#Brieferl No.224 – Hack oder Nixhack, das ist hier die Frage





Lieber Cousin Herbert,

seit gestern steht die türkise Welt faktisch still. Zumindest ist eines der Aushängeschilder nicht mehr erreichbar, nämlich die Webseite der Volkspartei.

Die Vorgeschichte

Schon komisch irgendwie, dass der vermeintliche Hackerangriff just dann stattfindet, nachdem der Falter am Montag, 2. September über die türkis-doppelte Buchhaltung berichtet hatte, nicht wahr?

Der Falter-Redakteur Josef Redl erzählt:

“Dem Falter wurden umfangreiche Dokumente aus dem Innersten der ÖVP zugespielt. Es handelt sich dabei um Buchhaltungsdokumente. Um Dokumente, die belegen, dass die ÖVP auch heuer wieder – mit Vorsatz offenbar – die Wahlkampfkostengrenze überschreiten wird.“

“Die ÖVP rechnet intern derzeit mit etwa 9 Millionen Wahlkampfkosten. Das sind 2 Millionen mehr, als erlaubt. Offiziell rechnet sie mit 6,3 Millionen.“

Am Dienstag, 3. September wurde bekannt, dass die ÖVP den Falter auf Unterlassung klagen wird, weil sie der Ansicht ist, dass der Falter “falsche Behauptungen“ verbreitet hätte.
Gestern am Donnerstag, 5. September gab es dann eine Pressekonferenz, die keine war, sondern ein “Hintergrundgespräch“ zu einem plötzlich erkannten Hackerangriff.

Das Praktische an diesem Hackerangriff:

1) Es war sicherlich und niemals nicht ein türkiser Maulwurf, der dem Falter die Daten der türkis-kreativen-doppelten Buchhaltung zukommen ließ.

2) Die Aufmerksamkeit wird von den Wahlkampfkosten auf die Hacker gelenkt.

Aber lassen wir doch zum Hackerangriff einen zu Wort kommen, der sich mit derartigen Angelegenheiten auskennt. Du kannst dich sicherlich noch an das Brieferl No.88 erinnern, in dem ich verraten konnte, dass deine ministeriale E-Mail in einem Spambot verwendet wurde.

Der Hackerangriff

Wieder ist es mein Schani, der eine kleine Analyse durchführt.

***********************

Im Bericht der SEC-Consult vom 04.09. wird von einem nicht-automatisierten Angriff durch einen versierten Angreifer ab dem 27.07. bei einer Vorbereitungszeit von 1-2 Monaten ausgegangen, der zumindest fünf Systeme kompromittiert haben soll. Entdeckt worden sein soll die Sache dadurch, dass “Auf zentralen Loggingsystemen [… ] Anomalien in den IT Systemen entdeckt“ worden seien.

Der vermeintliche Angreifer
– hatte mindestens 60 Tage Zeit bei nur einem angenommenen Monat Zeit Vorbereitung,
– war sehr versiert,
– hatte sich die Möglichkeit verschafft, “Daten zu kopieren, verfälschen oder platzieren“,
– schaffte es während dieser 60 Tage, unentdeckt zu bleiben(!)

***********************

Das ist ja schon mal interessant. Da gibt es also zusammengefasst einen Angreifer, der zwar tippi-toppi vorbereitet war und auch seit etwa Anfang Juli unentdeckt geblieben ist. Und plötzlich, was sicherlich gar nichts mit dem Falter zu tun hat, kommt man drauf, dass da was war …

***********************

Die Vermutung liegt nahe, dass der Angreifer folglich vorhatte, weiter unentdeckt zu bleiben. Was für einen Sinn hätten sonst manipulierte oder platzierte Daten?
Folglich würde ein derart versierter Angreifer, der zudem über mehr als genug Zeit verfügt, sämtliche Spuren seines Angriffes verwischen und besagte “Loggingsysteme“ entweder verfälschen, lahmlegen oder zerstören und dieses Vorkommnis als Unfall (Systemcrash, Administrationsfehler …) darstellen.

***********************

Es mutet irgendwie eigenartig an, dass der Hacker zwar seit Ende Juli völlig unbemerkt herumgefuhrwerkt hat, dann jedoch zu blöd, zu faul oder zu sonst was war, seine Spuren zu verwischen.

***********************

Auf der anderen Seite muss festgehalten werden, dass die besagten „Einträge in Loggingsystemen“ der ÖVP die einzigen erwähnten technischen Hinweise auf einen Angriff darstellen.
Nicht durchgeführt bzw. erwähnt wurden:

– Feststellung von Differenzen in Dateien, die vom “Opfer“, also der ÖVP, als “geleakt/manipuliert“ bezeichnet wurden zum momentanen Zeitpunkt gegenüber einer Sicherung von z.B vor 3 Monaten

– Plausibilitätsprüfung der Zeitstempel dieser Dateien (wann zuletzt beschrieben bzw. gelesen?)

– Prüfung, ob bei den vermeintlich „platzierten“ Emails die Transportdaten mit jenen übereinstimmen, welche darüber bei am Transport beteiligten, jedoch fremdem Systemen vorliegen.

***********************

Komisch, nicht wahr, dass zumindest aus dem Sicherheitsbericht nicht hervorgeht, ob tatsächlich irgendwelche Daten geändert wurden?

Stell dir, du kommst nach Hause und stellst fest, dass bei dir eingebrochen wurde. Was würdest du tun? Was würdest du als Erstes machen?

Ich würde zuerst mal schauen, was mir der Gauner alles weggenommen hat. Bitte, wer weiß, vielleicht hat er auch was da gelassen, einen Fehdehandschuh oder ein Dankesschreiben. Vielleicht war er auch ein Einbrecher der humorigen Art und hat z.B. meine Ukulele bunt bemalt oder die Rindsuppe im Kühlschrank versalzen.
Jedenfalls würde ich zuallererst gründlich Inventur machen. Erst dann würde ich die Sicherheitskameras befragen, ob sie mir etwas zu erzählen haben.

Der Sicherheitsfirma scheint es entweder völlig schnuppe zu sein, wie es um das ÖVP-Daten-Inventar bestellt ist oder aber sie haben es eh geprüft und verraten uns nicht, dass genau nichts manipuliert wurde.

Oder, um beim Beispiel mit dem Einbruch zu bleiben: sie haben nicht nachgeschaut, ob unser Einbrecher etwas mitgehen, dagelassen oder versalzen hat.

***********************

Die Tatsache, dass offensichtlich interne Daten der ÖVP an die Öffentlichkeit gelangten, ist per se kein Beweis für einen Hackerangriff, diese können auch auf einem anderen Weg (zB Mitarbeiter) ihren Weg nach “aussen“ gefunden haben.

All das zusammengenommen, sollte man die Möglichkeit nicht außer acht lassen, dass die “Einträge in die Loggingsysteme“ vorsätzlich künstlich erzeugt worden sein können, um einen vermeintlichen, jedoch nicht stattgefundenen Hackangriff vorzutäuschen. Technisch wäre das möglich und es würde sich jenes Bild ergeben, welches der vorliegende Bericht beschreibt.

***********************

Die Webseite

Lustigerweise ist seit gestern Mittag auch die Webseite der ÖVP https://www.dieneuevolkspartei.at/ nicht mehr zu erreichen. Es gibt ja sehr viele Werkzeuge, mit denen man Webseiten auf alle möglichen Eigenschaften hin überprüfen kann. Auch online.

So habe ich nachgeschaut, was denn der Grund für das Down ist. Wie sich herausgestellt hat, ist nicht nur die Webseite unerreichbar, sondern gleich der ganze Rechner!

Wie haben wir das herausgefunden?

Das Kommando “wget“ ist ein Programm im Terminal, das Dateien aus dem Internet herunterladen kann. Ich verwende es im Linux-Terminal.

Also haben wir zuerst testweise orf.at aufgerufen. Funktioniert pipifein.

Um zu veranschaulichen, was passiert, wenn man aus einer Quelle etwas abholen will, auf der kein Webserver läuft und die also nichts zu liefern hat, haben wir den “localhost“, also den lokalen Rechner aufgerufen.

No na ned – das funktioniert nicht, weil ich eben keine Webserver auf meinem Laptop laufen habe.

Dann haben wir dieneuevolkspartei.at aufgerufen.

Schau an, schau an. “No route to host“. Das bedeutet, dass entweder irgendein patscherter Türkiser über das Kabel gestolpert ist und es dabei aus der Wand gerissen hat. Oder einer den Ausschaltknopf gedrückt hat. Oder …

***********************

Es erscheint in einer gut administrierten IT- Umgebung höchst unplausibel, dass ein Rechner wegen eines Hackerangriffes mehr als einige Stunden komplett vom Netz genommen werden muss. Der darauf befindliche Webserver mag unter einem fortwährendem Angriff auch länger Probleme haben, das Betriebssystem kann und sollte man, evtl. gehärtet und mit angepassten Einstellungen (diese ggf auch an der Firewall) wieder hochfahren – oder es aus anderen Erwägungen eben unterlassen..

In diesem Kontext erscheint auch eine Kausalität zwischen der momentanen Nichtverfügbarkeit der Webseite https://dieneuvolkspartei.at und dem angeblichen Hackangriff unwahrscheinlich:

– Der vermeintliche Hacker und Datenmanipulator wollte unentdeckt bleiben, der Angriff auf die Verfügbarkeit einer Webseite ist da wohl kaum das richtige Mittel.

– Warum sollte der Angreifer jetzt, da IT-Sicherheitsspezialisten vor Ort sind und generell Sicherheit dort bestimmt maximal im Auge behalten wird, noch ein Risiko eingehen?

– Prinzipiell ist ein Angriff mit dem Ziel, die Verfügbarkeit einer Webseite zu stören, etwas ganz Anderes als das möglichst unbemerkte Stehlen oder Manipulieren von Daten und verwendet andere Mittel.

***********************

Zur Abrundung vergegenwärtigen wir uns noch, dass wir über die Medien von den Fallen erfahren haben, die der Hackerbande gestellt wurden oder werden.

Gut, diese „honeypots“ sind nichts Neues. Macht nix. Dafür wissen jetzt alle potentiellen Hacker, das welche ausgelegt wurden. Sehr clever! Oder aber eben nur ein bisserl zu viel der Inszenierung …

Wir können uns jetzt alle überlegen, ob der Hackerangriff nun echt war oder nicht. Es ist ja immer schade, dass die Informationen, die wir Fußvolk bekommen, nie ausreichen, um eine 100%ig richtige Schlussfolgerung ziehen zu können.

Wenngleich ich eine alte Bauernregel zitieren möchte: Sachen die stinken, sind meistens faul!

Liebe Grüße,
Cousine Daniela

5 Antworten auf „#Brieferl No.224 – Hack oder Nixhack, das ist hier die Frage“

  1. Danke für die ausführlichen Wählerinformationen!
    Die Frage ist nur: Wie macht man potentiellen Türkis-Wählern klar, dass es in Österreich nichts korrupteres, skrupellos-bösartigeres und gefährlicheres als die türkise Partei gibt?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.