Zweistufige Verifikation in Ägypten: Stärke oder Schwäche für Online-Sicherheit?
“Hacker” vom Preiser Project auf Flickr. (CC BY 2.0)
Unabhängige Wissenschaftler in Ägypten haben gefunden, was der neue technische Weg der staatlichen Überwachung zu sein scheint: Die Manipulation des zweistufigen Verifikationsprozesses.
Auf der ganzen Welt benutzen viele Aktivisten, Journalisten und normale Bürger eine zweistufige Verifikation (siehe unten) auf sozialen Medien und bei ihren Emailanbietern, ihrer Kommunikation noch ein Stück sicherer zu gestalten. Aber jetzt scheint es so, als nutzten staatliche Akteure diese Funktion zu ihrem Vorteil aus.
In Ägypten kontrolliert der Staat wie in vielen anderen Ländern der Welt die Telekommunikationsinfrastruktur, während private Telekommunikationsunternehmen Dienstleistungen anbieten und die Netzwerke betreiben. Während der Aufstände vom 25. Januar 2011 koordinierte der Staat eine Folge von Abschaltungen verschiedener Kommunikationssysteme, die berühmt wurde. Zensur ist aber nur ein Teil dieser Dynamik der Kontrolle.
Wie funktioniert eine zweistufige Verifikation?
Ist eine zweistufige Verifikation eingestellt, erhält ein Nutzer immer dann eine SMS (oder einen Sprachanruf), wenn er versucht, sich anzumelden. Das dient dazu, den Zugriff auf das Benutzerkonto zu bestätigen.
Ohne eine zweistufige Verifikation melden sich die meisten von uns bei unseren Emailkonten an, indem wir nur ein Passwort eingeben. Viele Dienste bieten aber diesen zusätzlichen Schritt an, bei dem das System einen zusätzlichen Nachweis anfordert, dass es sich dabei wirklich “um einen selbst” handelt. Dieser zusätzliche Schritt basiert auf dem, was ein Nutzer weiß (das Passwort) und dem, was der Nutzer bei sich hat (das Mobiltelefon).
Ein häufiger zusätzlicher Schritt eines Systems besteht darin, einen einzigartigen Geheimcode an das Mobiltelefon eines Nutzers zu schicken, wenn er oder sie versucht, sich bei dem Konto anzumelden. Nur dann, wenn der Nutzer sowohl das Passwort und den geheimen, einmaligen Code eingibt, ist der Anmeldeprozess vollständig.
Im Dezember 2015 blockierte Ägypten die Mobil-App “Free Basics” von Facebook. Während einige sich schnell darauf konzentrierten, dass die Sperre ein Versuch der Zensur sei, berichteten verschiedene Medien, dass die Sperre darauf zurückgehe, dass Facebook sich geweigert habe, die ägytische Regierung Nutzer mithilfe dieser App auszuspionieren.
Für Internetnutzer zeigen diese und andere Vorkommnisse, dass Massenüberwachung und gezielte Überwachung einfach geschehen können. In Ägypten haben durchgesickerte Dokumente und technische Untersuchungen belegen können, dass Regierungsbehörden schädliche Hacking-Technologien erwerben und sich mit privaten Telekommunikationsunternehmen absprechen. Dies ist Teil ihres ständigen Interesses, die Kommunikation ihrer Bürger abzuhören.
Wenn mehr und mehr raffinierte Hilfsmittel und Ressourcen verwendet werden (wie beispielsweise hier der Gebrauch von Blue Coat und RCS-Produkten in Ägypten dokumentiert wurde), ist der Staat nicht länger von den Telekommunikationsunternehmen abhängig, um sich Zugang zu den Daten und den Kommunikationsinformationen der Bürger zu verschaffen.
