Hanfis Weg in die Hölle

Ich entwickle für meinen Arbeitsplatz am URZ ein kleines HTML-Interface für die Domain-Administration. Wir verwenden für die Authentifizierung LDAP/Kerberos, was prinzipiell mal toll ist. Da ich zuvor immer nur Name/Passwort Login gemacht habe, ist das ganze erstmals etwas neues, und ich stolpere immer wieder über neue Problemchen. Um anderen die Arbeit zu ersparen, schreibe ich hier ein paar Details aus, die ich dabei gefunden habe.

Dank mod_authnz_ldap ist ein einfaches Login problemlos möglich. Damit kann man einfach alle Domain-User einloggen lassen (require valid-user) oder ldap-typisch spezifische Gruppen.

Damit starten die Probleme aber erst. Die WebApp soll ja mit den User-Credentials auf andere Ressourcen zugreifen können (in meinem Falle den LDAP-Server). Dazu ist etwas Arbeit nötig. Erstmals müssen wir dem Apache erlauben, die User-Credentials für die dauer des Requests zwischenzuspeichern, was mit “KrbSaveCredentials on” in der Apache-Konfig gelingt. Der Apache speichert dann eine Kopie des Tickets in einer temporären Datei , und löscht diese am Ende des Requests wieder. Der Name dieser Datei wird einem Skript als CGI-Parameter KRB5CCNAME mitgegeben. Hier muss man sich darüber klar sein, dass diese Cache-Datei in /tmp steht, und für Server-Admins ziemlich einfach auslesbar sind. Also nur auf vertrauenswürdigen Hosts machen (die genauen Sicherheitsimplikationen werde ich später noch beschreiben)!

Damit kann man jetzt auf dem Hosts Kerberos-Programme wie klist aufrufen muss aber immer die Cache-Datei mit angeben. Vor allem GSSAPI-Zugriffe sind damit noch nicht möglich, da GSSAPI auf die Umgebungsvariablen guckt um den Ticket-Cache zu finden. Daher ist es Notwendig, vor einem GSSAPI-Zugriff die Environment-Variable KRB5CCNAME auf die CGI-Variable KRB5CCNAME zu setzen. Dann klappt es auch mit GSSAPI.

Hier ein kleines Beispielskript um sich mit einem LDAP-Server mit den UserCredentials zu verbinden:

import os
import ldap
import ldap.sasl
from mod_python import apache

#index file
def index(req):
    #we need load the cgi-vars first
    req.add_common_vars()

    req.write("<h1>LDAP-GSSAPI</h1>")
    req.write("<p>kerberos username is %s<br/>kerberos-ticket cache file is %s</p>" % (req.subprocess_env['REMOTE_USER'],req.subprocess_env['KRB5CCNAME']))

    #set environment so gssapi finds our ticket cache.
    os.environ['KRB5CCNAME'] = req.subprocess_env['KRB5CCNAME']

    try:
        conn = ldap.initialize('ldaps://ldap.example.org')
        # only works if environment is set correctly.
        auth_tokens=ldap.sasl.gssapi()
        if conn.sasl_interactive_bind_s('',auth_tokens) == 0:
            req.write( "<p>Successfully connected</p>")
        else:
            req.write("<p>Oopsy, somethign went wrong.</p>")
    except ldap.SERVER_DOWN:
        req.write(print "<p>ldap-server is sleeping. Dont disturb.</p>")
    return apache.OK

Es wurde ja viel darüber gehyped. Jetzt ist Sie da. Die Wissensdatenbank.

Und sie liefert tatsächlich brauchbare Antworten. Zumindest wird die klassische Frage nach dem Sinn des Lebens erstmals richtig beantwortet. Google dagegen will mir nur Filme verkaufen.

Ich sehe hier eine geniale Idee mit riesigem Zukunftspotential.

Hut ab Wolfram, das habt ihr gut gemacht.

PS: Und die Meldung bei Überlastung des Systems (I’m sorry Dave, i can’t do that), zeigt, dass da echte Geeks dahinter Stecken. Weiter so!

Natürlichkeit ist verboten.

Eine Zensur findet nicht statt (aber Glücksspiele bleiben erlaubt).

Und Lobbyisten sind nicht befangen.

Die Liste lässt sich fast beliebig erweitern.

Alles was ich dazu noch sagen könnte…wäre wohl schon eine Straftat. Darum lass ich es..und gehe jetzt Kotzen.

So mal nebenbei per Anti-Kinderporno-Gestetz alle Grundrechte über Bord werfen.

Unschuldsvermutung? brauchen wir nicht.

Dieser Komentar aus dem Heise-Forum sagt alles was dazu noch zu sagen bleibt:

Ich habe wirklich nur Verachtung für solche Politik. Billiger
Populismus, Instrumentalisierung von missbrauchten Kindern und
massiver Eingriff in die Meinungsfreiheit, alles in einer
Scheißaktion. Von Schäuble erdacht, von Leyen in Kameras gequatscht,
von Guttenberg verteidigt. Da haben wir eine schöne Mischpoke im
Reichstag sitzen!

Ich geh jetzt Kotzen.

Störten mich früher meisten Rechte-Verdreh…äh..ich meine -Vertreter regelmässig wegen Pirate Bay Torrents, scheint es nun die Deutsche Polizei auf mich abgesehen zu haben.

Sehr geehrter Herr Spalinger,

der Polizei in Regensburg (Deutschland, Bayern) wurde per E-Mail eine Straftat nach dem Betäubungsmittelgesetz anonym mitgeteilt. Die IP-Adresse des Absenders lautete: 88.198.56.140

Können Sie anhand der IP-Adresse weitere Angaben zum Absender machen?

Von der Fa. Hetzner Online, Herrn Müller, habe ich die Auskunft erhalten, dass Sie der Mieter eines Rootservers sind.

Mit freundlichen Grüßen
Rudolf Stadler
Kriminalhauptkommissar
Kriminalpolizeiinspektion Regensburg
Kommissariat 4
93053 Regensburg, Bajuwarenstraße 2
Telefon: 0941/506-2641, CNP 7-400-2641
Telefax: 0941/506-2849, CNP 7-400-2849
E-Mail: rudolf.stadler01@polizei.bayern.de

DASS ich als TOR-Exit-Node-Betreiber mit solchen Mails rechnen muss ist klar.

Aber warum die Polizei jedes mal Hetzner fragt wem dieser Server gehört, wenn es doch SO EINFACH IST:

laptop:~ spahan$ dig -x 88.198.56.140

; <<>> DiG 9.6.0-P1 <<>> -x 88.198.56.140
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 28924
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 0

;; QUESTION SECTION:
;140.56.198.88.in-addr.arpa. IN PTR

;; ANSWER SECTION:
140.56.198.88.in-addr.arpa. 86400 IN PTR spahan.ch.
[...]
laptop:~ spahan$ whois spahan.ch
whois: This information is subject to an Acceptable Use Policy.
See http://www.switch.ch/id/terms/aup.html
[...]

Technical contact:
Spalinger Hanspeter
Hammerstrasse 178
CH-4057 Basel
Switzerland

Name servers:
ns.spahan.ch [88.198.56.140]

Und wenn man schon soweit ist…. google würde auch hier eine mail sparen.

As posted before, swisscom wants me “update” to their new VDSL. Sounds fun, but is not.

So today I went out and buyed a new rotuer so i could chain those 2 and hide my LAN from swisscom. I got a WRT54GL. Its a nice device. Aside from be able to set about everything i ever thinked to set up (and even more i never thinked about), it comes too with IPSec, L2PT and PPTP VPN passtrough to let me easily build VPNs. The built in Firewall is nice..but i dont use it anyway. Another nice thing is the posibility to disable http interface and only use https (or even disable both if needed).

Well, the only drawback here is, i need setup my DNS-Server new.  But that i would need do anyway due to the new router from swisscom.

So lets rant a little bit more about swisscom…. Not only they want me change the pw on their site, but actualy the default pw doesnt work anymore since i plugged the modem in. I need go use my swisscom-login to even enable it! Problem here…i don’t have a swisscom login….And i am not up to make one just to access this device. Right now, i consider the Modem a device not mine. Its a swisscom part in my appartement (shoudl i ask for rent?). I wont do anything with this device (expect restart if needed….those swisscom modems are unstable like hell).

So my summary about this: Fuck off Swisscom. Kudos to Linksys/Cisco for this nice device.

Edit: another unfun thing about not be able to login to my router, i can’t check my speed, connection, and everything else!…damit. assholes! damn big brother! Is Sunrise doing the same shit? If not a change may be done soon.

Vor einer Woche erhielt ich einen Brief der Swisscom. Darin wurde angekündigt, dass mein Anschluss von ADSL auf VDSL umgestellt wird. Das ganze zum alten Preis, ein neues Modem werde geliefert.

Toll, dachte ich, Schnelleres Internet ohne Aufpreis. Oder zumindest stabiler (beim alten Modem habe ich alle 1-2 Tage einen Crash der sogar das interne Netz lahm legte).

Heute hohlte ich das neue Modem von der Post ab. Erstmal auspacken. Dann direkt an den Laptop gehängt und auf die Config-Seite per HTTP zugreifen. So  weit so gut, alles sieht ziemlich gleich aus wie beim alten Modem. Also die Konfiguration des alten Modem übertragen. Erstmal das Passwort von 1234 auf mein Modempasswort setzen……Oops, die Passwort-Seite will mich auf eine Swisscom Seite umleiten!?!

Ehh…huh?!? Um das Passwort eines Lokalen Devices zu ändern soll ich das über eine Interne-Seite der Swisscom machen?!?

In meinem Gehirn begann nun das Denken. Da war doch mal etwas von wegen Fernzugriff auf Router bei Swisscom? Ach ja, das hatte ich fast vergessen, natürlich muss man den Fernzugriff deaktivieren. Wo ist den der Menüpunkt? Nichts zu finden. Beim alten Modem nachgeguckt….da ist er vorhanden, nochmals das neue Modem überprüft, nichts.

Also doch mal bei Swisscom vorbeischauen und die AGBs überprüfen….und siehe da….

7.3 Fernwartung

Swisscom behält sich vor, zur Aufrechterhaltung und Op-
timierung ihrer Dienstleistungen zu Konfigurations- und
Supportzwecken jederzeit und ohne spezielle Vorankün-
digung auf DSL-Endgeräte des Kunden zuzugreifen mit
dem Ziel, das ordnungsgemässe Funktionieren der Geräte
zu gewährleisten (nachfolgend „Fernwartung“ genannt).

Swisscom kann vorsehen, dass der Zugriff der Kunden auf
den zu ihrem Internetzugang gehörenden Router aus-
schliesslich online über den von Swisscom bereitgestell-
ten Zugang erfolgt. Swisscom ist berechtigt, auf dem Rou-
ter vorhandene Daten in ihre Datenbank zu übertragen.
Swisscom ist berechtigt, Massnahmen zu treffen zur Er-
höhung der Sicherheit.

Im Rahmen der Fernwartung erhält Swisscom Einblick in
diejenigen Dateien der Kunden, die in unmittelbarem
Zusammenhang mit der Konfiguration des DSL-Endgeräts
sowie der Internet Services stehen. Die an das DSL-
Endgerät angeschlossenen Computergeräte (PC, Note-
book) der Kunden sind von der Fernwartung ausgeschlos-
sen und Swisscom erhält keinen Einblick in die auf diesen
Geräten vorhandenen Daten. Ebenso ist der Zugriff Dritter
auf die DSL-Endgeräte ausgeschlossen. Swisscom haftet
nicht für nach der Fernwartung auftretende allfällige
Schäden an der Hardware der Kunden, sofern diese nicht
nachweislich durch die Fernwartung von Swisscom ver-
schuldet worden sind.

Omfg! Für wie blöd haltet ihr mich eigentlich?!?
Schauen wir uns mal ein paar Passagen genau an….

Swisscom kann vorsehen, dass der Zugriff der Kunden auf
den zu ihrem Internetzugang gehörenden Router aus-
schliesslich online über den von Swisscom bereitgestell-
ten Zugang erfolgt.

Damit kann Swisscom alle Änderungen der Konfiguration sehen. Im Prinzip könnten sie verlangen, dass ich jedes Portforwarding bei ihnen machen muss. Was ist wenn die Swisscom Seite down ist? Was ist wenn jemand den DNS-Forwarder poissened und die Aufrufe auf sich umlenkt? Wer bestätigt mir die Änderung? Kann Swisscom diese verhindern?
Aber es wird noch schlimmer…

Swisscom ist berechtigt, auf dem Rou-
ter vorhandene Daten in ihre Datenbank zu übertragen.

Welche Daten? Alle? Zum Beispiel wann welche MAC welche IP vom DHCP erhalten hat? In der MAC ist ja auch der Gerätehehrsteller enthalten, oft lassen sich sogar die genauen Modelle ableiten. Was wird auf dem Router eigentlich geloggt? Wo kann ich das einsehen? Wie kann ich das ändern? Darf ich das überhaupt? Wie oft werden die Daten übertragen? Wie lange gespeichert? Wer erhält Einblick?
Weil hier kommt ja der nächste Satz:

Swisscom ist berechtigt, Massnahmen zu treffen zur Er-
höhung der Sicherheit.

Was heisst das? Sperren bestimmter Ports (smtp,irc)? Überwachen wer auf das Netz zugreift? Firewall- oder Filter-Anpassungen? Wie kann ich das ändern?
Viele Fragen und praktisch keine Antworten…. oder besser gesagt…Anworten die ich nicht so höhren will!
der nächste Abschnitt ist aber definitiv der Hammer. Das ist definitiv Kundenverarsche pur!

Im Rahmen der Fernwartung erhält Swisscom Einblick in
diejenigen Dateien der Kunden, die in unmittelbarem
Zusammenhang mit der Konfiguration des DSL-Endgeräts
sowie der Internet Services stehen.

Nette Formulierung. Fast nicht verständlich. Was genau sieht die Swisscom auf dem Router? Daten des DSL-Endgerätes und der Internet-Services….. Die Internet-Services umfassen auch (zum Beispiel) die DHCP-Daten? Die kann man auf dem Router nämlich sehen. Auch ob ein LAN-Gerät gerade Daten sended/empfängt. Auch die DNS-Anfragen….etcetc…. Für mich sind das keine Internet Services, sondern Local Net Services….aber die Definition der Swisscom sieht das anders.

Die an das DSL-
Endgerät angeschlossenen Computergeräte (PC, Note-
book) der Kunden sind von der Fernwartung ausgeschlos-
sen und Swisscom erhält keinen Einblick in die auf diesen
Geräten vorhandenen Daten.

Ja, die Swisscom sieht keine Daten AUF dem Gerät….nur wann es mit dem Netz verbinded, welche Server aufgerufen werden, welche Daten empfangen werden…..(Bei mir könnten sie damit etwa 90% der Daten auf dem PC mitbekommen…..da brauchen sie den Zugriff auf den PC nicht mehr….).
Die letzten Diskussionen in Deutschland haben ja gezeigt, dass die Lauscher mehr an den Verbindungsdaten interresiert sind denn an den aktuellen Daten. Die kann Swisscom per AGB aber alle lesen (und speichern!).

Ebenso ist der Zugriff Dritter
auf die DSL-Endgeräte ausgeschlossen

Jaja, hacken ist verboten…darum macht es ja auch keiner….. Idioten.

Swisscom haftet
nicht für nach der Fernwartung auftretende allfällige
Schäden an der Hardware der Kunden, sofern diese nicht
nachweislich durch die Fernwartung von Swisscom ver-
schuldet worden sind.

Und wie beweisse ich im Zweifelsfall wer schuld ist? die Swisscom behält sich ja explizit vor OHNE Ankündigung auf das Gerät zuzugreifen. Woher weiss ich ob eine Störung damit zusammenhängt oder nicht?Edit: Wenn der Zugriff für Dritte unmöglich ist….warum schliesst die Swisscom die Haftung überhaupt aus?..Es Kann sowiso nur die Swisscom darauf Zugreifen. Also muss jedes Problem nach einem Fernwartungszuriff von der Swisscom verursacht sein…was gibt es da noch zu beweisen? Oder ist der Zugriff für dritte eben doch nicht so sicher ausgeschlossen wie das der Satz oben erwarten lässt?

Denkt Swisscom wirklich ich sei so gehirnamputiert und mache das? Ach ja, das mit dem schnelleren Internet…ich habe nachgeguckt….Bei meinem Abo bleiben die Geschwindigkeiten gleich…Es gibt jetzt die Möglichkeit für schnelleres Internet (zu höherem Preis). Warum also soll ich das neue Modem benutzen? Es bietet mir weniger Kontrollmöglichkeiten bei gleicher Geschwindigkeit.
Solange das alte Modem läuft….wird das auch so bleiben. Und wenn ich das neue Modem benutzen muss weil das alte inkompatibel wird? Dann kauf ich mir einen Router. Ich denke eh seit einiger Zeit darüber nach einen Router zu kaufen, die SOHO-Modem/Router-Kombis sind halt einfach zu billig. Ich möchte mein LAN managen, inklusive IPv6,DNS,DHCP, etcetc.
Zur Zeit wäre das wohl ein Linksys BEFSR41 (Erfahrungsberichte sind sehr wilkommen!). Eigentlich wäre etwas mit Gigabit-Ethernet angesagt, aber da gibt es nix billiges (hat jemand einen professionellen Cisco-Router zum verschenken?).

Schade, denn das neue Modem wäre schon besser als das alte. Hätte auch WLAN mit WPA. Und ich vermute mal, dass es auch stablier wäre. Die Worte die ich für die Swisscom übrig habe, behalte ich mal für mich. Sonst krieg ich noch ärger mit deren Rechtsabteilung wegen Verleumdung, übler Nachrede oder ähnlichem Bullshit.

Edit: Noch ein paar Worte dazu was ich akzeptabel fände.

Mir ist klar, das die Fernwartungsfunktion in vielen Fällen helfen kann. Von mir aus darf der Swisscom support auch jeden Support von Geräten ohne Fernwartung ablehnen (brauchte ich in den letzen….10 Jahren eh nie). eine Warnung wie bei Firefox wenn man in die about:config geht wäre angesagt.

Und wenn Daten aufgezeichnet werden, will ich wissen: Was, Wie lange, Wer hat Zugriff, Wer haftet wie im Schadensfalle. Und Pauschalaussagen wie “Ist sicher, aber wir haften nicht, solange man uns nichts beweist” sind absolute Vertrauenskiller. Wenn ich euch ein bischen in mein LAN lasse, dann muss ich euch vertrauen können!

Wenn eine 14-Tägige Kalibrierungsphase gebraucht wird, will ich die explizite Zusicherung, dass die Daten danach gelöscht werden.

So lets check out the iPhones filesystem. Some interesting things to be found.
mobile:/ root# df -h
Filesystem Size Used Avail Use% Mounted on
/dev/disk0s1 500M 448M 48M 91% /
devfs 26K 26K 0 100% /dev
/dev/disk0s2 15G 2.1G 13G 14% /private/var
/dev/disk1 66M 27M 39M 42% /Developer

Some of those actualy may been created by the jailbreak stuff.

/etc, /var link to folders in /private as in osx. /private/var is what seems to be the main working device.  It contains most of the Disks space. Some Folders have been linked to places inside there. /tmp and /Applications are 2 examples.

The basic Layout is very similar to the osx one.  /System/Library is present and organized like the usualy osx. Same goes for /Library. These sure will help to code fore the iPhone since they contain the Libraries that are installed. Some essential stuff in /bin, /sbin, /lib. Seeing the root Disk be almost full, i dont think there will be a lot changes. Looks like this is a stable image.

Generaly we see this concept a lot. If some directory outside /private/var is modified a lot, it gets linked to /var/private in some way.

As mentioned before, the iPhone has 2 main user accounts.

• root: standart password is alpine home dir is /private/var/root
• mobile: home dir is /private/var/mobile

Even we have some Log directories (if outside /private/var, they are usualy linked into) the iPhone realy dont like to log stuff to files. Most directory and files are empty. note to myself: have syslog send the stuff to my debug machine somehow.

The realy interesting stuff is mobiles home.

All in all, the iPhones Disk isnt organized too unfamiliar. I sure will have fun.

Well, Apple wants 99$ to let one develop for the iPhone. I would even pay that, but they wont sell it wihtout me have a credit card. And that is a definitively no-go for me.

So how to enable iPhone development for me?

Preparations :

• Xcode :
  Xcode comes with 2 sets of SDKs for the iPhone. The Simulator- and the Device-SDK. The simulator-SDK is intended to run apps on the integrated iPhone simulator. This works out of the box. We talk about some problems with the Simulator later.
  The more tricky thing is to build for the Device. Apple wants all iPhone Apps be signed (a good idea actualy). Aproved Developers (those who pay to Apple) get a Code Signing Certificate and other Stuff from Apple. People like me without this need create that ourself.
  • Create a Code Signing Certificate
    The most convient way is to use the Keychain Manager that came with osx. Use the Assistant in the Programm Menu to create a Code Signing Certificate. By default Xcode checks for a Certificate issued to “iPhone Developer”, so use that as the common name. No need to adjust all the Projects then.
    If Xcode can’t get your Certificate you get a message
    CodeSign error: Code Signing Identity 'iPhone Developer' does not match any code-signing certificate in your keychain. Once added to the keychain, touch a file or clean the project to continue.
  • Open file:///Developer/Platforms/iPhoneOS.platform/Info.plist and add to the OverrideProperties those 2 keys:
    • PROVISIONING_PROFILE_ALLOWED : NO
    • PROVISIONING_PROFILE_REQUIRED : NO

    Without this, you get Errors like
    CodeSign error: a valid provisioning profile is required for product type 'Application' in SDK 'Device - iPhone OS 2.2.1'

  • You must restart Xcode to make those changes work.
• iPhone setup:
  • iPhone needs be jailbroken.
  • ssh access. check my previous post about this.

Get your Application to iPhone

• Build your project for iphone. Double check the SDK set.
  You will see a warning:
  CodeSign warning: provisioning is not applicable for product type 'Application' in SDK 'Device - iPhone OS 2.2.1'; ignoring...
  Ignore it.
• scp -r [-P <port>] <ProjectRoot>/build/Release-iphoneos/<AppName>.app root@<iPhone ip>:/Applications/
• ssh into your iPhone; ssh -lroot [-p port] <iPhone ip>
• To make the application apear on the display, we need reload the SpringBoard. The SpringBoard is the main application you usualy see. We use the internal launchctl application for this :
• cd to the launchctl directory :cd System/Library/LaunchDaemons/
• reload the Springboard: launchctl unload com.apple.SpringBoard.plist; launchctl load com.apple.SpringBoard.plist;
• The iPhone beeps, and after sliding the lock away, your application should be there.

Remove Application

• ssh into your iPhone, cd into /Applications
• rm -r <ApplicationBundle>.app
• reload the Springboard: launchctl unload com.apple.SpringBoard.plist; launchctl load com.apple.SpringBoard.plist;
• Delete the coresponding entries in User/Library/Caches/com.apple.mobile.installation.plist

Ranting about the Simulator.

So Apple decided to let non-apple-aproved-developers have a way to legaly develop for the iPhone. We shall use the iPhone Simulator. This piece of Software is realy a nice thing, at least i don’t have to set my Application up on the phone, i can use my Keyboard, Mouse, etc.

Well, it would be nice… if its desing wouldnt be completly flawed. First of all it doesnt realy Simulate a iPhone. No arm. It uses x86 code. It uses another SDK. It actualy looks like it just calls the osx frameworks. Unfortunately this differs a little from the iPhone one. An example would be NSTask. On the simulator its there, on the iPhone its not. All this makes the simulator more of a trap than a usefull tool. You can never be sure your code will work on the iPhone just because it worked on the simulator.

Update:
Reloadin the Springboard doesnt always work. Im still unsure what the Problem is.
However, there is a simple workaround. install or remove a Cydia application. Note to myself: poke around in Cydias source to find the problem. This can be annoying after some time, so the most easy thing is to setup your own apt repository. This way you can even install applications from abroad!.

Wir kennen das ja alle, Mails mit dem Betreff “FBI: URGENT reply or go jail!”, “POLIZEI: Tauschbörse” etc. Im allgemeinen verschiebt man sowas ja direkt in den Spamordner. Die folgende Mail von heute Morgen war aber doch etwas verwirrend.


X-Account-Key: account2
X-UIDL: UID60118-1158173284
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path:
Delivered-To: spahan00@mbx.unibas.ch
Received: from smtp2pub.unibas.ch (smtp2pub.unibas.ch [131.152.227.82])
by imap1.urz.unibas.ch (Postfix) with ESMTP id D168038C046
for ; Fri, 6 Mar 2009 09:45:24 +0100 (CET)
X-IronPort-Anti-Spam-Filtered: true
X-IronPort-Anti-Spam-Result: AlgCAJZxsEnDkaC4mWdsb2JhbACCJiuRdDoBAQEBAQgLCgcRwh+ECAY
X-IronPort-AV: E=Sophos;i="4.38,313,1233529200";
d="scan'208,217";a="12532162"
Received: from relay2.lds.nrw.de ([195.145.160.184])
by smtp2pub.unibas.ch with ESMTP; 06 Mar 2009 09:45:24 +0100
Received: from gg43.gg.nrw.de (gw43.nrw.de [93.184.136.60])
by relay2.lds.nrw.de with ESMTP id n268jJMI002984
for ; Fri, 6 Mar 2009 09:45:19 +0100
Received: from gg43.gg.nrw.de (localhost [127.0.0.1])
by gg43.gg.nrw.de (8.14.0/8.14.0) with ESMTP id n268jYlP018798
for ; Fri, 6 Mar 2009 09:45:34 +0100 (CET)
Received: from MAILHUB1.nrw.de (10.64.112.141) by gg43.gg.nrw.de (smtprelay) with ESMTP Fri Mar 6 09:45:22 2009.
Received: from s564uxg0201.polizei.nrw.de (POLIZEI-MAILER [10.216.241.1])
by MAILHUB1.nrw.de with ESMTP id n268jAC0005480
for ; Fri, 6 Mar 2009 09:45:10 +0100
Received: from smtp-gw-1.polizei.nrw.de (unknown [1.4.112.69])
by s564uxg0201.polizei.nrw.de (Postfix) with ESMTP id 01C8F6F957
for ; Fri, 6 Mar 2009 09:56:59 +0100 (CET)
Received: from smtp-gw-1.polizei.nrw.de (localhost [127.0.0.1])
by smtp-gw-1.polizei.nrw.de (Postfix) with ESMTP id DEDF723CC5
for ; Fri, 6 Mar 2009 09:45:10 +0100 (CET)
Received: from S00PAABEX01.polizei.nrw.de (s00paabex01.polizei.nrw.de [1.1.20.228])
by smtp-gw-1.polizei.nrw.de (Postfix) with ESMTP id D399B23CC4
for ; Fri, 6 Mar 2009 09:45:10 +0100 (CET)
Received: from S00PAADEX02.polizei.nrw.de ([2.1.1.229]) by S00PAABEX01.polizei.nrw.de with Microsoft SMTPSVC(6.0.3790.2668);
Fri, 6 Mar 2009 09:45:10 +0100
Content-class: urn:content-classes:message
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----_=_NextPart_001_01C99E37.DB7C750C"
X-MimeOLE: Produced By Microsoft Exchange V6.5
Subject: Internetzugang
Date: Fri, 6 Mar 2009 09:45:09 +0100
Message-ID: <45200EA5B54F7A4EB22907EC6E37ADF9114AFB@S00PAADEX02.polizei.nrw.de>
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
Thread-Topic: Internetzugang
Thread-Index: AcmeN9tUNgsH6BsLT3W+IoEgm2d21w==
From: "Kuschwart, Herbert"
To:
X-OriginalArrivalTime: 06 Mar 2009 08:45:10.0493 (UTC) FILETIME=[DBCEE8D0:01C99E37]

This is a multi-part message in MIME format.

——_=_NextPart_001_01C99E37.DB7C750C
Content-Type: text/plain;
charset=”iso-8859-1″
Content-Transfer-Encoding: quoted-printable

Sehr geehrter Herrr Spalinger,

=20

bei der Staatsanwaltschaft K=F6ln / Deutschland ist unter dem =
Aktenzeichen 119 UJs77/09 ein Ermittlungsverfahren wegen Betrug =
anh=E4ngig. Der Betrug wurde unter Verwendung des Internets ver=FCbt. Es =
konnte folgende IP-Adresse festgestellt werden:

=20

08.12.2008 =
um 19:38 UTC / 20:35:48 MEZ

IP =
88.198.56.140

=20

Lt. Auskunft der Fa. Hetzner Online AG, Gunzenhausen, geh=F6rt diese IP =
zu einem Rootserver, den Sie angemietet haben.=20

=20

Ich bitte Sie, mir die verantwortlichen Personaldaten f=FCr den oben =
genannten Internetzugang mitzuteilen.=20

=20

=20

Mit freundlichen Gr=FC=DFen

=20

Herbert Kuschwart

Regionalkommissariat

Telegrafenstra=DFe 35

42929 Wermelskirchen

Tel.: 02196/941441

Fax: 02196/94110441

Mail: herbert.kuschwart@polizei.nrw.de =
=20

=20

——_=_NextPart_001_01C99E37.DB7C750C
Content-Type: text/html;
charset=”iso-8859-1″
Content-Transfer-Encoding: quoted-printable

xmlns:w=3D”urn:schemas-microsoft-com:office:word” =
xmlns=3D”http://www.w3.org/TR/REC-html40″>
charset=3Diso-8859-1″>

–>

Folgende Gründe sprechen für die Echtheit:

1. Heder: Die Mail stammt offensichtlich von der Domain polizei.nrw.de, die auf http://www.robtex.com/dns/www.polizei-nrw.de.html verweist, was die Domain der Polizei NRW ist.
2. Keine Viren in der Mail (keine Anhänge)
3. Herbert Kuschwart wohnt in Wermelskirchen
4. Es giebt einen Wermelskirchen bei der Polizei NRW

Sollte die Mail echt sein ergeben sich mehrere Fragen:

1. Wie authentiziert man Mails von Behörden, wenn diese nicht signiert sind?
2. Was will Herbert Kuschwart von mir?
3. Was meint Herbert Kuschwart mit “Internetzugang” ?

Ich habe die Polizei NRW angemailt und eine Bestätigung erbeten. Bis ich weitere Infos habe, werde ich mal nichts tun und abwarten.

update: Wie gedacht war die Mail echt. Heute morgen hat mich H. Kuschwart angerufen. Nach einer Erklärung meinerseits wegen des Anhangs (die pgp-Signatur), kam er dann zum Thema. Ob auf dem Server eine Anonymisierungssoftware abreitet?

Bisher hatte ich mit Tor nur mit Urheberrechtsverdrehern Probleme. Aber auf der Tor-Seite wird ja gesagt, dass sich früher oder später auch staatliche Ermittler melden würden.

Ich denke mal, dass ich nicht wirklich in Schwierigkeiten stecke. Herr Kuschwart wollte nicht mehr viel mehr Wissen, als ich ihm vom Tor-Node erzählt habe, er wird wohl wissen, dass da nichts zu finden ist.