Update 19.09. – DEINE LOLA: Ausführliches Dossier zum ÖVP-Hackerangriff

DEINE LOLA ist ein/eine anonyme/r Netzaktivist/in. Die folgenden Informationen wurden heute 11.09.2019 auf Facebook veröffentlicht. Um eine möglichst hohe mediale Verbreitung zu erreichen, haben wir uns entschlossen das Dossier hier auf unserer Website zur Verfügung zu stellen.

Das Original finden Sie auf: https://m.facebook.com/story.php?story_fbid=125243002160917&id=111146710237213

DEINE LOLA im Netz:

Twitter: twitter.com/deinelola

Facebook: facebook.com/deinelola

Dossier

Der Datenleak (wahrscheinlich eines Insiders) der als Hack verkauft wurde. Eine sehr lange Analyse zu den Angaben der ÖVP über ihren „Hackerangriff“ der vermutlich nie einer war. (Letztes Update 11.9.2019)

KAPITEL 1 - Das Märchen vom bösen Hacker

Spielen wir also den ÖVPLeak bzw. ÖVPHack durch. Nehmen wir an die Angaben in diesem Kurier Artikel (siehe Link unten) sind zumindest teilweise valide. Nehmen wir an der Begriff „Goldener Schlüssel“ ist (vorrerst) nur Nonsense. Wir reden von Username & Passwort eines Administrators.

Später werden wir auch eine Variante mit dem „Kerberos Golden Ticket“ durchspielen auf dass sich der mysteriöse „Goldene Schlüssel“ (Kurier) beziehen könnte.

kurier.at/…/absolut-plausibel-was-experten-zum-ha…/400597691

KAPITEL 2 - Die märchenhaften Zugangsdaten

Die Zugangsdaten für das Administratoraccount sollen laut Artikel von neuevolkspartei.wien (!) kommen. Sie sollen dort durch eine Phishing-attacke gestohlen worden sein. Das heißt hier wurden die selben Zugangsdaten wie im Intranet verwendet. Das wirft schon mal erste Fragen auf.

Hier die Grafik welche die Domain
neuevolkspartei.wien als Quelle der Zugangsdaten für das Intranet (also das interne abgesicherte Netzwerk der ÖVP) angibt.

image.kurier.at/images/cfs_1232w/3754292/46-148849767.jpg

Es gab vor kurzem einen massiven staatlichen Datenleak. Darunter auch Blümels Zugangsdaten dem diese Domain gehört. Wer beweist uns also dass Username & Passwort (ich nehme schwer an von Blümel) durch einen Hack besorgt wurden? Jemand kann auch durch den Passwortleak oder einen Insider (Maulwurf) an diese Accountdaten gekommen sein. (Vormals war das wien.oevp.at nebenbei) Von dieser Domain stammen die geleakten ÖVPMails. 😉

futurezone.at/…/passwoerter-oesterreichischer-pol…/400488727

Das absolut einzige was diese Events verbindet sind schwammige Angaben der ÖVP. Dass sich jemand im Intranet mit „gestohlenen“ Zugangsdaten herumbewegt & davor auf neuevolkspartei.wien die Zugangsdaten besorgt hat. Die müssten dann die exakt selben sein. Sehr sehr unwahrscheinlich.

Noch dazu: WOHER soll ein externer Hacker überhaupt wissen dass er/sie auf diesem Webserver Zugangsdaten stehlen kann die ZUFÄLLIG die selben sind wie die des Netzwerks der ÖVP? Er müsste dann Hinweise erhalten haben dass er dort Daten stehlen kann die ihm die Möglichkeit geben sich ins Intranet der ÖVP einzuloggen. Wer soll ihm/ihr diesen Hinweis gegeben haben? Wieder nicht ohne Insider möglich.

Weiter: Der „falsche“ User der sich im Intranet bewegt hat war komplett anonym. NIEMAND kann diese zwei komplett verschiedenen Anomalien stichfest verbinden. Das ist ein aufgetischtes Märchen! Hier ist der ganz ganz MASSIVE Haken an dieser Story. Diese Person war durch TOR geschützt. Es ist also nicht nachvollziehbar wer das war. Und wird es nie sein.

