Der folgende Text wurde in seiner ursprünglichen Fassung belassen und nicht auf Fehler korrigiert, da nach Ansicht des Autrs, dessen authentischer Charakter ansonsten möglicherweise zerstört werden könnte. Und möglicherweise auch aus Faulheit.
Dem ersten Angriff waren bereits während des Jahres 2016 einige Phänomene vorausgegangen, die zunächst den Anschein erzeugten, als sei der von mir verwendete Wlan-Adapter defekt, mit dem ich meine HP-Workstation mit dem Internet verband. Ein Umstand der mir bald den letzten Nerv zu rauben begann – damals wusste ich noch nicht, wwwas noch so alles auf mich zukommen würde – denn es gelang mir kaum mit dem Aufbau meiner Webseite weiterzukommen, da deren Inhalte sofern nicht abgespeichert, mit jedem Disconnect zurückgesetzt wurden. Hinzu kamen massive Probleme mit
dem „Homepage Editor“ meines Anbieters, denn auch die von mir vorgenommenen Einstellungen auf meiner Webseite (vor allem Schrifttypen und Button Designs) wurden trotz Abspeichern immer wieder zurückgesetzt.
Im Januar 2017 versuchte mein Webseiten-Anbieter mich dann auch noch zusätzlich durch eine Einschränkung der mit dem Homepage Editor erstellten Seiten von zunächst 120 auf lächerliche 5, eine deftige Preiserhöhung von mir zu erzwingen. Obwohl das in meinen Augen einen klaren Vertragsbruch darstellte, verwiesen mich die Berater der Firma immer nur auf ein Entgegenkommen mit 13 zusätzlichen Monaten. Diese 13 Monate laufen in drei Tagen ab und ich konnte aufgrund der Eingriffe in meine Online-Aktivitäten kaum eine der angepeilten Arbeiten vervollständigen.
Einige Recherchen brachten mich schließlichn auf die Spur des augenscheinlich (offensichtlich?) beidseitig gehackten (also komplett durchlässigen) Routers, dessen Internetleitung ich auch in genau diesem Moment noch immer mitbenutze – wohlwissend, daß ich so zwar meine Deckung preisgebe und denjenigen, die für meine Situation verantwortlich sind wichtige Informationen zuspiele. Doch dies scheint ein geringer Preis für die Freiheit meiner Gedanken zu sein, denn es gibt kaum einen unerträglicheren Zustand, als Isolation.
Doch zurück zu den technischen Gegebenheiten, die jedem, der glaubt ein hyperkryptisches, 24ig stelliges Passwort würde ausreichen, um das eigene Wlan Netz abzusichern, die Haare zu Berge stehen lassen werden. Zunächst einmal gestaltete sich die Neuinstallation des Telekom Speedports äußerst schwierig, da sich ein sich selbst als „localhost“ identifizierendes Gerät beharrlich weigerte das Netz zu verlassen.
Es nutzte die offensichtlich „gespoofte“ Mac Adresse des tablet PCs meines Mitbewohners welches ich zuvor eigenhändig aus dem Netz verbannt und abgeschaltet hatte. Dies war nur über einen Hardreset und sofortiges Ausschalten möglich gewesen, da beide Geräte miteinander verkoppelt schienen. Ich hatte zudem darauf geachtet, dass sich auch kein weiteres Gerät mehr im Netz befand. Eine erste Wiederherstellung der Firmware des Speedports schien den sog. „localhost“ wenig zu beeindrucken der den Router noch immer über das Wlan -wie es damals zumindest schien – kontrollierte.
Das Gerät, bei dem es sich möglicherweise um eine modifizierte Playstation 3 gehandelt haben könnte, verblieb stur im Netzwerk, obwohl beide Passwörter (Wlan und Router) bereits von mir mehrfach zurück- und neu aufgesetzt worden waren. Das Internet hatte ich zuvor bereits getrennt, doch erst mit einem erneuten Hard Reset, dem Trennen sämtlicher Leitungen, incl. der Telefonleitung und einer sehr schnell darauf folgenden erneuten Passwortänderung war es schließlich möglich die Firmware korrekt auf das Gerät aufzuspielen. Danach war der Router zumindest augenscheinlich erstmal sauber und ich änderte sofort die Passwörter, was mein Mitbewohner Henrik im Laufe des Tages sogar nocheinmal tat.
Um in der Folgezeit das Risiko einer Verbreitung von Viren und Schadsoftware im Hausnetz zu minimieren, beschloss ich mein eigenes Netzwerk zu bauen, indem ich eine fritzbox 7240 per Kabel an den Speedport meines Mitbewohners anschloss und diese als gesonderten Verteiler für mich nutzte ( kein Repeater Betrieb!).
Ebenso setzte ich auf allen meinen Rechnern und mobilen Geräten (mit Ausnahme des Mac und meines iPhone 5…) neue Betriebssysteme auf, was eigentlich sämtliche Malware hätte unschädlich machen müssen und glaubte nun wieder Herr der Kontrolle über den Wlan-Traffic in meinem Netzwerk zu sein.
Es ist jedoch möglich, wenn nicht sogar wahrscheinlich, dass auf einem meiner Geräte eine Hintertür offen geblieben ist. Mittlerweile weiß ich auch, dass es sich hierbei um das angeblich „sicherste“ Gerät handelte, welches ich besaß. Aufgrund meiner besonders bedachten Vorgehensweise konnte ich den jüngsten Angriff, der ab Ende 2017/ Anfang 2018 offensichtlich wurde, jedoch relativ gut rekonstruieren.
Da die ganze Sache war äußerst nervenaufreibend war, begannen mich in der dieser Zeit massive Gesundheitsbeschwerden zu plagen, aber diese Story muss ich Euch an anderer Stelle präsentieren – sie ist mindestens ebenso haarsträubend und gruselig…
Die Sache mit dem iPhone:
Es funktionierte zunächst wieder alles, lediglich mein iPhone 5, das im Sommer des Vorjahres plötzlich den Geist aufgegeben hatte, liess sich noch immer nicht wiederherstellen, weil eine Verifizierung der Software durch den Apple Server nicht abgenickt wurde. Das von mir konsultierte „Genius“ im Apple-Retail-Store diagnostizierte standartmäßig einen Hardware Defekt am Motherboard und tröstete mich mit dem Hinweis, daß das Gerät ja doch immerhin drei Jahre gehalten habe.
Meinem Einwand, daß das Gerät direkt infolge eines Updates nach dem Umschalten in den Energiesparmodus plötzlich mit einem Red-Screen ausgegangen war und bei der Wiederherstellung ein Fehlercode ausgegeben wurde, der einen jailbreak vermuten liess, wurde dabei keine Beachtung geschenkt.
Damals war mir noch nicht klar, daß dies der Ausgangspunkt einer fast zwei Jahre dauernden Zeit des Kampfes gegen einen unsichtbaren Gegner sein würde, dessen Potential mir Schaden zuzufügen bis heute noch lange nicht ausgeschöpft ist.
Die Wiederherstellung war nicht nur an meinem eigenen PC unmöglich, sondern auch bereits 2016 ebenso am Mac meines Tätowierers gescheitert, obwohl das Gerät am Lan-Kabel hing.
