Zum Inhalt springen

Krimi der Woche

Screenshot_2013-09-23-14-28-57

Vergangenen Montag sprach mich ein Kollege an und wies mich darauf hin, dass meine Homepage nicht zu erreichen sei. Ich winkte ab und schob die Schuld auf das überlastete Schulnetz. So brauchte ich einen halben Tag, um festzustellen, dass wirklich etwas schief lief. Ziemlich clever von mir – einen Job beim Geheimdienst werde ich wohl nicht so schnell bekommen.

Jedenfalls war die Homepage weg. Komplett. Ich hatte weder Zugriff auf das Blog, noch auf den ftp-Server oder irgendwas.
Es mag den aktuellen, politischen Debatten geschuldet sein, aber in meiner Naivität fielen mir nur zwei Möglichkeiten ein, wieso meine Domain gesperrt wäre: Eine Reihe hochbezahlter Anwälte ist einem Hollywoodfilm entsprungen um mich wegen raubkopierter Zitate oder Bilder zu verklagen… oder: Die NSA fühlt sich durch meine Lerntheken derart bedroht, dass sie mich abgeschossen haben.

Ich erzählte meinen Kollegen von der Befürchtung – und erntete großes Mitgefühl Gelächter. Sie begannen, meinen Platz im Lehrerzimmer neu zu vergeben, fragten nach der Kautionssumme und mit wie viel Jahren ich zu rechnen hätte.
Eine alternative Idee hatten sie aber auch nicht.

Irgendwann erfuhr ich von meinem Hoster den wirklichen Grund für die Abschaltung: Meine Homepage hätte SPAM-Mails verschickt. wtf? Bitte was?
Man wies mich an, herauszufinden, wie das geschehen könnte und gegebenenfalls die Sicherheitslücke zu finden, die dafür verantwortlich sei. Das nun, schien mir utopisch:
Stellt euch vor, euer Auto bleibt plötzlich auf der Autobahn liegen. Die Polizei kommt und schimpft euch an, dass das nicht geschehen dürfe und überhaupt – das Auto darf erst wieder fahren, wenn man den Grund dafür in den elektrischen Bauteilen gefunden habe – man solle sich gefälligst auf die Suche machen!

Ich bin ein Laie. Obwohl ich für meine Freunde (und Schüler) der Ansprechpartner in Computerfragen bin, habe ich von Programmierung etc. gar keine Ahnung. Wie man eine Homepage installiert, habe ich aus Youtube-Videos gelernt und nachgeäfft. Wie ein Schimpanse.
Ich rief einen alten Studienfreund zu Hilfe, der bei einer Firma arbeitet, die (platt gesagt) im Auftrag von Firmen in die eigenen Netze einbricht, um Sicherheitslücken aufzudecken. Jener Freund loggte sich einmal – hunderte Kilometer entfernt sitzend – in meinen Computer ein, erstellte im Hintergrund einen neuen Benutzer und das alles während wir gemütlich telefonierten und ich nebenher im Internet surfte. Ein Zauberer in meinen Augen.
imageEr brauchte dann auch nur zehn Minuten, um herauszufinden, was los war: Zahlreiche Computer aus dem Ostblock haben abertausende Male versucht, sich auf dem Blog einzuloggen und schließlich mein Passwort (12345) geknackt und dann ihr Unwesen getrieben. Einige Tage und viele Telefonate später, habe ich meine Seite zurückbekommen, alles aufgeräumt und dem Rat eines Lesers folgend (Danke!) ein Plugin installiert, dass nur wenige Anmeldungen erlaubt, bevor es die IP-Adresse des Computers für einige Stunden sperrt und mir eine Benachrichtigung schickt.
Und solche Benachrichtigungen erhalte ich am laufenden Band: Ein treuer – aber mir unbekannter – Mitarbeiter aus dem Sudan versucht sich immer wieder auf der Seite einzuloggen.

Tatsächlich ist alles gut gegangen und mir bleibt eine hübsche Anekdote, die ich im Unterricht verarbeiten werde.

imageBei der Analyse meiner Daten ist mir noch etwas anderes aufgefallen:
Anfang des Jahres hatte mein Blog ein anderes Design, das eher an ein in Leder gebundenes Tagebuch erinnerte.
Schaue ich mir nun die Zugriffszahlen auf das Blog der vergangenen zwölf Monate an, erlebe ich eine Überraschung. Zwischen Januar und März habe ich eine deutlich niedrigere Bouncerate (Absprungrate) meiner Leser, verbunden mit höheren Pageviews.

 

Im Schaubild sieht man das deutlich:

Screenshot_2013-09-23-14-28-57

Ich habe absolut keine Idee, was diesen Wechsel erklärt und während mir die Bouncerate nicht ganz so wichtig ist, lebt ein Blog von der Zahl seiner Leser.

Hat jemand eine Idee? Erstauntes Smiley

Oder war’s die NSA? Ninja

20 Gedanken zu „Krimi der Woche“

  1. Noch ein Erfahrungswert zu „limit login attempts“: Ich habe die Zahl der Versuche mittlerweile auf 2 begrenzt, bevor eine 12 stündige Sperre eintritt. Wer danach nochmal im Filter landet, wird für 72h gesperrt. Benachrichtigungen können übrigens sehr schnell das Postfach verstopfen – die Kombination aus einem sicheren Administratornamen und einem sicheren Passwort reicht aber aus.

  2. Hallo Jan-Martin und Michael,

    erstens finde ich es sehr bedauernswert das es deine Seite Martin getroffen hat. Aber man bleibt halt nicht verschont. Aber ich muss dir auch und auch Michael ins Gewissen reden. Verlasst euch nicht auf Tools. Aber ich will gar nicht viele Worte darüber verlieren, schaut euch beide diese Beitragsserie an:
    http://www.kuketz-blog.de/htaccess-schutz-wordpress-absichern-teil4/
    Ich verweise extra auf Teil 4, den dort ist die derzeit einzig sinnvolle Absicherung beschrieben .htaccess und .htpasswd

    Und für das Plugin „limit login attempts“ gibt es jetzt leider auch noch enttäuschende Worte:
    http://mkln.org/2013/05/7262-login-versuche-trotz-limit-login-attempts/

    Ich will euch nicht entmutigen, aber ich muss euch auf fatale falsche Sicherheitsgefühle hinweisen. Also alles locker sehen und mich bei Problemen fragen.

    MfG Stephan

    1. Nun, ein Vergleich mit meinen Logs zeigt mir, dass das Addon bei mir zumindest wirkt: Habe eine ganze Reihe Sperrungen durchgesetzt und habe überdies auch noch alle möglichen Länder geblockt, von denen man sich grundsätzlich nicht mehr einloggen kann.

      Gerade scheint es ganz okay zu sein.

      1. Wollte ja nur darauf hinweisen, nicht das ein falsches Sicherheitsgefühl entsteht. Aber gut zu wissen das es bei dir zu funktionieren scheint.

        Aber das ist eben in den oben verlinkten Beitrag auch beschrieben, es nützt einem wenig wenn 100.000 Rechner zu greifen. Die haben alle 2 Versuche, sind zwar verschwindend gering gegenüber der Wahrscheinlichkeit das richtige Passwort zu wissen, aber sie sind da. Und genau da sehe ich das Problem, das verursacht denke ich viel Traffic, viel Ressourcen (DB-Speicherung) und es muss ja auch jedes mal überprüft werden ob diese gesperrt oder erlaubt ist.
        Die Tools die in einer solchen Masse auftreten sind ja nicht an deinem Blog interessiert, sondern an jedem. Sprich sie suchen bei jeder Seite (meist egal ob die überhaupt WordPress haben) nach dem Admin Panel „wp-admin“. Wenn man also den Zugang zur Login-Seite sperrt, denken sie das sie vielleicht gar nicht existiert. Das wendet zumindest den Ressourcenbedarf ab. Also ich favorisiere deshalb immer noch htaccess und würde es dir auch empfehlen zu nutzen.

        Ach, was übrigens deine Analyse des Traffics zu bedeuten hat, weiß ich auch nicht genau. Entweder war das Template besser aufgebaut und für Leser und/oder Bots besser zu lesen. Oder, da kommen wir wieder zu den Angriffen. Oder ist dein jetziges Template anfälliger für Angriffe und dadurch sind die Absprünge durch Bots höher(vermehrter Zugriff auf eine Seite, danach wird bei ausbleibenden Erfolg abgebrochen). Aber was genaueres wäre Spekulation.

        1. Nach meiner Erfahrung versuchen die stumpf Standardnutzernamen mit bekannten, unsicheren Passwörtern. Die probieren „admin“, „blog“ und meinen Vornamen, selten noch die URL des Blogs. So gut wie alle IPs tauchen nur einmal auf und wenn sie dann gesperrt sind, tauchen sie idR nicht nochmal auf. Eine zusätzliche Schicht an Sicherheit schadet aber sicher nicht.

  3. Was ich mich immer wieder bei solchen Vorkommnissen frage: wer hat eigentlich was davon? Oder ist es die reine Lust am Zerstören? Was geht, muss auch gemacht werden?
    Da ich mich letzte Woche das erste mal nicht nur als stiller Mitleser gemeldet hatte, sondern einen Kommentar gesetzt hatte, dachte ich (zugegeben sehr selbstbezogen), ich wäre von dem Blog ausgesperrt worden (habe mich gefragt, war mein Kommentar wirklich so blöde? Oder wurde er als Schleichwerbung für meinen eigenen Blog einfach disqualifiziert? Auch wenn es gar nicht so gemeint war!)
    Deshalb bin ich froh, wieder mitlesen zu können. In dem Blog steckt so eine Menge Arbeit – unvorstellbar, wenn alles einfach weggewesen wäre! Aber ein ungutes Gefühl bleibt trotzdem … vor allem für absolute Netzlaien wie mich. (Ich habe ja nicht einmal die Vorschläge der anderen Kommentatoren verstanden!) Was rollt da eigentlich auf uns zu und wir merken es nicht. Ich halte ja solche Blog für Spielplätze für Erwachsene – aber das ist wahrscheinlich sehr naiv…

    viele Grüße aus der Provinz von Frau Henner

    1. Letzten Endes der Drang, Geld zu verdienen.
      (Ich sperre übrigens kaum Kommentare – weder den verrückte Typ, der hinter der Relativitätstheorie eine Verschwörungstheorie vermutet noch Leute, die mir in deutlichen Worten die Meinung geigen.
      In den vier Jahren bloggen habe ich glaube ich nur ein einziges Mal einen Kommentar gelöscht (und ich wüsste auch gar nicht, wie man jemanden von der ganzen Seite aussperren könnte) 😀

    1. Frau Henner,
      ganz einfach. Es wird hier nicht der Halbtagsblog angegriffen sondern jeder WordPress-Blog. Sprich, die Angreifer haben nichts gegen den Herrn Klinge. Ihnen ist egal wem das Blog gehört. Sobald sie also diesen Blog (un alle zuzähligen anderen im Internet) übernommen haben senden Sie Spam-Mails, also Phising oder VirenMails. Damit ist immer noch kein Geld verdient. Also warten Sie das die Empfänger die Mails öffnen und darin auf gefährliche Sachen klicken und möglicherweise irgendetwas machen was ihnen nicht bewusst ist. Daraus kann der Angreifer dann Geld abziehen, er kann verseuchte Rechner als Ressource nutzen oder weiter verkaufen und für weitere Angriffe nutzen. Genau wie er auch diesen Blog dazu genutzt hat.

      Ich mache das aber nochmal an einem Beispiel fest, wie ein Angreifer durch diesen Angriff zu Geld kommt.
      1. Der Angreifer sucht oder schreibt ein Programm was für Angriffe dient.
      2. Er sucht jetzt mittels des Tools Webseiten mit WordPress.
      3. Er findet halbstagsblog.de und versucht sich darin anzumelden. Das macht er tausende oder millionen Mal.
      4. Er hat das Passwort und den Benutzername und loggt sich ein.
      5. Er kann jetzt alles auf dieser Seite verändern.
      6. Er lädt dann also ein anderes Programm hoch, welches ganz viele Emails mit einen Virus versendet.
      7. Ein Email-Empfänger öffnet also dann eine der Emails und startet damit das böse Programm.
      8. Dieses sperrt zum Beispiel den Computer und fordert den PC-Nutzer auf Geld auf das Konto des Angreifers zu überweisen.
      9. Der Angreifer bekommt das Geld.

      Jetzt muss man aber noch den Aufwand betrachten. Warum sendet er nicht einfach die Emails selbst sondern zerstört die Seite von Herrn Klinge? Das macht er um seinen Angriff zu verschleiern. Ähnlich wie ein Angreifer lieber eine öffentliche Telefonzellen benutzen würde, als sein privates Telefon.

      Hoffe das war nicht zu kompliziert.

      MfG Stephan

  4. Das Phänomen ist spannend: Du bist unglaublich kompetent in deinen Fächern, du erschließt dir immer neue Felder, auch technische. Damit bist du nicht allein.

    Und deine Erfahrung habe ich mehrfach hinter mir. Und ich habe immer ein schlechtes Gewissen, weil ich theoretisch weiß, wie ich Dinge besser absichern könnte, es aber aus purer Bequemlichkeit (und oft auch Zeitmangel) nicht tue.

    Wenn es um grundlegende Zusammenhänge aus dem Bereich der Datenverarbeitung geht, erlebe ich viele Menschen als absolut unwissend – nicht genug damit: Es scheint mir zunehmend „en vogue“ zu sein, mit diesem Unwissen zu kokettieren oder es wahlweise mit „Man kann ja nicht alles wissen!“ zu rechtfertigen.

    Dabei wird man gleichzeitig nicht müde zu betonen, dass der digitale Wandel mit dem durch den Buchdruck vergleichbar sei und umfassende Reformen, wenn nicht sogar Revolutionen erfordern.

    Ohne grundlegendes technisches Wissen, wird man diesen Wandel m.E. aber nicht mündig mitgestalten können. Aufklärung konnte man damals ohne naturwissenschaftliche Bildung nicht leben Die Fähigkeiten zum Erwerb sind alle da.

    Die Attacke auf dei Blog war blödsinnig, stumpf, automatisiert. Ein „echter“ Angreifer bleibt so lange wie möglich unsichtbar. Das versuche ich gerade denjenigen beizubringen, die in unser Schul-WLAN eindringen – und beide Seiten lernen etwas dabei über Technik – alternativ könnte ich eine Tadel schreiben – jetzt ist es eher ein Spiel.

    Was hättest du einem echten Angreifer entgegenzusetzen? Dafür bräuchte man wenigstens ein Vorstellung, was theoretisch denkbar ist – sonst stehst du vor der Motorhaube und schaust schlau auf den Alublock.

    Du meisten hätten darüber keinen Artikel geschrieben. Sie hätten sich überführt gefühlt, in ihrer Kompetenz angegriffen – und dann ihr Blog stillschweigend neu aufgesetzt.

    1. Danke 🙂
      Ich fungiere gerne als Paradebeispiel („So nicht, Freunde!“) und hoffe vor allem, dass der ein oder andere Leser etwas für sich dabei herauszieht. Ich werde die Tage noch einen weiteren Artikel über die konkreten Konsequenzen aus dem Ärger schreiben.

  5. Ich weiß nicht, ob die Menschen mit ihrem Unwissen kokettieren, oder sich schlicht und ergreifend überfordert fühlen?

    Die Überforderung ist Ergebnis des Unwissens. Bis heute gibt es aber kaum Chancen auf einen systematischen Wissenserwerb. BIs heute ist es auch eher Glückssache, ob man z.B. informatische Bildung in der Schule erhält oder nicht.

    Große Firmen wie Apple leben von diesem Unwissen und haben dafür ein Ökosystem geschaffen. In die sonstige „Welt“ gestellt ist es dann alles doch nicht mehr so einfach. Und dann ist Apple wieder ja viel besser, weil es die Bedürfnisse der Menschen einfach versteht. So wie das Feudalsystem im 1600 Jhd. eben vielen eine Sicherheit gab – gewagter Vergleich, aber strukturell schon Analog.

    Chemie, Bio und Physik halten fast alle für wichtig, weil diese Fächer dazu beitragen, die Welt zu verstehen. Leider ist „Welt“ nicht mehr nur analog.

    Es geht nicht darum, ein Experte zu werden. Es geht um so einfache Dinge wie z.B. der Fakt, dass ein Motor Treibstoff zum Fahren und Öl für die Schmierung braucht. Aber auch dieses Wissen geht verloren. Drei Motorschäden in meinem Bekanntenkreis: „Ja, da hat so eine Lampe geleuchtet, aber irgendwas leichtet im Cockpit ja immer!“ Der arme Browser, der versucht auf Sicherheitsprobleme hinzuweisen teilt das Schicksal der Lampe. Dabei kann ma die nicht adhoc googeln.

    1. Ich denke, es ist nicht nur das Fehlen der Möglichkeit eines systematischen Wissenserwerb, sondern auch die Fülle der verschiedenen Bereiche, in denen man (ich gebe gerne zu auch ich) nicht mehr mitkommt.
      Man muss sich einfach entscheiden, was ist mir wichtig, den Rest überlasse ich Profis oder mache mit anderweitig abhängig. Das ist nicht schön – aber hey, ich habe noch so viele andere Dinge zu tun in meinem analogen Leben.
      (Zum Glück :))

  6. Bitte im Satz
    „…aber in meiner Naivität vielen mir nur zwei Möglichkeiten.“
    das vielen in fielen ändern.
    Für mich ist dieser Verschreiber im Übrigen ein weiterer Beweis für meine Vermutung, dass selbst Menschen, die mit sehr hoher Wahrscheinlichkeit der Rechtschreibung mächtig sind, durch das permanente Falschlesen an zahlreichen Stellen im Internet, solche offensichtlichen Fehler überlesen. Es kommt einem quasi bekannt/vertraut vor.
    Ansonsten: danke für den tollen Blog!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert