Was ist denn wirklich dran an der jüngsten Aktion des BSI?

[Matthieu]

@Arny: Ich hab die Details nicht mehr ganz parat, aber IMHO ist ein Staatstrojaner Sache der Strafverfolgungsbehörden, allen voran der Kriminalämter der verschiedenen Ebenen. Das BSI ist ein Wirtschaftsförderungsorgan. Es hat u.a. die Entwicklung von GPG4Win gesponsert. Ich persönlich vertraue dem BSI auch nicht übermäßig, aber man sollte auch immer den richtigen zur Rechenschaft ziehen.

Da es sich offiziell um Forschungsdaten handelt und das Frauenhofer-Institut auf der Seite auftaucht, würde ich u.a. dort nach Mitstreitern suchen. Zum Thema Botnetze ist folgende Darstellung sehr schön aufbereitet: http://krebsonsecurity.com/2012/10/the-scrap-value-of-a-hacked-pc-revisited/
Wenn das BSI also, wie behauptet, die Daten aus Botnetzen hat, können sich die Betroffenen schon mal aussuchen was der eigene Rechner noch so gemacht haben könnte. Dass das BSI keine Aussage zur Herkunft der Daten macht ist nicht nett, aber lässt sich schwer ändern. Forschungseinrichtungen, Security-Hersteller und Regierungen nehmen regelmäßig die schwersten Fische hoch. Sehr öffentlichkeitswirksam war da der DNSchanger.

MfG Matthieu

 

[Arny]

@Arny: Ich hab die Details nicht mehr ganz parat, aber IMHO ist ein Staatstrojaner Sache der Strafverfolgungsbehörden, allen voran der Kriminalämter der verschiedenen Ebenen. Das BSI ist ein Wirtschaftsförderungsorgan. Es hat u.a. die Entwicklung von GPG4Win gesponsert. Ich persönlich vertraue dem BSI auch nicht übermäßig, aber man sollte auch immer den richtigen zur Rechenschaft ziehen.

Da es sich offiziell um Forschungsdaten handelt und das Frauenhofer-Institut auf der Seite auftaucht, würde ich u.a. dort nach Mitstreitern suchen. Zum Thema Botnetze ist folgende Darstellung sehr schön aufbereitet: http://krebsonsecurity.com/2012/10/the-scrap-value-of-a-hacked-pc-revisited/
Wenn das BSI also, wie behauptet, die Daten aus Botnetzen hat, können sich die Betroffenen schon mal aussuchen was der eigene Rechner noch so gemacht haben könnte. Dass das BSI keine Aussage zur Herkunft der Daten macht ist nicht nett, aber lässt sich schwer ändern. Forschungseinrichtungen, Security-Hersteller und Regierungen nehmen regelmäßig die schwersten Fische hoch. Sehr öffentlichkeitswirksam war da der DNSchanger.

MfG Matthieu

da hast du natürlich Recht und ob und wie weit hier Verflechtungen existent sind kann man nur vermuten. Ne komische Sache ist des Ganze aber trotzdem. Geht man den Fall streng sachlich an, werfen sich doch ne Menge Fragen auf, deren Nichtbeantwortung bzw. das Schweigen hierzu, schafft wiederum Raum für Spekulationen und Verschwörungstheorien.
Das alles muß eigentlich nicht sein bei gebotener Transparenz, aber scheinbar will man die (noch) nicht, aus welchen Gründen auch immer.
Dass hier irgendwo Verquickungen BSI-BND usw. bestehen ist wohl offensichtlich. Siehe meine Anfrage an die BSI-Site. Eine nicht mehr aktive eMailadresse wurde überprüft und als infiziert gemeldet mit eMail auf meine jetzige, aktuelle eMailadresse. Hier funktioniert er aber hervorragend, der Heimatschutz made in Germany, lol!

Gruß Arny

und ich benutze den BSI Server keinesfalls als DynDS Server ;-) und meine eMailadressanfrage lief unter einer gefakten, angepassten eMailadresse, aber vielleicht habe ich ja was übersehen und nicht alle Subdaten bearbeitet...

 

[trininja]

Ich muss ja sagen, ich fahr schon seit Jahren eine gewisse Passwortpolitik: Absolut Random generiert aus allen verfügbaren Zeichen mit 16-20 Zeichen Länge (Es soll ja immer noch Webseiten geben, die nur 12-16 Zeichen zulassen, sogar Webseiten wo man nur Zahlen und Buchstaben benutzen darf und die Passwortlänge auch gerne 1 Zeichen lang sein darf - solche Seiten meide ich generell.), gesichert in KeePass, die KeePass Datei liegt auf einem verschlüsselten Container, lässt sich nur mit einem 32 Zeichen langen Kennwort UND einer Schlüsseldatei öffnen, diese Schlüsseldatei wiederum liegt auf einem zweiten verschlüsselten USb Stick. Da ich nen eigenen Mailserver im Netz stehen habe (Nicht DS, sondern nen richtigen.) habe ich für jede Webseite eine neue Emailadresse übrig und ein sauberes Kennwort.

Paranoia ist manchmal schon was feines. *AluminiumHutstreichel*

Problem ist halt wirklich das Handeln der Menschen, heutzutage ist soviel Online zu erledigen und die Absicherungen teilweise richtig ungenügend, das es einem grusselt. Wir mussten mal einen PC, wo der User sich ausgesperrt hat "cracken". Dictonary mit den meistgenutzen Kennwörtern als Liste benutzt, nach 20 Sekunden hatten wir das Passwort. Wir haben da wo ich jetzt unterwegs bin mal ein Passwort Audit gefahren mit dieser Liste, über 40% der Kundensysteme hatten ein Passwort, das auf dieser Liste steht für ihren Root/Admin Account. Das grenzte schon fast an kriminieller grober Fahrlässigkeit. Diese Kunden wurden umgehend informiert. Wäre da mal gerne Mäuschchen bei dem Gespräch zwischen Chef und IT Abteilung gewesen.

 

[goetz]

Hallo,

Eine nicht mehr aktive eMailadresse wurde überprüft und als infiziert gemeldet mit eMail auf meine jetzige, aktuelle eMailadresse.

und das glaube ich erst wenn ich die kompletten Kopfzeilen der mail gesehen habe.

und meine eMailadressanfrage lief unter einer gefakten, angepassten eMailadresse,

ja was denn nun, nicht aktive oder gefakte und von welchen Subdaten redest Du?

Gruß Götz

 

[Arny]

Hallo,

und das glaube ich erst wenn ich die kompletten Kopfzeilen der mail gesehen habe.

ja was denn nun, nicht aktive oder gefakte und von welchen Subdaten redest Du?

Gruß Götz

nun, ich bin dabei hier Licht ins Dunkel zu bringen. Hier ist einiges sehr rätselhaft und bevor ich die Sachverhalte nicht eindeutig zuordnen kann, werde ich mal keine weiteren Bemerkungen hierzu machen. Tatsache ist, dass diese Seite meine aktuelle eMailadresse nicht hätte kennen dürfen. Da ich meinen eigenen eMailserver betreibe und außerdem auch Alias-Adressen verwende, muß ich erst einmal die Zusammenhänge eingehend prüfen. Dazu brauche ich allerdings die Hilfe eines Freundes. Meine aktuelle eMailadresse hätte nirgends erscheinen dürfen. Es ist allerdings auch möglich, dass ich hier einen Fehler gemacht habe, oder eine temporäre Fehlfunktion vorlag. Bis dahin kann und werde ich niemandem etwas unterstellen. Wir werden den Schwein schon schlachten, wenn ihm auch quietscht!

Gruß Arny

es ist ja erschreckend wieviele Trittbrettfahrer schon wieder aufgesprungen sind und die BSI Site zu mißbrauchen versuchen. Man hätte halt von Anfang an für genügend Transparenz sorgen sollen ...

 

[Frogman]

... Das BSI ist ein Wirtschaftsförderungsorgan. Es hat u.a. die Entwicklung von GPG4Win gesponsert. ...

Stimmt - doch man darf auch einige andere Funktionen nicht vergessen, aufgrund derer sie sehr genau darauf achten müssen, was sie tun und was nicht. ZB. sind sie Root-Instanz in Deutschland und Sachverständiger des BMI in Fragen der Datensicherheit u. Kryptologie und haben Normungshoheit bei datentechnischen Richtlinien und Zertifizierungen. Und wer tiefere Einblick in die Arbeitsweisen des BSI bekommt, weiß um den deren guten Einfluss auf andere Instanzen bei uns und das erheblich Maß an Kompetenz. Mich hat's nicht unerheblich beruhigt, ich räume ihnen wirklich den Status eines "Vertrauensankers" ein.

@Arny
Du weißt, dass Du nicht extra bei den ganzen Vollzitaten den Bereich fett markieren musst, worauf Du Dich eigentlich beziehen willst, oder? Einfach den Rest 'rauslöschen aus dem Quote...

 

[Arny]

Zitat "und das glaube ich erst wenn ich die kompletten Kopfzeilen der mail gesehen habe."

na siehste, was lange währt wird meist gut. Ich denke meine Fragen sind hinreichend beantwortet.
Zur Sache: Man kann so viel eMailadressen vom BSI überprüfen lassen wie man will. Man bekommt für jede eingetragene eMailadresse einen vierstelligen Code, dieser muß der entsprechenden eMail zugeordnet bleiben, um Verwechselungen auszuschließen.
Die Antwortmail vom BSI geht immer an die Absenderadresse
Ich habe eine nicht mehr aktive eMailadresse überprüfen lassen mit positivem Ergebnis (darum ist ja diese Adresse heute auch nicht mehr aktiv), damals war sie es und sie war halt auch betroffen!
Da ich eine Anfrage gestartet hatte unter verschleierter Absenderadresse (ich war jedenfalls der Meinung), irritierte es mich schon, dass ich Antwort bekam. Eine Untersuchung hat inzwischen ergeben, dass auf Grund eines kleinen Fehlers meine aktuelle eMailadresse mitgesendet wurde und so auch als Adressat für das BSI dienen konnte :-(. Tja, diese böse EDV hat halt so ihre Tücken.
Es bleiben aber in diesem Zusammenhang noch ne Menge Fragen offen und irgendetwas ist hier wohl oberfaul. Ich weiß einfach nicht, warum das BSI so gehandelt hat. Es wurde unnötig Verwirrung gestiftet und Raum für Spekulationen geschaffen. Alle Medien im Ländle überstürzen sich ja regelrecht mit furchterregenden Meldungen und Warnungen. Da steckt doch was dahinter ;-)
War es nun ganz normale "Beamtenintelligenz", oder hat das alles wirklich einen tieferen Hintergrund?
Da dem BSI ja die infizierten eMailadressen bekannt sind, hätte man besser die betroffenen User einzeln per Mail benachrichtigen sollen, oder?
Ich neige sogar zu der Annahme, dass sich das BSI der Beihilfe schuldig gemacht hat, denn erlange ich Kenntnis von strafbaren Rechtswidrigkeiten im Netz, muß ich sofort reagieren und nicht Jahre später, lol!

Gruß Arny

man muß nun wirklich nicht bei jedem Angriff auf seine Maschine gleich so ein Theater machen, ganz schnell bereinigen und gut ist (ich spiele bei Verdacht öfter mal eine saubere Sicherungskopie des Systems zurück).

 

[Frogman]

Die Antwortmail vom BSI geht immer an die AbsenderadresseIch habe eine nicht mehr aktive eMailadresse überprüfen lassen mit positivem Ergebnis (darum ist ja diese Adresse heute auch nicht mehr aktiv), damals war sie es und sie war halt auch betroffen!Da ich eine Anfrage gestartet hatte unter verschleierter Absenderadresse (ich war jedenfalls der Meinung), irritierte es mich schon, dass ich Antwort bekam. Eine Untersuchung hat inzwischen ergeben, dass auf Grund eines kleinen Fehlers meine aktuelle eMailadresse mitgesendet wurde und so auch als Adressat für das BSI dienen konnte :-(. Tja, diese böse EDV hat halt so ihre Tücken.

Das ist ja schon wieder so 'ne verschwurbelte Aussage... von wegen "verschleierte Absenderadresse"... hä?! Nun mal Tacheles: man kann in dem Formular eine - und nur eine! - email-Adresse eintragen, an die auch die Antwort mit dem 4er-Code im Betreff gesendet wird, falls sie betroffen ist. Du kannst also nur - und nicht anders - feststellen, dass eine email-Adresse in der Liste steht, wenn das entsprechende email-Konto zum Zeitpunkt der BSI-Antwort noch aktiv ist!

 

[Arny]

@Frogman, bist Du wirklich sicher, dass die Antwortmail an die eingetragene Adresse geht, oder eben doch an den realen Absender des Anfragenden?
Schau mal, die von mir eingetragene eMailadresse ist nicht mehr aktiv und trotzdem wurde der vierstellige Code vom BSI bestätigt (weil sie eben nicht sauber war) und zwar auf der aktuellen eMailadresse. Wie geht das denn?
Da dieser Vorgang hundertprozent automatisch abläuft, würde mich mal die vom BSI eingesetzte Software interessieren ;-)

Gruß Arny

nun, "verschleierte" eMailadressen als fingierter Absender sind durchaus machbar. Mit ein ganz klein wenig Know How kriegst Du das hin.
Und ich meine jetzt keine Wegwerfadressen ;-)!

 

[goetz]

Hallo,

Du kannst also nur - und nicht anders - feststellen, dass eine email-Adresse in der Liste steht, wenn das entsprechende email-Konto zum Zeitpunkt der BSI-Antwort noch aktiv ist!

genau so ist es.
Wann wer die Empfängeradresse umgeschrieben hat (Weiterleitung zB) steht in den Kopfzeilen der mail.

Gruß Götz

 

[goetz]

Hallo,
eine Webseite kann keinen "realen Absender" abfragen.

Gruß Götz

 

[Arny]

Hallo,
eine Webseite kann keinen "realen Absender" abfragen.

Gruß Götz

und wenn doch, dann wäre es illegal, aber es geht!

Gruß Arny

 

[Arny]

Zitat "Wann wer die Empfängeradresse umgeschrieben hat (Weiterleitung zB) steht in den Kopfzeilen der mail."


nein, das ist etwas anderes und hat mit der eigentlichen Verschleierung der realen eMailabsenderadresse absolut nix zu tun

Gruß Arny

so etwas wird praktiziert, um Manipulationen durchzuführen deren Ursprung absolut geheim bleiben muß und Du kannst sicher sein, es geht und zwar sauber bis ins Detail und zwar ohne Anwendung von Schadcodes ;-)!
Siehste, das demonstriert z.B. die absolute Hilflosigkeit, der Du ausgestzt bist, schaltest Du den Rechner ein!

 

[Frogman]

Zitat "Wann wer die Empfängeradresse umgeschrieben hat (Weiterleitung zB) steht in den Kopfzeilen der mail." nein, das ist etwas anderes und hat mit der eigentlichen Verschleierung der realen eMailabsenderadresse absolut nix zu tun

Junge junge, ich glaube, Du schaust zuviele Filme... Nochmal langsam zum mitschreiben: wenn Du auf der Webseite in ein Formularfeld eine email-Adresse einträgst, dann landet das - und nur das - beim BSI (ok, noch die IP-Adresse, User Agent und so'n Kleinkrams). Niemals kann der Betreiber einer solchen Seite aber einfach so eine andere email-Adresse von Dir erlangen . Und zum Thema email-Codierung: da hat goetz ja eigentlich alles gesagt... wie so ein Header aufgebaut ist und durch die beteiligten Server auf dem Weg ergänzt werden, ist in technischen Richtlinien geregelt (ansonsten könntest Du das ganze email-System in die Tonne treten). Da läßt sich nicht viel manipulieren (und ich rede jetzt nicht vom Faken des sichtbaren Absenders, den Lieschen Müller in ihrem email-Programm sieht). Wenn Du meinst, hier anderes behaupten zu müssen, dann solltest Du mal aufhören, solche Nebelkerzen zu zünden und klare Fakten liefern...

 

[Arny]

ok, Du hast Recht und wir sollten es dabei belassen. Außerdem, warum sollte man Gefahr laufen irgendwelchen Manipulationen zum Opfer fallen zu sollen, dazu ist man halt ein viel zu kleines Licht!
Deswegen versteh ich die Handlungsweisen des BSI noch lange nicht. Jedem betroffenen User eine kleine Mail geschickt mit konkretem Hinweis und der Fall wäre vergessen. Was will man denn deiner Meinung nach mit so einer abnormal groß angelegten Massenaktion nun wirklich bezwecken, Panikmache, Sorge um das Wohl der vielen User, oder was?

Gruß Arny

im ungünstigsten Falle versucht man hier eben ganz krampfhaft von irgendetwas abzulenken ;-)!

 

[Frogman]

...im ungünstigsten Falle versucht man hier eben ganz krampfhaft von irgendetwas abzulenken ;-)!

Tja, der Gedanke kam mir beim Lesen Deiner emails jetzt auch... aber gut, wir belassen es jetzt mal dabei

 

[Arny]

super, so machen wir das und lassen eben erst einmal die Zeit arbeiten, denn meist löst sich einiges quasi im Selbstlauf ;-) !

Gruß Arny

 

[borg2k]

Mir kam ja bei der ganzen Aufregung hier seitens einer Person eher der Gedanke, dass betroffene Hunde bellen, sprich dieser welcher selbst ein Botnetz-Betreiber ist und sich daher so aufregt, dass mal versucht wird die Öffentlichkeit dafür zu sensibilisieren und nicht nur ein paar Tausend Fachmagazinleser wie wir es wohl hier zum größten Teil sind.

 

[Arny]

Botnetze (bitte nicht verwechseln mit Clustern) will man gewiß nicht haben und wegen ihrer bösen Wirkung sofort auflösen. Bist du dir nicht so ganz sicher was deine Maschine macht, so laß dieses Tool (http://www.wireshark.org/download.html) mal ne Weile mitschreiben und analysiere das Ganze und du siehst gewiß klarer ;-) !

viel Glück Arny

 

[Frogman]

So, die Aktion hat sich ja jetzt gelohnt : http://heise.de/-2096573