Einträge für datenritter

Die IP-Adressen des Bundesnachrichtendienstes waren echt. Nach der Veröffentlichung auf Wikileaks hätte es einfach still bleiben können. Oder eine Firma, auch eine Tarnfirma des BND, hätte darauf hinweisen können, dass es ihre Adressen seien. Beides hätte zwar Raum für Spekulationen gelassen, aber eben nur den.

Stattdessen aber richtete sich das Computer Emergency Response Team (CERT) von T-Systems mit der Bitte an Wikileaks, das entsprechende Dokument zu entfernen, was nicht nur einer geradezu amtlichen Bestätigung der Echtheit gleichkommt, sondern auch noch absolut peinlich ist.

Erstens ist Wikileaks gerade eine Einrichtung, die bewusst zur ununterdrückbaren Veröffentlichung von Informationen, also gegen Zensur betrieben wird. Zweitens lassen sich Informationen bekanntlich so gut aus dem Internet zurückholen, wie Urin aus einem Swimmingpool.

Eigentlich könnte der BND darauf pfeifen, ob seine statischen IP-Adressen bekannt sind oder nicht. Davon, dass fremde Dienste die Adressen kennen, muss man sowieso ausgehen. Und für verdeckte Recherchen gibt es schließlich Anonymisierungsdienste wie das TOR-Netzwerk, dass sich hervorragend für nachrichtendienstliche Arbeit eignen dürfte.

Dennoch wurden seitens T-Systems hektisch Änderungen am Adresspool der geheimsten aller deutschen Behörden vorgenommen. Wikileaks schreibt in einem Artikel etwas reißerisch:

Zwischen Freitag Nacht und Sonntag morgen fand eine grossangelegte Säuberungsaktion beim Europäischen Internet Adressregister (RIPE) zur Entfernung von Details zum Bundesnachrichtendienst statt.

Die Säuberung folgt einer Enthüllung von mehr als zwei Dutzend verdeckter BND Netzwerke die durch T-Systems bereitgestellt wurden. Die Netzwerke waren einer nicht im Handelsregister registrierten Tarnfirma mittels eines Münchner Postfachs zugewiesen.

T-Systems bereinigte die RIPE Datenbank von allen Netzwerken die durch Wikileaks enthüllt wurden und verschob die Adressen in verschiedene grosse Adresspools um somit die Zuweisung zu anonymisieren. Die Pools geben ausser ihrer Zugehörigkeit zu T-Systems keine Auskunft über ihre interne Struktur.

Warum wurden überhaupt an einen Geheimdienst Adressbereiche vergeben, die "Aufschluss über die interne Struktur" gaben? Warum werden diese nun geändert? Dachte man etwa bisher, diese IP-Adressen seien ein schützbares Geheimnis?

Hinweise auf so eine Annahme gibt es durchaus. Da diverse Seitenbetreiber nun ihre alten Logfiles nach den Adressen durchsucht haben, sind allerlei Zugriffe bekannt geworden. Viele sind bedeutungslos, doch hat der BND offenbar das Netz automatisiert durchkämmt und hatte dabei die Technik nicht ganz unter Kontrolle:

(...) wie auch dem systematischen Durchkämmen des Internets zu Terrorismus-nahen Themen, wie dem Mordanschlag auf den Rebellenanführer Abu Musab Zarqawi im Irak. 2006 hatten sich hier zahlreiche Betreiber von Webseiten über ein ausser Kontrolle geratenes, automatisiertes Datamining ausgehend von den betreffenden Adressen beschwert.

Dass so etwas peinliches passiert, erklärt dann vielleicht auch den Rat des BNDs in seinen Stellenanzeigen:

Bitte behandeln Sie Ihre Bewerbung in Ihrem Umfeld ebenso diskret, wie Sie es von uns erwarten.

Das Blog Royal Pingdom berichtet über ein abgefahrenes Rechenzentrum, welches in einem ehemaligen Atombunker namens "Pionen White Mountains" irgendwo unter Stockholm eingerichtet wurde. Die Internet-Anbindung ist mehrfach redundant, und zwei deutsche U-Boot-Motoren dienen als Notstromversorgung:

[J]ust for fun the people at Pionen have also installed the warning system (sound horns) from the original German submarine.

Es gibt außerdem Zimmerpflanzen, Nebel, Wasserfälle und Tageslichtsimulation, um den 15 Mitarbeitern den Aufenthalt so angenehm wie möglich zu gestalten.

Hoffentlich haben die Betreiber auch bedacht, dass auch eine atombombenfeste Tür keine Trojaner abhält.

Wer sich jetzt schon auf Silvester freut, kann sich bei Addictronics inspirieren lassen, ein mikrocontrollergesteuertes Abschussgerät für seine Feuerwerksraketen zu bauen. Die beiden Vorgängermodelle gibt's bei hack a day zu sehen: hier und hier.

Das neue Gerät ist im wesentlichen aus den beiden zusammengesetz. Es ist mit einem Code gesichert und beherrscht verschiedene "Abschussprogramme". Es hat ein wasserfestes Gehäuse, coole Buttons, ein Display und 16 Anschlüsse für die Raketen.

Und blaue LEDs. Blaue LEDs sind wichtig.

Lutz Heilmann ist ein Bundestagsabgeordneter der Partei Die Linke. Herr Heilmann ist außerdem Jurist. Na ja, beinahe — denn das zweite Staatsexamen fehlt ihm noch.

Am 15.11.2008 ließ Herr Heilmann er die Wikipedia "sperren":

Mit einstweiliger Verfügung des Landgerichts Lübeck vom 13. November 2008, erwirkt durch Lutz Heilmann, MdB (Die Linke), wird es dem Wikimedia Deutschland e.V. untersagt, "die Internetadresse wikipedia.de auf die Internetadresse de.wikipedia.org weiterzuleiten", solange "unter der Internet-Adresse de.wikipedia.org" bestimmte Äußerungen über Lutz Heilmann vorgehalten werden. Bis auf Weiteres muss das Angebot auf wikipedia.de in seiner bisherigen Form daher eingestellt werden.

Früher, ganz früher, war Herr Heilmann mal beim Ministerium für Staatssicherheit. Das wollte ich nur mal erwähnen. Weitere Informationen im law blog, auf der Hasenfarm, bei Spiegel Online, in den Lübecker Nachrichten, bei Slashdot, heise, fefe und auf netzpolitik.org.

Hätte der Jurist Lutz Heilmann sich von einem Techniker beraten lassen, so hätte er vielleicht den Streisand-Effekt vermeiden können.

Hier hat jemand eine .htaccess-Datei vorbereitet, mit der man die Adressen, die vielleicht dem Bundesnachrichtendienst gehören, aussperren kann.

Das ist zwar eine eher schlechte Idee, da es leicht zu umgehen ist und dem dem Charakter des Netzes zuwiderläuft.

Aber es ist zumindest lehrreich zu sehen, wie so eine "Ausladung" aussehen könnte. Besucher mit bestimmten Adressen oder Domains werden auf eine zweifelhafte Google-Suche umgeleitet oder mit einer "Forbidden"-Antwort ganz ausgesperrt:

RewriteEngine on
RewriteCond %{HTTP_REFERER} bvoe [NC,OR]
RewriteCond %{HTTP_USER_AGENT} bvoe [NC,OR]
RewriteCond %{REMOTE_HOST} bvoe [NC,OR]
RewriteCond %{HTTP_REFERER} lvp [NC,OR]
RewriteCond %{HTTP_USER_AGENT} lvp [NC,OR]
RewriteCond %{REMOTE_HOST} lvp [NC]
RewriteRule ^.*$ http://www.google.de/search?hl=de&q=fema+death+camps+bush+nazi+fascist [R=301,L]

Order Allow,Deny
Deny from 195.243.248.226/32
Deny from 195.243.248.228/32
Deny from 62.156.187.234/32
Deny from 62.156.187.236/32
(...)
Allow from all

Im gleichen Blog findet man auch Rewrite-Regeln zum Aussperren von Spambots und E-Mail-Harvestern nach dem selben Verfahren:

# Block E-Mail Harvester
RewriteEngine on
ReWriteCond %{HTTP_USER_AGENT} Alexibot [OR]
ReWriteCond %{HTTP_USER_AGENT} asterias [OR]
ReWriteCond %{HTTP_USER_AGENT} BackDoorBot [OR]
ReWriteCond %{HTTP_USER_AGENT} Black.Hole [OR]
(...)
ReWriteCond %{HTTP_USER_AGENT} Mozilla/2 [OR]
ReWriteCond %{HTTP_USER_AGENT} Mozilla/3.Mozilla/2.01 [OR]
ReWriteCond %{HTTP_USER_AGENT} Mozilla.*NEWT [OR]
(...)
ReWriteCond %{HTTP_USER_AGENT} Zeus
RewriteRule ^.*$ http://www.google.de/search?hl=de&q=spam[L]

Die alten Browser-Kennungen mit auszusperren, ist sicher kein Fehler. Allerdings muss auch hier gesagt werden, dass Filter umgangen werden können, dieser hier sogar auf triviale Art. Gegen Spam und E-Mail-Harvester gibt es bessere Maßnahmen, z.B. kann man Regel wie die oben gezeigten automatisiert erstellen und zeitlich begrenzt anwenden.

Kleines Update zu den angeblichen IP-Adressen des BND.

heise schreibt:

Google-Suche mit Nummern aus dem PDF-Dokument führen unter anderem zu Einträgen im "Panzeraufklärer-Forum" und zu kambodschanischen Regierungssites.

Das Pzaufkl-Forum zumindest klingt spektakulär, ist aber bei genauer Betrachtung nicht verwunderlich. Für die kambodschanischen Sites gilt vermutlich ähnliches.

Stefan schreibt:

Amüsant, schon fast clichéhaft sind die Namen der vermeintlichen Subnetzinhaber ("Liegenschaftsverwaltung Pullach", "Informationsbörse München").

Ich persönlich stelle mir vor, dass im BND gerade zwei Dinge passieren: In einer Abteilung wird gegähnt und sich amüsiert über die "doofen Blogger", die das ganze für eine große Nummer halten und "von nachrichtendienstlicher Arbeit keine Ahnung" haben.

Ein anderer Teil der geheimst Geheimen wird gerade in einem "Meeting" angeschrien: "Wie konnte das passieren?!!!". (Immerhin handelt es sich um Bundeswehrangehörige, die nicht dulden können, dass irgendwelche sensiblen Informationen an die Öffentlichkeit gelangen.) Beantwortet wird das dann mit Schulterzucken und einem resignierten:
"Telekom."

Bei Wikileaks findet sich seit gestern ein Dokument, dass IP-Adressbereiche aufzählt, die von T-Systems möglicherweise dem Bundesnachrichtendienst zugeteilt wurden. Netzpolitik.org berichtet darüber und hält die in der Wikipedia vorgenommenen Änderungen für interessant.

Zur Frage, ob die Adressen wirklich dem BND gehören, kann man nicht viel sagen. Die Informationen, die man über diese Adressen bekommt, sind zumindest auffallend dürftig, die Abkürzungen kommen einem recht bekannt vor, und alle Leitungen führen nach München oder Pullach. Auch die Zusammenarbeit mit dem Magentariesen ist wahrscheinlich, der BND ist immerhin eine Behörde.

Was jedoch die Wikipedia-Änderungen angeht, so kann ich sagen, dass diese überwiegend absolut harmlos aussehen und bunt gemisch sind. Ich habe die Adressen heute Nacht automatisch ausgewertet und nach Änderungen in der Wikipedia gesucht.

Einige der Änderungen wirken so, als hätte vielleicht mal ein Soldat ein paar Informationen über Dinge, von denen er nunmal etwas versteht, angepasst. So findet man z.B. eine Vereinfachung im Artikel über Sprengkapseln und eine meiner Meinung nach nicht unrealistische Einschätzung zu schmutzigen Bomben:

Hierbei ist es strittig, ob Plutonium basierte Dirty Bombs (auch als unkonventionelle Spreng- und Brandvorrichtung mit radioaktiver Beiladung (USBV) bezeichnet) wirklich effektiv sind, da die Aktivität von Plutonium-239 auf Grund der langen Halbwertszeit eher gering ist. Kurzlebige Isotope wie Cs-137 oder Ir-192 würden eine viel größere Aktivität aufweisen bei gleicher Menge. Menschenleben wären nach allgemeiner Auffassung weniger durch die radioaktiven Stoffe als durch die Explosion zu erwarten. Der finanzielle Schaden durch die psychologische Wirkung der USBV wäre immens.

Bemerkenswert ist hier lediglich, dass diese Einfügung mit der nächsten Änderung offenbar vom selben Autor größtenteils wieder entfernt wurde, wofür es aber viele Gründe geben kann.

Außerdem hat jemand an einer Löschdiskussion im Zusammenhang mit einem Artikel über Schummelverhinderungsprogramme für Computerspiele teilgenommen. Auch das würde man durchaus dem ein oder anderen "Bundi" zutrauen.

Etwas pikanter ist tatsächlich die folgende Änderung, die auf ein gewisses Wissen über den Nachrichtendienst hinweist, was aber nichts besonderes sein muss:

Aus:

Außerdem ist es ein offenes Geheimnis, dass viele der Auslandsniederlassungen des Goethe-Instituts als inoffizielle Residenturen des BND dienen.

wurde

Auslandsniederlassungen des Goethe-Instituts dienen jedoch nicht als inoffizielle Residenturen des BND.

In der aktuellen Version des Artikels steht nichts mehr über die Goethe-Institute. (Vermutlich wegen fehlender Quellen, kleiner Scherz.) Die Information ist ohnehin wenig wertvoll, einem Nachrichtendienst ist schließlich jede Deckung recht, am besten eignen sich aber wohl Schein- oder echte Firmen.

Ich habe bei nur vier IP-Adressen von immerhin 634 Änderungen an Wikipedia-Artikeln entdeckt: 195.243.248.226, 195.243.248.228, 62.156.187.234, 62.156.187.236.

Unter dem Strich kann man sagen: Die Adressen verhalten sich auffällig unauffällig. Mehr aber auch nicht. Wenn es wirklich welche vom BND sind, so darf man doch annehmen, dass der besseres zu tun hat, als die Wikipedia zu manipulieren, oder zumindest klug genug ist, seine Mitarbeiter mit richtigen Accounts arbeiten zu lassen. Die IP-Adressen registrierter Mitglieder werden nämlich nicht geloggt.

Nützlich ist die Liste aber allemal, um die eigenen Server-Logfiles danach abzusuchen. Felix von Leitner hat das laut seinem Blogeintrag zum Thema früher schonmal gemacht:

Der eine hat nach "kalte fusion zuhause" gegoogelt, der andere nach "muslim world outreach".

Nun ja...

Loggt man sich per SSH auf anderen Computern ein, so prüft SSH den Fingerprint des Host-Keys. Diese Überprüfung kann seit einiger Zeit durch eine grafische Darstellung unterstützt werden. Setzt man die Einstellung

VisualHostKey yes

in der /etc/ssh/ssh_config, so zeigt SSH beim Login eine kleine ASCII-Art-Grafik an, an die sich unser stark auf das Visuelle ausgerichtete Hirn besser erinnern kann:

RSA key fingerprint is \
6b:c6:ef:12:bc:34:8a:56:97:2b:8f:ff:df:f3:12:c3.
+--[ RSA ]--------+
|                 |
|                 |
|       .o Z o    |
|  ..oo*o *       |
| ..o.   ...      |
|o  ..  .. °      |
|.. .==.          |
|E.oo++           |
| oo...oo.        |
+-----------------+

Eine kleine Abweichung im Schlüssel sollte für eine große Abweichung in der Grafik sorgen, so dass das Verfahren wirklich eine Erleichterung ist.

Hoffentlich ist es nicht leicht, Schlüssel mit ähnlicher Grafik zu erzeugen. Denn kleine Abweichungen in der Grafik erkennt man sicher nicht so leicht, das Verfahren würde dann neue Angriffsmöglichkeiten eröffnen.

Wer nicht zufällig einen Herzschrittmacher trägt, kann sein Altpapier auch so entzünden:



Blogbeitrag bei GadgetMadness.

Ich empfehle, von der Nachahmung abzusehen.

Laut einem Bericht von Felix von Leitner waren die Deutschen früher über das Wahlergebnis im Bundesstaat Ohio, und damit über das Ergebnis der Präsidentschaftswahl insgesamt, informiert, als ein Großteil der Amerikaner.

Der Grund: Eine Werbepause im Fernsehen.