Feeding Pigeons in the Park: Espionage Knowledge is power. Knowing nothing makes one envious when looking at the model of modern information societies. The natural application of networks that transport information is espionage. So the Internet early made acquaintance with it. The aspect of smuggling messages in and out of an area is obvious. It also involves breaking through security measures to gain access to protected information.  Whereby large parts of our own information are much less protected than we would like or even be aware of. The e-mails mentioned above are always in plain text and therefore are visible to everyone. An unknown number of third parties read them on the way from sender to recipient and assess this information. And all the information we have in accounts on US platforms (photos, more or less public postings, direct messages, etc.) is viewable by authorities in the US and anyone who cooperates with the US. It would not be the first time that people may not enter a country because of a social media posting or a direct message on a platform. Chain of Command Martin B. from A. earns his money as a contractor. He has a small company under which he offers good old IT services: Setting up printers, maintaining the networks of small businesses, occasionally building a website for individual entrepreneurs. That doesn’t make a lot of money, but it provides a valid umbrella for his actual business. Martin B. takes care of a couple of command & control servers that are used by several large campaigns on the net to control and manage malware. He doesn’t know the names of his clients. The last three had given long strings of letters and numbers as their nicknames. He gets his money from changing number accounts in different crypto currencies. Most of the time, these accounts exist for only a few days. He has given up trying to track them. He doesn’t even want to know. Martin B. keeps using different nicknames and different number accounts himself at irregular intervals. One for each incoming payment. He rarely uses a nickname or number account twice. At the moment he is on the road as „ldra002“. And his mission is to spin up a new command & control server for a malware called Ryuk. The specifications given to him are impressively large, and the job gives good money. Presumably his […]

https://www.zotzmann-koch.com/murderboard-chapter-04-en-trojan-horses-or-state-hacking/

Taubenfüttern im Park – Spionage Wissen ist Macht. Nichts wissen macht neidisch wenn man das Modell moderner Informationsgesellschaften ansieht. Die natürliche Anwendung von Netzwerken die Informationen transportieren ist Spionage. Das Internet hat daher schon früh Bekanntschaft damit gemacht. Der Aspekt Nachrichten in einen Bereich hinein und hinaus zu schleusen ist offensichtlich. Damit verbunden ist auch das Durchbrechen von Sicherheitsmaßnahmen um Zugang zu geschützten Informationen zu kommen. Wobei weite Teile unserer eigenen Informationen viel weniger geschützt sind als es uns lieb oder auch nur bewusst wäre. Die vorher genannten E-Mails werden grundsätzlich im Klartext und für alle einsehbar verschickt. Eine unbekannte Anzahl Dritter liest sie auf dem Weg von Absender:in zu Empfänger:innen mit und wertet diese Informationen aus. Und alle Informationen die wir in Accounts auf US-amerikanischen Plattformen haben (Fotos, mehr oder weniger öffentliche Postings, Direktnachrichten etc.) sind für Behörden in den USA und allen die mit den USA kooperieren einsehbar. Es wäre nicht das erste Mal dass Menschen wegen eines Social Media Postings oder eine Direktnachricht auf einer Plattform nicht in ein Land einreisen dürfen. Befehlskette Martin B. aus A. verdient sein Geld als Auftragnehmer. Er hat eine kleine Firma unter der er gute alte EDV-Dienstleistungen anbietet: Drucker einrichten die Netzwerke kleiner Unternehmen warten ab und an mal eine Webseite für Einzelunterehmer:innen bauen. Das macht den Kohl nicht fett aber es bietet einen validen Überbau für sein eigentliches Geschäft. Martin B. kümmert sich um ein paar Command- & Control-Server die von mehreren großen Kampagnen im Netz verwendet werden um Schadsoftware zu kontrollieren und zu steuern. Er weiß nicht wie seine Auftraggeber heißen. Die letzten drei hatten lange Zeichenketten als Nickname angegeben. Sein Geld bekommt er von wechselnden Nummernkonten in unterschiedlichen Cryptowährungen. Meist existieren diese Konten nur wenige Tage. Er hat es aufgegeben ihnen nachzugehen. Er will es auch gar nicht wissen. Martin B. verwendet in unregelmäßigen Abständen selbst immer wieder andere Nicknames und andere Nummernkonten. Eins für jeden Zahlungseingang. Nur sehr selten verwendet er Nickname und Nummernkonto zweimal. Momentan ist er als »ldra002« unterwegs. Und sein Auftrag ist einen neuen Command- & Control-Server für eine Schadsoftware namens Ryuk hochzufahren. Die ihm genannten Spezifikationen sind beeindruckend groß und gibt gutes Geld. Vermutlich haben seine Auftraggeber damit etwas Größeres vor. Martin B. fragt nicht nach. Nachfragen ist schlecht fürs Geschäft. Stattdessen zieht er zufällig eine der unlängst frisch eingekauften Kreditkarten aus dem digitalen Dateikasten und mietet einen virtuellen Server für 21 Tage […]

https://www.zotzmann-koch.com/murderboard-kapitel-04-trojanischer-amtsschimmel-oder-auch-staatliches-hacken/

Motivationen der »Cosa Data« Erhebt man Daten zu einem wertvollen Gut wird es automatisch gehandelt gehortet gestohlen und gefälscht. Digitale Abläufe lassen sich sowohl legal als auch illegal nutzen genau wie die Wirtschaft in der analogen Welt. Es geht allerdings beim Thema Cybercrime um viel mehr als nur die Daten selbst. Konten mit bestimmten Berechtigungen stellen auch einen Wert dar weil sie als Multiplikator fungieren. Ein Beispiel ist ein einfaches E-Mail Konto mit hinterlegten Kontakten (Adressbuch oder auch die Kontaktdaten in den vorhandenen E-Mails). Damit kommen gleich mehrere Eigenschaften zusammen: Identität Vertrauen und ein Archiv von Nachrichten. Das Archiv kann man direkt nach wertvollen Daten durchsuchen. Die Identität kann man mit Hilfe des Vertrauens der Kontakte für Betrug verwenden um weitere Zugänge zu mehr Konten und Daten zu bekommen. Die Motivation ist unterm Strich immer etwas wie ein Vorteil oder Gewinn. Daten die sich direkt verkaufen lassen haben einen unmittelbaren Nutzen. Öfter werden Daten in mehreren Schritten besorgt. Methoden: Organisiert und ordentlich Die Organisation bei digitalem Verbrechen folgt analogen Vorbildern. Es gibt Dienstleister für alle Rollen und Stationen die notwendig sind. Man findet alles was man auch in einem gut aufgestellten Unternehmen finden würde. Es gibt Techniker:innen Marketing einen Helpdesk für die Opfer (im Falle von Erpressungssoftware – ja, tatsächlich!) Notare Händler Sicherheitsexpert:innen Bankenwesen und was man sonst noch in der Wirtschaft benötigt. Diese Struktur impliziert die Vorgehensweise und die Vorbereitung von Operationen. So etwas wie dramaturgisch aufbereitete Szenen wo binnen weniger Minuten hektischer Tastaturanschläge ganze IT Anlagen durchlöchert werden gibt es nur im Fernsehen oder in erdachten Büchern. Die Realität ist viel einfacher und vor allem sehr routiniert. Wertschöpfungskette der Schattenwirtschaft Die Schattenwelt ist voller Dienstleister die ihre jeweilige Expertise anbieten. Damit ergibt sich ein getreues Abbild der legalen Wirtschaft. Die Möglichkeiten für Geschäfte ergeben sich aus den Kooperationen. Betrugskampagnen erheben über E-Mail-Aussendungen Daten von Opfern. Diese Daten werden zu Datenbanken zusammengefasst. Diese gehen an Raffinerien welche die Rohdaten durch Überprüfung und Klassifizierung veredeln. Man muss übrigens nicht einmal einen Link in einer E-Mail klicken damit die eigene E-Mail-Adresse dem Konvolut einverleibt wird. E-Mails enthalten häufig »Tracking-Pixel« und es reicht die E-Mail zu öffnen (oder in der Vorschau anzusehen) um das Tracking zu triggern und an den Absender zu melden dass diese E-Mail geöffnet wurde. Allein durch das Ansehen der E-Mail bestätigt man also dass es eine echte und aktive E-Mail-Adresse ist die weiterverkauft werden kann. Damit steigert sich […]