Noch dazu: Das selbe Passwort für ein Admin Account im Intranet & einen Webserver zu verwenden ist grob fahrlässig. NIEMAND kann sicher festhalten dass das Passwort für den User im Intranet bei neuevolkspartei.wien gestohlen wurde. Die Zugangsdaten können überall her kommen.

Fahren wir fort. Das einloggen in ein System mit Passwort & Usernamen alleine ist kein „Hack“. Hier wird wie wild mit verschiedenen Phrasen herumgeworfen. Der „falsche“ User im Intranet muss NICHTS mit den Anomalien beim Webserver zu tun gehabt haben. Es sind 2 komplett unterschiedliche Dinge!

Ok. Man hat den „falschen“ User also nach Tagen erkannt. Warum hat man nicht sofort alle Admin Zugänge gesperrt? Warum nicht alle Admin Zugangsdaten zurückgesetzt? Vieles an dieser Geschichte hakt gewaltig.

Die Story der ÖVP ist ganz weit hergeholt. Ihr „Hack“ war in Wahrheit ein anonymer User mit Adminrechten. Das kann jeder der Zugangsdaten hat. Man erdichtet dann dass er/sie „bestimmt“ das Passwort von einem User von neuevolkspartei.wien gestohlen hat. Das ist grobe Täuschung.

Übrigens: Zwischen dem angeblichen Hack des Webservers neuevolkspartei.wien, von dem die Zugangsdaten für das Intranet stammen sollen & dem anonymen einloggen ins interne Netzwerk der ÖVP liegen mehr als 2 Wochen. (!) Dieser Zusammenhang ist einfach nur gedichtet & erlogen.

Es ist technisch absolut UNMÖGLICH diese beiden Ereignisse in einen Zusammenhang zu bringen. In so einem Zeitraum finden 100te Anomalien und Hackingversuche auf einen normalen Webserver statt. Immer. Das verknüpfen dieser „Ereignisse“ ist alleine schon eine gewollte Täuschung.

Damit MUSS man die ÖVP löchern. Diese Fragestellung stellt ihre ganze inszenierte „Story“ in Frage. Warum wurde es so dargestellt als ob diese Ereignisse zwingend zusammengehören & ein und derselbe Angriff wären? Das ist eine Manipulation der bisher bekannten Tatsachen.

KAPITEL 3 - Das mysteriöse Goldene Ticket

Nehmen wir nun an mit „Goldener Schlüssel“ ist wirklich ein „Kerberos Golden Ticket“ Exploit gemeint. Darunter versteht man ein Tool was einem Administrator, der es ausführen kann, zusätzliche Rechte für andere Systeme innerhalb eines Netzwerks zugesteht. Er muss vorher Administrator sein, daher sind die Zugangsdaten über die wir vorher gesprochen haben enorm wichtig. Er kann damit also Administrator auf ALLEN Systemen werden nicht nur auf dem System in dem er/sie sich gerade befindet.

www.cyberark.com/bl…/kerberos-attacks-what-you-need-to-know/

Nehmen wir an der Adminuser wollte sich also komplett frei auf allen Systemen des ÖVP Netzwerks bewegen. Er führt das Tool aus und wird sozusagen ein „Gottuser“. Er kann nun alles. Um Dateien aus dem ganzen Netzwerk zu sammeln hat er sich selbst die Rechte zu allen Servern erteilt. Gut. Das soll so sein. Das nennt man Exploit oder Hack. Beweist uns dass jedoch irgendetwas? Gibt es einen Hinweis darauf ob der User der dieses Tool ausführt ein Maulwurf, ein externer Intruder, ein Alien oder ein russischer Agent ist? Nein.

Die plausibelste einfachste Erklärung wäre folgende: Der Adminuser ist ein Insider der ÖVP der sich schon länger im Netzwerk befindet und Daten leakt. Einmal hier, einmal da. Möglichst unauffällig um möglichst wenig Spuren zu hinterlassen. Er manipuliert KEINE Dateien. Er führt keine Skripts aus, er leakt nur, ganz unauffällig immer wieder sensible Daten auf die er Zugriff hat.

Möglicherweise legt er hin und wieder neue Admin Benutzer an um auf Systeme zuzugreifen die interessante Daten bieten. Dann löscht er die Benutzer wieder. Auch das wäre schon riskant, aber möglich. Booooooom! Herein kommt Superheld Avi Kravitz. Die ÖVP ist so nervös, weil immer mehr Internas an die Öffentlichkeit gelangen, dass sie nach Monaten an tröpfchenweisen Leaks, die Schnauze voll hat. Sie MUSS den Maulwurf mit allen Mitteln aufspüren.

Der Insider wird nervös, er nimmt nun volles Risiko und aktiviert den „God Mode“ den er vielleicht schon lange als letzten großen Coup geplant hat. Mittels dem „Kerberos Golden Ticket“ Hack verschafft er sich nun auch Zugang zu Systemen die vorher viel zu riskant waren. Es ist eh schon egal. Er sammelt alle Daten zusammen, und transferiert die geballten 1,3TB ins Nirvana. Wir haben keine Ahnung wie, es klingt auch extrem unplausibel.

Schöne Geschichte. Es ist und bleibt eine Geschichte. Aber die Moral von dem Märchen ist eine ganz wichtige: SOGAR WENN der Adminuser einen „Golden Ticket“ Hack/Exploit angewandt hat, beweist dass immer noch überhaupt nicht dass der User ein externer Hacker gewesen sein soll! VIEL VIEL LOGISCHER wäre schon wieder ein Maulwurf der sich im System auskennt und den Hack als letzten Trick angewendet hat bevor er endlich unerkannt abtaucht. Ende des Märchens.

Die ÖVP schließt einen Leak aus, hat aber einen Leak. Sie schließt einen Insider aus, obwohl es die absolut logischste Erklärung, für alles ist. Das ist suspekt. Sehr suspekt. Es wird aber immer skurriler.

KAPITEL 4 - Avi & die rätselhaften 1,3 Terabyte

Fahren wir fort: Der Download von 1300 GB an Daten soll also am 28.8. stattgefunden haben. Zu diesem Zeitpunkt war Avi Kravitz bereits 5 Tage an der Arbeit im ÖVP-System. (!) Direkt unter seiner Nase zog man also 1,3 TB Daten heraus? Das ist komplett unrealistisch.

1300 GB Daten mit 100Mbps runterzuladen dauert mehr als 31h (Korrektur). Bitte wie soll man das nicht merken? Warum lade ich auf einmal 1,3TB herunter? Wo war der Zielserver? Alles höchst dubios und unwahrscheinlich. Man würde sofort die Verbindung kappen.

Einige weitere wichtige Fragen die wir uns dazu stellen sollten:

– Das sind enorm viele Daten, woher, warum?
– Wohin wurden sie kopiert?
– Ist der Zielserver bekannt?
– Oder konnte der Adminuser die IP des Zielservers schützen?

Es ist schwer genug Admin Rechte in einem kompletten System zu erhalten. 1,3 TB runterzuladen dauert schon mit einer normalen Verbindung lange. Nehmen wir an der Adminuser konnte die IP des Zielservers wiederum durch einen VPN oder Tunnel schützen.

Ok. Dann dauert die Übertragung von 1,3 TB natürlich noch länger. Nehmen wir an 10 Mbit/s. Es geht um einen Download & Upload auf den Zielserver. Dann dauert das ganze 310h also 12 Tage. 12 Tage läuft ein Datentransfer. Das sind fast 2 Wochen.

2. Option die Übertragung war nicht durch einen zusätzlichen VPN oder ähnliches geschützt. Dann wäre die Übertragung schneller, 100 Mbit/s = 31h aber der Zielserver wäre BEKANNT. Von TOR reden wir gar nicht denn das wäre unmöglich langsam. Sagen wir 1 Mbit/s = 129 Tage.

Ist der Zielserver bekannt, ist der User nicht mehr anonym und kann zurückverfolgt werden. Option 1: Da der Download schnell gehen musste ist auch der Zielserver bekannt. Die ÖVP weiß wer die Daten kopiert haben muss. Sie rückt es aber nicht raus. Es wird verschleiert.

Option 2: Der Zielserver war wiederum durch ein aufwendiges Konstrukt (VPN, TOR, Tunnel) geschützt. Dann ist 1300 GB innerhalb weniger Tage runter & wieder rauf zu laden, geroutet durch etliche Gateways, verschlüsselt etc… Unrealistisch. Wenn nicht sogar unmöglich.

Update: Ich habe aus vertraulichen Quellen erfahren dass die Leitungen der ÖVP Zentrale in der Lichtenfelsgasse maximal einen Uploadspeed von 10-20 Mbit/s hergeben. Das ist noch viel langsamer als erwartet. Für die ÖVP selbst soll der Upload nochmal langsamer sein und bei 4 Mbit/s liegen. Wir reden hier von der absolut unverschlüsselten Übertragung OHNE VPN.

Das heißt eine realistische Schätzung über die Dauer des Datentransfers von 1,3TB aus der Lichtenfelsgasse 7 auf einen externen Zielserver beträgt: 775h oder 32 Tage. Und das ist schon die schnellste Variante. Das ist das MAXIMUM an Geschwindigkeit.

Nun kommt die nächste Krux. Es hört nicht auf. WÄRE der Upload mit voller Geschwindigkeit gelaufen, wäre die Leitung der ÖVP völlig ausgelastet gewesen. Nichts hätte mehr funktioniert. Mehr als 32 Tage hätte man keine Datei mehr teilen können. Alles was mit Datenupload zu tun hat wäre still gestanden. Emails alles. Vollkommen unrealistisch dass man das nicht merkt. Egal ob katastrophale Security oder nicht. Normales daily business wäre unmöglich gewesen.

Das bedeutet der Upload muss NOCH langsamer gewesen sein. Ihr merkt es langsam: Es wird fast unmöglich diese Datenmenge raus zu bekommen. Gut. Nehmen wir an der Adminuser will die Leitungen zu maximal 25% auslasten damit es niemand bemerkt und er nicht auffliegt. Wir sind mittlerweile bei 1 Mbit/s Uploadspeed angelangt. Das bedeutet: 1,3TB zu transferieren dauert 3102 h oder 126 Tage. Also 4 Monate.

4 MONATE! Die ÖVP soll also nicht bemerkt haben dass jemand 4 f***ing MONATE ihr System zu 25% ausgelastet und 1,3TB Daten, die irgendwo GESAMMELT liegen müssen, auf einen Server irgendwo in die Bahamas transferiert hat? (Witz, wir wissen nicht wo der Zielserver gestanden haben soll)

Wurde der Upload also Monate bevor Kravitz im System war gestartet und er bemerkte zufällig nur die letzten Stunden? Zufällig war genau dann der Download fertig? Oder wurden wir schlicht und einfach MASSIV verarscht und die 1,3TB sind erfunden? Ich tippe auf letzteres.

Was sagt uns das? Irgendwas an dieser Geschichte ist faul. Die Zahl von 1,3 Terrabyte ist eine sehr sehr große. So viel Daten unerkannt, verschlüsselt, anonym von A nach B zu bekommen ist so gut wie unmöglich. Ende dieses Kapitels. Ps: Die Beispielzahlen habe ich mit download-time.com berechnet.

KAPITEL 5 - Ein Maulwurf gräbt um sein Leben

Erste Theorie: Das ist eine False-Flag Aktion. Die Anomalien am Webserver sind einfach herzustellen. Das wurde von einer von der ÖVP engagierten Person anonym durchgeführt. Das selbe Passwort wurde für Webserver & Intranet benutzt. (Absicht!) Kravitz analysiert diese Anomalien.

Weiters ist es sehr einfach einen IT Spezialisten zu holen, dann selbst einen anonymisierten User im Intranet herumeiern zu lassen & den IT Guru dann auf die Jagd nach dem eigenen Dummy anzusetzen. Kravitz kann niemals feststellen dass dieser jemand ein anonymer ÖVPler ist.

Es deutet vieles auf eine inszenierte Aktion hin. Am auffälligsten ist die Tatsache dass die Zugangsdaten von Intranet & Webserver also neuevolkspartei.wien „zufällig“ die selben sind. Da müsste man selten dumm sein oder es war Absicht um einen Zusammenhang herstellen zu können.

Noch dazu: Wie kommt jemand ins Intranet der ÖVP? Der Spin er hat die Zugangsdaten vom Webserver. Ok Pfff. Aber er muss immer noch ins Intranet. Für einen Externen schwierig. Über einen echten „Hack“ des Intranets ist aber bis jetzt NICHTS zu lesen. Das deutet wiederum auf einen Insiderjob hin.

KAPITEL 6 - Ein Blümelchen vom Winde verweht

Zweite Theorie: Die geleakten Zugansdaten von Blümel haben jemandem sowohl für diverse Server der ÖVP & das Intranet Zugang verschafft. Ganz ohne Hack, ganz ohne Zauberei. Alles was er/sie kopieren kann wird gespeichert.

futurezone.at/…/passwoerter-oesterreichischer-pol…/400488727

Das würde bedeuten das jemand schon lange Zugang hat. Seit Anfang des Jahres, also seit dem massiven Datenleak. Er/Sie könnte sich immer wieder eingeloggt haben um Daten zu kopieren. Vielleicht hat er sich neue User angelegt um seine Existenz vollkommen zu verschleiern. Würde wieder auf einen Insider tippen der auch Zugang zum Intranet hat, denn der wäre notwendig.

KAPITEL 7 - Die Wahrheit ist zähflüssig

Beide meiner Theorien haben eines gemeinsam: Einen externen „Hack“ hat es NICHT gegeben. Wahrscheinlich nicht einmal auf den Webserver neuevolkspartei.wien. Ein Insider leakt Daten. Zusätzlich könnte der Insider sich natürlich über den oben genannten „Golden Ticket“ Exploit noch mehr Rechte und somit noch mehr Daten beschafft haben. Die Seite www.neuevolkspartei.wien ist übrigens nach wie vor stinknormal online. Komisch nach einer mutmaßlichen Phishingattacke.

Entweder er/sie besitzt ganz legitim Zugang, z.B. der betrogene Arno M. , oder jemand ist auf welchem Weg auch immer an die Zugangsdaten von Gernot Blümel geraten & hat diese Gelegenheit ausgenützt. Kein „Hack“, kein Skandal. Der Maulwurf ist am graben & die ÖVP in Panik.

Haltet eure Augen offen. Es gilt immer noch massiver Bullshit Alarm wenn die ÖVP ihren Schmutzschild auf Version 2.0 upgraden will. Hier ist so vieles faul, es stinkt ganz gewaltig.

Danke fürs lesen. Ich investiere gerne Zeit in etwas dass dem guten Zweck dient. Auch wenn es mittlerweile fast ein Roman geworden ist. Danke an all die tollen Leute auf Twitter und Facebook die zerlegen, kritisieren, Infos Teilen oder neue Stränge aufdröseln. Danke auch an die die mich nicht mögen. Ihr macht die Thesen stärker, denn man hinterfragt sich oder anderes, und findet so noch mehr Ungereimtheiten.

Alles Liebe, eure Lola ❤

Quelle: twitter.com/deinelola/status/1169934615869566976

Update: DEINE LOLA auf Facebook

https://facebook.com/watch/?v=946149379069154