Wir haben die Accounts von 100 linken Gruppen und Einzelpersonen einer Sicherheitsüberprüfung unterzogen. Hierbei kam erschreckendes zutage: Rund die Hälfte der Accounts konnten wir übernehmen. Wir haben jedoch nicht in Feindschaft zu diesen Menschen und ihren Ideen gehandelt, sondern wollen mit dieser Aktion unsere Solidarität beweisen und auf den leichtsinnigen Umgang mit brisanten Daten aufmerksam machen. Alle Gruppen und Einzelpersonen werden von uns den Zugang zu ihren Accounts zurück erhalten. Informationen werden wir nicht weitergeben. (Ein Account ist davon ausgenommen.)
Von Sicherheit vor Neonazis und den Repressionsapparat wird in linken oder militanten Kreisen sehr oft geredet oder geschrieben. Getan wird scheinbar wenig. Für viele übernommene Accounts, waren jeweils oft nur wenige Minuten nötig. Die schnellste Übernahme in unserer Aktion hat 5 Sekunden gedauert. Und dabei handelte es sich nicht um Accounts von unbedeutenden Gruppen und Einzelpersonen, sondern von Menschen, die linke und autonome Politik dominieren. Bei einigen Accounts haben wir ihrer Bedeutung wegen auch nur oberflächlich reingeschnuppert und diese nicht übernommen.
Warum öffentlich und wieso die Übernahme?
Einige der Accounts konnten wir nur übernehmen, nachdem wir die ursprünglichen Passwörter gelöscht hatten. Doch der hauptsächliche Grund, warum wir die Accounts übernahmen und das nun öffentlich machen, ist, dass uns niemand zuhörte. Wir haben vor Sicherheitslücken gewarnt, doch wir wurden in den meisten Fällen ignoriert oder beschimpft. Eine Überprüfung der Sicherheitslücken fand in den meisten Fällen nicht statt.
Es scheint so, dass einige erst hinfallen müssen, bevor sie das Laufen richtig lernen. Doch aus Schaden können wir klug werden. Und mit uns habt ihr es gut getroffen. Nicht auszudenken was geschehen wäre, wenn Neonazis oder der Repressionsapparat diese Daten in die Hände bekommen hätten. Die Militante Gruppe (mg) schrieb einmal, dass es nicht ratsam ist, militant aktiv zu sein und auf Demonstrationen zu gehen, da dort viele ins Fahndungsraster geraten würden. Obwohl wir diese Ausführungen der mg nicht so stehenlassen wollen, fügen wir noch provokant hinzu: Es ist verdammt gefährlich sich militant zu organisieren, wenn Menschen so unreflektiert mit Daten umgehen.
Was fiel uns in die Hände?
Neben Protokollen von regionalen und überregionalen klandestinen Treffen konnten wir viele persönlichen Hintergrundinformationen erfahren, auch solchen, mit der sich Menschen erpressbar machen. Komplexe Recherchen über faschistische Gruppierungen mit Hinweisen auf die recherchierenden Menschen und deren Vorgehensweise waren ebenso zu finden, wie Informationen über die Planung von politischen Aktionen.
Auch die klandestine Kommunikation von Antirepressionsgruppen konnte sich nicht wirklich vor uns verstecken. Dabei ist in dieser Arbeit am meisten Vorsicht geboten. Schockiert hat uns jedoch, dass wir auch an Selbstbezichtigungsschreiben für militante Aktionen gelangten, die teilweise individuelle Merkmale über die verfassenden Personen enthalten. Ein paar Beispiele wollen wir aber schon liefern, um die politische Relevanz zu unterstreichen.
Soligruppe "Freiheit für Andrea" - Diese Gruppe war vor einigen Jahren aktiv, als die Antifaschistin Andrea ins Gefängnis kam. Die komplette Kommunikation dieser Gruppe konnten wir nachvollziehen.
Soligruppe "Engarde" - Diese Gruppe kümmert sich aktuell um die Soliarbeit für die als KFZ-Brandstifterin angeklagte Alex. Der Fall ist sehr medienwirksam. Auch hier gelang es uns die komplette Kommunikation nachzuvollziehen. Wir verzichten darauf, das auch auf dem Blog der Soligruppe kundzutun.
WBA Antifa - Die Wir-Bleiben-Alle-Kampagne war noch vor kurzer Zeit in aller Munde. Die Aktionstage 2008 und die Aktionswochen 2009 waren sehr populär. Und auch eine "Antifa AG" war in der Kampagne aktiv. In ihren Daten konnten wir interne Details über antifaschistische Strukturen erhalten und über so manchen Neonazi lachen.
Unzensiert Lesen - Was uns besonders traurig macht, ist, dass wir auch Einsicht in die Kommunikation von Unzensiert Lesen hatten. Dieser Zusammenschluss kümmert sich um die staatlich verfolgten Buchläden.
Wir konnten auf E-Mails, Homepages und auf diversen Verteilern zugreifen. Wir hätten dort enormen Schaden anrichten können. Tun wir aber nicht. Alle bekommen ihre Accounts wieder zurück. Wir wissen ja nun wer diese Menschen sind. Eine Ausnahme gibt es, denn nicht alle sind echt. Neonazis und Angehörige von Repressionsbehörden in unseren Kreisen werden wir nicht dulden. Um dieses Problem kümmern wir uns.
Wie wir uns Zugang verschafften
Wenn das Passwort "Passwort" oder "anarchy" lautet, dann brauchten wir nicht lange raten. Ein Teil der Betroffenen hatte ein solches leicht zu erratendes Passwort. Das mit dem "anarchy" ist kein Scherz, sondern anscheinend in linken Kreisen weit verbreitet. Bei einen grossen Teil der Gehackten setzten wir einfach das Passwort mit der "geheimen Frage" zurück. Wir können gerne die schnellste von uns beantwortete "geheime Frage" nennen: "1+1?". Ein anderes Beispiel war die Frage nach einer Biersorte. Spontan fiel uns da Astra und Sternburg ein. Ein Treffer, eine Niete.
Aber auch andere Möglichkeiten, standen uns zur Verfügung. Neben Brute Forcing benutzten wir einen Keylogger. Einige Menschen benutzen noch immer nur 5-stellige Passwörter und andere fahren unheimlich auf Pornobilder ab. Auch in der Linken! Nicht wenige Menschen geben auf Nachfrage das Passwort preis. Also waren wir auch am Chatten.
Riseup
In der linken Szene ist es zur Mode geworden den linken E-Mailanbieter "riseup.net" zu verwenden. Dieser Anbieter hat in unserem Test jedoch sehr schlecht abgeschnitten. Über die Passwortrücksetzung per E-Mail lässt sich in vielen Fällen fast mühelos nachvollziehen wer hinter einer E-Mailadresse steckt. Die Passwortrücksetzung lässt sich mit ein wenig C++ (das ist eine Computersprache) automatisiert überlisten. Riseup macht es an dieser Stelle Angreifern und Angreiferinnen zu einfach. Doch die Verantwortung tragen die Nutzer und die Nutzerinnen.
Auch ohne länger Speicherung der IP lässt sich ein Schutz aufbauen. Wenn sich fünf Mal jemand falsch einloggt, den Account für 5 Minuten vor weiteren Login-Versuchen zu schützen, wäre wohl das Mindeste. Die Invite-Funktion von "riseup.net" ist hingegen nicht zu retten. Diese Funktion und die gesamte Registrierung ist ein Witz.
Ein paar Tipps
Alle, die nicht wissen wie Computer und Internet funktionieren, sollten Computer und Internet aus ihrer politischen Arbeit fernhalten oder sich das Wissen aneignen. Diese Lehrgänge müsst ihr schon selbst organisieren. Trotzdem wollen wir euch ein paar grundlegende Tipps geben.
- Passwörter sollten mindestens aus 12 Zeichen bestehen, darunter unbedingt kleine Buchstaben, grosse Buchstaben, Zahlen und Sonderzeichen
- Passwörter und geheime Fragen sollten nur aus kryptischen Zeichenfolgen bestehen und nie etwas mit dem Umfeld zu tun haben
- Niemals die gleichen Passwörter für verschiedene Accounts nehmen
- GnuPG und Truecrypt für politische Kommunikation per E-Mail und Austausch von Dateien verwenden
Eine Warnung zum Schluss
Es gibt nicht nur uns schwarze Phönixe, die euch lieben, sondern es gibt in einer Gesellschaft, wo es um Macht geht, Menschen, die die Gutmütigkeit und die Unwissenheit von anderen Menschen ausnutzen. Warum sollte das in einer linken Bewegung anders sein? Uns sind linke Aktive bekannt, die absichtlich Schadsoftware an ihresgleichen senden, um diese auszuforschen und die gewonnen Daten zu missbrauchen.
Unsere Warnung geht raus an die Antifaschistische Revolutionäre Aktion Berlin (ARAB) und an die Liebigstrasse 14. Ihr seid gerade relevant und wir hoffen, dass eure Kommunikation (Blog und E-Mailadresse) nicht übernommen werden. Wir hatten die Möglichkeit dazu, haben das wegen eurer Relevanz nicht getan.
Bewegung Schwarzer Phönix, 19. Januar 2011
re: riseup
1.: zu sagen, ihr seit keine nazis, und wollt niemandem schaden: wer weiß?? beweise habt ihr keine erbracht.
2.: gehen wir davon aus, ihr seit genossInnen die auf bestehende sicherheitslücken aufmerksam machen wollen: coole aktion. sehr cool. bitter nötig.
3.: da ich selber rise-up benutze würde ich gerne mehr zu den hacking methoden und den nachteilen von rise-up wissen. ich habe rise-up bis jetzt immer für einen guten anbieter gehalten...
aber klar, mit der Dummheit der menschen habt ihr wohl recht... wenn jeder einladungscodes raushaut ohne die leute zu kennen...
Fragt sich generell ob sie
Fragt sich generell ob sie sich mit den Anbietern in Verbindung gesetzt haben und die angesprochenen Schwachstellen mit diesen diskutiert haben. Sollten sie nicht, ist ihre Aktion mehr ein Witz und dieser Artikel nichts anderes als mackerhaftes Rumgepose.
Mit Verlaub
Was bitte hat das mit Mackergehabe zu tun?
