Das Gespräch war knapp und freundlich. Ich hatte schon die Hoffnung, einen der “zwangsverpflichteten” Beamten als Befrager zu haben, denen die Befragung ebenfalls unangenehm ist. Herr Z. willigte ein, uns die Fragebögen im Briefkasten zu hinterlegen, ließ sich noch die Anzahl der Personen im Haushalt bestätigen (vier, da wir zwei Kinder haben) und meine Frau und ich waren erleichtert, da wir nach einigen Meldungen schon entnervende Auseinandersetzungen befürchteten.

Wir wollten uns gerade verabschieden, da klärte uns Herr Z. darüber auf, dass er die “ausgefüllten und unterschriebenen Fragebögen” dann anschließend bei uns wieder “abholen müsse“. Meine Frau und ich schauten uns verwundert an. Wir hatten uns mit dem Thema bereits im Vorfeld auseinandergesetzt und wussten, dass wir die Fragebögen an die Erhebungsstelle schicken müssen (Die Onlineübertragung kommt für uns aus Sicherheitsgründen nicht in Frage).

Ich erklärte Herrn Z. also, dass ich ihm die Fragebögen nicht wieder aushändigen würde und dass ich es reichlich bedenklich finde, dass er uns diese falsche Information wie eine Tatsache mitteilt. Darauf entgegnete er nichts mehr. Ich forderte ihn also erneut auf, die Fragebögen in unserem Briefkasten zu hinterlegen und beendete das Gespräch.
Für mich bleibt die Frage offen, ob hier ein System dahintersteckt. Es gibt meiner Meinung nach drei verschiedene Szenarien:

1. Herr Z. geht tatsächlich davon aus, dass er die Fragebögen wieder einsammeln muss. Das halte ich persönlich allerdings für wenig wahrscheinlich. Immerhin sind die Erhebungsbeauftragten geschult worden.
2. Wir sind ein vier Personen Haushalt. Für jeden von ihm ausgefüllten und übermittelten Fragebogen erhält er 7,50 €. Das macht in Summe 30 €. Wenn ich sie selber einschicke erhält er für das Einwerfen nur 2,50 € pro Fragebogen. In Summe also nur 10 €. Wenn ich sie jedoch an ihn zurückschicke und er sie an die Erhebungsstelle übermittelt bekommt er natürlich ebenfalls die volle Aufwandsentschädigung (für Befragungen, die er nicht durchgeführt hat).
3. Er hat ein anderweitiges Interesse an den Daten. In der Broschüre, die er zusammen mit der Terminankündigung eingeworfen hat steht explizit, dass die Fragebögen selbständig ausgefüllt werden können und anschließend an die Erhebungsstelle geschickt werden sollen. Warum also sollte Herr Z. darauf bestehen, dass die Bögen ihm wieder ausgehändigt werden müssen? Es gab im Vorfeld genug Berichte über NPD Mitglieder, die so Informationen über politische Gegner sammeln wollen.

Wie dem auch sei. Keines dieser Szenarien bestärkt mich im Vertrauen in den Zensus.

Der Glastopf läuft bei mir nun schon seit fast vier Wochen. Mittlerweile ist der Datenbestand groß genug, um Statistiken und andere sinnvolle Auswertungen zu fahren. Ich habe bereits ein Repository auf der Glastopf Homepage. Dort werde ich demnächst den Quellcode einpflegen und weiterentwickeln. Jegliche Hilfe und Anregungen sind natürlich gern gesehen und ausdrücklich erwünscht.

Im Dashboard werden unter anderem die letzten fünf Angriffe, deren IP-Adressen und die Länder, von denen die Angriffe erfolgten, angezeigt. Weiterhin eine Übersicht über die fünf aktivsten IP-Adressen, sowie eine Übersicht der letzten fünf RFI-Angriffe. Neben verschiedenen Buttons, die zur Suchfunktion führen, oder eine Whois-Abfrage starten, werden bei den RFI-URLs Buttons angezeigt. Ist die RFI-URL nicht mehr verfügbar, wird dies durch ein Icon symbolisiert. Ist der URL jedoch noch aufrufbar, so kann man den Button benutzen, um sich die RFI-URL anzeigen zu lassen:

Basierend auf GeSHi, dem “Generic Syntax Highlighter”, wird der schadhafte Code dann in einer gut lesbaren Syntax zur Analyse angezeigt. Im Beispiel links sieht man einen Auszug aus einem PHP-Bot.

Zusätzlich habe ich die Aufrufe von “whois” als Shellkommando durch die PHPWhois Klasse ersetzt. Dadurch kann das Webinterface besser in gehärteten PHP Umgebungen eingesetzt werden, die häufig einen direkten Zugriff auf die Shell unterbinden. Weitere Veränderungen habe ich an einigen Stellen bereits im Design vorgenommen. Dadurch wird zum Beispiel das Logfile etwas übersichtlicher.

Ich bin wirklich kein herausragender Programmierer, daher bin ich immer wieder erstaunt, wie viel man in relativ kurzer Zeit bewegen kann, wenn man die Möglichkeit hat auf vorgefertigte Freie Software zurückzugreifen. Die Erweiterungen am Webinterface haben mich wenige Stunden gekostet. Ohne die anderen drei Open Source Projekte wäre das ein äußerst ambitioniertes Freizeitprojekt geworden. Davon abgesehen, wäre ich ohne die bisherige Open Source Vorarbeit des Glastopf-Teams wohl niemals auf die Idee gekommen, an diesem Projekt mitzuarbeiten.

[Zeige als Diashow]

Das sogenannte “Notice and Take-down System” (NTD) unterstützt die Annahme, dass ein ISP / Forenbetreiber, etc. nicht alle Inhalte vor deren Veröffentlichung prüfen kann. Man erwartet allerdings, dass er diesen Inhalt entfernt, sobald er positive Kenntnis von einem illegalen Inhalt bekommt. Bemerkt man selbst einen illegalen Inhalt, so informiert man den ISP, und er kümmert sich um den Rest.

Hierbei gibt es verschiedene Ansätze. Moore und Clayton haben untersucht, wie schnell dieses Systeme funktionieren. Dabei haben sie eine interessante Erkenntnis zu Tage gefördert. Je mehr man einen illegalen Inhalt entfernen möchte, und desto mehr Mittel und Zeit man investiert, umso schneller werden diese Inhalte entfernt. Phishing-Seiten werden extrem schnell vom Netz genommen. Dies liegt daran, das Banken ein großes Interesse daran haben einen Schaden von sich abzuwenden.

Je nach Art der Phishingtechnologie ergibt sich ein Median für die Entfernung von untersuchten Phishingseiten zwischen 0 und 26 Stunden, bei einem Mittel von etwa 96 Stunden bei der fortschrittlichsten Technologie. Anders sieht es jedoch bei Seiten aus, die versuchen Menschen anzuwerben, um dem Anwerber Geld zu überweisen (sog. Mules). Dies ist in der Regel das Geld von kompromittierten Bankkonten, deren Besitzer auf Phishing hereingefallen sind. Dieses Geld wird anschließend von den “Mules” z. B. per Western Union an die Phishingseitenbetreiber weitergeleitet, nachdem Sie einen Teilbetrag für sich abgezwackt haben.

Bei diesen “Mule-recruitment” Webseiten handelt es sich um einen Prozess, der nicht mehr von den Banken selbst abhängt. Daher wird hiergegen offenbar weniger unternommen. Die Motivation einzelner Banken ist nicht so groß, wie bei einer Phishingseite, die aussieht, als sei sie der Bank zugehörig. Moore und Clayton unterstellen sogar, dass die Banken eventuell nicht der Konkurrenz in die Hände spielen wollen. Daher liegt hier die Erreichbarkeit der Webseiten bei einem Median von 188 Stunden mit einem Durchschnitt von ca. 310 Stunden.

Über die Jahre hinweg wurde das entfernen von Phishingseiten immer effizienter. Heutzutage ist es ein Standardprozedere. Die Reaktionszeiten werden immer besser, und ISPs handeln immer zügiger. Jedoch bedienen sich die Banken in den seltensten Fällen der Behörden eines Landes. Die Motivation der Banken ist so groß, dass sie einen schnellen und effizienten Weg gefunden haben ihre Anliegen zu verfolgen. Das Vorgehen von Phishingseitenbetreibern ist offensichtlich. Warum also nicht direkt an der Wurzel anpacken und die Webseite umgehend entfernen lassen. Damit ist allen Beteiligten (selbst den Bankkunden) am ehesten geholfen. Eine Stafverfolgung ist auch danach noch möglich.

Was hat dies alles jedoch mit dem Thema Kinderpornografie zu tun? Moore und Clayton haben hierbei einen vollkommen anderen Ansatz entdeckt. Statt die Webseiten direkt und umgehend beim ISP löschen zu lassen wird in der Regel zunächst mal ein furchtbar langsamer bürokratischer Apparat in Gang gesetzt. Als Argument scheint in Großbritannien das Argument herzuhalten: “Man möchte anderen Leuten nicht auf die Füße treten.” Dies ist ein trauriges Argument, welches ich während der Netzsperren-Debatte in Deutschland auch mehrere Male gehört habe.

Durch die geringe Motivation verfallen alle in eine gewisse starre, in der sich nichts mehr tut. Man habe getan, was man tun könne. Ab hier ist es die Angelegenheit eines anderen Landes. Das führt dazu, dass Seiten mit Kinderpornografie erst nach 288 Stunden (Median) entfernt werden. Das Mittel liegt bei 719 Stunden. Vier Wochen nach der Meldung sind ca. 38% der Kinderpornografischen Seiten weiterhin Online (im Vergleich: 12,5% der Phishingseiten). Nach sechs Wochen sind noch 20% der kinderpornografischen Webseiten verfügbar (10,4% der Phishingwebseiten).

Prinzipiell könnte man von den Banken also lernen, wie es schneller geht. Man müsste lediglich neben der Polizei zusätzlich den ISP informieren. Es ist alles nur eine Frage der Motivation, die bei Kinderpornografie offenbar leider nicht sehr ausgeprägt ist.

Das bedeutet, die “Glückstreffer” von scannenden Bots werden nun von zielgerichteten Angriffen auf den eigentlichen Namen der Installation überrundet. Offenbar haben die Suchmaschinen die vermeintliche Beuteseite entdeckt und indexiert. Einige Stichproben bei Google zeigen, dass die Einstiegsseite unter den ersten zehn Suchtreffern für die jeweiligen Angriffsvektoren platziert ist. Das hat ca. acht Tage gedauert. So lange kann also eine verwundbare Webapplikation ggfs. unentdeckt bleiben (abgesehen von den Zufallstreffern auf die IP-Adresse).  Ab diesem Zeitpunkt steigt die Anzahl der Angriffe rapide an. Ich habe damit begonnen einige Erweiterungen am Webinterface des Glastopfes vorzunehmen. Insbesondere das automatisierte Erstellen von Charts und anderen Statistiken interessiert mich. In diesem Zuge habe ich eine Übersicht der Angreifer pro Tag, sowie die Anzahl der einzelnen Zugriffe pro Tag erstellt:

Ab dem 20. gab es ausreichend Daten, um sie in einem Chart zu verwenden. Ab dem 23. fanden die ersten Zugriffe über den DNS-Namen des Glastopfes statt. Ich bin gespannt, ob die Anzahl der Angriffe weiterhin dermaßen ansteigt. Weiterhin habe ich eine Grafik erstellt, die die Herkunftsländer der Angreifer aufschlüsselt:

Wie unschwer zu erkennen ist, liegt Deutschland dabei sehr weit vorne. Das ist allerdings insofern nicht verwunderlich, als dass der Server in Deutschland beheimatet ist. Vermutlich kommt ein Großteil der Angriffe von Drohnen aus einem Botnetz. Es ist nicht ungewöhnlich, dass die Eigentümer der zu Drohnen umfunktionierten Computer nicht einmal davon wissen, dass Ihr Computer mißbraucht wird. Für Botnetzbetreiber macht es daher aus performancegründen Sinn von den Drohnen aus Netze zu scannen, die in unmittelbarer “Nachbarschaft” liegen. Es macht wenig Sinn von Deutschland aus einen australischen Server zu attackieren.

Die Datenbasis des Glastopfes ist jedoch leider noch zu gering um mehr als Mutmaßungen anzustellen. Es bleibt daher spannend, was weiterhin passiert.

Viele Schlüsse lassen sich bisher also leider noch nicht ziehen (außer der Tatsache, dass zumindest mein Server nicht sehr häufig gescannt wird). Interessanterweise suchten alle drei Scans gezielt nach einer Schwachstelle innerhalb einer Applikation. Bisher gab es keinen Versuch in einem Scanvorgang Schwachstellen in mehreren Applikationen zu finden. Die Bots suchten nach: VHCS, Roundcube Webmail sowie phpMyAdmin.

An phpMyAdmin kann man gut erkennen, wie kreativ der Programmierer des Schwachstellenscanners versucht, phpMyAdmin auch an ungewöhnlichen Orten aufzuspüren:

///p/m/a/config/config.inc.php?p=phpinfo();
//myadmin/config/config.inc.php?p=phpinfo();
//php-my-admin/config/config.inc.php?p=phpinfo();
//mysql/config/config.inc.php?p=phpinfo();
//dbadmin/config/config.inc.php?p=phpinfo();
//admin/config/config.inc.php?p=phpinfo();
//pma/config/config.inc.php?p=phpinfo();
//phpmyadmin/config/config.inc.php?p=phpinfo();

Gibt es tatsächlich so viele Benutzer, die dem Security by Obscurity Prinzip folgen? Immerhin besteht die Chance bei einer neu entdeckten Schwachstelle nicht umgehend attackiert zu werden, wenn die Applikation nicht im erwarteten URL-Pfad liegt. Andererseits muss man sicherstellen, dass solche Seiten auch nicht von einem Crawler gefunden und indexiert werden. Genaugenommen ist es ein Widerspruch in sich. Man kann öffentlich zugänglichen Webseiten nicht verstecken.

Ziel ist es, wie bei Honeypots üblich, Informationen über Angriffsmuster und Angreiferverhalten zu protokollieren. Durch die Aktionen, die der Angreifer ausführt lernt man dessen vorgehensweise und eventuell auch dessen Tools besser kennen. Mit diesen Informationen können Webapplikationen besser geschützt und Sicherheitslücken frühzeit erkannt werden.

Ich habe dieses Wochenende genutzt, um einen eigenen Glastopf Server einzurichten. Der schwierigste Teil ist es den URL des Servers bei Suchmaschinen bekannt zu machen. Denn die potentiellen Angreifer müssen die vermeintlichen Dienste zunächst einmal finden. Das habe ich mittels einbinden von Links auf gut frequentierten Webseiten von mir und einigen Bekannten getan. Daher an dieser Stelle auch nochmal vielen Dank für das setzen der Links! Nun heißt es abwarten, bis der erste Angreifer das Ziel findet. Sobald sich etwas tut, werde ich hier berichten.