Qbi's Weblog

Kürzlich mietete ich einen Rootserver und wollte den natürlich auch in Betrieb nehmen. Nach der Installation des MTA war ich doch ziemlich verwundert, dass es gleich massenhaft Verbindungsversuche gab. Auf den ersten Blick betrafen die allesamt die Domain whiskey-soda.de und wurden mit Relay access denied abgewiesen. Warum bekomme ich deren E-Mails? Ich warf einen Blick auf den MX-Eintrag und staunte nicht schlecht:

jens@nysaino: dig -t MX whiskey-soda.de
;; ANSWER SECTION:
whiskey-soda.de.        46300   IN      MX      10  aeon.zeitguys.de.

Der A-Record von aeon.zeitguys.de zeigt auf meinen Rechenr. Alles klar!

Dadurch kamen täglich um die 4 000 E-Mails an. Also schreibe ich die Firma an und fordere sie auf, den Eintrag zu ändern. Keine Reaktion! Der whois-Eintrag hat noch eine Telefonnummer. Dort erfahre ich, dass die Firma früher unter der Nummer erreichbar war. Seit 2007 existiert Zeitguys angeblich nicht mehr. Ansprechpartner sind keine bekannt und weitere Kontaktmöglichkeiten scheint es nicht zu geben. Aber E-Mails kamen nach wie vor unentwegt. Was tun? Mögliche, sinnvolle LARTs wollten mir nicht einfallen.

Schließlich brachte eine Kontaktaufnahme mit deren Provider DD24 den erhofften Erfolg. Die Ansprechpartner der betreffenden Firma bekamen eine Frist gesetzt und der DNS-Eintrag wurde zu Fristende geändert. Jetzt lässt die Mailflut auch wieder nach und ich muss den Speicherplatz der Festplatte nicht mehr für sinnlose Logeinträge verschwenden.

Wenn ein Hacker/Cracker in ein Computer- oder besser informationstechnisches System eindringt, dann

• wählt er sein Ziel genau aus,
• ist er in der Regel ein Insider, der das Ziel kennt,
• und ist ein kleines Genie, dem niemand so schnell das Wasser reichen kann.

So oder so ähnlich lauten die gängigen Vorurteile. Doch stimmt das wirklich? Verizon hat kürzlich eine Studie veröffentlicht. Dort wurde anhand 500 Einrüche in Rechner innerhalb der letzten vier Jahre geprüft, ob denn das so stimmt.

Sie fanden heraus, dass die Mehrzahl der Vorfälle (85%) zufälliger Natur waren. Den Einbrechern war bis zum Einbruch, dass Ziel nicht bekannt. Die Intensität der Angriffe von innen ist größer als bei denen eines externen Angreifers. Allerdings ist die reine Zahl von Insiger-Angriffen wesentlich kleiner (Verhältnis etwa 1:3). Die Überzahl der Angriffe wird von Script-Kiddies durchgeführt. Ein relativ kleiner Anteil der Vorfälle benötigt “erweiterte Kenntnisse”.

Es geht zwar kaum etwas über ein gesunder Vorurteil. Die Studie zeigt deutlich, dass vieles eben nur Vorurteile sind. Eine wichtige Erkenntnis am Rande: Über ein Viertel der Viren waren für das Ziel handgeschmiedet und die Virenscanner erkannten diesen nicht.

via Errata Security