SHARE/PRINT

Falsche Warnung des BSI im Umlauf?

Es kursiert eine "Warnung des BSI" aufgrund von 200.000 gestohlenen FTP-Passwörtern. Diese wird nun einigen per E-Mail zugeleitet. Es besteht der Verdacht, dass diese E-Mail jedenfalls teilweise eine Fälschung ist!

Was ist passiert

Wie auch größere Portale berichten, sind Provider informiert worden, dass auf in Ihrem Netzwerk betriebenen Server genutzte FTP-Zugänge gestohlen wurden. Die Provider informieren nun Ihre vermeintlich betroffenen Kunden über diesen Umstand. Gefährlich ist es auch für den normalen "Surfer", da die Zugänge angeblich dazu genutzt werden, auf die betriebenen Websites Schadcode einzufügen für sogenannten Drive-By-Attacken (vgl. Heise oder Golem).

Warum Bedenken an der Meldung bestehen

Grundsätzlich ist das derzeit beschriebene Verfahren sinnvoll und angeraten. Sollten tatsächlich FTP-Zugänge in falschen Händen sein und diese für derartige Angriffe genutzt werden, können sich hieraus schnell eine weitere Angriffswelle oder auch höchstgefährliche Einzelangriffe ergeben.

Dennoch sind auch in den Kommentaren der jeweiligen Meldungen immer wieder Bedenken an der Echtheit der konkreten Informations-E-Mail laut geworden. Es liegt auch hier eine entsprechende E-Mail vor. Im Weiteren soll einmal gesammelt aufgestellt werden, was die Bedenken auslöst.

 

  1. Es wird über gestohlenen FTP-Zugangsdaten informiert, obwohl aktuell überhaupt kein FTP-Service auf dem Server betrieben wird.

    Das ist noch erklärlich, soweit die Daten ggf. vor sehr langer Zeit gesammelt wurden und ein entsprechender Service mittlerweile nur eingestellt wurde.

  2. Die entsprechenden FTP-Useraccounts existieren aktuell nicht.

    Auch dies ist grundsätzlich noch erklärlich, wenn diese Accounts über die Zeit einfach eingestellt worden wären. In einem konkret bekannten Fall ist diese allerdings nahezu ausgeschlossen, da die angegebene Domain nie auf dem Server betrieben wurde. Der Nutzername erscheint auch recht statisch generiert zu sein SUBDOMAIN@SUBDOMAIN.DOMAIN.TLD. Betrachtet man sich die theoretisch darüber angesprochene Nutzergruppe wird deutlich, dass für diese im konkreten Fall strukturell keine FTP-Accounts existieren würden.

  3. Die E-Mail stammt von certbund.net

    Der CERT Bund betreibt seine Services offiziell unter www.cert-bund.de Dies schließt nicht aus, dass auch certbund.net (also andere TLD und ohne Bindestrich) offiziell vom CERT Bund betrieben werden. Es begründet jedenfalls Zweifel.

  4. Der WHOIS Eintrag

    Der Whois Eintrag erscheint auf den ersten Blick korrekt. Allerdings im Detail kommen auch hier Zweifel.
    Registriert wurde über 1und1. Zwar für ein Bundesamt auf den ersten Blick verwunderlich, aber letztlich auch nicht ausgeschlossen.
    Registrant Organization soll das BSI sein. Hierbei wird auch eine Adresse angegeben. Diese entspricht der Besucher-Adresse des BSI. Die Telefonnummer ist allerdings bereits minimal anders. Hier fehlt die "99" nach der Ortsvorwahl im Vergleich zu den sonstigen Telefonnummern des BSI. Vergleicht man die Daten mit denen unter cert-bund.de ergeben sich auch unterschiede. So ist diese bei T-Systems registriert und auch die zuständigen Personen sind andere. Die Telefonnummer beinhaltet auch die "99'". 

  5. Die zu informierenden Stellen und Frist

    Es soll binnen 48 Stunden gehandelt werden. Diese Frist ist nicht besonders verwunderlich, da ein befürchteter FTP Missbrauch zu gravierenden Konsequenzen führen kann. 
    Es soll neben dem Provider auch der CERT Bund informiert werden (unter noreply@reports.certbund.net). Nicht nur, dass reagiert wurde, sondern auch wie reagiert wurde. Das ist schon eher irritierend. Bei 200.000 Passwörtern ist es untypisch, dass sich eine Behörde mit jedem Einzelfall befassen möchte. Realistischer ist, dass die konkrete Bearbeitung an die Provider ausgelagert wird. Diese sollen die Maßnahmen einleiten, prüfen und ggf. die Server vom Netz nehmen, wenn nicht reagiert wird. Der CERT-Bund selbst möchte realistisch allenfalls eine Mitteilung seitens der Provider haben, wie hoch der Prozentsatz derer ist, die nicht reagiert haben. Aus diesem Wert lässt sich ableiten, ob die gewählte Kommunikationsform verbesserungsfähig ist. 

 

Diese Punkte, insbesondere in Zusammenhang und unter Berücksichtigung des letzten Punktes - legt die Vermutung nahe, dass jedenfalls auch E-Mail im Umlauf sind, die nicht dem BSI / CERT-Bund zugeordnet werden können. Deren Ziel dürfte dann wahrscheinlich sein, verifizierte E-Mail-Adressen zu erhalten. Diese können für SPAM-Mails missbraucht werden oder aber auch als potentielle Nutzernamen bei weiteren Systemen. Kombiniert mit Passwörtern, die in anderen jüngsten Ereignissen erbeutet wurden, wäre dies eine intelligente, wenn auch dreiste Methode vollständige Zugangsdaten von (Dritt-)Online-Systemen zu erhalten; zumindest die "Schwarze"-Datenbank mit weiteren verifizierten Daten zu füttern, damit die Scripts die Online-Systeme mit diesen Daten zum Zwecke einer Credential-Prüfung ansteuern können.

NACHTRAG: Es findet sich auch keine offizielle Meldung des BSI oder des CERT Bund auf deren Websites.


Die auf dieser Seite veröffentlichen Inhalte stehen unter der Creative Commons BY-NC-SA Lizenz, soweit nicht anderweitig gekennzeichnet. Generell von dieser Lizenz ausgeschlossen sind jegliche Marken- und Warenzeichen, sowie sonstige eingetragene Schutzmarken.