 noch mal ein herzliches Willkommen zu diesem Talk. Das Auge auf dem NIL-Sivilgesellschaft unter Angriff. Viele von euch werden wahrscheinlich erst 2011 mitbekommen haben, dass die ägyptische Regierung Aktivistinnen und Journalistinnen angreift. Aber natürlich war das schon früher so, dass die Regierung seitdem einige Male gewechselt, aber die Angriffe gegen Journalistinnen und Aktivistinnen haben sich seitdem nicht geändert. Und dementsprechend darum geht es jetzt in diesem Talk, wie genau diese Aktivistinnen und Journalistinnen angegriffen werden. Und das, glaube ich, wird sehr interessant, weil die Angreiferinnen in dem Fall einige Obseckfails gemacht haben. Und dementsprechend gab es einige Angriffe, also einige Einblick in die Infrastruktur gab. Unsere Sprecherin ist Computer, also IT-Expertin hat Informatik studiert und ist Malware-Analystin. Großen Applaus für Asyl und viel Spaß beim Talk. Danke. Stellt euch vor, ihr lebt an einem Ort, wo ihr überall Korruptionen seht. Ihr seht unschuldige Peak, Leute ins Gefängnis geworfen, unter irgendwelchen Vorwänden, Zeitungen dekensiert werden, geschlossen werden, ihre Webseiten, wir sind auf einmal nicht mehr erreichbar und das Limmste daran ist, ihr müsst darüber schweigen. Weil jedes Wort, das ihr sagt, jeden einzelnen Social Media Post, den ihr teilt und jede Aktion, die ihr setzt, kann und wird gegen euch verwendet werden. Das ist die Realität, die Menschen täglich in Ägypten erleben. Hallo allerseits, mein Name ist Issyl. Danke, dass ihr zu unserem, zu meinem Talk kommt, via IONNNAL. Also wie schon erwähnt ist, ich bin eine Malware-Analystin bei Checkpoint, arbeite dort bei Threat Intelligence und ich bin vor allem interessiert in Epities und ja, staatlich finanzierte Angriffe im Nahen Osten. Es ist also wenig überraschend, dass wenn dieser Report von Amnesty International im März veröffentlicht wurde, also Fishing-Angriffe gegen die ägyptische Zivilgesellschaft mit Third-Party-Programmen, dass ich mich das interessiert habe. Und die Fishing-Angriffe, die das sind, das sind nicht typische Fishing-Angriffe, wie ihr die sonst kennt, sondern in dem Fall gab es eben quasi Trit-Server, also Trit-Anbieter, Programme, die da eingesendet wurden und für zu diesen Link, also Links zu diesen Anbietern sind über die Fishing-Attacke geteilt worden und die Applikationen oder die Programme, die da verteilt wurden, haben quasi vorher diese, wie ihr das jetzt, Verlaubnisse wollen, nämlich, dass sie quasi lesen und schreiben und alle E-Mails auch löschen dürfen. Das heißt, dadurch bekommen die E-Mail-Adresse einen kompletten Zugriff auf die E-Mail-Adresse. Danach haben die Opfer sogar quasi Warnungen von Google bekommen, dass sie angegriffen wurden und dass diese Angriffe spezifisch gegen Menschenrechtsaktivistin und Verteigerinnen in Ägypten eingesetzt wurden. Und wie ich das gelesen habe, war mir klar, diese, also die Forschung, da will ich was beitragen mit diesem Thema. Aber wie, wie kann ich das machen? Das habe ich nicht gewusst. Wie untersucht man so eine Angriffswelle, nachdem sie eigentlich schon vorbei ist? Also Amnesty International hat viel technische Information darüber geteilt. Also hat nicht so viel geteilt, aber zumindest einiges, nämlich die Webseiten, die sie gesehen haben, die die Angreiferinnen verwendet haben. Die waren also bekannt. Also klar, nachdem ich die gesucht habe, die waren natürlich alle schon weg. Also die waren schon offline. Also habe ich angefangen, alle Informationen über die Geschichte dieser Webseiten herauszufinden. Also alle öffentlichen Informationen, die ich finden konnte, wie die Geschichte davon aussah. Und ich habe relativ schnell herausgefunden, dass alle von denen Subdomänen haben, die quasi Namen von den, also deren Subdomänen hatten Namen von den Services, die sie quasi, also für diese gefischt haben, also eben Outlook oder Yahoo oder sowas in der Gegend. Und eine Subdomäne, die ist wirklich, die war sehr auffällig, und zwar die da. Also wir setzten dies offensichtlich. Das schaut jetzt irgendwie aus, als wäre das eine, einfach random, also zufällige Zahlen und Nummern. Aber de facto jeder Einzelne von diesen Buchstaben und Zahlen ist exakt ein Begriff im arabischen. Und wenn man das jetzt quasi von rechts nach links liest, so wie sie mir im arabischen dann gehört, heißt das quasi, das Volksbewegung. Und das gibt es exakt. Und wenn man das sucht, dann gibt es nur eine, auf Google, dann gibt es nur eine Referenz, die ihr findet, nämlich einen Channel, ein YouTube Channel. Und dieser Channel hat folgend, der hat zum Beispiel solche Nachrichten gegeben, also werdet zwar nicht, geht auf die Straße, soll es quasi eine neue Revolution starten, aber auf jeden Fall seid sicher, dass ihr die Administratorinnen kontaktiert und ihnen all eure Informationen, alle Informationen geht. Also sehr früh, wie ich mir diese Infrastruktur angestellt habe, habe ich schon festgestellt, dass es da wirklich drauf ging, drum ging, dass man eben möglichst viele Informationen über Leute findet, die möglicherweise gegen das ägyptische Regime arbeiten wollen. Eine andere Sache, die mir da relativ schnell aufgefallen ist, ist, dass viele von diesen Webseiten auf dieselbe IP-Adresse resolved haben. Und diese IP-Adresse war, also diese mehreren IP-Adressen waren in derselben Range, also sprich im selben Netzwerk, also habe ich angefangen, diese IP-Adressen zu monitoren. Und ich habe dann neue Webseiten, die darauf registriert wurden, gesehen und da so resolven. Und eine davon, die mit einer von diesen IP-Adressen assoziiert wurde, ist, die hat auch diese selbe Namenskonventionen verwendet, wie diese vorigen, bösartigen Webseiten, also quasi Mail und Login und solche Dinge, also dass nach einem legitimen Mail-Service ausgestattet hat. Aber was wirklich spezifisch war über die eine, ist, dass sie eine Open Directory hatte. Das heißt, ich konnte alles sehen, dass die Angreiferinnen auf dieser Webseite gespeichert haben. Und das war ziemlich praktisch für mich. Also, die Folter darin, waren halt vor allem irgendwie Dokumente und hatte Mail sagen. Aber da war auch ein Zip-File drin, dass tatsächlich alle, denen ich das sich downloaden konnte und da habe quasi allen PHP-Source Code sogar von der Webseite gesehen, so habe ich gemacht. Und wenn ich mir das anschauen, also die Direktoris darin, jedes davon hatte einen anderen Zweck. Das erste ist WS. Das ist quasi ein Control Panel gewesen für die Angreiferinnen. Das heißt quasi darüber konnten sie Requests an die Webseite stehen mit einem Parameter, der einfach Action hieß. Und darüber konnten sie zum Beispiel sagen, dass spezifische Aufgaben erledigt werden sollen von dem Control Panel. Also zum Beispiel Statistiken über die Daten, die sie dort haben. Dinge konnten gelöscht werden, die dort auf dem Server waren und andere, also da waren einfach Kommandos quasi. Und einige interessante Sachen mit diesem Control Panel waren da ganz interessant in dem Code. Zum Beispiel habe ich gesehen, was die Login-Daten der Angreiferinnen waren, also User-Namen, User-Namen und Passwörter. Das ist natürlich praktisch. Und außerdem habe ich gesehen, was die Default-Zeitzone war. Und zwar nämlich die von Cairo. Das ist schon relativ interessant. Das Control Panel hat außerdem die Anzahl der Requests gezählt, die auf die Webseite gemacht werden. Und hat immer über 3 Stunden gezeigt. Und wenn mehr als 30 Requests pro Stunde waren, das war also relativ viel. Da haben Sie anscheinend gedacht, das ist quasi verdächtig und jemand versucht, den Server anzugreifen. In dem Fall wurde ein E-Mail gesandt zum DefG-Email-Account, den Ihr da quasi auch seht. Also quasi, dass Sie sich Ihren Server anschauen sollten und jemand anscheinend versucht da einzubrechen. Nachdem ich das gesehen habe und mir dachte, vielleicht ist dieser G-Mail-Account das offensichtlich verbunden mit den Angreiferinnen, das ist natürlich auch schon mal eine gute Info für mich. Was ich euch vielleicht auch aufwalt bei diesem Code Snippets ist, dass es da viele Kommentare gibt. Das sind jetzt keine, die ich da dazugeschrieben habe, sondern die waren schon da von den Angreiferinnen, die fast jede Zeile des Codes dokumentiert haben und geschrieben haben, was er tut. Das ist natürlich extrem hilfreich für mich, wie ich versucht habe, zu verstehen, was dieser PHP Code tut und ihn analysieren wollte. Aber vor allem viele von diesen Kommentaren waren sehr schlecht, waren sehr schlecht im Englisch verfasst, haben viele Fehler, also Rechtscheid Fehler. Und das ist natürlich auch schon ein guter Hint. Und ich glaube, mein Lieblingsfehler war der folgende, dass Sie Buffering als Buffering geschrieben haben. Wenn ihr Arabisch kennt, also da gibt es einfach kein Buchstaben P. Also viele von uns mischen B und P. Das ist einfach total klassisch für Muttersprachlerinnen des Arabischen. Das zeigt, wenn ihr irgendjemanden von Ägypten kennt, dann wisst ihr, dass dieser Tippfehler eindeutig klar, also eindeutig darauf hinwesst, dass die Sprecherin der Sprecherin aus Ägypten ist. Ein weiteres Ding ist quasi Twist. Das ist irgendeine Art von Linkshorten. Shorten Mie war der genannt. Und die Angreiferinnen würden schreckend dieses Skript, also würden dem Skriptel, schicken dem Skriptel, daraus entsteht dann ein kurzer Token. Und der Token wird dann quasi zu einer wesentlich kürzeren URL zusammengefasst, damit das auch nicht so auffällig ist. Die Angreiferinnen haben aber quasi diese langen URLs alle in einer Datenbank gespeichert. Und diese Datenbank ist auf dem Server. Und ich habe ja alles auf dem Server gesehen können. Also konnte ich auch alle diese langen URLs sehen. Und das erste, das da war, ist anscheinend ein Test gewesen. Und da drin war eben genau dieser E-Mail-Account auch innerhalb von dieser langen URL. Und das scheint eben anscheinend das Testskript der Angreiferinnen gewesen. Und die nächsten Einträge in der Datenbank hatten aber andere Einträge. Und das sind richtige Gmail- und Hotmail-Accounts, die habe ich jetzt da zensiert. Aber wie ich die nachgeschaut habe, die haben mich tatsächlich zu den echten Personen hinter diesen Angriffen geführt. Und ich habe es geschafft, dass ich 30 Personen ... Das geht quasi quasi an die Opfer. Und ich habe also 30 Opfer davon identifizieren können und sie informieren können. Das waren alles Professoren, Professoren, Leute, die für NGOs arbeiten oder Journalistinnen. Ich weiß natürlich nicht, ob diese Angriffe erfolgreich waren und ob deren Accounts kompromittiert wurden, nur weil sie quasi angegriffen wurden. Vielleicht haben sie ja nicht draufgeklickt oder doch, das weiß ich eben nicht. Aber was ich weiß, ist, dass einige der Opfer mit denen ich sprechen konnte, also wie ich identifizieren konnte, wurden kurz darauf verhaftet und eingesperrt, weil sie das Regime kritisiert haben. Und die übrigen Folders, die da drin waren, die waren dafür Fishingmails zu schreiben oder Fishing-Apps quasi auszuliefern, wie das eben in dem Amnesty-Report war. Also quasi diese dritten Anbieter-Apps sind quasi aufgesetzt worden, um quasi den Account zu E-Mails von Opfern zu erlangen. So eine App haben wir zum Beispiel für Outlook gesehen in 2018. Das ist jetzt da ja so völlig verrückte Erlaubnisse, die diese App fordert. Und da waren auch zwei andere Applikationen. Und die haben Google Drive, die zielten auf Google Drive ab. Also jetzt da auch, dass die Angreiferinnen nicht nur über Nachrichten und E-Mails wollten, sondern auch quasi Files der Opfer, um auch auf die Zugriff zu erhalten. Und bei Gmail ist es so, wenn man diese Dritt-Applikation startet und den Link klickt und dann, was ist es? Es ist immer derselbe E-Mail-Account, der diese Applikationen erstellt hat, den wir schon vorher gesehen haben. Aber das Screenshot zeigt auch, dass diese Apps die Opfer redirekten sollen zu einer anderen Website, die drivebackup.co heißt. Und diese Website, die war sonst nirgends bekannt in den Berichten, also ich habe sie nirgends in einem bösartigen Kontext sonst gesehen. Wenn ich es, wie ich sie aber da in einem Konfigurationsfall gesehen habe, von diesen Applikationen, habe ich sie probiert, darauf zuzugreifen, aber die war nicht mehr da. Und wie ich versucht habe, dabei nicht wieder frustriert zu werden und quasi zu probieren, mehr über diese Website herauszufinden, bin ich über eine interessante Sache gestolpert. Und zwar, dass es eine Android-Applikation, die auf VirusTotal hochgeladen wurde und die mit dieser Website gesprochen hat, drivebackup.co. Und jetzt wird das also interessant. Nur für den Fall, dass ihr gerade etwas verloren seid, befassen wir noch mal alles zusammen. Wir haben die Infrastruktur kennengelernt, die uns zu einer Website führt, von dem gleichen Attacker, gemanagt werden. Die haben dann Fishing-Apps geschrieben und die haben auf drivebackup.co redirected. Und jetzt haben wir eine Applikation, die auf drivebackup.co zugreift. Und was zur Hölle ist dieser Applikation und wie steht die in Verbindung zu dieser Seite? Um diese Frage zu verantworten, habe ich die App auf einem Android-Gerät installiert. Und die hieß iLoad 200%. Als ich sie installiert habe, gab es keinen Icon, also sah es so aus. Und der APK-Name war V1, also Version 1. Und das ist ein guter Indikator dafür, dass diese Applikation immer noch in der Frühphase der Entwicklung ist. Und dieser App sagt uns dann jetzt, dass unser Klingeltun 100% lauter ist. Aber es hat überhaupt nichts mit der Klingeltun lautstärke gemacht. Also ich habe dann weiter gefordert und habe gesehen, dass der internen Name war location.operations.iWout. Und was das macht, ist, es routet unterschiedliche Welts. Es hat sich verschiedene Permissionen gegeben. Und was es damit gemacht hat, es hat driveback.co kontaktiert und dann verschiedene Daten dorthin geschickt. Geodaten, Batteriestatistiken. Also habe ich das gestoppt. Und wenn ich das gestoppt habe, dann hatte es einen Persistenzmachandismus gehabt, der dafür gesorgt hat, dass es versucht hat, wieder neu zu starten und Daten hochzuladen. Und das ist ideal für jemand, der wissen will, wo die App sich gerade befindet. Und das hat dann angefangen, sehr, sehr schlecht auszusehen. Um die Sachen dann noch komplizierter zu machen, habe ich dann gesehen, dass dieser App von einer Website runtergeladen wird, die index.org heißt. Als ich auf diese Website gegangen bin, habe ich gesehen, dass es sie immer noch gibt. Eine Sache, die noch aktiv ist, aber nicht nur das. Außerdem gibt es noch einen Administrationspanel für diese App auf dieser Website. Und hier wird es als iTrack gekennzeichnet. Jetzt hat es also schon drei Namen. Ich habe aber nichts gemacht mit diesem Panel auf dieser Website, aber habe mich weiter auf der Website umgesehen. Dann habe ich gesehen, dass auch hier die Files-Directory von der Website zu sehen ist. Also konnte ich hier das Layout von dem Panel sehen. Und welche Seiten sie dann kriegen. Und ich habe gesehen, dass ein Putstrap-Template benutzt wurde, um dieses Panel zu designen. Und in dieser Directory habe ich auch die Default-Bilder von der Putstrap-Template gefunden, die so aussieht. Aber hier war nur ein Bild, das nicht Teil dieser Default-Template ist. Und dieser Bild hieß Logo.png und das hat so ausgesehen. Und als ich das gesehen habe, habe ich gedacht, das kommt mir bekannt vor und ihr habt es auch schon gesehen. Und das waren die Quedentials des Angreifers für die Datenbank. Und das hatten wir also jetzt eine nette Verbindung zwischen den Fishing-Apps und dieser Applikation gegeben, die nicht nur diese Verbindung zu DrivePack.co ist. So jetzt wollte ich mehr Informationen über die Webseite indexy.org herausfinden. Also habe ich dann noch und auch hier habe ich dann eine Verbindung zu einer Applikation gefunden, die sich mit dieser Webseite verbindet. Aber in diesem Fall wird die Applikation heruntergeladen von dem Play Store von Google und die hieß Indexie. Indexie hatte mehr als 5000 Downloads und während sie von jedem heruntergeladen hätte werden können, zeigt die Beschreibung und auch wer sie heruntergeladen hat, dass sie hauptsächlich an Egypta gerichtet war. Und sie sollte also einen Service anbieten, der wie ein True Caller App funktioniert. Also man hat eine Telefonnummer und dann kann man da herausfinden, wie der Anrufer ist. Das ist also in Ordnung, wenn man einen Serviceaufsitz der ähnlich wie ein True Caller ist. Aber was nicht in Ordnung ist, hier gibt es ein Administrationsfannel, wo auch hier die Styles Directory exposed war. Und ich konnte dann auch hier die Daten sehen, nachdem sie gesammelt wurden. Und hier habe ich auch wieder mehrere Seiten gesehen, die auch Statistiken aufgehoben haben und konnte durch die durchgehen und konnte sehen, dass die Daten von den Benutzern gemonitort wurde. Auch informativer wen angerufen hat von welchem Land in welches Land, was die Länge von diesem Anruf ist, was die Telefonnummer ist und das sehr schlecht aus. Also haben wir das alles an Google weitergegeben und die haben dann die App heruntergenommen und die ist nicht länger verfügbar zum Download. Willst du? Wir waren in der Hölle und zurück. Wir haben viele Dinge überprüft und es fehlt aber noch ein Stück Information. Und wir haben den Indexed Source Code nicht genau angeschaut, aber es gibt ein paar interessante Dinge darin. Ich habe gesehen, dass einige der Nachrichten, die die App lockt, wurden mit Scheno getagt. In einem anderen Bild des App wurde noch eine Webseite erwähnt, surfgates.com. Diese Webseite, genauso wie die anderen Webseiten, hatte Huys Information. So konnte ich sehen, wer diese Webseite registriert hat. Und sie war angeblich von einer Person aus Ägypten mit dem Nachnamen Shennavi. Die E-Mail-Adresse, die genutzt wurde in der Huys Information, wurde auch verwendet, um andere Webseiten zu registrieren. Einer dieser Webseiten, die registriert wurden, hieß TXTips. Es sollte ein technisches Blog sein, um Entwickler mit Tips zu versorgen über Programmier-Sprachen. Wenn du PRP verwendest, gibt es diese Sachen. Alle Postes auf dieser Webseite wurden von Scheno hinzugefügt. Es gab einen Post auf dieser Webseite, die über Google's API gesprochen hat, um Zugang zu Accounts von Nutzern zu erlangen. Das war der Code Snippet auf der Webseite. Und das ist der Code Snippet im Open Directory von den Applikationen. Beide diese Code Snippets sehen sehr, sehr ähnlich aus. Also nochmal, das zeigt uns, dass alles ist irgendwie verknüpft. Und egal, wer diesen Code geschrieben hat, der ist auch verantwortlich für den Code von Indexie. Aber ich war nicht wirklich fähig, herauszufinden, wer dieser Scheno ist, ob der wirklich eine echte Person ist. Aber vielleicht habe ich mir auch einfach nur die falsche Frage gestellt. Vielleicht hätte ich diese Frage, vielleicht hätte ich nicht fragen sollen, wer diese Person ist, wer sie finden wird. Weil, was ich jetzt noch vergessen habe zu erwähnen, ist, dass im Administrationspanel der iLoud-Applikation gibt es eine Page, die alle Koordinationen der App gesammelt hat. Damit sich diese App initialisiert hat, musste sie sich zu einer Default-Lokation initialisieren. Und das war ein Problem. Diese Koordinaten haben nicht nur auf Ägypten gezeigt und nicht nur auf Cairo. Sie haben auf einem sehr spezifischen Gebäude gezeigt. Dieses hier. Und als ich das zum ersten Mal gesehen habe und wie ich gewusst habe, wie dicht Cairo-Bevölker ist, war das sehr seltsam. Und es war seltsam, wie ich dieses Gebäude gesehen habe, wie es von sehr hoch luxuriösen Gärten umrundet ist. Später wurde ich, weil ich fähig rauszufinden, dass das die Headquarters von den Intelligent Services, von den Geheimdiensten ausgegeben sind. Das zeigt uns, dass diese Attacke aus Ägypten gestammt und hauptsächlich Ägypter targetet, um deren Daten-Positionen-Anrufe zu tracken. Wenn du denkst, dass das schlimm ist, der Eingrupp in die Privatsphäre der Menschen, Ägypten hat gerade eine Praxis gestartet, dass Polizisten Leute fragen können, ihre Telefone zu entsperren, um festzustellen, ob diese an einem Protesteil genommen haben oder auf Facebook etwas Kritisierendes veröffentlicht haben. Also warum sollten wir sie solche Backdoors bauen, um die Leute auszuspielen? Wenn jemand sich dagegen wehrt, wie diese Frau in diesem Video, dann ist es genauso schlimm, als wenn jemand mit schlechten Posts auf ihrem Telefon findet. Und wenn das nur irgendwer auf der Straße, der so behindert wird, dann ist es kein Wunder, dass Journalisten, die diese Repression entgegen sollen, dann ist es kein Wunder, dass diese Leute sich weniger melden. Danke. Danke für diesen Talk. Danke, dass du uns auf diese Rase mitgenommen hast. Jetzt haben wir noch Zeit für Fragen und Antworten. Also, Mikrofon Nummer 1. Hallo. Danke für deinen inspirierenden Talk. Meine Frage ist, wir haben gesehen die selbstgebaut Technologie und viele dieser Schwachstellen, die du gefunden hast. Weißt du aber auch, ob die ägyptische Regierung hier andere Dinge haben, die noch nicht so simpel sind wie diese, wie etwa von anderen europäischen Anbietern? Weißt du, ob ja, dann kannst du diese, wie sehr diese Dinge getan werden. Wie sehr werden Aktivisten getaget? Danke für die Frage. Ich glaube nicht, dass es öffentliche Informationen darüber gibt, dass Ägypten so quasi diese Software importiert. Aber es wird mich jetzt überhaupt nicht überraschen in diesen Fallen, weil viele Länder im Nahen Osten haben das gemacht, Marokko zum Beispiel. Also, es wäre jetzt kein Schock für mich. Mikrofon Nummer 2. Danke für diesen inspirierenden Talk. Ich würde gerne auch du sein in meinem nächsten Leben. Meine Frage ist sehr persönlich. Bist du nicht, hast du keine Angst, ob das vielleicht auf dich zurück treffen könnte, dass du so viele Informationen hast? Ja, ja. Du weißt du, also ja, darüber habe ich schon nachgedacht und alles, also gerade, wenn man durch dieses Material durchgeht und sich das anschaut, aber das hat mich einfach sauer gemacht und deshalb war mir klar, ich muss das quasi, ich muss darüber reden und das zeigen, wie es ist und das Risiko akzeptieren. Das ist halt so. Ich bin mit diesem Applaus einverstanden. Danke für die erstaunlichen visuellen Anbrücke. Dein Narrativ war sehr lang und du hattest sehr viel Erfahrung in der Art und Weise, wie du es präsentiert hast. Aber wie hat sich das angeführt? Du hast gesagt, du bist frustriert. In meiner Sicht ist das ein Wunder, dass das einfach nur so sichtbar ist. Wie hat sich dieser Prozess angefühlt, dass man Leute hat, dass man sich das anschaut? Kannst du vielleicht mehr über diesen Prozess reden? Ja klar, sehr gute Frage. Es war absolutes Chaos, also panentendet. Also ernsthaft durch all dieses Material zu gehen, sich das alles anzuschauen, vor allem von allem, was man hat und man weiß nicht, was interessant ist, was nicht. Also ich bin wirklich alles durchgegangen, manche Sachen habe ich einfach durch Zufall gefunden, durch Fehler, vieles war gar nicht geplant und was mir am meisten geholfen hat, war eigentlich wirklich mit meinen Kolleginnen und Kollegen zu reden. Ich habe ihnen Fragen gestellt, sie haben mir Fragen gestellt, was ich eigentlich habe und dadurch irgendwie, es kann natürlich sicher gehen, dass ich jetzt nicht kling wie eine Verrückte, sondern dass ich quasi ernsthafte und sinnvolle Informationen finde. Das hat sehr geholfen. Microphone Nummer 2. Hallo, danke für deinen großartigen Talk. Das hört sich vielleicht verrückt an, dass du alles veröffentlicht, was du tust und warum würde man das machen. Hast du irgendwelche Sicherheitsmaßnahmen gesetzt, also zum Beispiel deine IP-Adresse verschleiert? Ja, also klar. Also ich habe das alles auf einem eigenen Netzwerk gemacht, nur für diese Analyse und hinter einem VPN und damit habe ich probiert, dass ich also nicht trackbar bin, ja klar. Noch eine Frage von Microphone Nummer 2. Danke. Kannst du mehr darüber reden, wie die Opfer, was mit den Offenen ist, du hast gesagt, dass sie identifizierbar sind über ihre E-Mail-Adressen, hast du irgendwelche Maßnahmen gesetzt, um diese zu informieren oder mit diesen Informationen umzugehen und dieselbe Frage wäre noch, bist du oder dein Team, arbeitet ihr an Anleitungen, wie Leute sich schützen können vor diesen Sachen, vor diesen Angriffen? Also prinzipiell zu den Opfern, also quasi wir hatten ja viele von den Opfern und nachdem wir alles hatten und auch den technischen Aspekt hatten, dann haben wir die New York Times kontaktiert und die hatten dann Kontakte in der Region und konnten sogar mit einigen der Opfern direkt reden und sichergehen, dass die auch wussten, dass sie angegriffen wurden. Und zum zweiten Teil der Frage, da würde ich sagen, wenn du von diesen Gegenden kommst und quasi in diesen Gegenden bist und weißt, dass du musst du einfach bei allem aufpassen, dass du bekommst über solche Sozialnetzwerke oder Medien oder was auch immer, das wäre so, das wäre Guidance. Also sei es vorsichtig und sei ich bewusst, dass es quasi diese Fishing Angriffe gibt und das kann man einfach nicht, das kann man auch nicht verhindern eben gerade, wenn da jetzt die Polizei dich fragen kann, dass du dein Handy erzeugst, das gibt es keine Chance. Okay, also eine Sache, die wir von deinem Talkwall gelernt haben, ist Obsek Obsek Obsek. Hi, ich habe, wundere mich, du hast die Positionsdaten erwähnt. Wie hat es die Positionsdaten erfasst über Mobilfunknetze oder über GPS? Die mobile Applikation, meinst du, die hat einfach vom Device den Location Service genommen und einige Services probiert GPS, wenn das nicht ging, dann andere Sachen und was immer es gefunden hat, hat es quasi hochgeladen. Ja, hallo. Danke für den Talk. Nur eine kleine Anmerkung. Ich glaube nicht, dass dieser Buffer-Puffer-Mistik nur mit Ägypten dann zu tun hat. Auch in Deutsch ist das ein Fehler. Ich habe syrische Freundinnen und Freundinnen, die das selben Fehler machen. Ich weiß es nicht gleich, aber ich will dazu noch anmerken, wie erkläre ich das jetzt über Tricky sein. Es ist ein arabischer Fehler, der oft gemacht hat, aber in meiner Gegend ist es, dass mein P für ein B verwechselt und mein P für ein B verwechselt, das ist bei mir sehr üblich. Es ist jetzt kein sehr eindeutiger Hinweis, aber es ist schon ein kleiner. Danke für den Talk. Entschuldige, hast du versucht, eine E-Mail an den Entwickler zu schreiben? Nein, das soll ich nicht probieren. Vielleicht hätte ich das tun sollen. Gibt es irgendwelche Ergebnisse zu dieser E-Mail? Nein, also ich habe geschaut, ob es da ein Facebook-Account gibt, zum Beispiel der zu dieser E-Mail-Adress, aber ich habe nichts gefunden. Es war wirklich nur in dem Code und ich glaube, der Name, also es wäre wirklich ein Developer-Log, dass der Name darauf hinhintet, also deshalb glaube ich, dass es nur dafür verwendet wurde, aber das ist nur ein Rad. Mikrofon Nummer 2. Danke für den Talk. Ich habe darüber nachgedacht, diesen Talk an anderen ägyptischen Leute, an andere ägyptische Freunde zu senden. Oh mein Gott. Also, das könnte schon gefährlich sein, weiß ja, nein, weiß nicht, Fragezeichen, ich weiß es nicht. Also ich würde sagen, sei vorsichtig, wenn du das weiterlässt. Also wenn Sie gerade nicht in Ägypten sind, ist kein Problem, aber wenn du außerhalb bist, ist das gefährlich. Mikrofon Nummer 3. Also du hast viel Arbeit gemacht, um diese Infrastruktur zu überprüfen von der Geheimnis und es gibt andere Institutionen, wie das Citizens Lab, die viel Arbeit an solchen Dingen machen und viel Exposen, viel enthüllen und die auch Informationen haben, hast du die in deiner Investigation einbesucht? Ja, ja, klar. Also ich habe quasi Sachen auch mit von anderen Leuten mir angeschaut und mit denen die Informationen geteilt und wir haben eben auch MSD kontaktiert, nachdem wir unsere Infos hatten und haben über alles informiert, was wir gefunden haben darüber. Ja, das haben wir geteilt. Sind das die Endes? Es gibt noch weitere Fragen. Denkt noch nach. Habt es noch andere? Also wir haben noch 2-3 Minuten. Noch eine Frage. Mikrofon Nummer 2. Sollte Google irgendetwas besser gemacht haben, damit diese App früher runtergenommen wurden? Hm. Sollten Sie? Da bin ich mir nicht sicher. Also Sie haben Ihre Mechanismen um bösartige Software zu identifizieren. In dem Fall ist es schon relativ schwierig gewesen weil es ist ja doch irgendwie ein guter Service auch gewesen. Also es ist sehr schwierig zu sehen, dass sogar so eine Dual-Use-App wie macht man das? Also das ist also so andere Apps, was so schaut. Wo es so ausschaut, ja, das könnte eine gute App sein, aber es ist unklar, so in dem Fall hätten Sie es nicht wissen können. Mikrofon Nummer 2. Du warst also fähig, die Ruhe Information nachzuschauen. Meine Frage ist, haben die Registriernahmen, waren sie über einstimmen oder gab es auch Straßenangaben? Weil da stand das auch vorgegeben ist und wenn es nicht versichert geschützt ist, gibt es immer eine Straßenangabe. Also in dem Fall gab es das gab nur einen Ruhe Information und ich glaube, da gab es kein Straßennamen, sondern nur eine Region in Ägypten oder ein Stadt in Ägypten, also nicht sehr spezifisches. So sind wir jetzt am Ende oder jetzt habt ihr noch eine letzte Möglichkeit, 3, 2, 1, nein. Okay, oder eine Frage ist noch da. Gut. Okay, deine letzte Frage bitte. Ist es mir gerade eingefallen, wie hast du rausgefunden den Ort, der auf der Karte angezeigt wurde, dass das Geheimdienst war? Also wir haben über, wir haben mit Journalistinnen geredet von der New York Time und haben das über die dann quasi verifizieren können, dass das ist. Okay, dann vielen Dank für die vielen Interessanten und die französischen Fragen. Es zeigt, dass ihr den Talk alle gut gefunden habt. Also nochmal einen großen Applaus für Sieil. Danke für den großartigen Talk.