Archive for the “security” Category

Git macht Spass. Lokale Repositories sind schnell herumgeschoben und man kann ohne Netz arbeiten. Etwas schwieriger ist es, ein schon angelegtes Repository auf einen zentralen Server zu schieben. Auch will man natürlich die Organisationsweite Authentisierung benützen, in meinem Fall Kerberos.

Voraussetzungen:

  • Apache Webserver mit DAV Module (ist in der default Installation dabei)
  • funktionierendes mod_auth_kerb (http://modauthkerb.sourceforge.net/ oder viele andere Anleitungen im Netz)

Server Repository vorbereiten

Als erstes müssen wir aus dem git repository ein bare repository machen. Dies ist ein git repository ohne working copy (vereinfacht gesagt, das .git Verzeichnis).

git clone /Pfad/zum/lokel/repo server-repo.git --bare

Um als remote repository auch das pushen zu unterstützen müssen wir jetzt noch die properties updaten und einen post-hook einrichten, der dies nach jedem push tut. Netterweise liegt eine Beispiel-skript im default repository bereits zur Verwendung bereit.

cd server-repo.git
git --bare update-server-info
mv hooks/post-update.sample hooks/post-update

Damit ist das repository bereit zum hochladen auf den server.

DAV access vorbereiten

Dieser Schritt ist im Prinzip einfach. Erstmals passen wir die apache config mit einer Location direktive an (Directory geht auch, aber dann muss man den Filesystem Pfad eingeben, bei Location verwenden wir den Webserver-Pfad, was das rumschieben auf dem Server vereinfacht.)

<Location /git/>
DAV on #DAV einschalten
AuthType Keberos # Kerberos auth
KrbMethodNegotiate On # single sign on erlauben
KrbAuthRealms SPAHAN.CH # der verwendete Kerberos realm
Krb5KeyTab /etc/httpd/httpd.keytab # wo die Kerberos keytab mit dem server principal liegt
KrbServiceName HTTP/server.spahan.ch # nur nötig wenn der server ein vhost ist und in der keytab der echte hostnamen steht
AuthName "Mein git Repository" # irgendwas sinnvolles
require user hanfi@SPAHAN.CH devel@SPAHAN.CH # Vollständiger Username MIT REALM!
</Location>

Jetzt noch kurz mit apachectl -t testen ob alles OK ist und dann den Server mit apachectl restart neu starten .

Testweise mal das /git Verzeichnis in der Document-root mit mkdir git anlegen und prüfen, ob Kerberos auth funktioniert. Wenn man ein Kerberos enabled OS und Browser verwendet, kann es sein, dass der Browser das OS-Ticket ohne nachfrage verwendet.

Im Server access log sollte man nun sehen, dass der Zugriff authentifiziert ist.

Hochladen und testen

Mit scp kann man das bare repository jetz auf den server hochladen (scp -r server-repo.git webserver:/var/www/html/), korrekt benennen (mv server-repo-git git) und die permissions setzten (chown -R www:www git)

Unter der git URL sollte nun das kerberos geschützte repository liegen (HEAD, branches, hooks und mehr Dateien sollten im Top Verzeichnis liegen).

Auf einem Client System können wir nun testen ob alles klappt.

Wenn wir ssl verwenden (und das sollte man bei Kerberos immer tun, alles andere ist Fahrlässig) muss entweder das Zertifikat “echt” sein oder wir müssen vor dem clonen dem git mit export GIT_SSL_NO_VERIFY noch sagen, dass das Zertifikat schon in Ordnung ist. Dann clonen wir das repo mit git clone hanfi@webserver/git
Wenn dies nicht klappt, muss man sich noch ein Kerberos Ticket hohlen (kinit hanfi@SPAHAN.CH). Danach sollte es ohne Passwortabfrage einfach clonen.

Jetzt kann man eine Harmlose Änderung durchführen, diese ins lokale repository commiten, und den push ausprobieren. Sollte das nicht gehen hilft am besten das Server access log, Fehler 403 deuten auf Falsche permissions hin (wenn man was auf dem server als root macht, und dann einzelne Dateien nicht mehr dem www user gehören -> chown -R www:www git). Fehler 502 hat mit DAV, proxy und dummen Headern zu tun (google nach “DAV svn https Bad Gateway” -> naxos-software hat einen guten Blogeintrag dazu )

Flattr this!

Comments Comments Off on Lokales git Repository auf einen DAV server mit kerberos klonen

Also, jetzt mal ernsthaft. DAS soll ein OS sein?!?

Da muss man mal etwas unter Windows testen…und nach nur 10 Minuten bin ich nur noch am Fluchen.

Der Java-installer zum runterladen installiert kein Browser-plugin. Um das zu kriegen muss ich also….die online-Version benützen. Shit…

Und dann will man einfach mal ein testfile erstellen. Eines, dass exact die Grösse hat die ich will. Oh, da gibts ein tool für.
fsutil file createnew test.txt 2000
The FSUTIL utility requires that you have administrative privileges.

Neee…..das ist ein Scherz oder? Ich weiss, dass ich mich manchmal blöd anstelle, aber um ein File in meinem Homedir anzulegen muss ich Admin sein?

Ich will doch nur ein paar Tests machen….nichts anderes……

 

 

PS: über die versteckten File-Suffixes rede ich nicht mehr…. dieses OS hat auf ganzer Linie versagt….sigh….

PPS: Wo versteckt dieses OS so essentielle tools wie diff, grep, patch?

Flattr this!

Comments Comments Off on Windows…häh?

Auf meinem neuen rootserver wollte ich die Root-Partition LUKS-verschlüsseln.
Debian unterstützt dieses vorgehen fast ohne manuelle eingriffe, wobei ein paar Details zu beachten sind.

In meinem Fall sind die beiden 3TB Festplatten in 2 Partitionen unterteilt, einmal eine kleine (1GB) /boot partition und eine LUKS-verschlüsselte LVM für alles andere.
Das LVM erlaubt es mir, Partitionen einfach anzupassen wenn es irgendwo knapp wird (die betrifft vor allem die Home-partitionen).
Das setup habe ich vor dem installieren aus dem rescue-system meines ISPs eingerichtet, die Anleitung im Debian-Handbuch ist dabei hilfreich (suche nach debootstrap).

Das Problem mit LUKS ist, dass das Passwort/Keyfile im initramfs vorhanden sein muss, sonst kann die HD nicht entschlüsselt werden. Normalerweise fragt das initramfs beim booten nach dem Passwort, was aber bei einem headless rootserver im Rechenzentrum nicht geht.
Der Trick besteht darin, einen ssh-server ins initramfs einzubauen, und den key dann über ein keyscript an cryptsetup weiterzureichen. Der normale openssh ist dafür etwas zu gross, daher verwende ich den dropbear sshd. Dieser ist Bestandteil vieler busybox-installationen auf (zum Beispiel) Routern und das von debian verwendete update-initramfs-script benützt es automatisch wenn eine verschlüsselte root-partition gefunden wird (man kann es aber auch in /usr/share/initramfs-tools/conf-hooks/dropbear erzwingen).

Dann muss man noch die /etc/crypttab anpassen.

md1_crypt /dev/md1 none luks,tries=0,keyscript=/lib/cryptsetup/keyscript

Den Key auf “none” setzten; tries=0 erzwingt ewiges warten im initramfs bis das keyscript den korrekten Key liefert.
Das Keyscript prüft ob der key existiert, und falls ja gibt es ihn zurück

if [ -f /lib/cryptsetup/passfifo ]; then
    cat /lib/cryptsetup/passfifo
fi

Das Keyscript wird am einfachsten auf dem host in /lib/cryptsetup/ abgelegt, damit die initramfs-tools es automatisch finden.

Um einfach einzuloggen (ohne passwort) ist es ratsam, den eigenen public key in /etc/initramfs-tools/root/.ssh/authorized-keys anzugeben. Falls die Datei nicht existiert erzeugt initramfs ein eigenes Key-paar, und hinterlegt es im initramfs (schlechte Idee).

Damit ist man fast fertig. Erhält der Server seine IP per DHCP, kann man das interface einfach in /etc/initramfs-tools/initramfs.conf als DEVICE angeben. Will man eine statische öffentliche IP vergeben, so muss man die parameter als kernel-boot-parameter übergeben. In meinem Fall (Grub2, hetzner setup) füge ich also

GRUB_CMDLINE_LINUX="ip=88.198.59.12::88.198.59.1:255.255.255.224:::none"

zu /etc/default/grub hinzu. Die parameter kann man in der Linux-Dokumentation unter /usr/src/linux/Documentation/filesystems/nfs/nfsroot nachlesen (das ganze ist dafür gedacht nfs-Volumes als root einzubinden, aber es funktioniert auch für andere Dinge). Die leeren Parameter werden für nfs-boot gebraucht.
Falls dass nicht klappt, kann man auch ein simples script in /etc/initramfs-tools/scripts/init-premount/mount-boot hinterlegen:

PREREQ="udev devpts"
prereqs() {
    echo "$PREREQ"
}
case "$1" in
    prereqs)
        prereqs
        exit 0
    ;;
esac
. /scripts/functions
ifconfig eth0 inet pointopoint 88.198.59.1 88.198.59.12/32

Damit ist alles bereit und der Server hält beim booten an, bis in der Datei /lib/cryptsetup/passfifo der Korrekte Key hinterlegt wird.
Der Key muss nach dem booten nicht gelöscht werden da initramfs eh nur im RAM liegt und bald überschrieben sein sollte.

Um sich einzuloggen verwendet man dann etwas in der Art

# ssh -o "UserKnownHostsFile=~/.ssh/known_hosts.initramfs" \
	-i "~/id_rsa.initramfs" root@initramfshost.example.com \
	"echo -ne \"secret\" >/lib/cryptsetup/passfifo"

Weitere Details findet man unter /usr/share/doc/cryptsetup/README.remote auf der Festplatte von Debian.
Viel Spass beim basteln und immer schön lange Passwörter verwenden.

DISCLAIMER: Das obige setup ist nicht 100% sicher. ein lokaler Angreifer kann immer noch böse Dinge tun. Ich habe daher (als zusätzliche Hürde) bei mir die /boot partition im normalbetrieb nur read-only gemounted. Kann ein Angreifer aber unbemerkt darauf rumschreiben, wird Sicherheit schwierig. Man könnte im ssh noch den hash des initramfs-images prüfen, aber auch das ist nicht sicher, da der Angreifer ja das hash-tool ersetzten könnte. Aber alles in allem muss der Angreifer mit diesen Massnahmen sehr viel wissen mitbringen, und auch entsprechend vorbereitet sein. Ein Fehler, und der Angriff wird erkannt.

Flattr this!

Comments 1 Comment »

Firefox comes with a set of predefined search plugins. Those are stored inside the Application bundle. Go to /Applications (or wherever your Firefox.app is), right click and choose “Show package content”.
This will open a new window with the Application Data and Binaries. Inside “Content/MacOS/searchplugins” you can find the preset search plugins. You may want remove those not used, I don’t think this has any speed impact, but you never use the wrong one then.

The searchplugins use a open standard which works for multiple Browsers. The default file on my System one see below:

<SearchPlugin xmlns=”http://www.mozilla.org/2006/browser/search/“>
<ShortName>Google</ShortName>
<Description>Google Search</Description>
<InputEncoding>UTF-8</InputEncoding>
<Image width=”16″ height=”16″>data:image/png;base64,[long base64 encoded image]</Image>
<Url type=”application/x-suggestions+json” method=”GET” template=”http://suggestqueries.google.com/complete/search?output=firefox&amp;client=firefox&amp;hl={moz:locale}&amp;q={searchTerms}”/>
<Url type=”text/html” method=”GET” template=”http://www.google.com/search“>
<Param name=”q” value=”{searchTerms}”/>
<Param name=”ie” value=”utf-8″/>
<Param name=”oe” value=”utf-8″/>
<Param name=”aq” value=”t”/>
<!– Dynamic parameters –>
<Param name=”rls” value=”{moz:distributionID}:{moz:locale}:{moz:official}”/>
<MozParam name=”client” condition=”defaultEngine” trueValue=”firefox-a” falseValue=”firefox”/>
</Url>
<SearchForm>http://www.google.com/firefox</SearchForm>
</SearchPlugin>

This is a xml file, and one can use any text editor to edit. We need change 3 lines.

  1. In the second last line starting with <SearchForm> replace http://www.google.com/firefox by https://encrypted.google.com/ (important! NO firefox at end!)
  2. In the line starting with <Url type=”text/html” replace http://www.google.com/search by https://encrypted.google.com/search (including the /search!)
  3. Remove the first Url tag (the one which has suggestqueries in it). Unfortunately it looks like google doesnt offer suggestqueries over https for now. If you do not remove this line, all your typing will search for suggestions at google without https, therefore rendering all the other changes unneeded. Your final query would be https encrypted, but before that it will check for suggestions unencrpyted. If your concerned enough to switch google to https, i assume you dont miss the suggestions anyway.

Thats it. Now your search field uses https. Don’t feel bad about google servers have more load because of this. Google is working on lower the footprint of ssl. So help them debug their stuff.

Side notes: IF you are paranoid, think about remove the 2 Lines after “<!– Dynamic parameters –>”. The first will tell google your FF version, your language setting, and if your FF is the official one. The second one is used to show google if your using google as default search engine. I assume both lines are used to allow Mozilla get money from Google. Since google is a big source of income for Mozilla, I actually suggest to at lest keep the MozParam. They deserve some money for their good work. Setting those lines to static values may help too.

Flattr this!

Comments Comments Off on Switch Firefox google search to use ssl on MacOSX

Ich wollte ja schon mehrmals an den Chaos Communication Congress fahren. Dieses Jahr hab ich endlich mal keine Ausrede gefunden und bin hin gefahren. Das hat mich ziemlich viel gekostet, aber das war es definitiv Wert.

Ich bin dabei Zweigleisig gefahren. Einerseits Kongress, andererseits Berliner Nachtleben mit meinen Freunden die ebenfalls dort waren. Sie haben das ganze etwas gelassener angegangen und sind meist erst spät Nachmittags am Kongress aufgetaucht, während ich auch nach einer durchzechten Nacht meist um 12h wieder vor Ort war. Daher bin ich wohl am Mate-Konsum-Rekord nicht ganz unschuldig.

Berlin ist nicht umsonst berühmt für sein Nachtleben. Irgendwo ist immer Party , auch um 5 Uhr am Morgen. Und Alkohol ist billig. Kein Vergleich zu Basel. Mein neuer Lieblingsdrink ist der “Mexicana”, ein dem Bloody Mary ähnelnden Drink.

Der Kongress war ein Feuerwerk an Ideen und Erfahrungen. Am meisten Beeindruckt hat mich eine  verblüffend einfache Sicherheitslücke in GSM und der MakerBot (der Replikator ist gar nicht so weit entfernt wie ich immer dachte).

Neben den Sensationen war aber auch Zeit mich weiter zu Bilden. Sehr interessiert habe ich mich da für die Hardwaresachen, speziell auch das ganze mobile Zeugs.

Die ganzen Zensur-Sachen interessieren mich nicht so sehr, ich sehe das ganze als ganze als Entwicklung die dieser Staat machen muss um die bestehende Ordnung zu erhalten. Um das Problem zu lösen hilft es nichts, wenn man versucht die Bürgerlichen Freiheiten auf biegen und brechen zu verteidigen, wir müssen das System viel Tiefer angreifen und verändern (Und genau hier finde ich die MakerBot-Idee absolut Genial. Sie versucht die Industrie zu dezentralisieren, was dann notwendigerweise auch die Eigentumsverhältnisse durcheinander würfelt)

Und das wurde am Kongress im Untergeschoss aka Hackzenter getan. Moral erstmal egal, gehackt wird was gehackt werden kann. Vorstellen kann man sich das ganze als einen Grossen Raum mit hunderten (?) Hackern die dicht gepackt an Tischen an ihren Laptops sitzen und irgendwelche Dinge machen. Setz dich hin, pack deinen PC aus, leg los.Gleich dahinter (etwas kleiner) die MusikLounge, wo man sich auf mit dem Laptop auf Sofas breit macht und rauchend/saufend/musizierend sein Ding dreht.

Dann gab es auch noch die kleinen Highligts die einfach Nett waren; Die singende Teslaspule, selbstgebaute Flugmaschienen und noch viele kleine Spielereien.

Ich kann mich daher dieser Twittermeldung anschliessen und Freue mich aufs nächste mal am 27c3.

Flattr this!

Comments Comments Off on 26c3 ein Versuch mich zu Erinnern

GMX meint es gut mit mir. Darum sind sie um Sicherheit bemüht.

*Schluss mit dem Passwort-Spuk:
TÜV-geprüfte Sicherheit für Ihre Daten!*
<http://portal.gmx.net//de/themen/nachrichten/in-eigener-sache/9063766-GMX-Navigator-schuetzt-Login-Daten-optimal,cc=000921405000090637661czW7O.html>

Wenn man sich gerade diese Meldungen anschaut, war der Zeitpunkt für dieses Feature nicht allzu gut gewählt.

Flattr this!

Comments Comments Off on Tüv geprüfte Sicherheit

Der BigBrother Award 2009 in der Kategorie Business geht an die Swisscom

Warum? Weil Sie genau das machen was ich damals befürchtet habe, verwenden sie die AGB zum schnüffeln, speichern und wohl noch ganz anderen Niederträchtigkeiten. Ich würde ja lieber heute als Morgen wechseln, aber sind die anderen besser? Ich glaub nicht so recht daran. Zumindest kommen sie nicht in MEIN Netz rein. Eigene Router sind schon was brauchbares, genauso wie eigene DNS-Server. Aber ausser der IWB freut das Schlussendlich keinen so richtig.

Gratulation an die Studentengewerkschaft CUAE die den Preis für den Kampf GEGEN Überwachung und Bespitzelung bekam.

Flattr this!

Comments Comments Off on Swisscom kriegt den Big Brother Award 2009

Hetzner hat meinen Server letzte Woche vom Netzt genommen, wahrscheinlich wegen einer ddos-Attacke.
Ich habe die Gelegenheit genutzt mal richtig aufzuräumen und meinen Server neu aufgesetzt. Das schöne an 2 Festplatten im Server ist, dass man einfach mal switchen kann. Natürlich nur wenn man die zweite Platte nicht braucht.

Ein Hauptanliegen seit langem ist ein gut funktionierender Mailserver, mit http-Frontend und virtuellen Usern. Hier läuft jetzt eine Postfix/Dovecot-Installation, als Webinterface kommt zurzeit Squirellmail zum Einsatz. Wobei ich für dieses noch einen Ersatz suche, das sieht ja grauenhaft aus. Etwa mehr GUI wäre hier sicher nicht Pfui.

Daneben hab ich endlich auch meine CA-Idee verwirklicht, damit ich nicht für jeden ssl-enabled-service das Cert einzeln akzeptieren muss. Wer das Certifikat in den Browser importieren will, kann es hier herunterladen.

Der obige Link verweist übrigens auch auf ein neues Projekt. Hanfis File Manager ist eine php-basierte Software, die es erlaubt Files mit einem Passwort zu verteilen. Wer jetzt verwundert die Augen reibt das nicht auch mit .htaccess geht liegt falsch. Es geht bei HFM darum Passwörter für einzelne Dateien zu haben, die aber nicht an einen User gebunden sind.

Flattr this!

Comments Comments Off on Server reset

Zurzeit wird in Deutschland ja gerade viel über die DNS-Blockade geredet. Wie in anderen Ländern sollen gewisse DNS-Namen nicht mehr korrekt aufgelöst werden.

Auch in der Schweiz ist ein ähnliches System in Einsatz. Im Gegensatz zu vielen anderen Ländern ist die Liste der Schweiz aber immer noch geheim. Oder besser gesagt, niemand hat bisher die Vollständige Liste gesehen. Da sich die meisten Listen Grundsätzlich mit Kinderpornographie befassen, ist es kein Wunder, wenn diese Listen gemeinsame Einträge haben. Leider funktioniert dieses Argument bei wichtigeren Themen nicht (Politik, lokales, etc).

