Um die Angriffe auf WhatsApp, Avira, AVG und Co. gab es in den letzten Tagen viel Verwirrung. In einer FAQ-Übersicht wollen wir einige der offenen Fragen beantworten.
Wer ist betroffen (gewesen)?
Nach aktuellem Erkenntnisstand waren die Websites von WhatsApp, dem Hoster LeaseWeb und den IT-Sicherheitsunternehmen Avira und AVG betroffen. Die Seiten von AVG und LeaseWeb sind wieder vollständig erreichbar, WhatsApp und Avira kämpfen noch um einen geregelten Ablauf. Laut dem KDMS-Twitteraccount wurden auch Serverdienst Alexa und die Pornoseite Redtube kurzzeitig lahmgelegt.
Wer ist KDMS?
Über die Gruppierung ist nicht viel bekannt. Sie scheinen sich als eine Art palästinensische Anonymous-Gemeinschaft zu verstehen, die politische Botschaften im Rahmen des Israel-Palästina-Konfliktes loswerden möchte.
Neue Stellenangebote
Growth Marketing Manager:in – Social Media GOhiring GmbH in Homeoffice |
||
Senior Social Media Manager (m/w/d) Müller Holding GmbH & Co. KG in Ulm-Jungingen |
||
Content & Community Manager (m/w/d) Social Media AS Arbeitsschutz GmbH in Bedburg-Mühlenerft bei Köln |
Was war die Vorgehensweise?
Anders als anfangs berichtet wurden nicht die Server von WhatsApp, Avira und Co. lahmgelegt, sondern „nur“ DNS-Server. Durch dieses DNS-Hijacking werden die Seiten umgeleitet – in diesem Fall eben auf eine KDMS-„Infoseite“. Dieses DNS-Hijacking wird eigentlich von Internetanbietern wie etwa der Telekom genutzt, um nicht existente Seiten auf die bekannte „Telekom Navigationsseite“ umzuleiten.
Was ist ein DNS-Server?
Der DNS-Server ist wie ein Telefonbuch. Der Nutzer kennt die Domain einer Seite (etwa: basicthinking.de). Der DNS-Server kennt die zugehörige IP-Adresse und stellt die Verknüpfung her. Gäbe es keine DNS-Server, müssten wir uns die langen und unhandlichen IP-Adressen merken – quasi unmöglich.
Sind meine Daten noch sicher?
Ja, vermutlich schon. Nicht mehr, als bei WhatsApp gewohnt, aber durch den Hackerangriff dürfte nichts Schlimmeres passiert sein. Schließlich sind die Hacker nicht in die Server von WhatsApp, Avira und Co. eingedrungen, sondern haben die Seiten nur umgeleitet. Außerdem sind die Server von whatsapp.com und die Server, über die die Nachrichten laufen, zwei verschiedene Paar Schuhe.
… aber WhatsApp schickt mir doch E-Mails?
Aktuell sind, so berichten einige Tech-Blogs, viele Mails im Umlauf, die vermeintlich von WhatsApp abgeschickt wurden. Darin werden die Nutzer darauf hingewiesen, dass sie eine Sprachnachricht erhalten haben und diese im Browser öffnen sollen. Nachdem die geöffnete Seite einen veralteten Browser erkennt und zum Update bittet, wird Malware auf dem Rechner installiert.
Hier ist Nachdenken gefragt: Woher in Gottes Namen soll WhatsApp meine E-Mail-Adresse haben? Und was ist das für ein toller Messenger, der keine Sprachnachrichten anzeigen kann? Die Lösung: Als Spam markieren und löschen, vor allem aber Finger weg von solchen Mails.
Was waren die Ziele des KDMS-Teams?
Man könnte meinen, es sei einfach nur die politische Botschaft, die die Hacker unterbringen wollten. Schaut man sich das Twitter-Profil aber an, meint man, es mit kleinen Kindern zu tun zu haben, die sich freuen, ein bisschen Hacker gespielt zu haben. Die Hacks werden förmlich zelebriert und verlieren damit fast schon an Ernsthaftigkeit.
Und nun?
Abwarten. Es darf davon ausgegangen werden, dass das „KDMS Team“ weiter versuchen wird, prominente Seiten kurzfristig lahmzulegen. Diese werden dann wie Trophäen auf Twitter präsentiert. Wirklich bösartig scheint die Gruppierung aber nicht zu sein.
Bilder: Screenshots
>> Sind meine Daten noch sicher?
Nein. Zumindest nicht die Daten, die in (z.b. Session-) Cookies für diese gehijackten Domains liegen und damit an die ‚Infoseite‘ von KDMS mit übertragen wurden.
Das mag bei Informationswebseiten und insbesondere Whatsapp nun weniger das Problem sein, aber grundsätzlich sind in so einem Fall alle Daten aus den Cookies als ‚abgegriffen‘ anzusehen.
Interessant wird es, wenn man das weiter denkt:
Was wäre, wenn so ein DNS-Hijack-Angriff auf andere Dienste gefahren wird. Und die Ziel-Webserver nicht eine ‚You are pwnd‘-Seite ausliefern sondern als Proxy agieren und die Original-Seite im Hintergrund abfragen. Damit wäre sämtliche Kommunikation mit dem Dienst exposed.
Nungut, die meisten Seiten haben hier SSL als Schutz: der Angreifer hat in aller Regel nicht den privaten SSL-Key der Original-Webserver und würde so erkannt werden, aber das ist dennoch ein erschreckend einfacher Angriffsvektor – auch auf Nutzdaten.
„Wirklich bösartig scheint die Gruppierung aber nicht zu sein.“ Bei sowas wird mir übel: das IST bösartig wenn ich wissentlich den Betrieb von anderen lahmlege!
Naja, was ich damit meine, könnte man auch einfach mal aus dem Kontext erkennen. Natürlich ist das nicht in Ordnung, aber sie haben „nur“ das Ziel, ihre Botschaft loszuwerden und ein bisschen Hacker zu spielen. Richtig bösartig in dieser Definition wäre z.B. Malware zu installieren, etc., etc.
Nennt man demonstrieren. @oliver