Liebesgrüße vom Congress

Die Mail

Heute gab es um 15:43 eine Ladung Liebesgrüße für alle Studierenden der Hochschule Karlsruhe. Die kamen per Mail an die Hochschuladresse an und waren wie folgt aufgebaut:

Betreff: Hi!

Hi <Empfänger-Vorname>,

ich hab dich letztens auf dem Campus gesehen und musste dich einfach ewig ansehen. Ich glaube du warst mit Kommilitonen auf dem Weg zur Mensa oder so. Ich muss seitdem immer und immer wieder an dich denken und könnte mir echt in den Hintern beißen, dass ich dich nicht direkt angesprochen habe!

Jetzt versuche ich seit 2 Wochen irgendeine Kontaktmöglichkeit zu finden und war echt froh, als mir <zufälliger Studi-Vorname> deine Emailadresse gab!

Ich würde dich gerne näher kennen lernen und würde mich freuen, wenn wir uns mal auf nen Kaffee oder Cocktails am Abend treffen könnten! Vielleicht lässt sich ja in Zukunft die Zeit auf dem Campus gemeinsam verbringen?

Ich hoffe ich habe dich mit meiner direkten Anschrift nicht zu sehr überrumpelt und würde mich sehr über eine Antwort freuen!

<Absender-Vorname>

Der Mail-Header

Okay. Auch wenn ich mich irgendwas zwischen geschmeichelt und verwirrt gefühlt habe, habe ich dann doch lieber die Mail-Header überprüft. (Den Absender habe ich mal durch mami0003 (Testuser „Micky Mouse“) und den Empfänger durch fufu0001 (vollkommen fiktiv) ersetzt.)

Return-Path: <mami0003@hs-karlsruhe.de>
[... unwesentliches gelöscht ...]
Received: from schinderhannes.visitor.congress.ccc.de ([151.217.107.113] helo=[127.0.0.1])
by smtp.hs-karlsruhe.de with esmtp (Exim 4.80.1)
(envelope-from <mami0003@hs-karlsruhe.de>)
id 1VxHa6-009Kd2-MV
for fufu0001@hs-karlsruhe.de; Sun, 29 Dec 2013 15:43:06 +0100
Content-Type: text/plain; charset="utf-8"
MIME-Version: 1.0
Content-Transfer-Encoding: quoted-printable
From: Micky Mouse <mami0003@hs-karlsruhe.de>
To: fufu0001@hs-karlsruhe.de
Date: Sun, 29 Dec 2013 14:43:06 -0000
User-Agent: SimpleMail Python/2.7.3
(http://www.python-forum.de/post-18144.html)
Subject: Hi!
X-HELO_host_verified: No (RFC 2821 violation detected)
X-HsKA-Point: HELO host verification failed (RFC 2821 violation detected).
X-HsKA-Point: host does not belong to domain or MX of sender address
X-HsKA-Points: pp

Hier sind zwei Sachen verdächtig:

1.

User-Agent: SimpleMail Python/2.7.3

2.

Received: from schinderhannes.visitor.congress.ccc.de ([151.217.107.113] helo=[127.0.0.1])

Ein Nerd wird hier denken „lol.“ für normale Menschen erkläre ich es kurz:

Der User-Agent bezeichnet das Programm, mit dem die Mail verschickt wurde. SimpleMail ist eine Programmbibliothek für die Programmiersprache Python. Dass das jemand ernsthaft als normales Mailprogramm einsetzt darf bezweifelt werden. Es ist daher eher ein Indiz für ein Skript zum automatisierten Versenden von Mails.

Die zweite Zeile zeigt an, wer die Mail abgesendet hat. Dies war in diesem Fall der Host „schinderhannes.visitor.congress.ccc.de“. Das deutet stark auf einen Besucher des aktuell stattfindenden 30C3 hin.

Der Chaos Communication Congress

Liebesgrüße vom Congress? Unwahrscheinlich ;-)

Vom 27.12 bis zum 30.12 findet jährlich der Chaos Communication Congress statt. Das ist die weltgröße LAN-Party ein großes Hacker-Treffen welches vom CCC (Chaos Computer Club) in Hamburg abgehalten wird. Dort trifft sich die jährlich die internationale Hackerszene für Vorträge, Networking und zum Spaß haben.

Von dort aus werden auch gerne Sicherheitslücken aufgezeigt (eine Liste der aktuellen Hacks des 30C3 edit: mittlerweile ist das Original nicht mehr vorhanden). Weil das „zwischen den Jahren“ und ohnehin eher anarchistisch ist, können die Hacker schwer bis gar nicht verfolgt werden. (Auch wenn es dort angeblich ein Sorgentelefon gibt, an das sich Externe wenden können wenn sie Ziel eines Angriffs geworden sind.)

Der SMTP-Server

Wie konnten diese Mails nun abgeschickt werden? Leider ziemlich leicht. (Das liegt allerdings nur teilweise in der Infrastruktur der HsKA begründet. Mail ist im Allgemeinen nicht sonderlich sicher.) Der der SMTP-Server der Hochschule Karlsruhe hat ein paar Eigenheiten, die hier ausgenutzt wurden:

  • Der Server ist außerhalb des HS-Netzwerkes erreichbar (das ist vollkommen normal und notwendig)
  • Mails an …@hs-karlsruhe.de können ohne Login gesendet werden. Das heißt er setzt kein SMTP-Auth voraus. (Mails an alle anderen Adressen benötigen eine Verbindung über VPN.)
  • Als Absender muss ein lokal existierender Nutzer angegeben werden (hier „mami0003“).

Kurz: Jeder kann von überall aus seine E-Mails damit versenden, solange der der Absender (hier: „mami0003“) existiert.

Nachfolgend ein Beispiel, wie man selber „Hacker“ spielen kann. (Windows-Nutzer ersetzen netcat durch telnet). Das ist kein geheimes Hacker-Wissen, sondern einfach nur das, was auch euer E-Mail Client macht wenn ihr eine Mail verschickt.

Ihr könnt das selber ausprobieren, solltet aber unbedingt darauf achten, dass ihr die Mails nur an euch selber sendet und (anders als der Hacker) keine anderen Studis damit nervt. Außerdem steht eure IP in der Mail, mit der ihr in der Regel rückverfolgbar seid.

$ netcat smtp.hs-karlsruhe.de 25
220 smtp.hs-karlsruhe.de ESMTP HGS 5.0 Sun, 29 Dec 2013 18:59:14 +0100
HELO foobar.example.net
250 smtp.hs-karlsruhe.de Hello
MAIL FROM:<mami0003@hs-karlsruhe.de>
250 OK
RCPT TO:<fufu0001@hs-karlsruhe.de>
250 Accepted
DATA
354 Enter message, ending with "." on a line by itself
From: <sender@example.org>
To: <receiver@example.com>
Subject: Testmail
Date: Thu, 26 Oct 2006 13:10:50 +0200
Lorem ipsum dolor sit amet, consectetur adipisici elit, sed eiusmod tempor incidunt ut labore et dolore magna aliqua.
.
250 OK id=1VxKgp-009DB4-38
QUIT
221 smtp.hs-karlsruhe.de closing connection

Die genauen Details und deutlich übersichtlicher kann man das in der Wikipedia nachlesen: SMTP Protokoll

Prinzipiell könnte man auch ein neues Thunderbird-Profil aufsetzen und damit Mails versenden. Aber dann ist der Lerneffekt doch eher gering.

(Info für alle WI-Studis an der HsKA: Im Modul „Kommunikationssysteme“ werdet ihr das noch einmal brauchen, da ihr dort einen E-Mail Client programmieren werdet.)

Die Personendaten

Aber wie kam man an die Mail-Adressen und die Namen? Nun, die liegen wie bei jedem guten Unix einfach auf dem Server herum (im folgenden Beispiel habe ich zusätzlich nach dem Testuser „Micky Maus“ gefiltert).

Dazu loggt man sich auf dem Server der Hochschule ein und sieht sich die datei /etc/passwd an. Auch das hat mit „hacken“ nichts zu tun. Der Server ist für alle Studis frei zugänglich – weitere Infos dazu finden sich in der Dokumentation im ILIAS („Wie kann ich mit Putty eine SSH-Sitzung starten?“).

$ ssh fufu0001@login.hs-karlsruhe.de
fufu0001@login.hs-karlsruhe.de's password:
****************************************************************************
* *
* H O C H S C H U L E K A R L S R U H E *
* T E C H N I K U N D W I R T S C H A F T *
* *
* ( I n f o r m a t i o n s z e n t r u m ) *
* *
* *
* I Z - B e n u t z e r b e r a t u n g *
* Montag bis Freitag 8:00-14:00 Uhr Telefon: 0721 / 925 - 2305 *
* *
* Aktuelle Ankuendigungen und Betriebshinweise/Wartungstermine *
* siehe unter http://www.iz.hs-karlsruhe.de/ *
* *
* *
* Welcome to AIX on IBM System p *
* *
****************************************************************************
$ cat /etc/passwd | grep Micky Maus
mami0003:!:132213:100000:Micky Maus:/home/A3_D1_L103/mami0003/home:/usr/bin/ksh
mami1029:!:250541:200000:Micky Maus:/home/A3_D1_L103/mami1029/home:/usr/bin/ksh
$

Es gibt auf dem Server also zwei Nutzer (mami0003 und mami1029) mit dem Namen Micky Maus. Wäre der Filter nicht gesetzt, würde noch alle weiteren User mit Vor- und Nachname aufgelistet. Das ist also prinzipiell eine Quelle für die Namen und E-Mail-Adressen.

Eine weitere Möglichkeit, die hier vielleicht genutzt wurde, ist der LDAP-Server welcher zum Active Directory der Hochschule gehört. Dies ist ein Verzeichnisdienst, welcher dazu genutzt wird um solche Daten strukturiert abzulegen und abzufragen.

Et voilá

Kombiniert man die (prinzipielle) Unsicherheit von Mail und die Nutzerliste, so kann man mit relativ einfachen Mitteln die randomisierte Partnervermittlung betreiben, wie es der Hacker tat. (Da die E-Mail-Adressen auch wirklich existieren, führt dies dazu, dass sich die Turteltäubchen gegenseitig antworten können. Wie romantisch! ;-))

technische Implikationen für Nutzer

Was bedeutet das für mich als User im Umgang mit „normalen“ Mails (d.h. ohne Verschlüsselung und Signatur)?

  1. Die eingetragene AbsenderIn einer Mail ist willkürlich. Man kann sich niemals sicher sein, dass die Mail wirklich von ihr stammt.
  2. Die eingetragene EmpfängerIn ist im Prinzip auch willkürlich. Im Prinzip könnt ihr auch eine Mail erhalten, die scheinbar an angela.merkel {at} cdu.de gesendet wurde, aber bei euch ankam.
  3. Der Inhalt kann verfälscht sein. Man weiß nie, ob unterwegs etwas verändert wurde.
  4. Der Inhalt kann entsprechend auch unterwegs mitgelesen werden.

Eine Antwort auf alle Fragen heißt im Grunde Verschlüsselung und Signierung. Dies ist zum Beispiel über PGP bzw. GPG mittels im Public/Private-Key Verfahren möglich. (Sicherheitskonzepte für Mail in der deutschen Wikipedia)

Ein weiterer Punkt, der damit allerdings nicht verhindert werden kann, ist die Ausspähung der Metadaten („Bewegungsdaten“). Dies sind beispielsweise Empfänger, Absender, Datum und auch der Betreff. Wer dies schützen will, der muss schlichtweg ein anderes Protokoll nutzen oder das ganze über beispielsweise Tor abwickeln (solange das noch nicht von der NSA unterwandert ist).

technische Implikationen für Admins

Die Protokolle rund um „Mail“ sind an sich ein ziemlicher Flickenteppich, an dem immer wieder neue Sicherheitsflicken angebracht werden um das gröbste zu verhindern. Viele Admins werden davon ein Lied singen können, dass diese Protokolle meist wenig Spaß bereiten.

Einer der Vorkehrungen heißt SMTP-Auth. Ist das aktiviert, kann man nur noch nach einem gültigem Login seine Mails versenden. Dies ist üblicherweise bei allen größeren Providern der Fall.

Die Abhörung kann man als Admin hingegen nicht verhindern – zumindest nicht auf der gesamten Strecke von Sender zum Empfänger. Was man machen kann, ist dem vorhergehenden und nachfolgenden Knoten anzubieten, zumindest auf dieser Teilstrecke zu verschlüsseln. Das geht mit SMTPS oder STARTTLS.

Die oben genannten prinzipiellen Probleme von Mail bleiben aber weiterhin bestehen: Mail ist nicht vertrauenswürdig. Auch wenn das IZ die Sicherheitsvorkehrungen verschärft, werden sie an diesem prinzipiellen Problem nichts ändern können.

(Was möglicherweise machbar ist, ist dass Mails von …@hs-karlsruhe.de an …@hs-karlsruhe.de abgesichert werden können, in dem SMTP-Auth, SMTP-Header und Mail-Header übereinstimmen müssen. Aber ob dies mit gängigen Mailservern einfach machbar ist, kann ich nicht allerdings beurteilen.)

