 Guten Morgen. Hier ist die deutsche Übersetzung des Talks, der eine Million Dollar Dissident und der Rest von uns. Wir übersetzen von Englisch auf Deutsch und hier sind Wolpo2 und Hopla. Nach und während dem Talk folgen wir uns über Feedback auf Twitter mit dem Hashtag C3T. Hashtag C3T auf Twitter für Feedback. Hallo zusammen. Hört ihr uns? Aushaltig. Mein Name ist John Scott Railton und ich bin hier mit meinem Kollegen Bill Marzan. Wir zeigen einen Talk der Million Dollar Dissident und der Rest von uns. Mein Kollege ist ein Video-Feller am Citizen Lab. Er hat gerade sein PhD letzte Woche bekommen. Ich will hier eine kurze Runde Applaus. Bill ist auch einer der Founding-Wonder von domainwatch, der sich um Menschenrechte in der Golf-Region kümmert. Mein Kollege ist mein Mitverschwörer am Citizen Lab. Er kümmert sich gerade um sein PhD und seine Forschung kümmert sich um gezielte Angriffe gegen die Zivilgesellschaft. Wenn ihr das Citizen Lab nicht kennt, wir sind in diesem großen Steingebäude in Toronto. Wir machen zwei Arten von Arbeit. Wir schauen uns gezielte Angriffe an gegen die Zivilgesellschaft und wir gucken uns gegen Informationsteuerung. Dieser Talk ist eine Arbeit über gezielte Angriffe. Das Labor ist relativ alt. Es ist unabhängig akademisch und unsere Brot- und Butterarbeit ist mit den Gruppen, die oft aufsinnend gute Beziehungen aufzubauen und ihnen zeigen, was wir finden an Angriffen. Wir reden zusammen über zwei Angriffe, ein so-called Zero-Day, die Untersuchung der Infrastruktur, die Skalierung für Sicherheit, wenn man Opfer hat, die in einem hohen Risiko ausgesetzt sind. Also direkt gehen wir in die Geschichte. Dieser Herr ist Roy Doneghe und er ist ein Mensch-Dress-Aktivist in den OK. Er hat diese Organisation gegründet, die das Arabische Assistance Center für Menschenrechte in den Vereinigten Arabischen Raten. Er ist ein Journalist bei MiddleListEye und er hat eine Serie von Geschichten über gelegte E-Mails aus der Regierung der Vereinigten Arabischen Namen gerade geschrieben. Er wurde schon mal Opfer. Er hat diese interessante E-Mail bekommen. Er hat eine Adresse, der write-to-fight-at-openmailbox.org. Das sieht ein bisschen komisch aus. Mr. Doneghe, wir machen gerade einen Panel von Experten auf von Menschenrechnen in den mittleren Osten. Wir würden uns freuen, wenn Sie teilnehmen könnten an diesem Panel und Sie sollten hier diesen Artikel lesen. Auch dieser Link sieht ein bisschen verdächtig aus. Hier denkt ihr, ein Aktivist bekommt schon wieder Social Engineering und Fishing. Das habe ich auch schon so oft gehört. Das ist ein guter Punkt, aber wir reden gleich über was Interessantes. Ax.me ist irgendwie seltsam. Wir haben uns das mal näher angeschaut. Das war ein URL-Verkürzer-Dienst. Zumindest hat man das so hergestellt, so wie Bit.ly. Allerdings, es war öffentlich erreichbar. Jeder konnte hier seine URL verkürzen. Das würde die Leute redirecten einfach nur mit HTTP 302 nachrichten. Aber der Link, der an Doneghe geschickt wurde, hat einen anderen Mechanismus verwendet, nämlich ready.lsvx. Der hat sehr viel JavaScript verwendet. Wenn Doneghe draufgeklickt hätte, wäre JavaScript bei ihm ausgeführt worden. Eine ganze Reihe von Angriffen werden ausgeführt worden, die ihn zu identifizieren, wenn er zum Beispiel Tor verwendet hätte. Eine Methode war herauszufinden, wo bei ihm Tor installiert ist. Und dann war eine sehr clevere Technik, einen lokalen Portscan seines Richters zu machen, um herauszufinden, welches Antivirus-Programme er verwendet. Um vielleicht darum rumzukommen. Er hat diese E-Mail uns weitergeleitet. Wir haben uns näher angeschaut. Das Interessante war, wir haben noch mehr Information von diesem Angriffer bekommen. Wir haben Doneghe sozusagen angewiesen, eine Antwort zu schicken. Ich habe aber zu antworten, aber zu sagen, die Leute, ich meine, der Link funktioniert irgendwie nicht richtig. Dieser Fall war sehr ungewöhnlich, denn der Angreifer hat geantwortet mit dieser E-Mail. Hey, tut uns leid, dass es Schwierigkeiten mit diesem Anhang gibt. Hier ist ein weiterer Link, wo du unsere Info herunterladen kannst. Die Datei ist Passwort geschützt. Und wir haben unsere geheimen Nachrichten mit Makro-Aktivierter. Makro-Sicherheit geschützt. Und du musst jetzt das Makro wieder anbühren. Das war das Bild, was er bekommen hat, als er dieses Wortdokument aufgemacht hat. Dieses Dokument ist sicher. Schalte Makros ein, und das ist auch das gleiche in Arabisch. Und es sieht irgendwie official aus. Da sind das Logo von Microsoft drauf. Da hat das Logo von Proofpoint. Das ist eine Firma, die Dokumentsicherheit macht. Eigentlich ein ganz guter Fisch. Was ist in dem Makro, was macht das? Es hat zwar Informationen angezeigt, aber das war natürlich der einzige Sinn. Es war ein ziemlich Standard Bauer-Skript, ein Makro-Lösen-Pause-Skript ausführt. Und dieses Kommando sollte grundlegende Informationen über sein System sammeln, insbesondere die Informer, welche Version von dort nicht installiert ist. Und es hat diese Informationen zu eine interessante Webseite geschoben athostincash.com und hat dann sich die Antworten geholt, die dann wieder Pauschelkommandos ausgeführt haben. Die Antwort vom Server hat einen sogenannten Scheduled-Task in Windows angelegt und jede Stunde hat er sich neue Kommandos vom Server geholt und ausgeführt. Aber es war ein anderer Server in capsulewebseitecash.com. Und die dritte Stufe, die, wir haben manche von diesen Kommandos abgefangen, das erste Kommando war die Abtable auszulesen, die Abtabelle, die halt ihm sagt, wie sieht das Netz dieses Opfer-System raus, damit man sich eventuell sideways bewegen kann. Und man hat sehr aggressiv auf dem Rechner nachpasst und gesucht. Und da hat man eine Red verwendet, eine Steuersoftware namens Grazer Red, die auch GPL, unter GPL veröffentlicht wurde. Also, Bild, guck mal, Fishing, PowerShell, Makros, ich bin noch skeptisch. Das wird nicht interessant, das ist doch alles stagnant. Technisch ist es langweilig, aber diese Technik funktioniert weiterhin und Aktivisten fallen diesen Angriff zum Opfer. Das sieht aus, als hätten wir ein allgemeines Gesundheitsproblem in der digitalen Welt. Und tatsächlich, das ist so. Wir haben schon mit Gruppen, die die Angriffe machen für einen Teil des letzten Jahrzehnts. Und das Internet hat die, also Metrie, sozusagen verändert. Es gibt mehr Möglichkeit, Informationen auszutauschen. Früher mussten Rebellen Fernsehcenter eroben, aber heute steht es eben zum Führung. Die tankt davon, ob die die Gesellschaft ihre Kommunikation macht, aber die Kommunikationsart hat sozusagen die Asymetrie von Risiko und Macht noch nicht verändert. Das bedeutet in der realen Welt. Die Zivilgesellschaft ist sehr verwundbar, aber insbesondere liegt das daran, dass die Zivilgesellschaften, NGO, Organisationen besonders verwundbar, weil man dort einfach immer seine eigenen Geräte verwendet. Es gibt keine IT-Abteilung, es gibt keine Punkte, wo man Network Security Monitoring macht. Die Leute haben wenig Informationen und Gefahr, zu ändern. Und auch Dokumentationen über Angriffe liegt ihnen oft nicht vor. Es ist sehr, sehr schwierig, Sicherheit zu machen. Es liegt nicht daran, dass sie sich nicht auskennen, sondern sie haben extrem wenig Ressourcen und Geld und sie müssen halt ihre Hauptarbeit machen und haben nicht so viel Zeit dafür, ihre Kisten abzusichern. Das heißt, das Resultat ist, wir haben eine Epidemie von Kompromittierung in der Zivilgesellschaft. Also, was passiert mit der Story, die wir erzählen? Also, Macros und PowerShell führt uns zu einem neuen Gegner. Wir haben diese Informationen veröffentlicht. Wir haben das in der Citizen Lab Report berichtet, ihr könnt darüber lesen. Ein Teil davon konnten wir die Stage 1 und Stage 2 Domains zurückverfolgen zu weiteren 69 Domains. Und sobald wir das hatten, können wir das eben noch weiter rückverfolgen. Wir haben die WHOIS-Information angeschaut und die DMS-Einträge, insbesondere den SOA und uns etwas interessantes aufgefallen. Wir haben diese E-Mail-Adresse gefunden, PN1G3P, PN1G3 und eine der Stage 2 Domains hat dorthin gezeigt. Aber auch von drei anderen Domains, die kannten wir noch nicht. Die haben noch gar nicht in das Puzzle reingepasst. Aber wir dachten, dass sie diese Webseite vorteurschen sollen, Arabian Secrets, Arabische Geheimnisse. Das ist eine legitime Nachrichtenseite über Nachrichtengerüchte usw. im mittleren Osten. Wir haben diese Seite gescraped, haben sie uns angeschaut und haben folgenden Code gefunden, die die Seiten zurückgeliefert haben. Was hier passiert ist, ist der legitime Teil in einem iFrame, in einem Browserfenster. Und es gibt auch diesen invisible 1x1-großer iFrame, diese etwas seltsame Google-Seite sms.net. Wir schauen uns das an. Wir gucken auf diesen Link. Es macht ein HTTP 302 zu einem Redirect.aspx und das wiederum hat diesen HTML-Code zurückgeliefert. Ihr könnt sehen, dass es irgendwie seltsam ist. Es ist ein sehr spezielles Format. Es gibt zwei Meter Weiterleitung an Google. Es gibt ein leerer Titel, es gibt einen leeren Körper. Also das ist wirklich seltsam. Also wir haben das als Fingerprint verwendet und haben das ganze Internet nach diesem Ding gesucht mit Setmap. Wir benutzen ZMAP nach Internet-Zescannen und wir haben einfach einen Get-Erquest nach Redirect.aspx gemacht. Wir haben 24 Stunden später 149 IP-Adressen, 159 Domain-Names gefunden, die genau diesen Code zurückgeliefert haben. Das kam uns wirklich sehr seltsam vor. Vielleicht haben wir hier etwas anderes gefunden. Wir haben mal geguckt, wo gehören diese Domain-Names hin. Ein Teil davon sollte aussehen, wie die Webseiten von Regierungen oder Menschenrechtsorganisationen wie das Rote Kreuz oder Fluglinien, Nachrichten-Webseiten und ganz andere Kategorien. Aber das Hauptthema war Webseiten nachbauen. Ihr seht, die Tippfehler, die da drin sind oder die Änderungen. Noch mehr Ergebnisse waren, dass die Domain-Names hatten SMS im Namen. Ist hier das Ziel, Leute, die SMS empfangen können? Was hat das zu bedeuten? Aber vielleicht ist wirklich das Ziel, Telefone sind. Vielleicht ist das dann glaubwürdiger. Aber vielleicht, vielleicht sind diese Domain-Names wirklich da, um hier Telefone anzugreifen. Wir haben gewartet, wir haben rumgefragt, eine Standard-Methode, wie wir arbeiten, ist, dass wir immer wieder große Fragen haben und warten müssen. Unser Arbeitsablauf, wir finden eine Kruppe. Wir bekommen Informationen. Wir schauen, was dort drin ist in den Nachrichten. Wir schauen uns die Kommande-Kontrolle, wir versuchen Fingerprints für diese C2-Infrastruktur zu machen, um rauszufinden. Wo ist es im IPv4-Adressraum? Wir haben, wenn wir diese Infrastruktur gefunden haben, und dann suchen wir nach Melvair, die mit dieser Infrastruktur redet. Wir benutzen eine Schwäche in gezielten Angriffen aus. Wir glauben, dass das eine grundlegende Schwäche ist. Wenn das sozusagen gegen eine ganze Gruppe von Menschen verwendet wird, dann wird die Infrastruktur nicht für eine Person verwendet, sondern für mehrere Personen. Das heißt, die Server bleiben online, es gibt Reste von Melvair, die im Internet unterwegs sind, und das hilft uns, sozusagen, unsere Arbeit zu machen. Und es gibt interessante Ergebnisse in 2014. Haben wir Fingerprints verwendet, haben wir die Fingerprints für die Melvair von Hacketeam gemacht, und dann haben wir eine ganze Reihe von Regierungen identifiziert, die diese Software verwenden. In 2015 haben wir dasselbe mit Filmfischer gemacht. Das heißt also, Regierungen, die Filmfischer einkaufen und einsetzen. Aber zurück zum Warten. In August 2016 haben wir eine Nachricht von Amit Mansour erhalten. Der ist ein Menschenrechtsaktivist. Mansour hat gesagt, guys, I think I'm being und er sagte, dass er denkt, dass er wieder verfolgt wird. Wir haben ihn geglaubt. Weil in 2011 Mansour war einen Opfer von der Filmfischer Introsion, weil und er war Wiederangriff eines Opfer eines Angriffs in 2012. Dieses Mal mit einem Angriffsdokument und einem Old Exploit. Also haben wir ihn zugehört. Was er für uns hatte, waren zwei SMS Nachrichten, die grundsätzlich zu Geheimnissen, wo Menschenrechte in Gefängnissen des Emirats verletzt wurden. Also haben wir ihm gesagt, gute Anfang, wir machen das. Also wie John sagte, haben wir uns entschieden, das aufzunehmen und wir wollten sehen, was hinter diesen Links steckt. Also das haben wir getan. Das heißt, wir haben uns gefragt, wir machen das auf einem iPhone. Das heißt, wir haben ein iPhone. Wir machen ein Factory Reset und verbinden das mit dem Internet durch ein Laptop. Wir haben uns deshalb auf ein Laptop mit MIT Proxy und Wireshark entschieden. Und das würden wir dann weiterleiten auf dem iPhone. Also alles ging durch den Laptop, wir kamen alles gesehen und wir wollten den Menschen fangen, der dahinter steckt. Das, was nachts passiert, da war schockiert. Das ist der Output von Wireshark. Also wir haben den Link transcribed, wir haben den eingetippt und haben einen und es stellte sich heraus, dass es ein offizierter JavaScript-Block war und wir haben gesehen, dass 10 Sekunden nach dem Eintipp der Safari zugegangen ist. Sehr komisch. Das ist unsere erste Indie, dass da ungewöhnliche Dinge passieren. Dann haben wir gesehen, dass das Telefon der Final 111 geöffnet wurde. Ein paar andere Requests kamen vom Telefon, das Logging Data versindet hat. Und dann haben wir gesehen, dass das Telefon ein Versuch gestartet hat, einen Bundel herunterzuladen. Und dieses File war test111.tar. Das Interessante daran ist, dass diese Anfrage von einem Nicht-Safari-User-Agent gekommen ist. Dass die Kontrolle scheinbar auf einen anderen Prozess übergegangen ist. Also, gucken wir uns gerade ein Remote-Jailbreak angeguckt? Ja, und das haben wir uns gedacht. Also was haben wir gekriegt? Es stellte heraus, dass wir das gesehen haben. Das war drei Zero-Day-Exploits gesehen haben. Und dass die erste zum Telefon eindringen gedacht war und die anderen beiden zum Jailbreak. Die Payload, die installiert wurde, war in der Lage, Nachrichten abzufangen, Voice Recording zu machen und andere Zugänge zu Apps zu legen. Wir haben dieses Artifact an die Menschen bei Lookout weitergegeben. Und Max Bazili hat einen wunderschönen Talk zu dem internen von den Explates an Tag 1 des CCCs gemacht. Und auch haben wir festgestellt, dass es Zeit war, um das Telefon zu verhindern, um das Telefon zu verhindern, um den AI man es noch keinуемriger gestellt. Das ist Zeit, war, dass wir das an Apple weiterleiten mussten. Was interessant war, daran war, dass das erste mal, dass das das erste bekannte Iphone Remote-Jailbreak war. Diese Dinger kommen überhaupt nicht billig. Zyrodium bietet eine remote jailbreak app und das hat auch die die öffentlichkeitsaufmerksamkeit geholt und selbst divanity fair hat also ein artikel veröffentlicht also wer hat jetzt silicon valleys chronio wie gehackt also wer ist dahinter erinnern wir uns daran dass wir diesen scan gemacht hat mit zmab wir haben diese 149 ip adressen gefunden und die zu diesem sr sr.net umgeleitet werden das hilft jetzt nicht wirklich mehr ist diese ip adressen diese domain haben aber wir hatten nicht wirklich weitere indizien die natürliche nächste schritt ist dass wir in der zeit zurückgehen natürlich haben wir uns nicht tatsächlich in der zeit zurückversetzen haben uns historische scan data angeguckt und wir haben uns angeguckt wie diese eyepiece in der vergangenheit sich halten haben 19 diese 149 ip adressen haben eine andere antwort gegeben in der vergangenheit und es war dieser andere komisch aussehende google redirect wir sehen den unicorn bite automark wir haben ein paar komische linebrakes sieht wieder sehr komisch aus und wir haben sie der den den leeren titel und den leeren bodys die nächste frage ist ok 19 ip adressen haben das zurückgegeben wie viele andere haben das zurückgegeben in diesem historischen scan und wir haben gesehen dass 85 ip adressen ip adressen die auf nso qa.com qa into qa.com und mehr punkt nso group.com und nsl group.ltd ist eine spionage software hersteller in israel und es stellt sich heraus dass die nso group.com tatsächlich von dieser firma gehalten wird und also nso groups brochure hat sagt dass es eine eine vorreiter in der rolle der cyber warfare sind dass es dass sie ein hintergrund überwachung und data abfang von telefonen ist uns spezifisch für regierungen auch wenn monso der erste das erste opfer ist wir haben noch raffael canberra gefunden und wir haben uns mit ihm in verbindung gesetzt nach dem er gesagt hat dass er komische textnachrichten empfand diese diese fake nachrichten waren zum beispiel facebook warning news alerts ganz grobe sexual traum warum er darauf klicken würde weiß ich nicht aber warum wurde er nun verfolgt und es waren scheinbar die kürzte links die direkt zu dieser infrastruktur gezeigt haben die wir gefunden hatten und so war unsere unsere schätzung war dass es im zusammenhang mit seiner arbeit zu dem kasablanca stand und die kasabanka skandal war dass der dass der präsent ein haus erhalten hat von der firma die ein großes infrastrukturprojekt gemacht hat und das war ein weit dafür gehaltenes fall eine weiter für gehaltener fall von korruption und in unseren weiteren scans haben wir herausgefunden dass wir ja dass wir ziel zielgerichtete angriffe quer über den globus gefunden haben jetzt ist natürlich die frage was auf was zielt das alles ab wenn wir uns den den wenn wir uns den hacking teams lawyer anhören dann sagt er dass dies dafür gedacht ist terroristen pornograföre und andere kriminelle zu verfolgen und wir nennen das der fig leaf tatsächlich zeigt unsere nachforschungen dass wieder und wieder diese technologie dafür verwendet wird vielleicht auch für laum aber meistens dafür verwendet wird dass es aktivisten menschenrechtsverteidiger und andere menschen verfolgt werden scham ein menschenrechtsverteidiger in marokko systematisch verfolgt von der regierung er wurde von commercial malver verfolgt wir haben ein ist in den etiopianischen journalisten er und seine newsorganisationen er wurde verfolgt von der etiopischen regierung so glauben wir offensichtliches zeichen dafür dass dieses spyware nicht sich entgrenzen hält was interessanter an ist an diesen menschen ist dass sie in unseren augen millionen dollar dissidenten sind und dieses dieses programm ist im endeffekt ein ein ein preis für die für das was sie veröffentlichten und sagen grundsätzlich ist es so dass kommerzielle überwachungstechnologie wird dafür gebraucht wird dafür mehr gebraucht professionell mehr gebraucht wenn verantwortlichkeit und überschaubar also und oversite fehlt und wir haben festgestellt dass sich die geschichte einfach wiederholt wie claudio gestern gesagt hat überwachungstechnologie wird von firmen die von filmen gezeugt wird gibt es sehr viel aufmerksamkeit in den midien die firmen die das verkaufen bekommen aufmerksamkeit insbesondere wenn zero days verkauft werden und das ist nur ein teil des risikos für die zivilgesellschaften hier gibt es ein paar grafik der wichtigste punkt ist der löfenanteil dieser melbertax die wir uns anschauen die wir tatsächlich bei citizener pc das heißt es gibt natürlich eine vorauswahl wir haben ja nicht alles und zeigt deutlich dass das social engineering sehr sehr gut ist und dass die der technische auffand das minimum notwendig ist ihr müsst nicht einen tollen lockpick haben wenn man durch ein offenes fenster gehen kann hier gibt es ein bisschen arbeit von meinen kollegen von mir wie wir tausende angriffe von auf die gesellschaft nachvollzogen haben und was wir sehen wenn wir das tracking welcher exploit verwendet wird das heißt es gibt ganz viele old days also alte angriffe und sehr sehr wenige zero days und dieses muster ist sehr allgemein aber das ist die ganze geschichte und ich würde nicht sagen man man darf da keine indem keine aufmerksamkeit schenken also diese firm kümmern sich um den einfachsten weg einfach einzukommen aber manchmal ist dieser weg eben ein exploit und kommerzielle überwachung software natürlich haben die sehr viel aufmerksamkeit aber wir müssen uns das natürlich auch anschauen das ist nicht nur das werkzeug das sozusagen die ganze viel technologie braucht wenn ihr euch firmen anschaut die in dem bereiche arbeiten wie finfischer die verkaufen nicht nur die spyware das mache sie natürlich aber sie verkaufen euch den support das training das ist sind updates damit du um neue sicherheitsmaßnahmen drumherum kommst und wenn du nicht weißt wie du häckst dann bringst sie das auch bei das ist nicht nur ein tool verkäufer sondern sie helfen auch bei der fortentwicklung des überwachungsstaates weil sie eben die grundlagen dafür schaffen unser hau problem ist wenn wir uns dagegen verteidigen wollen ist das problem wir wissen nicht wer die ziele von morgen sind wer sind die aktivisten von morgen wissen ja manchmal selbst nicht dass die aktivisten werden wie machen wir das in einer gebung wo jeder kommerzielle plattform für kommunikation verwendet um auch sensitive kommunikation zu machen wie sichern wir das wir müssen wir müssen potenzielle million dollar desenten werden das heißt wir müssen die kosten hochtreiben die nötig sind um eine person anzugreifen es gibt das iphone modell du hast diesen geschlossenen garten du machst es sehr sehr hart dass die benutzer bestimmte sachen das heißt man tauscht der freiheit der benutzer gegen sicherheit ein wir sehen in wir sehen elemente dieser dieser technik überall zum beispiel in chrome und wir tauschen ihr privates wäre gegen sicherheit ein hau problem ist dass die meisten firmen der gute arbeit gemacht haben aktivisten anzuziehen dass sie diese turen tools verwenden um ihre nachrichten auszutauschen und viele die ernsthaften bedrohen ausgesetzt sind oder auch ausgesetzt werden können in der zukunft benutzen tatsächlich gmail aber das sind keine werkzeuge die hochrisiko kommunikation machen können aber selbst in dieser umgebung eines der hau probleme ist dass die sicherheitsoptionen die diese leute schützen würden die sind standardmäßig nicht an ein gutes beispiel ist zwei faktor authentifikation ein weiteres ist browser sandboxing als standard in der ganze industrie das ist ein bisschen was was die hersteller tun können aber was können wir in der hier und ihr zuschauer was könnt ihr machen du hast ein paar sehr gute punkte eben gezeigt wie man die kosten dieser angriffe eben in die höhe treib und das ist sozusagen auf der meta eben sehr wichtig aber wo wir arbeiten ist sozusagen nicht der ganze wald sondern der einzelne baum und das sind natürlich hier die einzelne leute die dieses beibeam kriegen und die fragen die wir antwort beantworten wollen wer sind diese wie werden sie tatsächlich angegriffen wir bauen eben eine gute beziehung zu diesen aktivisten auf und zivilgesellschaften gruppen der zivilgesellschaft und wir motivieren sie dass sie alles was verdächtig ist und schicken so der erste punkt so für eine solche ermittlung ist es so eine art komische ein komisches digitales artefakt wie eine email eine nachricht oder ein link eine datei und dann suchen wir die antworten zu beantworten ist das ein angriff wer macht den angriff wie wird er durchgeführt und was sonst macht der angreifer sozusagen im rest der welt können wir das irgendwie herausfinden natürlich wir machen das am citizen lab wir haben paar beispiel aus den vereinigten aber aber wenn wir uns mal die katte angehen gucken john ist einfach nur eine person er ist sehr talentiert und intelligent aber trotz seiner besten möglichkeiten wir können ihn nicht auf die ganze welt verteilen er hat nicht genügend stunden am tag mit all den möglichen zielen die hier Hilfe benötigen oder kommunikation machen wollen das problem ist wir brauchen mehr leute die in diesem feld arbeiten die entweder das citizen lab model folgen oder die arbeiten wie bei security borders arbeiten damit wir nicht es geht nicht nur darum die kosten sozusagen zu erhöhen sondern auch die individuellen fälle zu betreuen wir möchten abschließen mit ein paar gedanken von man so selbst wir haben ihn gefragt was würde er denn hier der tech community in der welt sagen und die nachricht die wir weitergeben sollen ist menschenrechte verteidigen ist immer schwieriger geworden er versucht mit opfern zu sprechen und die untereinander zu verbinden um sozusagen ihre zelle vorzustellen und an die öffentlichkeit zu tragen aber das wird auch gefährlich denn die regierung wie seine regierung die vereinigten arabischen amarate die rechen sich und in immer brutaleren wegen monsoe wurde verprügelt er wurde eingesperrt sein pass sein auto wurde eingezogen man hat von ihm geld gestohlen oder eingezogen und diese rache aktionen können sehr brutal sein und sobald die solche regierung solche teleklinik bekommen dann benutzen wir das natürlich sofort um die sidenzen aktivisten und andere leute anzugreifen und auch leute die einfach nur ihr recht auf ausdruck sozusagen nutzen wollen die internationale gemeinschaft muss tun was möglich ist damit diese gefährlichen technologien wie das hacking team nso und so weiter nicht diese regime erreicht dass sie diese möglichkeiten nicht haben damit möchten wir noch ein paar dank sagen machen erst mal danke an die organisers vom cc das cc das ins eingeladen haben unsere arbeit beruht auf kollaboration mit spannenden leute der hat diese spannende arbeit gemacht mal wer von regierung zurückverfolgen das team von lookout insbesondere max apple ink die mit uns sehr gut gearbeitet hat um den disclosure prozess zu machen und viele andere sicherheitsforscher zum beispiel starley und dann möchten wir es noch bei passive total und risk obeldanken dann werden wir jetzt bei fragen wenn ihr dann antworten wir natürlich sehr gerne also es waren versuche dass diese tools diese tools einzuschränken glaubst du dass das die beste möglichkeit ist das zu tun unsere arbeit weil über die nso zeigt dass das dass wir aus aktuell nicht genügend ressourcen haben um diese tools sozusagen einzudämmen es ist auch interessant zu gucken wie unsere arbeit sich fokussiert hat es geht da hauptsächlich ja um tools um einzudrängen und sie oder exploids aber was ist sozusagen die gemann direkt die gemeinsamen charakteristik in dieser firm und in meiner meinung ist dass sie geben die nicht nur eben dieses tools weil jeder kann ja diese tools geben die halten dir deine hand während du sie benutzt sie unterstützen die ich sie trainieren dich es ist das komplette paket damit kannst du wirklich einer einmal regierung von null zu hundert bringen damit sie information von telefonen von aktivisten ziehen was wir auch sehen ist es wir brauchen zwar zusätzliche gesetze das wird die vielleicht auch geben und wir als community möchten natürlich bei diesem gesetzesgebung prozess eben dabei sein damit es funktioniert damit sie für uns funktioniert und damit es ja auch ausbalanciert ist habt ihr euch mal angeschaut welche plattformen welche geräte angegriffen werden und denkt ihr dass man als regierung eine große menge an geld zu zahlen ist um herauszufinden welche gute frage es hängt von dem fallab in den meisten fortschrittlichen angriffen wir sehen dass es davor ein profiling gibt dass der exploit service selbst sucht das datai die durch die datei den angriff aus nach dem je nachdem welches das welchen ist dem welches getut benutzt zum beispiel bei finn fischer 2 gibt es exploit services die regierung baut so eine art link auf und der link guckt sich an welche plattform du verwendest zum beispiel auf deinem user agent an deinem request und dann wählt er den richtigen also zu sagen exploit und es bei wipe hell oder aus aber ich denke wenn eine regierung über sowas denkt was welche plattform brauche ich sie können nachricht niedliche erkenntnisse aus ihrem land verwenden um diese entscheidung zu treffen aber vielleicht intelligenter ist auch es geht nicht so sehr um die plattform sondern es geht um die information wo ist denn die information wie komme ich an die information ran vielleicht möchtest du den e-mail account ran vielleicht möchtest dann machst du natürlich fishing wie gibt es datain auf einem computer dann muss natürlich dieses device angreifen cyber militia groups so die mein cousin knows computers approach to doing malware lots of commercial rats ganz viele kommersielle tools benutzen einfach das was am häufigsten in der gruppe verwendet wird die sie angreifen wollen ich würde ganz gerne zwei fragen stellen erste frage ist es gibt es eine metrik für die menge an werkzeugen die benutzt wurden und inwiefern sie für kriminelle aktivitäten und wiefern sie für die studenten eingesetzt wurden zweite frage vielleicht ohne diese technologie diese diese werkzeuge die die die regierungen benutzen vielleicht gefährlicher wären also dass sie vielleicht spione bezahlen oder andere metoden benutzen vielleicht ist einfach dieses digitale interessante fragen natürlich um die zweite frage zu beantworten das ist ein interessanter punkt was wäre wenn diese technologie nicht da war werden sie vielleicht noch gewalttätiger gegenüber ihren zielen aber das ist wirklich eine philosophische frage oder ein argument diskussion wenn wir das anschauen etwas schlechtes passieren wir stoppen das und wir versuchen sachen besser zu machen oder wenn wir weiter denken was werden sie dann tun also wie werden die regierung reagieren das risiko ist aus meiner perspektive was wir tun wollen wir wollten schlechte dinge die passieren identifizieren und dann dem hinterher gehen dann wenn die regierung leute angreift dann müssen wir sozusagen genau da weitermachen und das eben auch aufhalten der elegante weg das problem zu lösen und starten möchten so intrusion software warum weil die meiste kommunikationen sind verschlüsselt und ihre ziele sind nicht mehr hier innerhalb jahre grenzen wir müssen wirklich die kosten hochtreiben damit man diese intrusion nicht mehr wirtschaftlich sind wir können das nicht komplett abschalten je teuer das wird es gibt bessere geräte es gibt bessere dass wir sachen vielleicht nicht mehr einsetzen oder wenn es ums verhalten geht wir möchten aber die kosten haben die größten teil von tags benutzen nicht die guten tool sondern die off the shelf schlechten lösungen und wie wollen wir die biff öffentlich und weil ich als reporter nicht über einen fall berichte wo ein aktivist durch ein schädiger stück software für mich ist die frage was ist das ziel für uns die geschichte sind die geschichten von menschlichem schaden wenn sich journalisten sich zeit nehmen und in unserer meinung das wichtigste ist diese arbeit zu tun ist das metoden zu finden wie wir echte fälle lösen also kann ich sagen wir haben oft gesehen dass die editors den nach und dass sie dass die leute gar kein interesse mehr an geschichten über ziele in den bitteren ost haben damit kämpfen wir aber ein weg ist bis in dem ost zu weichen wir müssen fälle finden wo hacking verwendet wird um in fällen die sehr nah sozusagen daheim sind das ist nicht nur die demokratische parkei in usa das können beispielsweise frauen sein die offen von gewalt werden es könnte leute sein die gestorgt werden je mehr wir diese geschichten haben das wird sicher helfen das ist aber ein ein ewiger kampf wir möchten darauf hinweisen aber journalisten haben auch eine wichtige rolle sie sind sozusagen der mittelmein in der industrie diese leute zu erkennen denn die verbindung der firmen und der regierung die sind oft nicht direkt damit sie ein bisschen so deckung haben damit die firma sagen kann hey wir wir kümmern uns nicht darum wie unser produkt verwendet wird und damit sagen sie hey wir sind ja gar nicht verantwortlich damit können sie sozusagen sich um regeln herumwuschen als forscher können wir den kommand kontroll suchen und wir können die firma finden wir können die melver suchen aber was wir nicht machen können diese mittelmein diese vermittler sozusagen herauszufinden und das ist eine nette aufgabe für journalisten eine wichtige aufgabe ein punkt um das zu schließen die fällen die wir sehen die die meiste abdeckung haben die das sind die fälle wo man zeigen kann wo man wirklich sagen kann dass eine person real existieren schaden bekommen hat und beispielsweise jemand wurde verhaftet aber wie du gesagt von einer technischen perspektive die story besonders spannend sind die spannenden zero days aber wenn man sozusagen die person wurde wurde ausgesucht von mit allen möglichen möglichkeiten damit die formation gestohlen wurde und die hat man benutzt um das gab reale konsequenzen das ist sozusagen das wichtigste die wichtige sache ist zu zeigen die technologie ist eine seiten sache das wichtigste ist die person die das opfer wird und die die konsequenzen ihrer arbeit hat in worüber wir reden wir haben eine epidemie von compromises das ist wirklich ein allgemeines problem genauso wie man früher sozusagen dass es dass man gesundheitsprobleme gelöst hat dass man musste früher den leuten erklären hey ihr müsst eure hände waschen das war am anfang sind schwierig und wir haben genau das problem hier wir haben ganz oft dass die experten die angriffe die einfache tut zu verwenden ignorieren aber sie funktionieren trotzdem und das ist ein gutes allgemeines gesundheitsproblem wir möchten mit euch an einen punkt kommen wo es echte und normen so dass es mehr geht als um eine einzige mehr danke für den talk ich bin jetzt weiter rumgelaufen und in meinem täglichen leben sehe ich viele laptops sehe ich viele laptops mit stickers auf den kameras und sticker auf den mikrofon aber tatsächlich für mich ist das ein indikator dass wir unseren software hersteller nicht trauen gibt es da eine community der wir die wir uns angucken oder die die sich anguckt oder die das audit wie verantwortungsbewusstsein ist aufgeschrieben wurde das ist ein schwieriges problem ich versuche mal ein bisschen andere orts waren wir sind zur zeit wo die meisten leute vertrauen ihr system nicht so wirklich und die meisten leute wissen nicht genau was sollten sie eigentlich tun was sind die einfachsten metoden um uns zu schützen ihr wirklich ganz ganz grundlegend das so was wir sozusagen sehen dass aktivisten diese sie wüssten nicht ok wo sollten die information kommen was sollten sie tun was ist sozusagen zu anstrengend das zu aufwendig und stickers auf einer kamera das ist eine nette erwährendes geschichte das hilft durchaus aber die leute schauen ja auf unsere community um zu gucken was sind die einfachen möglichen damit wir nicht sagen hey du bist einfach zu blöd bei der sicherheit zu machen ich denke ich würde einfach das nochmal bestätigen immer wieder sehen wir bin ich schockiert dass wenn ich mit diesen spreche wenn sie diese interessanten sachen was sie was sie so daheim so machen als sicherheitsmaßnahme ich habe ich wechsle sim-karten in meinem telefon und ich habe mein iphone gejail brod um damit die zweite kopie von whatsapp inseriert und so weiter es gibt da so eine art fehlkonzeption dies die es draußen gibt in diesem markium es gibt keine gute zentrale quelle von informationen und die meisten leute überlegen ok so könnte spionage könnte so funktionieren und auf der grundlage leiten sie ihre sicherheitsmaßnahmen ab oder die sind dann inkorrekt sozusagen training mitteilen dass es wirklich sehr sehr hilfreich aber es geht da um mehr so langfristige maßnahmen um den leuten zu helfen wie funktioniert eben sicherheit ihnen sozusagen stundenlange präsentoren zu machen wie funktioniert das was solltest du tun worüber solltest du dir sorgen machen und jetzt eine runde abklaus weil die zeit fast zu ende ist wenn es keine weiteren fragen gibt dann ist es vielen dank eine bitte wenn wir gehen wenn wir zivilgesellschaftlichen gruppen über digitale sicherheitsrisiken sprechen was immer sehr lange dauert ist wenn ich aus nord amerika komme und probiere das zu erklären was mir aufgefallen ist dass leute die müssen ständig ihre risiken balanceen nicht regierungsorganisationen müssen ständig über ihr politisches risiko nachdenken diese mit den entscheidungen haben die können schon risikomodelle eben machen um entscheidung zu treffen aber wie kiege ich diese denkweise in den technologiebereich rüberziehen damit sie da die gleichen risikomodelle anwenden und da scheinen wir noch ein sehr langweg für uns zu haben als unser hau probleme ist dass das perfekte ist der feind das gut ganz viele empfehlungen die wir vielleicht geben könnten du solltest diese dieses tool verwenden oder so die passen oft nicht gut in ihre bedarf rein und pass nicht in ihre eigenen entscheidung diese treffen es gibt eine interessante anecdote die das sagt von einem von einer einzelnen person ich habe mit einem aktivisten gearbeitet und er hat vor mehreren lern erzählt dass ein paar aktivisten wurden sozusagen sie wurden durch eine messaging app verfolgt und dann verhaftet das war eine insichere app die dann sie sich sello okay wir müssen ihnen einen anderen messege empfehlen das problem ist aber warum sie diesen messe zu verwendet haben war weil es der einzige war der eine walkie talkie funktion hatten und sie haben das benutzt ein aktivist schläft irgendwo daheim hat das telefon neben sein bett und wenn was passiert wenn die polizei kommt und so dann würde jemand diese walkie talkie funktion verwenden um alle anderen aufzuwachen damit die schlafenen leute aufwachen die polizei ist da ihr müsst euch verstecken also sind sie von dem messager nicht weggekommen weil das war sozusagen ein die sie haben dieses software bewusst verwendet um der polizei zu entkommen das heißt sie hatten da zusätzlich das also das andere risiko hat sie nicht beachtet das ist ein gutes beispiel vielen dank für eure zeit und aufmerksamkeit das hat uns sehr gefallen hier zu sein danke