FYI.

This story is over 5 years old.

Stuff

So könnt auch ihr an Promi-Nacktfotos kommen

Hacking-Experte Nik Cubrilovic hat uns die Vorgehensweise hinter dem iCloud-Skandal um Jennifer Lawrence und Co. erklärt.

Ein Oben-ohne-Selfie. Foto: Gaynor Hop | Wikimedia | CC BY-SA 3.0 (NSFW)

Im Laufe des vergangenen Wochenendes ist Emma Watson mit den tiefen Abgründen des Internets aneinander geraten. Auslöser hierfür war ihre Rede zum Thema Frauenrechte vor der UN. Sie hat anscheinend das Verbrechen begangen, voll und ganz für dieses Thema einzustehen. Jetzt behaupten einige Menschen, im Besitz von Nacktfotos von Watson zu sein und diese auch ins Internet stellen zu wollen. Mittlerweile stellte sich das ganze als PR-Stunt heraus, ganz so unwahrscheinlich war dieses Szenario allerdings doch nicht. Schließlich wurden vor ein paar Tagen schon wieder pikante Promi-Schnappschüsse veröffentlicht.

Anzeige

Auch wenn einige verbohrte Schreiberlinge die Schuld nach wie vor bei den Prominenten sehen, weil die ja solche Fotos überhaupt erst gemacht haben, schienen die Medien dieses Mal eher gelangweilt. Vielleicht hat das unersättliche Verlangen der Taschenbillard-Spieler von Reddit und 4chan den Nachrichtenportalen den Appetit auf pixelige Busenfotos verdorben. Immerhin ist der Diebstahl von zu dunklen, schlecht aufgenommenen Schnappschüssen, die dem Beziehungspartner die eigene Wuschigkeit deutlich machen sollen, nicht wirklich vergleichbar mit dem Diebstahl von gestochen scharfen Schlafzimmerbildern. Das Ganze ist tatsächlich nur eine Stufe über dem Stehlen von Röntgenaufnahmen der Brust und der Selbstbefriedigung zu Nippelabdrücken.

Dass bei diesem Datenklau das Wort „Hacking“ ein bisschen zu hoch gegriffen ist, erklärte mir der ehemalige Hacker und inzwischen führende Netzsicherheit-Blogger Nik Cubrilovic. Anscheinend kann sich jede ansatzweise gewitzte Person Zugriff auf fremde Dateien verschaffen. Zuerst dachte ich, dass wir über die Schuldfrage bei diesen Foto-Leaks diskutieren würden. Im Laufe unserer Unterhaltung habe ich jedoch mehr über die Cloud-Speicherung erfahren, als ich je gedacht hätte. Einerseits ist es durchaus möglich, dass die Datendiebe im guten alten Ich-hacke-mich-in-die-Firewall-um-Zugriff-zum-Mainframe-zu-bekommen-Stil vorgegangen sind. Andererseits können sie sich aber genau so gut einfach genauestens über die Stars informiert haben. Anschließend hätte sie nur noch ein paar Lügen erzählen müssen und—bingo. Nicht unbedingt erstaunliche Fähigkeiten, die man sich über einen langen Zeitraum hinweg antrainieren muss.

Anzeige

Nik Cubrilovic hat uns dieses Selfie absolut freiwillig überlassen.

VICE: Hi Nik! Wer ist Schuld an den Veröffentlichungen der Nacktfotos?
Nik Cubrilovic: Wenn man der breiten Öffentlichkeit eine Story unterbreiten will, dann wird ein Problem oft als sehr binär dargestellt: Es gibt die Guten und es gibt die Bösen. Hier haben wir einen Fall, bei dem die Schuld neben den eigentlichen Hackern, die sich an den Accounts zu schaffen gemacht haben, noch bei vielen weiteren involvierten Parteien liegt. „Schuld“ ist aber auch ein sehr starkes Wort—sagen wir lieber Verantwortung.

Kann man Apple die Schuld zuweisen?
Steht Apple in der Pflicht, die Daten richtig zu schützen? Auf jeden Fall, denn die Benutzer vertrauen dem Unternehmen.

Aber warum ist Apples Cloud dann nicht wirklich sicher?
Am besten lässt sich ihre Schuld (mir fällt gerade kein besseres Wort ein) beschreiben, wenn man Folgendes bedenkt: Es gibt drei große Cloud-Anbieter und jeder von uns gehört zu einem dieser drei Systeme. Wir haben da Apple auf den iPhones, wir haben die Cloud von Google auf den Android-Geräten und wir haben die Microsoft-Cloud unter anderem auf Nokia-Handys. Von diesen drei Anbietern ist Apple der einzige, der immer noch mit Sicherheitsfragen arbeitet.

Es wird hier also eine andere Vorgehensweise verwendet. In diesem Fall wurde diese nur noch von Apple verwendete Methode dazu genutzt, um sich Zugang zu den Accounts zu verschaffen.

Anzeige

Du hältst nichts von Sicherheitsfragen?
Allerdings. Diese Fragen sind eine große Sicherheitslücke. Google hat sie schon vor gut vier Jahren abgeschafft. Microsoft hat dasselbe vor drei Jahren gemacht. Zusammengefasst ist der Kern des Problems Folgendes: Man kann ein Passwort zurücksetzen, indem man einfach nur das Geburtsdatum des Benutzers angibt und dann zwei Sicherheitsfragen beantwortet.

Diese Sicherheitsfragen fand ich eigentlich schon immer ganz zuverlässig. Wo genau liegt hier das Problem?
Wenn du auf „Passwort zurücksetzen“ klickst, dann werden zwei der drei Fragen angezeigt, die du beim Anmelden angegeben hast. Wenn du diese richtig beantwortest, bist du im Account drin. Das ganze Sicherheitsfragen-Modell wurde damals in den 60ern und 70ern von zum Beispiel Banken eingeführt, um die Identität einer Person zu überprüfen. Sie wurden dann in den 90er-Jahren auch in der Online-Welt angewendet, aber den Unternehmen wurde schnell klar, dass man diese Fragen sehr einfach umgehen konnte—heutzutage sind solche Informationen ganz einfach im Internet zu finden. Man geht jetzt auf Facebook und findet ganz leicht solche Sachen wie das Geburtsdatum heraus. Auch Dinge wie die ehemalige Schule, der Name des Haustiers oder die Marke des Autos sind keine Hürden mehr. Bei berühmten Person ist das Ganze sogar noch einfacher, weil viele dieser Infos auch auf Wikipedia oder auf einer dieser Gossip-Seiten stehen.

Anzeige

Wenn ich also irgendwie rausfinde, was Jennifer Lawrence als „Lieblingsstadt“ und „Lieblingsmannschaft“ angegeben hat und ich ihr Geburtsdatum weiß, dann bekomme ich Zugang?
Ja, genau. Und so ist eben jemand vorgegangen.

Woher weißt du, dass es so ablief?
Hundertprozentig sicher kann ich das nicht sagen. Ich weiß jedoch, in welchen Foren sich diese Typen aufgehalten haben. Ich weiß, dass sie alle Teil dieser Art Subkultur waren, die sich in Online-Clouds reinhackt und dann die Nacktbilder klaut—„Revenge Porn“ oder wie auch immer man das nennt. Ich war ebenfalls in diesen Foren unterwegs und habe dort mit anderen Mitgliedern gesprochen. Das meistgeklickte Hack-Tutorial dort erklärt, wie man am schnellsten solche Sicherheitsfragen beantwortet. Man muss bedenken, dass es sich hier um das Forum handelt, wo die Bilder zum ersten Mal aufgetaucht sind.

Dort gibt man sich also gegenseitig Tipps?
Ich gebe dir mal eine kleine Kostprobe, wie es in dem Forum abläuft. Irgendjemand postet ein Bild von einem Auto, zum Beispiel ein kastanienbrauner Mercedes aus den 90ern, der an einem Strand geparkt ist. Das Bild zeigt einfach nur ein Auto mitten im Nirgendwo. Dazu wird dann die Frage gestellt, was für ein Auto das sei. So etwas habe ich oft gesehen. Es wurden auch Bilder vom Inneren eines Autos hochgeladen und dann fragte man ebenfalls nach dem Modell. Ich habe nicht verstanden, warum man so etwas wissen wollte. Erst später fiel mir ein, dass eine der Sicherheitsfragen der iCloud „Welches Auto fährst du?“ lautet.

Anzeige

Die Typen gehen folgendermaßen vor: Sie schauen sich offen zugängliche Fotos ihrer Opfer an und suchen darauf deren Autos. Wenn sie dann selber nicht wissen, um welches Auto es sich handelt, bitten sie die anderen Forenmitglieder um Hilfe.

In gewisser Weise crowdsourcen sie also ihre Hack-Versuche?
Ja. Bei mir fiel der Groschen als jemand schrieb: „Manchmal geben Frauen ihren Autos auch Spitznamen.“ Ich würde sagen, dass ein sehr großer Teil des Forums darauf ausgelegt ist, den Leuten zuerst diese Vorgehensweise beizubringen und ihnen dann zu helfen, die Antworten auf die Sicherheitsfragen zu finden. Dort kannst du quasi lernen, wie man am besten online stalkt.

Man muss sein Opfer wirklich sehr gut kennen, um die Antwort auf einige der besagten Fragen zu wissen. Man muss sehr viel Zeit damit verbringen, so viel wie möglich über sie herauszufinden. Danach probiert man sich wieder an den Fragen. Apple gibt dir am Anfang zehn oder zwölf Sicherheitsfragen zur Auswahl. Allerdings lässt sich zu jeder die Antwort herausfinden, wenn man sich nur genügend anstrengt.

Muss man für das Ganze nicht zuerst einmal die E-Mail-Adresse des Opfers wissen?
Dafür zahlt mein einfach einen gewissen Betrag und bekommt dann Zugriff auf Online-Datenbanken wie intelious.com. Dort tippst du einfach einen Namen ein, zahlst irgendwas zwischen 2 und 60 Dollar und dann stehen dir alle öffentlich verfügbaren Behördendaten über die Person zur Verfügung. Wenn du also den vollen Geburtsnamen und den Geburtsort von jemandem kennst, dann kannst du auch Einsicht in die Behördendaten beantragen.

Geht man bei berühmten Personen anders vor?
Es gibt noch eine zweite Methode, nämlich das Social Engineering. Man setzt sich zum Beispiel mit einem Agenten oder einem Manager in Verbindung, gibt sich als jemand anderes aus und versucht so, an eine E-Mail-Adresse zu kommen. Wenn man sich erstmal Zugang zu einem Celebrity-Account verschafft hat, dann kann man auch deren Kontakte durchsuchen und kommt so an die Daten von vielen weiteren Stars. So lief es auch in unserem Fall ab, quasi eine Art Kettenreaktion.

Kann man sich also als eine Art Schwachstelle für die Privatsphäre seiner Bekannten ansehen?
Wir reden hier vom „schwächsten Glied“ der Kette. Mit den ganzen sozialen Netzwerken und Kontaktlisten kann dieses schwächste Glied in der heutigen Zeit schnell gefunden werden. Ein Hacker muss nur irgendwo ein schwaches Glied finden, während das Opfer irgendwie versucht, sich zu verteidigen. Du musst jegliche Hinweise und alle Menschen, mit denen du irgendwie mal Kontakt hattest, schützen und sicher verschlüsseln. Das ist wirklich extrem wichtig, weil die meisten heutigen E-Mail-Anbieter jeden zu deiner Kontaktliste hinzufügen, dem du irgendwann mal eine Mail geschrieben hast.

Dann muss ich in Zukunft wohl besser aufpassen. Vielen Dank, Nik!