datenritter blog

Bei map-o-net kann man sich die eigene Position auf XKCD's Karte des Internets anzeigen lassen. Man gibt einen Hostnamen oder eine IP-Adresse ein, und die Position der IP wird in der fraktalen Karte als roter Punkt angezeigt.

Die Anzeige der letzten 1000 Besucher auf der Website ist auch möglich.

So schnell wird aus einer Pocket Camera eine Rocket Camera:



Gefunden bei hack a day.

(22:19:34) ***datenritter regelt mal grad sein wlan runter... muss ja nicht sein...
(22:19:51) honduras: 251 mW sind doch okay. :)
(22:19:57) datenritter: du hast einen wrt?
(22:20:20) honduras: datenritter: 251 mW ist sooooo synonym! *G*

Versteht nicht jeder. Ist auch besser so.

Das ist Rekursion:

Ich habe heute eine Phishing-Mail erhalten, die mich auf eine gefälschte PayPal-Seite lotsen möchte. In der HTML-Mail befindet sich ein Link auf die Seite http://0xded6d8a1/www.paypal.com/... /index.htm.

Der Link zeigt offensichtlich nicht auf "www.paypal.com" sondern auf den Server mit der Adresse "0xded6d8a1". Durch die hexadezimale Darstellung der IP-Adresse und die fehlende Endung (Top-Level-Domain) fällt einem Unbedarften das aber möglicherweise nicht auf. Das ist besonders wahrscheinlich, wenn die URL unverändert in der Adresszeile des Browsers angezeigt wird.

Man kann von den Benutzern erwarten, dass sie Top-Level-Domains und IP-Adressen in Dezimaldarstellung erkennen. Aber mir fällt kein Grund ein, warum ein Link mit als Hexadezimalzahl getarnter Adresse funktionieren müsste.

Tut er aber. Der Browser Konqueror (Version 3.5.9) fällt jedenfalls auf die Hex-Adresse herein. Der Microsoft Internet Explorer ebenfalls, er wandelt den Hexcode allerdings in die Dezimalform der Adresse um, schreibt also http://222.214.216.161/...

(Anmerkung: Dieser Trick funktioniert in der Regel nicht, wenn man einen Proxy-Server benutzt, da die die IPs normalerweise im "richtigen" Format verlangen.)

Selbst wenn der Browser die Adresse nicht umsetzt — so wie mein Iceweasel 3.0.3 (die Debian-Version des Firefox) — sondern den Hexcode als Domainnamen interpretiert, so versucht er möglicherweise, eine funktionierende Domain zu erraten. (Sogenanntes Domain Guessing.) In diesem Fall käme dann http://www.0xded6d8a1.com/www.paypal.com/... dabei heraus, was Betrüger ebenfalls ausnutzen könnten, aber deutlich auffälliger ist, da der erste Teil der URL dann durch seine Endung .com auffällt.

Das Problem scheint nicht wirklich neu zu sein. Diverse Möglichkeiten IP-Adressen zu verschleiern, sind auf der Seite pc-help.org/obscure erklärt. Auf der Seite wird auch auf eine "Dotless-IP-Address"-Sicherheitslücke älterer Versionen des Internet Explorers hingewiesen. Allerdings bestand der Fehler damals "nur" darin, dass der IE verschleierte IPs als im lokalen Netzwerk angesiedelt betrachtete und entsprechend falsche Sicherheitseinstellungen anwandte. (Irgendwie typisch.)

Die verschleierten IP-Adressen an sich scheint hingegen niemand als Problem anzusehen, was Phisher nach Belieben ausnutzen.

Aus einer E-Mail:

Gerade schickte ich denen eine Mail (doppelt, damit die nicht sagen können, es sei nichts angekommen) [...]

Eine todsichere Lösung. Wer am todsichersten sein will, schickt die Mail gleich hundertfach.

Die Preisgabe der IP-Adressen des Bundesnachrichtendienstes (siehe [1], [2], [3]) könnte für dessen Mitarbeiter ein paar Konsequenzen haben, die ich bisher noch gar nicht bedacht hatte. Kommentare in Bruce Schneiers Weblog brachten mich darauf.

Nehmen wir an, jemand beim BND hätte den Fehler gemacht "von der Arbeit aus" irgendetwas (eine DVD, ein Buch...) im Internet zu bestellen. Oder ein Auto zu mieten. (Oder Begleitung bei einem Escort-Service, laut Wikileaks gibt es da ja Zugriffe. ) Oder einen Flug zu buchen, oder eine Bahnfahrt, oder auch nur einen Routenplaner zu benutzen. Oder gar private Mails über einen Webmailer zu lesen. Oder bei eBay zu bieten.

Klingt dumm? Menschen tun dumme Dinge.

Beim Durchsuchen der eigenen Logfiles könnte der ein oder andere dann Identitäten und Privatadressen oder andere sensible Informationen von BND-Mitarbeitern aufdecken. Unschön. Allein die Information, dass eine bestimmte Kreditkarte vom BND genutzt wird, ist sicher ein paar Euro Wert. Was also sollte einen gelangweilten Admin davon abhalten entsprechende Recherchen anzustellen?

Wie ich schon festgestellt hatte, sind zwar nur wenige Spuren im Web zu finden. So gab es z.B. wenige Änderungen in der Wikipedia. Die "verdächtigen" Edits der Adressbereiche 195.243.248.224-231 und 62.156.187.232-239 kann man sich übrigens mittels des Wikiscanners angucken. Doch selbst wenn bei der geheimsten aller deutschen Behörden darauf geachtet wurde, dass niemand die dienstlichen Anschlüsse für Privates oder ohne Anonymisierung verwendet: Ein einziger Fehler kann genügen, um jemanden in ernsthafte Schwierigkeiten zu bringen oder die nachrichtendienstliche Arbeit empfindlich zu stören.

Und dass solche Fehler zuverlässig verhindert wurden, kann man nach bisherigem Kenntnisstand bezweifeln.

Die IP-Adressen des Bundesnachrichtendienstes waren echt. Nach der Veröffentlichung auf Wikileaks hätte es einfach still bleiben können. Oder eine Firma, auch eine Tarnfirma des BND, hätte darauf hinweisen können, dass es ihre Adressen seien. Beides hätte zwar Raum für Spekulationen gelassen, aber eben nur den.

Stattdessen aber richtete sich das Computer Emergency Response Team (CERT) von T-Systems mit der Bitte an Wikileaks, das entsprechende Dokument zu entfernen, was nicht nur einer geradezu amtlichen Bestätigung der Echtheit gleichkommt, sondern auch noch absolut peinlich ist.

Erstens ist Wikileaks gerade eine Einrichtung, die bewusst zur ununterdrückbaren Veröffentlichung von Informationen, also gegen Zensur betrieben wird. Zweitens lassen sich Informationen bekanntlich so gut aus dem Internet zurückholen, wie Urin aus einem Swimmingpool.

Eigentlich könnte der BND darauf pfeifen, ob seine statischen IP-Adressen bekannt sind oder nicht. Davon, dass fremde Dienste die Adressen kennen, muss man sowieso ausgehen. Und für verdeckte Recherchen gibt es schließlich Anonymisierungsdienste wie das TOR-Netzwerk, dass sich hervorragend für nachrichtendienstliche Arbeit eignen dürfte.

Dennoch wurden seitens T-Systems hektisch Änderungen am Adresspool der geheimsten aller deutschen Behörden vorgenommen. Wikileaks schreibt in einem Artikel etwas reißerisch:

Zwischen Freitag Nacht und Sonntag morgen fand eine grossangelegte Säuberungsaktion beim Europäischen Internet Adressregister (RIPE) zur Entfernung von Details zum Bundesnachrichtendienst statt.

Die Säuberung folgt einer Enthüllung von mehr als zwei Dutzend verdeckter BND Netzwerke die durch T-Systems bereitgestellt wurden. Die Netzwerke waren einer nicht im Handelsregister registrierten Tarnfirma mittels eines Münchner Postfachs zugewiesen.

T-Systems bereinigte die RIPE Datenbank von allen Netzwerken die durch Wikileaks enthüllt wurden und verschob die Adressen in verschiedene grosse Adresspools um somit die Zuweisung zu anonymisieren. Die Pools geben ausser ihrer Zugehörigkeit zu T-Systems keine Auskunft über ihre interne Struktur.

Warum wurden überhaupt an einen Geheimdienst Adressbereiche vergeben, die "Aufschluss über die interne Struktur" gaben? Warum werden diese nun geändert? Dachte man etwa bisher, diese IP-Adressen seien ein schützbares Geheimnis?

Hinweise auf so eine Annahme gibt es durchaus. Da diverse Seitenbetreiber nun ihre alten Logfiles nach den Adressen durchsucht haben, sind allerlei Zugriffe bekannt geworden. Viele sind bedeutungslos, doch hat der BND offenbar das Netz automatisiert durchkämmt und hatte dabei die Technik nicht ganz unter Kontrolle:

(...) wie auch dem systematischen Durchkämmen des Internets zu Terrorismus-nahen Themen, wie dem Mordanschlag auf den Rebellenanführer Abu Musab Zarqawi im Irak. 2006 hatten sich hier zahlreiche Betreiber von Webseiten über ein ausser Kontrolle geratenes, automatisiertes Datamining ausgehend von den betreffenden Adressen beschwert.

Dass so etwas peinliches passiert, erklärt dann vielleicht auch den Rat des BNDs in seinen Stellenanzeigen:

Bitte behandeln Sie Ihre Bewerbung in Ihrem Umfeld ebenso diskret, wie Sie es von uns erwarten.

Das Blog Royal Pingdom berichtet über ein abgefahrenes Rechenzentrum, welches in einem ehemaligen Atombunker namens "Pionen White Mountains" irgendwo unter Stockholm eingerichtet wurde. Die Internet-Anbindung ist mehrfach redundant, und zwei deutsche U-Boot-Motoren dienen als Notstromversorgung:

[J]ust for fun the people at Pionen have also installed the warning system (sound horns) from the original German submarine.

Es gibt außerdem Zimmerpflanzen, Nebel, Wasserfälle und Tageslichtsimulation, um den 15 Mitarbeitern den Aufenthalt so angenehm wie möglich zu gestalten.

Hoffentlich haben die Betreiber auch bedacht, dass auch eine atombombenfeste Tür keine Trojaner abhält.

Wer sich jetzt schon auf Silvester freut, kann sich bei Addictronics inspirieren lassen, ein mikrocontrollergesteuertes Abschussgerät für seine Feuerwerksraketen zu bauen. Die beiden Vorgängermodelle gibt's bei hack a day zu sehen: hier und hier.

Das neue Gerät ist im wesentlichen aus den beiden zusammengesetz. Es ist mit einem Code gesichert und beherrscht verschiedene "Abschussprogramme". Es hat ein wasserfestes Gehäuse, coole Buttons, ein Display und 16 Anschlüsse für die Raketen.

Und blaue LEDs. Blaue LEDs sind wichtig.