datenklause.de » Forensik http://www.datenklause.de/blog Schreie aus dem Serverraum Fri, 23 Jul 2010 14:03:26 +0000 http://wordpress.org/?v=2.9.2 de hourly 1 Vogel Strauss http://www.datenklause.de/blog/archives/1638 http://www.datenklause.de/blog/archives/1638#comments Thu, 25 Mar 2010 12:07:28 +0000 sirko http://www.datenklause.de/blog/?p=1638 Deutscher Pharmakonzern. Mein Kollege muss den Ausweis an der Drehtür vorzeigen, die Personalien werden aufgenommen, man muss zehn Unterschriften leisten. Für Diagramme, die man später selbst vorzeigen wird. Aber egal, er will ja Geld verdienen. Die IT der Standorte wird zentral administriert, es wuchert ein Biotop von Windows 2000 bis XP. Dann startet er seine Präsentation und bekommt den Auftrag. Später gibt es dann bei einer Videokonferenz ein Problem: Der Nutzer kann sich vom Firmen-Standort nicht anmelden. Ein kurzer Blick auf die Logfiles des Servers auf unserer Seite offenbart, der Login klappt fehlerlos, allerdings kommt sofort ein zweiter Request mit der gleichen Session-ID aus Russland. Natürlich wird der Session-Key sofort ungültig und der Nutzer abgemeldet.
Ui.
Uiuiui!
Weitere Versuche ergeben, dass irgendjemand in Russland wirklich jeden Klick des Unternehmens nachvollzieht.
Und was macht das Unternehmen?

Richtig.

Gar nichts.

]]> http://www.datenklause.de/blog/archives/1638/feed 1 Spamtrap-Orders http://www.datenklause.de/blog/archives/1548 http://www.datenklause.de/blog/archives/1548#comments Thu, 28 Jan 2010 14:36:41 +0000 sirko http://www.datenklause.de/blog/?p=1548 Ich habe einen bösen Verdacht. Ein bestimmter Server landet beinahe täglich auf einer RBL. Die Mail-Logs habe ich nun täglich untersucht, es gibt kein erhöhtes Mail-Aufkommen, die Absender- und Ziel-Adressen weisen keine Anomalien auf, die auf Spam hinweisen. Besagte RBL arbeitet mit Spam-Traps. Auf dem Server liegen fast nur Online-Shops verschiedenster Art. Trotzdem landet die Kiste fast täglich auf einer RBL. Das kann kein Zufall sein.

Wenn man wissen will, warum etwas geschieht, endet man immer bei dieser uralten Frage: Que bono. Wer profitiert?

Nun ist es für einen Online-Shop ziemlich dumm, wenn ein beträchtlicher Teil der ausgehenden Mails nicht ankommt. Es wäre eine effektive Form von Sabotage, täglich beim Shop eines Konkurrenten eine Fake-Bestellung mit einer Spam-Trap-Adresse auszuführen. Der Aufwand ist minimal und die Wirkung enorm. Egal, ob es die Verifikation der E-Mail-Adresse oder die Bestellbestätigung ist, die IP des Servers vom Shop landet durch eine einzige Mail in einer RBL.

Ich kann das natürlich nicht beweisen. Noch nicht. Aber da fällt mir sicher etwas ein.

]]> http://www.datenklause.de/blog/archives/1548/feed 0