Advanced search

Es gibt Sicherheitsanbieter, die aus einer Mücke einen Elefanten machen, um damit Aufmerksamkeit zu erregen. Das Geschäftsmodell kann man verbessern, indem man als Betreiber einer Blockliste die Aufmerksamkeit der Betroffenen einfordert. Obendrauf kann man ein Zusatzgeschäft satteln, das das Streichen von der Liste entgeltpflichtig macht. Natürlich wird eine solche Liste perfekt und seriös gepflegt sein.

Die Warnung

Dear Provider,

I’m George Egri, the Co-Founder and CEO of BitNinja Server Security.
I’m writing to inform you that we have detected malicious requests
from the IP a.b.c.d directed at our clients’ servers.

As a result of these attacks, we have added your IP to our greylist
to prevent it from attacking our clients’ servers.

Servers are increasingly the target of botnet attacks and you might not be aware
that your server is being used as a “bot” to send malicious attacks over the Internet.

I've collected the 3 earliest logs below, and you can find the freshest 100,
that may help you disinfect your server, under the link.

http://bitninja.io/incidentReport.php?details=ABC...XYZ

Url: [www.rechtslexikon.net/d/rechtsmittelverzicht/rechtsmittelverzicht.htm]
Agent: [Mozilla/5.0 (Windows NT 6.3; WOW64; rv:35.0) Gecko/20100101 Firefox/35.0]

Url: [www.rechtslexikon.net/d/rechtsmittelverzicht/img/logo.png]
Agent: [Mozilla/5.0 (Windows NT 6.3; WOW64; rv:35.0) Gecko/20100101 Firefox/35.0]

Url: [www.rechtslexikon.net/d/rechtsmittelverzicht/css/style.css]
Agent: [Mozilla/5.0 (Windows NT 6.3; WOW64; rv:35.0) Gecko/20100101 Firefox/35.0]

For more information on analyzing and understanding outbound traffic,
check out the guide that we’ve created. We’ve dedicated an entire site to helping people
prevent their server from sending malicious attacks: https://doc.bitninja.io/investigations.html

Our incident experts are also happy to help you and can provide detailed logs if needed.
Please feel free to connect me with the administrator or technical team responsible
for managing your server.

This is not the correct contact email?

Please provide us the e-mail address of the server administrator or the abuse department
of the server management company, so we can send the securityreport to them and
discuss the further steps needed to resolve this problem.
You can provide the e-mail address using a web form. 

Thank you for helping us make the Internet a safer place!

Regards,

George Egri
CEO at BitNinja.io

Selbstverständlich ist die E-Mail an den falschen Abuse-Kontakt  gegangen. Deren Whois-Abfrage beherrscht Abuse-C ala RIPE nicht. Das habe ich schon zig-mal mit denen durch dekliniert. Jedes Mal ohne Erfolg. Sie verstehen es nicht.

Und es fehlen die wichtigen Angaben im Report: Da es sich um die öffentliche-IP eines NAT-Pools ist, benötige ich die Portnummer, um überhaupt die Chance zu haben, den Verursacher zu identifizieren.

Der Vorfall

Aber nun, schauen wir mal wieviel Aufwand man rein stecken könnte, also welche Art von Schaden angerichtet wird.

2017-01-10 18:10:06

Url: [ho###er.com/default.php?os=wp&calling_app=9nblggh4p0vk]
Agent: [Mozilla/5.0 (Windows Phone 8.1; ARM; Trident/8.0; Touch; rv:11.0; IEMobile/11.0; Microsoft; Lumia 950 XL) like Gecko]
Get data: [Array(
 [os] => wp
 [calling_app] => 9nblggh4p0vk)]

Url: [www.softair.at/faq.html]
Agent: [Mozilla/5.0 (Windows NT 10.0; WOW64; rv:50.0) Gecko/20100101 Firefox/50.0]

Url: [fa###ng.###.com/Overload/?steamid=76561198141804145&map=ttt_rooftops_2016_v1]
Agent: [Mozilla/5.0 (Windows; Valve Source Client) AppleWebKit/535.19 (KHTML, like Gecko) Chrome/18.0.1003.1 Safari/535.19 Awesomium/1.#.#.1 GMod/13]
Get data: [Array(
 [steamid] => 76561198141804145
 [map] => ttt_rooftops_2016_v1)]