Etwa um ein Jahr und mindestens ein Apple-seitiges Update später gelang mir schließlich beim dritten Anlauf, wie von Apple in der entsprechenden Anleitung prognostiziert die Wiederherstellung des Gerätes. Zu dieser Zeit besaß ich bereits ein weiteres (iPhone 4S) welches mein Vater über ebay ersteigert und repariert hatte — es ist eines seiner Hobbies defekte Geräte zu kaufen und diese zu wieder instand zu setzen, die Bastelleidenschaft habe ich von ihm geerbt…
Außerdem hatte ich von ihm noch ein weiteres 4S bekommen, bei welchem der Wlan/ Bluetooth Chip defekt war. Ein Umstand der sich an späterer Stelle, noch als äußerst glücklich herausstellen sollte, denn gerade dieses eigentlich nur halbwegs nutzbare Gerät lieferte mir schließlich den Schlüssel zur Erkenntnis, auch wenn sich meine Theorie der manipulierten Software im augenblicklichen Szenario als nicht mehr zwingend notwendig zu erweisen scheint. Fest steht, daß mein iCloud Account gehackt worden ist und mehrere Personen (ich konnte zwischen 6 und 8 „Operatoren“ identifizieren) seit geraumer Zeit dieses für ihre Zwecke genutzt haben, während ich selbst davon nichts mitbekam, da auf meinen eigenen Geräten sämtliche Kontrollfunktionen unterdrückt wurden.
Mittlerweile habe ich in dem „geführten Zugriff“ meinen besten Freund unter den Funktionen meiner iDevices gefunden xD
Auch das Verstellen der Uhr auf eine „organische Uhrzeit“ und das Deaktivieren der Zeit-Automation wirkt wahre Wunder, möchte man unliebsame Eindringlinge von seinen Geräten fernhalten. Desweiteren empfehle ich denjenigen unter Euch, meine lieben Leser, die sich in einer ähnlichen Situation wiederfinden das Abschalten der Spotlight Suchfunktion, sowie die Deaktivierung der Emoji Tastatur und aller weiteren, bis auf Deutsch QWERTZ o.ä., ebenso sollte man „Handoff“ deaktivieren (gaaanz wichtig) und die Home-Funktionen abschalten. Auf Wlan, Bluetooth und mobile Daten/ WWMA sollte man dringend verzichten, solange der Angriff dauert. Leider musste ich festellen, daß mir meine Geräte teilweise sogar noch nach der zusätzlichen Entnahme der SIM Karte
nicht gehorchen wollten. Es wirkte beinahe so, als würde ein zweiter User direkten Einfluß auf das Gerät nehmen.
Ich werde an späterer Stelle eine (sehr umfangreiche) Liste sämtlicher Funktionen präsentieren, die sich als potentiell gefährlich entpuppt haben.
Zu meiner Situation hinzu kam im Übrigen der Umstand, daß ich (mit einem solide gefährlichen Halbwissen bewaffnet) ein dual-boot Ubuntu 16.10 / Windows System mit LVM Technologie nutzte bei welchem sich beide Installationen auf derselben Platte befanden. Eine fatale Konstellation, vor welcher an keiner Stelle in den mir zur Verfügung stehenden Informationsquellen gewarnt wurde – was jedoch mit dem Umstand zusammenhängen könnte, daß meine Auswahl an Internetquellen stark gefiltert wird, sobald ich mich im Einzugsbereich der Wlan-Netze unseres Hauses befinde.
Da ich auch Unregelmäßigkeiten bei der Nutzung der mobilen Daten feststellen konnte, scheint auch eine Manipulation meiner Nano-SIM möglich, da ich diese erst nach der dritten Zusendung im Jahr 2014 erhalten habe.
Eine möglicherweise wichtige Beobachtung ist, daß das Telefon nach der Wiederherstellung kontinuierlich abstürzte, bis schließlich die SIM-Karte eingelegt war. Nach dem Einlegen der SIM ergibt sich der reproduzierbare Effekt, daß das Telefon erneut abstürzt und bootet – möglicherweise um eine fehlerhafte Einstellung auszugleichen, die durch die Informationen auf der Karte neutralisiert wird.
Kaum hatte ich jedoch (August 2017) mein iPhone 5 wieder in Betrieb genommen (es geschah buchstäblich fast im selben Moment) verabschiedete sich das schwarze – vorher tadellos funktionierende – iPhone 4S, das vor kurzem erst einen neuen Akku von mir erhalten hatte. Daher ging ich davon aus, daß der Akku erneut kaputt gegangen sei und liess das Gerät zunächst einmal liegen, da ich es nicht wirklich benötigte.
Erst vor einigen Tagen nun stellte ich fest, daß während der folgenden Monate ein Software Crash stattgefunden hatte, der durch eine Diagnose-Meldung im Gerät eindeutig datierbar war*
* Anm. Hier lag ich wohl falsch, denn die Log Datei verweist tatsächlich auf den 10/07/2017. Der Fehler ist wohl dem Umstand geschuldet, daß ich schon nervlich sehr angegriffen war. Eine Manipulation der Log Dateien, scheint mir eher unwahrscheinlich, denn hierfür müsste ein root Zugang notwendig sein.
EPISODE VIII:
Dem ersten Angriff waren bereits während des Jahres 2016 einige Phänomene vorausgegangen, die zunächst den Anschein erzeugten, als sei der von mir verwendete Wlan-Adapte defekt, mit dem ich meine HP-Workstation mit dem Internet verband. Ein Umstand der mir bald den letzten Nerv zu rauben begann – damals wusste ich noch nicht, wwwas noch so alles auf mich zukommen würde – denn es gelang mir kaum mit dem Aufbau meiner Webseite weiterzukommen, da deren Inhalte sofern nicht abgespeichert, mit jedem Disconnect zurückgesetzt wurden. Hinzu kamen massive Probleme mit
dem „Homepage Editor“ meines Anbieters, denn auch die von mir vorgenommenen Einstellungen auf meiner Webseite (vor allem Schrifttypen und Button Designs) wurden trotz Abspeichern immer wieder zurückgesetzt.
Im Januar 2017 versuchte mein Webseiten-Anbieter mich durch eine Einschränkung der mit dem Homepage Editor erstellten Seiten von zunächst 120 auf lächerliche 5, eine deftige Preiserhöhung von mir zu erzwingen. Obwohl das in meinen Augen einen klaren Vertragsbruch darstellte, verwiesen mich die Berater der Firma immer nur auf ein Entgegenkommen mit 13 zusätzlichen Monaten. Einige Recherchen brachten mich schloeßlichn auf die Spur des beidseitig gehackten (also komplett offenen) Routers, dessen Internetleitung ich auch in diesem Moment noch immer mitbenutze. Die Neuinstallation des Telekom Speedport gestaltete sich äußerst schwierig, da ein als „localhost“ zu identifizierendes Gerät sich beharrlich weigerte das Netz zu verlassen.
Es nutzte die „gespoofte“ Mac Adresse des tablet PCs meines Mitbewohners welches ich zuvor eigenhändig aus dem Netz verbannt hatte. Dies war nur über einen Hardreset und sofortiges Ausschalten möglich gewesen. Ich hatte zudem darauf geachtet, dass sich auch kein weiteres Gerät mehr im Netz befand. Eine erste Wiederherstellung der Firmware des Speedports schien den sog. „localhost“ wenig zu beeindrucken der den Router noch immer über das Wlan -wie ich damals zumindest noch glaubte – kontrollierte.
Das Gerät, bei dem es sich möglicherweise sogar um eine modifizierte Playstation 3 gehandelt haben könnte, verblieb stur im Netzwerk, obwohl beide Passwörter (Wlan und Router) bereits von mir mehrfach zurück- und neu aufgesetzt worden waren. Das Internet hatte ich zuvor bereits getrennt, doch erst mit einem erneuten Hard Reset, dem Trennen sämtlicher Leitungen, incl. der Telefonleitung und der folgenden erneuten Passwortänderung war es schließlich möglich die Firmware korrekt auf das Gerät aufzuspielen. Danach war der Router zumindest augenscheinlich erstmal sauber und ich änderte sofort die Passwörter, was mein Mitbewohner Henrik im Laufe des Tages sogar nocheinmal tat.
Um in der Folgezeit das Risiko einer Verbreitung von Viren und Schadsoftware im Hausnetz zu minimieren, beschloss ich mein eigenes Netzwerk zu bauen, indem ich eine fritzbox 7240 per Kabel an den Speedport meines Mitbewohners anschloss und diese als gesonderten Verteiler nutzte (jedoch kein Repeater Betrieb!). Ebenso setzte ich auf allen meinen Rechnern und mobilen Geräten (mit Ausnahme des Mac…) neue Betriebssysteme auf, was eigentlich sämtliche Malware hätte unschädlich machen müssen und so glaubte ich nun wieder Herr über die Kontrolle des Wlan-Traffics in meinem Netzwerk zu sein. Es ist jedoch möglich, wenn nicht sogar wahrscheinlich, dass auf einem meiner Geräte eine Hintertür offen geblieben ist. Mittlerweile weiß ich auch, dass es sich hierbei um das angeblich „sicherste“ Gerät handelte, welches ich besaß. Aufgrund meiner besonders bedachten Vorgehensweise konnte ich den letzten Angriff Ende 2017/ Anfang 2018 jedoch relativ gut rekonstruieren.
Da die ganze Sache äußerst nervenaufreibend gewesen war, begannen mich in der dieser Zeit massive Gesundheitsbeschwerden zu plagen, aber diese Story muss ich Euch an anderer Stelle präsentieren – sie ist mindestens ebenso haarsträubend und gruselig…
Die Sache mit dem iPhone:
Es funktionierte zunächst wieder alles, lediglich mein iPhone 5, das im Sommer des Vorjahres plötzlich den Geist aufgegeben hatte, liess sich noch immer nicht wiederherstellen, weil eine Verifizierung der Software durch den Apple Server nicht abgenickt wurde.
Die Wiederherstellung war nicht nur an meinem eigenen PC nicht möglich, sondern auch bereits im Vorjahr ebenso am Mac meines Tätowierers gescheitert, der am Lan-Kabel hing. Im Apple Store wusste man auch nicht weiter und diagnostozierte einen Hardwarefehler, obwohl eindeutig die Software das Problem zu sein schien. Der Absturz des Gerätes erfolgte nämlich direkt nach einem Update (wahrscheinlich war dies bereits der erste Versuch gefälschte Software auf mein Gerät aufzuspielen). Damals erahnte ich jedoch die Zusammenhänge zwischen den Ereignissen noch nicht.
Etwa ein Jahr und mindestens ein Apple-seitiges Update später gelang mir schließlich die Wiederherstellung des Gerätes. Zu dieser Zeit besaß ich bereits ein iPhone 4S, welches mein Vater über ebay ersteigert und repariert hatte — es ist eines seiner Hobbies defekte Geräte zu kaufen und diese zu wieder instand zu setzen, die Bastelleidenschaft habe ich von ihm geerbt…
Außerdem hatte ich von ihm ein weiteres 4S bekommen, bei welchem der Wlan/ Bluetooth Chip defekt war. Doch gerade dieses eigentlich nur halbwegs nutzbare Gerät lieferte mir schließlich den Schlüssel zur Erkenntnis…
Kaum hatte ich (August 2017) aber mein iPhone 5 wieder in Betrieb genommen (es geschah buchstäblich fast im selben Moment) verabschiedete sich das schwarze – vorher tadellos funktionierende – iPhone 4S, das vor kurzem erst einen neuen Akku von mir erhalten hatte. Daher ging ich davon aus, daß der Akku erneut kaputt gegangen sei und liess das Gerät zunächst einmal liegen, da ich es nicht wirklich benötigte.
Erst vor einigen Tagen nun stellte ich fest, daß während der folgenden Monate (genauer gesagt am am 07.10.2017) ein Software Crash stattgefunden hatte, der durch eine Diagnose Meldung im Gerät eindeutig datierbar war, obwohl das Gerät an diesem Tag definitiv nicht in Betrieb gewesen sein kan. Das iPhone hatte zu dieser Zeit bereits einige Wochen im Tiefschlaf verbracht.
Als ich etwa einen Monat später eine neue Batterie einsetzte, liess sich das Gerät noch immer nicht starten, was ich wiederum an einer defekten Batterie festmachte. Sehr zu meinem Erstaunen funktionierte es jedoch einige Tage später, nachdem ich das Gerät erneut geöffnet und versuchsweise den alten Akku wieder eingesetzt hatte.
Ich schenkte diesem Umstand keine weitere Beachtung, bereits seit August 2017 waren mir die fortwährenden An- und Abmeldungen meines iPhone 5 am Router jedoch aufgefallen. Hinzu kamen einige gescheiterte Anmeldungsversuche, die ich eindeutig als fremde Zugriffsversuche identifizieren konnte.
Als ich schließlich im Januar 2018 bemerkte, dass mein Computer sich erneut immer wieder aus dem Internet verabschiedete, obwohl er eigentlich verbunden zu sein schien, war es leider bereits zu spät.
Nach ein wenig Recherche schaltete ich zum Test das Javascript im Browser meines Rechners aus (about:config in der adresszeile angeben, dann die Warnung zur Kenntnis nehmen und auf „weiter“ klicken). Was ich daraufhin sah, liess mir das Blut in den Adern gefrieren: Da stand mein Wlan-Passwort in einem langen „string“ („lua“) als Klartext anzeigt. Der string sah etwa so aus:
login.lua?page=/wlan/pp encrypt.lua wep shared=0 wpakey= [ an dieser Stelle folgte mein Passwort, danach folgte noch ein längerer Teil).
Sofort begann ich meinen Rechner auf weitere Manipulationen hin zu untersuchen, was sich jedoch als äußerst tricky herauszustellen begann.
Von seiten meines Routers schien es ebenfalls ein Problem zu geben, die HP-Workstation war zwar über ihre Mac Adresse verbunden und es herrschte reger Datenverkehr, obwohl sich in meinem Browser nicht einmal Google öffnen liess.
Ebenso waren viele meiner auf Sicherheit ausgelegten Einstellungen offensichtlich so manipuliert worden, dass ein Remote-Zugriff nun problemlos mit regulärer Software möglich war. Es schienen zudem einige Funktionen von der Benutzeroberfläche verschwunden zu sein.
Was mich aber eigentlich am meisten verwunderte: Wie war es möglich meinen Router, der eigentlich mit einem 16 stelligen komplex-kryptischen wpa 2 passwort gesichert war und sämtliche Einstellungen, die einen Zugriff von außen zulassen können gesperrt hatte, plötzlich ebenso zu zerlegen, wie im Jahr zuvor der Speedport meines Mitbewohners. Die Einstellungen waren wie folgt konfiguriert:
Kein Remote-Zugriff über myFritz,
kein fritz-usb stick erlaubt
kein Ipv6,
kein Plug&Play,
keine smart-Home Funktion aktiviert,
keine Kommunikation zwischen den Geräten erlaubt
Zugang nur für wenige, vorher festgelegte Mac Adressen
ein bomensicheres Passwort,
unsichtbares Netz
und am wichtigsten: keine mDNS
(Router DNS wird automatisch erzeugt und sollte — nach meinem Wissen — immer den Wert 127.0.0.1, bzw. gar keinen Eintrag besitzen, auch die Ip Adresse der fritzbox 192.168.2.1 schien korrekt. Allerdings liess sie sich nicht mehr über f r i t z punkt b o x * aufrufen, was immer ein Warnsignal sein sollte, solange der Router nicht als Repeater betrieben wird.
*(ca. vier h — auch hier wurde bereits kurz nach meiner Eingabe wieder ein script eingefügt, das selbst durch systematische Zerstörung bis zum Zerlegen in einzelne Buchstaben, nicht kaputt zu kriegen war, bis ich es komplett gelöscht hatte–).
Als ich die Fritzbox daraufhin untersuchte stellte ich fest, dass sich viele meiner Einstellungen verändert hatten und plötzlich einige Funktionen fehlten. Unter anderem war es den Gräten nun zudem gestattet untereinander zu kommunizieren und noch schlimmer, die Router-DNS hatte den Wert 127.0.53. (oder ähnlich). Langsam wurde mir mulmig und als ich daraufhin begann im Internet nach der Ursache der Phänomene zu forschen, stieß ich auf das folgende Dokument:
*(ca. 3:30h Da mein ipad an dieser Stelle immer wieder ein script einfügen will, musste ich den folgenden link systematisch (durch leicht nachvollziehbare Manipulationen) zerstören:
wwiw. sc ri
bd .
com
/doc
um
ent/
36 6
5
6 3
6 92/ha
cki ng- wire
less-
netw
orks-
the-
ultim
ate-
hands-on
-guide
Hier wurde exakt die Methode beschrieben, mit welcher im vergangenen Jahr bereits der Router meines Mitbewohners gehackt worden war, dessen Internet Zugang ich zu dieser Zeit noch über Wlan mitbenutzte.
— Einschub: In diesem Moment überarbeite ich den Text vom Anfang her ( es ist jetzt ca. halb drei, So 11/
03/2018 – schon wieder ein verlinktes script) da ich festellen musste, dass bereits während der Eingabe die Textstellen verändert und gelöscht werden, habe ich das ipad nun vom Wlan getrennt.—
Im folgenden möchte ich nun beschreiben, wie der Angriff stattgefunden hat, damit ihr Euch ein genaus Bild davon machen und selbst Vorsichtsmaßnahmen ergreifen könnt:
Es begann damit, dass man mein Netzwerk auf nach außen hin offene („lauschende“) Ports abklopfte und so den Druckerport ausfindig machte (Stichwörter „ping“ und „cupsd“), der im Folgenden genutzt wurde, um emails über meinen Rechner zu verschicken. Es wurde dabei möglicherweise eine Funktion namens „gutenprint“ genutzt, deren Name in den von mir gesichteten Dokumenten häufiger auftaucht.
Das erste Gerät, bei welchem mir im Vorjahr bereits eine Veränderung aufgefallen ist, war mein altes PowerBook G4. Dieses ist wohl ebenso für den Angriff im Januar genutzt worden, wahrscheinlich über eine komplette Steuerung von außen. Ich konnte eine Remote-Installation vom 2.Dezember 2017 auf dem Powerbook entdecken, nachdem es mir gelungen war das Gerät von seinem „localhost“ zu trennen. Die manipulierte Software liess sich glücklicherweise aufgrund der Technik der G4 Rechner relativ leicht entfernen und viele der installierten Programme waren auf dem Powerbok überhaupt nicht ausführbar. Vermutlich wurde es wohl nur als Operator für ein entferntes Windows System, den „localhost“, genutzt. Es ist durchaus möglich, dass es sich bei diesem Windows System ebenfalls um eine VM (Virtual Machine) gehandelt hatte, die auf meiner HP-Workstation installiert ist. Zumindest bei meiner letzten Inbetriebnahme des Gerätes im Februar befand sie sich noch dort.
Es war mir bereits zuvor ein paarmal aufgefallen, daß das Bereitschaftslämpchen des Powerbook leuchtete, obwohl ich eigentlich glaubte den Computer ausgeschaltet zu haben. Dieses Verhalten konnte ich ebenso bei meinen drei anderen Rechnern beobachten, inklusive der HP-Workstation (dual boot Win7 & Ubuntu Studio), die von mir im vorigen Sommer sogar eine neue Festplatte erhalten hatte, nachdem die alte wahrscheinlich auch infolge des ersten Angriffs, im Sommer 2016 bereits den Geist aufgegeben hatte. Möglicherweise war auch dieser Hardware Defekt bereits direkt mit einem remote-Eingriff verbunden, denn auch eine weitere Festplatte mit wichtigen Backups und den aktuellsten Versionen meiner Arbeiten versagte kurz nach ihrer Inbetriebnahme in dem neu installierten Rechner.
Der Angreifer benutzte wahrscheinlich ein spezielles Gerät („Mikrowelle“ oder Radar) um die offenen Funk-Kanäle in meiner Wlan Umgebung zu beeinflussen und meinemGeräte auf einen bestimmten Kanal zu zwingen, an welchem ein Router mit demselben Netznamen – möglicherweise handelte es sich auch um dasselbe Modell oder zumindest eine kompatible Firmware – dies scheint aber nicht zwingend notwendig gewesen zu sein. Es genügte wohl bereits einen der beiden Kontaktpunkte zu imitieren, um meine Zugangsinformationen abzufangen. Die hier von mir beschriebene Methode ist weitgehend als „Man in the Middle“ Attack bekannt.
Dazu musste er es möglicherweise erreichen, dass ich sein Netz selbstständig anwähle, denn ich erinnere mich daran den Namen meines („unsichtbaren“) Netzes mehrfach in der Liste gesehen zu haben („URD“ und „URD 2“).
10/ 03/ 2018 – 2:00h
Während ich dies schreibe scheint es als würde mein ipad immer langsamer. Ich versuche meine Bildschirmfotos für den für meinen Fall zuständigen Advisor auf den iCloud Server zu laden, doch irgendwie verweigert mir das Gerät diesen Dienst. Ich habe bereits alle Apps vom Homebildschirm verbannt, was es zumindest erlaubte den Ladeprozess einzuleiten, dann jedoch hängt es.
Ich schreibe weiter und nach einer Weile prüfe ich den Fortschritt erneut,
Als nächstes gelang es dem Angreifer das Modell meines Wlan Adapters (ein stick, da mein Rechner keinen eingebauten wlan Adapter besitzt) zu ermitteln – dummerweise ein billiges und weit verbreitetes Modell. Im Anschluss schickte man mir über einen „lauschenden“ Druckerport (i.d.R. 5335 oder 5353) ein nachgestelltes Fenster auf die Workstation, welches mich zur Eingabe des Wlan Passwortes aufforderte.
Nachdem man das Wlan Passwort geknackt hatte, war es notwendig meine Geräte zu imitieren, was über sog. „gespoofte“ Mac Adressen funktioniert. Mac Spoofing ist eine reguläre Funktion eines jeden Linux Systems und eigentlich zur Erhöhung der Sicherheit gedacht, da man auf diese Weise verhindert, dass ein Angreifer durch die Mac Adresse wertvolle Informationen über das Gerät erhält.
Das war dann auch die Ursache für das ständige erneute Verbinden des Computers und des iphone 5. Als das Wlan Passwort erstmal geknackt war, blieb der Angriff auf den Router, der wahrscheinlich e
Einschleusen von Code bzw. faulen Zertifikaten geschieht möglicherweise über
1. Dropbox App
2. Bei icloud Zugriff auch über den icloud Drive (dort erscheinen einige meiner word-Dokumente plätzlich als zip Dateien)
3. manipulierte links in Notizen (über icloud gesyncht)
auffällig ist, dass immer wieder neue links in meinen Notizen auftauchen, selbst wenn ich diese systematisch eliminiere (s.o. link) wahrscheinlich werden diese links genutzt, um eine Verbindung zur App aufzubauen, über diese können dann wiederum andere Apps angesprochen werden.
Die Synchronisation von Dokumenten über icloud scheint einer der Knackpunkte zu sein.
Die Verbindung über den telnet client geschieht auch mit einer jungfräulichen Karte (Gerät versendet sms) die über sms gesendeten Einstellungs links scheinen auch zu funktionieren, wenn sie nicht aktiviert wurden.