Archiv der Kategorie: IT-Sicherheit

Die deutsche Corona Warn App und die Datensparsamkeit

Leider gibt es in der Smartphonewelt nicht wirklich die Option ähnlich wie beim Desktop PC ein datensparsames Betriebssystem wie Debian GNU/Linux zu verwenden.

Die zweitbeste Lösung besteht darin ein Android auf Basis des Android Open Source Projekts (AOSP) wie LinageOS zu verwenden.

Leider ist man auch in diesem Fall in der Praxis trotzdem oft dazu gezwungen das proprietäre Paket GSF von Google zu installieren, weil viele Programme dieses benötigen.

Ohne Anmeldung im Play-Store bei Google ist man aber trotzdem zumindest pseudonym unterwegs und kann die meiste Software über freie Alternativen wie FDroid und Aurora-Store installieren.

Nicht so bei der Corona Warn App. Diese beschwerte sich erst mal über fehlende Aktualität des Play-Stores obwohl dieser installiert (aber nicht konfiguriert und deaktiviert) ist.

Ich war also erst einmal nicht in der Lage die App auf einem solchen datensparsamen System zu verwenden. Das ist Schade, weil bei der App selbst vieles richtig gemacht wurde.

Richtig herausgefunden wo genau das Problem lag habe ich leider nicht. Nachdem der Play-Store in den Settings aktiviert aber immer noch nicht konfiguriert wurde tut die Software anscheinend erst einmal.

Offener Port = Sicherheitslücke, ist das BSI wirklich so unfähig?

Soeben trudelt über die Abuse-Abteilung der Firma Hetzner eine Mail des Bundesamt für Sicherheit in der Informationstechnik (BSI) bei uns ein, dass es sich bei der von uns verwendeten IP-Adresse 78.47.12.48 um einen Router mit Sicherheitslücke durch eine „undokumentierte Konfigurationsschnittstelle“ handeln würde.

Gemeint ist die Backdoor in Routern, über die Heise in den letzten Tagen mehrfach berichtet hatte.

Nun frage ich mich schon welcher Praktikant beim BSI hier wohl ein script verbrochen hat, dass diese Router finden soll.

Klar, bei 78.47.12.48 handelt es sich um einen Rechner, bei dem der Port 32764 offen ist. Jedem halbwegs in der Netzwerktechnik bewanderten Menschen sollte aber auch klar sein, dass die TCP/IP Protokollfamilie im Gegensatz zu ISO/OSI eben keine klare Trennung zwischen Dienst, Schnittstelle und Protokoll besitzt.

Prinzipiell kann ja jeder Dienst auf jedem Port laufen.

Im gegebenen Fall hat das BSI auf Port 32764 einen ssh-server gefunden und eben keine merkwürdige Backdoor.

Der manuelle Test mit telnet oder netcat hätte das auch bestätigt:


~/ > telnet 78.47.12.48 32764
Trying 78.47.12.48...
Connected to 78.47.12.48.
Escape character is '^]'.
SSH-2.0-OpenSSH_5.5p1 Debian-6+squeeze4
quit
Protocol mismatch.
Connection closed by foreign host.

Ich muss sagen, ich bin enttäuscht. Vom BSI hätte ich mehr erwartet als automatisierte Abuse Emails an alle Betreiber von Rechnern, bei denen auf Port 32764 ein Server läuft.

Letztlich hat dieser Mist nun nicht nur mir, sondern auch der Abuse-Abteilung der Firma Hetzner unnötige Arbeit gemacht, denn ich bin im Netz von Hetzner ganz sicher nicht der Einzige, bei dessen Server auf diesem Port ein Dienst antwortet.

Update: Wieder Erwarten habe ich eine Rückmeldung vom BSI erhalten! Danke dafür. In der Meldung, die vom BSI an Hetzner ging steht wörtlich folgendes:

CERT-Bund hat von heise Security eine Liste von IP-Adressen erhalten, unter denen am 07.01.2014 Konfigurationsschnittstellen betroffener Router öffentlich über das Internet erreichbar waren. Nachfolgend senden
wir Ihnen eine Liste betroffener IP-Adressen in Ihrem Netzbereich mit entsprechendem Zeitstempel (MEZ).

Wer die Scans durchgeführt hat ist daher völlig Unklar. Klar hingegen ist, dass offensichtlich nur auf offene Ports getestet wurde und nicht auf die backdoor. Nach wiederholtem Lesen der Email ist mir inzwischen ehrlich gesagt völlig unklar, weshalb Hetzner diese überhaupt weiltergeleitet hat.