16.7.2020 | Twitter-Hack, Debatte um Signal, Mobiles Internet

Besorgniserregender Twitter-Hack

Was ist

Zahlreiche prominente Twitter-Accounts, darunter die von Joe Biden, Barack Obama, Bill Gates, Elon Musk, Jeff Bezos, Mike Bloomberg, Kanye West sowie der Unternehmen Apple, Bitcoin.org, Coinbase und Ripple wurden am Mittwoch kompromittiert (The Verge).

Was ist passiert?

• Bereits seit einigen Jahren versuchen auf Twitter immer wieder sogenannte Bitcoin-Scammer andere davon zu überzeugen, ihnen Bitcoins zu schicken.
• Dabei handelt es sich quasi um eine modernere Variante des „Ich bin ein Schwager des Königs von Timbuktu und habe 1700000000 Dollar, die ich das gern dir überweisen muss“.
• Beim aktuellen Twitter-Hack wurden folgende Tweets veröffentlicht:

Wie ist das möglich?

• Bislang ist noch nicht klar, wie die Angreifer auf die Konten zugreifen konnten. Twitter hüllt sich bislang in Schweigen.
• Der bekannte InfoSec-Journalist Joseph Cox schreibt bei Vice, dass ein Twitter-Insider an der Aktion beteiligt war und Dritten womöglich Zugang zu einem internen Tool verschaffen konnte:

"A Twitter insider was responsible for a wave of high profile account takeovers on Wednesday, according to leaked screenshots obtained by Motherboard and two sources who took over accounts."

"We used a rep that literally done all the work for us," one of the sources told Motherboard. The second source added they paid the Twitter insider. Motherboard granted the sources anonymity to speak candidly about a security incident. A Twitter spokesperson told Motherboard that the company is still investigating whether the employee hijacked the accounts themselves or gave hackers access to the tool."

Und jetzt?

Es gilt, den Vorfall lückenlos aufzuklären. Schließlich gehört Twitter zur wichtigsten Kommunikationsplattform der Welt. Dass Twitter-Mitarbeiter anscheinend in der Lage sind, auf die Accounts von hochrangigen Politikern und Wirtschaftslenkern zuzugreifen, sollte einem Sorgen bereiten. Denn am Ende kann die Welt froh sein, dass es sich bei diesem Vorfall „nur“ um Bitcoin-Scammer gehandelt hat. Nicht auszudenken, was passiert, wenn andere Akteure derart prominente Accounts gehijackt hätten.

Kontroverse um die Signal-PIN: Ist der Messenger jetzt unsicher?

Was ist

Renommierte IT-Sicherheitsexpertïnnen kritisieren Signal. Sie warnen vor einer neuen Funktion: Die App fordert Nutzerïnnen auf, eine PIN zu vergeben. Dadurch werden unter anderem Kontakte verschlüsselt auf den Servern von Signal gespeichert, damit sie bei einem Gerätewechsel wiederhergestellt werden können.

Warum das wichtig ist

2015 schrieb Edward Snowden: "I use Signal every day." (Twitter). Wer die Webseite von Signal aufruft, findet Empfehlungen von Jack Dorsey, Laura Poitras und Bruce Schneier. Signal ist der Liebling der IT-Sec-Community, Aktivistïnnen auf der ganzen Welt nutzen den Messenger, Dutzende Millionen Menschen chatten lieber über Signal als über WhatsApp. Die Kontroverse wirft Fragen auf:

• Ist Signal jetzt unsicher?
• Müssen sich normale Nutzerïnnen Sorgen machen?
• Kommt jetzt die Zeit von Threema, dem Schweizer Krypto-Messenger? (Spoiler: nein/nein/vielleicht)

Außerdem zeigt sie, dass die Ansprüche und Erwartungen der bisweilen recht harschen IT-Expertïnnen nicht immer deckungsgleich mit denen vieler Nutzerïnnen sind. Supersichere Produkte erfordern fast immer Kompromisse beim Komfort – und sind damit weniger massenkompatibel.

Warum die Expertïnnen warnen

Die Kritikerïnnen halten es grundsätzlich für eine schlechte Idee, sensible Daten wie Kontakte auf Servern zu speichern. Obwohl Signal keine Nachrichten sichert, sagt etwa der bekannte IT-Sicherheitsexperte The Grugq (Vice):

"Having contacts is a lot. It isn’t messages, sure. But I don’t like it. I don’t want them to have anything. Make the networks dumb and the clients smart."

Auch Matthew Green, Kryptografie-Forscher und Professor and der Johns-Hopkins-Universität, hat Sicherheitsbedenken. Vergangene Woche verkündete er, sich nach einem neuen Messenger umzuschauen (Twitter):

"I really liked Signal. And it bums me out that I’m going to have to stop using it."

In dem folgenden Twitter-Thread und auf seinem Blog (Cryptographic Engineering) erklärt Green die Hintergründe. Auf Deutsch gibt es gut verständliche Zusammenfassungen von Golem und Heise. Green fürchtet, dass der Upload die Kontaktliste und andere Daten angreifbar macht, weil Nutzerïnnen zu einfache PINs vergeben, etwa vierstellige Zahlenkombinationen. Die Daten sind zwar zusätzlich durch Intels Software Guard Extensions (SGX) abgesichert. In den vergangenen Jahren gab es aber mehrere Sicherheitslücken in dieser Enklave.

Was Signal sagt

Signal-Gründer Moxie Marlinspike hat auf die Vorwürfe in einem langen und lesenswerten Twitter-Thread geantwortet. In 14 Tweets macht er drei Punkte:

1. Andere Messenger, die im Laufe der Diskussion teils als Alternative genannt wurden, speichern ebenfalls Kontakte serverseitig – im Klartext. Wer sich besonders große Mühe gibt, die Privatsphäre seiner Nutzerinnen zu schützen, zieht ein Publikum an, das besonders kritisch ist. Für Außenstehende erzeugt das dann den Eindruck, dass Signal unsicher sei und andere Messenger nicht.
2. Die PIN ist nötig, um Signal mittelfristig von der Telefonnummer zu entkoppeln. Das ist eine Möglichkeit, die seit langem gefordert wird, da die Handynummer ein wichtiges Identifikationsmerkmal ist. Außerdem schützt sie die Kontakte der Nutzer sogar, weil sie dann nicht über iOS/Apple bzw. Android/Google synchronisiert werden müssen.
3. Es gibt einen großen Kulturunterschied zwischen "normalen" Menschen und Leuten aus der Infosec-Community. In Moxies eigenen Worten:

"It is sometimes difficult for me to have design discussions with people who work in infosec, in part because of what feels like a gap between what one might consider "practical" and what I've found to be so. I'm not sure how to bring the user stories Signal sees into a common basis for discussion. I almost wish there were some way that we could open up Signal user support channels, so interested people in this space could have the perspective of doing that for 24hrs (without somehow degrading the quality of Signal user support)?"

Was wir davon halten

Das Wichtigste zuerst: Wir werden Signal weiter nutzen und empfehlen. Die Verschlüsselung bleibt absolut sicher (WhatsApp verwendet dasselbe Kryptografie-Protokoll), und Signal sammelt nur ein Minimum an Metadaten.

Das zeigt sich etwa in Hong Kong, wo die großen Tech-Konzerne in Reaktion auf das chinesische Sicherheitsgesetz reihenweise aufhörten, Daten auf Anfrage an lokale Behörden zu übermitteln. Signal schrieb dazu nur (Twitter):

"We'd announce that we're stopping too, but we never started turning over user data to HK police. Also, we don't have user data to turn over."

Signal speicherte bislang lediglich die Zeitpunkte der Registrierung sowie der letzten Interaktion mit der App. Dass nun Kontakte hinzukommen, ändert nichts an der Tatsache, dass Signal einer der sichersten und datensparsamsten Messenger ist.

Die Entwicklerïnnen haben zwei Fehler gemacht:

1. Die Kommunikation war schlecht. Nutzerïnnen wurden nur aufgefordert, eine PIN zu vergeben, ohne dass genau erklärt wurde, wofür diese gut sein soll. Beim Start der App wurde man immer wieder dazu aufgefordert, das hat viele Menschen verärgert.
2. Anfangs sollte die Funktion verpflichtend sein. Es war keine Möglichkeit vorgesehen, die PIN und damit die Synchronisierung der Kontakte zu deaktivieren.

Moxie hat auf die Kritik reagiert: Die PINs werden optional (Twitter / Moxie Marlinspike). Das ist ein sinnvoller Kompromiss: Erfahrene Nutzerïnnen, die Sicherheitsbedenken haben, können die Funktion auf Wunsch ausschalten. Alle anderen profitieren vom zusätzlichen Komfort – und mittelfristig womöglich von der Option, Signal ohne Handynummer verwenden zu können.

Be smart

Im Februar stellte Andy Greenberg Signals große Zukunftspläne vor (Wired): absolut sichere Kommunikation und maximaler Schutz der Privatsphäre für möglichst viele Menschen. Unter anderem unterstützte WhatsApp-Gründer Brian Acton die Entwicklung mit 50 Millionen Dollar. Acton, der WhatsApp auch wegen Meinungsverschiedenheiten mit Mark Zuckerberg verlassen hat, berät jetzt die Signal-Foundation und will dem Messenger dabei helfen, die Massen zu erreichen:

"I’d like for Signal to reach billions of users. I know what it takes to do that. I did that. I’d love to have it happen in the next five years or less."

Bereits damals warnte Matthew Green (Twitter):

"To be clear: you can’t necessarily make "privacy" people perfectly happy while also having a billion users. There are going to be compromises. I just wonder if getting big will be worth it in the end. We’ll have to see."

Kampf gegen Desinformation

• Watermark: Die Trusted News Initiative (TNI) richtet ein gemeinsames Frühwarnsystem (Variety) ein, um die Verbreitung von Desinformationen während der bevorstehenden US-Präsidentschaftswahlen zu bekämpfen. Zum Netzwerk von TNI gehören AP, Washington Post, AFP, BBC, CBC/Radio-Canada, European Broadcasting Union, Facebook, Financial Times, First Draft, Google/YouTube, The Hindu, Microsoft, Reuters, Reuters Institute for the Study of Journalism, Twitter und das Wall Street Journal.

Video Boom

• Musikvideos: Ab August können Nutzerïnnen bei Facebook offiziell lizenzierte Musikvideos streamen (Techcrunch). Bislang ist YouTube die unangefochtene Königin in diesem Metier: 46 Prozent aller gestreamten Musik ausserhalb von China läuft über YouTube (Music Business World) – mehr als via Spotify, Apple Music und alle anderen Streaminganbieter zusammen.

Stats

• (Fast) niemand nutzt ein freies Internet: Das Smartphone ist weltweit das wichtigste Gerät, um das Internet zu nutzen. Allerdings nutzen Menschen kein offenes, freies Internet auf ihren mobilen Endgeräten: die allermeiste Zeit nutzen sie ein Internet im Internet, vermittelt durch die kommerziellen Interessen von populären App-Anbietern wie Facebook, YouTube und Co. Stolze 88 Prozent der Zeit, die Nutzerïnnen im mobilen Internet verbringen, gehen laut einer aktuellen Untersuchung von eMarketer auf das Konto von Apps. Das bringt enorme Konsequenzen mit sich: Wer Menschen erreichen möchte, muss zwangsläufig auch in den Anwendungen stattfinden – und zwar zu den Bedingungen, die die Plattformen diktieren.

Neue Features bei den Plattformen

YouTube

• Mental Health: Wer auf YouTube nach den Themen Depression oder Angstzuständen sucht, bekommt künftig ein Panel mit weiterführenden Informationen (Twitter / Susan Wojcicki) angezeigt.

Tipps, Tricks und Apps

• Bellingcat’s Online Investigation Toolkit: Wer sich für (investigative) Recherchetools interessiert, kommt an diesem Google Doc nicht vorbei: Maps, Satellites & Streetview, Location Based Searches, Image & Video Verification, Social Media, Transportation, Date & Time, WhoIs, IPs & Website Analysis, People & Phone Numbers, Archiving & Downloading, Company Registries, Data Visualization, Online Security & Privacy, Finding Experts, Guides & Handbooks – alles, was das Reporter-Herz begehrt.
• Etherpad: Bereits seit Jahren bietet Etherpad eine spannende Alternative zu Google, um gemeinsam an Docs zu arbeiten. Bislang mutete das Angebot allerdings immer etwas nerdig an – quasi wie aus einer Szene eines schlechten Hackerfilms. Jetzt hat sich Etherpad ordentlich aufgehübscht und dürfte auch für normale Nutzerïnnen attraktiver sein.
• Atlas of Surveillance: Studierende haben sich in den USA angeschickt, einen spannenden Atlas zu kreieren: es geht um Werkzeuge staatlicher Überwachung. Mega interessant!

Header-Foto von Tony Zhen bei Unsplash