Nuff! Ich grüße das Volk.

Der Twitter-Account von Linus Tech Tips, einem bekannten Technik-Youtuber-Kanal, wurde heute gehackt. Es versuchten irgendwelche Hacker aus Russland, Leute über den Account dazu zu bringen, Geld auf zwielichtige Konten zu schicken. Das Problem ist jetzt nur, die Kontrolle über das Twitter-Konto wiederzuerlangen; die Hacker hatten rasch die verbundene Mail-Adresse geändert und die Zwei-Faktor-Authentifizierung offenbar erst de- und dann wieder reaktiviert.

Im letzten Jahr wurden schon mal mehrere Youtube-Kanäle der Linus Media Group (zu der LTT gehört) gehackt. Sämtliche eigenen Videos wurden gelöscht oder privatisiert; stattdessen wurde ein Crypto-Scam-Livestream veranstaltet. Es dauerte längere Zeit, bis es Linus und seinem Team gelang, die Kontrolle über die Kanäle wiederzuerlangen, obwohl sie relativ schnell alarmiert wurden. (Er veröffentlichte dann einen Ausschnitt von Aufnahmen seiner Heim-Überwachungskameras, die zeigten, wie er nachts nackt durch sein Haus zum Computer läuft, nachdem er eine Nachricht über den Hack auf sein Handy bekam.)

Man kann davon ausgehen, dass die üblichen Sicherheitsvorkehrungen bei der Einrichtung der Nutzerkonten befolgt wurden: einzigartiges und nicht zu kurzes Passwort gewählt, Passwortmanager benutzt, Zwei-Faktor-Authentifizierung eingerichtet, vielleicht sogar Passkeys generiert; was man halt so machen sollte, um das Nutzerkonto zu schützen. Und trotzdem hat das nicht geholfen. Ein Problem liegt wohl auch darin, dass zu viele Dienste alles erlauben, sobald man eingeloggt ist, und man muss sich nicht mal unbedingt einloggen, um eingeloggt zu sein.

Was meine ich damit? Dazu muss ich mal kurz erklären, was beim Einloggen im Browser des Nutzers und auf dem Server passiert. Wenn der Server feststellt, dass Nutzer-ID, Passwort und ggf. das Einmalpasswort der Zwei-Faktor-Authentifizierung korrekt sind, schreibt er eine sogenannte Session in seinen Speicher. Darin speichert er zum Beispiel die Nutzer-ID. Die Session hat eine eigene ID, und die wird im Browser des Nutzers in einem Cookie gespeichert. Wenn der Nutzer also auf die nächste Unterseite wechselt, schickt der Browser das Session-Cookie, der Server liest die Session-ID aus diesem Cookie, guckt bei sich im Speicher nach und stellt fest: "Ah ja, die Session gehört zu diesem Nutzer", und dann kann der Server anhand dieser Information entscheiden, was der Nutzer darf und was nicht. Das ist sicherer als früher vor über 20 Jahren, wo man oft einfach direkt im Cookie Nutzer-ID und Passwort speicherte und die Information dann leichter gekapert werden konnte.

Im Endeffekt heißt das aber: Wenn man eingeloggt ist und das Session-Cookie vorzeigt, ist es im Wesentlichen die Session auf dem Server, die bestimmt, ob ein Nutzer als eingeloggt gilt oder nicht. Und wenn man irgendwie an das Session-Cookie eines anderen Nutzers kommt und seinen eigenen Browser dazu bringt, es mitzuschicken, dann ist man ebenso eingeloggt wie der eigentliche Benutzer und kann auch alles machen, ohne dass man das Passwort kennen muss.

Und das ist beim LTT-Hack auf Youtube passiert: Ein Mitarbeiter hat auf einen Malware-Link in einer E-Mail geklickt, die Malware hat die Session-Cookies des Browsers von der Festplatte gelesen und an einen fremden Server geschickt, und die Hacker konnten damit diese Session dann entführen und all die Änderungen am Profil durchführen, die die eigentlichen Nutzer aussperrten, und anschließend die Betrüger-Inhalte posten. In größeren Organisationen haben oft mehrere Mitarbeiter Zugriff auf ein Profil, und wenn dann nur einer der Mitarbeiter nicht aufpasst, dann führt das zu solchen Problemen für alle anderen. (Beim aktuellen Twitter-Hack hat Linus inzwischen selbst zugegeben, auf eine Phishing-Mail reingefallen zu sein.)

Es ist ziemlich normal, dass gerade Youtuber und sonstige Influencer Mails bekommen, in denen Werbedeals versprochen werden und die näheren Angaben und Bedingungen in einem Anhang stecken. Und sehr oft sind die Mails leider von Hackern, die zum Beispiel ausnutzen, dass Windows Datei-Erweiterungen standardmäßig ausblendet (und somit eine Conditions.pdf.exe nur als Conditions.pdf angezeigt wird) oder es immer wieder Sicherheitslücken in PDF-Readern wie Adobe Reader oder FoxIt gibt, die das Ausführen beliebigen Codes erlauben.

An dieser Stelle muss man aber auch ganz klare Kritik an Youtube, Twitter und andere richten, bei denen es so leicht möglich ist, mit einer gekaperten Session Amok zu laufen. Ich würde nicht so weit gehen zu erwarten, dass die Seiten jedes Mal die IP-Adresse überprüfen: Hier auf Klopfers Web sehe ich in den Logs sehr regelmäßig, dass sich IP-Adressen von Nutzern oft unvermittelt ändern, selbst meine eigene. (Oft ist es ein Wechsel von einer IPv6-Adresse auf eine IPv4-Adresse und umgekehrt.) Ein Teil davon dürfte auf Mobilnutzer zurückzuführen sein, bei denen sich anscheinend gerne mal die IP-Adresse ändert, wenn die Funkzellen gewechselt werden. Und ein Teil gehört wohl zum normalen Vorgehen der Internetprovider (ich gehe selten über mobiles Internet auf meine Seite, und trotzdem ändert sich meine IP manchmal sprunghaft).

Aber andere Maßnahmen wären von den Seiten leicht umzusetzen. Wenn jemand sein Passwort oder seine Mail-Adresse ändert, sollte man das alte Passwort neu eingeben müssen. Wenn man die Zwei-Faktor-Authentifizierung ausschalten möchte, sollte man so einen zweiten Faktor eingeben müssen. (Und natürlich sollte man auch zusätzlich so einen zweiten Faktor eingeben müssen, wenn die 2FA aktiviert ist und man sein Passwort ändern will.) Man könnte sich auch überlegen, ob zum Beispiel Youtube die Eingabe dieser Dinge verlangen sollte, wenn jemand seine Videos löschen oder privatisieren will. Nach dem Ändern eines Passworts könnte man den Nutzer auch automatisch ausloggen, womit dann die gekaperte Session ungültig wäre. Mit diesen Maßnahmen könnte man rasch Leute stoppen, die nur die Session-Cookies haben, aber die Passwörter und zweiten Faktoren nicht kennen. Ich erwarte von einer modernen Seite heutzutage auch, dass sie für die Zwei-Faktor-Authentifizierung nicht (nur) SMS anbietet. Codes per SMS zu schicken, ist wirklich nicht mehr sicher, zumal diese Methode dann auch wieder davon abhängt, dass man immer daran denkt, seine Handynummer in allen möglichen Profilen anzupassen, sobald sie sich ändert, und man sich durch pure Eselei aussperren kann. (Außerdem ist es für die Betreiber nicht umsonst, die SMS zu verschicken, schon allein deswegen sollten Seitenbetreiber sich lieber auf zeitbasierte Einmalpasswörter per Authenticator-Apps konzentrieren.) Und erst kürzlich habe ich entsetzt auf einer Seite gesehen, dass mir dort die Backup-Codes für die Zwei-Faktor-Authentifizierung einfach so im Profil angezeigt wurden. Das sollte genau einmal geschehen: wenn sie generiert wurden und man dem Nutzer die Möglichkeit gibt, sie zu kopieren oder herunterzuladen. Aber hier waren die Code schon ein Jahr alt. Grauenhafte Sicherheit.

Natürlich muss man immer zwischen Sicherheit und Bequemlichkeit abwägen. Ich würde hier niemals einfordern, dass man für jeden neuen Kommentar oder das Ändern eines Kommentars sein Passwort neu eingibt, das würde euch (und mir) so auf den Sack gehen, dass am Ende kaum jemand noch kommentieren würde. Aber sicher, wenn gerade auch prominenten Machern im Netz so etwas passiert wie hier wieder Linus, dann denke auch ich weiter darüber nach, welche Sachen ich bei mir besser absichern müsste und welche Dinge ich lieber verhindern sollte, falls mal jemand mein Session-Cookie kapert.

Ein großer Teil der ganzen Arbeit an einer Website geht für Maßnahmen drauf, die einfach nur verhindern sollen, dass ein Schurke Schaden anrichtet. Vieles davon sieht ein normaler Nutzer gar nicht. Bis vor Kurzem waren meine Fehlerlogs voll von fehlgeschlagenen Suchanfragen, die nur das Ziel hatten, die Datenbank zu hacken. (Inzwischen bin ich doch dazu übergegangen, die vorher rauszufiltern, nachdem ich ein paar 100 Datensätze analysiert habe, um zu sehen, welche gemeinsamen Merkmale all diese Anfragen haben, die sie aber gleichzeitig von normalen Suchanfragen unterscheiden.)

Im vorletzten Blogeintrag erwähnte ich, dass ein Spammer Spamschutzmaßnahmen überwunden hatte und u.a. 1600 Kommentare hier hinterließ. Warum 1600 und nicht mehr? Weil eine Spamschutzmaßnahme war, eine Pause zwischen zwei Kommentaren eines unregistrierten Nutzers bei einem Blogeintrag zu verlangen. Somit konnte er jeden Blogeintrag nur einmal innerhalb weniger Minuten mit einem Kommentar beglücken. Dank dieses Angriffs ist es nun aber so, dass die Pause generell zwischen zwei Kommentaren durchgesetzt wird und nicht nur, wenn sie zu einem einzigen Blogeintrag gehören. Die alte Regel war etwa 18 Jahre lang ausreichend.

Als ich noch meine Anime/Manga-Seite hatte und dort ein Forum betrieb, wurde dieses Forum einmal gehackt und auf irgendeine türkische Seite umgeleitet, die wohl im Zusammenhang mit dem Kurdenkonflikt stand. Das war meine erste direkte Erfahrung mit so einem Angriff, und während ich keine Zeit für Panik hatte, während ich versuchte, die Kontrolle wiederzuerlangen und die Übeltäter auszusperren, war mir danach zum Heulen zumute. Ich war nicht nur deprimiert, weil wir komplett unverdient zur Zielscheibe dieser Hacker wurden, sondern fühlte mich auch gedemütigt, weil ich es trotz bester Absichten nicht geschafft hatte, mich davor zu schützen. (Es stellte sich dann schnell heraus, dass es eine Sicherheitslücke in der Forensoftware war, für die erst einen Tag später ein offizieller Patch veröffentlicht wurde. Abgesehen von meinem wurden an dem Tag noch zahlreiche andere Foren angegriffen, die die gleiche Software benutzten.) Wegen Problemen mit meinem Provider damals musste ich Jahre später mein Forum für einige Zeit auf einem fremden Server neu aufziehen. Auch das Forum wurde dann mal gehackt (andere Forensoftware, aber wieder mit einer Sicherheitslücke, die schnell ausgenutzt wurde), aber da ich keinen direkten Zugriff auf die Dateien hatte, war ich noch ohnmächtiger. Immerhin machte ich mir diesmal nicht so viele Vorwürfe, weil ich wirklich nur begrenzte Einflussmöglichkeiten hatte, um mein Forum gegen diese Hacker zu schützen.

Angesichts der ganzen Mühe und der Kopfschmerzen, die diese Ganoven verursachen, ist es wohl keine Überraschung, dass ich wenig Nachsicht mit solchen Leuten aufbringen kann. Ich verstehe eher, wenn jemand einem anderen aus blinder Wut auf die Fresse haut, als wenn man sich vollkommen bewusst und überlegt dafür entscheidet, andere zu hacken oder zu betrügen. (Übrigens hege ich ähnliche Gedanken, wenn es um Einbrecher geht.) In die gleiche Sparte fallen auch die berüchtigten Anrufer aus Call-Centern in Indien und anderswo, die zufällig Leute anrufen und behaupten, sie wären von Microsoft und bräuchten unbedingt Fernzugriff, weil der Computer angeblich von Viren befallen wäre. Meinetwegen können die alle tot umfallen und ich würde auf ihren Gräbern tanzen. Da ich überhaupt nicht gerne tanze, sollte man das als Indiz für den gigantischen Umfang meiner Abneigung werten.

Da die Kerle mir aber den Gefallen nicht tun werden, werde ich wohl oder übel weiterhin in Zukunft jede Menge Hirnschmalz und und Zeit investieren müssen, um die Seite halbwegs sicher zu gestalten. (Ich weiß gar nicht, wie Leute schlafen können, die ihre Server zum Beispiel mit Software laufen lassen, die seit fünf Jahren keine Sicherheitsupdates mehr kriegt.) Und nebenbei muss man den Spagat hinkriegen, die Bedienung nicht für harmlose Besucher zu vergeigen. Größere Dienste trommeln gerade für Passkeys, um Passwörter abzuschaffen, und sicher werde ich nicht drumherum kommen, sie irgendwann hier auch auf der Seite zu unterstützen. Auf der anderen Seite ist das auch wieder zusätzliche Komplexität, die einem auf die Füße fallen kann, zumal man dann auch darauf vertrauen muss, dass die Passkey-Speicher von Windows, Android und so weiter sicher sind.

Ich weiß gar nicht so recht, warum ich das jetzt alles geschrieben habe. Ich hoffe nur, ich hab euch damit nicht gelangweilt.

Bis dann!