![[Inhalt]](../../Grundlagen/Firewall/images/toc.gif){kind=small}
|
|
Online Suche im Handbuch | LITTLE-IDIOT NETWORKING |
Anfang 1997 bemerkte ich als Betreiber der Domain SUB, daß versehentlich E-Mails dieses Elekrogroßhandels mit vielen tausend Mitarbeitern weltweit, ich möchte ihn Sehnix nennen, auf meiner Domain eintrafen. Die Mails waren nicht an userxy@SUB.sehnix.de gerichtet, sondern an userxy@sehnix.SUB.de adressiert. Ich machte also den Systemadministrator bei Sehnix darauf aufmerksam, daß einige Mails falsch adressiert waren, offensichtlich aufgrund einer Vertauschung bei der Übersetzung der Mailadresse einer Visitenkarte dieses Unternehmens vom X.400 Format in die korrespondierende Darstestellung im Internet. Der Systemadministrator reagierte nicht.
Mittlerweile häuften sich die Mails. Seltsam war dabei, daß diese nun stoßweise auf der Domain SUB eintrafen, manche Tage gar nicht, an anderen direkt zu hunderten. Diese Mails landeten alle als nicht zustellbar auf meinem Server, dessen Postmaster ich bin. Der DNS-Server war so konfiguriert, daß alle E-Mails an die Domain SUB.de automatisch in einem Sammelpostfach landen. Hierzu habe ich den MX-Eintrag im DNS Server so eingestellt, daß auch alle Mails an Subdomains in dieses Postfach einsortiert werden.
Als Postmaster erhalte ich stets alle fehlerhaft zugestellten Mails, zumal darunter auch einige Mails sind, die die Überprüfung auf Viren nicht bestanden haben. Diese fehlerhaft zugestellten Mails an die Domain sehnix.SUB.de landeten als alle bei mir, da ich die Subdomain sehnix nicht mit einem eigenen MX Eintrag eingetragen hatte.
Es trafen einige dutzend interne E-Mails von Mitarbeitern an Mitarbeiter des Unternehmens ein, die normalerweise niemals nach Außen hätten gelangen dürfen. Darunter auch eine mit EXCEL verfaßte Jahresbilanz der SAP Abteilung in Frankreich, einige interne Berichte über Prüfungsprotokolle bei Banken und Berichte über Hermes - Bürgschaften der Bundesregierung für Projekte in China. Irgendwie wurde mir klar, daß ich den Systemadministrator schnellstens informieren müßte - gesagt getan. Lapidare Antwort: Das würde täglich passieren und ich sollte meinen DNS-Server so einstellen, daß die E-Mails automatisch abgelehnt würden. Interessanterweise hat aber mein Server genau dieses schon immer getan, also die Mail als nicht zustellbar zurückgesandt, natürlich mit Kopie an Postmaster. Es war also insofern alles in Ordnung, was die Konfiguration meines Servers betraf. Interessant wurde es jedoch, als innerhalb weniger Tage 4.5 Gigabyte E-Mails von diesem Elekrogroßhandel in meinem Postfach lagen. Alle waren Sie als nicht zustellbar an den Absender zurückgegangen und als Kopie an Postmaster in mein Postfach gelegt wurden. Heftige Proteste meinerseits an den Systemadministrator via E-Mail wurden ignoriert. Danach fing ich an, zum Spaß auf E-Mails der Mitarbeiter zu antworten. Ich schickte mit meinem korrekten Absender Grüße an Mitarbeiter, deren E-Mails den Empfänger offensichtlich nicht erreicht hatten.
Danach tat sich offensichtlich etwas. Mich erreichten seltsamerweise die internen Trouble-Tickets, worin Systemadministrator A eine E-Mail an Systemadministrator B schrieb, worin er um Hilfe bat, den Fall einer nicht zustellbaren E-Mail genauer zu untersuchen. Warum dieses Trouble Ticket mit der Nummer 1705 mich im Internet erreichte, war mir völlig unklar. Klar war nur - dieses hätte den Konzern nicht verlassen dürfen. Ich informierte mal wieder den Systemadministrator, der nicht reagierte. Sehr wohl aber wunderte ich mich, daß diese Systemadministratoren meinen Internet-Server genau untersuchten. Auf eine Untersuchung mit einem Security Scanner folgte eine genaue Inspektion aller Seiten von allen Domains auf diesem Server, und zwar über ein Gateway, welches offensichtlich in Deutschland an das Internet angebunden war. Alle fehlerhaft zugestellten Mails stammten, so wies es zumindest der Header aus, von einem Gateway in den USA.
Ich untersuchte das USA-Gateway und stellte fest, daß dieses gut durch eine Firewall gesichert war.
Danach führte ich mit Hilfe des ISS Security Scanners eine kleine Untersuchung dieses deutschen Gateways durch, von welchem aus mein Server gründlich untersucht wurde. Es waren jedoch keinerlei Sicherheitslücken erkennbar. Als ich dann alle DNS Logs auswertete, stellte ich fest, daß DNS-Anfragen von diesem Gateway an meinen Internet-Server gingen. Das machte mich ein wenig stutzig. E-Mails laufen über über das USA-Gateway, DNS und Surf-Traffic für die Mitarbeiter laufen über ein deutsches Gateway. Fein.
Ich untersuchte noch die Header von ein paar hundert internen E-Mails, und stellte fest, daß offensichtlich der Backup Server des X.400 Gateways einen Fehler bei der Übersetzung der X.400 Adressen in das Internet-Format hatte. Der Original X.400 Server war offensichtlich in Ordnung. Ich hatte also den Fehler in deren Netzwerk gefunden: Immer, wenn ein X.400 Server ausfiel, dann wurden für diese Zeit alle Mails in das Internet versendet. Das waren an einigen Tagen mehrere Gigabyte. Darunter natürlich auch äußerst vertrauliche Informationen, die ich selbstverständlich sofort gelöscht habe.
Ich erhielt in der Folge noch weitere Trouble Tickets, worin sich Systemadministratoren darüber austauschten, warum einige E-Mails den Empfänger nicht erreichten. Ich sendete an diese freundlicherweise eine E-Mail, worin ich nochmals darauf hinwies, daß es wohl recht merkwürdig sei, wenn sogar die Trouble Tickets mit sicherheitsrelavanten Informationen bei mir landeten. Diese Mails blieben ohne Antwort.
Es war inzwischen Januar 1998, als ich die ganze Geschichte einem Reporter eines Käseblattes übergab, der dieses Problem dann netterweise als Unfall schilderte, was es im Grunde auch war.
Auch die EDV-Leitung dieser Elektrofirma war unterrichtet, also dachte ich, daß das Problem behoben sei.
Inzwischen war es Januar 1999, als mich der Schlag traf: In meinem Briefkasten lag ein Winword Dokument von einem Mitarbeiter von Sehnix an eine bekannte Bank, bezeichnen wir diese einmal mit K-Bank, worin dieser detailliert das neue Sicherheitskonzept für das weltweite Netzwerk unter Windows NT mit Backoffice beschrieb.
Der Inhalt war auch für mich sehr aufschlußreich in so fern, als daß dieser sich hinter den Sicherheitsempfehlungen von Microsoft versteckte, und sein ganzes Konzept keinerlei Sicherheitsbarrieren bzw. Kontrollmöglichkeit des Traffics innerhalb des weltweiten Netzwerkes aufwies.
Ich wendete mich also im Februar telefonisch an den Adressaten in der K-Bank, einem EDV - Leiter, der mich darum bat, schnellstmöglich ihm dieses Dokument PGP verschlüsselt zuzumailen. Ich wies ihn freundlich darauf hin, daß dieses Dokument bereits mehrfach unverschlüsselt durch das Internet versandt worden sei, und daß ich PGP nicht verwende.
Ich sendete ihm also das Dokument und habe bis heute auch keinerlei E-Mails mehr von Firma Sehnix erhalten. Es gab zwar in der Zwischenzeit nur einen panischen Anruf, bei welchem mich ein Systemadministrator von Sehnix dringend darum bat, eine versehentlich an meine Domain versandte, höchst vertrauliche Mail zu löschen, was ich ihm auch versprach, allerdings weiß ich bis heute nicht, welche Mail er gemeint haben könnte. An diesem Tag jedenfalls habe ich keinerlei fehlgeleiteten E-Mails von Firma Sehnix erhalten.
|
|
Online Suche im Handbuch | LITTLE-IDIOT NETWORKING |