Das bedeutet, dass Telefonanrufe, Textnachrichten und geographische Standorte (GPS) einfach aufgezeichnet werden können und die ägyptischen Behörden sehr leicht auf diese Informationen zugreifen können, wenn es kein formalisiertes Verfahren oder einen angemessenen rechtlichen Schutz gibt. Wenn ein Beamter diese Informationen haben “will”, kann er sie haben. Und das verschafft dem Staat leicht den Zugriff auf Informationen von Aktivisten.
Wer kann sich also namhafte Aktivisten zum Ziel machen? Theoretisch können nicht-staatliche Akteure Aktivisten ins Visier nehmen, indem sie auf Hilfsmittel zugreifen, die sie sich auf dem Schwarzmarkt verschafft haben. In der Praxis und, da das gesamte ägyptische System sehr geschlossen und durch den Staat kontrolliert ist, sind der Staat und staatsnahe Gruppen die Hauptverursacher dieser Art von Überwachung.
Eine zweistufige Verifikation wird in der Regel als ein einfacher Weg empfohlen, diese Art der Überwachung einzudämmen. Es wird aber zum Schwachpunkt, wenn der Staat den Zugang zu einem Benutzerkonto einer Person erhält, in dem er die eingehende Nachricht auf ihren eigenen Mobiltelefonen abfängt.
Wie nutzen staatliche Akteure diese Funktion aus?
Wenn man als Nutzer ein Passwort einer bestimmten Plattform vergessen hat, kann man oft sein Passwort wieder herstellen, indem man die Plattform bittet, einen einmaligen Code an das eigene Mobiltelefon zu schicken. Wenn man den Code erhält, gibt man ihn in der Plattform ein, um die eigene Identität zu bestätigen. In Ägypten haben aber scheinbar staatliche Akteure – dank einer starken staatlichen Kontrolle über die Telekommunikationsinfrastruktur – diese Funktion zu ihren Gunsten ausgenutzt. Sie versuchen, auf die Nutzerkonten von Aktivisten zuzugreifen, indem sie die Option “Ich habe mein Passwort vergessen” anwählen. Dann fangen sie den Code auf, der zu dem Mobiltelefon des Aktivisten geschickt wird (oder blockieren ihn). Das erlaubt es ihnen dann, das Passwort des Aktivisten neu zu bestimmen und übernehmen faktisch seinen oder ihren Account.
Auch wenn man sich schließlich mit einer App ausstatten kann und die Codes generiert anstatt dass die Codes als SMS an das eigene Mobiltelefon geschickt werden, so kann selbst das nur eingerichtet werden, nachdem eine zweistufige Verifikation erfolgt ist und man die eigene Mobilnummer angegeben hat – und so hält es sich mit den meisten Dienstanbietern.
Unabhängige Wissenschaftler in Ägypten haben Belege, dass der Sicherheits- und Geheimdienstsektor in Ägypten jetzt Aktivisten und Internetnutzer ins Visier nehmen kann, indem sie ihnen Pishing-Links schicken (also Links zu gefälschten Webseiten), um auf ihre Konten zugreifen und die Kontrolle über ihre Computer übernehmen zu können. Diese neuen Erkenntnisse weisen auch darauf hin, dass sie sich dazu in einer neuen Art und Weise mit dem privaten Telekommunikationssektor abstimmen.
Verschiedene namhafte Aktivisten wurden in den letzten Jahren auf diesem Weg zur Zielscheibe. Jüngst, am 26. März 2016, fand dieses Modell Anwendung, um den prominenten und preisgekrönten Journalisten und Blogger Wael Abbas im Rahmen einer groß angelegten Hacking-Kampagne ins Visier zu nehmen. Auch sein Gmail-Konto war betroffen: Er erhielt in seinem Eingangspostfach eine E-Mail-Benachrichtigung von Google, in der stand: “Staatlich unterstützte Angreifer versuchen möglicherweise Ihren Account zu gefährden”. Auf seinem Mobiltelefon empfing Wael eine gefälschte Popup-Nachricht, in der es hieß, er solle seine Software aktualisieren. Die Nachricht kam ihm merkwürdig vor und sie unterschied sich von den normalen Benachrichtigungen, zu aktualisieren oder aufzurüsten, die an Android-Geräte geschickt werden. Die Nachricht enthielt außerdem einen Tippfehler.
Am 30. März 2016 berichtete der bekannte Grafidesigner und Aktivist Mohamed Gaber (auch bekannt als Gue3bara), er habe eine SMS zum Zurücksetzen seines Passworts erhalten, ohne das angefordert zu haben. Am 1. April 2016 macht die preisgekrönte Menschenrechtsverfechterin und Journalistin Nora Younis bekannt, sie habe zwei dieser Benachrichtigungen erhalten. Mit ihrem Passwort hätte eine Person mehrfach versuchen können, sich bei ihrem Konto anzumelden.
Diese und andere Erfahrungen zeigen die Angreifbarkeit der zweistufigen Verifikation in den Fällen, in denen ein Angreifer SMS abfangen kann.
Wie weiß man, dass man auf diese Art zum Ziel wird? Wenn man besorgt ist, was sollte man tun?
Der einzige Weg zu vermeiden, so zur Zielscheibe zu werden, ist, alle Mobilfunknummern von allen Emailkonten und allen Konten sozialer Medien zu entfernen. Eine Alternative ist der Gebrauch weiterer Emailkonten als Wiederherstellungsoption.
Und wie immer gilt, dass es wichtig ist, einen einmaligen und starken Passausdruck anstelle eines Passworts zu benutzen und darauf zu verzichten, dieselbe Phrase oder Variationen einer Phrase für mehr als ein Konto zu verwenden.
Wenn jemand dabei Hilfe benötigt…
Personen mit Konten bei Facebook, Yahoo und Hotmail gehörten zu denen, die vor allem diese Probleme hatten. Das steht möglicherweise in einem Zusammenhang mit den technischen Sicherheitssystemen dieser Plattformen. (Bislang wurden solche Fälle noch nicht von Google oder Twitter berichtet.)
Um die Kontoeinstellungen dieser Plattformen zu aktualisieren, geht man folgendermaßen vor:
- Bei einem Hotmail-Konto: Man trägt sich hier ein: https://outlook.live.com. Man klickt auf den eigenen Avatar oben rechts und wählt “Konto anschauen” an. Man klickt auf “Sicherheit und Datenschutz” und wählt “weitere Sicherheitseinstellungen” links an. Die Seite der Sicherheitseinstellungen wird geladen und alle Informationen angezeigt, die man eingegeben hat. Man geht weiter nach unten und entfernt dort die Mobilfunknummer.
- Bei einem Yahoo-Konto: Man meldet sich hier an: https://mail.yahoo.com. Man klickt auf seinen Namen in der Ecke rechts oben und wählt “Kontoinformationen” an. Wenn die Seite geladen wurde, wählt man “Kontosicherheit” an. Möglicherweise wird man gebeten, sich erneut anzumelden. Von hier an wird die Telefonnummer zur Wiederherstellung angezeigt und man kann sie entfernen.
- Bei einem Facebook-Konto: Man meldet sich hier an: https://www.facebook.com. Man klickt auf “über”. Aus der Liste links wählt man Kontakt- und Hauptinformationen. Dort geht man weiter nach unten, bis man die Mobilfunknummer sieht und sie entfernen kann.
Ramy Raoof ist Technologe und Gutachter für Datenschutz und digitaler Sicherheit in Ägypten. Auf Twitter findet man ihn unter @RamyRaoof.
Mohamed Najem hat zur Recherche dieses Berichts beigetragen.
Dieser Artikel wurde von GV Advocacy veröffentlicht, einem Global Voices Projekt mit eigener Seite, das das Recht auf freie Meinungsäußerung verteidigt und gegen Zensur im Netz kämpft. Alle Artikel
