Schlagwort-Archive: Hacker

Schule, Standardisierung und Social Media

Social Media und die Bildungsorganisation sind geprägt von Standardisierungsbemühungen und hierarchischen Strukturen, obwohl sowohl die Ideale der dialogischen Kommunikation in Netzwerken und die des nachhaltigen Lernens Standards und Hierarchien einer fundamentalen Kritik unterziehen.

Der Aufbau von Netzwerken und die Organisation von Lernprozessen gehen von Subjekten aus. Sie erfolgen bottom-up: Entscheidend sind Motivation, Interessen und persönlicher Nutzen. Wesentliche Aspekte sind nicht messbar, nicht vergleichbar, nicht durch Standards abbildbar und nicht top-down festlegbar.

Vorgaben verhindern Abweichungen. Konzeptionell geht es dabei meist um unerwünschte Abweichungen: Auf standardisierten sozialen Netzwerken gibt es keine Überraschungen, keine unangenehme Erfahrungen für die User. In einer standardisierten Bildungslandschaft lernen alle Schülerinnen und Schüler mit ähnlichen Methoden ähnliche Inhalte und werden ähnlich bewertet.

In der Realität werden aber vor allem positive Abweichungen verhindert: Innovative Projekte sind innerhalb der engen Grenzen des auf Social Media Erlaubten nicht mehr möglich. Ebenso können Lehrpersonen mit ganz spezifischen Stärken und Vorlieben diese in einer standardisierten Bildungslandschaft nicht entsprechend gewichten, sie können nicht auf Wünsche oder Bedürfnisse von Lerngruppen eingehen, weil festgelegt ist, was wie unterrichtet werden muss.

Die große Herausforderung für Social Media ist es, dezentrale Netzwerke zu schaffen (vgl. Lovink). Nur so können sie ihr gesellschaftliches und politisches Potential entfalten, ohne einen kommerziellen Nutzen innerhalb eines engen Gerüstes von Normen erbringen zu müssen. Entsprechende Projekte scheinen alle zwar viele Bedürfnisse von Benutzerinnen und Benutzern aufzunehmen, sich aber nicht durchsetzen zu können: Zu stark sind die großen Player wie Facebook, Google oder Twitter, welche durch die Speicherung von Daten viele User in ein Abhängigkeitsverhältnis treten lassen.

Auch hier gibt es eine Parallele zur Schule: Innovative Projekte werden zwar immer wieder formuliert, sie scheitern aber auch an der Macht der staatlichen und standardisierten Schule, deren Diplome eine politisch und gesellschaftlich klar bestimmten Wert haben. »Bildung für alle« im Sinne von Lindner ist nur möglich, wenn dezentrale Lernnetzwerke entstehen können.

Hacker des Tech Mo­del Rail­way Club am MIT, 1950er-Jahre.
Hacker des Tech Mo­del Rail­way Club am MIT, 1950er-Jahre.

Man könnte abschließend davon sprechen, dass sowohl Social Media wie die Bildungsstrukturen gehackt werden müssen: In ihrem Selbstverständnis lösen Hacker auf kreative und ästhetische ansprechende Art und Weise Probleme. Sie tun dies als intellektuelle Herausforderung, nicht um einem von außen vorgegebenen Zweck zu genügen, und umgehen dabei Beschränkungen und Hindernisse, ohne auf Erwartungen Rücksicht zu nehmen. Dieses Ideal kann sowohl auf die Internetkommunikation wie auch auf die Bildung bezogen werden: Wenn sie funktionieren, dann bringen sie Menschen dazu, kreativ Probleme zu lösen, weil sie daran Spaß haben. Es wäre zu wünschen, dass dies gelingen kann.

Cybercrime – ein Markt wie jeder andere

Russische, aber auch chinesische und brasilianische Hacker bieten ihre Dienstleistungen im Internet wie auf einem Marktplatz an. Da Eindringen in Computer oder Online-Konten ist ein Geschäft, das es schon lange gibt – entsprechend breit gefächert ist das Angebot. Ein Report von Trend Micro, »Russian Underground 101« (pdf) listet detailliert Dienstleitungen und Preise auf, wie Ars Technica UK berichtet.

Screenshot von antichat.ru, wo Hacker ihre Dienstleistungen anbieten.

Hier einige Beispiele:

  • Hacken eines Facebook, Twitter oder Google Kontos: rund $150
  • Hacken eines Geschäftemail-Servers $500
  • einfache Spamtechnik: $10 für 1 Million Emails
  • eine DDoS-Attacke mieten, mit der man Server lahmlegen kann: $50-70
  • Software, mit der man ins Mobiltelefon einer anderen Person eindringen kann: $25
  • Traffic: 1000 Besucher auf einer Homepage für <$15.

Als besondere Gefahr werden Apps für Android-Telefone erwähnt, die auf dubiosen Seiten geladen werden. Ansonsten, so der Bericht, würden Menschen heute stärker auf Gefahren achten als früher. Gleichzeitig würden die Hacker aber auch immer raffinierter.

Drei beliebte Geschäftsmodelle von Cyberkriminellen verdienen besondere Beachtung:

  1. Per Telefon wird einem Beratung angeboten, falls man einen viren- oder trojanerverseuchten Computer habe. Die Beratenden zeigen einem dann einen verdächtig erscheinenden Eintrag auf dem eigenen Computer – man »sieht« mit eigenen Augen, dass die Computer verseucht ist. Dann bieten sie an, das Problem kostenlos zu lösen: Man müsse nur eine Software installieren. Diese Software ist dann bösartig: Sie ermöglicht z.B., den Computer zu blockieren (siehe ii.)
  2. Harddisks werden blockiert. Will man zugreifen, erscheint eine Meldung, die Polizei habe Kinderpornographie oder Raubkopien entdeckt. Damit verhindern die Kriminellen, dass man sich an die Polizei wendet – weil viele Menschen davor Angst haben, mit solchen Dateien erwischt zu werden. Also nehmen sie Angebot der Hacker wahr, Geld zu zahlen und so ihre Daten wiederzubekommen (tatsächlich erhält man die Daten zurück, wird aber als »Opfer« in den Datenbanken belassen…).
  3. DNS-Changer ändern das Verhalten der Internetverbindung so, dass man ständig Seiten besucht, die für Besuche bezahlen. Die Hacker leiten also de facto den ganzen Webverkehr über ihre Server um und verdienen damit Geld.

Fazit: Absolute Sicherheit ist im Internet – wie überall, eigentlich – eine Illusion. Sie besteht, weil den meisten Menschen niemand Schaden zufügen will und es viel technisches Know-How braucht, um diesen Schaden zuzufügen. Durch Lohngefälle und Verfügbarkeit solcher Angebote wird es aber immer einfacher, schädliche Software und Tools einzusetzen.

Sichere Passwörter

**Diese Anleitung wurde im April 2014 überarbeitet.**

Inspiriert von einem dichten Text im Guardian einige Gedanke zur Sicherheit von Passwörtern. Eigentlich wäre es ganz einfach – man könnte den Tipps von Google folgen:

  • Ein anderes Passwort für jeden Account.
  • Lange Passwörter.
  • Verschiedene Zeichen benutzen, nicht nur Buchstaben.
  • Erinnerungen an Passwörter an einem sicheren Ort lagern.
  • Zusatzoptionen wie Google 2-step-verification, Facebooks Anmelde-Benachrichtigungen und Passwort-Recovery nutzen.

Gerade der letzte Punkt kann im Notfall entscheidend sein: Man kann so Konten retten, wenn man den Verdacht hat, sie seien kompromittiert worden. Die meisten Dienste verschicken Erinnerungsemails, sobald ein Passwort geändert wird etc.

Welche Tipps nichts taugen, zeigt dieser Beitrag sehr schön auf. Das Fazit dort: Passwörter müssen sehr, sehr lang sein!

Im Guardian wird die Frage aufgeworfen, mit welchem Bedrohungsszenario man bei der Wahl von Passwörtern rechnet. Die meisten Menschen werden von Systemen unter Druck gesetzt, komplizierte Passwörter mit Zahlen, Sonderzeichen und Buchstaben zu wählen. Das führt dazu, dass sie sich ein kompliziertes Passwort ausdenken, das sehr sicher ist – aber für alle Konten gleich eingesetzt wird. Dafür schreiben sie es, wie sie das gelernt haben, nicht auf – damit es niemand findet.

Die am häufigsten verwendeten Passwörter. Disclosure Project von Dazzlepod, veröffentlicht in InformationWeek BYTE ‚Top 5 Password Managers‘.

Die Frage ist nun: Vertraut man seiner Familie oder dem Arbeitsumfeld mehr als russischen Hackerinnen und Hackern, die folgendermassen vorgehen:

  1. Sie hacken einen Betreiber eines Online-Dienstes.
  2. Sie stehlen die Login-Informationen, die meist verschlüsselt sind.
  3. Sie versuchen, die Verschlüsselung zu knacken – ohne Tricks, mit roher Gewalt.
  4. Haben sie ein Passwort, versuchen sie darüber Zugriff zu anderen zu erlangen.
  5. Resultat: Im schlimmsten Fall: Alle Konten weg, alle Geräte komplett gelöscht, Geld weg.

Die »rohe Gewalt« führt einfacher zum Ziel, wenn Passwörter kurz sind. Es ist völlig egal, wie viele Sonderzeichen sie enthalten: Ein Computer probiert die alle durch. Faustregel: Ein Passwort mit 5 zufälligen Zeichen kann in drei Stunden geknackt werden, eines mit 20 nie (das ist nur leicht übertrieben).

Die Lösung wäre folgende:

  1. Für jeden Account ein anderes Passwort.
  2. Passwörter in folgender Form verwenden: Buchstabe+Buchstabe+Buchstabe+Buchstabe+… ohne je ganze Wörter zu verwenden. Idealerweise bildet man einen Satz: Zürich ist die schönste Stadt der Welt und verwendet z.B. von Nomen die ersten beiden, von allen anderen Wörter den ersten Buchstaben: ZueidsStdWe. Ums noch ein bisschen besser zu machen, nummerieren wir die Nomen zuästzlich: 1Zueids2Std3We. Leicht zu merken, aber lang und komplex genug, um kaum knackbar zu sein.
  3. Passwörter im Notfall aufschreiben.

Wörter sollten unbedingt vermieden werden, weil Hacker gezielt nach häufigen Wörtern in Passwörtern suchen. Profis können aus verschlüsselten Passwortlisten innert Stunden 60 bis 90% der Passwörter ermitteln.

Wer damit Probleme hat, sollte einen Dienst wie 1Password verwenden – wie das geht, habe ich hier notiert. Dort werden Passwörter automatisch verschlüsselt notiert – und zwar auf jedem Gerät, das man verwendet.

(Die Illustration zeigt die Passwort-Daten, die vom Disclosure Projekt gesammelt werden – eine Seite, auf der alle veröffentlichen Passwörter publiziert werden, damit man nachsehen kann, ob man Opfer von Hacker-Angriffen geworden ist.)

Die Methode von XKCD, bei der Wörter kombiniert werden, funktioniert nicht mehr, weil Hacker diese Methode bereit kennen, wie Bruce Schneier ausführt: