datenritter blog

Bei map-o-net kann man sich die eigene Position auf XKCD's Karte des Internets anzeigen lassen. Man gibt einen Hostnamen oder eine IP-Adresse ein, und die Position der IP wird in der fraktalen Karte als roter Punkt angezeigt.

Die Anzeige der letzten 1000 Besucher auf der Website ist auch möglich.

Das ist Rekursion:

Ich habe heute eine Phishing-Mail erhalten, die mich auf eine gefälschte PayPal-Seite lotsen möchte. In der HTML-Mail befindet sich ein Link auf die Seite http://0xded6d8a1/www.paypal.com/... /index.htm.

Der Link zeigt offensichtlich nicht auf "www.paypal.com" sondern auf den Server mit der Adresse "0xded6d8a1". Durch die hexadezimale Darstellung der IP-Adresse und die fehlende Endung (Top-Level-Domain) fällt einem Unbedarften das aber möglicherweise nicht auf. Das ist besonders wahrscheinlich, wenn die URL unverändert in der Adresszeile des Browsers angezeigt wird.

Man kann von den Benutzern erwarten, dass sie Top-Level-Domains und IP-Adressen in Dezimaldarstellung erkennen. Aber mir fällt kein Grund ein, warum ein Link mit als Hexadezimalzahl getarnter Adresse funktionieren müsste.

Tut er aber. Der Browser Konqueror (Version 3.5.9) fällt jedenfalls auf die Hex-Adresse herein. Der Microsoft Internet Explorer ebenfalls, er wandelt den Hexcode allerdings in die Dezimalform der Adresse um, schreibt also http://222.214.216.161/...

(Anmerkung: Dieser Trick funktioniert in der Regel nicht, wenn man einen Proxy-Server benutzt, da die die IPs normalerweise im "richtigen" Format verlangen.)

Selbst wenn der Browser die Adresse nicht umsetzt — so wie mein Iceweasel 3.0.3 (die Debian-Version des Firefox) — sondern den Hexcode als Domainnamen interpretiert, so versucht er möglicherweise, eine funktionierende Domain zu erraten. (Sogenanntes Domain Guessing.) In diesem Fall käme dann http://www.0xded6d8a1.com/www.paypal.com/... dabei heraus, was Betrüger ebenfalls ausnutzen könnten, aber deutlich auffälliger ist, da der erste Teil der URL dann durch seine Endung .com auffällt.

Das Problem scheint nicht wirklich neu zu sein. Diverse Möglichkeiten IP-Adressen zu verschleiern, sind auf der Seite pc-help.org/obscure erklärt. Auf der Seite wird auch auf eine "Dotless-IP-Address"-Sicherheitslücke älterer Versionen des Internet Explorers hingewiesen. Allerdings bestand der Fehler damals "nur" darin, dass der IE verschleierte IPs als im lokalen Netzwerk angesiedelt betrachtete und entsprechend falsche Sicherheitseinstellungen anwandte. (Irgendwie typisch.)

Die verschleierten IP-Adressen an sich scheint hingegen niemand als Problem anzusehen, was Phisher nach Belieben ausnutzen.

Die IP-Adressen des Bundesnachrichtendienstes waren echt. Nach der Veröffentlichung auf Wikileaks hätte es einfach still bleiben können. Oder eine Firma, auch eine Tarnfirma des BND, hätte darauf hinweisen können, dass es ihre Adressen seien. Beides hätte zwar Raum für Spekulationen gelassen, aber eben nur den.

Stattdessen aber richtete sich das Computer Emergency Response Team (CERT) von T-Systems mit der Bitte an Wikileaks, das entsprechende Dokument zu entfernen, was nicht nur einer geradezu amtlichen Bestätigung der Echtheit gleichkommt, sondern auch noch absolut peinlich ist.

Erstens ist Wikileaks gerade eine Einrichtung, die bewusst zur ununterdrückbaren Veröffentlichung von Informationen, also gegen Zensur betrieben wird. Zweitens lassen sich Informationen bekanntlich so gut aus dem Internet zurückholen, wie Urin aus einem Swimmingpool.

Eigentlich könnte der BND darauf pfeifen, ob seine statischen IP-Adressen bekannt sind oder nicht. Davon, dass fremde Dienste die Adressen kennen, muss man sowieso ausgehen. Und für verdeckte Recherchen gibt es schließlich Anonymisierungsdienste wie das TOR-Netzwerk, dass sich hervorragend für nachrichtendienstliche Arbeit eignen dürfte.

Dennoch wurden seitens T-Systems hektisch Änderungen am Adresspool der geheimsten aller deutschen Behörden vorgenommen. Wikileaks schreibt in einem Artikel etwas reißerisch:

Zwischen Freitag Nacht und Sonntag morgen fand eine grossangelegte Säuberungsaktion beim Europäischen Internet Adressregister (RIPE) zur Entfernung von Details zum Bundesnachrichtendienst statt.

Die Säuberung folgt einer Enthüllung von mehr als zwei Dutzend verdeckter BND Netzwerke die durch T-Systems bereitgestellt wurden. Die Netzwerke waren einer nicht im Handelsregister registrierten Tarnfirma mittels eines Münchner Postfachs zugewiesen.

T-Systems bereinigte die RIPE Datenbank von allen Netzwerken die durch Wikileaks enthüllt wurden und verschob die Adressen in verschiedene grosse Adresspools um somit die Zuweisung zu anonymisieren. Die Pools geben ausser ihrer Zugehörigkeit zu T-Systems keine Auskunft über ihre interne Struktur.

Warum wurden überhaupt an einen Geheimdienst Adressbereiche vergeben, die "Aufschluss über die interne Struktur" gaben? Warum werden diese nun geändert? Dachte man etwa bisher, diese IP-Adressen seien ein schützbares Geheimnis?

Hinweise auf so eine Annahme gibt es durchaus. Da diverse Seitenbetreiber nun ihre alten Logfiles nach den Adressen durchsucht haben, sind allerlei Zugriffe bekannt geworden. Viele sind bedeutungslos, doch hat der BND offenbar das Netz automatisiert durchkämmt und hatte dabei die Technik nicht ganz unter Kontrolle:

(...) wie auch dem systematischen Durchkämmen des Internets zu Terrorismus-nahen Themen, wie dem Mordanschlag auf den Rebellenanführer Abu Musab Zarqawi im Irak. 2006 hatten sich hier zahlreiche Betreiber von Webseiten über ein ausser Kontrolle geratenes, automatisiertes Datamining ausgehend von den betreffenden Adressen beschwert.

Dass so etwas peinliches passiert, erklärt dann vielleicht auch den Rat des BNDs in seinen Stellenanzeigen:

Bitte behandeln Sie Ihre Bewerbung in Ihrem Umfeld ebenso diskret, wie Sie es von uns erwarten.

Lutz Heilmann ist ein Bundestagsabgeordneter der Partei Die Linke. Herr Heilmann ist außerdem Jurist. Na ja, beinahe — denn das zweite Staatsexamen fehlt ihm noch.

Am 15.11.2008 ließ Herr Heilmann er die Wikipedia "sperren":

Mit einstweiliger Verfügung des Landgerichts Lübeck vom 13. November 2008, erwirkt durch Lutz Heilmann, MdB (Die Linke), wird es dem Wikimedia Deutschland e.V. untersagt, "die Internetadresse wikipedia.de auf die Internetadresse de.wikipedia.org weiterzuleiten", solange "unter der Internet-Adresse de.wikipedia.org" bestimmte Äußerungen über Lutz Heilmann vorgehalten werden. Bis auf Weiteres muss das Angebot auf wikipedia.de in seiner bisherigen Form daher eingestellt werden.

Früher, ganz früher, war Herr Heilmann mal beim Ministerium für Staatssicherheit. Das wollte ich nur mal erwähnen. Weitere Informationen im law blog, auf der Hasenfarm, bei Spiegel Online, in den Lübecker Nachrichten, bei Slashdot, heise, fefe und auf netzpolitik.org.

Hätte der Jurist Lutz Heilmann sich von einem Techniker beraten lassen, so hätte er vielleicht den Streisand-Effekt vermeiden können.

Hier hat jemand eine .htaccess-Datei vorbereitet, mit der man die Adressen, die vielleicht dem Bundesnachrichtendienst gehören, aussperren kann.

Das ist zwar eine eher schlechte Idee, da es leicht zu umgehen ist und dem dem Charakter des Netzes zuwiderläuft.

Aber es ist zumindest lehrreich zu sehen, wie so eine "Ausladung" aussehen könnte. Besucher mit bestimmten Adressen oder Domains werden auf eine zweifelhafte Google-Suche umgeleitet oder mit einer "Forbidden"-Antwort ganz ausgesperrt:

RewriteEngine on
RewriteCond %{HTTP_REFERER} bvoe [NC,OR]
RewriteCond %{HTTP_USER_AGENT} bvoe [NC,OR]
RewriteCond %{REMOTE_HOST} bvoe [NC,OR]
RewriteCond %{HTTP_REFERER} lvp [NC,OR]
RewriteCond %{HTTP_USER_AGENT} lvp [NC,OR]
RewriteCond %{REMOTE_HOST} lvp [NC]
RewriteRule ^.*$ http://www.google.de/search?hl=de&q=fema+death+camps+bush+nazi+fascist [R=301,L]

Order Allow,Deny
Deny from 195.243.248.226/32
Deny from 195.243.248.228/32
Deny from 62.156.187.234/32
Deny from 62.156.187.236/32
(...)
Allow from all

Im gleichen Blog findet man auch Rewrite-Regeln zum Aussperren von Spambots und E-Mail-Harvestern nach dem selben Verfahren:

# Block E-Mail Harvester
RewriteEngine on
ReWriteCond %{HTTP_USER_AGENT} Alexibot [OR]
ReWriteCond %{HTTP_USER_AGENT} asterias [OR]
ReWriteCond %{HTTP_USER_AGENT} BackDoorBot [OR]
ReWriteCond %{HTTP_USER_AGENT} Black.Hole [OR]
(...)
ReWriteCond %{HTTP_USER_AGENT} Mozilla/2 [OR]
ReWriteCond %{HTTP_USER_AGENT} Mozilla/3.Mozilla/2.01 [OR]
ReWriteCond %{HTTP_USER_AGENT} Mozilla.*NEWT [OR]
(...)
ReWriteCond %{HTTP_USER_AGENT} Zeus
RewriteRule ^.*$ http://www.google.de/search?hl=de&q=spam[L]

Die alten Browser-Kennungen mit auszusperren, ist sicher kein Fehler. Allerdings muss auch hier gesagt werden, dass Filter umgangen werden können, dieser hier sogar auf triviale Art. Gegen Spam und E-Mail-Harvester gibt es bessere Maßnahmen, z.B. kann man Regel wie die oben gezeigten automatisiert erstellen und zeitlich begrenzt anwenden.

Kleines Update zu den angeblichen IP-Adressen des BND.

heise schreibt:

Google-Suche mit Nummern aus dem PDF-Dokument führen unter anderem zu Einträgen im "Panzeraufklärer-Forum" und zu kambodschanischen Regierungssites.

Das Pzaufkl-Forum zumindest klingt spektakulär, ist aber bei genauer Betrachtung nicht verwunderlich. Für die kambodschanischen Sites gilt vermutlich ähnliches.

Stefan schreibt:

Amüsant, schon fast clichéhaft sind die Namen der vermeintlichen Subnetzinhaber ("Liegenschaftsverwaltung Pullach", "Informationsbörse München").

Ich persönlich stelle mir vor, dass im BND gerade zwei Dinge passieren: In einer Abteilung wird gegähnt und sich amüsiert über die "doofen Blogger", die das ganze für eine große Nummer halten und "von nachrichtendienstlicher Arbeit keine Ahnung" haben.

Ein anderer Teil der geheimst Geheimen wird gerade in einem "Meeting" angeschrien: "Wie konnte das passieren?!!!". (Immerhin handelt es sich um Bundeswehrangehörige, die nicht dulden können, dass irgendwelche sensiblen Informationen an die Öffentlichkeit gelangen.) Beantwortet wird das dann mit Schulterzucken und einem resignierten:
"Telekom."

Bei Wikileaks findet sich seit gestern ein Dokument, dass IP-Adressbereiche aufzählt, die von T-Systems möglicherweise dem Bundesnachrichtendienst zugeteilt wurden. Netzpolitik.org berichtet darüber und hält die in der Wikipedia vorgenommenen Änderungen für interessant.

Zur Frage, ob die Adressen wirklich dem BND gehören, kann man nicht viel sagen. Die Informationen, die man über diese Adressen bekommt, sind zumindest auffallend dürftig, die Abkürzungen kommen einem recht bekannt vor, und alle Leitungen führen nach München oder Pullach. Auch die Zusammenarbeit mit dem Magentariesen ist wahrscheinlich, der BND ist immerhin eine Behörde.

Was jedoch die Wikipedia-Änderungen angeht, so kann ich sagen, dass diese überwiegend absolut harmlos aussehen und bunt gemisch sind. Ich habe die Adressen heute Nacht automatisch ausgewertet und nach Änderungen in der Wikipedia gesucht.

Einige der Änderungen wirken so, als hätte vielleicht mal ein Soldat ein paar Informationen über Dinge, von denen er nunmal etwas versteht, angepasst. So findet man z.B. eine Vereinfachung im Artikel über Sprengkapseln und eine meiner Meinung nach nicht unrealistische Einschätzung zu schmutzigen Bomben:

Hierbei ist es strittig, ob Plutonium basierte Dirty Bombs (auch als unkonventionelle Spreng- und Brandvorrichtung mit radioaktiver Beiladung (USBV) bezeichnet) wirklich effektiv sind, da die Aktivität von Plutonium-239 auf Grund der langen Halbwertszeit eher gering ist. Kurzlebige Isotope wie Cs-137 oder Ir-192 würden eine viel größere Aktivität aufweisen bei gleicher Menge. Menschenleben wären nach allgemeiner Auffassung weniger durch die radioaktiven Stoffe als durch die Explosion zu erwarten. Der finanzielle Schaden durch die psychologische Wirkung der USBV wäre immens.

Bemerkenswert ist hier lediglich, dass diese Einfügung mit der nächsten Änderung offenbar vom selben Autor größtenteils wieder entfernt wurde, wofür es aber viele Gründe geben kann.

Außerdem hat jemand an einer Löschdiskussion im Zusammenhang mit einem Artikel über Schummelverhinderungsprogramme für Computerspiele teilgenommen. Auch das würde man durchaus dem ein oder anderen "Bundi" zutrauen.

Etwas pikanter ist tatsächlich die folgende Änderung, die auf ein gewisses Wissen über den Nachrichtendienst hinweist, was aber nichts besonderes sein muss:

Aus:

Außerdem ist es ein offenes Geheimnis, dass viele der Auslandsniederlassungen des Goethe-Instituts als inoffizielle Residenturen des BND dienen.

wurde

Auslandsniederlassungen des Goethe-Instituts dienen jedoch nicht als inoffizielle Residenturen des BND.

In der aktuellen Version des Artikels steht nichts mehr über die Goethe-Institute. (Vermutlich wegen fehlender Quellen, kleiner Scherz.) Die Information ist ohnehin wenig wertvoll, einem Nachrichtendienst ist schließlich jede Deckung recht, am besten eignen sich aber wohl Schein- oder echte Firmen.

Ich habe bei nur vier IP-Adressen von immerhin 634 Änderungen an Wikipedia-Artikeln entdeckt: 195.243.248.226, 195.243.248.228, 62.156.187.234, 62.156.187.236.

Unter dem Strich kann man sagen: Die Adressen verhalten sich auffällig unauffällig. Mehr aber auch nicht. Wenn es wirklich welche vom BND sind, so darf man doch annehmen, dass der besseres zu tun hat, als die Wikipedia zu manipulieren, oder zumindest klug genug ist, seine Mitarbeiter mit richtigen Accounts arbeiten zu lassen. Die IP-Adressen registrierter Mitglieder werden nämlich nicht geloggt.

Nützlich ist die Liste aber allemal, um die eigenen Server-Logfiles danach abzusuchen. Felix von Leitner hat das laut seinem Blogeintrag zum Thema früher schonmal gemacht:

Der eine hat nach "kalte fusion zuhause" gegoogelt, der andere nach "muslim world outreach".

Nun ja...

Die Anleitung zum Sichern der eigenen Beiträge aus dem heise-Forum ließ in der Eile keine Zeit für große Erklärungen. Deswegen hier nun einige Informationen zu Cookies und ihrem Gebrauch mit wget... "wget und Cookies" vollständig lesen »

Michael Wilde teilt heute mit, dass die Foren, die heise online eigentlich löschen wollte, erhalten bleiben:

Ich darf Ihnen im Auftrag des Forenbetreibers folgendes zur Kenntnis
geben:

1. Ihm war nicht bewusst, wie sehr einzelne User an alten Beiträgen
hängen.

2. Die bisher dafür vorgesehen Foren werden nicht gelöscht, sondern
nur auf read-only gesetzt.

(...)

Die Foren werden allerdings nicht mittels der Forensuchmaschine durchsuchbar sein. Außerdem wird es eine Möglichkeit geben, die eigenen Beiträge zu löschen.

Bleibt die Frage, ob man sich bei heise wirklich nicht darüber im klaren war, oder etwas anderes bezweckte. Z.B. konnte man in den letzten Tagen sicher ob zahlreicher Versuche, die Foren zu spiegeln, die Belastbarkeit des Servers testen. Auch wurde heise online durch die Ankündigung in den Fokus der Aufmerksamkeit gerückt. Nicht ungeschickt. Andererseits hat es heise wohl wieder mal ein paar Abonnenten gekostet.

Nett anzusehen ist ein ganz anderes Ergebnis: Das "Ausfallforum" mit dem "heise offline"-Logo: debain.org/ausfallforum/