Wenn man ehrlich sein will, muss man seinen Nutzern daher nahelegen, Verschlüsselung und Signierung zu benutzen. Über solch eine asymmetrische Verschlüsselung kann man feststellen, ob eine Mail wirklich von einem bestimmten Absender kommt. Wie das geht, wird beispielsweise auf netzpolitik.org („Anleitung: so verschlüsselt ihr eure E-Mails mit PGP“) erklärt.

soziale Implikationen

Ein weiterer interessanter Aspekt, der an dieser hauptsächlich technischen Hochschule mit hohem Männer-Anteil zu tragen kam, war dass der Zufall hauptsächlich Männer mit Männern verkuppeln wollte ;-)

Hier gab es wohl auch die ein oder andere Anfeindungen als Antwort (die ich mal dreist aus einer Facebook-Gruppe kopiert habe):

Digger ist das dein ernst da wo ich herkomme werden homos gehängt ! Komm mal zu dir . Ich muss dich enttäuschen aber ich bin Hetero

Der Herr ist wohl nicht nur kompetenzbefreit, sondern auch ein homophobes Arschloch. Bleibt zu hoffen, dass das ein Einzelfall war. Es wurden nämlich auch einige nette Antworten gesichtet – und das ist doch auch schön! :-)

Rückmeldung der Hacker

Vom oben bereits genannten Host „schinderhannes“ kam bei mir um 20:48 eine Mail unter dem Absender „IZ-Benutzerberatung“ an. In dieser wird das Vorgehen so bestätigt, wie ich es hier vermutet hatte:

From: iz-benutzerberatung {at} hs-karlsruhe.de

Hi Marc,

wir haben deinen Blogeintrag mit Freude gelesen. Toller Artikel! Du hast mit deiner Erklärung unserer Vorgehensweise komplett ins Recht.
Im Anhang an diese Mail senden wir den Quelltext unseres kleinen Python-Skriptes. Wenn du Lust hast das in deinen Artikel einzubauen, darfst du das gerne tun.

Viele Grüße vom Congress!

hsspam.py

Das Skript

Im Prinzip macht das Skript folgendes: Es schickt an alle Nutzer der HsKA genau 1 Mail. Der Absender ist dabei zufällig. Es kann also sein, dass im Namen von „mami0003“ entweder 0, 1 oder viele Mails verschickt wurden.

Aufklärungsmail der Hacker

Es kam um 21:13 auch noch eine weitere Mail, die allerdings wohl nicht an alle ging. Zumindest nicht an mich. im Spam landete. (Danke an einball für die Weiterleitung.)

Ohai from the #30C3!

Die vorherige Mail war, wie ihr hoffentlich alle gemerkt habt, ein lustig gemeinter Scherz.

Wir haben eure Kommentare auf Facebook und Co mit einem dicken Grinsen auf dem Gesicht verfolgt. Auf Grund der vielen Verwirrungen die es aber darum gab und angeblichen Meldungen „der HSKA-Server sei gehacked worden“ (unter anderem vom AStA) haben wir uns dazu entschieden das aufzuklären.

Die technischen Aspekte hat Marc Kohaupt in seinem Blog [1] schon schön erklärt, weshalb wir es hier verzichten darauf einzugehen. Wir haben ihm unseren Quellcode [2] zukommen lassen um den Artikel zu vervollständigen.

Zu den Details:
* Alle Daten die wir dafür verwendet haben sind quasi hochschulöffentlich und können von jedem Studenten eingesehen werden. Wir haben die Daten nicht weitergegeben.
* Wir haben keine Passwörter „geknackt“ oder waren im Besitz solcher. Wir hatten lediglich euer Kürzel und euren Namen ausgelesen. Diese Daten wurden nach dem Versenden vernichtet.

Zum Warum?:
* Warum nicht?
* Weil wirs können!
* Weil wir darauf hinweisen wollen wie unsicher die Hochschulinfrastruktur ist.
* Weil wir wollen, dass sich das ändert!

Vielleicht hat das IZ ja jetzt endlich mal einen Grund das zu fixen.

Unabhängig davon möchten wir auch allen nochmal die Sicherheitstipps im oben erwähnten Blog [1] nahelegen. Signiert eure Emails!

Viele Grüße vom Congress!

[1] http://blog.debuglevel.de/liebesgruesse-vom-congress/
[2] http://sprunge.us/OLSU?python

Kommentare, Ethik und Disclosure

Da hier einige KommentatorInnen meinen, sie müssten wegen der Aktion den/die Hacker, andere KommentatorInnen oder mich von der Seite anpöbeln:

Man kann nun natürlich diskutieren, ob das noch mit der Hackerethik konform geht. Man muss festhalten, dass keine eurer Mails oder sensible Daten abgerufen wurden. Das was hier passiert ist, geschieht auch täglich beim Versand von Spam mit gefälschtem Absender.

Prinzipiell kann man auch fragen, wie hoch der „hack value“ ist – aber das ist wohl eine Geschmacksfrage. Die Meinungen liegen irgendwo zwischen „Scriptkiddies“, „notwendiger Wink mit dem Zaunpfahl“, „humorlos“ und „humorvoll“.

Es kam auch der Hinweis auf responsible disclosure auf. Dies bezeichnet den Vorgang, dass man Sicherheitslücken eine Zeit geheim hält bis sie behoben sind.

Solch ein responsible disclosure habe ich hier nicht durchgeführt. Den Vorfall habe ich hier dokumentiert, weil er in seiner Absurdität lustig ist und sich nebenbei die Chance ergab, ein bisschen technische Hintergrundinformationen über diese Problematik zu vermitteln. Dies ist mir insbesondere ein Anliegen in Anbetracht der seit Anbeginn von „Mail“ existierenden Problematik der Absender/Empfänger-Verfälschung und der seit diesem Jahr bekannt gewordenen Überwachung durch diverse Geheimdienste.

Diese Dokumentation macht die bestehenden Probleme (bei Mail allgemein, oder der HsKA im speziellen) weder besser noch schlimmer. Es soll nur die Problematik aufzeigen und euch dafür sensibilisieren, welche Gefahren drohen und wie man sie eventuell bemerken und umgehen kann.

Überarbeitung

Da der Artikel in seiner Urfassung ziemlich schnell zusammengetragen wurde, habe ich ihn im Laufe des Tages ein paar mal überarbeitet und erweitert. Ich hoffe, dass er jetzt auch für Nicht-InformatikerInnen lesbar und verständlich ist. Über Rückmeldung in den Kommentaren würde ich mich freuen.

Update 14.02.2014

Hallo liebe Leserinnen und Leser, die ihr von Twitter, golem.de und anderen Seiten kommt! Nach wie vor freue ich mich natürlich über eine sachliche Diskussion und Hinweise in den Kommentaren. Damit allerdings nicht noch mehr Schrott in die Kommentare wandert, habe ich diese auf Moderation gestellt. Ich hoffe das ist halbwegs okay :)

109 Kommentare

    1. 03.02.2014 Nachrichtenversand von externer Seite mit SMTP-Auth
      Montag, 03.02.2014

      Ausgehend von der Flirt-SPAM-Attacke am 29. Dezember 2013 mit der öffentlichen Verbreitung der genutzten Angriffswege erfordert dies die Einstellung der Möglichkeit des unauthentisierten Versands von Nachrichten aus dem Internet mit Hochschuladress-Absendern.

      Ab dem 03. Februar 2014 können Hochschulangehörige aus dem Internet mit Ihrer Hochschuladresse (…@hs-karlsruhe.de) nur noch dann Nachrichten absetzen, wenn sie sich gegenüber der Kommunikationsinfrastruktur anhand des Nutzernamens und Kennworts authentifizieren. Nutzer, welche sich mittels VPN in das Hochschulnetz anmelden bzw. die Exchange-Infrastruktur nutzen, sind von dieser Maßnahme nicht betroffen.

      Betroffene Benutzer wurden bereits per eMail informiert.

  1. Schön gemacht … Nun da die Sicherheitslücken aufgedeckt sind ist es vorbei mit Security by obscurity. Vielen Dank auch dafür!

    So wird unser Netz noch beschissener als es eh schon ist.

    Ich bin bei sowas relativ spaßbefreit. Wohl wieder ein wenig zu viel Tschunk getrunken und gedacht „verarschen wir mal die User“? Genügt es nicht, eine ernste Mail zu schreiben?

    Danke fürs Veröffentlichen des Scripts – Jetzt habe ich, wenn sich ein weiterer Spaßvogel was denkt, keine 50 Mails pro Woche in der Inbox sondern 500 …

    Wie kommt ihr eigentlich drauf, dass das IZ das jemals fixen wird?

    Stinksauer ist garkein Ausdruck …

    1. Ach komm, bisschen mehr Humor ;-) Und wer weiß, vielleicht finden sich ja sogar ein paar Pärchen dank unseres Digital-Amors :-D

      Ich bin ehrlich gesagt relativ zuversichtlich, dass das IZ es hinbekommt, SMTP-Auth einzuschalten. Das hab sogar ich bei meinem Server bekommen. Und ich bin Wirtschaftsinformatiker! ;-)

      In absehbarer Zeit wird der Mailserver aber ohnehin umgestellt (wenn ich das richtig in Erinnerung habe). Spätestens dann sollte sich das erledigt haben.

      Am Ende wurde durch die Aktion immerhin eine gewisse Awareness für die Problematik bei Mails hier im Speziellen und im Allgemeinen erzeugt.

      1. „In absehbarer Zeit“ wird auch das P-Gebäude abgerissen … „Niemand hat die Absicht eine Mauer zu errichten“ …. Nothing more to say …

        Und vielleicht findet sich auch einer, der sich zufällig outet und dadurch lächerlich macht oder Probleme bekommt. Daran habt ihr nicht gedacht nehme ich mal an?

        Humor hätte ich gehabt, wenn ein Weihnachtsgedicht oderso in der Mail gestanden hätte .. Humor hätte ich auch gehabt, wenn es eine Viagrawerbung oder irgend ein Dummfug mit Antwort an iz@hs-karlsruhe.de gewesen wäre …

        Aber das hat nichts zur Lösung des Problems beigetragen. Wie soll die Lösung denn aussehen? Das ich meine Mails ab jetzt PHP verschlüsselt dem Prof verschicke?

        —-

        Das einzige was ich euch zugute halten muss ist, dass ihr die Mail so gut geschrieben habt, dass ich nichtmehr groß in den Header geschaut habe und nun ein Michael eine ehrliche Absage von mir bekommen hat ….

        1. Was und ob sich die Hacker dabei gedacht haben, weiß ich leider nicht. Falls sie dazu Stellung nehmen wollen, können sie mir aber ja noch mal eine Mail schicken.

          Eine Lösung wäre in der Tat, zukünftig PGP zu benutzen. Allerdings sehe ich da selber ziemlich Schwierigkeiten, dass das jemals flächendenkend genutzt wird. Eine gute und praktikable Lösung kann ich leider nicht anbieten – sondern nur die Awareness für das Problem.

    2. Was regst du dich denn so auf? Diese „Sicherheitslücke“ war doch schon längst bekannt. Und an unserer HS gibts genug Leute, die in dem einen oder anderen Kurs programmieren lernen. So ein Skript zu schreiben ist auch alles andere, als anspruchsvoll.
      Aber wenn man Admins immer wieder auf Mängel hinweist und diese trotzdem zu faul/inkompetent sind, um diese zu beheben, dass ist das wirksamste meist eine kleine Demonstration, was möglich ist.
      Und spätestens, wenn täglich 100 Spammails verschickt werden, müssen die sich endlich bewegen und was ändern.

  2. „Die eingetragene Absenderin einer Mail ist willkürlich. Man kann sich niemals sicher sein, dass die Mail wirklich von ihr stammt.“

    „Die IZ-Benutzerberatung hat mir gerade höchstpersönlich eine wichtige Mail geschickt“

    Du merkst was? ;-)

  3. Ich würde mich hier mal schleunigst um ein Impressum kümmern. ;)

    Btw. eine Mail im Namen der IZ zu verfassen wird euch dann hoffentlich den Kopf kosten! :)

    Ihr möchtegern Pros. :)

    1. Bei der denic sind für debuglevel.de alle notwendigen Kontaktdaten hinterlegt.

      Ich bezweifle, dass jemals jemand herausfinden wird, wer für den Versand verantwortlich war. Man kann bestenfalls innerhalb des Hochschulnetzes Ausschau nach dem Host „schinderhannes“ halten.

      1. Nur dumm, dass du:

        1.) es auf deinem Blog hier veröffentlicht hast. So ist ja kein Problem zu wissen vom dem die Idee und die Umsetzung kam.
        2.) du ja angeblich schon eine Mail vom IZ erhalten hast? ;) Also ist es wohl klar von wem.
        3.) du lieber mal überlegen solltest bevor du schreibst – neh?

        Außerdem solltest du, wenn du schon auf der Messe hockst, wissen, dass man nach der Hackerethik Lücken weder ausnutzt, noch veröffentlicht, noch es auf einem so dermaßen billigen Niveau macht.

        Ahja, les dir mal: https://en.wikipedia.org/wiki/Responsible_disclosure durch, wenn du schon ein Hacker sein willst.
        Sollte dir sicher nicht schaden.

        Wegen solchen Leuten wie dir, werden Security Researcher wie wir als „dumme, vor langeweile Mist bauende und höchstkriminelle Leute“ angesehen.

        Erst denken, dann handeln.
        Dein E-Penis ist auf jeden Fall um ein paar Zentimeter gewachsen! ;)

          1. Zum Glück wird bei der CCC alles protokolliert, da wird es wohl kein großes Problem werden, wenn die IZ nach mitschnitten für folgende Daten frägt:

            „151.217.107.113
            schinderhannes.visitor.congress.ccc.de“

            Gibt ja jedes Jahr genug Idioten, die die CCC Hotspots für ihren Mist missbrauchen.

          2. Kannst du da Quellen nennen? Dass der CCC sich für Protokollierung des Internetverkehrs einsetzen soll hört sich … „interessant“ an.

        1. Ich bin weder auf dem Congress, noch würde ich mich selber als Hacker bezeichnen.

          Mich haben einige Leute gefragt, wie das zustanden kommen konnte. Hier haben sie die Antwort.

          1. Stimmt, du bist „Wirtschaftsinformatiker! ;-)“ und du hast sogar deinen Mailserver richtig konfiguriert!

            Sieht man an deiner Aussage, dass du kein Hacker bist:
            „Eine weitere Möglichkeit wäre, den LDAP-Server abzufragen. Aber was man aus dem noch so alles herausziehen kann, darüber lege ich lieber das Mäntelchen des Schweigens.“

            Nunja. Immer diese Kinder auf dem Kongress. Jedes Jahr wird irgendein Mist gebaut.

          2. Er wollte auf den Krieg zwischen Info Wirtschaftsinfo Bezug nehmen.

            Das einzige was du versäumt hast, ist, die Kommentare nicht zu sperren.

            Auch wenn du es nicht warst, so ist es doch natürlich, dass sich der Shitstorm hier entlädt.

          3. Oh okay. Ich kenne einige sehr gute Leute bei denen. Mich an den Schulmädchenstreitereien zwischen Informatikern und Wirtschaftsinformatikern zu beteiligen ist mir daher zu doof :-)

            Dass sich hier ein Shitstörmchen entlädt, hätte ich eigentlich auch nicht erwartet. :-) Solange aber keine herben Beleidigungen auftauchen, lasse ich den Leuten mal Raum zur Frustbewältigung.

  4. Also, ohne Witz, überlegt mal vorher, was ihr macht! Ich finde sowas geht zu weit, spätestens dann wenn ein Student von einem Prof bzw. Mitarbeiter so eine Mail bekommt!
    Und die Konsequenzen waren euch sicher auch nicht bewusst. Beim Verdacht auf das Hacken ist die Polizei nämlich auch nicht weit…
    Sicherheit hin oder her, so ne Aktion ist einfach nur dämlich!!!
    Und hättet ihr euch die Aktion nicht wenigstens bis Februar aufheben können ? Jedenfalls kostbare Zeit für das Lernen verloren.
    Herzlichen Dank!

  5. Ok,

    Sicherheitslücken finden und aufweisen – sehr wichtig, danke.

    So nen Kindergarten veranstalten und sich auf Kosten anderer Leute nen blöden Scherz erlauben ist aber echt unnütz.
    da gabs doch mal was:

    CCC Hackerethik: „[…] Mülle nicht in den Daten anderer Leute, Öffentliche Daten nützen, private Daten schützen.“

    Meines Erachtens war das nicht in Ordnung.
    Das wäre auch anders gegangen.

  6. Durch schwachsinnige Atkionen wird sich das eher nicht ändern…. Es weiß sowieso jeder, dass das System beknackt ist und auch der Internetzugang eher schlecht als recht ist.

    Durch solche Mistaktionen gibst mehr Ärger als Nutzen….

  7. Hat doch mit Humor nichts zu tun. Wenn eine Mail weder direkt noch indirekt nach meiner Kreditkarte fragt, habe ich erstmal keinen Grund, dem zu misstrauen. Mal davon abgesehen, dass in 6 Jahren nicht eine Mail mit falschem Absender von dem Server bei mir eingetrudelt ist (was sich jetzt ändern dürfte…thx alot). Schön für euch, dass ihr euch amüsiert habt. Ich halte es aber eher für ein „Hey ich war mal in der ns Vorlesung und weiß, wie wir die andren Studis verarschen können“. Geht für mich am guten Geschmack deutlich vorbei, ein „sorry, haben nicht genau drüber nachgedacht“ wäre angebrachter als ein „weil wir können“. Have a nice day now

    1. Es ist eigentlich relativ erbärmlich, dass Studierende nicht selber auf die Idee kommen, vor allem dann, wenn ihnen die Werkzeuge dazu in der Vorlesung an die Hand gegeben werden *an die eigene Nase fass*

  8. herzlichen glückwunsch! diese mails gingen nicht nur an studenten, sie gingen ebenso an dozenten. sicher freuen sich die betreffenden studenten, ihren dozenten mails mit liebeserklärungen geschickt zu haben und vice versa. wissen die absender vom missbrauch, der mit ihren mailadressen getrieben wurde? haben sie vorher ihre zustimmung gegeben?

    dieses vorgehen ist möglicherweise strafbar und gewiss geschmacklos!

  9. Die Daten sind für alle Empfänger der Mails öffentlich. Da wurde weder gemüllt noch datenschutzmäßig Unfug getrieben. Und wer da von Hacking redet oder Bullerei einschaltet hat erstens keine Ahnung und hält die zweitens davon ab sich mit Sinnvollem zu beschäftigen ;)

  10. Lieber passiert sowas wie heute, anstatt wirklich böswilligem Hack. Die Lücke war schon mehrere Jahre bekannt, auch in den HS Chef-Etagen.
    Alleine diese heftigen Reaktionen sollten wohl hoffentlich dafür sorgen, dass die Lücke geschlossen wird.

  11. zitat von einball
    „Rechtlich muss es erst jemand nachweißen, dass der Betreiber dieses Blogs verantwortlich ist.“

    mit der deutschen rechtschreibung scheint es noch zu hapern und mut bedeutet, offen zu seinen taten zu stehen, anstatt unfug zu treiben, der für die betroffenen absender rufschädigend ist und sich hinter dem ccc zu verstecken.

    1. Ja, weiß ich … Heute funktioniert das mit der Rechtschreibung nicht so .. Aber schön zu wissen, dass das Getrolle mit der Rechtschreibung auch hier nicht fehlt! Hätte es hier eine Editierfunktion, dann hätte ich das natürlich sofort geändert!

  12. Ich finde die Aktion auch daneben.

    Für viele User isses einfach ein dummer Scherz der bald vergessen ist.

    Aber was ist mit den Leuten, die wirklich schwul sind und daher auf die Mail eingegangen sind? Wer sich, in der Erwartung, einen anderen Schwulen vor sich zu haben, offenbart hat, ist – je nachdem wie sensibel der Empfänger der Mail damit umgeht – möglicherweise in der ganzen Hochschulöffentlichkeit geoutet und hat für den Rest seines Studiums unter dummen Kommentaren zu leiden. Manche Menschen stehen da drüber, aber es hat auch schon Fälle gegeben, in denen Menschen wegen dem Mobbing oder aus Angst, die konservativen Eltern könnten es herausfinden, Selbstmord begangen haben. (einfach mal nach ’schwul mobbing selbstmord‘ googeln)

    Das was hier gemacht wurde, hat mit der Hackerethik des CCC nix mehr zutun.

    1. Das ist ein durchaus interessanter Aspekt. Allerdings (und vielleicht lebe ich da in einer idealisierten Wirklichkeit) haben wir es hier zum einen mit erwachsenen Menschen und zum anderen mit Akademikern zu tun.

      Vielleicht bin ich da etwas zu naiv, aber ich will nicht glauben, dass Homosexualität in unserem Umfeld ein Stigma ist.

      1. Also wenn man sich einige Reaktionen auf diese Mails anschaut, dann scheint Homesexualität für den einen oder anderen doch schon ein Stigma zu sein…

    2. Der Aspekt ist einer der wichtigsten, wieso die Aktion zu verurteilen ist.

      Mit der Mail wurden wahrscheinlich einige Menschen durch Täuschung dazu gebracht, Anhaltspunkte über ihre sexuelle Orientierung einem wildfremden Menschen mitzuteilen, der nun mit der Information anfangen kann was er will.

      Ob dies nun beabsichtigt war oder nicht spielt keine Rolle. Hier wurde zugelassen, dass sehr private Informationen in falsche Hände gelangen können!

      Und ja, es gibt auch in Universitäten und Fachhochschulen leider noch Homophobie. Solche Aktionen machen das nicht besser.

  13. Manche Kommentatoren sollten sich schlicht an Nuhr halten…

    Der Blog-Betreiber dokumentiert eine bzw. zwei offensichtliche Fake-Mails, die er bekommen hat. Er hat weder die Mails geschickt, noch die Server der FH so aufgesetzt, dass man die Namen und Adressen aller Studierenden und MItarbeiter so einfach auslesen kann (das geht nebenbei auch beim KIT, da sind das dann 30k Adresse …).
    Alle mal Ball flachhalten.

    1. Eine Straftat zu dokumentieren ist zugleich auch die Beweise zu haben und ein Zeuge zu sein, denn die behauptet in seinem Beitrag, dass zB über LDAP noch weitere Aktionen möglich sind.

      1. Verzeichnisdienste wie LDAP bzw. das AD haben es konzeptionell an sich, dass man aus ihnen Informationen abfragen kann.

        Die Beweise haben ohnehin alle Studis erhalten. Insofern sind wir alle Zeugen und haben die Beweise einer möglichen Straftat im Posteingang. ;-)

  14. Ich denke mal dadurch wurde die Bildung unserer lieben HS-StudentInnen besser gefördert als durch so manche Vorlesung ;)
    Vielen Dank dafür.

    @complainatoren:
    Spätestens seit der letzten Mondlandung der NASA -A sollte klar sein, dass man mails nicht vertrauen kann. Finde die Empörung einiger schon ziemlich lächerlich. Grow up!

  15. das problem mit dem smtp auth ist ja nun auch schon etwas älter. wer wi studiert und beim seifert die ks übung machen musste, sollte spätestens hier die problematik bemerkt haben ;-)

    besser eine fragliche flirt e-mail als jdm mit anderen hintergedanken (rückmeldegebühren auf ein falsches konto fordern, verschobene prüfungstermine versenden… etc.)

    die infrastruktur vom iz ist echt noch in den 90er jahren hängen geblieben. von daher kam man die aktion nur gut heißen.

    1. Zu dumm nur, dass keiner der Seifert-Studenten auch nur einen Schritt weiter gedacht hat, oder? Irgendwie nervt mich das schon den ganzen Abend an mir selber, dass ich damals nicht gemerkt hab, dass das 1.) ne Menge Spaßpotential bietet und 2.) eine Sicherheitslücke darstellt.

      Transferleistung nicht vollbracht, setzen, sechs!

  16. Ich hab die erste email gelesen und dachte mir, dass ich echt mal wieder ne Vorlesung besuchen muss. Finde die Aktion gut, so kommt mal etwas mehr Gewehr auf die Brust sodass sich das IZ mal um das Thema Sicherheit sorgt.
    btw. Ich hätte gerne noch ein paar andere Gesichter beim lesen der email gesehen.

  17. …und was ich so gehört habe gibt es auch mails von Frauen an Männer und sogar von Frauen an Frauen. Hat also nix mit Diskriminierung zu tun.
    Schätze mal das IZ hat kein Geschlechtsbit in ihren hochschulöffentlichen Daten und es war einfach Zufall wer von wem die Mail bekommen hat.

    1. Korrekt. Es war einfach Zufall.

      Allerdings gibt es in der Tat auch dafür Lösungen. Anhand von Vornamen, bzw. anhand charakteristischer Muster in Namen, kann man ziemlich gut das Geschlecht identifizieren. (Nur so als Querverweis, falls jemand mal vor dem Problem stehen sollte.)

  18. Sehr cool sowas zu dokumentieren Schwoob. Ich verstehe nicht warum hier niemand die Eier hat seinen richtigen Namen in den Post zu schreiben… ich hoffe auf jeden, dass die sinnfernen Post nicht von Fachbereichsangehörigen verfasst wurden.

  19. Ich finde den Beitrag auch super. Natürlich ist es daneben von demjenigen, der das Script geschrieben hat. Aber die eigentliche Schuld liegt eindeutig beim IZ mit der vollkommen absurden Infrarstruktur. Jeder, der an der HS studiert, weiß wovon ich spreche. Dass nicht zu letzt beim Mail-Server grobe Sicherheitslücken bestehen, ist doch schon lange bekannt.

  20. Da das „Rundmail“ Feature nun freigeschalten ist, erwarte ich zu folgenden Anlässen bitte nette Mails:

    * Silverster
    * Weihnachten
    * Ende der Klausurphase
    * Es gibt wieder Mate

    1. Rundmails an alle wäre wohl wieder eine zu große Belästigung. Aber wenn Du mir deine Mail gibst, kann ich dafür sorgen, dass Du zu diesen Anlässen von allen eine Mail bekommst ;)

    1. Scheinbar muss man bei WordPress die Zeitumstellung händisch vornehmen :\
      Habe das mal geändert. Danke für die Info! (Allerdings werden jetzt nur alle zukünftigen Kommentare richtig datiert. Sorry für die Verwirrung.)

      1. Das Problem habe ich bei meinem Blog auch, den ich damals in Irland angelegt habe. Eine Zeitumstellung jetzt auf die deutsche Zeit würde eine komplette Umdatierung (naja, betrifft ja nur die Uhrzeit, aber gibt es da ein entsprechendes Wort dafür?) aller Posts nach sich ziehen. Ziemlich ärgerlich, weil man auch bei Posts, die erst zu einer bestimmten Uhrzeit erscheinen soll, immer sein Hirn verrenken muss.

    1. Als ob die Leute in der Lage wären aus Fehlern zu lernen.
      Stattdessen werden die sich nur beschweren und weiterhin jegliche Sicherheitsaspekte ignorieren.
      Ist ja auch viel zu umständlich ne ganze Viertelstunde zu investieren, um so eine Anleitung abzuarbeiten.

  21. Haha, sau witzig! Danke für die Erklärung, ich habs natürlich gleich mal ausprobiert :D . Immerhin muss man zum E-Mail-Versenden an hochschulfremde Adressen per VPN verbunden sein. Eigentlich dachte ich, dass diese offene Relaying von SMTP-Servern seit den Zeiten von Sub7 und wie die alle hießen vorbei wäre.
    Ich habe meinem Kollegen mal ne nette Mail geschrieben, mal sehen, ob er was zurückschreibt :P

    Insgesamt finde ich die Aktion gut. Sonst ändert sich ja nie was und ich bin ehrlich gesagt überrascht, dass mit meinen Daten von Seiten der Hochschule so unvorsichtig umgegangen wird.

  22. Hallo,

    gute Aktion! Das nenne ich kreative Anwendung von Fachwissen!
    Hat mir Spaß gemacht, Ihren Blog zu lesen.

    Alles gute für die Zukunft.
    Ihr
    Wilfried J.

    (edit vom Admin: Nachnamen rausgekürzt, da hier nicht sichergestellt wird ob hinter dem Klarnamen doch nur ein weiterer Scherzkeks steckt. ;-))

  23. Auf Sicherheitslücken aufmerksam machen? tolle Sache!
    Sensibilität im Umgang mit unsicheren Mail (“ verfahren“) schaffen? auch toll!

    ABER: Gefühle, Sehnsüchte und Hoffnungen von Menschen dazu missbrauchen… fail!
    soziale Kompetenz und Empathie scheinen den „Spaßvögeln“ völlig fremd zu sein..
    gerade an Weihnachten und der Zeit danach fühlen sich viele Menschen einsam und sind emotionaler als gewöhnlich.. völlig gleichgültig ob hetero, homo, Dozent, student oder Mitarbeiter und mit diesen Hoffnungen und Empfindungen zu spielen, egal wie legitim die Absicht auch scheint, ist moralisch unterirdisch… gerade von angeblich gebildeten Menschen sollte man mehr erwarten…
    die Aktion wäre mit einem weniger emotionalen Inhalt ebenso (in)effektiv gewesen…

    Menschen können echt so widerlich sein….

    btw: ich bin nicht mal persönlich betroffen, aber verfüge immerhin über soviel soziale Kompetenz, dass ich mir sehr gut vorstellen kann was sowas auslösen kann… ich studiere auch Informatik, also die Ausrede vom sozial inkompetenten nerd zieht nicht….

    1. Danke Eva.
      Ich denke du hast vollkommen recht mit dem was du schreibst.

      Leider werden sich einige hinter dem „überragenden Nutzen“ der Aktion verstecken, der das Herumpfuschen mit dem Privatleben und der Gefühle anderer selbstverständlich rechtfertigt.

      Und die anderen, denen jegliche Empathie ohnehin fremd zu sein scheint, bei denen ist es als würde man einem Tauben Musik erklären.

      Trotzdem ein guter Kommentar.

  24. sicherheitsluecken aufdecken ist das eine. identitaeten stehlen und andere bloßstellen und kompromittieren ist etwas anderes.

    aber die opfer koennen die mails abschuetteln wie ein laestiges insekt. der verursacher muss mit sich weiterleben.

    mein tipp: lego spielen gehen oder erwachsen werden.

  25. Wir (der Fb. Wi) versuchen seit Jahren, bei der Verbesserung der Infrastruktur beim IZ mitzuhelfen. Bei unserer eigenen (Software-)Infrastruktur sind wir vermutlich an der HsKA ganz vorne. Nun fürchte ich aber auch, dass diese Aktion von einem „Besucher des aktuell stattfindenden 30C3“ [es muss ja jemand von der HsKA sein] in der Sache nicht viel nützen wird.
    Allein schon die Hinweise in der ‚erklärenden Mail‘ machen das klar:
    „Zum Warum?:
    * Warum nicht?
    * Weil wirs können!
    * Weil wir darauf hinweisen wollen wie unsicher die Hochschulinfrastruktur ist.
    * Weil wir wollen, dass sich das ändert!
    Vielleicht hat das IZ ja jetzt endlich mal einen Grund das zu fixen.“
    Ich fürchte, dass stärkt nicht das gegenseitige Verständnis und Vertrauen in gemeinsame Ziele.

    P.S. Ich bin für Klarnamen im Netz wie im realen Leben.

    (edit vom Admin: Da hier im Blog allerdings keine Verifizierung stattfindet, kann nicht sichergestellt werden ob hinter dem Klarnamen doch nur ein weiterer Scherzkeks steckt. Daher kürze ich sie raus ;-))

  26. Naja immerhin hast du jetzt Besucher wie noch nie auf deinem Blog :)

    zu der Aktion bleibt nur zu sagen:
    Vom Text her recht authentisch, sind sicher viele drauf reingefallen. Trotzdem unnötig und kindisch. Ihr habt sicher einigen damit geschadet. Und falls ihr eure Hacker-Fähigkeiten beweisen wolltet, glaube ich kaum, dass viele beeindruckt sind.

    Und bei solchen Dingen kann es dann auch mal böse enden, ich hoffe ihr habt auch soweit gedacht, dass man euch nicht zurückverfolgen kann. Ich glaube nicht, dass man als Verantwortlicher in der Hochschule, viel darüber lacht. Wer sowas im Unternehmen macht, fliegt raus.

  27. Wer so eine Aktion startet hat kriminelle Energie und muss für ein solches Vorgehen bestraft werden!

    Nicht nur dass es absolut unmoralisch ist gerade in der Weihnachtszeit, sondern vielmehr, dass im Namen dritter eMails verschickt werden.
    Auch ich als Mitglied der Hochschule bin davon mit mehreren Mails betroffen, die über meinen Accout verschickt wurden. Es wird ja, trotz Sicherheitslüke, auf unserem Mailserver einiges mitgeschrieben. ;-) – So gut, dass der Verursacher nicht identifiziert werden kann, war er nun auch nicht.

    Ein Studierender, der solche Mails, bzw. generell Mails über einen fremden Dozenten-, Mitarbeiter- oder Sutdentenaccount verschickt, hat an einer technischen Hochschule nichts verloren.

    Ich hätte hierfür Verständnis, wenn eine Dummy-Adresse verwendet worden würde, aber mit personenbezogenen Mailadressen – geht gar nicht!

    Sorry Leute, aber hier hört echt der Spaß auf.

    1. Ich glaube, du solltest dein Schnitzel in Zukunft ohne Panade essen, das dürfte einigen Gehirnwindungen etwas frische Luft verschaffen.

      Niemand hat irgendetwas mit deinem Account gemacht. Keiner hat deine Mails gelesen noch sonstiges damit getan. Es wurde lediglich randomisiert eine beliebige Absenderadresse ausgewählt – in deinem Fall war das offensichtlich *trommelwirbel* deine.

      Dieser Mailserver schickt im Übrigen auch hochoffizielle Hochschulmails – bei denen niemals klar war, ob der eigentliche Absender tatsächlich der war, für den er sich ausgegeben hat – das ist das starke Stück an der Sache, über das sich niemand aufregt.

      Jede Mail, die von diesem Rechner kommt und an interne Hochschuladressen geht ist zweifelhafter Herkunft und das schon seit mehr als 5 Jahren!

      Viele Grüße
      Pommes

    2. Du sagst, dass der Angreifer nicht gut genug war um nicht identifiziert zu werden und der Mail-Server diesbezüglich Informationen protokolliert.
      Möchtest du Dein Wissen mit uns teilen?

  28. Das Interessanteste der Aktion sind meiner Meinung nach die Kommentare^^ Auch wenn ich persönlich den Inhalt der Mail nicht gerade für die beste Wahl halte, so zeigen die Reaktionen hier in den Kommentaren, als auch bei FB, das die Zahl der unermüdlichen Querulanten die der engagierten Visioäre bei weitem übersteigt.
    Auch dieser Umstand dürfte für die aktuelle Aktion im IZ geführt haben und sollte deshalb schon länger bekannt sein, sodass ich die Verwunderung des Blogbetreibers nicht verstehen kann. Trotzdem Respekt für den Mut, Kommentare zuzulassen, sodass auch ich meinen Senf dazu geben kann :)
    Wünsche allen einen guten Rutsch und den erhitzten Gemütern ein paar besinnliche Tage im neuen Jahr!

    1. In wie fern ist das bitte visionär? Der „Hacker“ hat eine billige Sicherheitslücke, die durch ein bescheiden ausgestattetes IZ schon Jahre bestand, ausgenutzt und Mails mit zweifelhaftem Inhalt verschickt … Ein Visionär wäre jemand, der die Kernfusion mit Energiebilanz >1 möglich und nutzbar macht!

      Die Mails zu verschicken war lediglich ein schlechter Scherz von jemand der wusste, wie man ein Python Script schreibt und darüber hinaus ein wenig Kenntnisse vom Webserver hatte ….
      —-
      Wo war der Blogbetreiber bitte verwundert? Es gab eine Erklärung wie es gemacht wurde und dadurch sind seine Zugriffszahlen (durch die Nennung in der Mail) gestiegen .. Eine gute Entschädigung wenn du mich fragst … auch wenn das nur von kurzer Dauer sein wird!

          1. Ich glaube wir reden gerade aneinander vorbei :D
            Du sagtest etwas von „[…] dadurch sind seine Zugriffszahlen (durch die Nennung in der Mail) gestiegen […]“

          2. Wie viele Leute haben mittlerweile deinen Blog aufgerufen? Schon einige nehme ich mal an …

            Ich meinte die Mail vom „IZ“, die auf deinen Blog linkt!

          3. Ui, danke dir!
            Die kam wohl nicht bei allen an.

            Das erklärt dann in der Tat auch die vierstelligen Zugriffzahlen auf das Blog.

          4. dito. Wobei 7 bei mir etwas hochgegriffen ist :-)
            Daher hat mich der Ansturm dann auch doch etwas überwältigt. Eigentlich war das Blogposting für etwa 10 mittelmäßig interessierte Nerds bestimmt. Dass potenziell die ganze Hochschule hier aufschlägt war dann doch eher unerwartet…

          5. Da werden wohl noch ein paar mehr kommen jetzt, da die Reaktion der HS bzgl. des Vortrags von Constanze Kurz fahrt aufnimmt und auch Medien wie Golem darüber berichten.

  29. der anlass fuer die hohen zugriffszahlen? das ist wie bei einem schlimmen verkehrsunfall oder einem bombenattentat. es gibt zahlreiche schaulustige, aber keinen grund, als verursacher stolz darauf zu sein.

  30. Gibt es die Möglichkeit zu sehen ob in meinem Namen Mails versendet wurden?

    Den Initiatioren der Aktion kann man kein Vorwurf machen. Für sie ist es offensichtlich vollkommen absurd zu denken dass so eine Mail möglicherweise kein fake sein könnte. Das liegt aber sehr sicher nicht an ihrem Intellekt, sondern viel mehr daran, dass sie noch nie so eine ähnliche Mail bekommen haben (und garantiert auch nie werden).

    1. Immer schön persönlich werden. Ist eine alternativlose Strategie, wenn die Argumentationslage und das dazugehörige Wissen der limitierende Faktor sind.

      Jemand mit Zugriff auf mail.log kann das mit einem einzigen Befehl herausfinden. Du kannst das leider nicht, da bei der Aktion keine Kopien im Gesendet Ordner gehalten wurden.

  31. SMTP Auth ist keine gute idee. Wenn eines der unischeren methoden zur authentifizierung verwendet wird, dann reicht ein man in the middle attacke aus. Oder stell dir mal eine Brutforce-Attacke auf sehr viele Adressen vor, da steigt die Wahrscheinlichkeit von treffern erheblich. Dann könnte man schlimmstenfalls über proxy verbinden und weitere lücken in der internen infrakstruktur suchen. ;)
    Trotzdem der Spaßvogel, der sich das erlaubt hat, soll wissen, dass man immer irgendwelche spuren hinterlässt. Und das hier so öffentlich zu posten ist auch schlecht, zumindest sollte das mit den öffentlichen kürzel und namen doch bitte nicht so genau erwähnt werden, sonst finden sich nachahmer!

        1. Hallo,
          bitte zerstören Sie nicht beim Zitieren nicht vollkommen den Sinn. Das Zitat lautet korrekt „Ihr könnt das selber ausprobieren, solltet aber unbedingt darauf achten, dass ihr die Mails nur an euch selber sendet„.
          Ich fordere also viel mehr dazu auf, dieses Wissen explizit nicht in einer illegalen oder unmoralischen Weise anzuwenden.

Schreibe einen Kommentar zu me Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert