft. Die Regierungen implementieren umfassende Überwachungsmaßnahmen wie die Vorratsdatenspeicherung und den Staatstrojaner, obwohl ganz offensichtlich gegen die Verfassung verstoßen wird. Die Innenministerien und Geheimdienste haben Angst vor freier, unkontrollierbarer und redundanter Infrastruktur. Deswegen sind sie dabei Verfahren zu verbieten und zu reglementieren, die eine Basis für ein freies Kommunikationsnetzwerk bilden.
"Alles, was der Feind bekämpft, müssen wir unterstützen; alles, was der Feind unterstützt, müssen wir bekämpfen." (Mao Tse-Tung)
Der Staat tritt dem Internet energisch entgegen und malt es in den schwärzesten Farben. Das zeigt, dass die Funktion des Internets glänzende Erfolge erzielt hat. Go figure!
2016-05-03
Advertising Apocalypse Now!
Heute haben Frank Rieger und ich einen Vortrag ueber die Realität in der Online-Werbe-Industrie auf der re:publica gehalten.
Mit dem Vortrag wollten wir das Bewusstsein fuer die Probleme mit Schadsoftware in Ad-Netzwerken schärfen - vermutlich haben wir auf der Konferenz genau die richtige Zielgruppe getroffen. Viele Leute fragten nach unseren Slides - diese habe ich soeben hochgeladen. Viel Spass damit: http://dev.io/presentations/RP10-Adwars_final.pdf
2015-10-25
Wie Verlage und Werbe-Industrie unsere Sicherheit beinflussen
Online-Medien und -Verlage müssen für die Arbeit, die sie leisten, bezahlt werden. Ich weiß. Nicht alle Werbeverweigerer sind Schmarotzer – die meisten wollen auch für die dargebotenen Inhalte bezahlen. Bislang hat es jedoch noch kein Verlag geschafft, ein sinnvolles Bezahlmodell zu implementieren. Ich weiß.
Ich mische mich jetzt, wie viele andere vor mir, auch einmal in die Debatte um die AdBlocker-Blockade von Bild.de ein. Die Bild-Zeitung hat nämlich vor einigen Tagen damit begonnen, diejenigen Leserinnen auszuschliessen, die AdBlocker im Web-Browser nutzen. Das ist ihr gutes Recht und vollkommen legitim – es ist ihr Angebot, sie können es gestalten und einschränken wie es ihnen beliebt.
Was wir hier allerdings sehen, ist die Spitze eines Eisbergs: Der Springer-Verlag beauftragte offenbar eine Anwaltskanzlei damit, unliebsame Erfinder mundtot zu machen. Die Anwälte verschickten laut Golem eine Abmahnung mit Unterlassungserklärung und Anwaltsrechnung an den Erfinder eines Verfahrens zur Umgehung der AdBlocker-Sperre von Bild.de. Vermutlich warten alle großen Medienhäuser gespannt auf die Ergebnisse dieser Block-und-Abmahn-Aktion. Bild.de ist, aus Medienperspektive, mutiger Vorreiter in einem Kampf gegen die eigenen Leser: Wie viel kann den Konsumenten des eigenen Portals zugemutet werden, wie viel Widerstand wird es geben? Was folgt aus der abschließenden Rechtssprechung? Offenbar fragt sich aber niemand: Was können wir auf unserer Seite tun, um es auch den Konsumenten recht zu machen?
Ich bin ein Konsument, ich habe auch verstanden, dass die Verlage derzeit überwiegend ihr Geld mit den Werbebannern verdienen. Ich wäre also theoretisch auch bereit, mich mit Werbebannern bespielen zu lassen, solange es kein sinnvolles Finanzierungsmodell in unserer Online-Medienlandschaft gibt. Allerdings nur theoretisch - aus zwei Gründen.
Erstens ist Werbung im Internet grauenvoll: Sie blinkt, sie lenkt ab, sie ist alles andere als ansehnlich. Und oft unpassend. Es kann vorkommen, dass neben Artikeln über Krieg oder Katastrophen ein blinkendes Werbebanner für einen Elektronikmarkt erscheint. Vermutlich kann das menschliche Gehirn das nach einer gewissen Zeit sogar partiell ausblenden. Meins kann es nicht.
Zweitens: Mein Arbeitsspeicher gehört mir.
Ein Ad-Network, welches üblicherweise als Dienstleister für Onlineportale genutzt wird, bringt eine Gefahr mit sich: Schadsoftware. Sie gefährdet willkürlich arglose Nutzer, die eine beliebige Webseite besuchen – und dabei spielt es keine Rolle, ob es eine wohlbekannte, legitime News-Website ist oder ein Webserver zum Tauschen von Pornobildern: Beide werden im Zweifelsfall vom gleichen Ad-network mit Werbung und Schadsoftware beliefert. Das betrifft uns alle, auch wenn es im Moment so aussieht, als würde sich nur eine Randgruppe um die Problematik kümmern.
Wettlauf der Werbeindustrie gegen die Anti-Viren-Industrie
Auch verlagseigene Adware-Netzwerke können mit schadhaften Werbebotschaften infiziert werden. Weder Google noch Apple oder Microsoft schaffen es, ihre App-Stores frei von Schadsoftware zu halten – warum sollte es ausgerechnet Springer gelingen, das Halteproblem zu lösen?
Nein, das wird so bald niemandem gelingen. Warum dann nun ausgerechnet die Werbeindustrie ein Problem darstellt, wenn es um die Sicherheit der PCs der Leserschaft geht? Weil ich gezwungen werden soll, potentiell schadhaften Code auf meinem Arbeitsrechner ausführen zu lassen. Und zwar nur, weil ich meine Nachrichten ausschließlich online konsumieren will.
Werbeanzeigen bestehen in der Regel nicht aus einem statischen Bild oder Text: Flash- Programme, JavaScript und Java-Applets werden genutzt, um Code auf dem Rechner des Konsumenten auszuführen. Und es wird auch nicht weniger unübersichtlich, da die Gewinnmarge aus einem Online-Advertisement auf zahlreiche Unternehmen aufgeteilt wird und jeder mitverdienen möchte, werden Werbeanzeigen immer komplexer. Sie verschleiern mehr und mehr ihr Tun, um Schutzsoftware wie Webbrowser-Plugins und diese von unserer Bundesregierung empfohlene "Anti-Viren-Software" zu umgehen.
In Werbe-Netzwerken wird nicht nur geworben, sondern auch getrackt, analysiert und geschnüffelt was das Zeug hält. Streng genommen verhält sich die Werbeindustrie wie die Viren-Coder-Szene vor zwei Jahrzehnten: Sie liefert sich ein Katz-und-Maus-Spiel mit der Antiviren-Industrie.
Die folgende Grafik illustriert anhand eines vom Werbenden investierten Dollars, wo überall Kapital hängen bleibt und was letztlich beim Verlag des Online-Portals ankommt:

[Quelle: AppNexus / exchangewire.com - https://www.exchangewire.com/wp-content/ uploads/2015/09/Disappearing-Ad-Tech-Dollar-jpg.jpg]
Und als wäre dies nicht schon unübersichtlich genug, nutzen Ads in der Regel auch noch Verfahren, die eine Infektion der PCs ahnungsloser Leser mit Schadsoftware erheblich begünstigen. Und niemand kann etwas dagegen tun - außer Werbung grundsätzlich zu blockieren.
Das, liebe Verlage, kann doch nicht euer Ziel sein!
Mein Rechner gehört mir
Der Begriff Malvertising ist leider weder überraschend noch neu. Online-Werbung ist kein unwichtiger Weg, um zufällig Rechner mit Schadsoftware zu infizieren. Kriminelle entwickeln hierbei spezielle Programmcodes, um den Web-Browser unbemerkt auf eine Exploit-Landing-Page umzuleiten, von der dann weitere schadhafte Inhalte nachgeladen werden. Der nachgeladene Code setzt sich dann persistent im System oder im Webbrowser des Anwenders fest und gefährdet die Sicherheit und Integrität der auf dem PC verarbeiteten Daten. Der Werbe-Kanal wird schon seit langer Zeit für die Verbreitung von solcher Schadsoftware genutzt – es gibt also keinerlei Gründe, die das Bestehenbleiben eines solchen Kanals irgendwie rechtfertigen oder verharmlosen können.

[Quelle: The Verge Source // Cyphort Security]
Der Trend, ein Ad-Network als Virenschleuder zu missbrauchen, scheint aufwärts zu streben. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) kann hinsichtlich dieser Schreckensszenarien sicher noch einige nützliche Hinweise aussprechen – etwa die Verwendung eines Werbeblockers und eines Anti-Tracking-Plugins wie Ghostery – zusätzlich zur bereits installierten oder empfohlenen Anti-Viren-Lösung.
Jedenfalls hat kein Verlag das Recht, mir einen Sicherheitsstandard für meine IT aufzudrängen. Ich möchte Code auf meinem Rechner erst dann ausführen, wenn ich damit einverstanden bin.
Es ist gefährlich, den Konsumenten zu verbieten, die Ausführung von unsigniertem, fremdem Code zu verweigern. Sollten bild.de und die anderen Verlage trotzdem damit durchkommen, wird das Sicherheitsniveau der Arbeitsplatzrechner und Heim-PC erheblich gesenkt. Das kann ganz sicher nicht das Ziel unserer Regierung und unserer Rechtssprechung sein.
Den Kampf gegen die eigenen Leser hätten die Verlage damit allerdings gewonnen. Ist dies das Ziel?
Besser wäre es doch, einen Konsens zu finden. Einen Weg, notwendige Werbeeinblendungen gefahrlos zu gestalten und das auch dem Leser zu beweisen, damit er getrost seinen AdBlocker abschalten kann. Das funktioniert allerdings weder mit dem juristischen Vorschlaghammer noch mit immer ausgeklügelteren Versteckspielchen der Tracking- und Malware-Industrie. Dazu müssten die Verlage ein wenig Geld in die Hand nehmen und im Zweifelsfall ihre externen Ad-Dienstleister unter Druck setzen – die kassieren schließlich mit.
Fazit
Meiner Meinung nach hat niemand das Recht, einen Menschen wegen der Erfindung eines Algorithmus oder einer Software zu verklagen oder ihn zum Unterlassen seines Schaffens aufzufordern.
Verlage sollten an die Befindlichkeiten ihrer Leser denken, um deren Vertrauen zu gewinnen. Die exemplarisch durchgeführte juristische Tracht Prügel bewirkt jedenfalls nicht, dass sich bei den Lesern Einsicht einstellt. Zuerst müssen Verlage eine vertrauensvolle Alternative als Basis schaffen, um Werbebotschaften unter das Volk zu bringen. Dann können sie sich in einem nächsten Schritt darum bemühen, den Leser zum Ausschalten des gewinnschmälernden AdBlockers zu bewegen.
tl;dr
Verlage müssen sicherstellen, dass die Werbung bei ihnen sicher ist, bevor sie Lesern
verbieten, sich vor gefährlichen Bannern zu schützen.
2015-09-26
On Responsible Full Disclosure
From time to time, we publish security advisories about vulnerabilities in software. We always do Responsible Disclosure according to our Responsible Disclosure policy. There was only one exception to this principle in the past: a blog-posting about a minor flaw in HTC's SSL certificate handling routines which was basically a repeating issue in 2013.
Sometimes, vendors need a lot of time to fix their problems. That's totally fine with us and we always agreed on extending our timeline until public release of a security advisory. Sometimes we have to deal with a vendor or business that is not experienced with external security researchers submitting security advisories, following certain Responsible Disclosure policies. Most of the discussions with vendors are very friendly and considerately, concerning the risks the vendor and its customers may be exposed after publication. We never publish security advisories with the intention to harm vendor's reputation or its customer's system-security. We always convinced vendors and customers that it is beneficial for everybody to provide security relevant information to the public - in coordination with the vendor.
Some vendors refuse cooperation.I think the reason for the refusal of cooperation is based on overvalued self-confidence, ignorance or chemtrails. Even staff of inexperienced vendors can usually be educated regarding the value and benefits of proper coordinated disclosure - the ones mentioned above not. And I am somehow tired of listening to flimsy excuses, menaces and threats of legal trouble.
Talking to Good
The reason for this blog-posting is Good Technology.
In June 2013 we identified a
remotely exploitable vulnerability in Good's Mobile Device Management (MDM) Suite
"Good For Enterprise" that allowed remote attackers to hijack administrative
accounts. We followed common responsible disclosure principles and contacted
Good, providing a timeframe of 45 days to fix a simple, persistent Cross Site
Scripting related vulnerability. They asked for another 60 days and said they would like
to provide "updates or corrections" to the final version of our advisory. However,
Good used the remaining 50% of the E-mail to express their understanding of their
certain license conditions and provided their legal standpoint "just FYI".
Eventually they emphasized their disrespect towards us with the following statement, knowing that nobody did any reverse engineering to benefit from their "secret sauce":
I could get our legal team to provide the exact language, but it pretty much disallows doing certain things with the software (i.e. no reverse engineering or other activities designed to discover our "secret sauce") - E-mail from GOOD, July 11th 2013
We didn't publish any detail about this vulnerability.
Yet.In September 2015 we found another security vulnerability in probably all Good Technology products that make use of Good's Authentication Delegation mechanisms. We told Good Technology about a new vulnerability, and that we are undecided how to proceed, as Good told us in 2013: "our lawyers would definitely argue that disclosing the results could result in negative repercussions to Modzero."
Thus we asked how to proceed with the new security issue and proposed three options:
- Responsible Disclosure,
- Full Disclosure,
- We keep everything private.
None of these were accepted by Good. They simply ignored all of our options and asked for technical details.
We decided to chose option two, Full Disclosure.Because we are tired of dealing with lawyers, when we already provide quality assurance to the vendor for free. Because we do not provide reputation assurance to the guys with the lawyer-backed CIRT.
We do not agree with the manner how the messenger is blamed. We are not responsible for the failures of software vendors. We believe in failosophy, the way to recap and learn from own mistakes. We do not back down when we see that a vendor spends more effort with issuing gagging orders rather than fixing vulnerabilities. It is common that vendors are pretty pleasant these days when it comes to bug-reports. Many vendors even pledge bug-bounties to motivate researchers to submit their findings, rather than selling them on the black-market.
---------------------------------------------------------------- v1 - modzero Security Advisory: Insecure application-coupling in Good Authentication Delegation [MZ-15-03] --------------------------------------------------------------------- --------------------------------------------------------------------- 1. Timeline --------------------------------------------------------------------- * 2015-08-18: Vulnerability has been discovered * 2015-09-09: Vendor contact to agree on responsible disclosure * 2015-09-25: Public Disclosure. --------------------------------------------------------------------- 2. Summary --------------------------------------------------------------------- Vendor: Good Technology, Inc. Products known to be affected: * Combination of Android Good Dynamics SDK version 1.11.1206 Android Good Access app version 2.3.1.626 Android Good for Enterprise app version 3.0.0.415 Good Control server version 1.10.47.31 Good Proxy server version 1.10.47.2 Good for Enterprise server version 7.2.2.5c * Other products, versions and apps using authentication-delegation may be affected as well. Severity: Medium/High The Good Mobile Device Management solution provides two separate Android applications, Good for Enterprise [1] (a mobile device management Android application with functionality such as E-Mail) and Good Access [2] (an Android application that has similar functionality as a regular browser app to access company intranet servers). Both apps use the underlying Good Dynamics framework to communicate with the Good server located in the customer's company network. Authentication delegation is a method to provision the Good Access Android app by using the Good for Enterprise Android app. Using this mechanism, an employee does not need to manually enter an activation key to provision the Good Access app, if Good for Enterprise was already provisioned before. Third-party apps can spoof their identity and try to request access to company servers and data. Users could be tricked into allowing access to company intranet servers to a faked Good Access app. The server administrator is not able to prevent or detect the unauthorized access. A CVE has not yet been assigned to this vulnerability. --------------------------------------------------------------------- 3. Details --------------------------------------------------------------------- As a precondition for this vulnerability, the Good servers have to allow access to intranet servers on the company network via the Good Access app. It is also necessary to enable authentication delegation through Good for Enterprise. A specially crafted third-party Android app can use an Android package name that starts with "com.good.gdgma" (the Good Access package name). Subsequently the app is able to announce itself as the Good Access app to the authentication delegate (Good for Enterprise). The user of the Android device has to explicitly grant access to this third-party app [3], even though the specially crafted application might be indistinguishable from the legitimate app for a user. It is possible to activate not only one, but several faked apps through the authentication delegate (Good for Enterprise) by using different package names (e.g. "com.good.gdgma.test1", "com.good.gdgma.test2", etc.). The Good Dynamics server administrator can not distinguish between a malicious third-party app and the legitimate app accessing company data, as the provisioned app in the Good backend web interface is showing that Good Access was provisioned. As a mitigation the Good for Enterprise app could protect its authentication-delegation-API intent (Android IPC mechanism) with the signature level protection provided by the Android operating system (android:protectionLevel="signature"). Only apps signed with the same private key can use such permissions. --------------------------------------------------------------------- 4. Impact --------------------------------------------------------------------- After tricking a user into installing a modified application that pretends to be a Good Access app towards the authentication delegation mechanism, the missing authentication can be exploited to gain access to the intranet data via the Good servers. Additionally, other third-party apps could request permission to access company-data from the user - the Good server administrator is not able to prevent usage of such third-party apps. --------------------------------------------------------------------- 5. Proof of concept exploit --------------------------------------------------------------------- As a proof of concept, an example app of the Good Dynamics Android SDK can be used. modzero used the ApacheHttp example application. After loading the example project in the Android Studio IDE, the GDApplicationID variable in the included settings.json file has to be changed to "com.good.gdgma". Additionally the package name in the AndroidManifest.xml file must be changed to a value that starts with "com.good.gdgma". The included classes have to be refactored to match the new package name. After installing the example application and clicking the button to use authentication delegation, Good for Enterprise will show the dialog to confirm access to company data [3]. If the user enters his Good for Enterprise app password, the malicious application is allowed to access intranet servers [4]. An alternative to demonstrate the issue is probably to disassemble the Good Access app via apktool [5], add malicious code to the application and reassemble the app via apktool. --------------------------------------------------------------------- 6. Workaround --------------------------------------------------------------------- Users can deactivate authentication delegation and revoke access for Good Access. Another workaround is not known. --------------------------------------------------------------------- 7. Fix --------------------------------------------------------------------- It is not known to modzero, if a security fix is available. --------------------------------------------------------------------- 8. References --------------------------------------------------------------------- [1] https://play.google.com/store/apps/details?id=com.good.android.gfe [2] https://play.google.com/store/apps/details?id=com.good.gdgma [3] http://www.modzero.ch/advisories/media/good_dynamics_provisioning.png [4] http://www.modzero.ch/advisories/media/good_dynamics_usage.png [5] https://ibotpeaches.github.io/Apktool/ --------------------------------------------------------------------- 9. Credits --------------------------------------------------------------------- * Tobias Ospelt --------------------------------------------------------------------- 10. About modzero --------------------------------------------------------------------- The independent Swiss company modzero AG assists clients with security analysis in the complex areas of computer technology. The focus lies on highly detailed technical analysis of concepts, software and hardware components as well as the development of individual solutions. Colleagues at modzero AG work exclusively in practical, highly technical computer-security areas and can draw on decades of experience in various platforms, system concepts, and designs. https://www.modzero.ch contact@modzero.ch --------------------------------------------------------------------- 11. Disclaimer --------------------------------------------------------------------- The information in the advisory is believed to be accurate at the time of publishing based on currently available information. Use of the information constitutes acceptance for use in an AS IS condition. There are no warranties with regard to this information. Neither the author nor the publisher accepts any liability for any direct, indirect, or consequential loss or damage arising from use of, or reliance on, this information.
2015-09-26
Rock'n'Recruitment
Mein erweitertes Wohnzimmer ist eine seit vielen Jahren in Kreuzberg 36 ansässige Punkrock-Kneipe namens Rock'n'Roll Herberge. Ich besuche die Kneipe, seit es sie gibt, nur mittlerweile seltener, weil ich nicht mehr dort um die Ecke wohne. Gestern habe ich mich dort mit meinen Freunden @erdgeist und @linuzifer auf ein paar Bier getroffen; relativ spontan. Keiner von uns hat das Treffen vorher in sozialen Netzwerken wie Twitter erwähnt oder angekündigt. Ich erzähle diese Geschichte, weil sie vor allem eines ist: durchgeknallt.
Es war laut in der Bar und etwa kurz vor Mitternacht, als sich eine Person an unseren Tisch bewegte und mich anschaute. Ich hatte den Typen noch nie gesehen, und vom äußeren passte er weder in die Punkrock- noch in die Hacker-Szene, denen ich mich zugehörig fühle. Er unterbrach mich, während ich gerade mit meinen Freunden sprach, zeigte auf mich und meinte, er würde gerne mal mit mir reden. Ich sagte ihm, dass ich aber gerade in einem Gespräch bin. Meine Freunde sagten ihm, dass es blöd wäre, wenn wir unser Gespräch jetzt unterbrechen würden. Der Besucher sagte, er würde warten. Daraufhin stellte er sich in den Raum zu einem anderen Typen, der mit dem Rücken zu mir stand, und beobachtete ein Spiel am Kicker-Tisch.
Etwas später entstand an unserem Tisch eine Gesprächspause, zumindest haben wir aufgehört, wild zu gestikulieren und den Mund zu bewegen. Der Besucher schien das beobachtet zu haben und setzte sich gleich auf den freien Stuhl neben mir. Es war ein gebräunter Typ mit Schiebermütze und einer dicken, silbernen Uhr am Handgelenk. Kurz: Er sah aus, als wäre er zum ersten Mal in einem Laden wie diesem. Er reichte mir die Hand und stellte sich als "Kalle" vor. Er erzählte, sein Kumpel "Alex" hätte gemeint, er solle sich mal mit mir unterhalten, da ich ja ein Hacker sei und mich mit IT-Sicherheit auskenne. Er behauptete, Alex hätte mit mir Informatik studiert und würde mich daher kennen. Nun... ich erinnere mich an keinen Alex und scannte den Raum nach bekannten Gesichtern aus meiner Studienzeit. Ich fragte Kalle, wer denn dieser Alex sei, und er zeigte daraufhin auf den Typen, der immer noch etwa zwei Meter entfernt mit dem Rücken zu mir stand und nur kurz zu mir rüber blickte.
Kalle erklärte, dass er "heute" in einer großen Firma gekündigt wurde. Dann fiel er mit der Tür ins Haus und behauptete, dass diese besagte Firma ihm sogleich seinen Outlook-Account dicht gemacht habe und er nicht mehr an seine Daten käme. Das Sperren eines Mitarbeiter-Accounts ist eigentlich ein recht normales Verhalten einer Firma. Gekündigten Mitarbeitern wird schnell der Zugriff auf die IT-Systeme gesperrt, um zu verhindern, dass Daten ausgeleitet oder Schaden angerichtet werden kann. Je nach Arbeitsvertrag oder ergänzenden Betriebsvereinbarungen kann ein Arbeits-Notebook und der Firmen-Account auch für private Zwecke und Kommunikation genutzt werden. In diesem Fall müsste der ehemalige Arbeitgeber verpflichtet sein, dem Ex-Mitarbeiter eine Möglichkeit zu bieten, seine privaten Daten und Emails noch (ggf. unter Aufsicht) vom Arbeitsgerät oder Server zu holen.
Jedenfalls erklärte Kalle, dass er ja überhaupt keine Ahnung von Computern und dem Hacken ebensolcher habe, und dass er gerne möchte, dass ich ihm seinen Account oder Laptop aufmache, weil sein Account eben irgendwie gesperrt wurde. Ich fragte noch nach, ob der Rechner denn in einer Domain hängen würde und er sich deshalb gar nicht mehr einloggen kann - schließlich behauptete er ja, er könne nicht mehr auf sein Outlook zugreifen, was ja ein lokaler E-Mail-Client ist. Er bestätigte dies etwas halbherzig und ging gleich über zum geschäftlichen Teil, also dass natürlich Geld selbstverständlich okay wäre für so eine "Dienstleistung".
Genau diese Art von Jobs kann juristische Konsequenzen mit sich ziehen. Sprich: Es ist etwas faul. Aber die Erkenntnis, wie faul das wirklich ist, kam mir erst später.
Ich fragte ihn zunächst, ob er nicht mal mit den Admins oder seinem Chef sprechen will. Dann fragte ich, ob er nicht einfach ein anderes Betriebssystem via CD-ROM oder USB booten kann, um seine Daten von der Festplatte zu kopieren. Er winkte ab, er habe sowas von gar keine Ahnung von Computern und brauche jetzt halt einen Hacker, der ihm seine Daten "rettet". Meine Freunde erkannten meine Hilflosigkeit in dieser völlig absurden Situation und sprangen mir zur Seite. Sie redeten auf Kalle ein, dass das ja eigentlich ein einfacher Task sei und man sich das schnell selber beibringen könne, es gebe schließlich genügend Anleitungen im Internet. Ich erklärte Kalle noch, dass er sich auch einen USB-Festplattenadapter für 10 Euro kaufen, die Laptop-Festplatte ausbauen und per USB an seinen privaten PC anschließen könnte.
Natürlich könnte er auch einen Sicherheitsdienstleister engagieren, schlugen wir ihm vor, aber so jemand koste auf dem legalen Markt auch viel Geld - durchaus auch mal 200 Euro pro Stunde.
Kalle sagte, er hätte aber lieber mich.
Ich war total perplex. Da sitze ich in einem mit Punks überfüllten Laden und trinke Bier, und dann kommt ein Typ mit Schiebermütze und fetter Armbanduhr gezielt zur mir, quatscht mich von der Seite an und lotet meine Bereitschaft aus, einen Computer zu kompromittieren, um an Daten zu gelangen, auf die er keinen rechtmäßigen Zugriff hat.
Und das nach einer schwachen Geschichte von seinem Kumpel, der angeblich mit mir Informatik studiert haben soll. Denn wenn dieser Alex mit mir zusammen studiert hat und mich kennt, warum steht er die ganze Zeit abseits mit dem Rücken zu mir? Warum grüßt der mich nicht? Warum kam er nicht mit an den Tisch, als Kalle mit mir redete? Und wenn dieser Alex selbst Informatik studiert hat und ein Kumpel von Kalle ist, warum hat Alex nicht zu seinem Kalle gesagt: "Hör mal, ist doch einfach: Gib mal Deinen Laptop her, ich bau Dir die Festplatte kurz aus und schließe sie an den Computer hier an, damit Du Deine Daten kopieren kannst"? Zwar ist ein Informatikstudium kein Garant für Ideenreichtum, aber man muss gewiss kein Hacker sein, um Daten von einer Festplatte zu bekommen, die vor einem auf dem Tisch liegt.
Ich lehnte dankend ab.
Darauf hin bedankte sich der Mann, stand auf und verließ sofort mit seinem Kumpel Alex die Kneipe. Bis dahin hatten sie noch so getan, als seien sie zufällig in derselben Kneipe und mein angeblicher Ex-Kommilitone Alex hätte mich spontan erkannt und empfohlen; dafür war es jedenfalls ein ziemlich kurzer Kneipenbesuch. Wir schauten aus dem Fenster und beobachteten, wie die beiden in draußen in einen dunklen Audi stiegen. Der Sportwagen war direkt vor der Kneipe geparkt.
Ich habe keine Ahnung, ob mir da jemand eine Falle stellen, oder mich für fischige Geschäfte rekrutieren wollte. Macht aber nichts, denn die einzig sinnvolle Reaktion auf Anfragen solcher Leute ist sie abzuweisen.
-ths, 31. Januar 2014