Das ist ein wichtiger Test und er macht gravierende Lücken deutlich und daher sollte er von allen zu begrüßen sein, denen ernstlich an was gelegen ist. Da haben schließlich Leute auch viel viel Arbeit reingesteckt. Man sollte jetzt nicht, peinlich peinlich berührt, dumm um sich schlagen, weil man das Naheliegende nicht an sich ranlassen kann / will, sondern die Lücken schließen oder es wenigsten versuchen. Im Übrigen, für den mit den Beweisen, ob es keine Feinde waren, die da gehackt haben. Du hättest wahrscheinlich schon unangenehmes über dich oder deine Genossen lesen können, wenn das ein bösartiger Angriff gewesen wäre. Fragt man sich auch, warum Nazis oder Staatsschutz ausgerechnet auf Linksunten mitteilen sollten, wenn sie die Accounts geknackt haben. Manchmal hilft einfacher Menschenverstand.
hallo, schliesse mich an. da
hallo, schliesse mich an. da ich auch von riseup überzeugt war und alle meine sonstigen accounts nach dort verlegt habe, würde mich auch interessieren wo die schwachstellen liege.
sollte doch wieder zu gmx wechseln, oder!?
Nee bitte nicht.
Nee bitte nicht.
Auch falls hier eine Schwäche in dem System von Riseup identifiziert worden ist - wovon ich bis jetzt noch nicht so richtig überzeugt bin (wie man dadurch dass man C++-Code schreibt grundsätzlich eine Authentifizierung auf einem Remote-System umgehen kann müsste mir nochmal jemand erklären) - ist immer noch um ein vielfaches empfehlenswerter als jeder kommerzieller Anbieter, insbesondere die in Deutschland und der EU. Zwischen EU-Ländern bestehen (meist) verlässliche Rechtshilfeabkommen, so dass die deutschen Behörden da mittlerweile prima an Eure Daten kommen - und Ihr kriegt davon nix mit wenn es nicht jemand ist der Euch gut gewogen ist.
Kommerzielle Anbieter sind per se leichter zu beeinflussen als diejenigen _von uns_ die _für uns_ Dienste und Hosting anbieten, und dazu zähle ich Riseup, aber auch die anderen im "EU-Ausland" hostenden Anbieter die es da so gibt. Herumschauen was es noch so alles gibt lohnt sicherlich, setzt nicht alle auf das gleiche Pferd...
Eine Liste linksalternativer Hostinganbieter (nicht alle aber einige bieten E-Mail-Konten an) findet sich z.B. auch in der Liste der Unterzeichner der unter anderem auf www.aktivix.org veröffentlichten "No Data Retention"-Resolution ("Keine Vorratsdatenspeicherung!" - die ist auch in Deutschland noch lange nicht vom Tisch, es geht grade in die dritte Runde!).
Einfach mal abchecken. Und vor allem löscht Eure Mails vom Server nachdem ihr sie runtergeladen habt (mobile Zugangsgeräte zum Internet mit eigenem Datenspeicher sind heute nicht mehr so teuer und in Zukunft noch viel billiger, und bald auch sicherer). Denn dann können die Cops da nicht mehr einreiten und sich alles auf einmal schnappen was sie in die Hände kriegen können.
dank dir. werd mich direkt
dank dir. werd mich direkt mal dort umschauen. bleibe dann erstmal bei riseup ;-)
Schaltet Euer Gehirn ein!
frage
hi, wäre es nicht möglich gewesen die betreffenden accounts intern anzusprechen und den vom account aus mails zu verschicken? meinet wegen in form einer spam. Das so öffentlich zumachen kann auch nachteile ziehn, denn u.u. bekommt nicht jeder das hier jetzt mit, während dorfnazis und lka dies checken und nun auf jagd gehen dürfen :-/
Wie kann man herausfinden, z.B. dass man betroffen ist? Ausser den genannten Gruppen oben gibts dazu keine Hinweise.
Bitte kein Spam, aber bitte Benachrichtigungen
Spam verschicken ist NIE der richtige Weg. Aber ja, ich will auch stark hoffen dass eine Benachrichtigung derjenigen deren Accounts hier gehackt wurden stattgefunden hat. Wenn nicht, wäre das definitiv ein Grund dem schwarzen Phoenix das Missvertrauen auszusprechen.
Es ist für einen
Es ist für einen Gruppenzusammenhang sowieso inakzeptable, dass Einzelpersonen sich Passwörtzer "ausdenken" - das sicherste ist das den Computer machen zu lassen, die Passwörter in einer zentralen verschlüsselten Datei aufzubewahren, die an mehreren Stellen gespeichert wird und nur das Verschlüsselungspasswort für diese Passwortdatei weiterzugeben. So wird vermieden, dass extrem peinliche und gravierende Fehler, wie "Anarchy" sicherlich zu bezeichnen ist, nicht mehr auftauchen.
verf****** nochmal
Leute: es gibt ein Programm mit dem man ALLE seine Passwörter verwalten kann. Es heißt TrueCrypt, und hat sowohl in persönlichen als auch politischen Zusammenhängen seinen Dienst wunderbar erfüllt:
LINK:
http://keepass.info/
KP ist eine Datenbank, die ganz bequem eure Passwört verwaltet, und ihr braucht euch nur noch ein Masterpasswort zu merken.
Und GPG sollte langsam mal Standard werden...!
So schwer ist es nun auch nicht!
Du wirfst da irgendwie grade
Du wirfst da irgendwie grade Keepass und Truecrypt durcheinander. Die Passwortdatenbank die Du meinst ist Keepass. Sowas gibt's unter Linux natürlich auch, da heißt es KeepassX.
Aber auch einen Passwortsafe zu verwenden macht nur dann Sinn wenn man denn hinreichend sichere Passwörter verwendet.
gehts noch?
truecrypt ist für die festplattenverschlüsselung und keepass ist unsinn hoch zehn. wenn da jemand das eine passwort rausbekommt, dann hat er/sie alle. bitte vorher nachdenken bevor man/frau solche beiträge postet. zudem gilt: wer viele verschiedene systeme verwendet, bietet viele potentielle einbruchsmöglichkeiten an. scheissegal ob blog, webmail bei kostenlosen hostern oder was auch immer.
mensch sollte dankbar sein dass das thema mal aufkommt und die leute vielleicht ein klein wenig sensibilisiert wie sie sich im internet bewegen und was sie wo und wann und vor allem wem gegenüber kommunizieren.
klandestine kreise benutzen keine emails, keine blogs. und wenn emails versendet werden müssen weil konspirative treffen, aufgrund der entfernugn nicht möglich sind, dann als truecrypt container-datei (etwa 10MB größe) und darin ein mit gpg/pgp verschlüsselter text. in so einer container datei kann man dann übrigens auch bequem und sicher dateien versenden. truecrypt ist sicher und je größer der erzeugte hash ist, desto länger würde sich wer auch immer die zähne ausbeisen es zu decrypten.
und nochmal auf die sensibilisierung: die rote hilfe hat ja vor knapp nem jahr bekannt gegeben das ihr unverschlüsselte festplatten mit userdaten "abhanden" gekommen sind. wir finden es extrem traurig das gerade die RH im jahr 2009/2010 noch mit unverschlüsselten daten hantiert hat. das zeigt uns das wir uns von solchen orgenisationen (leider) besser fernhalten sollten da hier nicht mit der notwendigen sorgfalt mit unseren daten umgegangen wurde/wird(?).
also hört auch euch hier gegenseitig zu bekriegen, der feind ist da draussen und lacht sich ins fäustchen wenn er euch hier diskutieren sieht.
solidarische grüße
Ironie
Habt ihr beim Lesen auch die Ironie in diesem Text entdeckt?
1.
Keylogger könnten zwar auch Hardware sein, sind meistens aber Schadsoftware die an auf fremden Computern eingeschleust wird, um diese auszuforschen und die gewonnen Daten zu missbrauchen. Wie hier geschehen.
2.
Und unterzeichnet ist dieser Text dann mit...
...
Bitte nicht falsch verstehen: ich find's grundsäzlich gut auf Sicherheitslücken hinzuweisen. Erst mal die-/denjenigen der sie hat (wohl die User in diesem Fall), dann die-/denjenigen der ihre Ausnutzung ggf. begünstigt (wohl Riseup in diesem Fall). Und wenn da in einem angemessenen Zeitraum nix zurück kommt dann ist auch eine öffentliche Bekanntgabe - wie hier geschehen - sinnvoll.
Aber die Frage ist natürlich auch welche Mittel man anwendet. Und da kann man sich schon drüber streiten ob der Einsatz von Keyloggern und das vorsätzliche Kompromittieren von Computern von anderen 'Linken' der richtige Weg ist.
Wie man weiter oben schon sehen kann ("soll ich jetzt zurück zu GMX?") führt das nicht unbedingt dazu dass Leute wirklich sicherer leben, sondern in der hier präsentierten Form die keine Alternative anbietet vielfach eher zu diffusen Ängsten die niemanden weiter bringen.
Also: für mehr konstruktive Kritik - bietet Alternativen und erklärt die Dinge so dass sie jede/r versteht und auch erfährt wie sie/er sich schützen kann!
naja
es wurde gesagt, dass Leute sich das Wissen über PC und Internet aneignen sollten oder die Finger von lassen sollten.
Das ist auch für mich logische Konsequenz.
Sich das Wissen anzueignenn kann letztendlich nur von den Individuen getan werden. Es kann dabei geholfen werden, aber viele Leute haben trotz jahrelanger Konfrontation mit dem Thema noch keine Verschlüsselung..
Ein Großer Fehler
Mir gefällt die Aktion, ihr hättet aber im Postfach je von der selben Mailadresse eine Nachicht gelassen um dies zu verifizieren (oder habt ihr das?) und hier auch je erklären wie es im speziellen Fall geschafft wurde, wenn da jemand nen "Pornobild" aus dem Anhang geklickt hat braucht ja nicht das eh schon lange Passwort verlängert werden.
Warum ihr das alles nicht vorher intern abgeklärt habt bleibt völlig unklar.
Und wenn ihr schon die Kapazitäten habt könntet ihr doch auch mal ein paar Mails z.b. bei Dennis Giemsch Nazihoster 0x300.com hacken.
Fake
Hallo?
Ihr glaubt doch diesen Schwachsinn nicht ernsthaft?
Das ist doch ein offensichtlicher Fake.
Hat jemand die Riseup Leute wirklich geprüft?
Also, wenn ich der VS wäre, dann würde ich riseup gründen. Langsam, nicht gleich losjodeln. Einst hat schließlich Klaus Steinmetz auch federführend am Spinnennetz mitgewirkt. Wer nicht weiß, dass das ein VS-Spitzel war, der sollte mal nach Bad Kleinen schauen. Interessant ist doch auch die Medien-Geschichte der Gruppe 2 mit Manfred Schickenrieder. Jeweils hat sich der Geheimdienst direkt auf den Knoten gesetzt, sogar gegründet, um ihn kontrollieren zu können. Bei der taz darf man auch ähnliches vermuten.
Wäre mal eine gute Aufgabe, die Leute von riseup zu prüfen.
Vielleicht bist Du ja der VS.
Vielleicht bist Du ja der VS. Hat eigentlich Dich schon jemand geprüpft, darfst Du solche Kommentare überhaupt posten?
Unterste Ebene
Stimmt etwa nicht, dass der VSler Steinmetz, der für den Tod von Wolfgang Grams verantwortlich ist, Spinnennetz (also ein erstes linkes Kommunikationsnetz gegründet hat? Sind hier alle grün hinter den Ohren und haben auch von der massiven Bespitzelung durch die Gruppe 2 in München nie was gehört. Wer aus Fehlern nicht lernen will, kann auch gleich aufhören.
Sehe ich auch so. Außer das
Sehe ich auch so. Außer das riseup in Seattle beheimatet ist erfahre ich nichts über die, könnte genauso gut ein Honeypot eines amerikanischen Dienstes sein. Who knows?
Ein Steinmetz konnte damals in dem Berech auch nur groß werden, weil seinerzeit die allerwenigsten in der Szene Ahnung von Computern hatten. Als "Experte" kam der deswegen quasi an jeden Rechner, "hier Klaus, du hast doch Ahnung, kannst du da mal helfen". Ich hab selbst ganz ehrfürchtig gestaunt wenn der nur an der Hardware rumgeschraubt hat, weil ich damals IT-mäßig noch völlig grün hinter den Ohren war. Deswegen ist es ja so wichtig das sich Leute Wissen in diesem Bereich aneignen und sich selber Gedanken um Sicherheit machen, anstatt das an irgendwen zu delegieren. Falls diese Phoenix-Geschichte wahr ist,steht zu vermuten, das hier ebenso delegiert wurde und jemand auch darüber an Informatioen gelangt sein kann.
Aber eigentlich halte ich es eher für ein Fake, nichtsdestotrotz ist doch der Hinweis darin, das mensch anständige Passwörter benutzen sollte (und zwar *unterschiedliche*!) ziemlich wichtig. Und Emails gehören verschlüsselt abgeholt und gesendet, damit nicht Passwörter im Klartext über die Leitung gehen Wenn man die problemlos mitsniffen kann ist nämlich auch egal wie ob man 'anarchy' oder '87%&5!%gJfD?' als Pass wählt, die Inhalte per GPG verschlüsseln ja sowieso noch weniger Menschen. Ich kann da echt nur noch die Hände über dem Kopf zusammenschlagen, wenn ich das manchmal sehe, wie naiv Menschen mit diesem Medium umgehen.
Fortbildung
Da sich die Datentechnik rasant weiterentwickelt und einige Gruppen mit Sicherheit wichtige Daten in ihren Accounts liegen haben, kann es nicht schaden, sich im Bereich Netzsicherheit fortzubilden, bzw. dafür einen Unter-AK zu gründen, der sich mit eben solchen Fragen auseinandersetzt. Selbst wenn das hier ein Fake sein sollte (Beweise dafür?), dann ist der Denkanstoß doch nicht verkehrt.
Und des weiteren werden ja kleine Infos oben zur Verbesserung der Situation gemacht. Diese sind zwar auch bei DatenschützerInnen erhältlich, aber scheinbar erkundigt sich mensch dort nicht. Deshalb ist es unterstützenswert, dass es so nochmal im Text erwähnt wird.
Vielleicht sollten ExpertInnen aus linken Kreisen mal Workshops zum Thema halten. Nicht jedeR hat ja auch Zeit, sich zum/zur Netzexperten/In weiterzubilden.
Eine Grenze überschritten
Die Menschen, die sich hinter "Schwarzer Phönix" verbergen, haben mit dieser Aktion eine Grenze überschritten.
Seit langem ist es gute Tradition, dass in allen Zusammenhängen, die mit grenzüberschreitenden Aktionen zu tun haben, jeder und jede nur das weiss, was sie oder er zu wissen braucht. Das ist ein gutes und absolut notwendiges Vorgehen, um den Schaden so gering wie möglich zu halten, falls Informationen dahin gelangen, wo sie nicht hingelangen sollen, also zu den Bullen: durch versehentliches Gequatsche, durch Geplaudere bei Festnahmen, durch Spitzel aller Art.
Schwarzer Phönix hat sich laut eigener Aussage Zugang zu einem Haufen Informationen aus E-Mail-Konten sowohl privater Personen als auch von Gruppen verschafft. "Wir haben die Accounts von 100 linken Gruppen und Einzelpersonen einer Sicherheitsüberprüfung unterzogen... Rund die Hälfte der Accounts konnten wir übernehmen...Und dabei handelte es sich nicht um Accounts von unbedeutenden Gruppen und Einzelpersonen, sondern von Menschen, die linke und autonome Politik dominieren. Bei einigen Accounts haben wir ihrer Bedeutung wegen auch nur oberflächlich reingeschnuppert und diese nicht übernommen...Und auch eine "Antifa AG" war in der Kampagne aktiv. In ihren Daten konnten wir interne Details über antifaschistische Strukturen erhalten und über so manchen Neonazi lachen. "
Schwarzer Phönix weiss jetzt sehr viel, was er niemals hätte wissen sollen, aus prinzipiellen Gründen nicht wie oben angedeutet. Hätte SP mangelnde Sicherheit von E-Mail-Accounts demonstrieren wollen, hätten sicher andere Wege zur Verfügung gestanden. Damit, dass SP sich über elementare Sicherheitsregeln einer linken und linksradikalen Szene hinwegsetzt und Zugang zu einem Haufen Informationen hatte, die ihn nichts angehen und die er besser nicht kennen sollte, ist eine Grenze überschritten worden.
Sollte es Menschen geben, die wissen, wer bei SP beteiligt ist, so kann die einzige Empfehlung nur lauten, möglichst alle an SP beteiligten Personen konsequent und dauerhaft aus allen linken Zusammenhängen, von Mailinglisten etc. so weit wie möglich und dauerhaft auszuschliessen. Natürlich bietet ein solches Vorgehen SP einen breiten Raum zur Erpressung nach dem Motto: Wenn ihr uns rausschmeisst, werden wir unser Wissen an die Bullen weiterplaudern oder sonstwie veröffentlichen. Trotzdem bleibt wohl keine Alternative zu einem radikalen und endgültigen Rausschmiss: lieber ein Ende mit Schrecken als ein Schrecken ohne Ende.
Mal locker bleiben und ruhig nachdenken
Pass mal besser aus deine security auf und nimm die Aktion als bissige Kritik.
Klarstellung
Wenn sich gewaltsam Zutritt verschafft wird (Brute Force), Vertrauenssituationen ausgenutzt werden, um sich Zutritt zu verschaffen (Keylogger auf gemeinsam genutzen Computern), oder schlichtweg "Social Engineering" betrieben wird (Chat, Pornobilder), kann wohl kaum die Rede von einer "Sicherheitsüberprüfung" sein. Auf eine vorgefundene Sicherheitslücke weist man hin, aber man nutzt sie nicht erst vorher noch. Wer das tut, der macht sich strafbar, gesetzlich wie moralisch.
Es handelt sich hier offensichtlich vielmehr um eine breit angelegte "Personenüberprüfung", bei der offenbar nicht alle bestanden haben ("Alle bekommen ihre Accounts wieder zurück. Wir wissen ja nun wer diese Menschen sind. Eine Ausnahme gibt es, denn nicht alle sind echt. Neonazis und Angehörige von Repressionsbehörden in unseren Kreisen werden wir nicht dulden. Um dieses Problem kümmern wir uns."). Die Jagd ist eröffnet...
Hier wurden keine Sicherheitslücken aufgedeckt, sondern lediglich die mangelnde Sorgfaltspflicht der Anwender ausgenutzt (unsichere Passwörter) bzw. wurden diese hierfür regelrecht "ausspioniert" (Keylogger) oder reingelegt. Dass mangelnde Sicherheitsvorkehrungen auf Seiten des Providers bestehen, wurde zwar behauptet, aber nicht ausreichend dargestellt.
Dies kommt somit einem hinterhältigen Angriff aus den eigenen Reihen gleich, um GenossInnen, deren Strukturen und Aktivitäten auszuspionieren, der nun auch noch als "gutgemeint" verkauft werden soll. Und die Ergebnisse werden dann der Öffentlichkeit präsentiert? Oder doch nur "intern" verwertet?
Infam, sowas.
Brute Force
Brute Force in diesem Kontext hat nichts mit gewaltsam zu tun, sondern bedeutet "stumpfes" (natürlich automatisiertes) Ausprobieren vieler Möglichkeiten, z.B. durch einen Wörterbuch-Angriff.
Mit Sicherheit...
...kann man geteilter Meinung über die Methoden des "Schwarzen Phönix" sein.
Aber der oder die Personen könnten jetzt mit den Daten auch was ganz anderes machen, als alle zu warnen!!!
Also erst mal ein bitteres Schlucken, Selbsterkenntnis und das fachliche Wissen im Umgang mit PCs erlernen.
Was den "Schwarzen Phönix" angeht kann man nur auf die persönliche Integrität der Personen hoffen. Vielleicht sollten sie die betroffenen Personen/Gruppen noch einmal direkt kontaktieren und ihnen die Fehlerquellen aufzeigen.
Linke Techniknulpen
In einem hat der Artikel recht. Linke haben keine Ahnung von Technik, sonst wüssten sie, dass in dem Artikel technisch nur Mist drin steht.
Außer ein paar Passwörter erraten und Kumpels ausspionieren ist da mit Sicherheit nicht gelaufen. Die Dummheit die sich in dem Artikel äußert, tut schon richtig weh.
Noch fassungsloser macht mich allerdings, wieviel Leute den Quatsch glauben.
Grober Unfug
Haha wer diesen Artikel glaubt ist selbst schuld. Wer den verfasst hat hat keinen Schimmer von IT-Sicherheit aber wollte mal so richtig allen Angst einjagen. Das hat auch einigemaßen geklappt. Aber passiert ist in Wirklichkeit nix, sonst gäb es wohl mindestens einen kleinen Beweis. Und davon fehlt jede Spur.
Fazit: Möchtegern-Hacker der keine Ahnung von Full Disclosure hat will mal ordentlich was für sein Ego tun und fabuliert sich ne halbwegs nette Story zusammen, die aber leider nur solche überzeugt die von PCs besser die Finger lassen. Verpiesel Dich, Troll, stiehl uns nicht unsere Zeit.
tja...wohl wahr! Mein Account
tja...wohl wahr! Mein Account ist zumindest nicht gehackt und so lange es hier keine wirklichen beweise oder Rückmeldungen von betroffenen gibt, kann das wirklich nur als Fake gewertet werden. der schwarze phönix ist wohl im sturzflug .........
die aktion ist echt.eine
die aktion ist echt.
eine gruppe ist direkt betroffen, wir heben mal den finger...;)
auf indy wurde der artikel bereits zensiert, dort war mensch bereits weiter mit der analyse von dem(!) schwarzen phönix.
es wird sich drum gekümmert, die ganze nummer wird konsequenzen mit sich ziehen. hier wurden ganz offenbar privatdaten abgegriffen, ganz abgesehen von der "machtübernahme" von strukturen. wer das derart an sich zu ziehen versucht hat nichts gutes im sinn!
Nur Gelaber oder was?
Bisher hat noch keine Gruppe öffentlich bekannt dass das stattgefunden hat. Ein anonymer Vertreter einer anonymen Gruppe die hier mal den Finger hebt ist für mich kein Beweis. Bei Riseup weiß man offenbar auch nichts davon dass jemand betroffen wäre. Falls das Ding hier wider erwarten doch stattgefunden hat wurden die offenbar nicht informiert, und das würde wirklich ein sehr, sehr schlechtes Licht auf BSP werfen...
Recherchiere doch mal wer
Recherchiere doch mal wer hinter BSP steckt. Vergleiche andere Beiträge und Diskurse im berliner Raum. Dann wirst du sehen wer hinter diesen Angriffen steckt. Mind. eine berliner Gruppe hat momentan Probleme mit ihrem Mailaccount gehabt/hat wegen dieses Pissers. Aber dies war hoffentlich sein letztes Ding um die Szene zu zerstören.
duh
es geht doch überhaupt nicht darum, ob die leute ahnung von technik haben oder nicht oder tolle hacker sind. wenn sie völlig ahnungslose spinner sind, macht es das ganze ja um so schlimmer. wenn selbst die e-mail-adds exploiten können, kanns halt auch jeder andere depp. und keine ahnung wie das mit den beweisen ist, ist aber doch auch eigentlich egal: auf die sicherheitslücken wurde hingewiesen, wenn der eigene account diese nicht aufweist, ist doch alles super (bzw. zumindest in hinsicht dieser mängel...). und wer gehackt wurde, den werden die leute wohl verständigt haben (hoffe ich...?!), so dass das geändert werden kann. tatsächlich finde ich die art des vorgehens auch ein bisschen seltsam (hacking ohne vorherige nachfrage und so...), andererseits begründen sie ihr Vorgehen auch: "Wir haben vor Sicherheitslücken gewarnt, doch wir wurden in den meisten Fällen ignoriert oder beschimpft." Kann man trotzdem kritisieren, die Konsequenzen müssen halt trotzdem gezogen werden.
Good bye, Privatsphäre. Allmachtsfantasien sind IN!
Über den pädogogischen Wert einer solchen Aktion für die Gruppen, deren Accounts gehackt wurden, lässt sich streiten. Absolut mies, unterirdisch und nicht zu rechtfertigen ist aber das Hacken der Accounts von Einzelpersonen. Kann es vielleicht sein, dass hier Allmachtsfantasien im Spiel sind? Oder hatte einfach mal ein Mitglied der "Bewegung Schwarzer Phönix" den Verdacht, dass der Freund oder die Freundin fremdgeht? Wenn ja: Musste wirklich so ein Fass aufgemacht werden, um die Schnüffelei aus niederen Beweggründen politisch zu legitimieren?
Wer solche Freunde hat, braucht keine Feinde mehr
re:
Joah, meine Fresse. Also die Diskussion dreht sich ja auch einen scheißdreck darum ob BSP jetzt Nazis sind oder nicht, es geht prinzipiell nur darum, und da hat BSP ja auch völlig recht, dass Linke viel zu wenig Ahnung von Technik & Sicherheit haben. Und selbst wenn diese Knaller-Aktion vom BSP nur dazu beigetragen hat dass ein paar Leute ihr Passwort ändern, dann ist das auch okay.
Also: wie gesagt: das motiv ist ja durchaus okay, aber die Form in der das durchgezogen wird: no way... absolut...
Egal ob echt oder nicht:
Hacklabs veranstalten und sich weiterbilden!
Ausserdem finde ich es nicht gut, wenn (fast) alle den selben Mailanbieter nutzen. Viel zu verletzlich. Besser streuen und vor allem, immer wieder: Verschlüsselungstechniken aneignen und benutzen.
gruß
Nutzt die Gelegenheit
1. Wenn der Angriff real stattgefunden hat: Ändert eure Passwörter wie von BSP beschrieben
2. Wenn der Angriff *nicht* real stattgefunden hat: Ändert eure Passwörter *TROTZDEM* wie von BSP beschrieben. 3. Wenn's euch scheissegal ist was da passiert ist: Ändert eure Passwörter wie von BSP beschrieben
Denn: Es _könnte_ passieren. Aktuell dazu bei heise.de: http://www.heise.de/security/meldung/Gestohlene-Zugangsdaten-im-Netz-ver...
Tipps:
a) Festplatten und andere Datenträger (USB-Sticks, SD-Karten, etc.) mit TrueCrypt verschlüsseln.
b) Mailclient mit Verschlüsslung verwenden (z.B. Thunderbird + OpenPGP-AddOn + GnuPG)
c) Passwörter sicher aufbewahren (KeePass -> Die Containerdaten sind auch mit schwachen Passwörtern sicher, sofern man ein Keyfile verwendet)
Ist alles OpenSource und kostenlos. Wenn ihr zu den Tools Hilfe benötigt: Einfach mal im Web suchen. Da gibt es TONNENWEISE Hilfen...
Wenn ihr Emails verschlüsselt, könnt ihr euch auch die Accounts bei Google, bei gmx, bei web.de oder meinetwegen auch bei der Telekom anlegen: Die Emails sind dann VERSCHLÜSSELT und auch der wissbegierigste und schnüffelnste Provider ist außen vor.
Man, wir haben 2011 und die Menschen beschweren sich immer noch, über Chancen und Risiken nicht ausreichend aufgeklärt zu sein... DANN KLÄRT EUCH VERDAMMTNOCHMAL SELBST AUF! Niemand hält euch (hierzu) Informationen vor! Ist alles frei verfügbar...
PS: Der Angriff mittels Keylogger hat eine ganz andere Qualität. Und - sofern stattgefunden - *dafür* sollte man BSP - wirklich wirklich wirklich - mal ins Gebet nehmen...
PPS: Das BSP nicht nur die Accounts gehackt hat - sofern stattfgefunden - sondern dann auch noch die Inhalte(!) gelesen hat - *das* geht ebenfalls gar nicht.
hallo
hallo, mich würde (nur mal so) interessieren, was das
zur sache tut und ob das
belegbar ist oder nur verwendet wurde, um unterschwellig meinung gegen "linke" zu machen. nichts für ungut, vielleicht seid ihr ja doch einfach nur herzensgute "hacker"
Presse zu den Hackings
http://www.heise.de/tp/r4/artikel/34/34083/1.html
http://www.taz.de/1/netz/netzpolitik/artikel/1/lieblingspasswort-anarchy/
http://www.neues-deutschland.de/artikel/188939.sicherheitscheck-linke-hacken-linke.html
gut, wichtig, notwendig!
Ich als Linker sage: Wichtige Sache. Wenn man mal schaut, dass die Festplatte der Bundeszentrale Rote Hilfe Göttingen nicht oder schlampig verschlüsselt war und das Geschrei groß war, nachdem diese gestohlen wurde (man möge nach Quellen suchen), kann man unseren Leuten nicht oft genug in den Arsch treten, damit endlich verstanden wird, wie wichtig Verschlüsselung ist.
Was Passwörter angeht, sollte man sich mal mit KeePassX und Co. beschäftigen. So kann man mühelos für jeden Account unterschiedliche Passwörter mit beliebiger Zeichenlänge verwenden und man braucht sich weder Passwörter merken, noch muss man sie in Zukunft über die Tastatur eingeben.
Aber den meisten ist es ja eh scheißegal, weil sie ignorant und deshalb dumm sind.
TRUECRYPT
KEEPASSX (Ubuntu)
KEEPASS (Windows)
VPN-Server
HTTPS
GnuPG
...
Video-Tutorial: Verschlüsselt chatten per XMPP und OTR
Richtig!
aus dem riseup newsletter - offensichtlich kein fake!
On passwords and antifascists
-----------------------------
If you are in Germany, you probably heard wild reports about riseup.net getting "hacked" (http://linksunten.indymedia.org/de/node/32436) by a German antifa activist in order to prove a point about lax security practice among antifa activists.
Head for the hills! Throw away your computers! Or... maybe not. In truth, none of our systems were compromised, but the attacker was able to acquire the passwords of antifa activists by various methods:
(1) installing keyloggers on the computers individual activists used.
(2) guessing passwords and password reset questions by using their knowledge of the activists.
(3) brute force attempts to login using thousands of different passwords.
Passwords are the weak link in most security systems, and Riseup is no different. This is why we require strong passwords (although the accounts that got broken into appear to have had weak passwords from before we required strong passwords).
Two recent events have caused us to re-assess our password policy: This antifa incident and media reports of the ease with which some password reset questions can be answered by reading Facebook profiles.
In this light, we have made the following changes:
(1) you can no longer reset your password using the 'secret question'.
(2) when you attempt to reset your password using an alternate email address no indication is given if it worked or not.
(3) the timeout for failed login attempts has been increased.
If you want to regain access to your account if you forget your password, you should make sure you have a valid alternate email address set. You can check this from the 'Change my settings' link on our mail page. While setting this is a good idea if you might forget your password, it does make your account less secure, and requires you to have an alternate email which you store with us. We recognize that this is not a good solution. We are exploring ways of improving our password system, possibly enabling the use of one-time-passwords and non-password forms of authentication.
One problem we face is that many users have old passwords from before we required strong ones. We are currently trying to figure out how to get people to update their password, without being too harsh about it. Perhaps a singing telegram?
Alternative
Passwoerter ueberhaupt nicht merken, weil kostet zu viel Zeit und sollen ja eine gewisse Laenge haben. 20 Zeichen mit Sonderkram.
Kurz: Unmoeglich und irgendwann keinen Bock, zuzugreifen. Irgendwo muss es ein Backup geben, wenn auf den Kopf gefallen. Kann passieren.
Vorschlag: Kauft Euch einen USB-Stick und erstellt Euch einen Ordner fuer die Passwoerter, wo sie alle gelagert sind. Muss dann nicht verschluessel sein.
Dann bringt den Hacker*innen eure Computer-Festplatte fast gar nichts, die ihr trotzdem verschluesseln solltet. Ihr koennt die Recherchearbeiten aber auch auf dem Stick nur speichern. Die haben heute schon bis zu 32 GB oder noch viel mehr. Falls es nicht reicht, dann halt noch Einen kaufen.
Wenn ihr den Kleinen verliert, seid ihr komplett im Ar...
Deshalb macht ne Sicherungskopie auf einem 2. USB-Stick und versteckt ihn bei irgendwem Vertrauten, aber sagt mensch xz dann auch Bescheid
Oder im Wald verstecken und zwar in einer sicheren Box.
doch
Doch, natürlich muss der verschlüsselt sein!