https://www.zotzmann-koch.com/murderboard-kapitel-03-serienhacker-organisiertes-verbrechen-oder-auch-grand-theft-data/

Motivations and Motifs of the “Cosa Data” Elevate data to a valuable commodity and it gets automatically traded, hoarded, stolen and counterfeited. We can use digital processes both legally and illegally, just like the economy in the physical world. However, cyber crime is about much more than data. Accounts with certain privileges also represent value because they act as a multiplier. For example, a simple e-mail account with stored contacts (address book or even the contact data in existing e-mails). This has several properties at once: Identity, trust and an archive of messages. The archive can be searched directly for valuable data. The identity can be used for fraud with the help of the trust of the contacts to get further access to more accounts and data. Motivation is—on balance—always something like a benefit or profit. Data sold directly has an immediate benefit.  More often, data is obtained in several steps.  Methods: Organized and Neat The organization in digital crime follows analog models. There are service providers for all roles and stations that are necessary. You will find everything that you would find in a well-established company. There are technicians, marketing, a helpdesk for victims (with extortion software—yes, indeed!), notaries, traders, security experts, banking and whatever else they need in business. This structure implies the procedure and preparation of operations. Something like dramaturgically prepared scenes, where within a few minutes of hectic keyboard strokes entire IT systems are riddled with holes, exists only on television or in imaginary books. Reality is much simpler and very routine. Values of the Shadow Economy The shadow world is full of service providers offering their respective expertise. This results in an accurate reflection of the legal economy. Opportunities for business arise from the collaborations. Fraud campaigns collect data from victims via email sends. This data is compiled into databases. These go to refiners, who refine the raw data through verification and classification. By the way, you don’t even have to click a link in an email for your email address to be added to the convolute. Emails often contain „tracking pixels“ and it is enough to open (or preview) the email to trigger tracking and report to the sender that this email has been opened. So, just by viewing the email, one confirms it is a real and active email address that can be resold. This increases the value of the individual records. The […]

https://www.zotzmann-koch.com/murderboard-chapter-03-en-serial-hackers-organized-crime-or-grand-theft-data/

Briefe als Fenster zur Welt Wenn junge Menschen die Welt entdecken dann freuen sie sich oft über Post. Wer hat es denn nicht gern wenn andere an einen denken? Sobald die Liebesbriefe vom Schwarm die Metamorphose in herzlose Schreiben mit Fenster hinter sich gebracht haben erkennen wir: Geld regiert deren Inhalt genau wie in dieser Geschichte. Leon hat eine Angewohnheit. Beim Gang vom Briefkasten zurück fühlt er gerne die Bedeutung des Inhalts von Briefen mit den Fingern. Im konkreten Fall ist es das Schreiben der Kreditkartenabrechnung. Und es ist auf mehrere gehaltvolle Millimeter angewachsen. Leon hofft auf eine Änderung der Geschäftsbedingungen. Nach dem Öffnen stellt sich allerdings heraus dass es leider eine Aufstellung von Zahlungen ist. Er kann sich kaum an die einzelnen Posten erinnern. Es sind einfach zu viele – und die meisten davon sind nicht von ihm! In der Zahlenkolonne sind verschiedene Beträge angetreten und marschierten im Gleichschritt zur Gesamtsumme. Weder die Posten noch die Firmen die er angeblich bezahlt hat sagen ihm etwas. Langsam kehrt der Verstand zurück. Leon durchsucht seine Geldbörse aber alle Karten sind noch da. Dann greift er zum Telefon und lässt die Kreditkarte sperren. Die nächsten Tage ist Leon ziemlich beschäftigt damit eine neue Kreditkarte zu beantragen und Zahlungen zu stornieren. Neben dem Studium und seinem Teilzeitjob frisst das verdammt viel Zeit und Nerven. Vor allem Letzteres. Überhaupt zwei Ressourcen die bei uns allen endlich sind und die in Leons Fall an anderer Stelle besser eingesetzt gewesen wären. Was ist ihm passiert? Konten und Karten Die Beantwortung dieser Frage beginnt bei der Verwendung der Kreditkarte. In der analogen Welt überlegt man wann man die Karte wo und zu welchem Zweck benutzt hat. Oft ist das überschaubar und an geographische Orte gebunden. Digital wird das schwieriger weil Online-Händler oft die Möglichkeit bieten Kreditkarten in Nutzer:innen-Konten zu hinterlegen. Dadurch ergibt sich automatisch eine Verknüpfung an die Zugangsdaten dieser Konten. Ist man eingeloggt kann man von dieser Plattform aus Zahlungen tätigen. Meist wird für Online-Accounts ein Login und ein Passwort verlangt. Unter Umständen wird eine E-Mail Adresse als Login verwendet. Im Unterschied zur physischen Kreditkarte muss man nun klären welches Online-Konto für eine Zahlung verantwortlich ist. Wurde das Online-Portal kompromittiert? War das Passwort zu schwach? Oder hat sich jemand Zugang zum E-Mail Konto verschafft? In Leons Fall sind mehre Möglichkeiten denkbar. Betroffene Konten können Teil eines Datenlecks geworden sein. Mit Pech wissen die Portale die die […]

https://www.zotzmann-koch.com/murderboard-kapitel-02-ermittlungen/

The Time Factor  Traces are the “metadata” of an act, a course of action, a communication or even a presence or having been there. They show us that something happened, but often also how something happened. We consider traces always in retrospect, because they have to be there first in order to be considered. The time interval between the emergence of traces and their observation can vary. In 2017, for example, researchers investigated how Ötzi, a mummy from the ice of the Ötztal Alps, came to his death about 5,300 years ago and thus solved a murder with a slight time delay. (https://www.wissenschaft.de/geschichte-archaeologie/oetzi-es-war-heimtueckischer-mord/)  But some traces also disappear. Not only the well-known traces in the sand … Also we can’t detect e.g. knockout drops in the victim’s blood already 24 hours after they drank them. There are also traces that are not recognized as “disturbing factors”. They fit into the picture and do not cause any frowning by trained observers. A classic “looks like an accident”. Or the death of aged persons, which surprises no one but delights heirs. And then there are the traces that online crimes leave behind. “IP addresses” and “log data” may sound more cryptic than footprints, cardiac arrhythmias or “direction from which the arrow came”, but they are just as revealing. Time is ubiquitous not only in crime or physics. Computers depend on clocks. Thus, de facto clocks and looking at them are constant companions in the digital world. Pretty much all tools used for programming allow a simple view of the current time. Times or timestamps, as we call them, are an excellent Ariadne’s thread digitally. You can always orient yourself by this. A Harmless Beginning Leon is a student and has a tight wallet. His computer is broken, and he urgently needs a new one. So he goes to a computer store that also offers refurbished devices. He buys a refurbished laptop and trades in his defective device as a spare part.  Data Carrier Eventually, something has to be stored permanently. By permanent, computer science understands the so-called non-volatile memory, which can store bits and bytes for a certain time even without a power supply. The digital clay tablets can take various forms. Storage began with magnetic data carriers such as tapes, floppy disks and rotating metal discs. Optical data carriers (CD, DVD, BluRay) accompanied this. Modern media use computer chips that memorize, […]

https://www.zotzmann-koch.com/murderboard-chapter-01-en-traces/