Wir haben ein Botnet

„Unser Internetprovider hat angerufen. Wir haben ein Botnet!“ Die Kollegin am Telefon klang einigermassen besorgt. Aber ich konnte sie beruhigen: „Wow, ich wusste zwar, dass wir nen nicht ganz billigen Geschaeftskunden-Tarif haben. Aber dass sie uns dazu auch noch ein Botnet liefern, haette ich bei dem Preis nicht erwartet.“ Im Nachgang stellte sich dann aber raus, dass nicht wir ein Botnet haben sondern einer unserer Server angeblich ein Zombi in einem solchen sein soll. Das waere natuerlich weniger erfreulich, wenn auch wahrscheinlicher. Also vorsichtshalber beim Provider nachgefragt.

Der Mensch an der Support-Hotline konnte mir leider auch nicht verraten, wie sie auf die Idee gekommen sind, dass einer unserer PCs verseucht waere. Sie haetten nur eine entsprechende „Meldung im System“. Wie die da reinkommt, wusste er auch nicht. Das haette auch noch niemand wissen wollen.

Da muss er ein Ticket aufmachen und an die Systemadministratoren uebergeben. Nah gut. Der Rueckruf einer Sysadmine kam auch promt: Sie haben nur soeine Meldung von Fraunhofer mit einer Ticketnummer. Dafuer gibt es ein eigenes Meldesystem. Mehr koenne sie dazu nicht sagen. Das System sei halt irgendwann mal eingerichtet worden. Nun wollte ich anhand unserer Logfiles natuerlich nachvollziehen, wie es zu der Meldung kam. Dazu muesste ich aber schon wissen, wann der Vorfall war und worum es sich ueberhaupt handelt. Das wusste sie auch nicht. Das haette auch noch niemand wissen wollen.

Aber zumindest konnte sie mir den Namen eines Prof. Dr. Irgendwas samt Telefonnummer nennen, welcher wohl fuer das gesamte System verantwortlich sei. Also flott dort angerufen. Am anderen Ende meldete sich eine Frauenstimme, welche ich prompt mit der Vorhaltung konfrontierte, dass sie sich bei unserem Provider ueber uns als Botnet-Zombi beschwert habe. „Nein habe ich nicht. Ich habe meinen Computer heute noch nicht mal angeschalten!“ Okay, mit der Antwort koennte sie die Situation zutreffend dargestellt haben, was ich aber gar nicht wissen wollte.

Zumindest ihr Telefon war aber wohl schon betriebsbereit und sie bot mir an, mich „zum Leiter unserer IT“ durchstellen zu wollen. Na gut, IT-Leiter kennen sich nach meiner Erfahrung zwar eher nicht mit den Details eines Ticket-Systems aus. Aber dann versuchen wir es halt Top-Down. So von IT-Leiter zu IT-Leiter, wird sich ja eine gemeinsame Sprache finden lassen. Nach einer Schrecksekunde, dass ich als Externer ploetzlich eine IT-Frage an ihn haette, war Dr. Elmar Gerhards-Padilla dann aber recht auskunftsbereit: „Ohne Ticket-Nummer kann ich dazu nichts sagen.“ Die muesste ich schon bei meinem Provider erfragen. Ob die sich dann ergebenden Infomationen hilfreich waeren, koenne er mir aber auch nicht versprechen. Details hat wohl noch nie jemand wissen wollen.

Also wieder bei unserem Provider angerufen. Der Kollege dort fand es sehr interessant von mir zu erfahren, dass sie an einer Kooperation mit dem „europäischen Advanced Cyber Defense Center“ teilnehmen, wo auch diese komischen Botnetz-Warnungen in deren System herkommen. Und dass sich mit den komischen Nummern dazu, wohl auch die Ursache der Meldung feststellen laesst. Sonst werden die Beschwerden einfach nur weitergereicht. Aber waere nicht schlecht zu wissen, wo die ueberhaupt her kommen. So mache das auch irgendwie nen Sinn. Was er aber trotzdem nicht wusste: Ob er mir die Ticketnummer aus diesem „internen System“ auch sagen duerfe??? Das haette so halt noch niemand wissen wollen.

Er wollte das klaeren. In der Zwischenzeit kann ich mich ja schonmal auf die Suche nach unserem „Zombi“ machen. Immerhin konnte er mir die Uhrzeit sagen, zu welcher wir wohl in eine Spam-Trap geraten waeren. Leider wusste er nur die Uhrzeit – ohne Angabe der Zeitzone. Vernuenftige Systeme arbeiten mit UTC. Aber ob das auch bei diesem System so ist… Also vorsichtshalber mal lieber einen Zeitraum +/- zwei Stunden nehmen. Waren dann noch immer knapp 30.000 Mails, aber besser als den ganzen Tag durchforsten zu muessen. Erstmal alles rausgeworfen, was in den vergangenen zehn Tagen schonmal eine Mail bekommen hat. Weiter zurueck geht nicht, weil wir das aus Datenschutzgruenden nicht speichern. Muessen wir vielleicht kuenftig, wenn dieses unsaegliche IT-Sicherheitsgesetz kommt. Aber das ist Zukunftsmusik. Jetzt hatte ich den „Uebelwicht“ schonmal auf knapp 200 potenzielle Mailvorgaenge eingedampft. Binnen 4 Stunden sind das also nichtmal 50 pro Stunde. Von den Honeypots, die wir zu Forschungszwecken selber betreiben, bin ich da deutlich hoehere Raten gewohnt…

Wie ich noch so drueber gruebel, ob meine Analyse vielleicht fehlerhaft ist, kommt aber die ersehnte Email mit der Ticket-Nummer des „Advanced Cyber Defense Center“. Sogar inklusive der etwas veralteten Zeitangabe als Z-Zeit. Wenn der Supporter bei unserem Provider also nicht zufaellig Pilot ist oder wenigstens frueher mal in einer Armee der NATO gedient hat, wird er vermutlich schlicht nicht wissen, was Zulu-Zeit ist. Andererseits: Warum verwenden Leute eine seit 1972 ueberholte Angabe in IT-Systemen? Mag ja sein, dass die Unix-Epoche am 1.1.1970 begonnen hat. Aber die Spamtrap von Fraunhofer wurde ja wohl nicht schon im vergangenen Jahrtausend aufgestellt… Die kritisch Bemerkung verkneife ich mir bei meiner Anfrage mit „Report-ID“ dort, denn vermutlich wollte das mit der Zeitzone noch nie jemand wissen 😉

Hatte jetzt auch eher bestaetigenden Wert, als dass ich es zum Identifizieren des „Zombi“ gebraucht haette. In der Minute der UTC-Zeit waren naemlich genau zwei Mails rausgegangen. Beide entpuppten sich auf Nachfrage beim Absender als voellig legitimer Mailverkehr. Also wird wohl irgendwas mit dem Logfile nicht stimmen. Vorsichtshalber die Serverzeit nochmal gegen die Zeitserver der Physikalisch Technische Bundesanstalt abgeglichen: Abweichung im Millisekunden-Bereich. Ergo stimmt da wohl was mit der Zeitangabe des Reports nicht. Also die Suche zeitlich doch nochmal etwas erweiteret. Das ist der „Uebeltaeter“! Es gab in den vier Stunden genau eine Mail, die von unserem ueblichen Mailaufkommen abweicht. Das war die Bounce-Nachricht von einem Server, welcher einem Nicht-Mitglied der Liste mitteilte, dass zwecks Spam-Abwehr nur eingeschriebene Mitglieder Emails ueber die Liste senden duerfen. Voellig legitimer und RFC-konformer Mailverkehr und eine wichtige Massnahme zur Vermeidung von Spam.

Mich beschleicht ein Verdacht: Koennte es sein, dass ein Spamer sich ueber die Spamtrap von Fraunhofer geaergert hat und dann mit einer gefaelschten Absenderadresse versuchte, genau diese Bounce-Nachricht an die Spamtrap zu senden? Nein! So bloed wird die Spamtrap nicht programmiert sein, dass sie Bounces nicht erkennt. Ausserdem war die Domain der Empfaengeradresse so schlampig mit SPF-Eintraegen bzw. DKMI beglueckt, dass kein ordentlicher Mailserver die gefakte Absenderadresse haette erkennen koennen. Nah, spaetestens wenn sie mir gleich die Mail-Header oder wenigstens Message-ID schicken, werde ich es wissen.

Die Anwort kam dann auch. „…leider haben wir für diese Benachrichtigung die Header nicht vorliegen. Für die nächsten Runden versuchen wir aber die Header auch
zu bekommen und dann hoffentlich auch direkt in die Benachrichtigungen zu integrieren. Letzteres kann ich aber noch nicht versprechen.“ Aehm, wie bitte? Dass die Software nicht in der Lage war, ein RFC-konformes Bounce zu erkennen, ist schon schlimm genug. Dass dieses System dann nicht mal mehr in der Lage ist zu protokollieren, was es zu der fehlerhaften Annahme eines Zombies veranlasst hat, finde ich einfach nur schrecklich. Wer Datenschutzbedenken hat, kann die Header ja spaeter noch loeschen. Aber wenigstens ein paar Tage aufheben, bis der angebliche Uebelwicht es nachvollziehen konnte, sollte nicht nur erlaubt sondern auch geboten sein. Zumal vor dem Hintergrund der Gesetzesinitiative zur Meldung von Angriffen ans BSI. Ich will mir gar nicht ausmalen, wieviel Papierkram das verursacht, wenn man von soeiner fehlerhaften Trap erstmal angeschwaerzt wurde. Vor allem, wenn es keine Moeglichkeit gibt, auf solche false positive ordentlich zu reagieren. Dann koennte man doch glatt an der Sinnhaftigkeit einer solchen Spamtrap zweifeln oder gar die finanziellen Mittel zusammenstreichen. Obwohl das Projekt doch jetzt schon unterfinanziert zu sein scheint, wie sich aus der grottigen Umsetzung der Trap unschwer herleiten laesst. Hat immerhin nur 16 Millionen Euro gekostet. Aber wenn dann so grandiosen Mist entsteht, will sowas ja eigentlich auch keiner wissen.

Dieser Beitrag wurde unter Allgemein veröffentlicht. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert