Hacking Kali Linux
Hacking Kali Linux
Hacking Kali Linux
Hacking Kali Linux
Hacking Kali Linux

2019-02-14 5 Minuten

Die Story hinter dem “Hack” der Arbeiterkammer Salzburg.

Wer kennt es nicht. Man surft ganz normal durchs Internet und findet ein Formular oder eine Webseite, bei der nicht mehr die Frage entsteht ob das irgendwie zu hacken ist, sondern wie einfach es wohl sein würde.

Okay, vielleicht kennst du das nicht. IT-Menschen sind anders.

Dem Reddit-User manujell ist das aber passiert.

Bei der Arbeiterkammer Salzburg.

Das Ergebnis? Eine Geschichte voller ethischer Grauzonen.

Begonnen hat alles mit diesem Post im Austria-Subreddit:

In der nachfolgenden Diskussion stellt sich heraus, dass diese Institution die Arbeiterkammer Salzburg ist.

Die hat einen Check geschrieben, mit dem Salzburger AK-Mitglieder prüfen können, ob sie bei der kommenden Wahl wahlberechtigt sind. Für diesen Check wird nur die Sozialversicherungsnummer benötigt, und die Seite liefert als Ergebnis Name, SV-Nummer und Adresse der jeweiligen Person.

die Sozialversicherungsnummer

Anders als in den USA (wo mit der SV-Nummer quasi die gesamte Identität gestohlen werden kann), ist die Nummer bei uns nicht ganz so geheim. Sie besteht aus mehreren Teilen:

  • einer Laufnummer genannten, zufälligen 3-stelligen Zahl (die nicht mit 0 beginnen darf)
  • einer Prüfziffer
  • dem Geburtsdatum der Person

Interessant ist die Berechnung der SV-Nummer. Die kommt direkt aus der Reihe “Dinge, über die man sich noch nie Gedanken gemacht hat”:

Die Prüfziffer wird aus allen restlichen Zahlen berechnet. Hier wird jede einzelne Zahl mit einer anderen Zahl Multipliziert (immer den gleichen: 3, 7, 9, 5, 8, 4, 2, 1 und 6), die Summe gebildet und das Ganze durch 11 geteilt. Die Zahl an der Einer-Stelle ist dann die Prüfziffer.

mit dieser Prüfziffer kann sehr schnell geprüft werden, ob bei der Eingabe der SV-Nummer ein Tippfehler dabei war, ziemlich cool eigentlich.

Aber warum muss man wissen, wie die Nummer berechnet wird?

Ziehen wir’s von der anderen Seite auf:

SV-Nummern Enumerieren

So wie bei der Drogenbefundstelle letztens könnte man nun einfach alle 10-stelligen Zahlen durchprobieren. Nur: das dauert ewig. Und fällt auf.

Vor Allem, weil man unzählige Zahlen probieren würde, die so keine realistische SV-Nummer sind.

Der Angreifer von Welt kombiniert also

  • das automatische Durchprobieren (Brute-Forcen)
  • mit dem Weg zur Berechnung der SV-Nummer

Aus 10.000 Möglichkeiten werden dann schnell 900. Es wird also einfacher, eine valide SV-Nummer zu erwischen.

So weit, so interessant. Aber hier hat aus meiner Sicht manujell einen Fehler gemacht:

Überwindung von Sicherheitsvorkehrungen

Findet man so eine Sicherheitslücke, hat man ein paar Möglichkeiten:

  • für böse Zwecke verwenden
  • sofort aufhören und melden

Manujell hat sich für die graue Mitte entschieden:

Ich habe ein kleines Skript geschrieben, dass diese 10.000 Möglichkeiten ausprobiert. Das dauerte dann 1-2 Minuten pro Datum.

umanujell

Damit hat er sich das Schlimmste aus beiden Welten geholt:

  • jeder weiß, wer’s war
  • er hat nicht nach einem sogenannten Proof of Concept aufgehört

Laut Arbeiterkammer gab es 450.000 Zugriffe auf ihre Systeme in 4 Tagen.

Damit kommt man sehr schnell auf rechtlich sehr interessantes Gebiet:

Auf Daten zuzugreifen, für die man keine Erlaubnis hat, könnte sehr leicht als Überwindung von Sicherheitsvorkehrungen gedeutet werden.

Und genau das hat die Arbeiterkammer gemacht:

HACKING ANGRIFF!!!11!1

Da kann ich die Arbeiterkammer schon verstehen. 450.000 Zugriffe auf das eigene System klingen nicht nach einem unabhängigen Security-Forscher, dem es nur darum geht, zu schauen ob ein Angriff möglich wäre.

Natürlich ist es auch extrem schwierig, nachzuvollziehen, was mit den Daten nach dem Zugriff passiert ist. Manujell hat sie nicht verwendet (lt. eigener Aussage), die AK kann das nicht verifizieren.

Dazu kommt ein nicht unerheblicher Faktor:

das Ego.

Genau so wie Menschen, haben auch Organisationen ein Ego. Ein Ego, das sich verletzt fühlt, wenn die eigenen Fehler so öffentlich gemacht werden.

Natürlich wird da irgendeine Form der Verteidigung stattfinden. Auch, wenn es ursprünglich der eigene Fehler war.

Der Präsident geht jetzt aber zum Angriff über. „Wir genießen ein sehr hohes Vertrauen bei unseren Mitgliedern. Das lasse ich mir von niemandem ‚zammhaun‘. Wenn einer glaubt, dass das für mich ein Kavaliersdelikt ist, dann hat er sich getäuscht“, sagt Eder.

sn.at

Proof of Concept

Da man im Nachhinein immer ein wenig gescheiter ist:

Wie hätten die Parteien agieren sollen?

/u/manujell

Im richtigen Moment aufhören. Ich muss hier ehrlich zugeben, ich wäre in seiner Situation wahrscheinlich selbst so hyped gewesen, da muss man erstmal schaffen, “aufzuhören”.

450.000 Zugriffe schauen halt blöd aus vor Gericht. Um den eigenen Goodwill beweisen zu können, hätte man hier von Personen im Umfeld die Erlaubnis einholen können, die SV-Nummer abzufragen.

Und es dann dabei belassen.

Man muss keine hundertausenden Datensätze herunterladen (obwohl bei manujell anscheinend nur 11 Zugriffe tatsächlich erfolgreich waren), um zu beweisen, dass es eine Sicherheitslücke gibt.

Für Spatzen verwendet man ein Scharfschützengewehr, keine Kanone. Oder so.

Arbeiterkammer

Je länger ich nachdenke, desto weniger bin ich der Meinung, dass die Arbeiterkammer hier etwas falsch gemacht hat im Handling des Vorfalls.

Außer natürlich so ein System überhaupt zuzulassen.

Angriff ist eine sehr valide PR-Taktik. Vor Allem, wenn sich so leicht die Geschichte des bösen Hackers zeichnen lässt. Das lenkt ab von eigenen Missständen, und passt zur Geschichte in den Köpfen der Gesellschaft.

In einer Parallelwelt hätte manujell eventuell durch ein Bug-Bounty Programm der AK sogar Geld mit dieser Aktion verdienen können.

Fazit

Insgesamt eine harte Geschichte. Ich persönlich sympathisiere stark mit der Geschichte von manujell. Aber gut, das interessiert das Gesetz natürlich nicht.

Jetzt weiß ich auf jeden Fall, warum mein Anwalt mehrmals gefragt hat, ob ich ”eh nur mit entsprechender Erlaubnis” auf Systeme zugreife. In der Branche ist man schneller der Böse, als man 450.000 Brute-Force Zugriffe machen kann.

Es gibt aber irgendwie zu denken, dass das beste Ergebnis für manujell wohl gewesen wäre, die Sicherheitslücke nicht zu melden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.