Dennoch ist es interessant mal die Listen anderer Länder durch das System zu jagen und zu gucken was so zurück kommt. Ich habe mir also die aktuelle Liste der Norweger von Wikileaks gezogen, und mit einem einfachen Shellscript einen DNS-Server meines ISPs gecheckt. Die Norweger mussten herhalten, da es die aktuellste Liste auf Wikileaks ist. Im total sind darin 3518 DNS-Namen gelistet.

Um Fehler zu vermeiden, hab ich die DNS-Namen erst mal meinem eigenen voll rekursiv arbeitenden name-server gefüttert, und alle nicht mehr vorhandenen Namen gefiltert. Das waren 885 Namen von 3518 (~25%).

Die übrig gebliebenen Namen (2632) habe ich dann über cns1.bluewin.ch aufgelöst. In 486 Fällen erhielt ich eine andere Antwort vom Bluewin-Name-Server als von meinem.

Dabei wurde in 329 Fällen die IP 81.63.144.199 zurückgeliefert. Hier der reverse dns Eintrag der IP:

;; QUESTION SECTION:
;199.144.63.81.in-addr.arpa.    IN    PTR

;; ANSWER SECTION:
199.144.63.81.in-addr.arpa. 15631 IN    PTR    block.bluewin.ch

Ein Screenshot der Webseite für nicht-TOR-benutzer kann man hier finden (Das original ist ein Beispiel dafür ist wie man eine Webseite nicht machen soll. CSS+Tabellenlayout=OMFG. )

Bei den verbleibenden 157 Adressen stimmt oft nur das letzte IP-Oktet nicht überein, was auf eine Netzumstellung zurückgeführt werden kann, in mindestens einem Fall scheint da ein einfaches DNS-Round-Robin verfahren zur Lastverteilung zum Einsatz zu kommen.

Zurzeit scheint die Schweizer Liste beträchtlich kürzer zu sein als die Norwegische. Oder sie hat ganz andere Links drin. Über die Inhalte kann ich nicht viel sagen, hab keine der genannten Webseiten angesurft (das nur so als Notiz für die Kripo). Mal gucken welchen Freund ich dafür reinreiten will :.

Ich frag mich echt was das ganze soll. Das ganze macht etwa soviel Sinn wie Nummern aus dem Telefonbuch streichen. Für ernsthafte Internet User ist ein Zensur-System egal welcher Art (DNS, BlueRay, Firewalls, etc) immer einfach ein Anreiz es zu brechen. Und wir sind viele. So viele, dass wir selbst die besten Systeme in kürzester Zeit brechen.

Geht sterben Offline-Politiker.

Flattr this!

Comments Comments Off on DNS Blockade in der Schweiz

Wir kennen das ja alle, Mails mit dem Betreff “FBI: URGENT reply or go jail!”, “POLIZEI: Tauschbörse” etc. Im allgemeinen verschiebt man sowas ja direkt in den Spamordner. Die folgende Mail von heute Morgen war aber doch etwas verwirrend.


X-Account-Key: account2
X-UIDL: UID60118-1158173284
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path:
Delivered-To: spahan00@mbx.unibas.ch
Received: from smtp2pub.unibas.ch (smtp2pub.unibas.ch [131.152.227.82])
by imap1.urz.unibas.ch (Postfix) with ESMTP id D168038C046
for ; Fri, 6 Mar 2009 09:45:24 +0100 (CET)
X-IronPort-Anti-Spam-Filtered: true
X-IronPort-Anti-Spam-Result: AlgCAJZxsEnDkaC4mWdsb2JhbACCJiuRdDoBAQEBAQgLCgcRwh+ECAY
X-IronPort-AV: E=Sophos;i="4.38,313,1233529200";
d="scan'208,217";a="12532162"
Received: from relay2.lds.nrw.de ([195.145.160.184])
by smtp2pub.unibas.ch with ESMTP; 06 Mar 2009 09:45:24 +0100
Received: from gg43.gg.nrw.de (gw43.nrw.de [93.184.136.60])
by relay2.lds.nrw.de with ESMTP id n268jJMI002984
for ; Fri, 6 Mar 2009 09:45:19 +0100
Received: from gg43.gg.nrw.de (localhost [127.0.0.1])
by gg43.gg.nrw.de (8.14.0/8.14.0) with ESMTP id n268jYlP018798
for ; Fri, 6 Mar 2009 09:45:34 +0100 (CET)
Received: from MAILHUB1.nrw.de (10.64.112.141) by gg43.gg.nrw.de (smtprelay) with ESMTP Fri Mar 6 09:45:22 2009.
Received: from s564uxg0201.polizei.nrw.de (POLIZEI-MAILER [10.216.241.1])
by MAILHUB1.nrw.de with ESMTP id n268jAC0005480
for ; Fri, 6 Mar 2009 09:45:10 +0100
Received: from smtp-gw-1.polizei.nrw.de (unknown [1.4.112.69])
by s564uxg0201.polizei.nrw.de (Postfix) with ESMTP id 01C8F6F957
for ; Fri, 6 Mar 2009 09:56:59 +0100 (CET)
Received: from smtp-gw-1.polizei.nrw.de (localhost [127.0.0.1])
by smtp-gw-1.polizei.nrw.de (Postfix) with ESMTP id DEDF723CC5
for ; Fri, 6 Mar 2009 09:45:10 +0100 (CET)
Received: from S00PAABEX01.polizei.nrw.de (s00paabex01.polizei.nrw.de [1.1.20.228])
by smtp-gw-1.polizei.nrw.de (Postfix) with ESMTP id D399B23CC4
for ; Fri, 6 Mar 2009 09:45:10 +0100 (CET)
Received: from S00PAADEX02.polizei.nrw.de ([2.1.1.229]) by S00PAABEX01.polizei.nrw.de with Microsoft SMTPSVC(6.0.3790.2668);
Fri, 6 Mar 2009 09:45:10 +0100
Content-class: urn:content-classes:message
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----_=_NextPart_001_01C99E37.DB7C750C"
X-MimeOLE: Produced By Microsoft Exchange V6.5
Subject: Internetzugang
Date: Fri, 6 Mar 2009 09:45:09 +0100
Message-ID: <45200EA5B54F7A4EB22907EC6E37ADF9114AFB@S00PAADEX02.polizei.nrw.de>
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
Thread-Topic: Internetzugang
Thread-Index: AcmeN9tUNgsH6BsLT3W+IoEgm2d21w==
From: "Kuschwart, Herbert"
To:
X-OriginalArrivalTime: 06 Mar 2009 08:45:10.0493 (UTC) FILETIME=[DBCEE8D0:01C99E37]

This is a multi-part message in MIME format.

——_=_NextPart_001_01C99E37.DB7C750C
Content-Type: text/plain;
charset=”iso-8859-1″
Content-Transfer-Encoding: quoted-printable

Sehr geehrter Herrr Spalinger,

=20

bei der Staatsanwaltschaft K=F6ln / Deutschland ist unter dem =
Aktenzeichen 119 UJs77/09 ein Ermittlungsverfahren wegen Betrug =
anh=E4ngig. Der Betrug wurde unter Verwendung des Internets ver=FCbt. Es =
konnte folgende IP-Adresse festgestellt werden:

=20

08.12.2008 =
um 19:38 UTC / 20:35:48 MEZ

IP =
88.198.56.140

=20

Lt. Auskunft der Fa. Hetzner Online AG, Gunzenhausen, geh=F6rt diese IP =
zu einem Rootserver, den Sie angemietet haben.=20

=20

Ich bitte Sie, mir die verantwortlichen Personaldaten f=FCr den oben =
genannten Internetzugang mitzuteilen.=20

=20

=20

Mit freundlichen Gr=FC=DFen

=20

Herbert Kuschwart

Regionalkommissariat

Telegrafenstra=DFe 35

42929 Wermelskirchen

Tel.: 02196/941441

Fax: 02196/94110441

Mail: herbert.kuschwart@polizei.nrw.de =
=20

=20

——_=_NextPart_001_01C99E37.DB7C750C
Content-Type: text/html;
charset=”iso-8859-1″
Content-Transfer-Encoding: quoted-printable

xmlns:w=3D”urn:schemas-microsoft-com:office:word” =
xmlns=3D”http://www.w3.org/TR/REC-html40″>
charset=3Diso-8859-1″>


–>

style=3D’font-size:
12.0pt’>Sehr geehrter Herrr Spalinger,

style=3D’font-size:
12.0pt’>

style=3D’font-size:
12.0pt’>bei der Staatsanwaltschaft K=F6ln / Deutschland ist unter dem
Aktenzeichen 119 UJs77/09 ein Ermittlungsverfahren wegen Betrug =
anh=E4ngig. Der
Betrug wurde unter Verwendung des Internets ver=FCbt. Es konnte folgende
IP-Adresse festgestellt werden:

style=3D’font-size:
12.0pt’>

style=3D’font-size:
12.0pt’>=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=
=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=
=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0 08.12.2008
um 19:38 UTC / 20:35:48 MEZ

style=3D’font-size:
12.0pt’>=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=
=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=
=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0 IP
88.198.56.140

style=3D’font-size:
12.0pt’>

style=3D’font-size:
12.0pt’>Lt. Auskunft der Fa. Hetzner Online AG, Gunzenhausen, geh=F6rt =
diese IP
zu einem Rootserver, den Sie angemietet haben. =

style=3D’font-size:
12.0pt’>

style=3D’font-size:
12.0pt’>Ich bitte Sie, mir die verantwortlichen Personaldaten f=FCr den =
oben
genannten Internetzugang mitzuteilen.

style=3D’font-size:
12.0pt’>

style=3D’font-size:
12.0pt’>

style=3D’font-size:
12.0pt’>Mit freundlichen Gr=FC=DFen


style=3D’font-size:12.0pt;font-weight:bold’>

t>

Roman”>
style=3D’font-size:12.0pt’>Herbert =
Kuschwart

style=3D’font-size:
10.0pt’>Regionalkommissariat

style=3D’font-size:
10.0pt’>Telegrafenstra=DFe 35

style=3D’font-size:
10.0pt’>42929 Wermelskirchen

style=3D’font-size:
10.0pt’>Tel.:  02196/941441

style=3D’font-size:
10.0pt’>Fax:   02196/94110441

style=3D’font-size:
10.0pt’>Mail:
href=3D”mailto:herbert.kuschwart@polizei.nrw.de”>
size=3D2 color=3Dblack> style=3D’font-size:10.0pt;color:black’>herbert.kuschwart@polizei.nrw.de span>

style=3D’font-size:
12.0pt’>


Folgende Gründe sprechen für die Echtheit:

  1. Heder: Die Mail stammt offensichtlich von der Domain polizei.nrw.de, die auf http://www.robtex.com/dns/www.polizei-nrw.de.html verweist, was die Domain der Polizei NRW ist.
  2. Keine Viren in der Mail (keine Anhänge)
  3. Herbert Kuschwart wohnt in Wermelskirchen
  4. Es giebt einen Wermelskirchen bei der Polizei NRW

Sollte die Mail echt sein ergeben sich mehrere Fragen:

  1. Wie authentiziert man Mails von Behörden, wenn diese nicht signiert sind?
  2. Was will Herbert Kuschwart von mir?
  3. Was meint Herbert Kuschwart mit “Internetzugang” ?

Ich habe die Polizei NRW angemailt und eine Bestätigung erbeten. Bis ich weitere Infos habe, werde ich mal nichts tun und abwarten.

update: Wie gedacht war die Mail echt. Heute morgen hat mich H. Kuschwart angerufen. Nach einer Erklärung meinerseits wegen des Anhangs (die pgp-Signatur), kam er dann zum Thema. Ob auf dem Server eine Anonymisierungssoftware abreitet?

Bisher hatte ich mit Tor nur mit Urheberrechtsverdrehern Probleme. Aber auf der Tor-Seite wird ja gesagt, dass sich früher oder später auch staatliche Ermittler melden würden.

Ich denke mal, dass ich nicht wirklich in Schwierigkeiten stecke. Herr Kuschwart wollte nicht mehr viel mehr Wissen, als ich ihm vom Tor-Node erzählt habe, er wird wohl wissen, dass da nichts zu finden ist.

Flattr this!

Comments Comments Off on Mail von der Polizei?