Das Gespräch war knapp und freundlich. Ich hatte schon die Hoffnung, einen der “zwangsverpflichteten” Beamten als Befrager zu haben, denen die Befragung ebenfalls unangenehm ist. Herr Z. willigte ein, uns die Fragebögen im Briefkasten zu hinterlegen, ließ sich noch die Anzahl der Personen im Haushalt bestätigen (vier, da wir zwei Kinder haben) und meine Frau und ich waren erleichtert, da wir nach einigen Meldungen schon entnervende Auseinandersetzungen befürchteten.

Wir wollten uns gerade verabschieden, da klärte uns Herr Z. darüber auf, dass er die “ausgefüllten und unterschriebenen Fragebögen” dann anschließend bei uns wieder “abholen müsse“. Meine Frau und ich schauten uns verwundert an. Wir hatten uns mit dem Thema bereits im Vorfeld auseinandergesetzt und wussten, dass wir die Fragebögen an die Erhebungsstelle schicken müssen (Die Onlineübertragung kommt für uns aus Sicherheitsgründen nicht in Frage).

Ich erklärte Herrn Z. also, dass ich ihm die Fragebögen nicht wieder aushändigen würde und dass ich es reichlich bedenklich finde, dass er uns diese falsche Information wie eine Tatsache mitteilt. Darauf entgegnete er nichts mehr. Ich forderte ihn also erneut auf, die Fragebögen in unserem Briefkasten zu hinterlegen und beendete das Gespräch.
Für mich bleibt die Frage offen, ob hier ein System dahintersteckt. Es gibt meiner Meinung nach drei verschiedene Szenarien:

1. Herr Z. geht tatsächlich davon aus, dass er die Fragebögen wieder einsammeln muss. Das halte ich persönlich allerdings für wenig wahrscheinlich. Immerhin sind die Erhebungsbeauftragten geschult worden.
2. Wir sind ein vier Personen Haushalt. Für jeden von ihm ausgefüllten und übermittelten Fragebogen erhält er 7,50 €. Das macht in Summe 30 €. Wenn ich sie selber einschicke erhält er für das Einwerfen nur 2,50 € pro Fragebogen. In Summe also nur 10 €. Wenn ich sie jedoch an ihn zurückschicke und er sie an die Erhebungsstelle übermittelt bekommt er natürlich ebenfalls die volle Aufwandsentschädigung (für Befragungen, die er nicht durchgeführt hat).
3. Er hat ein anderweitiges Interesse an den Daten. In der Broschüre, die er zusammen mit der Terminankündigung eingeworfen hat steht explizit, dass die Fragebögen selbständig ausgefüllt werden können und anschließend an die Erhebungsstelle geschickt werden sollen. Warum also sollte Herr Z. darauf bestehen, dass die Bögen ihm wieder ausgehändigt werden müssen? Es gab im Vorfeld genug Berichte über NPD Mitglieder, die so Informationen über politische Gegner sammeln wollen.

Wie dem auch sei. Keines dieser Szenarien bestärkt mich im Vertrauen in den Zensus.

Das Humble Indie Bundle #2 ist eigentlich eine tolle Sache. Es gibt fünf Independent Games. Den Preis dafür darf man selber bestimmen. Darüberhinaus hat man die Möglichkeit festzulegen, wieviel Prozent des Kaufpreises den Entwicklern, zwei gemeinnützigen Organisationen oder dem Betreiber der Webseite zugute kommt.

Leider handelt es sich beim Humble Indie Bundle zumindest für die Türken um einen Kollateralschaden, wie diese E-Mail zeigt, die an die Betreiber der Webseite ging. Es gibt in der Türkei offenbar Streit über Copyrightprobleme mit Webseiten, die auf der Google App Engine gehostet werden. Statt nun einzelne Webseiten zu sperren wurde die IP-Adresse der Google App Engine (und somit aller darauf gehosteten Webseiten) gesperrt. Das Humble Indie Bundle ist daher nur einer von vielen Kollateralschäden, die nun aus der Türkei nicht mehr erreichbar sind.

Einen Beweis für den Wirkungsgrad der Netzsperre wird in der gleichen E-Mail angetreten. Um aus der Türkei auf das Humble Indie Bundle zugreifen zu können kann man entweder einen Mirror verwenden oder kann einen ausländischen Proxy verwenden:

Solutions? I can suggest the following:
  - Using a CDN like (CoralCDN): The Humble Indie Bundle can be reached using
    http://humblebundle.com.nyud.net (nyud.net belongs to CoralCDN)
  - Proxies: Any proxy outside Turkey should work just fine.

Dieser Fall zeigt eigentlich sehr eindringlich, weswegen Kollateralschäden bei Netzsperren vorprogrammiert sind und darüber hinaus, weshalb Netzsperren im Endeffekt vollkommen wirkungslos – weil leicht zu umgehen – sind.

Der Glastopf läuft bei mir nun schon seit fast vier Wochen. Mittlerweile ist der Datenbestand groß genug, um Statistiken und andere sinnvolle Auswertungen zu fahren. Ich habe bereits ein Repository auf der Glastopf Homepage. Dort werde ich demnächst den Quellcode einpflegen und weiterentwickeln. Jegliche Hilfe und Anregungen sind natürlich gern gesehen und ausdrücklich erwünscht.

Im Dashboard werden unter anderem die letzten fünf Angriffe, deren IP-Adressen und die Länder, von denen die Angriffe erfolgten, angezeigt. Weiterhin eine Übersicht über die fünf aktivsten IP-Adressen, sowie eine Übersicht der letzten fünf RFI-Angriffe. Neben verschiedenen Buttons, die zur Suchfunktion führen, oder eine Whois-Abfrage starten, werden bei den RFI-URLs Buttons angezeigt. Ist die RFI-URL nicht mehr verfügbar, wird dies durch ein Icon symbolisiert. Ist der URL jedoch noch aufrufbar, so kann man den Button benutzen, um sich die RFI-URL anzeigen zu lassen:

Basierend auf GeSHi, dem “Generic Syntax Highlighter”, wird der schadhafte Code dann in einer gut lesbaren Syntax zur Analyse angezeigt. Im Beispiel links sieht man einen Auszug aus einem PHP-Bot.

Zusätzlich habe ich die Aufrufe von “whois” als Shellkommando durch die PHPWhois Klasse ersetzt. Dadurch kann das Webinterface besser in gehärteten PHP Umgebungen eingesetzt werden, die häufig einen direkten Zugriff auf die Shell unterbinden. Weitere Veränderungen habe ich an einigen Stellen bereits im Design vorgenommen. Dadurch wird zum Beispiel das Logfile etwas übersichtlicher.

Ich bin wirklich kein herausragender Programmierer, daher bin ich immer wieder erstaunt, wie viel man in relativ kurzer Zeit bewegen kann, wenn man die Möglichkeit hat auf vorgefertigte Freie Software zurückzugreifen. Die Erweiterungen am Webinterface haben mich wenige Stunden gekostet. Ohne die anderen drei Open Source Projekte wäre das ein äußerst ambitioniertes Freizeitprojekt geworden. Davon abgesehen, wäre ich ohne die bisherige Open Source Vorarbeit des Glastopf-Teams wohl niemals auf die Idee gekommen, an diesem Projekt mitzuarbeiten.

[Zeige als Diashow]

Das sogenannte “Notice and Take-down System” (NTD) unterstützt die Annahme, dass ein ISP / Forenbetreiber, etc. nicht alle Inhalte vor deren Veröffentlichung prüfen kann. Man erwartet allerdings, dass er diesen Inhalt entfernt, sobald er positive Kenntnis von einem illegalen Inhalt bekommt. Bemerkt man selbst einen illegalen Inhalt, so informiert man den ISP, und er kümmert sich um den Rest.

Hierbei gibt es verschiedene Ansätze. Moore und Clayton haben untersucht, wie schnell dieses Systeme funktionieren. Dabei haben sie eine interessante Erkenntnis zu Tage gefördert. Je mehr man einen illegalen Inhalt entfernen möchte, und desto mehr Mittel und Zeit man investiert, umso schneller werden diese Inhalte entfernt. Phishing-Seiten werden extrem schnell vom Netz genommen. Dies liegt daran, das Banken ein großes Interesse daran haben einen Schaden von sich abzuwenden.

Je nach Art der Phishingtechnologie ergibt sich ein Median für die Entfernung von untersuchten Phishingseiten zwischen 0 und 26 Stunden, bei einem Mittel von etwa 96 Stunden bei der fortschrittlichsten Technologie. Anders sieht es jedoch bei Seiten aus, die versuchen Menschen anzuwerben, um dem Anwerber Geld zu überweisen (sog. Mules). Dies ist in der Regel das Geld von kompromittierten Bankkonten, deren Besitzer auf Phishing hereingefallen sind. Dieses Geld wird anschließend von den “Mules” z. B. per Western Union an die Phishingseitenbetreiber weitergeleitet, nachdem Sie einen Teilbetrag für sich abgezwackt haben.

Bei diesen “Mule-recruitment” Webseiten handelt es sich um einen Prozess, der nicht mehr von den Banken selbst abhängt. Daher wird hiergegen offenbar weniger unternommen. Die Motivation einzelner Banken ist nicht so groß, wie bei einer Phishingseite, die aussieht, als sei sie der Bank zugehörig. Moore und Clayton unterstellen sogar, dass die Banken eventuell nicht der Konkurrenz in die Hände spielen wollen. Daher liegt hier die Erreichbarkeit der Webseiten bei einem Median von 188 Stunden mit einem Durchschnitt von ca. 310 Stunden.

Über die Jahre hinweg wurde das entfernen von Phishingseiten immer effizienter. Heutzutage ist es ein Standardprozedere. Die Reaktionszeiten werden immer besser, und ISPs handeln immer zügiger. Jedoch bedienen sich die Banken in den seltensten Fällen der Behörden eines Landes. Die Motivation der Banken ist so groß, dass sie einen schnellen und effizienten Weg gefunden haben ihre Anliegen zu verfolgen. Das Vorgehen von Phishingseitenbetreibern ist offensichtlich. Warum also nicht direkt an der Wurzel anpacken und die Webseite umgehend entfernen lassen. Damit ist allen Beteiligten (selbst den Bankkunden) am ehesten geholfen. Eine Stafverfolgung ist auch danach noch möglich.

Was hat dies alles jedoch mit dem Thema Kinderpornografie zu tun? Moore und Clayton haben hierbei einen vollkommen anderen Ansatz entdeckt. Statt die Webseiten direkt und umgehend beim ISP löschen zu lassen wird in der Regel zunächst mal ein furchtbar langsamer bürokratischer Apparat in Gang gesetzt. Als Argument scheint in Großbritannien das Argument herzuhalten: “Man möchte anderen Leuten nicht auf die Füße treten.” Dies ist ein trauriges Argument, welches ich während der Netzsperren-Debatte in Deutschland auch mehrere Male gehört habe.

Durch die geringe Motivation verfallen alle in eine gewisse starre, in der sich nichts mehr tut. Man habe getan, was man tun könne. Ab hier ist es die Angelegenheit eines anderen Landes. Das führt dazu, dass Seiten mit Kinderpornografie erst nach 288 Stunden (Median) entfernt werden. Das Mittel liegt bei 719 Stunden. Vier Wochen nach der Meldung sind ca. 38% der Kinderpornografischen Seiten weiterhin Online (im Vergleich: 12,5% der Phishingseiten). Nach sechs Wochen sind noch 20% der kinderpornografischen Webseiten verfügbar (10,4% der Phishingwebseiten).

Prinzipiell könnte man von den Banken also lernen, wie es schneller geht. Man müsste lediglich neben der Polizei zusätzlich den ISP informieren. Es ist alles nur eine Frage der Motivation, die bei Kinderpornografie offenbar leider nicht sehr ausgeprägt ist.

Interessant ist hierbei, dass die einflußreichsten Islamisten eine “Botschaft der Ruhe” senden, und die Islamisten dazu auffordern “mit legalen Mitteln dagegen zu demonstrieren“. Der Ton bei einigen deutschen Politikern hingegen ist etwas schriller. Bosbach von der CDU mutmaßt sogar, “dass einige Großbauvorhaben geplant werden, um zu zeigen, wie stark der Islam in Deutschland inzwischen geworden ist“. Als Demokrat macht mich diese Diskussionen regelmäßig sehr betroffen. Auch, wenn ich als Antitheist nicht an ein höheres Wesen glaube, so garantiert unser Grundrecht jedem Menschen selbst zu entscheiden, ob er an einen Vater, einen Sohn und einen heiligen Geist glaubt, die alle trotzdem irgendwie eine Person sind (s. Dreifaltigkeit). Oder lieber an einen Propheten, der behauptet, über Jahre hinweg die Verse der göttlichen Offenbarung diktiert bekommen zu haben. Wohlgemerkt von einem “Wesen”, das außer ihm sonst niemand bemerkte…

Ich kann es nicht nachvollziehen, dass man an soetwas glaubt, aber das Grundgesetzt der Bundesrepublik Deutschland garantiert allen Personen die Religionsfreiheit. Und das aus gutem Grund. Denn die Vergangenheit hat gezeigt, dass die Religion, beziehungsweise die Annamhe es gebe eine “falsche Religion”, oftmals der (vorgehaltene) Grund für sinnloses Morden und furchtbares Foltern war.

Doch abgesehen von diesen Punkten wundere ich mich als Antitheist auch ein wenig über die Legitimität der Diskussion. Was unterscheided die eine Religion von einer anderen? Warum darf die eine Religion Kirchtürme errichten, die andere aber keine Minarette? Dieser Wiederspruch blieb auch dem – der katholischen Kirche nahestehenden – CSU-Europaabgeordneten Bernd Posselt nicht verborgen: “Wer heute Minarette verbietet, wird morgen Kirchtürme schleifen und Kreuze abhängen“. Wie recht er damit haben könnte verdeutlichen Erhebungen der Forschungsgruppe Weltanschaungen in Deutschland. Bereits seit Jahren schwinden sowohl der evangelischen, als auch der katholischen Kirche die Mitglieder. Mitgliederstärker wurde zwar auch die muslimische Gemeinde, allerdings steigen die “Mitgliederzahlen” (falls man es so nennen mag) bei den Konfessionslosen deutlich schneller. Mittlerweile gibt es in Deutschland mehr Konfessionslose als Evangelisten bzw. Katholiken.

Was die steigenden Mitgliederzahlen der Muslime angeht, so ist folgende Bemerkung in der Erhebung Religionszugehoerigkeit Bevoelkerung, 1950-2008 sehr interessant:

Die Angaben zu den Muslimen gelten als zu hoch, da sich nach empirischen Untersuchungen nur 20 % bis maximal 50 % der rund 3,2 Millionen Migranten, die als Muslime eingestuft werden – da sie aus einem „überwiegend muslimischen Land“ stammen -, als religiöse Muslime zu bezeichnen sind.

Soviel also zu dem ungeheuren Wachstum der muslimischen Gemeinde. Es ist ein Problem, welches sich der deutsche Verwaltungsapparat selbst gebaut hat.

Dennoch, die Aufklärung scheint also langsam in den Köpfen anzukommen. Ich habe dazu keine belastbaren Zahlen aus der Schweiz gefunden. Aber vielleicht ist es dort ähnlich. Einige der Stimmen beim Volksentscheid könnten sich also nicht gegen den Islam, sondern schlichtweg grundsätzlich gegen Religion gerichtet haben. Es wäre interessant zusätzlich über Kirchtürme abzustimmen.

Das bedeutet, die “Glückstreffer” von scannenden Bots werden nun von zielgerichteten Angriffen auf den eigentlichen Namen der Installation überrundet. Offenbar haben die Suchmaschinen die vermeintliche Beuteseite entdeckt und indexiert. Einige Stichproben bei Google zeigen, dass die Einstiegsseite unter den ersten zehn Suchtreffern für die jeweiligen Angriffsvektoren platziert ist. Das hat ca. acht Tage gedauert. So lange kann also eine verwundbare Webapplikation ggfs. unentdeckt bleiben (abgesehen von den Zufallstreffern auf die IP-Adresse).  Ab diesem Zeitpunkt steigt die Anzahl der Angriffe rapide an. Ich habe damit begonnen einige Erweiterungen am Webinterface des Glastopfes vorzunehmen. Insbesondere das automatisierte Erstellen von Charts und anderen Statistiken interessiert mich. In diesem Zuge habe ich eine Übersicht der Angreifer pro Tag, sowie die Anzahl der einzelnen Zugriffe pro Tag erstellt:

Ab dem 20. gab es ausreichend Daten, um sie in einem Chart zu verwenden. Ab dem 23. fanden die ersten Zugriffe über den DNS-Namen des Glastopfes statt. Ich bin gespannt, ob die Anzahl der Angriffe weiterhin dermaßen ansteigt. Weiterhin habe ich eine Grafik erstellt, die die Herkunftsländer der Angreifer aufschlüsselt:

Wie unschwer zu erkennen ist, liegt Deutschland dabei sehr weit vorne. Das ist allerdings insofern nicht verwunderlich, als dass der Server in Deutschland beheimatet ist. Vermutlich kommt ein Großteil der Angriffe von Drohnen aus einem Botnetz. Es ist nicht ungewöhnlich, dass die Eigentümer der zu Drohnen umfunktionierten Computer nicht einmal davon wissen, dass Ihr Computer mißbraucht wird. Für Botnetzbetreiber macht es daher aus performancegründen Sinn von den Drohnen aus Netze zu scannen, die in unmittelbarer “Nachbarschaft” liegen. Es macht wenig Sinn von Deutschland aus einen australischen Server zu attackieren.

Die Datenbasis des Glastopfes ist jedoch leider noch zu gering um mehr als Mutmaßungen anzustellen. Es bleibt daher spannend, was weiterhin passiert.

1. Jegliche kritischen Expertenmeinungen zum Thema Internetsperren wurden von Ihr ignoriert. Hierbei handelt es sich insbesondere um verfassungsrelevante Einwände.
2. Eine Petition mit mehr als 134.000 Mitzeichnern wurde von Ihr ignoriert. Die Petenten mit Kinderschändern gleichgesetzt.
3. Die Meinung der Bürgerrechtler wurde übergangen und die Personen diffamiert.
4. Frau v. d. Leyen tourte durch das ganze Land, und trichterte den treuen CDU Wählern ein, wie böse das Internet sei. Dabei verbreitet sie Unwahrheiten um Ihre Thesen zu stützen.
5. Es wurden durch Ihr hinwirken geheime Verträge mit Providern geschlossen.

Ich weis nicht, wie Ihr das seht, aber ich habe den Eindruck, diese Dialogbereitschaft reicht von Ihr bis zum nächsten Baum. Immerhin sagt sie unumwunden, dass die Netzsperren nicht vom Tisch sind. Jedenfalls glaube ich Ihr mittlerweile kein Wort mehr. Die Art und Weise, wie sie sich mit von Ihrem Weltbild unterscheidenden Ansichten auseinandersetzt ist einer Volksvertreterin nicht würdig, furchtbar anmaßend und überheblich. Ich stelle mir allen ernstes die Frage, weshalb ich mit dieser Frau, die jeglichen Bezug zur Verfassung verloren hat, und unsere Grundrechte mit Füßen tritt in einen Dialog treten sollte?! Doch diese Frage hat sie bisher nicht beantwortet…

Und was hat die Familienministerin in der letzten Legislaturperiode für die Familien erreicht? Na? Wer weis es? Du? Ja, dann komm doch mal an die Kommentarfunktion und schreib es auf

Viele Schlüsse lassen sich bisher also leider noch nicht ziehen (außer der Tatsache, dass zumindest mein Server nicht sehr häufig gescannt wird). Interessanterweise suchten alle drei Scans gezielt nach einer Schwachstelle innerhalb einer Applikation. Bisher gab es keinen Versuch in einem Scanvorgang Schwachstellen in mehreren Applikationen zu finden. Die Bots suchten nach: VHCS, Roundcube Webmail sowie phpMyAdmin.

An phpMyAdmin kann man gut erkennen, wie kreativ der Programmierer des Schwachstellenscanners versucht, phpMyAdmin auch an ungewöhnlichen Orten aufzuspüren:

///p/m/a/config/config.inc.php?p=phpinfo();
//myadmin/config/config.inc.php?p=phpinfo();
//php-my-admin/config/config.inc.php?p=phpinfo();
//mysql/config/config.inc.php?p=phpinfo();
//dbadmin/config/config.inc.php?p=phpinfo();
//admin/config/config.inc.php?p=phpinfo();
//pma/config/config.inc.php?p=phpinfo();
//phpmyadmin/config/config.inc.php?p=phpinfo();

Gibt es tatsächlich so viele Benutzer, die dem Security by Obscurity Prinzip folgen? Immerhin besteht die Chance bei einer neu entdeckten Schwachstelle nicht umgehend attackiert zu werden, wenn die Applikation nicht im erwarteten URL-Pfad liegt. Andererseits muss man sicherstellen, dass solche Seiten auch nicht von einem Crawler gefunden und indexiert werden. Genaugenommen ist es ein Widerspruch in sich. Man kann öffentlich zugänglichen Webseiten nicht verstecken.

Ziel ist es, wie bei Honeypots üblich, Informationen über Angriffsmuster und Angreiferverhalten zu protokollieren. Durch die Aktionen, die der Angreifer ausführt lernt man dessen vorgehensweise und eventuell auch dessen Tools besser kennen. Mit diesen Informationen können Webapplikationen besser geschützt und Sicherheitslücken frühzeit erkannt werden.

Ich habe dieses Wochenende genutzt, um einen eigenen Glastopf Server einzurichten. Der schwierigste Teil ist es den URL des Servers bei Suchmaschinen bekannt zu machen. Denn die potentiellen Angreifer müssen die vermeintlichen Dienste zunächst einmal finden. Das habe ich mittels einbinden von Links auf gut frequentierten Webseiten von mir und einigen Bekannten getan. Daher an dieser Stelle auch nochmal vielen Dank für das setzen der Links! Nun heißt es abwarten, bis der erste Angreifer das Ziel findet. Sobald sich etwas tut, werde ich hier berichten.

In dem Video “Die reine Wahrheit” greifen sie das Vorurteil des verwöhnten, aufstrebenden Jugendlichen von gutverdienenden Eltern satirisch auf. Doch wie es während des Wahlkampfes so üblich ist, gibt es einige entscheidende Wahlkampfpunkte zum Schluß des Videos.

www.youtube.com/watch?v=MT0e2XMtV3U

Seit dem Arguliner der JuLis gegen die Piratenpartei ist es kein Geheimnis mehr, dass die JuLis sich ein wenig angegriffen fühlen, weil die Piraten nun die Bürgerrechtsthemen bearbeiten. Die JuLis sind der Ansicht, dass es typische FDP-Themen sind. Kein Wunder also, dass sie versuchen, es der Piratenpartei  im Web 2.0 gleichzutun und bei den jungen Wählern zu punkten. Die FDP wird als die Rettung vor dem Überwachungswahn dargestellt. Was in diesem Video jedoch verschwiegen wird, ist dass einige sehr brisante, freiheitseinschränkende Gesetze von der FDP mitbeschloßen wurden. Doch das Netz vergisst nichts. Daher ist es kaum verwunderlich, dass sich einige Piraten bereits daran gemacht haben diese Aussagen richtig zu stellen. In dem Video “Die ganze Wahrheit ist ganz anders!” stellen sich einige Piraten auf ebenso humorvolle Weise als nerdige Computerfreaks vor.

www.youtube.com/watch?v=JKW7LvhtWmU

Diese Videos könnten als der erste richtige (wenn auch humorvolle) Schlagabtausch zum Onlinewahlkampf in die Annalen der Bundesrepublik Deutschland eingehen. Ich bin sehr gespannt, ob die JuLis, oder gar andere Parteien nochmal kontern werden.