Leider kann die MAC-Adresse in drahtlosen Signalen beobachtet werden, auch wenn ein Gerät nicht aktiv mit einem bestimmten drahtlosen Netzwerk verbunden ist oder wenn es keine Daten aktiv sendet. Wann immer Wi-Fi auf einem typischen Smartphone eingeschaltet ist, sendet das Smartphone gelegentlich Signale, die die MAC-Adresse enthalten, und lässt so andere in der Nähe erkennen, dass dieses bestimmte Gerät vorhanden ist. Dies wurde für kommerzielle Tracking-Anwendungen verwendet, z.B. um den Ladenbesitzern Statistiken darüber zu ermöglichen, wie oft bestimmte Kunden kommen und wie lange sie sich im Geschäft aufhalten. Ab 2014 haben die Smartphone-Hersteller begonnen zu erkennen, dass diese Art des Tracking problematisch ist, aber es kann sein, dass es nicht in jedem Gerät für Jahre - wenn überhaupt - behoben wird.
Im Vergleich zur GSM-Überwachung sind diese Formen der Verfolgung für die staatliche Überwachung nicht unbedingt ebenso nützlich. Dies liegt daran, dass sie am besten auf kurze Entfernungen funktionieren und Vorkenntnisse oder Beobachtungen erfordern, um festzustellen, welche MAC-Adresse in das Gerät einer bestimmten Person eingebaut ist. Diese Formen der Verfolgung können jedoch eine sehr genaue Methode sein, um zu erkennen, wann eine Person ein Gebäude betritt und verlässt. Das Ausschalten von Wi-Fi und Bluetooth auf einem Smartphone kann diese Art der Verfolgung verhindern, obwohl dies für Benutzer, die diese Technologien häufig verwenden möchten, unangenehm sein kann.
Wi-Fi-Netzbetreiber können auch die MAC-Adresse jedes Geräts sehen, das ihrem Netzwerk beitritt, was bedeutet, dass sie bestimmte Geräte im Laufe der Zeit erkennen können, und erkennen, ob Sie die gleiche Person sind, die dem Netzwerk in der Vergangenheit beigetreten ist (auch wenn Sie Ihren Namen oder Ihre E-Mail-Adresse nirgendwo eingeben oder sich bei keinem Dienst anmelden).
Auf einigen wenigen Geräten ist es physikalisch möglich, die MAC-Adresse so zu ändern, dass andere Personen Ihr Wi-Fi-Gerät im Laufe der Zeit nicht so leicht erkennen können; auf diesen Geräten wäre es beispielsweise mit der richtigen Software und Konfiguration möglich, jeden Tag eine neue und andere MAC-Adresse auszuwählen. Auf Smartphones erfordert dies häufig spezielle Software, wie z.B. eine MAC-Adressänderungs-App. Derzeit ist diese Option für die meisten Smartphone-Modelle nicht verfügbar.
Moderne Smartphones bieten dem Telefon die Möglichkeit, seinen eigenen Standort zu bestimmen, oft mit GPS und manchmal mit anderen Diensten von Standortgesellschaften (die das Unternehmen normalerweise bitten, den Standort des Telefons anhand einer Liste von Mobilfunktürmen und/oder Wi-Fi-Netzwerken zu erraten, die das Telefon von dort aus sehen kann, wo es sich befindet). Apps können das Telefon nach diesen Standortinformationen fragen und damit Dienste anbieten, die auf dem Standort basieren, wie z.B. Karten, die Ihnen Ihre Position auf der Karte anzeigen.
Einige dieser Apps übertragen dann Ihren Standort über das Netzwerk an einen Dienstanbieter, der wiederum anderen Personen die Möglichkeit bietet, Sie zu verfolgen. (Die App-Entwickler waren vielleicht nicht durch den Wunsch motiviert, Benutzer zu verfolgen, aber sie könnten trotzdem in der Lage sein, dies zu tun, und sie könnten schließlich Standortinformationen über ihre Benutzer an Regierungen oder Hacker weitergeben.) Einige Smartphones geben Ihnen eine Art Kontrolle darüber, ob Apps Ihren physischen Standort herausfinden können; eine gute Datenschutzpraxis ist es, zu versuchen, einzuschränken, welche Apps diese Informationen sehen können, und zumindest sicherzustellen, dass Ihr Standort nur mit Apps geteilt wird, denen Sie vertrauen und die einen guten Grund haben zu wissen, wo Sie sich befinden.
Im Vergleich zur GSM-Überwachung sind diese Formen der Verfolgung für die staatliche Überwachung nicht unbedingt ebenso nützlich. Dies liegt daran, dass sie am besten auf kurze Entfernungen funktionieren und Vorkenntnisse oder Beobachtungen erfordern, um festzustellen, welche MAC-Adresse in das Gerät einer bestimmten Person eingebaut ist. Diese Formen der Verfolgung können jedoch eine sehr genaue Methode sein, um zu erkennen, wann eine Person ein Gebäude betritt und verlässt. Das Ausschalten von Wi-Fi und Bluetooth auf einem Smartphone kann diese Art der Verfolgung verhindern, obwohl dies für Benutzer, die diese Technologien häufig verwenden möchten, unangenehm sein kann.
Wi-Fi-Netzbetreiber können auch die MAC-Adresse jedes Geräts sehen, das ihrem Netzwerk beitritt, was bedeutet, dass sie bestimmte Geräte im Laufe der Zeit erkennen können, und erkennen, ob Sie die gleiche Person sind, die dem Netzwerk in der Vergangenheit beigetreten ist (auch wenn Sie Ihren Namen oder Ihre E-Mail-Adresse nirgendwo eingeben oder sich bei keinem Dienst anmelden).
Auf einigen wenigen Geräten ist es physikalisch möglich, die MAC-Adresse so zu ändern, dass andere Personen Ihr Wi-Fi-Gerät im Laufe der Zeit nicht so leicht erkennen können; auf diesen Geräten wäre es beispielsweise mit der richtigen Software und Konfiguration möglich, jeden Tag eine neue und andere MAC-Adresse auszuwählen. Auf Smartphones erfordert dies häufig spezielle Software, wie z.B. eine MAC-Adressänderungs-App. Derzeit ist diese Option für die meisten Smartphone-Modelle nicht verfügbar.
4. Durchsickern von Standortinformationen aus Apps und WebbrowsingModerne Smartphones bieten dem Telefon die Möglichkeit, seinen eigenen Standort zu bestimmen, oft mit GPS und manchmal mit anderen Diensten von Standortgesellschaften (die das Unternehmen normalerweise bitten, den Standort des Telefons anhand einer Liste von Mobilfunktürmen und/oder Wi-Fi-Netzwerken zu erraten, die das Telefon von dort aus sehen kann, wo es sich befindet). Apps können das Telefon nach diesen Standortinformationen fragen und damit Dienste anbieten, die auf dem Standort basieren, wie z.B. Karten, die Ihnen Ihre Position auf der Karte anzeigen.
Einige dieser Apps übertragen dann Ihren Standort über das Netzwerk an einen Dienstanbieter, der wiederum anderen Personen die Möglichkeit bietet, Sie zu verfolgen. (Die App-Entwickler waren vielleicht nicht durch den Wunsch motiviert, Benutzer zu verfolgen, aber sie könnten trotzdem in der Lage sein, dies zu tun, und sie könnten schließlich Standortinformationen über ihre Benutzer an Regierungen oder Hacker weitergeben.) Einige Smartphones geben Ihnen eine Art Kontrolle darüber, ob Apps Ihren physischen Standort herausfinden können; eine gute Datenschutzpraxis ist es, zu versuchen, einzuschränken, welche Apps diese Informationen sehen können, und zumindest sicherzustellen, dass Ihr Standort nur mit Apps geteilt wird, denen Sie vertrauen und die einen guten Grund haben zu wissen, wo Sie sich befinden.
In jedem Fall geht es beim Location Tracking nicht nur darum, herauszufinden, wo sich jemand gerade befindet, wie in einer spannenden Verfolgungsjagd, in der Agenten jemanden durch die Straßen verfolgen. Es kann auch darum gehen, Fragen über die historischen Aktivitäten der Menschen und auch über ihren Glauben, die Teilnahme an Veranstaltungen und persönliche Beziehungen zu beantworten. So könnte beispielsweise die Standortbestimmung verwendet werden, um herauszufinden, ob bestimmte Personen in einer romantischen Beziehung sind, um herauszufinden, wer an einem bestimmten Meeting teilgenommen hat oder wer an einem bestimmten Protest teilgenommen hat, oder um zu versuchen, die vertrauliche Quelle eines Journalisten zu identifizieren.
Die Washington Post berichtete im Dezember 2013 über NSA Ortungstools, die riesige Mengen an Informationen "über den Verbleib von Mobiltelefonen auf der ganzen Welt" sammeln, hauptsächlich durch Abhören der Infrastruktur von Telefongesellschaften, um zu beobachten, mit welchen Türmen bestimmte Telefone wann verbunden sind. Ein Tool namens CO-TRAVELER verwendet diese Daten, um Beziehungen zwischen den Bewegungen verschiedener Personen zu finden (um herauszufinden, welche Geräte der Personen zusammen zu reisen scheinen und ob eine Person einer anderen zu folgen scheint).
💡Ausschalten der Telefone
Es besteht die weit verbreitete Sorge, dass Telefone zur Überwachung von Personen verwendet werden können, auch wenn sie nicht aktiv für einen Anruf verwendet werden. Infolgedessen wird Menschen, die ein sensibles Gespräch führen, manchmal gesagt, dass sie ihr Telefon vollständig ausschalten oder sogar die Batterien aus ihrem Telefon entfernen sollen.
Die Empfehlung, die Batterie zu entfernen, scheint sich hauptsächlich auf die Existenz von Malware zu konzentrieren, die das Telefon auf Anfrage auszuschalten scheint (schließlich wird nur ein leerer Bildschirm angezeigt), während es wirklich eingeschaltet bleibt und in der Lage ist, Gespräche zu überwachen oder einen Anruf unsichtbar zu tätigen oder zu empfangen. So konnten die Benutzer dazu verleitet werden, zu denken, dass sie ihre Telefone erfolgreich ausgeschaltet hatten, obwohl sie es tatsächlich nicht getan hatten. Solche Malware gibt es, zumindest für einige Geräte, obwohl wir wenig Informationen darüber haben, wie gut sie funktioniert oder wie weit sie genutzt wurde.
Das Ausschalten von Telefonen hat seinen eigenen potenziellen Nachteil: Wenn viele Menschen an einem Ort es gleichzeitig tun, ist es ein Zeichen für die Mobilfunkbetreiber, dass sie alle dachten, dass etwas Verdientes das Ausschalten ihrer Telefone sei. (Das "Etwas" könnte der Beginn eines Films in einem Kino oder die Abreise eines Flugzeugs an einem Flughafen sein, aber es könnte auch ein sensibles Treffen oder Gespräch sein.) Eine Alternative, die weniger Informationen weitergeben könnte, ist, das Telefon eines jeden in einem anderen Raum zu lassen, in dem die Mikrofone der Telefone die Gespräche nicht mithören können.
💡Brenner-Telefone
Telefone, die vorübergehend benutzt und dann entsorgt werden, werden oft als Brennertelefone oder Brenner bezeichnet. Menschen, die versuchen, der staatlichen Überwachung zu entgehen, versuchen manchmal, die Telefone (und Telefonnummern) häufig zu wechseln, um die Erkennung ihrer Kommunikation zu erschweren. Sie müssen Prepaid-Telefone verwenden (die nicht mit einer persönlichen Kreditkarte oder einem Bankkonto verbunden sind) und sicherstellen, dass die Telefone und SIM-Karten nicht mit ihrer Identität registriert wurden; in einigen Ländern sind diese Schritte einfach, während in anderen Ländern rechtliche oder praktische Hindernisse für den Erhalt eines anonymen Mobilfunkdienstes bestehen können.
Die Washington Post berichtete im Dezember 2013 über NSA Ortungstools, die riesige Mengen an Informationen "über den Verbleib von Mobiltelefonen auf der ganzen Welt" sammeln, hauptsächlich durch Abhören der Infrastruktur von Telefongesellschaften, um zu beobachten, mit welchen Türmen bestimmte Telefone wann verbunden sind. Ein Tool namens CO-TRAVELER verwendet diese Daten, um Beziehungen zwischen den Bewegungen verschiedener Personen zu finden (um herauszufinden, welche Geräte der Personen zusammen zu reisen scheinen und ob eine Person einer anderen zu folgen scheint).
💡Ausschalten der Telefone
Es besteht die weit verbreitete Sorge, dass Telefone zur Überwachung von Personen verwendet werden können, auch wenn sie nicht aktiv für einen Anruf verwendet werden. Infolgedessen wird Menschen, die ein sensibles Gespräch führen, manchmal gesagt, dass sie ihr Telefon vollständig ausschalten oder sogar die Batterien aus ihrem Telefon entfernen sollen.
Die Empfehlung, die Batterie zu entfernen, scheint sich hauptsächlich auf die Existenz von Malware zu konzentrieren, die das Telefon auf Anfrage auszuschalten scheint (schließlich wird nur ein leerer Bildschirm angezeigt), während es wirklich eingeschaltet bleibt und in der Lage ist, Gespräche zu überwachen oder einen Anruf unsichtbar zu tätigen oder zu empfangen. So konnten die Benutzer dazu verleitet werden, zu denken, dass sie ihre Telefone erfolgreich ausgeschaltet hatten, obwohl sie es tatsächlich nicht getan hatten. Solche Malware gibt es, zumindest für einige Geräte, obwohl wir wenig Informationen darüber haben, wie gut sie funktioniert oder wie weit sie genutzt wurde.
Das Ausschalten von Telefonen hat seinen eigenen potenziellen Nachteil: Wenn viele Menschen an einem Ort es gleichzeitig tun, ist es ein Zeichen für die Mobilfunkbetreiber, dass sie alle dachten, dass etwas Verdientes das Ausschalten ihrer Telefone sei. (Das "Etwas" könnte der Beginn eines Films in einem Kino oder die Abreise eines Flugzeugs an einem Flughafen sein, aber es könnte auch ein sensibles Treffen oder Gespräch sein.) Eine Alternative, die weniger Informationen weitergeben könnte, ist, das Telefon eines jeden in einem anderen Raum zu lassen, in dem die Mikrofone der Telefone die Gespräche nicht mithören können.
💡Brenner-Telefone
Telefone, die vorübergehend benutzt und dann entsorgt werden, werden oft als Brennertelefone oder Brenner bezeichnet. Menschen, die versuchen, der staatlichen Überwachung zu entgehen, versuchen manchmal, die Telefone (und Telefonnummern) häufig zu wechseln, um die Erkennung ihrer Kommunikation zu erschweren. Sie müssen Prepaid-Telefone verwenden (die nicht mit einer persönlichen Kreditkarte oder einem Bankkonto verbunden sind) und sicherstellen, dass die Telefone und SIM-Karten nicht mit ihrer Identität registriert wurden; in einigen Ländern sind diese Schritte einfach, während in anderen Ländern rechtliche oder praktische Hindernisse für den Erhalt eines anonymen Mobilfunkdienstes bestehen können.
👉 Es gibt eine Reihe von Einschränkungen bei dieser Technik.
‼️Erstens bietet das bloße Wechseln von SIM-Karten oder das Verschieben einer SIM-Karte von einem Gerät zum anderen einen minimalen Schutz, da das Mobilfunknetz sowohl die SIM-Karte als auch das Gerät gemeinsam beobachtet. Mit anderen Worten, der Netzbetreiber kennt die Historie, welche SIM-Karten in welchen Geräten verwendet wurden und kann entweder einzeln oder beide zusammen verfolgen. Zweitens haben Regierungen mobile Standortanalyseverfahren entwickelt, bei denen die Standortverfolgung genutzt werden kann, um Leads oder Hypothesen darüber zu generieren, ob mehrere Geräte tatsächlich zu derselben Person gehören. Es gibt viele Möglichkeiten, dies zu tun. So konnte beispielsweise ein Analytiker überprüfen, ob sich zwei Geräte tendenziell zusammen bewegen, oder ob sie, selbst wenn sie zu unterschiedlichen Zeiten verwendet wurden, eher an den gleichen physischen Orten getragen werden.
Ein weiteres Problem für die erfolgreiche anonyme Nutzung von Telefondiensten ist, dass die Anrufmuster der Menschen sehr unterschiedlich sind. Beispielsweise können Sie Ihre Familienmitglieder und Arbeitskollegen regelmäßig anrufen. Auch wenn jeder dieser Personen Anrufe von einer Vielzahl von Personen erhält, sind Sie wahrscheinlich die einzige Person auf der Welt, die beide von der gleichen Nummer anruft. Selbst wenn Sie also plötzlich Ihre Nummer ändern, wenn Sie dann die gleichen Muster in den Anrufen, die Sie getätigt oder erhalten haben, wieder aufnehmen, wäre es einfach zu bestimmen, welche neue Nummer Ihnen gehört. Denken Sie daran, dass diese Schlussfolgerung nicht nur auf der Tatsache beruht, dass Sie eine bestimmte Zahl aufgerufen haben, sondern auch auf der Einzigartigkeit der Kombination aller Zahlen, die Sie aufgerufen haben. (Tatsächlich berichtete The Intercept, dass ein geheimes US-Regierungssystem namens PROTON genau das tut, indem es Telefonaufzeichnungen verwendet, um Personen zu erkennen, die Anrufe in einer "ähnlichen Weise wie ein bestimmtes Ziel" getätigt haben, anhand neuer Telefonnummern.) Ein weiteres Beispiel finden Sie in der Hemisphäre FOIA.
Das Dokument beschreibt die Hemisphere Datenbank (eine massive Datenbank mit historischen Anrufprotokollen) und wie die Personen, die sie ausführen, eine Funktion haben, die Brennertelefone verbinden kann, indem sie der Ähnlichkeit ihrer Anrufmuster folgen. Das Dokument bezieht sich auf Brenner-Telefone als "dropped phones", weil ihr Benutzer eines "fallen lässt" und ein anderes verwendet, aber die Algorithmen der Datenbankanalyse können die Verbindung zwischen einem Telefon und einem anderen herstellen, wenn dies geschieht, solange beide verwendet wurden, um Anrufe zu ähnlichen Telefonnummern zu tätigen oder zu empfangen.
Zusammengenommen bedeuten diese Tatsachen, dass die effektive Verwendung von Brennertelefonen, um sich vor der staatlichen Überwachung zu verstecken, zumindest Folgendes erfordert: keine Wiederverwendung von SIM-Karten oder -Geräten; kein Zusammenführen verschiedener Geräte; keine physische Verbindung zwischen den Orten, an denen verschiedene Geräte verwendet werden; und kein Anrufen oder Anrufen von denselben Personen bei Verwendung verschiedener Geräte. (Dies ist nicht unbedingt eine vollständige Liste; zum Beispiel haben wir das Risiko der physischen Überwachung des Ortes, an dem das Telefon verkauft wurde, oder der Orte, an denen es verwendet wird, oder die Möglichkeit von Software, die Stimme einer bestimmten Person als automatisierte Methode zur Bestimmung, wer über ein bestimmtes Telefon spricht, zu erkennen, nicht berücksichtigt.)
‼️Erstens bietet das bloße Wechseln von SIM-Karten oder das Verschieben einer SIM-Karte von einem Gerät zum anderen einen minimalen Schutz, da das Mobilfunknetz sowohl die SIM-Karte als auch das Gerät gemeinsam beobachtet. Mit anderen Worten, der Netzbetreiber kennt die Historie, welche SIM-Karten in welchen Geräten verwendet wurden und kann entweder einzeln oder beide zusammen verfolgen. Zweitens haben Regierungen mobile Standortanalyseverfahren entwickelt, bei denen die Standortverfolgung genutzt werden kann, um Leads oder Hypothesen darüber zu generieren, ob mehrere Geräte tatsächlich zu derselben Person gehören. Es gibt viele Möglichkeiten, dies zu tun. So konnte beispielsweise ein Analytiker überprüfen, ob sich zwei Geräte tendenziell zusammen bewegen, oder ob sie, selbst wenn sie zu unterschiedlichen Zeiten verwendet wurden, eher an den gleichen physischen Orten getragen werden.
Ein weiteres Problem für die erfolgreiche anonyme Nutzung von Telefondiensten ist, dass die Anrufmuster der Menschen sehr unterschiedlich sind. Beispielsweise können Sie Ihre Familienmitglieder und Arbeitskollegen regelmäßig anrufen. Auch wenn jeder dieser Personen Anrufe von einer Vielzahl von Personen erhält, sind Sie wahrscheinlich die einzige Person auf der Welt, die beide von der gleichen Nummer anruft. Selbst wenn Sie also plötzlich Ihre Nummer ändern, wenn Sie dann die gleichen Muster in den Anrufen, die Sie getätigt oder erhalten haben, wieder aufnehmen, wäre es einfach zu bestimmen, welche neue Nummer Ihnen gehört. Denken Sie daran, dass diese Schlussfolgerung nicht nur auf der Tatsache beruht, dass Sie eine bestimmte Zahl aufgerufen haben, sondern auch auf der Einzigartigkeit der Kombination aller Zahlen, die Sie aufgerufen haben. (Tatsächlich berichtete The Intercept, dass ein geheimes US-Regierungssystem namens PROTON genau das tut, indem es Telefonaufzeichnungen verwendet, um Personen zu erkennen, die Anrufe in einer "ähnlichen Weise wie ein bestimmtes Ziel" getätigt haben, anhand neuer Telefonnummern.) Ein weiteres Beispiel finden Sie in der Hemisphäre FOIA.
Das Dokument beschreibt die Hemisphere Datenbank (eine massive Datenbank mit historischen Anrufprotokollen) und wie die Personen, die sie ausführen, eine Funktion haben, die Brennertelefone verbinden kann, indem sie der Ähnlichkeit ihrer Anrufmuster folgen. Das Dokument bezieht sich auf Brenner-Telefone als "dropped phones", weil ihr Benutzer eines "fallen lässt" und ein anderes verwendet, aber die Algorithmen der Datenbankanalyse können die Verbindung zwischen einem Telefon und einem anderen herstellen, wenn dies geschieht, solange beide verwendet wurden, um Anrufe zu ähnlichen Telefonnummern zu tätigen oder zu empfangen.
Zusammengenommen bedeuten diese Tatsachen, dass die effektive Verwendung von Brennertelefonen, um sich vor der staatlichen Überwachung zu verstecken, zumindest Folgendes erfordert: keine Wiederverwendung von SIM-Karten oder -Geräten; kein Zusammenführen verschiedener Geräte; keine physische Verbindung zwischen den Orten, an denen verschiedene Geräte verwendet werden; und kein Anrufen oder Anrufen von denselben Personen bei Verwendung verschiedener Geräte. (Dies ist nicht unbedingt eine vollständige Liste; zum Beispiel haben wir das Risiko der physischen Überwachung des Ortes, an dem das Telefon verkauft wurde, oder der Orte, an denen es verwendet wird, oder die Möglichkeit von Software, die Stimme einer bestimmten Person als automatisierte Methode zur Bestimmung, wer über ein bestimmtes Telefon spricht, zu erkennen, nicht berücksichtigt.)
💡Forensische Analyse von beschlagnahmten Telefonen
Es gibt eine gut entwickelte Spezialität der forensischen Analyse von mobilen Geräten. Ein erfahrener Analytiker verbindet ein beschlagnahmtes Gerät mit einer speziellen Maschine, die die in dem Gerät gespeicherten Daten ausliest, einschließlich Aufzeichnungen über frühere Aktivitäten, Telefonate und Textnachrichten. Die forensische Analyse kann Datensätze wiederherstellen, die der Benutzer normalerweise nicht sehen oder darauf zugreifen konnte, wie beispielsweise gelöschte Textnachrichten, die wiederhergestellt werden können. Forensische Analysen können manchmal die Bildschirmsperre umgehen, insbesondere bei älteren Telefonen.
Es gibt viele Smartphone-Apps und Softwarefunktionen, die versuchen, die forensische Analyse bestimmter Daten und Aufzeichnungen zu verhindern oder zu verhindern oder Daten zu verschlüsseln, um sie für einen Analysten unlesbar zu machen. Darüber hinaus gibt es eine Fernwischsoftware, die es dem Telefonbesitzer oder einer vom Besitzer benannten Person ermöglicht, dem Telefon mitzuteilen, dass es bestimmte Daten auf Anfrage löschen soll.
Diese Software kann nützlich sein, um sich vor Daten zu schützen, die erhalten werden, wenn Ihr Telefon von Kriminellen benutzt wird. Bitte beachten Sie jedoch, dass die absichtliche Vernichtung von Beweismitteln oder die Behinderung einer Untersuchung als separates Verbrechen mit oft sehr schwerwiegenden Folgen angeklagt werden kann. In einigen Fällen kann dies für die Regierung einfacher sein, schwerwiegendere Strafen nachzuweisen und zuzulassen, als die angebliche Straftat, die ursprünglich untersucht wurde.
💡Computeranalyse der Verhaltensmuster von Telefonen
Regierungen sind auch daran interessiert, Daten über die Telefone vieler Benutzer per Computer zu analysieren, um bestimmte Muster automatisch zu finden. Diese Muster könnten es einem Regierungsanalytiker ermöglichen, Fälle zu finden, in denen Menschen ihr Telefon auf ungewöhnliche Weise benutzt haben, wie z.B. durch besondere Datenschutzvorkehrungen.
Einige Beispiele für Dinge, die eine Regierung aus der Datenanalyse herausfinden könnte: automatisch herausfinden, ob sich die Menschen kennen; erkennen, wenn eine Person mehrere Telefone benutzt oder das Telefon wechselt; erkennen, wann Gruppen von Menschen zusammen reisen oder sich regelmäßig treffen; erkennen, wenn Gruppen von Menschen ihr Telefon auf ungewöhnliche oder verdächtige Weise benutzen; identifizieren der vertraulichen Quellen eines Journalisten.
#Überwachung #Selbstschutz #Handys
Es gibt eine gut entwickelte Spezialität der forensischen Analyse von mobilen Geräten. Ein erfahrener Analytiker verbindet ein beschlagnahmtes Gerät mit einer speziellen Maschine, die die in dem Gerät gespeicherten Daten ausliest, einschließlich Aufzeichnungen über frühere Aktivitäten, Telefonate und Textnachrichten. Die forensische Analyse kann Datensätze wiederherstellen, die der Benutzer normalerweise nicht sehen oder darauf zugreifen konnte, wie beispielsweise gelöschte Textnachrichten, die wiederhergestellt werden können. Forensische Analysen können manchmal die Bildschirmsperre umgehen, insbesondere bei älteren Telefonen.
Es gibt viele Smartphone-Apps und Softwarefunktionen, die versuchen, die forensische Analyse bestimmter Daten und Aufzeichnungen zu verhindern oder zu verhindern oder Daten zu verschlüsseln, um sie für einen Analysten unlesbar zu machen. Darüber hinaus gibt es eine Fernwischsoftware, die es dem Telefonbesitzer oder einer vom Besitzer benannten Person ermöglicht, dem Telefon mitzuteilen, dass es bestimmte Daten auf Anfrage löschen soll.
Diese Software kann nützlich sein, um sich vor Daten zu schützen, die erhalten werden, wenn Ihr Telefon von Kriminellen benutzt wird. Bitte beachten Sie jedoch, dass die absichtliche Vernichtung von Beweismitteln oder die Behinderung einer Untersuchung als separates Verbrechen mit oft sehr schwerwiegenden Folgen angeklagt werden kann. In einigen Fällen kann dies für die Regierung einfacher sein, schwerwiegendere Strafen nachzuweisen und zuzulassen, als die angebliche Straftat, die ursprünglich untersucht wurde.
💡Computeranalyse der Verhaltensmuster von Telefonen
Regierungen sind auch daran interessiert, Daten über die Telefone vieler Benutzer per Computer zu analysieren, um bestimmte Muster automatisch zu finden. Diese Muster könnten es einem Regierungsanalytiker ermöglichen, Fälle zu finden, in denen Menschen ihr Telefon auf ungewöhnliche Weise benutzt haben, wie z.B. durch besondere Datenschutzvorkehrungen.
Einige Beispiele für Dinge, die eine Regierung aus der Datenanalyse herausfinden könnte: automatisch herausfinden, ob sich die Menschen kennen; erkennen, wenn eine Person mehrere Telefone benutzt oder das Telefon wechselt; erkennen, wann Gruppen von Menschen zusammen reisen oder sich regelmäßig treffen; erkennen, wenn Gruppen von Menschen ihr Telefon auf ungewöhnliche oder verdächtige Weise benutzen; identifizieren der vertraulichen Quellen eines Journalisten.
Quelle und mehr Info auf: https://ssd.eff.org/en/module/problem-mobile-phones#Überwachung #Selbstschutz #Handys
💡Ein Hinweis zu GPS
Mit dem Global Positioning System (GPS) können Geräte überall auf der Welt schnell und präzise ihren eigenen Standort ermitteln. GPS funktioniert auf der Grundlage der Analyse von Signalen von Satelliten, die von der US-Regierung als öffentlicher Dienst für alle betrieben werden. Es ist ein häufiger Irrtum, dass diese Satelliten irgendwie GPS-Nutzer beobachten oder wissen, wo die GPS-Nutzer sind. Tatsächlich senden die GPS-Satelliten nur Signale; die Satelliten empfangen oder beobachten nichts von Ihrem Telefon, und die Satelliten und GPS-Systembetreiber wissen nicht, wo sich ein bestimmter Benutzer oder ein bestimmtes Gerät befindet oder wie viele Personen das System nutzen.
Dies ist möglich, weil die einzelnen GPS-Empfänger (wie sie z.B. in Smartphones verwendet werden) ihre eigenen Positionen berechnen, indem sie bestimmen, wie lange die Funksignale verschiedener Satelliten bis zur Ankunft gebraucht haben.
Diese Software kann nützlich sein, um sich vor Daten zu schützen, die erhalten werden, wenn Ihr Telefon von Kriminellen benutzt wird. Bitte beachten Sie jedoch, dass die absichtliche Vernichtung von Beweismitteln oder die Behinderung einer Untersuchung als separates Verbrechen mit oft sehr schwerwiegenden Folgen angeklagt werden kann. In einigen Fällen kann dies für die Regierung einfacher sein, schwerwiegendere Strafen nachzuweisen und zuzulassen, als die angebliche Straftat, die ursprünglich untersucht wurde.
💡Telefone mit Malware infizieren
Telefone können Viren und andere Arten von Malware (bösartige Software) abbekommen, entweder weil der Benutzer bei der Installation von bösartiger Software betrogen wurde oder weil jemand in der Lage war, sich mit Hilfe einer Sicherheitslücke in der vorhandenen Gerätesoftware in das Gerät zu hacken. Wie bei anderen Arten von Computergeräten kann die bösartige Software dann den Benutzer des Geräts ausspionieren.
Beispielsweise könnte bösartige Software auf einem Mobiltelefon private Daten auf dem Gerät lesen (wie gespeicherte Textnachrichten oder Fotos). Es könnte auch die Sensoren des Geräts (wie Mikrofon, Kamera, GPS) aktivieren, um herauszufinden, wo sich das Telefon befindet, oder um die Umgebung zu überwachen und sogar das Telefon in einen Fehler zu verwandeln.
Diese Technik wurde von einigen Regierungen verwendet, um Menschen über ihre eigenen Telefone auszuspionieren, und hat Angst davor erzeugt, sensible Gespräche zu führen, wenn Mobiltelefone im Raum vorhanden sind. Einige Menschen reagieren auf diese Möglichkeit, indem sie Mobiltelefone in einen anderen Raum bringen, wenn sie ein sensibles Gespräch führen, oder indem sie sie ausschalten. (Regierungen selbst verbieten Menschen, sogar Regierungsangestellten, persönliche Mobiltelefone in bestimmte sensible Einrichtungen zu bringen - hauptsächlich aus der Sorge heraus, dass die Telefone mit Software infiziert sein könnten, damit sie Gespräche aufzeichnen.)
Eine weitere Sorge ist, dass bösartige Software theoretisch dazu führen könnte, dass ein Telefon vorgibt, sich auszuschalten, während es heimlich eingeschaltet bleibt (und einen schwarzen Bildschirm anzeigt, so dass der Benutzer fälschlicherweise glaubt, dass das Telefon ausgeschaltet ist). Diese Sorge hat dazu geführt, dass einige Menschen bei sehr sensiblen Gesprächen die Batterien physisch aus ihren Geräten nehmen.
Wie bereits erwähnt, könnten Vorsichtsmaßnahmen beim Ausschalten von Telefonen von einem Mobilfunkbetreiber wahrgenommen werden; wenn beispielsweise zehn Personen alle zum selben Gebäude reisen und dann alle ihre Telefone gleichzeitig ausschalten, könnte der Mobilfunkbetreiber oder jemand, der seine Aufzeichnungen überprüft, zu dem Schluss kommen, dass diese Personen alle am selben Meeting waren und dass die Teilnehmer es als sensibel empfanden. Dies wäre schwieriger zu erkennen, ob die Teilnehmer stattdessen ihr Telefon zu Hause oder im Büro gelassen hätten.
Mit dem Global Positioning System (GPS) können Geräte überall auf der Welt schnell und präzise ihren eigenen Standort ermitteln. GPS funktioniert auf der Grundlage der Analyse von Signalen von Satelliten, die von der US-Regierung als öffentlicher Dienst für alle betrieben werden. Es ist ein häufiger Irrtum, dass diese Satelliten irgendwie GPS-Nutzer beobachten oder wissen, wo die GPS-Nutzer sind. Tatsächlich senden die GPS-Satelliten nur Signale; die Satelliten empfangen oder beobachten nichts von Ihrem Telefon, und die Satelliten und GPS-Systembetreiber wissen nicht, wo sich ein bestimmter Benutzer oder ein bestimmtes Gerät befindet oder wie viele Personen das System nutzen.
Dies ist möglich, weil die einzelnen GPS-Empfänger (wie sie z.B. in Smartphones verwendet werden) ihre eigenen Positionen berechnen, indem sie bestimmen, wie lange die Funksignale verschiedener Satelliten bis zur Ankunft gebraucht haben.
Diese Software kann nützlich sein, um sich vor Daten zu schützen, die erhalten werden, wenn Ihr Telefon von Kriminellen benutzt wird. Bitte beachten Sie jedoch, dass die absichtliche Vernichtung von Beweismitteln oder die Behinderung einer Untersuchung als separates Verbrechen mit oft sehr schwerwiegenden Folgen angeklagt werden kann. In einigen Fällen kann dies für die Regierung einfacher sein, schwerwiegendere Strafen nachzuweisen und zuzulassen, als die angebliche Straftat, die ursprünglich untersucht wurde.
💡Telefone mit Malware infizieren
Telefone können Viren und andere Arten von Malware (bösartige Software) abbekommen, entweder weil der Benutzer bei der Installation von bösartiger Software betrogen wurde oder weil jemand in der Lage war, sich mit Hilfe einer Sicherheitslücke in der vorhandenen Gerätesoftware in das Gerät zu hacken. Wie bei anderen Arten von Computergeräten kann die bösartige Software dann den Benutzer des Geräts ausspionieren.
Beispielsweise könnte bösartige Software auf einem Mobiltelefon private Daten auf dem Gerät lesen (wie gespeicherte Textnachrichten oder Fotos). Es könnte auch die Sensoren des Geräts (wie Mikrofon, Kamera, GPS) aktivieren, um herauszufinden, wo sich das Telefon befindet, oder um die Umgebung zu überwachen und sogar das Telefon in einen Fehler zu verwandeln.
Diese Technik wurde von einigen Regierungen verwendet, um Menschen über ihre eigenen Telefone auszuspionieren, und hat Angst davor erzeugt, sensible Gespräche zu führen, wenn Mobiltelefone im Raum vorhanden sind. Einige Menschen reagieren auf diese Möglichkeit, indem sie Mobiltelefone in einen anderen Raum bringen, wenn sie ein sensibles Gespräch führen, oder indem sie sie ausschalten. (Regierungen selbst verbieten Menschen, sogar Regierungsangestellten, persönliche Mobiltelefone in bestimmte sensible Einrichtungen zu bringen - hauptsächlich aus der Sorge heraus, dass die Telefone mit Software infiziert sein könnten, damit sie Gespräche aufzeichnen.)
Eine weitere Sorge ist, dass bösartige Software theoretisch dazu führen könnte, dass ein Telefon vorgibt, sich auszuschalten, während es heimlich eingeschaltet bleibt (und einen schwarzen Bildschirm anzeigt, so dass der Benutzer fälschlicherweise glaubt, dass das Telefon ausgeschaltet ist). Diese Sorge hat dazu geführt, dass einige Menschen bei sehr sensiblen Gesprächen die Batterien physisch aus ihren Geräten nehmen.
Wie bereits erwähnt, könnten Vorsichtsmaßnahmen beim Ausschalten von Telefonen von einem Mobilfunkbetreiber wahrgenommen werden; wenn beispielsweise zehn Personen alle zum selben Gebäude reisen und dann alle ihre Telefone gleichzeitig ausschalten, könnte der Mobilfunkbetreiber oder jemand, der seine Aufzeichnungen überprüft, zu dem Schluss kommen, dass diese Personen alle am selben Meeting waren und dass die Teilnehmer es als sensibel empfanden. Dies wäre schwieriger zu erkennen, ob die Teilnehmer stattdessen ihr Telefon zu Hause oder im Büro gelassen hätten.
🇬🇧Surveillance — Self-Defense
The Problem with Mobile Phones
Mobile phones have become ubiquitous and basic communications tools—now used not only for phone calls, but also for accessing the Internet, sending text messages, and documenting the world.
Unfortunately, mobile phones were not designed for privacy and security. Not only do they do a poor job of protecting your communications, they also expose you to new kinds of surveillance risks—especially location tracking. Most mobile phones give the user much less control than a personal desktop or laptop computer would; it's harder to replace the operating system, harder to investigate malware attacks, harder to remove or replace undesirable bundled software, and harder to prevent parties like the mobile operator from monitoring how you use the device. What's more, the device maker may declare your device obsolete and stop providing you with software updates, including security fixes; if this happens, you may not have anywhere else to turn for these fixes.
Some of these problems can be addressed by using third-party privacy software—but some of them can't. Here, we'll describe some of the ways that phones can aid surveillance and undermine their users' privacy.
💡Location Tracking
The deepest privacy threat from mobile phones—yet one that is often completely invisible—is the way that they announce your whereabouts all day (and all night) long through the signals they broadcast. There are at least four ways that an individual phone's location can be tracked by others.
In all modern mobile networks, the operator can calculate where a particular subscriber's phone is located whenever the phone is powered on and registered with the network. The ability to do this results from the way the mobile network is built, and is commonly called triangulation.
One way the operator can do this is to observe the signal strength that different towers observe from a particular subscriber's mobile phone, and then calculate where that phone must be located in order to account for these observations. The accuracy with which the operator can figure out a subscriber's location varies depending on many factors, including the technology the operator uses and how many cell towers they have in an area. Very often, it is accurate to about the level of a city block, but in some systems it can be more accurate.
There is no way to hide from this kind of tracking as long as your mobile phone is powered on and transmitting signals to an operator's network. Although normally only the mobile operator itself can perform this kind of tracking, a government could force the operator to turn over location data about a user (in real-time or as a matter of historical record). In 2010, a German privacy advocate named Malte Spitz used privacy laws to get his mobile operator to turn over the records that it had about his records; he chose to publish them as an educational resource so that other people could understand how mobile operators can monitor users this way. (You can visit here to see what the operator knew about him.) The possibility of government access to this sort of data is not theoretical: it is already being widely used by law enforcement agencies in countries like the United States.
Another related kind of government request is called a tower dump; in this case, a government asks a mobile operator for a list of all of the mobile devices that were present in a certain area at a certain time. This could be used to investigate a crime, or to find out who was present at a particular protest. (Reportedly, the Ukrainian government used a tower dump for this purpose in 2014, to make a list of all of the people whose mobile phones were present at an anti-government protest.)
The Problem with Mobile Phones
Mobile phones have become ubiquitous and basic communications tools—now used not only for phone calls, but also for accessing the Internet, sending text messages, and documenting the world.
Unfortunately, mobile phones were not designed for privacy and security. Not only do they do a poor job of protecting your communications, they also expose you to new kinds of surveillance risks—especially location tracking. Most mobile phones give the user much less control than a personal desktop or laptop computer would; it's harder to replace the operating system, harder to investigate malware attacks, harder to remove or replace undesirable bundled software, and harder to prevent parties like the mobile operator from monitoring how you use the device. What's more, the device maker may declare your device obsolete and stop providing you with software updates, including security fixes; if this happens, you may not have anywhere else to turn for these fixes.
Some of these problems can be addressed by using third-party privacy software—but some of them can't. Here, we'll describe some of the ways that phones can aid surveillance and undermine their users' privacy.
💡Location Tracking
The deepest privacy threat from mobile phones—yet one that is often completely invisible—is the way that they announce your whereabouts all day (and all night) long through the signals they broadcast. There are at least four ways that an individual phone's location can be tracked by others.
1. Mobile Signal Tracking — TowersIn all modern mobile networks, the operator can calculate where a particular subscriber's phone is located whenever the phone is powered on and registered with the network. The ability to do this results from the way the mobile network is built, and is commonly called triangulation.
One way the operator can do this is to observe the signal strength that different towers observe from a particular subscriber's mobile phone, and then calculate where that phone must be located in order to account for these observations. The accuracy with which the operator can figure out a subscriber's location varies depending on many factors, including the technology the operator uses and how many cell towers they have in an area. Very often, it is accurate to about the level of a city block, but in some systems it can be more accurate.
There is no way to hide from this kind of tracking as long as your mobile phone is powered on and transmitting signals to an operator's network. Although normally only the mobile operator itself can perform this kind of tracking, a government could force the operator to turn over location data about a user (in real-time or as a matter of historical record). In 2010, a German privacy advocate named Malte Spitz used privacy laws to get his mobile operator to turn over the records that it had about his records; he chose to publish them as an educational resource so that other people could understand how mobile operators can monitor users this way. (You can visit here to see what the operator knew about him.) The possibility of government access to this sort of data is not theoretical: it is already being widely used by law enforcement agencies in countries like the United States.
Another related kind of government request is called a tower dump; in this case, a government asks a mobile operator for a list of all of the mobile devices that were present in a certain area at a certain time. This could be used to investigate a crime, or to find out who was present at a particular protest. (Reportedly, the Ukrainian government used a tower dump for this purpose in 2014, to make a list of all of the people whose mobile phones were present at an anti-government protest.)
Carriers also exchange data with one another about the location from which a device is currently connecting. This data is frequently somewhat less precise than tracking data that aggregates multiple towers' observations, but it can still be used as the basis for services that track an individual device—including commercial services that query these records to find where an individual phone is currently connecting to the mobile network, and make the results available to governmental or private customers. (The Washington Post reported on how readily available this tracking information has become.) Unlike the previous tracking methods, this tracking does not involve forcing carriers to turn over user data; instead, this technique uses location data that has been made available on a commercial basis.
A government or another technically sophisticated organization can also collect location data directly, such as with a cell site simulator (a portable fake cell phone tower that pretends to be a real one, in order to “catch” particular users' mobile phones and detect their physical presence and/or spy on their communications, also sometimes called an IMSI Catcher or Stingray). IMSI refers to the International Mobile Subscriber Identity number that identifies a particular subscriber's SIM card, though an IMSI catcher may target a device using other properties of the device as well.
The IMSI catcher needs to be taken to a particular location in order to find or monitor devices at that location. Currently there is no reliable defense against all IMSI catchers. (Some apps claim to detect their presence, but this detection is imperfect.) On devices that permit it, it could be helpful to disable 2G support (so that the device can connect only to 3G and 4G networks) and to disable roaming if you don't expect to be traveling outside of your home carrier's service area. These measures can protect against certain kinds of IMSI catchers.
Modern smartphones have other radio transmitters in addition to the mobile network interface. They usually also have Wi-Fi and Bluetooth support. These signals are transmitted with less power than a mobile signal and can normally be received only within a short range (such as within the same room or the same building), although sometimes using a sophisticated antenna allows these signals to be detected from unexpectedly long distances; in a 2007 demonstration, an expert in Venezuela received a Wi-Fi signal at a distance of 382 km or 237 mi, under rural conditions with little radio interference. Both of these kinds of wireless signals include a unique serial number for the device, called a MAC address, which can be seen by anybody who can receive the signal. The device manufacturer chooses this address at the time the device is created and it cannot be changed using the software that comes with current smartphones.
Unfortunately, the MAC address can be observed in wireless signals even if a device is not actively connected to a particular wireless network, or even if it is not actively transmitting data. Whenever Wi-Fi is turned on on a typical smartphone, the smartphone will transmit occasional signals that include the MAC address and thus let others nearby recognize that that particular device is present. This has been used for commercial tracking applications, for example to let shopkeepers determine statistics about how often particular customers visit and how long they spend in the shop. As of 2014, smartphone manufacturers have started to recognize that this kind of tracking is problematic, but it may not be fixed in every device for years—if ever.
2. Mobile Signal Tracking — Cell Site SimulatorA government or another technically sophisticated organization can also collect location data directly, such as with a cell site simulator (a portable fake cell phone tower that pretends to be a real one, in order to “catch” particular users' mobile phones and detect their physical presence and/or spy on their communications, also sometimes called an IMSI Catcher or Stingray). IMSI refers to the International Mobile Subscriber Identity number that identifies a particular subscriber's SIM card, though an IMSI catcher may target a device using other properties of the device as well.
The IMSI catcher needs to be taken to a particular location in order to find or monitor devices at that location. Currently there is no reliable defense against all IMSI catchers. (Some apps claim to detect their presence, but this detection is imperfect.) On devices that permit it, it could be helpful to disable 2G support (so that the device can connect only to 3G and 4G networks) and to disable roaming if you don't expect to be traveling outside of your home carrier's service area. These measures can protect against certain kinds of IMSI catchers.
3. Wi-Fi and Bluetooth TrackingModern smartphones have other radio transmitters in addition to the mobile network interface. They usually also have Wi-Fi and Bluetooth support. These signals are transmitted with less power than a mobile signal and can normally be received only within a short range (such as within the same room or the same building), although sometimes using a sophisticated antenna allows these signals to be detected from unexpectedly long distances; in a 2007 demonstration, an expert in Venezuela received a Wi-Fi signal at a distance of 382 km or 237 mi, under rural conditions with little radio interference. Both of these kinds of wireless signals include a unique serial number for the device, called a MAC address, which can be seen by anybody who can receive the signal. The device manufacturer chooses this address at the time the device is created and it cannot be changed using the software that comes with current smartphones.
Unfortunately, the MAC address can be observed in wireless signals even if a device is not actively connected to a particular wireless network, or even if it is not actively transmitting data. Whenever Wi-Fi is turned on on a typical smartphone, the smartphone will transmit occasional signals that include the MAC address and thus let others nearby recognize that that particular device is present. This has been used for commercial tracking applications, for example to let shopkeepers determine statistics about how often particular customers visit and how long they spend in the shop. As of 2014, smartphone manufacturers have started to recognize that this kind of tracking is problematic, but it may not be fixed in every device for years—if ever.
In comparison to GSM monitoring, these forms of tracking are not necessarily as useful for government surveillance. This is because they work best at short distances and require prior knowledge or observation to determine what MAC address is built into a particular person's device. However, these forms of tracking can be a highly accurate way to tell when a person enters and leaves a building. Turning off Wi-Fi and Bluetooth on a smartphone can prevent this type of tracking, although this can be inconvenient for users who want to use these technologies frequently.
Wi-Fi network operators can also see the MAC address of every device that joins their network, which means that they can recognize particular devices over time, and tell whether you are the same person who joined the network in the past (even if you don't type your name or e-mail address anywhere or sign in to any services).
On a few devices, it is physically possible to change the MAC address so that other people can't recognize your Wi-Fi device as easily over time; on these devices, with the right software and configuration, it would be possible to choose a new and different MAC address every day, for example. On smartphones, this commonly requires special software such as a MAC address-changing app. Currently, this option is not available for the majority of smartphone models.
Modern smartphones provide ways for the phone to determine its own location, often using GPS and sometimes using other services provided by location companies (which usually ask the company to guess the phone's location based on a list of cell phone towers and/or Wi-Fi networks that the phone can see from where it is). Apps can ask the phone for this location information and use it to provide services that are based on location, such as maps that show you your position on the map.
Some of these apps will then transmit your location over the network to a service provider, which, in turn, provides a way for other people to track you. (The app developers might not have been motivated by the desire to track users, but they might still end up with the ability to do that, and they might end up revealing location information about their users to governments or hackers.) Some smartphones will give you some kind of control over whether apps can find out your physical location; a good privacy practice is to try to restrict which apps can see this information, and at a minimum to make sure that your location is only shared with apps that you trust and that have a good reason to know where you are.
In each case, location tracking is not only about finding where someone is right now, like in an exciting movie chase scene where agents are pursuing someone through the streets. It can also be about answering questions about people's historical activities and also about their beliefs, participation in events, and personal relationships. For example, location tracking could be used to try to find out whether certain people are in a romantic relationship, to find out who attended a particular meeting or who was at a particular protest, or to try and identify a journalist's confidential source.
The Washington Post reported in December 2013 on NSA location-tracking tools that collect massive amounts of information “on the whereabouts of cellphones around the world,” mainly by tapping phone companies' infrastructure to observe which towers particular phones connect to when. A tool called CO-TRAVELER uses this data to find relationships between different people's movements (to figure out which people's devices seem to be traveling together, as well as whether one person appears to be following another).
💡Turning Phones off
There's a widespread concern that phones can be used to monitor people even when not actively being used to make a call. As a result, people having a sensitive conversation are sometimes told to turn their phones off entirely, or even to remove the batteries from their phones.
Wi-Fi network operators can also see the MAC address of every device that joins their network, which means that they can recognize particular devices over time, and tell whether you are the same person who joined the network in the past (even if you don't type your name or e-mail address anywhere or sign in to any services).
On a few devices, it is physically possible to change the MAC address so that other people can't recognize your Wi-Fi device as easily over time; on these devices, with the right software and configuration, it would be possible to choose a new and different MAC address every day, for example. On smartphones, this commonly requires special software such as a MAC address-changing app. Currently, this option is not available for the majority of smartphone models.
4. Location Information Leaks From Apps and Web BrowsingModern smartphones provide ways for the phone to determine its own location, often using GPS and sometimes using other services provided by location companies (which usually ask the company to guess the phone's location based on a list of cell phone towers and/or Wi-Fi networks that the phone can see from where it is). Apps can ask the phone for this location information and use it to provide services that are based on location, such as maps that show you your position on the map.
Some of these apps will then transmit your location over the network to a service provider, which, in turn, provides a way for other people to track you. (The app developers might not have been motivated by the desire to track users, but they might still end up with the ability to do that, and they might end up revealing location information about their users to governments or hackers.) Some smartphones will give you some kind of control over whether apps can find out your physical location; a good privacy practice is to try to restrict which apps can see this information, and at a minimum to make sure that your location is only shared with apps that you trust and that have a good reason to know where you are.
In each case, location tracking is not only about finding where someone is right now, like in an exciting movie chase scene where agents are pursuing someone through the streets. It can also be about answering questions about people's historical activities and also about their beliefs, participation in events, and personal relationships. For example, location tracking could be used to try to find out whether certain people are in a romantic relationship, to find out who attended a particular meeting or who was at a particular protest, or to try and identify a journalist's confidential source.
The Washington Post reported in December 2013 on NSA location-tracking tools that collect massive amounts of information “on the whereabouts of cellphones around the world,” mainly by tapping phone companies' infrastructure to observe which towers particular phones connect to when. A tool called CO-TRAVELER uses this data to find relationships between different people's movements (to figure out which people's devices seem to be traveling together, as well as whether one person appears to be following another).
💡Turning Phones off
There's a widespread concern that phones can be used to monitor people even when not actively being used to make a call. As a result, people having a sensitive conversation are sometimes told to turn their phones off entirely, or even to remove the batteries from their phones.
The recommendation to remove the battery seems to be focused mainly on the existence of malware that makes the phone appear to turn off upon request (finally showing only a blank screen), while really remaining powered on and able to monitor conversations or invisibly place or receive a call. Thus, users could be tricked into thinking they had successfully turned off their phones when they actually hadn't. Such malware does exist, at least for some devices, though we have little information about how well it works or how widely it has been used.
Turning phones off has its own potential disadvantage: if many people at one location all do it at the same time, it's a sign to the mobile carriers that they all thought something merited turning their phones off. (That “something” might be the start of a film in a movie theater, or the departure of a plane at an airport, but it might also be a sensitive meeting or conversation.) An alternative that might give less information away is to leave everybody's phone in another room where the phones' microphones wouldn't be able to overhear the conversations.
💡Burner Phones
Phones that are used temporarily and then discarded are often referred to as burner phones or burners. People who are trying to avoid government surveillance sometimes try to change phones (and phone numbers) frequently to make it more difficult to recognize their communications. They will need to use prepaid phones (not associated with a personal credit card or bank account) and ensure that the phones and SIM cards were not registered with their identity; in some countries these steps are straightforward, while in others there may be legal or practical obstacles to obtaining anonymous mobile phone service.
👉 There are a number of limitations to this technique.
‼️First, merely swapping SIM cards or moving a SIM card from one device to another offers minimal protection, because the mobile network observes both the SIM card and device together. In other words, the network operator knows the history of which SIM cards have been used in which devices, and can track either individually or both together. Second, governments have been developing mobile location analysis techniques where location tracking can be used to generate leads or hypotheses about whether multiple devices actually belong to the same person. There are many ways this can be done. For example, an analyst could check whether two devices tended to move together, or whether, even if they were in use at different times, they tended to be carried in the same physical locations.
A further problem for the successful anonymous use of telephone services is that people's calling patterns tend to be extremely distinctive. For example, you might habitually call your family members and your work colleagues. Even though each of these people receive calls from a wide range of people, you're likely the only person in the world who commonly calls both of them from the same number. So even if you suddenly changed your number, if you then resumed the same patterns in the calls you made or received, it would be straightforward to determine which new number was yours. Remember that this inference isn't made based only on the fact that you called one particular number, but rather on the uniqueness of the combination of all the numbers that you called. (Indeed, The Intercept reported that a secret U.S. government system called PROTON does exactly this, using phone records to recognize people who placed phone calls in a “similar manner to a specific target” from new phone numbers.) An additional example can be found in the Hemisphere FOIA document. The document describes the Hemisphere database (a massive database of historical call records) and how the people who run it have a feature that can link burner phones by following the similarity of their call patterns.
Turning phones off has its own potential disadvantage: if many people at one location all do it at the same time, it's a sign to the mobile carriers that they all thought something merited turning their phones off. (That “something” might be the start of a film in a movie theater, or the departure of a plane at an airport, but it might also be a sensitive meeting or conversation.) An alternative that might give less information away is to leave everybody's phone in another room where the phones' microphones wouldn't be able to overhear the conversations.
💡Burner Phones
Phones that are used temporarily and then discarded are often referred to as burner phones or burners. People who are trying to avoid government surveillance sometimes try to change phones (and phone numbers) frequently to make it more difficult to recognize their communications. They will need to use prepaid phones (not associated with a personal credit card or bank account) and ensure that the phones and SIM cards were not registered with their identity; in some countries these steps are straightforward, while in others there may be legal or practical obstacles to obtaining anonymous mobile phone service.
👉 There are a number of limitations to this technique.
‼️First, merely swapping SIM cards or moving a SIM card from one device to another offers minimal protection, because the mobile network observes both the SIM card and device together. In other words, the network operator knows the history of which SIM cards have been used in which devices, and can track either individually or both together. Second, governments have been developing mobile location analysis techniques where location tracking can be used to generate leads or hypotheses about whether multiple devices actually belong to the same person. There are many ways this can be done. For example, an analyst could check whether two devices tended to move together, or whether, even if they were in use at different times, they tended to be carried in the same physical locations.
A further problem for the successful anonymous use of telephone services is that people's calling patterns tend to be extremely distinctive. For example, you might habitually call your family members and your work colleagues. Even though each of these people receive calls from a wide range of people, you're likely the only person in the world who commonly calls both of them from the same number. So even if you suddenly changed your number, if you then resumed the same patterns in the calls you made or received, it would be straightforward to determine which new number was yours. Remember that this inference isn't made based only on the fact that you called one particular number, but rather on the uniqueness of the combination of all the numbers that you called. (Indeed, The Intercept reported that a secret U.S. government system called PROTON does exactly this, using phone records to recognize people who placed phone calls in a “similar manner to a specific target” from new phone numbers.) An additional example can be found in the Hemisphere FOIA document. The document describes the Hemisphere database (a massive database of historical call records) and how the people who run it have a feature that can link burner phones by following the similarity of their call patterns.
The document refers to burner phones as "dropped phones" because their user will "drop" one and start using another one—but the database analytics algorithms can draw the connection between one phone and another when this happens, so long as both were used to make or receive calls to similar sets of phone numbers.
Together, these facts mean that effective use of burner phones to hide from government surveillance requires, at a minimum: not reusing either SIM cards or devices; not carrying different devices together; not creating a physical association between the places where different devices are used; and not calling or being called by the same people when using different devices. (This isn't necessarily a complete list; for example, we haven't considered the risk of physical surveillance of the place where the phone was sold, or the places where it's used, or the possibility of software to recognize a particular person's voice as an automated method for determining who is speaking through a particular phone.)
💡A Note About GPS
The Global Positioning System (GPS) lets devices anywhere in the world figure out their own locations quickly and accurately. GPS works based on analyzing signals from satellites that are operated by the U.S. government as a public service for everyone. It's a common misconception that these satellites somehow watch GPS users or know where the GPS users are. In fact, the GPS satellites only transmit signals; the satellites don't receive or observe anything from your phone, and the satellites and GPS system operators do not know where any particular user or device is located, or even how many people are using the system.
This is possible because the individual GPS receivers (like those inside smartphones) calculate their own positions by determining how long it took the radio signals from different satellites to arrive.
So, why do we speak of “GPS tracking”? Usually, this tracking is done by apps running on a smartphone. They ask the phone's operating system for its location (determined via GPS). Then the apps are able to transmit this information to someone else over the Internet. There are also tiny GPS-receiving devices that can be surreptitiously hidden in someone's possessions or attached to a vehicle; those receivers determine their own location and then actively retransmit it over a network, usually the mobile phone network.
💡Spying on Mobile Communications
Mobile phone networks were not originally designed to use technical means to protect subscribers' calls against eavesdropping. That meant that anybody with the right kind of radio receiver could listen in on the calls.
The situation is somewhat better today, but sometimes only slightly. Encryption technologies have been added to mobile communications standards to try to prevent eavesdropping. But many of these technologies have been poorly designed (sometimes deliberately, due to government pressure not to use strong encryption!). They have been unevenly deployed, so they might be available on one carrier but not another, or in one country but not another, and have sometimes been implemented incorrectly. For example, in some countries carriers do not enable encryption at all, or they use obsolete technical standards. This means it is often still possible for someone with the right kind of radio receiver to intercept calls and text messages as they're transmitted over the air.
💡Infecting Phones with Malware
Phones can get viruses and other kinds of malware (malicious software), either because the user was tricked into installing malicious software, or because someone was able to hack into the device using a security flaw in the existing device software. As with other kinds of computing device, the malicious software can then spy on the device's user.
Together, these facts mean that effective use of burner phones to hide from government surveillance requires, at a minimum: not reusing either SIM cards or devices; not carrying different devices together; not creating a physical association between the places where different devices are used; and not calling or being called by the same people when using different devices. (This isn't necessarily a complete list; for example, we haven't considered the risk of physical surveillance of the place where the phone was sold, or the places where it's used, or the possibility of software to recognize a particular person's voice as an automated method for determining who is speaking through a particular phone.)
💡A Note About GPS
The Global Positioning System (GPS) lets devices anywhere in the world figure out their own locations quickly and accurately. GPS works based on analyzing signals from satellites that are operated by the U.S. government as a public service for everyone. It's a common misconception that these satellites somehow watch GPS users or know where the GPS users are. In fact, the GPS satellites only transmit signals; the satellites don't receive or observe anything from your phone, and the satellites and GPS system operators do not know where any particular user or device is located, or even how many people are using the system.
This is possible because the individual GPS receivers (like those inside smartphones) calculate their own positions by determining how long it took the radio signals from different satellites to arrive.
So, why do we speak of “GPS tracking”? Usually, this tracking is done by apps running on a smartphone. They ask the phone's operating system for its location (determined via GPS). Then the apps are able to transmit this information to someone else over the Internet. There are also tiny GPS-receiving devices that can be surreptitiously hidden in someone's possessions or attached to a vehicle; those receivers determine their own location and then actively retransmit it over a network, usually the mobile phone network.
💡Spying on Mobile Communications
Mobile phone networks were not originally designed to use technical means to protect subscribers' calls against eavesdropping. That meant that anybody with the right kind of radio receiver could listen in on the calls.