Url: [fa###ng.###.com/Overload/?steamid=76561198141804145&map=ttt_rooftops_2016_v1]
Agent: [Mozilla/5.0 (Windows; Valve Source Client) AppleWebKit/535.19 (KHTML, like Gecko) Chrome/18.0.1003.1 Safari/535.19 Awesomium/1.#.#.1 GMod/13]
Get data: [Array(
 [steamid] => 76561198141804145
 [map] => ttt_rooftops_2016_v1)]

Url: [tattoomodels.hol.es/gotham-suicide/]
Agent: [Mozilla/5.0 (Linux; Android 4.4.2; X7 Build/KVT49L) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/30.#.#.0 Safari/537.36]

Url: [www.st-sebastian-bickenriede.hol.es/impressum.htm]
Agent: [Mozilla/5.0 (Linux; U; Android 4.3; de-de; HUAWEI G6-U10 Build/HuaweiG6-U10) AppleWebKit/534.30 (KHTML, like Gecko) Version/4.0 Mobile Safari/534.30]

Url: [www.st-sebastian-bickenriede.hol.es/kontakt.htm]
Agent: [Mozilla/5.0 (Linux; U; Android 4.3; de-de; HUAWEI G6-U10 Build/HuaweiG6-U10) AppleWebKit/534.30 (KHTML, like Gecko) Version/4.0 Mobile Safari/534.30]

Url: [www.st-sebastian-bickenriede.hol.es/Gottesdienste_Vermeldungen/aktuelle_gottesdienste_und_vermeldungen.pdf]
Agent: [Mozilla/5.0 (Linux; Android 4.3; HUAWEI G6-U10 Build/HuaweiG6-U10) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/44.0.2403.133 Mobile Safari/537.36]

Url: [www.st-sebastian-bickenriede.hol.es/Gottesdienste_Vermeldungen/aktuelle_gottesdienste_und_vermeldungen.pdf]
Agent: [Mozilla/5.0 (Linux; Android 4.3; HUAWEI G6-U10 Build/HuaweiG6-U10) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/44.0.2403.133 Mobile Safari/537.36]

Das schaut aber nicht nach einem Angriff aus, sondern nach normaler Benutzung. Also stelle ich mal die explizite Rückfrage.

Can you please explain, what type of attack you are referring to?
I do only see valid web usage in your reports.

Der Abschluss

Die Antwort war ernsthaft überraschend:

Hello, 

Thank you for reaching out to us.
I checked the provided IP address and found nothing malicious in the recent,
therefore I delisted the mentioned IP address from our greylist.
If you have any more questions, do not hesitate to contact us.

Best Regards, 
Anita Batári
Incident Expert
https://bitninja.io

Die Commerzbank verlangt für beleghafte Überweisungen Geld. Das kann ich akzeptieren. Ich habe schon jahrelang am Automaten die Aufträge selbst erfasst. Onlinenbanking hat jahrelang nicht für mich funktoiniert. Jetzt tut's. Und jetzt soll das auch noch kostenpflichtig werden.

Rückblick

Mit der Dresdner Bank war ich als Kunde immer zufrieden, nicht nur, weil ich meine feste Ansprechpartnerin dort kannte.

Kurz vor der Jahrtausendwende kam Online-Banking (in Form von HBCI) auf und ich wollte das auch mal ausprobieren. Also hab ich mich an die Bank gewendet und einen Smartcard-Leser mit seriellem Anschluss per Post bekommen. Als ich den zwei Monate nicht einmal benutzt hatte, rief jemand schüchtern aus dem Rechenzentrum in Frankfurt an: Herr Donnerhacke, ich kenn' Sie ja aus dem Usenet. Sie haben unser Gerät bekommen und nie benutzt. Haben Sie Sicherheitsbedenken oder gar etwas schlimmes gefunden?

Das hatte ich natürlich nicht. Mein Problem war, dass das Teil an einer NeXTstation nicht lief. Aber da konnte er mir nicht helfen. So blieb ich bei beleghafter Kontoführung und dann die Benutzung der Automaten. Da hin zu gehen ist nicht aufwendig, wenn es in der Nähe der Arbeitsstelle ist.

Später ging die Bank in der Commerzbank auf und ich bin mit gegangen. Man ist ja bequem. Einen feste Ansprechpartner brauchte ich nicht mehr, freute mich aber die paar Mal, die ich dort war, immer an die gleiche und kompetente Person zu gelangen.

Irgendwann mochte ich den doch etwas weiteren Fußweg nicht mehr und beantragte wieder mal Online-Banking. Es stellte sich heraus, dass bis auf einen extra PIN/TAN-Brief nichts weiter geschah, als dass man die gleiche Oberfläche wie am Automaten nun auch zu Hause hatte. Intern ist beides Online-Banking nur halt von verschiedenen Zonen aus. Das ist clever und gestattete mir, Online-Banking von außerhalb Deutschlands zu untersagen.

Etwas später wurde TAN durch iTAN und mTAN abgelöst. ChipTAN, wie es die Sparkasse anbietet, war leider nicht im Angebot. Noch etwas später kam PhotoTAN.

Diskriminierung

Und heute lese ich in der Bank-Mitteilung:

Die Commerzbank empfiehlt ihren Kunden im Onlinebanking die Nutzung der photoTAN.
Sie beruht auf modernsten Sicherheitsstandards, ist kostenlos und es 
gilt die Commerzbank Sicherheitsgarantie. 
Mit der photoTAN ist Banking mit dem Smartphone ohne Zusatzgeräte möglich.
Die mobileTAN als bisherige Alternative zur TAN-Generierung kann von Kunden
weiterhin genutzt werden, ist künftig jedoch nicht mehr kostenlos. 
Wechseln Sie jetzt und testen Sie unsere PhotoTAN-App auf www.commerzbank.de

Ab 1.05.2018 werden wir den Versand einer (angeforderten, tatsächlich genutzten)
mobileTAN per SMS mit 0,09 EUR bepreisen.
Sollten Sie mit dieser Änderung nicht einverstanden sein, sprechen Sie uns gern
bis zum 30.04.2018 an. Bis zu diesem Termin haben Sie die Möglichkeit zu widersprechen,
oder das Konto fristlos und kostenfrei zu kündigen. 
Widersprechen oder kündigen Sie nicht, gilt Ihre Zustimmung zu der Vertragsänderung
als erteilt. Das geänderte Preis- und Leistungsverzeichnis kann in unseren 
Geschäftsräumen eingesehen werden und wird auf Wunsch ausgehändigt oder zugesandt.

Hallo? Ich muss ein Smartphone haben und eine Software von Euch installieren, damit ich Euch Kosten spare?

Wenigstens erkennt Ihr, dass Eure Anwendung nicht auf allen Smartphones laufen wird. Ihr schreibt selbst:

Wenn Sie kein Mobiltelefon besitzen, auf dem Sie die Commerzbank photoTAN-App
installieren können, haben Sie die Möglichkeit, bei Anmeldung zur photoTAN
ein preisgünstiges Lesegerät zu erwerben.

Bevor ich jetzt schaue, ob es für mein Handy überhaupt Eure Software gibt (Nein, das ist kein NeXTphone), lese ich nochmal nach, dass ihr bei mTAN die gleichen Sicherheit garantiert wie bei PhotoTAN.

Das ist deswegen witzig, weil ihr bei PhotoTAN schreibt, dass Eure Software das Hauptsicherheitsrisiko implementiert hat:

Auf Ihrem Smartphone können Sie Überweisungen noch schneller und einfacher durchführen
als am Computer. Nutzen Sie dafür die kostenlose Banking-App der Commerzbank.
In Verbindung mit der photoTAN-App entfällt das Scannen der Grafik. Durch eine
ausgeklügelte Technik sind die Apps direkt miteinander gekoppelt.

Selbst Wikipedia weiß:

Und selbstverständlich gibt es die App nur für Android und iOS. Nicht für Windows Phone, Symbian, etc.

So und nun müssen wir reden. Zumindest müsst Ihr auf meinen Widerspruch, der bei Euch eingehen wird, reagieren. Sonst bleibt alles beim Alten. Klar?