The situation is somewhat better today, but sometimes only slightly. Encryption technologies have been added to mobile communications standards to try to prevent eavesdropping. But many of these technologies have been poorly designed (sometimes deliberately, due to government pressure not to use strong encryption!). They have been unevenly deployed, so they might be available on one carrier but not another, or in one country but not another, and have sometimes been implemented incorrectly. For example, in some countries carriers do not enable encryption at all, or they use obsolete technical standards. This means it is often still possible for someone with the right kind of radio receiver to intercept calls and text messages as they're transmitted over the air.
💡Infecting Phones with Malware
Phones can get viruses and other kinds of malware (malicious software), either because the user was tricked into installing malicious software, or because someone was able to hack into the device using a security flaw in the existing device software. As with other kinds of computing device, the malicious software can then spy on the device's user.
For example, malicious software on a mobile phone could read private data on the device (like stored text messages or photos). It could also activate the device's sensors (such as microphone, camera, GPS) to find where the phone is or to monitor the environment, even turning the phone into a bug.
This technique has been used by some governments to spy on people through their own phones, and has created anxiety about having sensitive conversations when mobile phones are present in the room. Some people respond to this possibility by moving mobile phones into another room when having a sensitive conversation, or by powering them off. (Governments themselves often forbid people, even government employees, from bringing personal cell phones into certain sensitive facilities—mainly based on the concern that the phones could be infected with software to make them record conversations.)
A further concern is that malicious software could theoretically make a phone pretend to power off, while secretly remaining turned on (and showing a black screen, so that the user wrongly believes that the phone is turned off). This concern has led to some people physically removing the batteries from their devices when having very sensitive conversations.
As we discussed above, precautions based on powering off phones could be noticed by a mobile operator; for example, if ten people all travel to the same building and then all switch off their phones at the same time, the mobile operator, or somebody examining its records, might conclude that those people were all at the same meeting and that the participants regarded it as sensitive. This would be harder to detect if the participants had instead left their phones at home or at the office.
💡Forensic Analysis of Seized Phones
There is a well-developed specialty of forensic analysis of mobile devices. An expert analyst will connect a seized device to a special machine, which reads out data stored inside the device, including records of previous activity, phone calls, and text messages. The forensic analysis may be able to recover records that the user couldn't normally see or access, such as deleted text messages, which can be undeleted. Forensic analysis can sometimes bypass screen locking, especially on older phones.
There are many smartphone apps and software features that try to inhibit or prevent forensic analysis of certain data and records, or to encrypt data to make it unreadable to an analyst. In addition, there is remote wipe software, which allows the phone owner or someone designated by the owner to tell the phone to erase certain data on request.
This software can be useful to protect against data being obtained if your phone is taken by criminals. However, please note that intentional destruction of evidence or obstruction of an investigation can be charged as a separate crime, often with very serious consequences. In some cases, this can be easier for the government to prove and allow for more substantial punishments than the alleged crime originally being investigated.
💡Computer Analysis of Patterns of Phone use
Governments have also become interested in analyzing data about many users' phones by computer in order to find certain patterns automatically. These patterns could allow a government analyst to find cases in which people used their phones in an unusual way, such as taking particular privacy precautions.
A few examples of things that a government might try to figure out from data analysis: automatically figuring out whether people know each other; detecting when one person uses multiple phones, or switches phones; detecting when groups of people are traveling together or regularly meeting one another; detecting when groups of people use their phones in unusual or suspicious ways; identifying the confidential sources of a journalist.
#surveillance #selfprotection #mobilephones #selfdefense
This technique has been used by some governments to spy on people through their own phones, and has created anxiety about having sensitive conversations when mobile phones are present in the room. Some people respond to this possibility by moving mobile phones into another room when having a sensitive conversation, or by powering them off. (Governments themselves often forbid people, even government employees, from bringing personal cell phones into certain sensitive facilities—mainly based on the concern that the phones could be infected with software to make them record conversations.)
A further concern is that malicious software could theoretically make a phone pretend to power off, while secretly remaining turned on (and showing a black screen, so that the user wrongly believes that the phone is turned off). This concern has led to some people physically removing the batteries from their devices when having very sensitive conversations.
As we discussed above, precautions based on powering off phones could be noticed by a mobile operator; for example, if ten people all travel to the same building and then all switch off their phones at the same time, the mobile operator, or somebody examining its records, might conclude that those people were all at the same meeting and that the participants regarded it as sensitive. This would be harder to detect if the participants had instead left their phones at home or at the office.
💡Forensic Analysis of Seized Phones
There is a well-developed specialty of forensic analysis of mobile devices. An expert analyst will connect a seized device to a special machine, which reads out data stored inside the device, including records of previous activity, phone calls, and text messages. The forensic analysis may be able to recover records that the user couldn't normally see or access, such as deleted text messages, which can be undeleted. Forensic analysis can sometimes bypass screen locking, especially on older phones.
There are many smartphone apps and software features that try to inhibit or prevent forensic analysis of certain data and records, or to encrypt data to make it unreadable to an analyst. In addition, there is remote wipe software, which allows the phone owner or someone designated by the owner to tell the phone to erase certain data on request.
This software can be useful to protect against data being obtained if your phone is taken by criminals. However, please note that intentional destruction of evidence or obstruction of an investigation can be charged as a separate crime, often with very serious consequences. In some cases, this can be easier for the government to prove and allow for more substantial punishments than the alleged crime originally being investigated.
💡Computer Analysis of Patterns of Phone use
Governments have also become interested in analyzing data about many users' phones by computer in order to find certain patterns automatically. These patterns could allow a government analyst to find cases in which people used their phones in an unusual way, such as taking particular privacy precautions.
A few examples of things that a government might try to figure out from data analysis: automatically figuring out whether people know each other; detecting when one person uses multiple phones, or switches phones; detecting when groups of people are traveling together or regularly meeting one another; detecting when groups of people use their phones in unusual or suspicious ways; identifying the confidential sources of a journalist.
Source and more info at: https://ssd.eff.org/en/module/problem-mobile-phones#surveillance #selfprotection #mobilephones #selfdefense
🇬🇧 Emotet — Possible protective measures
Behind Emotet are cyber criminals who have adapted and automated the methods of highly professional APT attacks. Through Outlook harvesting, Emotet is able to send authentic looking spam mails. For this purpose, the malware reads contact relationships and, for several weeks now, e-mail content from the mailboxes of already infected systems. It uses this information automatically for further distribution, so that the recipients receive fake e-mails from senders with whom they have only recently been in contact.
Emotet also has the ability to reload additional malware once it has infected a computer. These malware programs allow attackers to read out access data and gain full remote access to the system. Most recently, the banking Trojan "Trickbot" in particular was reloaded, which can spread independently in a network by reading out access data (Mimikatz) and SMB vulnerabilities (Eternal Blue/Romance), among other things. Depending on the network configuration, complete corporate networks may fail. Due to constant modifications, the malicious programs are usually not initially detected by common virus protection programs and make far-reaching changes to infected systems. Cleaning attempts are usually unsuccessful and carry the risk that parts of the malware will remain on the system.
💡How can organizations protect themselves from Emotet?
Even if there can be no 100% security, there are still various protection measures that can be implemented on both an organizational and technical level and significantly reduce the risk of infection. These include, in particular, protective measures for secure e-mail use.
👉The following measures MUST be implemented within the IT infrastructure:
✅Regular information and raising users' awareness of the dangers posed by e-mail attachments or links - including the information that, even in the case of supposedly known senders (see also fake sender addresses), file attachments or links or files downloaded via these should only be opened after consultation with the sender (in particular also no Office documents). Users should immediately report any anomalies to IT Operations and the IT Security Officer.
✅Immediate installation of security updates provided by the manufacturers for operating systems and application programs (especially web browsers, browser plug-ins, e-mail clients, office applications, PDF document viewers) - ideally automated via a central software distribution.
✅Use of centrally administered AV software. Regular check whether updates of AV signatures are successfully rolled out on all clients.
✅Regular execution of multi-level data backups, especially offline backups. A backup always includes the planning of the restart and a test of the return of data.
✅Regular manual monitoring of log data, ideally supplemented by automated monitoring with alerting in the event of serious anomalies.
✅Network segmentation (separation of client/server/domain controller networks and production networks, each with isolated administration) according to different trust zones, application areas and/or regions.
✅Errors by internal users represent the greatest danger. All user accounts may therefore only have the minimum authorizations necessary to perform their tasks.
👉In addition, the following measures should be implemented to prevent infection with malware and its spread within the internal network:
‼️The fewer programs available to open unknown files, the fewer vulnerabilities and misconfigurations can be exploited by an attacker. Therefore, unneeded software should generally be uninstalled. In web browsers, the execution of active content in particular should be at least restricted (e.g. click-to-play or restrictions on intranet pages) and browser plug-ins that are not absolutely necessary (e.g. Flash, Java, Silverlight) should be removed.
Behind Emotet are cyber criminals who have adapted and automated the methods of highly professional APT attacks. Through Outlook harvesting, Emotet is able to send authentic looking spam mails. For this purpose, the malware reads contact relationships and, for several weeks now, e-mail content from the mailboxes of already infected systems. It uses this information automatically for further distribution, so that the recipients receive fake e-mails from senders with whom they have only recently been in contact.
Emotet also has the ability to reload additional malware once it has infected a computer. These malware programs allow attackers to read out access data and gain full remote access to the system. Most recently, the banking Trojan "Trickbot" in particular was reloaded, which can spread independently in a network by reading out access data (Mimikatz) and SMB vulnerabilities (Eternal Blue/Romance), among other things. Depending on the network configuration, complete corporate networks may fail. Due to constant modifications, the malicious programs are usually not initially detected by common virus protection programs and make far-reaching changes to infected systems. Cleaning attempts are usually unsuccessful and carry the risk that parts of the malware will remain on the system.
💡How can organizations protect themselves from Emotet?
Even if there can be no 100% security, there are still various protection measures that can be implemented on both an organizational and technical level and significantly reduce the risk of infection. These include, in particular, protective measures for secure e-mail use.
👉The following measures MUST be implemented within the IT infrastructure:
✅Regular information and raising users' awareness of the dangers posed by e-mail attachments or links - including the information that, even in the case of supposedly known senders (see also fake sender addresses), file attachments or links or files downloaded via these should only be opened after consultation with the sender (in particular also no Office documents). Users should immediately report any anomalies to IT Operations and the IT Security Officer.
✅Immediate installation of security updates provided by the manufacturers for operating systems and application programs (especially web browsers, browser plug-ins, e-mail clients, office applications, PDF document viewers) - ideally automated via a central software distribution.
✅Use of centrally administered AV software. Regular check whether updates of AV signatures are successfully rolled out on all clients.
✅Regular execution of multi-level data backups, especially offline backups. A backup always includes the planning of the restart and a test of the return of data.
✅Regular manual monitoring of log data, ideally supplemented by automated monitoring with alerting in the event of serious anomalies.
✅Network segmentation (separation of client/server/domain controller networks and production networks, each with isolated administration) according to different trust zones, application areas and/or regions.
✅Errors by internal users represent the greatest danger. All user accounts may therefore only have the minimum authorizations necessary to perform their tasks.
👉In addition, the following measures should be implemented to prevent infection with malware and its spread within the internal network:
‼️The fewer programs available to open unknown files, the fewer vulnerabilities and misconfigurations can be exploited by an attacker. Therefore, unneeded software should generally be uninstalled. In web browsers, the execution of active content in particular should be at least restricted (e.g. click-to-play or restrictions on intranet pages) and browser plug-ins that are not absolutely necessary (e.g. Flash, Java, Silverlight) should be removed.
‼️Deactivation of macros and OLE objects in Microsoft Office, use of signed macros: The general execution of macros should be deactivated (centrally via group policy). Macros used within the organization should be digitally signed. Only macros with specified digital signatures from configured trusted locations should be allowed.
‼️Restrict or deactivate the Windows Script Host (WSH).
‼️Application whitelisting can be used, e.g. with Microsoft AppLocker.
‼️Avoid static local administrator passwords, e.g. using Microsoft Local Administrator Password Solution (LAPS).
‼️Deactivation of administrative approvals (Admin$, IPC$)
‼️Use two-factor authorization to log on to systems. This prevents the automated spread of malware in the network by means of spied access data.
‼️File extensions should be displayed by default. This makes it easier for users to detect duplicate file extensions such as "Invoice.pdf.exe".
‼️Use plain text instead of HTML for e-mails. Many e-mails today are sent in HTML format. So that these can be displayed correctly in the e-mail client, this client uses the same display mechanisms as a web browser. However, email clients often contain vulnerabilities that are mitigated in web browsers by additional security measures. This surrounding protection is usually less pronounced with e-mail programs. The greatest protection is therefore provided by displaying e-mails as text (often referred to as "plain text"). A further security advantage of this representation is that URLs that are obfuscated can easily be recognized in the text representation (in an HTML e-mail, for example, a URL displayed as "www.bsi.de" could actually refer to "www.schadsoftwaredownload.de"). At a minimum, the execution of active content should be suppressed when HTML mails are used.
‼️Attackers often falsify the sender information in e-mails in order to fake a known (trustworthy) internal or external sender for the recipient. Often, the fake sender including e-mail address is entered in the so-called display name (real name), while the actual sender address of the e-mail contains a compromised account misused to send the e-mail. E-mail clients should therefore be configured so that they display not only the display name but also the complete e-mail address of the sender. Potential attack attempts should be marked accordingly in the e-mail client or not delivered at all.
‼️E-mail servers should reject externally delivered e-mails with sender addresses of their own organisation (whether in the envelope header, from header or display name), move them to quarantine or at least clearly mark them in the subject.
‼️E-mails with executable files (.exe, .scr, .chm, .bat, .com, .msi, .jar, .cmd, .hta, .pif, .scf, etc.) attached - also in archives like .zip - should be blocked or quarantined. If a general filtering for some file types or recipients is not possible due to mandatory workflows, the corresponding e-mails should be clearly marked in the subject.
‼️Encrypt emails using PGP or S/MIME to prevent spying on potentially confidential email content. The consistent use of digital signatures also helps to validate known email senders. To do this, the information required for verification must be easily accessible on the website under Contacts.
‼️Direct connections between clients in a network should be blocked by a firewall (especially SMB connections, PowerShell, PsExec and RDP).
💡What should I do if my organization already has IT systems infected?
🚨Potentially infected systems should be immediately isolated from the network to prevent further spread of malware in the network through lateral movement. Pull out the network cable (LAN). Do not shut down or switch off the device, in particular do not pull the mains cable (power). If necessary, create a forensic backup including a memory image for later analyses (by service providers or law enforcement authorities).
🚨Under no circumstances should privileged user accounts be logged on to a potentially infected system while it is still in the production network.
‼️Restrict or deactivate the Windows Script Host (WSH).
‼️Application whitelisting can be used, e.g. with Microsoft AppLocker.
‼️Avoid static local administrator passwords, e.g. using Microsoft Local Administrator Password Solution (LAPS).
‼️Deactivation of administrative approvals (Admin$, IPC$)
‼️Use two-factor authorization to log on to systems. This prevents the automated spread of malware in the network by means of spied access data.
‼️File extensions should be displayed by default. This makes it easier for users to detect duplicate file extensions such as "Invoice.pdf.exe".
‼️Use plain text instead of HTML for e-mails. Many e-mails today are sent in HTML format. So that these can be displayed correctly in the e-mail client, this client uses the same display mechanisms as a web browser. However, email clients often contain vulnerabilities that are mitigated in web browsers by additional security measures. This surrounding protection is usually less pronounced with e-mail programs. The greatest protection is therefore provided by displaying e-mails as text (often referred to as "plain text"). A further security advantage of this representation is that URLs that are obfuscated can easily be recognized in the text representation (in an HTML e-mail, for example, a URL displayed as "www.bsi.de" could actually refer to "www.schadsoftwaredownload.de"). At a minimum, the execution of active content should be suppressed when HTML mails are used.
‼️Attackers often falsify the sender information in e-mails in order to fake a known (trustworthy) internal or external sender for the recipient. Often, the fake sender including e-mail address is entered in the so-called display name (real name), while the actual sender address of the e-mail contains a compromised account misused to send the e-mail. E-mail clients should therefore be configured so that they display not only the display name but also the complete e-mail address of the sender. Potential attack attempts should be marked accordingly in the e-mail client or not delivered at all.
‼️E-mail servers should reject externally delivered e-mails with sender addresses of their own organisation (whether in the envelope header, from header or display name), move them to quarantine or at least clearly mark them in the subject.
‼️E-mails with executable files (.exe, .scr, .chm, .bat, .com, .msi, .jar, .cmd, .hta, .pif, .scf, etc.) attached - also in archives like .zip - should be blocked or quarantined. If a general filtering for some file types or recipients is not possible due to mandatory workflows, the corresponding e-mails should be clearly marked in the subject.
‼️Encrypt emails using PGP or S/MIME to prevent spying on potentially confidential email content. The consistent use of digital signatures also helps to validate known email senders. To do this, the information required for verification must be easily accessible on the website under Contacts.
‼️Direct connections between clients in a network should be blocked by a firewall (especially SMB connections, PowerShell, PsExec and RDP).
💡What should I do if my organization already has IT systems infected?
🚨Potentially infected systems should be immediately isolated from the network to prevent further spread of malware in the network through lateral movement. Pull out the network cable (LAN). Do not shut down or switch off the device, in particular do not pull the mains cable (power). If necessary, create a forensic backup including a memory image for later analyses (by service providers or law enforcement authorities).
🚨Under no circumstances should privileged user accounts be logged on to a potentially infected system while it is still in the production network.
🚨The reloaded malware is often (in the first hours after distribution) not detected by AV software. Some of the malware makes far-reaching (security-relevant) changes to the infected system that cannot simply be reversed. It is therefore generally recommended to consider infected systems to be completely compromised and to set them up again.
🚨All access data stored on affected systems (e.g. in the web browser) or entered after the infection should be regarded as compromised and the passwords changed.
🚨Crisis communication should not take place via compromised internal e-mail, but via external addresses (if possible encrypted, e.g. using PGP). Otherwise, attackers can directly recognize that they have been detected.
🚨You must file a criminal complaint.
🚨Employee communication must be considered. On the one hand to inform about the reasons for the "standstill" and about a possible private involvement of employees, if the private use of the workstation is permitted and passwords and account data etc. were used there (and probably expired) - on the other hand to sensitize for the new start including the necessary information.
💡Proactive information of business partners/customers and the relevant authorities about the incident with reference to possible future attack attempts by e-mail with sender addresses of the organization concerned. Sharing is caring!
#emotet #protectivemeasures #infos
🚨All access data stored on affected systems (e.g. in the web browser) or entered after the infection should be regarded as compromised and the passwords changed.
🚨Crisis communication should not take place via compromised internal e-mail, but via external addresses (if possible encrypted, e.g. using PGP). Otherwise, attackers can directly recognize that they have been detected.
🚨You must file a criminal complaint.
🚨Employee communication must be considered. On the one hand to inform about the reasons for the "standstill" and about a possible private involvement of employees, if the private use of the workstation is permitted and passwords and account data etc. were used there (and probably expired) - on the other hand to sensitize for the new start including the necessary information.
💡Proactive information of business partners/customers and the relevant authorities about the incident with reference to possible future attack attempts by e-mail with sender addresses of the organization concerned. Sharing is caring!
#emotet #protectivemeasures #infos
🇩🇪Emotet - Mögliche Schutzmaßnahmen
Hinter Emotet verbergen sich Cyber-Kriminelle, die die Methoden hochprofessioneller APT-Angriffe adaptiert und automatisiert haben. Durch das sogenannte „Outlook-Harvesting“ ist Emotet in der Lage, authentisch aussehende Spam-Mails zu verschicken. Dazu liest die Schadsoftware Kontaktbeziehungen und seit einigen Wochen auch E-Mail-Inhalte aus den Postfächern bereits infizierter Systeme aus. Diese Informationen nutzt sie automatisiert zur Weiterverbreitung, so dass die Empfänger fingierte Mails von Absendern erhalten, mit denen sie erst kürzlich in Kontakt standen.
Emotet verfügt zudem über die Möglichkeit, weitere Schadsoftware nachzuladen, sobald es einen Computer infiziert hat. Diese Schadprogramme ermöglichen den Angreifern etwa das Auslesen von Zugangsdaten und vollständigen Remote-Zugriff auf das System. Zuletzt wurde insbesondere der Banking-Trojaner „Trickbot“ nachgeladen, der sich u.a. über das Auslesen von Zugangsdaten (Mimikatz) und SMB-Schwachstellen (Eternal Blue/Romance) selbstständig in einem Netzwerk ausbreiten kann. Je nach Netzwerkkonfiguration ist es dabei zu Ausfällen kompletter Unternehmensnetzwerke gekommen. Die Schadprogramme werden aufgrund ständiger Modifikationen zunächst meist nicht von gängigen Virenschutzprogrammen erkannt und nehmen tiefgreifende Änderungen an infizierten Systemen vor. Bereinigungsversuche bleiben in der Regel erfolglos und bergen die Gefahr, dass Teile der Schadsoftware auf dem System verbleiben.
💡Wie können sich Organisationen vor Emotet schützen?
Auch wenn es keine hundertprozentige Sicherheit geben kann, so existieren dennoch verschiedene Schutzmaßnahmen, die sowohl auf organisatorischer als auch auf technischer Ebene umgesetzt werden können und das Risiko einer Infektion signifikant reduzieren. Hierzu zählen insbesondere Schutzmaßnahmen zur sicheren E-Mail-Nutzung.
👉Folgende Maßnahmen MÜSSEN unbedingt innerhalb der IT-Infrastruktur umgesetzt werden:
✅Regelmäßige Information und Sensibilisierung von Mitarbeitern für die Gefahren durch E-Mail-Anhänge oder Links - einschließlich des Hinweises, auch bei vermeintlich bekannten Absendern (siehe auch gefälschte Absenderadressen) Dateianhänge oder Links bzw. über diese heruntergeladene Dateien im Zweifel nur nach Rücksprache mit dem Absender zu öffnen (insbesondere auch keine Office-Dokumente). Nutzer sollten Auffälligkeiten umgehend an den IT-Betrieb und den IT-Sicherheitsbeauftragten melden.
✅Zeitnahe Installation von den Herstellern bereitgestellter Sicherheitsupdates für Betriebssysteme und Anwendungsprogramme (insbesondere Web-Browser, Browser-Plugins, E-Mail-Clients, Office-Anwendungen, PDF-Dokumentenbetrachter) – idealerweise automatisiert über eine zentrale Softwareverteilung.
✅Einsatz zentral administrierter AV-Software. Regelmäßige Prüfung, ob Updates von AV-Signaturen erfolgreich auf allen Clients ausgerollt werden.
✅Regelmäßige Durchführung von mehrstufigen Datensicherungen (Backups), insbesondere von Offline-Backups. Zu einem Backup gehört immer auch die Planung des Wiederanlaufs und ein Test der Rückspielung von Daten.
✅Regelmäßiges manuelles Monitoring von Logdaten, idealerweise ergänzt um automatisiertes Monitoring mit Alarmierung bei schwerwiegenden Anomalien.
✅Netzwerk-Segmentierung (Trennung von Client-/Server-/Domain-Controller-Netzen sowie Produktionsnetzen mit jeweils isolierter Administration) nach unterschiedlichen Vertrauenszonen,Anwendungsbereichen und/oderRegionen.
✅Fehler interner Nutzer stellen die größte Gefahr dar. Alle Nutzerkonten dürfen daher nur über die minimal zur Aufgabenerfüllung notwendigen Berechtigungen verfügen.
Hinter Emotet verbergen sich Cyber-Kriminelle, die die Methoden hochprofessioneller APT-Angriffe adaptiert und automatisiert haben. Durch das sogenannte „Outlook-Harvesting“ ist Emotet in der Lage, authentisch aussehende Spam-Mails zu verschicken. Dazu liest die Schadsoftware Kontaktbeziehungen und seit einigen Wochen auch E-Mail-Inhalte aus den Postfächern bereits infizierter Systeme aus. Diese Informationen nutzt sie automatisiert zur Weiterverbreitung, so dass die Empfänger fingierte Mails von Absendern erhalten, mit denen sie erst kürzlich in Kontakt standen.
Emotet verfügt zudem über die Möglichkeit, weitere Schadsoftware nachzuladen, sobald es einen Computer infiziert hat. Diese Schadprogramme ermöglichen den Angreifern etwa das Auslesen von Zugangsdaten und vollständigen Remote-Zugriff auf das System. Zuletzt wurde insbesondere der Banking-Trojaner „Trickbot“ nachgeladen, der sich u.a. über das Auslesen von Zugangsdaten (Mimikatz) und SMB-Schwachstellen (Eternal Blue/Romance) selbstständig in einem Netzwerk ausbreiten kann. Je nach Netzwerkkonfiguration ist es dabei zu Ausfällen kompletter Unternehmensnetzwerke gekommen. Die Schadprogramme werden aufgrund ständiger Modifikationen zunächst meist nicht von gängigen Virenschutzprogrammen erkannt und nehmen tiefgreifende Änderungen an infizierten Systemen vor. Bereinigungsversuche bleiben in der Regel erfolglos und bergen die Gefahr, dass Teile der Schadsoftware auf dem System verbleiben.
💡Wie können sich Organisationen vor Emotet schützen?
Auch wenn es keine hundertprozentige Sicherheit geben kann, so existieren dennoch verschiedene Schutzmaßnahmen, die sowohl auf organisatorischer als auch auf technischer Ebene umgesetzt werden können und das Risiko einer Infektion signifikant reduzieren. Hierzu zählen insbesondere Schutzmaßnahmen zur sicheren E-Mail-Nutzung.
👉Folgende Maßnahmen MÜSSEN unbedingt innerhalb der IT-Infrastruktur umgesetzt werden:
✅Regelmäßige Information und Sensibilisierung von Mitarbeitern für die Gefahren durch E-Mail-Anhänge oder Links - einschließlich des Hinweises, auch bei vermeintlich bekannten Absendern (siehe auch gefälschte Absenderadressen) Dateianhänge oder Links bzw. über diese heruntergeladene Dateien im Zweifel nur nach Rücksprache mit dem Absender zu öffnen (insbesondere auch keine Office-Dokumente). Nutzer sollten Auffälligkeiten umgehend an den IT-Betrieb und den IT-Sicherheitsbeauftragten melden.
✅Zeitnahe Installation von den Herstellern bereitgestellter Sicherheitsupdates für Betriebssysteme und Anwendungsprogramme (insbesondere Web-Browser, Browser-Plugins, E-Mail-Clients, Office-Anwendungen, PDF-Dokumentenbetrachter) – idealerweise automatisiert über eine zentrale Softwareverteilung.
✅Einsatz zentral administrierter AV-Software. Regelmäßige Prüfung, ob Updates von AV-Signaturen erfolgreich auf allen Clients ausgerollt werden.
✅Regelmäßige Durchführung von mehrstufigen Datensicherungen (Backups), insbesondere von Offline-Backups. Zu einem Backup gehört immer auch die Planung des Wiederanlaufs und ein Test der Rückspielung von Daten.
✅Regelmäßiges manuelles Monitoring von Logdaten, idealerweise ergänzt um automatisiertes Monitoring mit Alarmierung bei schwerwiegenden Anomalien.
✅Netzwerk-Segmentierung (Trennung von Client-/Server-/Domain-Controller-Netzen sowie Produktionsnetzen mit jeweils isolierter Administration) nach unterschiedlichen Vertrauenszonen,Anwendungsbereichen und/oderRegionen.
✅Fehler interner Nutzer stellen die größte Gefahr dar. Alle Nutzerkonten dürfen daher nur über die minimal zur Aufgabenerfüllung notwendigen Berechtigungen verfügen.
👉Folgende Maßnahmen SOLLTEN darüber hinaus umgesetzt sein, um eine Infektion mit Schadprogrammen und deren Ausbreitung im internen Netz zu erschweren:
‼️Je weniger Programme zum Öffnen von unbekannten Dateien zur Verfügung stehen, desto weniger Schwachstellen und Fehlkonfigurationen können durch einen Angreifer ausgenutzt werden. Daher sollte nicht benötigte Software generell deinstalliert werden. In Web-Browsern sollten insbesondere die Ausführung aktiver Inhalte zumindest eingeschränkt (z. B. Click-to-Play oder Einschränken auf Intranetseiten) sowie nicht zwingend benötigte Browser-Plugins (z. B. Flash, Java, Silverlight) entfernt werden.
‼️Deaktivierung von Makros und OLE-Objekten in Microsoft Office, Verwendung von signierten Makros: Die generelle Ausführung von Makros sollte (zentral per Gruppenrichtlinie) deaktiviert werden. Innerhalb der Organisation verwendete Makros sollten digital signiert sein. Es sollten nur Makros mit festgelegten digitalen Signaturen von konfigurierten vertrauenswürdigen Orten zugelassen werden.
‼️Einschränkung bzw. Deaktivierung des Windows Script Hosts (WSH).
‼️Einsatz von Application-Whitelisting, z. B. mittels Microsoft AppLocker
‼️Vermeidung von statischen lokalen Administratorkennwörtern, z. B. mittels Microsoft Local Administrator Password Solution (LAPS).
‼️Deaktiviertung administrativer Freigaben (Admin$, IPC$)
‼️Verwendung von Zwei-Faktor-Autorisierung zur Anmeldung an Systemen. Dies verhindert die automatisierte Ausbreitung von Schadprogrammen im Netzwerk mittels ausgespähter Zugangsdaten.
‼️Dateiendungen sollten standardmäßig angezeigt werden. Dadurch können Nutzer doppelte Dateiendungen wie bei "Rechnung.pdf.exe" einfacher erkennen.
‼️Verwendung von Plain-Text statt HTML für E-Mails. Viele E-Mails werden heutzutage im HTML-Format versendet. Damit diese im E-Mail-Client korrekt dargestellt werden können, nutzt dieser Client die gleichen Mechanismen zur Darstellung wie ein Web-Browser. E-Mail-Clients enthalten jedoch häufig Schwachstellen, welche bei Web-Browsern durch zusätzliche Sicherheitsmaßnahmen eingedämmt werden. Dieser umgebende Schutz ist bei E-Mail-Programmen in der Regel weniger ausgeprägt. Die größte Schutzwirkung bietet daher die Darstellung von E-Mails als Textdarstellung (oft als "Nur-Text" bzw. "Reiner Text" bezeichnet). Ein weiterer sicherheitstechnischer Vorteil dieser Darstellung ist, dass verschleierte URLs in der Textdarstellung leicht erkannt werden können (in einer HTML-E-Mail könnte eine als "www.bsi.de" angezeigte URL z. B. tatsächlich auf "www.schadsoftwaredownload.de" verweisen). Mindestens sollte die Ausführung aktiver Inhalte bei Verwendung von HTML-Mails unterdrückt werden.
‼️Angreifer fälschen häufig die Absenderangabe in E-Mails, um dem Empfänger einen bekannten (vertrauenswürdigen) internen oder externen Absender vorzutäuschen. Oft wird dabei der gefälschte Absender inkl. Mailadresse in den so genannten Anzeigenamen (Realnamen) eingetragen, während die eigentliche Absenderadresse der E-Mail einen kompromittierten und zum Versand der E-Mail missbrauchten Account enthält. E-Mail-Clients sollten daher so konfiguriert werden, dass sie nicht nur den Anzeigenamen, sondern auch die vollständige Mailadresse des Absenders anzeigen. Potenzielle Angriffsversuche sollten im E-Mail-Client entsprechend markiert oder gar nicht erst zugestellt werden.
‼️E-Mail-Server sollten von extern eingelieferte E-Mails mit Absenderadressen der eigenen Organisation (sei es im Envelope-Header, im From-Header oder im Anzeigenamen) ablehnen, in Quarantäne verschieben oder mindestens im Betreff deutlich markieren.
‼️E-Mails mit ausführbaren Dateien (.exe, .scr, .chm, .bat, .com, .msi, .jar, .cmd, .hta, .pif, .scf, etc.) im Anhang – auch in Archiven wie .zip – sollten blockiert oder in Quarantäne verschoben werden. Sollte eine generelle Filterung für manche Dateitypen oder Empfänger aufgrund von zwingend notwendigen Arbeitsabläufen nicht möglich sein, sollten entsprechende E-Mails deutlich im Betreff markiert werden.
‼️Je weniger Programme zum Öffnen von unbekannten Dateien zur Verfügung stehen, desto weniger Schwachstellen und Fehlkonfigurationen können durch einen Angreifer ausgenutzt werden. Daher sollte nicht benötigte Software generell deinstalliert werden. In Web-Browsern sollten insbesondere die Ausführung aktiver Inhalte zumindest eingeschränkt (z. B. Click-to-Play oder Einschränken auf Intranetseiten) sowie nicht zwingend benötigte Browser-Plugins (z. B. Flash, Java, Silverlight) entfernt werden.
‼️Deaktivierung von Makros und OLE-Objekten in Microsoft Office, Verwendung von signierten Makros: Die generelle Ausführung von Makros sollte (zentral per Gruppenrichtlinie) deaktiviert werden. Innerhalb der Organisation verwendete Makros sollten digital signiert sein. Es sollten nur Makros mit festgelegten digitalen Signaturen von konfigurierten vertrauenswürdigen Orten zugelassen werden.
‼️Einschränkung bzw. Deaktivierung des Windows Script Hosts (WSH).
‼️Einsatz von Application-Whitelisting, z. B. mittels Microsoft AppLocker
‼️Vermeidung von statischen lokalen Administratorkennwörtern, z. B. mittels Microsoft Local Administrator Password Solution (LAPS).
‼️Deaktiviertung administrativer Freigaben (Admin$, IPC$)
‼️Verwendung von Zwei-Faktor-Autorisierung zur Anmeldung an Systemen. Dies verhindert die automatisierte Ausbreitung von Schadprogrammen im Netzwerk mittels ausgespähter Zugangsdaten.
‼️Dateiendungen sollten standardmäßig angezeigt werden. Dadurch können Nutzer doppelte Dateiendungen wie bei "Rechnung.pdf.exe" einfacher erkennen.
‼️Verwendung von Plain-Text statt HTML für E-Mails. Viele E-Mails werden heutzutage im HTML-Format versendet. Damit diese im E-Mail-Client korrekt dargestellt werden können, nutzt dieser Client die gleichen Mechanismen zur Darstellung wie ein Web-Browser. E-Mail-Clients enthalten jedoch häufig Schwachstellen, welche bei Web-Browsern durch zusätzliche Sicherheitsmaßnahmen eingedämmt werden. Dieser umgebende Schutz ist bei E-Mail-Programmen in der Regel weniger ausgeprägt. Die größte Schutzwirkung bietet daher die Darstellung von E-Mails als Textdarstellung (oft als "Nur-Text" bzw. "Reiner Text" bezeichnet). Ein weiterer sicherheitstechnischer Vorteil dieser Darstellung ist, dass verschleierte URLs in der Textdarstellung leicht erkannt werden können (in einer HTML-E-Mail könnte eine als "www.bsi.de" angezeigte URL z. B. tatsächlich auf "www.schadsoftwaredownload.de" verweisen). Mindestens sollte die Ausführung aktiver Inhalte bei Verwendung von HTML-Mails unterdrückt werden.
‼️Angreifer fälschen häufig die Absenderangabe in E-Mails, um dem Empfänger einen bekannten (vertrauenswürdigen) internen oder externen Absender vorzutäuschen. Oft wird dabei der gefälschte Absender inkl. Mailadresse in den so genannten Anzeigenamen (Realnamen) eingetragen, während die eigentliche Absenderadresse der E-Mail einen kompromittierten und zum Versand der E-Mail missbrauchten Account enthält. E-Mail-Clients sollten daher so konfiguriert werden, dass sie nicht nur den Anzeigenamen, sondern auch die vollständige Mailadresse des Absenders anzeigen. Potenzielle Angriffsversuche sollten im E-Mail-Client entsprechend markiert oder gar nicht erst zugestellt werden.
‼️E-Mail-Server sollten von extern eingelieferte E-Mails mit Absenderadressen der eigenen Organisation (sei es im Envelope-Header, im From-Header oder im Anzeigenamen) ablehnen, in Quarantäne verschieben oder mindestens im Betreff deutlich markieren.
‼️E-Mails mit ausführbaren Dateien (.exe, .scr, .chm, .bat, .com, .msi, .jar, .cmd, .hta, .pif, .scf, etc.) im Anhang – auch in Archiven wie .zip – sollten blockiert oder in Quarantäne verschoben werden. Sollte eine generelle Filterung für manche Dateitypen oder Empfänger aufgrund von zwingend notwendigen Arbeitsabläufen nicht möglich sein, sollten entsprechende E-Mails deutlich im Betreff markiert werden.
‼️Verschlüsselung von E-Mails mittels PGP oder S/MIME, um ein Ausspähen potenziell vertraulicher E-Mail-Inhalte zu verhindern. Ein durchgängiger Einsatz von digitalen Signaturen hilft zudem bei der Validierung bekannter E-Mail-Absender. Dazu müssen die zur Verifizierung benötigten Informationen einfach erreichbar auf der Website unter Kontakten einsehbar sein.
‼️Direkte Verbindungen zwischen Clients in einem Netzwerk sollten mittels Firewall unterbunden werden (insbesondere SMB-Verbindungen, PowerShell, PsExec und RDP).
👉Was ist zu tun, wenn in meiner Organisation bereits IT-Systeme infiziert sind?
🚨Potenziell infizierte Systeme sollten umgehend vom Netzwerk isoliert werden, um eine weitere Ausbreitung der Schadsoftware im Netz durch Seitwärtsbewegungen (Lateral Movement) zu verhindern. Dazu das Netzwerkkabel (LAN) ziehen. Gerät nicht herunterfahren oder ausschalten, also insbesondere nicht das Netzkabel (Strom) ziehen. Gegebenenfalls forensische Sicherung inkl. Speicherabbild für spätere Analysen (durch Dienstleister oder Strafverfolgungsbehörden) erstellen.
🚨Keinesfalls darf eine Anmeldung mit privilegierten Nutzerkonten auf einem potenziell infizierten System erfolgen, während es sich noch im produktiven Netzwerk befindet.
🚨Die nachgeladenen Schadprogramme werden häufig (in den ersten Stunden nach Verbreitung) nicht von AV-Software erkannt. Die Schadprogramme nehmen teilweise tiefgreifende (sicherheitsrelevante) Änderungen am infizierten System vor, die nicht einfach rückgängig gemacht werden können. Das BSI empfiehlt daher grundsätzlich, infizierte Systeme als vollständig kompromittiert zu betrachten und neu aufzusetzen.
🚨Alle auf betroffenen Systemen (zum Beispiel im Web-Browser) gespeicherte bzw. nach der Infektion eingegebene Zugangsdaten sollten als kompromittiert betrachtet und die Passwörter geändert werden.
🚨Krisen-Kommunikation sollte nicht über kompromittierte interne E-Mail laufen, sondern über externe Adressen (wenn möglich verschlüsselt, z.B. mittels PGP). Sonst können Angreifer direkt erkennen, dass sie entdeckt wurden.
🚨Stellen Sie unbedingt Strafanzeige.
🚨Mitarbeiter-Kommunikation muss bedacht werden. Einerseits zur Unterrichtung über die Gründe des "Stillstands" sowie zu einer evtl. privaten Betroffenheit von Mitarbeitern, wenn die private Nutzung des Arbeitsplatzes erlaubt ist und dort Passwörter und Kontodaten etc. genutzt wurden (und wahrscheinlich abgeflossen sind) - Andererseits zur Sensibilisierung für den Neuanlauf inkl. der notwendigen Informationen.
💡Proaktive Information von Geschäftspartnern/Kunden und den entsprechenden Behörden über den Vorfall mit Hinweis auf mögliche zukünftige Angriffsversuche per E-Mail mit Absenderadressen der betroffenen Organisation. Sharing is caring!
#Emotet #Schutzmaßnahmen #Infos
‼️Direkte Verbindungen zwischen Clients in einem Netzwerk sollten mittels Firewall unterbunden werden (insbesondere SMB-Verbindungen, PowerShell, PsExec und RDP).
👉Was ist zu tun, wenn in meiner Organisation bereits IT-Systeme infiziert sind?
🚨Potenziell infizierte Systeme sollten umgehend vom Netzwerk isoliert werden, um eine weitere Ausbreitung der Schadsoftware im Netz durch Seitwärtsbewegungen (Lateral Movement) zu verhindern. Dazu das Netzwerkkabel (LAN) ziehen. Gerät nicht herunterfahren oder ausschalten, also insbesondere nicht das Netzkabel (Strom) ziehen. Gegebenenfalls forensische Sicherung inkl. Speicherabbild für spätere Analysen (durch Dienstleister oder Strafverfolgungsbehörden) erstellen.
🚨Keinesfalls darf eine Anmeldung mit privilegierten Nutzerkonten auf einem potenziell infizierten System erfolgen, während es sich noch im produktiven Netzwerk befindet.
🚨Die nachgeladenen Schadprogramme werden häufig (in den ersten Stunden nach Verbreitung) nicht von AV-Software erkannt. Die Schadprogramme nehmen teilweise tiefgreifende (sicherheitsrelevante) Änderungen am infizierten System vor, die nicht einfach rückgängig gemacht werden können. Das BSI empfiehlt daher grundsätzlich, infizierte Systeme als vollständig kompromittiert zu betrachten und neu aufzusetzen.
🚨Alle auf betroffenen Systemen (zum Beispiel im Web-Browser) gespeicherte bzw. nach der Infektion eingegebene Zugangsdaten sollten als kompromittiert betrachtet und die Passwörter geändert werden.
🚨Krisen-Kommunikation sollte nicht über kompromittierte interne E-Mail laufen, sondern über externe Adressen (wenn möglich verschlüsselt, z.B. mittels PGP). Sonst können Angreifer direkt erkennen, dass sie entdeckt wurden.
🚨Stellen Sie unbedingt Strafanzeige.
🚨Mitarbeiter-Kommunikation muss bedacht werden. Einerseits zur Unterrichtung über die Gründe des "Stillstands" sowie zu einer evtl. privaten Betroffenheit von Mitarbeitern, wenn die private Nutzung des Arbeitsplatzes erlaubt ist und dort Passwörter und Kontodaten etc. genutzt wurden (und wahrscheinlich abgeflossen sind) - Andererseits zur Sensibilisierung für den Neuanlauf inkl. der notwendigen Informationen.
💡Proaktive Information von Geschäftspartnern/Kunden und den entsprechenden Behörden über den Vorfall mit Hinweis auf mögliche zukünftige Angriffsversuche per E-Mail mit Absenderadressen der betroffenen Organisation. Sharing is caring!
#Emotet #Schutzmaßnahmen #Infos
🇩🇪 Egon Kando beschreibt, wie Hacker auf die gespeicherten Daten u.a. in „Chrome“, „Firefox“ oder „Safari“ zugreifen können.
Webbrowser speichern allerhand Daten ihrer Benutzer: Surf-Verlauf, Passwörter, Kreditkartendaten, Cookies und viele weitere sensible Informationen. Dies kann sowohl für Endnutzer als auf für Unternehmen zum Problem werden, denn Cyber-Kriminelle können offensichtlich mit gar nicht so komplizierten Mitteln auf diese Daten zugreifen. Egon Kando, „Regional Sales Director Central & Eastern Europe“ bei Exabeam geht in seiner aktuellen Stellungnahme auf die Möglichkeiten für Hacker ein, in den Webbrowsern gespeicherte Daten auszuforschen, und beschreibt Gegenmaßnahmen.
Höchst attraktiv: im Browser gespeicherte Informationen
Webbrowser bergen heutzutage allerhand Daten der Benutzer: Der Surf-Verlauf, Passwörter, Kreditkartendaten, Cookies und viele weitere sensible Informationen sind im Browser gespeichert, damit das Surfen schnell und bequem vor sich geht. Auch die Entwickler von Webseiten und die Werbebranche hätten ein starkes Interesse daran, dass der Nutzer nicht komplett anonym ist – und verließen sich beispielsweise auf sogenannte Cookies, die ihrerseits zahlreiche Informationen besuchter Webseiten speicherten.
All diese im Browser gespeicherten Informationen, wie besuchte Webseiten inklusive URL, Seitentitel und Zeitstempel, HTTP-Cookies, „LocalStorage“, Daten des Passwortmanagers, Browser-Cache und automatisch erstellte Daten, stellten ein großes Risiko dar, „sollten sie in die falschen Hände geraten“, warnt Kando: „Nutzer wähnen sich größtenteils sicher, sind ihre Daten doch im Browser verborgen und darüber hinaus verschlüsselt. Doch an diese Browser-Daten zu gelangen, ist gar nicht so schwierig, wie man es vermuten möchte.“
Zugriff auf die im Browser gespeicherte Nutzerdaten
Für Cyber-Kriminelle reiche einfach zu handhabende und leicht verfügbare Malware aus, um auf die in Webbrowsern gespeicherten Daten zuzugreifen. „Beim einem Test von tausend der beliebtesten Websites, darunter facebook, Google Mail, Amazon, Instagram und PayPal, fanden sich die persönlichen Daten der Benutzer, die lokal und im Webbrowser des Computers in den oben genannten Formaten gespeichert wurden“, berichtet Kando. Durch die Überprüfung der gespeicherten Anmeldeinformationen seien Kriminelle in der Lage, gespeicherte Passwörter für alle getesteten Websites zu extrahieren.
Dies sei keine Schwäche der Websites selbst, sondern der Standard-Passwortmanager von Webbrowsern. Unter Verwendung von „OpenWPM“, einem auf „Firefox“ basierendem Framework zur Messung der Privatsphäre, könnten Kriminelle Benutzerkonten und -aktionen austesten, wie das Erstellen von Konten, die Anmeldung sowie das Ausführen relevanter Aktionen. So könnten sie recht einfach festzustellen, welche Informationen in den lokalen Browserdateien zu finden sind.
Webbrowser speichern allerhand Daten ihrer Benutzer: Surf-Verlauf, Passwörter, Kreditkartendaten, Cookies und viele weitere sensible Informationen. Dies kann sowohl für Endnutzer als auf für Unternehmen zum Problem werden, denn Cyber-Kriminelle können offensichtlich mit gar nicht so komplizierten Mitteln auf diese Daten zugreifen. Egon Kando, „Regional Sales Director Central & Eastern Europe“ bei Exabeam geht in seiner aktuellen Stellungnahme auf die Möglichkeiten für Hacker ein, in den Webbrowsern gespeicherte Daten auszuforschen, und beschreibt Gegenmaßnahmen.
Höchst attraktiv: im Browser gespeicherte Informationen
Webbrowser bergen heutzutage allerhand Daten der Benutzer: Der Surf-Verlauf, Passwörter, Kreditkartendaten, Cookies und viele weitere sensible Informationen sind im Browser gespeichert, damit das Surfen schnell und bequem vor sich geht. Auch die Entwickler von Webseiten und die Werbebranche hätten ein starkes Interesse daran, dass der Nutzer nicht komplett anonym ist – und verließen sich beispielsweise auf sogenannte Cookies, die ihrerseits zahlreiche Informationen besuchter Webseiten speicherten.
All diese im Browser gespeicherten Informationen, wie besuchte Webseiten inklusive URL, Seitentitel und Zeitstempel, HTTP-Cookies, „LocalStorage“, Daten des Passwortmanagers, Browser-Cache und automatisch erstellte Daten, stellten ein großes Risiko dar, „sollten sie in die falschen Hände geraten“, warnt Kando: „Nutzer wähnen sich größtenteils sicher, sind ihre Daten doch im Browser verborgen und darüber hinaus verschlüsselt. Doch an diese Browser-Daten zu gelangen, ist gar nicht so schwierig, wie man es vermuten möchte.“
Zugriff auf die im Browser gespeicherte Nutzerdaten
Für Cyber-Kriminelle reiche einfach zu handhabende und leicht verfügbare Malware aus, um auf die in Webbrowsern gespeicherten Daten zuzugreifen. „Beim einem Test von tausend der beliebtesten Websites, darunter facebook, Google Mail, Amazon, Instagram und PayPal, fanden sich die persönlichen Daten der Benutzer, die lokal und im Webbrowser des Computers in den oben genannten Formaten gespeichert wurden“, berichtet Kando. Durch die Überprüfung der gespeicherten Anmeldeinformationen seien Kriminelle in der Lage, gespeicherte Passwörter für alle getesteten Websites zu extrahieren.
Dies sei keine Schwäche der Websites selbst, sondern der Standard-Passwortmanager von Webbrowsern. Unter Verwendung von „OpenWPM“, einem auf „Firefox“ basierendem Framework zur Messung der Privatsphäre, könnten Kriminelle Benutzerkonten und -aktionen austesten, wie das Erstellen von Konten, die Anmeldung sowie das Ausführen relevanter Aktionen. So könnten sie recht einfach festzustellen, welche Informationen in den lokalen Browserdateien zu finden sind.
Sicheres vs. bequemes Surfen
Die Entwicklung von Malware zur Erfassung dieser Informationen sei sehr einfach. Varianten, darunter die Ransomware-Familien „Cerber“, „Kriptovor“ und „CryptXXX“, gebe es seit Jahren – und das kostenlose NirSoft-Tool „WebBrowserPassView“ könne gespeicherte Passwörter aus Webbrowsern ausgeben, „obwohl es angeblich dazu gedacht ist, Benutzern zu helfen, ihre eigenen Passwörter wiederherzustellen“. Es sei für Cyber-Kriminelle also durchaus möglich, an die im Browser gespeicherten Daten zu gelangen.
Überhaupt keine Daten abzuspeichern, indem man alle bestehenden Daten löscht und fortan im Incognito-Modus surft, böte die höchst mögliche Sicherheit. Das Surfen wäre damit zwar sicher, allerdings alles andere als bequem. Mit einigen Maßnahmen könne man jedoch die Sicherheit erhöhen, ohne die Bequemlichkeit zu opfern. Kando: „Da die größte Bedrohung von Malware ausgeht, sollte eine Antivirensoftware ausgeführt werden. Dies sollte den Großteil aller Malware stoppen, inklusive der, die auf die Erfassung von Webbrowser-Daten abzielt. Auch die Verwendung eines Passwortmanagers von einem Drittanbieter ist in der Regel für Angreifer schwieriger zugänglich als die integrierten Browser-Passwortmanager.“ Ebenso lasse das Deaktivieren von HTTP-Cookies weniger Spielraum für Datenmissbrauch durch Angreifer, verursache jedoch auf vielen Webseiten Probleme, insbesondere wenn diese eine Anmeldung erfordern. Eine effektive Methode sei es, regelmäßig entweder alle oder ausgewählte Browserverläufe zu löschen. „Das bedeutet zwar, dass weniger Informationen für den Browser zur Verfügung stehen, um Web-Vorschläge zu liefern und bereits besuchte Webseiten wiederzufinden, aber die Menge der für Angreifer verfügbaren Daten wird dadurch deutlich reduziert“, erläutert Kando.
https://www.datensicherheit.de/aktuelles/webbrowser-als-sicherheitsrisiko-verbraucher-und-unternehmen-im-visier-30063
📡 @cRyPtHoN_INFOSEC_DE
📡 @cRyPtHoN_INFOSEC_EN
Die Entwicklung von Malware zur Erfassung dieser Informationen sei sehr einfach. Varianten, darunter die Ransomware-Familien „Cerber“, „Kriptovor“ und „CryptXXX“, gebe es seit Jahren – und das kostenlose NirSoft-Tool „WebBrowserPassView“ könne gespeicherte Passwörter aus Webbrowsern ausgeben, „obwohl es angeblich dazu gedacht ist, Benutzern zu helfen, ihre eigenen Passwörter wiederherzustellen“. Es sei für Cyber-Kriminelle also durchaus möglich, an die im Browser gespeicherten Daten zu gelangen.
Überhaupt keine Daten abzuspeichern, indem man alle bestehenden Daten löscht und fortan im Incognito-Modus surft, böte die höchst mögliche Sicherheit. Das Surfen wäre damit zwar sicher, allerdings alles andere als bequem. Mit einigen Maßnahmen könne man jedoch die Sicherheit erhöhen, ohne die Bequemlichkeit zu opfern. Kando: „Da die größte Bedrohung von Malware ausgeht, sollte eine Antivirensoftware ausgeführt werden. Dies sollte den Großteil aller Malware stoppen, inklusive der, die auf die Erfassung von Webbrowser-Daten abzielt. Auch die Verwendung eines Passwortmanagers von einem Drittanbieter ist in der Regel für Angreifer schwieriger zugänglich als die integrierten Browser-Passwortmanager.“ Ebenso lasse das Deaktivieren von HTTP-Cookies weniger Spielraum für Datenmissbrauch durch Angreifer, verursache jedoch auf vielen Webseiten Probleme, insbesondere wenn diese eine Anmeldung erfordern. Eine effektive Methode sei es, regelmäßig entweder alle oder ausgewählte Browserverläufe zu löschen. „Das bedeutet zwar, dass weniger Informationen für den Browser zur Verfügung stehen, um Web-Vorschläge zu liefern und bereits besuchte Webseiten wiederzufinden, aber die Menge der für Angreifer verfügbaren Daten wird dadurch deutlich reduziert“, erläutert Kando.
https://www.datensicherheit.de/aktuelles/webbrowser-als-sicherheitsrisiko-verbraucher-und-unternehmen-im-visier-30063
📡 @cRyPtHoN_INFOSEC_DE
📡 @cRyPtHoN_INFOSEC_EN
🇬🇧 Egon Kando describes how hackers can access the stored data in "Chrome", "Firefox" or "Safari".
Web browsers store all kinds of user data: surfing history, passwords, credit card data, cookies and many other sensitive information. This can be a problem both for end users and for businesses, because cyber criminals can obviously access this data using less complicated means. Egon Kando, "Regional Sales Director Central & Eastern Europe" at Exabeam, in his recent statement, discusses the possibilities for hackers to investigate data stored in web browsers and describes countermeasures.
Highly attractive: information stored in the browser
Web browsers nowadays contain all kinds of user data: surfing history, passwords, credit card data, cookies and many other sensitive information are stored in the browser so that surfing is fast and convenient. Website developers and the advertising industry also have a strong interest in ensuring that users are not completely anonymous - and rely, for example, on so-called cookies, which in turn store a great deal of information about visited websites.
All this information stored in the browser, such as visited websites including URL, page noscript and timestamp, HTTP cookies, local storage, password manager data, browser cache and automatically generated data, posed a great risk if "they should fall into the wrong hands," warns Kando: "Most users think they are safe, since their data is hidden in the browser and encrypted. But getting access to this browser data is not as difficult as you might think."
Access to the user data stored in the browser
For cyber criminals, easy-to-use and accessible malware is enough to access the data stored in web browsers. "A test of a thousand of the most popular websites, including facebook, Gmail, Amazon, Instagram and PayPal, found the personal data of users stored locally and in the computer's web browser in the above formats," Kando reports. By verifying the stored credentials, criminals would be able to extract stored passwords for all tested sites.
This is not a weakness of the websites themselves, but the standard password manager of web browsers. Using "OpenWPM", a privacy measurement framework based on "Firefox", criminals could test user accounts and actions such as creating accounts, logging in, and performing relevant actions. This would allow them to easily determine what information can be found in the local browser files.
Secure vs. convenient browsing
The development of malware to capture this information is very simple. Variants, including the Ransomware families "Cerber", "Kriptovor" and "CryptXXX", have been around for years - and the free NirSoft tool "WebBrowserPassView" can output stored passwords from web browsers "although it is supposed to help users recover their own passwords". Cyber criminals are therefore able to access the data stored in the browser.
Not to store any data at all by deleting all existing data and surfing in Incognito mode from now on would offer the highest possible security. Surfing would be safe, but anything but convenient. With some measures, however, it would be possible to increase security without sacrificing convenience. Kando: "Since malware poses the greatest threat, antivirus software should be run. This should stop the majority of malware, including the one that aims to capture web browser data. Also, using a third-party password manager is usually more difficult for attackers to access than the built-in browser password managers." Disabling HTTP cookies also leaves less room for data abuse by attackers, but causes problems on many websites, especially if they require login. An effective method is to regularly delete either all or selected browser histories. "While this means that less information is available to the browser to provide web suggestions and retrieve previously visited web pages, it also significantly reduces the amount of data available to attackers," Kando explains.
Web browsers store all kinds of user data: surfing history, passwords, credit card data, cookies and many other sensitive information. This can be a problem both for end users and for businesses, because cyber criminals can obviously access this data using less complicated means. Egon Kando, "Regional Sales Director Central & Eastern Europe" at Exabeam, in his recent statement, discusses the possibilities for hackers to investigate data stored in web browsers and describes countermeasures.
Highly attractive: information stored in the browser
Web browsers nowadays contain all kinds of user data: surfing history, passwords, credit card data, cookies and many other sensitive information are stored in the browser so that surfing is fast and convenient. Website developers and the advertising industry also have a strong interest in ensuring that users are not completely anonymous - and rely, for example, on so-called cookies, which in turn store a great deal of information about visited websites.
All this information stored in the browser, such as visited websites including URL, page noscript and timestamp, HTTP cookies, local storage, password manager data, browser cache and automatically generated data, posed a great risk if "they should fall into the wrong hands," warns Kando: "Most users think they are safe, since their data is hidden in the browser and encrypted. But getting access to this browser data is not as difficult as you might think."
Access to the user data stored in the browser
For cyber criminals, easy-to-use and accessible malware is enough to access the data stored in web browsers. "A test of a thousand of the most popular websites, including facebook, Gmail, Amazon, Instagram and PayPal, found the personal data of users stored locally and in the computer's web browser in the above formats," Kando reports. By verifying the stored credentials, criminals would be able to extract stored passwords for all tested sites.
This is not a weakness of the websites themselves, but the standard password manager of web browsers. Using "OpenWPM", a privacy measurement framework based on "Firefox", criminals could test user accounts and actions such as creating accounts, logging in, and performing relevant actions. This would allow them to easily determine what information can be found in the local browser files.
Secure vs. convenient browsing
The development of malware to capture this information is very simple. Variants, including the Ransomware families "Cerber", "Kriptovor" and "CryptXXX", have been around for years - and the free NirSoft tool "WebBrowserPassView" can output stored passwords from web browsers "although it is supposed to help users recover their own passwords". Cyber criminals are therefore able to access the data stored in the browser.
Not to store any data at all by deleting all existing data and surfing in Incognito mode from now on would offer the highest possible security. Surfing would be safe, but anything but convenient. With some measures, however, it would be possible to increase security without sacrificing convenience. Kando: "Since malware poses the greatest threat, antivirus software should be run. This should stop the majority of malware, including the one that aims to capture web browser data. Also, using a third-party password manager is usually more difficult for attackers to access than the built-in browser password managers." Disabling HTTP cookies also leaves less room for data abuse by attackers, but causes problems on many websites, especially if they require login. An effective method is to regularly delete either all or selected browser histories. "While this means that less information is available to the browser to provide web suggestions and retrieve previously visited web pages, it also significantly reduces the amount of data available to attackers," Kando explains.
Risk for consumers and businesses alike
The danger of user data stored in the browser being hacked and used by cyber criminals is not only great for consumers, but also for companies, since users also access the Internet from their company computer and possibly use company data as part of their tasks. This would allow corporate customer data to be tapped and, in some cases, bank account numbers to be restored.
In addition, criminals could, for example, determine when an employee is usually at work and when he or she is at home. Access to the employee's browser history could also show attackers their personal interests or details of their private life. Information such as hobbies or child names could then be used as clues to guess passwords. In extreme cases, an attacker could also use sensitive personal data to blackmail an employee.
Raising awareness of possible dangers!
In order to prepare complex attacks, hackers even went one step further: in order to gain an exact picture of an employee's habits and activities, hackers created so-called web files that could be created from a person's collected browser data. In order to minimize the risk of stored company data in the browsers used by employees, the same measures apply as for consumers.
Another important tool in the fight against attackers is targeted training for employees to raise their awareness of possible dangers. Protection by vigilant employees has always been "one of the cornerstones of IT security in every company".
https://www.datensicherheit.de/aktuelles/webbrowser-als-sicherheitsrisiko-verbraucher-und-unternehmen-im-visier-30063
📡 @cRyPtHoN_INFOSEC_DE
📡 @cRyPtHoN_INFOSEC_EN
The danger of user data stored in the browser being hacked and used by cyber criminals is not only great for consumers, but also for companies, since users also access the Internet from their company computer and possibly use company data as part of their tasks. This would allow corporate customer data to be tapped and, in some cases, bank account numbers to be restored.
In addition, criminals could, for example, determine when an employee is usually at work and when he or she is at home. Access to the employee's browser history could also show attackers their personal interests or details of their private life. Information such as hobbies or child names could then be used as clues to guess passwords. In extreme cases, an attacker could also use sensitive personal data to blackmail an employee.
Raising awareness of possible dangers!
In order to prepare complex attacks, hackers even went one step further: in order to gain an exact picture of an employee's habits and activities, hackers created so-called web files that could be created from a person's collected browser data. In order to minimize the risk of stored company data in the browsers used by employees, the same measures apply as for consumers.
Another important tool in the fight against attackers is targeted training for employees to raise their awareness of possible dangers. Protection by vigilant employees has always been "one of the cornerstones of IT security in every company".
https://www.datensicherheit.de/aktuelles/webbrowser-als-sicherheitsrisiko-verbraucher-und-unternehmen-im-visier-30063
📡 @cRyPtHoN_INFOSEC_DE
📡 @cRyPtHoN_INFOSEC_EN