Von kugelsicheren Netzen, kaputten Appliances und kreativen IP-Zertifikaten

00:00:00: Hallo liebe Hörerinnen und Hörern, willkommen zu einer neuen Folge von Passwort dem Podcast von Heise Security.

00:00:15: Ich bin Christopher Kunz vom Heise-Security

00:00:18: Und mein Name ist Jan Mann vom Computermagazin CT.

00:00:23: Ihr hört es der Silvester ist im wohlverdienten Urlaub und ihr habt's vielleicht in der vergangenen Folge gehört.

00:00:29: da war er nämlich auch schon unterwegs und da wo er war gab es ein leichtes Echo weil er ganz nah an mir dran war, also geografisch und netztopologisch und alles andere.

00:00:40: Wir haben versucht das noch ein bisschen rauszufiltern in der Postproduktion aber es hat nicht hundertprozentig geklappt.

00:00:45: Also wenn ihr wie ich mal in den Podcast auf Kopfhörern reingehört habt, dann habt ihr so ein ganz leichtes Echo meiner Sprachspur gehört.

00:00:52: Sorry dafür!

00:00:53: Das war jetzt technisch einfach nichts zu verhindern.

00:00:56: wir hoffen dass es heute kein Echo in der Sprachspur gibt.

00:01:01: Ich habe als Urlaubsvertretung den Jan gewinnen können, den etwas ältere Hörer aus Folge thirty-eight schon kennen.

00:01:07: Dabei nämlich meine Urlautsvertretungen und hat mit Sylvester über Smart Contracts und Blockchain gesprochen.

00:01:13: Jan magst du nochmal zwei Sätze sagen für die, die erst seit Folge neununddreißig den Podcast hören?

00:01:18: Ja ich bin schon ein paar Tage bei der CT seit zweitausendsehnt.

00:01:21: Ich hab noch mal nachgeguckt war früher im Ressort Systeme und Sicherheit.

00:01:25: das ist das Ressorts in dem Sylvesta jetzt ist.

00:01:29: von Heise Medien, also auch für die CT und für Heise Online zuständig mache aber weiterhin gerne Security Themen.

00:01:36: Und habe heute auch eine Geschichte mitgebracht, die ich mit Christopher zusammen in den letzten Monaten recherchiert habe und freue mich, dass wir heute ein bisschen über News sprechen können und auch über diese Geschichte.

00:01:49: Richtig!

00:01:50: Ich glaube, wir spoilern nicht zu sehr wenn Wagen, dass diese Geschichte auch noch nicht zu Ende ist.

00:01:57: Wir haben schon ein bisschen was davon erzählt aber da gibt es noch reichlich was man weiter erzählen kann und wir geben jetzt mal so einen kleinen nachher mal einen kleinen Überblick und dann schauen wir mal wie weit wir kommen.

00:02:08: und damit sind wir auch schon beim Feedback.

00:02:12: ich hoffe das ich mich jetzt nicht die drei Viertelstunde im Feedback vergrabe.

00:02:16: Jan du musst dich dann stoppen wenn es zu lange dauert.

00:02:22: einiges sehr, sehr nettes Feedback bekommen von Hörern.

00:02:26: Das freut uns immer sehr.

00:02:27: Ich lese das jetzt nicht im Einzelnen vor sondern eher so die fachlichen Sachen aber auch einfach nur einen Lob.

00:02:33: oder dass wir Leute motivieren sich in Security ein bisschen besser einzuarbeiten und dann ein bisschen tiefer reinzugraben.

00:02:40: Da finden sie immer total super!

00:02:42: Das ist nämlich genau der Grund warum wir diesen Podcast machen weil wir IT-Sicherheit spannend finden und weil wir glauben, dass ihr das auch spannend findet.

00:02:49: So Wir hatten vor einigen folgen diese Geschichte mit Atmatus.

00:02:53: Ihr erinnert euch dunkel, dass es da so ein gewisses Rätselraten gab über den chinesischen Hersteller der Millionengeräte mit kaputten Certificate Transparency Checks im Feld hatte und in seinen Lagerhäusern und dann zu Google gesagt hat könnt ihr da nicht irgendwie nochmal eine Ausnahme machen?

00:03:10: wir kriegen das alles nicht so schnell gefixt Und meine Vermutung war da, dass das vielleicht so Android Streaming Box sind.

00:03:17: die gibt's ja mit vollen Städter Malbeer praktischerweise, da läuft er dieses Kimberwolf-Botnett drüber.

00:03:22: Aber da läuft dann gerne mal so irgendwie ein Android Zeug drauf.

00:03:28: Der David hat der Feedback beim letzten Mal vermutet das sein Kartenterminus also diese Payment Terminus die im Laden stehen.

00:03:35: Jetzt haben wir noch einen neuen Tipp von Marcel Das könnten voice over IP Telefone sein und zwar vielleicht von diesem großen Hersteller Jelink.

00:03:45: Das ist eine super Idee vor allem mit dem Namen, weil wir je längst schon mal sehr lange in Folge thirty besprochen haben.

00:03:51: Da ging es darum dass die ihre Telefone mit kaputten Zertifikaten und v.a.

00:03:57: mit einem CA-Zertifikat neben Private Key ihrer eigenen CA ausliefern.

00:04:02: Deswegen glaube ich das die gar keine CA also keine in den Trust Stores verankerte von der vom CA Browser Forum oder von City Policy Chrome in irgendeiner Weise gerührte CA haben, sondern die haben ihre private CA.

00:04:16: und da gab es so einen lustigen Artikel den wir auch als Vorlage für unseren Podcast genommen haben oder für unsere Recherche im Podcast.

00:04:25: Und da gab's die Zwischenüberschrift CAA in Nutzerhand ist eine riesengroße Schand war ein lustiger kleiner Schüttelreim und das passt ganz gut.

00:04:34: ich glaube deswegen dass es jening eher nicht sein dürfte.

00:04:38: Ich weiß nicht, ob wir es jemals rausfinden werden.

00:04:40: Wenn ihr noch weitere Tipps habt dann schickt die uns gerne an password-podcastatheise.de.

00:04:46: oder auf Mastodon könnt ihr auch gerne eine Line dropen wie man so schön sagt.

00:04:51: A pro Pro Drop'n habe ich nicht geplant diese Überleitung aber sie funktioniert.

00:04:55: Ich hab noch ein Feedback von Christian bekommen zu Apache und Privileged Drop.

00:04:59: da hatte ich in der...echt glaube in der Fünfzig ging's eben um kaputte Security Appliances, Klammer auf.

00:05:07: Da geht es gleich auch wieder drum, Klama zu und wie da der Web-Server läuft?

00:05:12: Und wann ein Web-Server?

00:05:13: die Route Privilegien, die er braucht um Port Achtzig und Port Viervier Drei aufzubekommen, die ja unter dieser magischen Schwelle von Tausend vierundzwanzig sind also sogenannte privilägierte Ports, wenn er diese Privilegen wieder abgibt und dann wieder als normaler Nutzer läuft.

00:05:27: Und da hat sich tatsächlich der Christian hingesetzt was ich sehr, sehr nett finde weil sonst das vielleicht auch irgendwann mal selber hätte machen müssen in einer ruhigen stunde und hat einen blick in die apache source geworfen Und hat folgendes rausgefunden ich lehste es jetzt einfach vor Apache verwendet standardmäßig mpm pre fork, d. h. ein thread pro verbindung.

00:05:47: Das kann man einstellen.

00:05:48: dass jetzt meine anmerkung das kann man Einstellen.

00:05:50: Es gibt auch noch andere andere mpms.

00:05:53: Das ist mit apache zwei eingeführt worden.

00:05:55: apache eins drei hatte da glaube ich nur eine variante.

00:05:58: Jetzt weiter dem Zitat.

00:06:00: in der Datei ServerMPMprevog.C gibt es eine Funktion Schalt unter Strich Main, die relativ am Anfang.

00:06:07: Und jetzt wird's wichtig noch vor dem Verarbeitungsloop eine Methode AP Run Drop Privileges aufruft, die wenn man sie zurückverfolgt verweist also offene andere Methode die dann Architekturabhängig ist verweist.

00:06:24: So, dort findet sich ein Systemaufruf zu SetUID und der sucht sich aus der Apache-Konfigurationstartei die passende UID und GroupID und die üblicherweise WWWData als UID oder ich glaube NoGroup als GroupID ist.

00:06:38: Das passiert, schreibt Christian mir Aus meiner Sicht deutlich vor irgendeiner HTTP Verarbeitung oder vor den Rewrite Rules.

00:06:47: Thema im Podcast vor zwei Folgen ging es genau um solche Rewrite Rules, genauer gesagt um Rewrite Maps.

00:06:53: Die in einen durch ein Bash-Skript verarbeitet wurden das unsicheren UserInput entgegengenommen.

00:06:59: Prefocke bedeutet ja auch schreibt Christian dass die Threads zur schnelleren Abarbeitung schon bereit gehalten werden bevor eine Verbindung eingeht wie das unter Windows aussieht keinen Plan aber ich würde vermuten dass die Apache Entwicklerinnen auch nicht doof sind.

00:07:14: Das würde ich auch erst mal funden und das ähnlich implementiert haben.

00:07:17: Und sowohl Christian als auch ein weiterer Hörer namens Jens, bis jetzt noch kein Tobias.

00:07:22: übrigens, ich weiß nicht ob du es in der letzten und vorletzten Folge mitgekriegt hast, wir hatten eine gewisse Tobias Schwimme, die hatten beide die Idee man kann den Webserver ja einfach auf einem höheren Port starten, auf Port-Achzig-Achtzig und dann per IP Tables auf dem Server die TCP Connections forward an von Port- Achtzig oder FIFI III auf Port Acht zig Acht Zig Port Acht, Vier, vier Drei oder sowas.

00:07:46: So das ist dazu.

00:07:50: Jetzt kommt noch Telnet.

00:07:52: Ja wir müssen nochmal kurz über Telnet reden Aber wirklich nur kurz Weil ich nicht genau weiß ob wir es in der letzten Folge auf der Sprachspur gesagt haben Oder nicht.

00:08:01: Es gibt nämlich zu dieser Telnet-Looke die massenhaft ausgenutzt wurde jetzt einen längeren Artikel von Grey Noise Die so Internet-Traffic-Analysen machen Und die vermuten dass verschiedene Carrier also ISPs, Providers.

00:08:14: Ein so großes Problem mit diesen Telnet-Angriffen in ihrem Netz gesehen haben dass sie port.de.

00:08:18: einfach netzweit an der Netzgrenze rausfiltern.

00:08:22: Das ist ein kleiner Nachdrag zu dem Thema in Folge Fünfzig.

00:08:25: Ich habe den Link zu diesem Grey Noise Artikel in die Show Notes gepackt.

00:08:27: ich hatte auch kurz Kontakt mit jemandem von Grey Noise um da ein paar Detailfragen zu stellen.

00:08:33: aber ich glaube wenn das Thema jetzt nicht nochmal hochkocht aus technischer Sicht dann Ist es das aus unserer Sicht auch erst mal gewesen weil so viel Raum möchte ich dem Thema Telnet nicht geben.

00:08:44: Das nächste mal sprechen wir dann so in zwanzig Jahren wieder über Telnet vielleicht?

00:08:48: Genau, ja warte es ist zwei tausend sechs und man sich vielleicht schon in zwölf jahren weil irgendein Epochenback in dem Telnet die ist oder sowas und dann funktioniert der Überlauf.

00:09:01: two tausen achtund dreißig nicht mehr sehen das ist in zwelfjahren schon das ist gar nicht mehr lange hin.

00:09:06: Wir sind jetzt näher dran am Unix Time Stamp Überlauf als wir Weg sind vom Y to K Problem deutlich näher.

00:09:14: Ich glaube, wir können bald einen Epochenüberlauf-Podcast machen mit nur Epochernüberlaufproblemen.

00:09:21: Ja vielleicht sollten wir schon mal anfangen Sonderheft zu planen CT Sonder Heft, Epoche und Überlaufe oder so.

00:09:27: Okay übrigens Fun fact ich habe eine Story Sports bei Hetzner für meine Backups Und da ist der SSH Port Port Rheinzwanzig Weil auf Port Zweiundzwanziger läuft irgendwie SFTP und ein Port höher läuft dann SSR Da kriegst du auch ne interaktive Schell.

00:09:41: Das ist, es fühlt sich ein bisschen seltsam an eine SSA zu Port.

00:09:45: Aber sei's drum!

00:09:48: So dann habe ich ein kleines Lob loszuwerden eigentlich sogar zwei Lobbe eins davon noch nicht mal in den Notizen verankert.

00:09:54: und zwar haben wir uns ja das öfteren mokiert über diese schlecht gemacht E-Mails die nicht so unterscheiden sind von Fishing Emails wo dann irgendwelche Marketing Domains verwendet werden wie Firmname-Marketing.com oder sowas.

00:10:07: Und ich habe jetzt zwei Beispiele gekriegt, die mir wirklich ganz gut gefallen haben von Finanzinstitutionen und zwar einmal vom Trade Republic.

00:10:14: Von diesem Neobrocker eine Mail, wo es nur darum geht schützt du dich vor Betrug?

00:10:19: Da wurde ich mit meinem Namen angeredet also meinen Vornamen.

00:10:21: Die mail kam von infoataccount.traderepublic.com nicht von irgendeiner Schrottdomänen wie Info at traderepublic-warnung.com oder so die genauso gute Fishing Domain sein könnte.

00:10:32: Der Link zeigt auch nicht auf irgendeinen Click Checker, weiß ich nicht bei Salesforce oder bei Hubspot oder sowas.

00:10:39: Sondern auf klick.traderepublic.com also auch ein Subdomain unter der Hauptdomain von TradeRepublic.

00:10:44: da gibt es dann eine FAQ-Seite und da werden auch keine personenbezogene Daten abgefragt.

00:10:48: Gibt klare Handlungsanweisungen.

00:10:50: das ist alles sauber und fand ich gut gemacht.

00:10:53: was sich auch gut finde Ist dass einer weiteren Neobank nämlich Revolut jetzt sogar ihren Nutzern einen Online Kurs zur Betrugsprävention in der App anbietet.

00:11:04: Da kannst du dann verschiedene, das sind hauptsächlich Texte.

00:11:07: ich habe jetzt Text und ein paar Illustrationen gefunden dir durchlesen zu allen möglichen Facetten von online Finanzbetrug also diese Kryptoscams aber auch dieser Job-Betrug dass du also irgendwie einen Minijob eingehst und dann in Wirklichkeit als Überweisung wie heißen die Geldwäsche für irgendwelche Kriminellen agierst?

00:11:30: Da musste dann nach jeder Lektion auch ein kleines Quiz durchführen und Kriegsgesagt, was richtig oder was falsch war.

00:11:35: Das finde ich eine schöne Idee die Leute genau da abzuholen wo so einen Betrug stattfindet und sie dann dazu schubeln anstatt das zum Beispiel den Medien zu überlassen in den Behörden oder irgendwem anders.

00:11:47: Das find ich eine gute Initiative.

00:11:49: man sollte natürlich zur Einordnung auch sagen dass Revolut eine der Banken ist die von diesen Themen extrem betroffen sind und die auch häufig verwendet wurden weil sie eben Dadurch, dass sie komplett online sind und man relativ leichten Konto eröffnen kann.

00:12:03: Natürlich mit einem barfinkonformen New York-Customer-Prozess.

00:12:07: Da gibt es relativ viel Betrug und da gab's relativ viele Betrüger die auch Revolut konnten als Konto für eingehende erschwindelte Zahlungen genutzt haben.

00:12:17: aber möchte ich trotzdem hervorheben das sich eine gute Idee findet und dass sich große deutsche Banken gerne ne Scheibe von abschneiden können in ihren Apps.

00:12:25: Ihren Kunden auch solche Schulungen gerne auch in einer Sprache Kunden verstehen, also nicht so technisch wie wir es machen würden zum Beispiel das anbieten können.

00:12:36: Hast du auch so eine Schulung mal in letzter Zeit vielleicht bei deinem Arbeitgeber gemacht?

00:12:41: So ein online Kurs.

00:12:43: ich krieg immer diese E-Mails.

00:12:45: Die E-Bails krieg' ich ja auch.

00:12:47: Gibt inzwischen sehr viel!

00:12:48: Es gibt auch nicht nur Fishings, es gibt Ransomware und auch so Klickbetrug und CEO Fraud.

00:12:53: und so gibt's auch kleine Schulungen zu bei unserem Bewährnis Schulungssystem.

00:13:01: Wenn

00:13:01: ich mal richtig Zeit habe, mache ich die alle mal am Stück.

00:13:04: Ja also man muss ein bisschen aufpassen.

00:13:05: wenn man das zu lange raus schiebt und die Pflichtschulung mit den fakultativen Schulungen verwechselt gibt es irgendwann eine böse E-Mail und dann sollte man sich spätestens glaube ich hinsetzen.

00:13:14: insofern ist das immer... Ich mach auch vieles von dem wenn ich mal Zeit habe so ich glaube ich habe alles Feedback abgeräumt.

00:13:24: wenn ihr noch weiteres Feedback für uns habt oder Themenvorschläge habt dann wendet euch gerne an Passwort minus Podcast at heise.de oder wenn es anonym bleiben soll, an unsere Anonymen-Investigativ-Inboxen.

00:13:39: die findet ihr unter heise .de.

00:13:41: slash investigativ so.

00:13:45: und jetzt nehme ich eine Blutdruck Tablette denn Es geht um einen meiner absoluten Lieblingshersteller.

00:13:57: auch hier denkt euch bitte eher kurz wie in der letzten Folge Es geht um Yvon Team.

00:14:03: Also die haben wir ja schon ein paar mal im Podcast gehabt und es gibt immer wieder, sagen wir mal relativ Haarsträubende, ich finde sie Haarstreumende Sicherheitslücken in Security Appliances Und das gucken sich natürlich immer die üblichen Verdächtigen an.

00:14:21: also Watchtower Labs machen da gerne mal Blogartikel drüber und dann greifen wir das auf.

00:14:25: Dann greifen andere Publikationen im deutschen Englischsprachigen Raum das auch aber meistens technische Publikationen, die von einem technischen Publikum gelesen werden.

00:14:35: Von IT-Administratoren, Netzwerkadmin und Security Leuten usw.

00:14:38: Also ist so eine gewisse Bubble, die würde ich sagen nicht den Mainstream und vor allem auch nicht die Zielgruppe derjenigen repräsentiert und anspricht die Produkte also die Kaufentscheidungen.

00:14:50: immer treffen das dann vielleicht Geschäftsführung oder technische Leitung, die manchmal ja schon eher Manager als Techniker ist.

00:14:56: aber vor allem wird die Ziel Gruppe der Investoren diesen Hersteller in Geld geben fürs Wachstum, um andere Firmen aufzukaufen oder so was.

00:15:04: Oder sie an die Börse zu bringen.

00:15:06: Diese Zielgruppe wird... Die erreichen wir glaube ich bei Heise nicht so wirklich.

00:15:11: Das machen andere Publikationen zum Beispiel

00:15:14: Bloomberg.

00:15:15: Jan hast du zwei Sätze spontan auf der Pfanne um Bloomberg ein bisschen einzusortieren?

00:15:21: Bloomberg ist ein... Na ja zum Teil ist es glaube ich einen... Machen Sie journalistische Arbeit zum Teil.

00:15:28: Machen sich analystische Arbeit Zum Teil verdienen sie ihr Geld mit Daten.

00:15:33: Es gibt ja dieses legendäre Blumenburg-Termine, was ich einmal live gesehen habe aber nicht bedienen konnte während du sich gesehen hast war auch eine Messe.

00:15:41: Das ist so ein Informationstermin für

00:15:45: Menschen

00:15:45: die mit Aktien oder überhaupt handeln.

00:15:50: mit Gütern.

00:15:52: in diesem Blumenberg Terminal laufen diese ganzen Daten zusammen und das ist so die Nummer eins Datenquelle für große Banken, die daran ihre Investitionsbescheidung treffen.

00:16:02: Die klicken nicht auf diesen werbeüberladenden Börsenseiten nach den aktuellen Kursen sondern sie haben einen Bloomberg Terminal unterlaufen auch immer gleich die aktuelle Informationen der Unternehmen rein und die aktuellen Analysen aus den verschiedenen Analystenhäusern und so.

00:16:16: Also Bloomberg ist so die Nummer eins Adresse glaube ich weltweit für alle möglichen Handelsinformationen.

00:16:24: Genau das ist einer der führenden Anbieter für Business News.

00:16:28: Und wir haben bei Bloomberg, also wir haben da ein Konto für deren Webseite wo dann auch Artikel veröffentlicht werden und dafür mir einen Artikel auf der sehr, sehr detailliert und unheimlich lang... Also ich habe da bestimmt zwanzig Minuten dran gelesen die Historien nachzeichnet wie Private Equity Investoren Security Produkte und Security Unternehmen Verscheißigen.

00:16:56: was haben wir gesagt ist ein shitification auf deutsch verscheißigung also entity fein und das ist nartikel.

00:17:04: der ist leider hinter einer paywall.

00:17:05: ich habe euch die url zum artikel mal in die show notes gepackt.

00:17:09: Ich versuche ihn jetzt so gut zusammen zu fassen wie möglich oder die wichtigen punkte rauszustellen damit ihr euch jetzt kein blumenberg abo kaufen muss weil ich glaube es geht bei hundertfünfzig dollar los.

00:17:20: und natürlich auch hier zur einordnung bei mir treten sie mit so einem Narrativ natürlich offene Türen ein, weil ich grundsätzlich schon sehr kritisch gegenüber diesen Appliance-Vendors eingestellt bin.

00:17:32: Und wenn dann noch einen zusätzlichen Artikel kommt der diese Einstellung untermauert, dann freue ich mich natürlich und bin da auch nicht ganz objektiv.

00:17:42: aber es ist auch nicht mein Job objektif zu sein sondern mein Job ist ein Ordnung zu geben.

00:17:46: und das möchte ich jetzt gerne machen, weil dieses Narrativ für sehr kompelling also sehr nachvollziehbar halte für korrekt halte.

00:17:56: Wie schon gerade gesagt, das Objekt der Betrachtung ist der Hersteller.

00:17:59: Ivanti.

00:18:00: die machen einen wie ihr aus verschiedenen anderen Podcast folgen vermutlich gehört habt buntes Potpourri an Sicherheitsprodukten und diese Sicherheits Produkte gehen von der klassischen Security Plans also was früher meine Firewall war über Endpoint Management dass es in der letzten Folge Ein bisschen durch uns setziert worden beziehungsweise watchtower hat es jetzt hier und wir haben uns darüber missiert und das nach erzählt.

00:18:25: Und sie haben aber auch verbenen dienstleistung oder verpen service.

00:18:31: also ne verpen appliance.

00:18:33: diese verpen appliances sind ja, eines der Haupt-Einfahrtstore gewesen für große Angriffe in den letzten Jahren.

00:18:39: Yvanti hat es da im Jahr zwanzig erwischt, aber auch Grunde.

00:18:42: alle anderen sind mal dran gekommen.

00:18:44: Fortinet SSL VPN war ein Riesenthema.

00:18:47: Citrix war ein Risenthema, da gab's immer große Angriffskampagnen von mutmaßlich chinesischen Apps die darüber Netze jahrelang infiltriert haben und hochprivilegierte Netze wie das der NASA oder amerikanischer anderer Bundesbehörden.

00:19:04: also kein kleines Problem, sondern tatsächlich eins das die amerikanische und weltweite Sicherheit durchaus mal einträchtigt.

00:19:12: Und Ivanti ich habe es für die Recherche nachgelesen gibt es eigentlich nur weil Private Equity Unternehmen gesagt haben Wir haben hier was und wir möchten das zusammenknoten.

00:19:26: vielleicht an dieser stelle zwei drei Sätze zum thema Private Equity Weil vielleicht auch nicht jeder von euch unheimlich viel Bock hat sich in diese finanzthemen einzuarbeiten.

00:19:35: also Private Equity Unternehmen sind, das ist so ein Anglesismus für Beteiligungsfirmen die sich an Unternehmen, also die Unternehmen aufkaufen oder mehr als Beteiltigung an Unternehmen erwerben um irgendwie Geld von anderen Leuten unterzubringen.

00:19:54: Also zum Beispiel die Pensionsgelder von irgendwelchen Leuten Lehrern oder so.

00:20:00: da gibt es einen ganz großen Private Equity Fund der heißt OTPP, Ontario Teachers Pension Partners oder sowas.

00:20:11: Und die verwalten einfach Pensionsgelder also Rentenbeiträge und versuchen sie gewinnbringend auf dem Finanzmarkt anzulegen unter anderem eben durch Unternehmensbeteiligung.

00:20:22: hier zu ländern kennt man einige Untertypen und besonders aggressive Arten von Private Equity in Historien unter dem etwas despektierlichen Namen Heuschrecken.

00:20:36: Die kommen mal so angeflogen, wie ein Schwarm stürzen sich auf einen Unternehmen neben das was sie davon brauchen und lassen eine leere Hülle zurückverkaufen die weiter oder machen irgendwas anderes damit.

00:20:45: ganz so schlimm ist es nicht immer.

00:20:46: Es gibt also private equities einfach ein legitimes, eine legitime Methode Geld ins Unternehmen zu kriegen.

00:20:52: ohne private equity-Unternehmen hätten eben viele auch wahrscheinlich keine Rente.

00:20:57: gerade in den angloamerikanischen Ländern wurde die ganze Altersvorsorge ein bisschen anders funktioniert als hier.

00:21:03: Aber Private Equity steht eben nicht ganz so unrecht in dem Ruf, dass wenn sie in einem Unternehmen investieren Sie sehr schnell anfangen es auf Rentabilität zu trimmen.

00:21:14: Dass sie wenn sie Unternehmen oder Produktbereiche zusammenlegen weil sie die aus verschiedenen Zugäufen haben das ihr dann sehr schnell diese sogenannten Synergien heben.

00:21:22: also Vulgo Leute rausschmeißen dass sie Nicht unbedingt die Qualität der Produkte mehr im Blick haben als ihre eigene Rendite.

00:21:32: Das ist halt auch einfach, Ihre Motivation und Ihr Incentive sind Rendite zu erwirtschaften.

00:21:37: Den muss nicht unbedingt wichtig sein dass die Produkte, die ihre Portfoliounternehmen verkaufen toll sind sondern sie möchten maximale Rendite erwirtschaftet werden.

00:21:47: wenn das darüber geht, dass das Produkt toll ist?

00:21:49: Ist das super für so ein Private Equity Unternehmen.

00:21:50: aber wenn es darüber geht dass man Leute rausschmeißt damit die Gewinnmage erhöht und dann mittelmäßiges oder schlechtes Produkt trotzdem gewinnbringend verkauft, ist das für so ein Private Equity Unternehmen auch okay.

00:22:02: Weil die eben nicht auf die Produkte primär gucken sondern ich würde sagen die gucken eher auf die Rendite.

00:22:09: So Private Equity.

00:22:11: da kam also eins von diesen Unternehmen und hatte zwei Security-Unternehmen in seinem kleinen Katalog von Aufkäufen und dachte sich ach der basteln wir mal ein anderes größeres Security-unternehmen.

00:22:23: Daraus können wir bestimmt Synergien heben Das ganze größer als die so seiner Teile.

00:22:29: und dann haben sie so eine Art Frankensteins Endpoint Security Monster gebaut.

00:22:33: Und das hieß dann Ivanti, und... ...das war eigentlich schon der Höhepunkt von Ivantis Karriereuil.

00:22:38: Von da an ging's ja konstant seitwärts oder abwärz.

00:22:43: also wenn ich für ne Recherche von einem Unternehmen schaue was das Unternehmen macht?

00:22:49: Dann gibt es ein paar Anlaufpunkte im Handelsregister oder bei der SEC, wenn es in Börsen notiertes Unternehmen ist.

00:22:56: Ich gucke aber auch immer auf Wikipedia und wenn so ein Wikipedia-Artikel für einen Unternehmen nur im Großen und Ganzen zwei Sektionen kennt, Unternehmensgeschichte und Kontroversen um das Unternehmen dann ist es in der Regel kein ganz so gutes Zeichen.

00:23:09: Also würde ich jetzt mal sagen oder Jan?

00:23:13: Nee, das... Das ist nicht so das beste Zeichen für ein gutes Unternehmen, das würde ich auch sagen.

00:23:19: Ich habe auch gerade mal reingeguckt und ich hab gesehen dass LarnDesk war eine der Vorgänger aus denen er vorgegangen ist Und die gehörten irgendwann zu Intel.

00:23:28: Ja genau, Landesk ich meine mich... Ich hab das auch gelesen und ich konnte es echt nicht hundert Prozent einsortieren.

00:23:33: Hießen nicht die die Netzwerkkarten früher Landesks von Intel?

00:23:36: War das nicht der Netzwerk-Kartenspart oder so was?

00:23:38: Oder war das eine Netzwerkssoftware?

00:23:40: Ich

00:23:41: meine auch dass ich irgendwie mal so ein Landeshirm irgendwo gesehen habe weil's klingelt nicht so genau was es war.

00:23:47: Warte mal jetzt muss sich noch... Achtung wir werden Zeit tracked Landesk, let's client manage software functions for multiple machines on a single computer.

00:24:00: Nee das ist so eine Art Device Management Mdm also nicht MDM-Lösung.

00:24:05: aber so eine so eine Device Management Lösung Ist seit zwei tausendzwei nicht mehr bei Intel gewesen und dann hat es Private Equity eingesammelt oder irgendwann gesagt so dann nehmen wir landesk Und noch ein weiteres Unternehmen.

00:24:18: machen wir daraus Ivanti und Ivanti hat dann irgendwann unter der der Ägide dieses eines private equity Investors ein weiteres Produkt eingekauft und zwar Pals Secure.

00:24:34: Pals secure ist ein VPN, das haben die dann unbenannt in Connect Secure.

00:24:38: ich muss jetzt aufpassen dass ich nicht durcheinander komme mit SecureConnect und ConnectSecure und PalsConnectSecure.

00:24:42: das ist alles so ein bisschen.

00:24:44: diese generischen Namen sind so ein bißchen schwierig für mich.

00:24:47: Das Palssecure kommt ursprünglich von Juniper, Juniper hat ja Naja, nicht das VPN erfunden.

00:24:53: Aber die waren einer der frühen großen Hersteller hatten auch so einen SSL-VPN relativ früh und ich glaube da haben viele Leute einfach auf irgendwelchen Juniper-Routern noch die VPN Funktionen mit freigeschaltet und genutzt.

00:25:06: Und irgendwann hat Juniper sich dann von diesem Palssecure getrennt, es bin aufgemacht und dann ist es über Umwege bei Iwanti gelandet.

00:25:16: Und Pals Secure ist mir noch in Erinnerung weil das Schon unter Evanti, also da hieß es Connect Secure den vollen Zorn der US-Cybersicherheitsbehörde CISA abbekommen hat.

00:25:28: Die haben nämlich eine Abschaltorder für alle US-Bundesbehörden gegeben weil nachweisbar war mindestens drei Abgruppen da ihr Unwesen auch bei US Federal Institutions, also Bundesbehördien getrieben haben.

00:25:43: und dann haben die gesagt so bis ich sehr, sehr kurzer Zeitraum.

00:25:45: Ich meine irgendwie bis Ende des Monats und das war Mitte des jeweiligen Monats muss ich aber nochmal nachschlagen.

00:25:50: Schaltet ihr jetzt bitte alle Ivanti Connect Secure VPNs ab?

00:25:56: Und ansonsten dass es diese CISA-Orders sind binden für US Bundesbehörden.

00:26:04: also die müssen das umsetzen.

00:26:05: und ich stelle wenn dann so ein Admin sagt ne schalte ich nicht ab dann sollte er sich besser entweder warm anziehen oder einen sehr guten Grund haben.

00:26:13: Nicht nur darüber ist mir iwanti als Hersteller in Erinnerung, sondern die sind halt auch hier Dauergast.

00:26:20: Wir hatten letzte eine letzten Folge des eventi Endpoint Management Dings was auch sehr hart sträumt war.

00:26:27: da kam auch die Geschichte mit dem Web Server eben aus dem Feedback her.

00:26:30: es ist übrigens auch ein Zug auf das hieß früher mobile iron dieses dieses End Point Management oder Mobile Device Management und ist also nicht von iwandie selber entwickelt.

00:26:41: und dass is Auch wenn das nicht so ganz explizit in dem Artikel von Blumenberg genannt wird, natürlich eine der Ursachen dieser vielfältigen Probleme.

00:26:48: Wenn du Produkte zukaufst die du nicht selber von der Pieke aufgebaut hast mit deinen eigenen Teams dann kennst du dir den Codebase natürlich nicht so gut wie deine eigene Software kennen würdest, die du komplett vom Scratch auf der grünen Wiese selber gebaut hast.

00:27:01: und dann kaufst du unter Umständen technische Schulden.

00:27:05: Und ich würde sogar noch ein Schritt weitergehen, diejenigen, die die Kaufentscheidung treffen.

00:27:09: Die treffen sich ja vielleicht mit diesem Unternehmen, mit den Geschäftsführern dieses Unternehmens, mit der Management-Ebene und dann sprechen sie darüber welche tolle Kundenbasis ihr haben und was man daraus holen kann und welche Potenziale es da gibt.

00:27:20: Dann wird die optimierte Bilanz des letzten Jahres, weil man weiß ja wenn man verkauft muss, man sich um die Bilanz kümmert, dann wird die Bilance gelesen und dann gibt's da Experten für die Balanzen Indem in dieser Phase mit technischem Sachverstand die Kot-Base studiert und sieht, was für ein Frankenstein aus Beschritten man sich da zusammengelötet hat um den Apache hochzufahren.

00:27:42: Also das ist ja nicht gegenständig der Betrachtung wenn es um so einen Kauf geht.

00:27:47: Man sieht ja nur wie das Ding von außen aussieht.

00:27:50: About that!

00:27:51: Da müssen wir drüber reden.

00:27:54: Das ist nämlich sehr viel lustiger als du es gerade gesagt hast wird gleich ein bisschen eskalieren also... Ich muss es kurz einmal noch mal einleiten, wie dieser Artikel zustande gekommen ist.

00:28:03: Also der Reporter von Bloomberg hat sich mit fünfzehn aktuellen und ehemaligen Mitarbeitern von Ivanti unterhalten.

00:28:10: Er hat sich unterhalten mit ihrmaligen, hauptsächlich ihrmalig, interessanterweise Ivantikunden

00:28:16: u.a.,

00:28:17: von der NASA zum Beispiel, er hat sich jetzt gar nicht Mitarbeiter in der CISA unterhalten und mit weiteren ehemalsigen US-Bundesbeamten die irgendwie im Bereich Cyber Security... fundierte Einschätzung geben können.

00:28:30: Und alle zeichnen ein sehr, sehr düsteres Bild und zwar insbesondere das der Investor also die Private Equity Unternehmen so lenkt, dass eben Schlüsselmitarbeiter gefeuert werden, dass es immer wieder Entlassungsrunden gab, dass der Kostendruck immens ist und dass das dazu führt, dass die Produkte schlechter werden.

00:28:54: Ivanti hat das gegenüber Bloomberg sehr langweilig Dementiert.

00:28:59: ich habe mit der iwanti mit erdeutschen die presse stelle auch schon kontakt gehabt und Die sind alle immer sehr gut darin ein boilerplate statement zu bauen.

00:29:07: und ist boilerplate Statement dann allen irgendwie inzuschmeißen.

00:29:10: aber auf details eingehen kann man nicht so gut.

00:29:14: Und sie sagen gegenüber eventig das hat natürlich alles keinen aus keiner Auswirkung auf die Produktqualität gehabt.

00:29:19: man könnte ja im gegenteil Nichts dafür dass die angreifer alle so unerbittlich sein.

00:29:23: also steht da wirklich relentless nach amerikanischer wort für uner bittlich.

00:29:27: und Sie sind hier alle Die Angräufer seien jetzt alle so highly sophisticated.

00:29:30: Da sind sie aber schon genauso gewesen als die zwanzig-zwanzig dieses polizistikier gekauft haben.

00:29:36: und

00:29:40: Wenn die Angreifer wirklich besser sind ist die security firm können wir zu machen dann lassen was?

00:29:45: Lassen wir es nicht für Verkaufens weiter, weil das geht ja nicht anders.

00:29:50: Und jetzt kommen wir zu dem Punkt.

00:29:53: Ich sage dir gerade dass das Iwanti Connect Secure als Pulse Secure zugekauft wurde.

00:30:00: Es ist also ein Zugauf und vor diesem Zugauf gibt es die sogenannte Due Diligence.

00:30:04: Das ist genau der Prozess zu dem du grade kurz was gesagt hattest wo sich natürlich alle sehr stark auf Geschäftszahlen konzentrieren, du willst ja nichts kaufen was keinen Gewinn macht oder was kein vernünftiges, gültiges und verfolgversprechendes Geschäftsmodell hat.

00:30:21: Aber es gab auch eine technical due diligence.

00:30:24: das kenne ich aus den due diligence Prozessen in denen ich involviert war auch so.

00:30:27: Es gibt dann immer mehrere sogenannte work streams Und das ist dann einmal legal finance und da gibt's auch bei Unternehmen die einen nennenswertetechnische basis haben dass ja fast jedes unternehmen mit unserer branche gibt es auch eine Technical due diligence, wo eben auch drauf geschaut wird.

00:30:42: Welche Synergien gibt es denn?

00:30:44: Also haben die einen technischen Stack der zu dem technischen stack des kaufenden Unternehmens oder des Kaufinteressenten passt.

00:30:51: also sagen wir als Beispiel wie benutzen Teams, die benutzen aber nur Slack das müsste man dann ja sofort irgendwie einstampfen ob er damit immer nicht zwei parallele Lösungen hat.

00:31:00: und die haben nur Linux Server Wir haben nur Windows Server.

00:31:04: Dann müssen wir mal schauen was wir daraus machen.

00:31:06: Und diese Technische due diligence bei einem einem Unternehmen das technische Produkte vertreibt wird natürlich auch auf die Produkte schauen und dann schaut man hoffentlich auch, ob die Produkt Sicherheit.

00:31:17: Und tatsächlich ist es bei Ivanti mit Palssecure passiert und zwar durch den CISO von Ivanti selber.

00:31:24: Den damaligen CISOM muss ich einschränkt sagen der heißt Phil Richards und der gab Bloomberg zu Protokoll er habe sich das Produkt anschauen müssen Und er habe sofort das Management und diejenigen, die eben die Kaufentscheidungen treffen sollten.

00:31:39: Da sind natürlich dann auch Vertreter des Private Equity Unternehmens mit im Raum gewesen gewarnt da könnten sich noch massig unentdeckte Sicherheitslücken verstecken und er hat auch gewarnt dass die das Team von Interpol Secure zwar dreihundert Entwickler hatte, aber nur ungefähr eine Handvoll.

00:31:58: Das muss ich wörtlich zitieren.

00:31:59: also wie vieles wirklich waren.

00:32:01: steht den Mathikel bei Bloomberg nicht?

00:32:03: Eine Handvoll Security Engineers?

00:32:05: und dass es bei einem Produkt dessen Kerne ja schon immer irgendwie Security-und Sicherheitsrelevante Bereiche im Unternehmen berührt weil dann VPN dir einfach eine Brücke aus dem Internet in deinem Unternehmensnetzwerk schlagen soll ist das natürlich schon erstmal ein schlechtes Zeichen.

00:32:19: Und genau das ist diese due diligence.

00:32:23: wörtlich übersetzt das ist die notwendige sorgfalt bevor man ein produkt kauft, die auch jeder kunde irgendwie an den tag legen muss.

00:32:30: Man muss ja schauen Ist das produkt sicher kann dass sein zweck erfüllen macht es einen soliden eindruck?

00:32:36: sind die bananen braun und fleckig oder sind die noch grün?

00:32:39: also diese due diligence hat also für richards seiner eigenen aussage nachgemacht hat das eventi management gewarnt und die sochten wohl mit sinn auf mir Das wird schon nicht so schlimm werden.

00:32:53: Wir machen das trotzdem, wir wollen dieses Produkt haben.

00:32:55: Das ist super für unser Produkt-Portfolio und da können wir total tolle Gewinnversprechen mit realisieren.

00:33:03: und hat den Laden

00:33:04: gekauft.".

00:33:10: Sie haben sich also einen ganzen Stapel technische Schulden für teuer Geld ins Unternehmen geholt.

00:33:15: Danach haben sie sich dann die Codebase noch ein bisschen genauer angeguckt.

00:33:18: und was haben sie rausgefunden?

00:33:20: viel legacy code.

00:33:21: der war schon zum kaufzeitpunkt zwei tausend zwanzig jahre alt.

00:33:24: es gab allerlei allerlei sicherheitsprobleme und generell war die kot qualität jetzt auch nicht so geil wohl.

00:33:30: Und wenn man dann so ein unternehmen ist man hat gerade für viel geld ein produkt eingekauft dass man ja auch weiter verkaufen möchte das man weiter entwickeln möchte von dem man sich verspricht dass es, des eigenunternehmen stärker und also umsatzstärker macht was mache ich als sein unternehmen wenn ich merke da Verstecken sich Probleme drin, ich müsste das generell überholen.

00:33:51: Was würdest du dann in diesem Fall machen Jan?

00:33:55: Möglicherweise würde ich Experten einstellen die da vielleicht mal Zeit rein investieren und es besser zu machen.

00:34:01: Ja oder man konnte auch sogar Geld in den externen Experten so durch einen Code audit oder durch externe Softwareentwicklung oder sowas stecken.

00:34:09: aber Da hat sich Ivan T anders entschieden.

00:34:12: Die haben mir nicht genaues Gegenteil gemacht.

00:34:14: Die haben am Tag nach Vollzug des Kauf angefangen, Leute in dem Team von Connect Secure rauszuwerfen.

00:34:22: Und zwar direkt mal siebzig Leute also ungefähr das waren ungefähr elf Prozent der Gesamtbelegschaften des Sympathies Secure-Team die durften gehen.

00:34:32: darunter war dann natürlich auch irgendwelche Senior Engineers und Management und so was und da war sicherlich auch sowas wie Marketing dabei.

00:34:37: Das waren jetzt nicht nur Entwickler aber die haben erstmal direkt angefangen Leute herauszuschmeißen.

00:34:42: Das ging dann auch jahrelang in mehr Runden so weiter bis im Grunde Das gesamte Kern-Team von Pulse Secure, das dann schon Connect Secure hieß.

00:34:52: Weg war so und die Stellen, die frei wurden, wurden entweder nicht nachbesetzt oder die wanderten zu Softwareentwicklern Offshore also wohl laut Bloomberg hauptsächlich nach Indien.

00:35:09: Das ist jetzt erstmal schon weiß ich nicht.

00:35:13: wäre hätte ich jetzt anders gemacht Hätte ich das Geld.

00:35:15: Man muss natürlich auch mal sagen, wenn wir pur teilen sowas auf einer grünen Wiese wo wir die finanziellen Entscheidungen dafür nicht treffen müssen und wenn man tatsächlich dann irgendwann vor dieser Brücke steht und man merkt man hat das Geld schlicht nicht Dann ist das natürlich alles nicht so einfach wie es hier skizzieren.

00:35:31: dennoch Wir sind halt auch nicht die Investoren hinter Ivanti.

00:35:35: Deswegen haben wir da vielleicht eine andere Position.

00:35:37: der.

00:35:38: Die Investoren hinter Ivandi hatten nach der Corona-Zeit, die ja durch diesen Boom von Homeoffice und den Boom von Remote Working auch Unternehmen, die eine gute oder zumindest eine funktionierende oder zumindest existierende VPN-Lösung hatten.

00:35:53: Unheimlich Geld in die Kassen gespült hat.

00:35:55: Dieser Boom war dann irgendwann vorbei und gleichzeitig änderte sich auch die Zinslage auf dem weltweiten Finanzmarkt.

00:36:05: für so ein Private Equity Investor ein Problem.

00:36:07: Denn die Idee hinter Private Equity ist, du schaust was du für Unternehmen kaufen kannst zu einem möglichst günstigen Kaufpreis um sie dann irgendwann nach ein paar Jahren erstarkt oder mit anderen deiner Portfolio-Unternehmen fusioniert für Gewinn weiterzuverkaufen.

00:36:23: also bei Ivanti war das oder bei Palssecure war das sowieso dass denn der Verkauf an Ivanti Zum doppelten Preis passiert es, wie der Einkauf vorher von dem vorigen Investor.

00:36:36: Das heißt die haben ihr Geld im Grunde verdoppelt.

00:36:38: in ein paar Jahren und das ist natürlich für einen Private Equity-Investor genau die Idee darüber erwirtschaften sie Gewinn, der dann wiederum ihren Investoren also den kanadischen Lehrern zugutekommt, die mit ihre Pension sichern.

00:36:50: Und da ist es wichtig dass ich mir auch möglichst günstig Geld geschaffen kann.

00:36:54: denn so ein Private Equity Vorhand ja nicht zwei Milliarden für so ein Unternehmenskauf auf dem Bankkonto, sondern muss sich dafür auch wiederum Geld leihen.

00:37:02: Und wenn die Zinsen dann plötzlich massiv ansteigen um zwei oder drei Prozent bringt das so ein Private Equity Investor auch gerne mal ein bisschen Schwierigkeiten.

00:37:11: und dass es dann im Jahr zwanzig passiert eben durch diesen Slump also dieses dieser Rückgang der Nachfrage nach den Ivante Produkten aber auch durch die Sinswende ist die Schere im Grunde auseinandergeklafft zwischen Umsatz und Schulden.

00:37:27: Und dann hat der Investor die Daumenschrauben weiter angedreht, noch mehr Leute auch in der VORPN-Abteilung bei Iwanti entlassen.

00:37:33: In diesem Zeitraum hübschen es bis zum Jahr zwanzig und zweitausend ich glaube vierundzwanzig.

00:37:38: Ich habe hier eine Notiz um noch zweiundzehn stehen, aber ich glaube das war vierundzwundzig im Artikel gemeint.

00:37:42: Es gab alleine drei Kampagnen gegen IWANTI VORPN von chinesischen Abs, picknicks auf den den an veranstaltet haben jahrelang da drin waren unter neben geback dort haben und das kulminierte zwarteinundzwanzig schon durch diesen großen angriff auf ivanti und insgesamt hundert zwanzig kunden von ivanti.

00:38:01: auch die interne infrastruktur von ivandi war gewohnt.

00:38:04: das wurde wohl auch von den von den eingreifen von langer hand vorher geplant und ivanti hat dann zwarteinswanzig Besserung gelobt und hat gesagt wir machen jetzt den summer off security.

00:38:17: kennst du sowas wenn unternehmen jahrelang für ihre unsicherheit kritisiert werden.

00:38:21: Und dann sagen so jetzt machen wir es aber besser und jetzt haben wir mal eine richtig gute initiative.

00:38:25: hast vielleicht noch ein anderes beispiel dazu.

00:38:27: also mir fällt eins ein

00:38:31: Es gab da so ein kleines garagen startup aus redmond microsoft heißen die heißt ich glaube die gibt's immer noch microsoft Die hatten mal die secure future initiative.

00:38:43: Ja, da hat Satya Dadella ganz tief in die Versprechungskiste gegriffen und hat gesagt auch wir, die sind nämlich auch massiv angezählt worden von der US-Regierung.

00:38:52: Da weil sie so ein paar Cloudkeys verloren haben... Auch wir machen jetzt sicherer und auch dieses Secure Future in den Tiffa Gegenstand der intensiven Betrachtung unter anderem durch uns bei Heise Security Und am Ende haben wir glaube ich auch kommentiert.

00:39:06: Ich weiß nicht ob im Newsletter oder auf Heise Online.

00:39:09: Da ist nicht viel bei rumgekommen.

00:39:11: Es ist wirklich sang und klanglos in der Versenkung verschwunden.

00:39:14: dieses Projekt habe ich so ein bisschen das Gefühl.

00:39:16: Ich erinnere mich noch an die Ankündigung, da ist glaube ich genau gar nichts draus

00:39:20: passiert.".

00:39:22: Wir brauchen vielleicht auf der letzten Seite der CT unter Lizenz vom Stern diese Rubrik.

00:39:27: Was Macht Eigentlich?

00:39:28: Das gab es früher nicht, ob es das noch gibt.

00:39:29: Früher gab's das immer im Stern.

00:39:31: So was macht eigentlich Konrad Adenauer.

00:39:34: Gut dass die Frage ist leicht zu beantworten.

00:39:35: aber wenn man jetzt mal fragen würde, was macht die Secure Future Initiative dann weiß Von diesem Marketing Zombie überhaupt noch irgendwelche irgendwelchen Reste findet könnte mir vorstellen, dass sie sogar die Webseiten inzwischen abgebaut haben.

00:39:49: Aber es gibt zumindest noch beim Microsoft Trust Center eine eine Landeseite und das zweite Google Suchergebnis wenn ich Secure Future Initiative suche ist ein heise Artikel.

00:40:00: Ich lese dir mal nur die Headline vor.

00:40:02: Microsoft's Secure future Initiative Bullshit hat Jürgen Schmidt von Heise Security einen Kommentar zugeschrieben.

00:40:11: Alles nur Security-Theater war.

00:40:13: so ein bisschen seine Summe daraus.

00:40:17: Und das ist bei Ivanti nicht anders gewesen, die haben diesen Summer auf Security gemacht.

00:40:20: aber das war.

00:40:21: wie gesagt, wir schreiten jetzt im Jahr und ich kriege immer noch jede Woche auf Telegram eine Nachricht von Zettbund Hallo da gibt es mal wieder was bei Ivante.

00:40:33: Was dabei rumkam, war auf Produktsicherheitsseite nicht viel Aber immerhin haben sie ihren CISO rausgeschmissen shoot the messenger perfektioniert und auch der ceo, der diese summer of security geschichte announced hat.

00:40:48: ich glaube das war im juni der war Im selben jahr am jahresende.

00:40:52: Auch nicht mehr an bord bei eventi also auch da Naja dass sie haben es dann eher über personalien geregelt.

00:41:00: das thema den für richards haben sie vom vielleicht auch deswegen gefeuert weil er Davon überzeugt war man müsse Pulse Secure, wenn man es als Connect Secure selber vermarkten und verkaufen will angrund entweder komplett neu schreiben oder das ganze abstoßen.

00:41:16: Also Dive-Westing.

00:41:17: Das heißt entweder wir verkaufen das Ding weiter an irgendwen der es haben will oder wir stampfen's komplett ein.

00:41:24: Das würde dann aber bedeuten dass das Unternehmen den Kaufpreis im Grunde abschreiben muss und sagen muss okay dem müssen wir als Verlust gelten machen weil das Produkt einfach nicht mehr nutzbar war und das Silmern natürlich nicht weil das auch für den Investor eine sehr schlechte Nachricht wäre und den Investor dann in Schwierigkeiten bricht.

00:41:42: Also, die These ist bei Bloomberg sobald Private Equity-Unternehmen eine Security Firma übernehmen oder da eine Mehrheitsbeteiligung haben, also einer der sie dann mitreden können.

00:41:54: was die Unternehmensführung angeht wird es das scheiße!

00:41:56: Also diese klassische End-Shortification und das ist klar, das habe ich vorhin auch gesagt dieses Geschäftsmodell fordert Entschädtifikation ja förmlich heraus durch diese Idee ein Unternehmen auf Effizienz zu trimmen, auf Gewinn zu trimme und möglichst auch so Sachen die Geld kosten aber nicht direkt wegs Einbringen wie Forschungsentwicklung oder ein Security Team.

00:42:18: Oder ein Team das irgendwie mit Compliance oder sowas was macht die rauszuschmeißen und dann irgendwann den ganzen Laden verschlankt und auf maximale Effizience getrimmt weiterzuverkaufen.

00:42:32: Das haben sie übrigens auch mit Citrix gemacht.

00:42:33: Citrix ist auch in der Hand eines Private Equity Investors und Siehe da, auch Citrix

00:42:39: hat

00:42:40: Probleme an allen Fronten mit der Produktqualität.

00:42:44: aber ich denke auch Citricks würde uns in die Feder diktieren dass das natürlich überhaupt nichts mit dem Investment zu tun hat sondern dass es das mit den Bösenbösenangreifern zu tun hatte einfach heilisch sophisticated sind.

00:42:57: wenn jemand heilig Sophisticated ist dann müssen wir einfach die Waffen strecken hilft nichts.

00:43:02: Obwohl ich bei Citrix, ich kenne diese Firma noch nicht lange genug.

00:43:06: Ich weiß nicht in welcher Zeit die mal gute Produkte gebaut haben aber das können vielleicht Leute sagen, dass die Citrix in den ersten Stunden kannten.

00:43:16: also Den gibt es ja schon relativ lange den Laden und ich kenn Citrix eigentlich.

00:43:23: Also für mich ist das im Kopf abgespeichert gar nicht was so ein VPN angeht sondern so remote desktop Sachen.

00:43:30: irgendwie also so im Grunde dass du so sowas wie rdp in schön oder etwas besser oder etwas schneller.

00:43:40: Ich habe keine Ahnung, was das Unterscheidungskriterium war.

00:43:42: hast du dann so thin-clines damit betreiben kannst?

00:43:44: Das ist das assoziere ich mit citrix.

00:43:45: aber

00:43:46: es gab eine Zeit in der Geschichte da weil die Citrix remote access Lösung besser als remote desktop protokoll.

00:43:53: mittlerweile ist das glaube ich auch nicht mehr so.

00:43:56: insgesamt muss man ja sagen dieser sind kleinen markt ist nicht mehr So groß wie damals.

00:44:03: Was aber schön für Homelabber und Selfroster ist, weil diese ganzen kleinen mini PCs und so Zeugs, die kriegt man ja relativ günstig hinterher geschmissen.

00:44:12: Und dann kann man da irgendwie in Linux drauf schmeißen oder umständen und kann das noch mal für irgendwas Produktives nutzen wenn es mal ausrangiert ist irgendwo.

00:44:22: So, der weiteres Problem Und das skizziert auch Blumenberg, und das sehe ich auch genauso.

00:44:31: Die Hersteller von so Security Appliance ist die bauen sich natürlich die Verträge mit ihren Endkunden also den Unternehmen diese Dinger in ihr Netzwerk einbauen der Regel so dass sie überhaupt keine Haftung übernehmen müssen für Angriffe für Exploits Für Sicherheitslücken und das im Grunde so Produkthaftung da so weit wie möglich ausgeklammert wird.

00:44:51: Auch deswegen meiner, meinem naiven Rechtsverständnis zur Folge so möglich.

00:44:56: Weil Produkthaftung eines Unternehmens gegenüber einem Unternehmen erheblich weniger durchreguliert ist als Produkthaftungen eines Unternehmenes gegenüber Endverbraucher.

00:45:08: Also bei Endverbauchern da kannst du halt nicht sagen der tut mir leid wenn du einen Stromstoff von deinem Toaster kriegst dann übernehme ich keine Haftung dafür und muss dann auch etwas weitere Produkthaftungs Versprechen abgeben und dann auch umsetzen oder einhalten.

00:45:24: Und ich glaube bei Unternehmen kann es ziemlich viel raus dividieren, weil du dann sagst hier wir haben Vertragsfreiheit und wenn ich in meinen Vertrag reinschreibe dass sich selbst dann keine Haftung übernehme, wenn ein defekter Kondensator in meiner Security Appliance einen Rechenzentrum ansetzt, dann kann ich das halt machen.

00:45:44: Das erhöht nicht gerade die Motivation eines solchen Unternehmens, Security wirklich ganz vorne anzustellen und Produkt Sicherheit zu einem Thema zu machen.

00:45:53: Dass sie viel Geld investieren und vielleicht mehr Geld investiert als Marketing oder irgendwelche Features da anzustecken das sieht man ja auch bei diesen Appliance ist da kommen wir irgendwelchen neuen lustigen Features dran und diese Features sind halt unter der Haube.

00:46:05: ein paar Bash Skrips und CGI so verhalten sich dann auch.

00:46:12: Aber genau da ist ja der Unterschied zwischen Security-Produkten und anderen Produkten, die diesen Weg der Entschuldigung einschlagen.

00:46:21: Bei Security wollen die Kunden oft gar nicht neue Features, sie wollen einfach Stabilitätreaktionen auf den neuen Heidi Sophisticated Angreifer.

00:46:29: Das ist was sehr reaktives und man ist eigentlich mit dem Feature Set oft sehr zufrieden.

00:46:34: aber einfach nur Stabilitet kann man schlecht bepreisen.

00:46:36: deswegen... Ja, das ist einfach.

00:46:39: Security-Produkte eignen sich nach meinem Gefühl überhaupt nicht für diese Art von Optimierung eines Unternehmens.

00:46:46: Wenn ich irgendwie eine Notizapp kaufe und die inch edifizieren will dann denke ich mir neue Features mit AI aus und verkaufe die für monatliche Abos.

00:46:54: bei Security es genau das gar nicht dass womit ich mehr Umsatz generieren kann.

00:47:01: Witzig, dass du sagst weil ich glaube genau so etwas mit KI-Features habe ich neulich mal einen gestern oder heute bei einem Passwort Manager gelesen, der seine Preise erhöht hat.

00:47:15: Ich weiß nicht mehr genau welcher es ist.

00:47:16: ich glaube das ist einer der drei großen bekannten Passwort-Manager die man eben auch wo man dann so ein Cloudkonto buchen kann und er hat seine preise erhöhen unter anderem mit einer KI gesteuerten Benennung der Passwort Einträger, also die kriegen dann irgendwie so ein Titel und da steht dann eben nicht www.heise.de sondern Da wird an KI gesteuert irgendein Titel eingesetzt und das ist dann eines der Argumente warum denn die Preise steigen sollen?

00:47:48: Das ist quasi das Lehrbuch um aus einem Produkt was ich einmalig verkaufe einen Abo Modell zu machen ist mittlerweile irgendwas mit KI dran löten weil dann kann Ich rechtfertigen dass sich dafür im Monat Geld nehmen.

00:48:00: Genau.

00:48:02: Also Ich finde es auch sehr schwierig.

00:48:07: Das ist natürlich für Hersteller auch ein Problem, wenn alle anderen einen Schrott verkaufen und dann da einfach immer wieder im Jahrestag neue Aufkleber dran kleben und sagen jetzt mit AI, jetzt mit Thread Intelligence, jetzt eine Ahnung Remote Sock und was ich alle für Keywords... Dann kannst du ja selber nicht damit punkten dass du sagst bei uns aber stabil Kostet dasselbe.

00:48:34: Vielleicht müssen wir auch mal irgendwann die Preise erhöhen, was sich unsere Kostenstruktur verändert hat aber bei uns ist es wenigstens stabil.

00:48:39: das ist einfach leider nicht sexy und das ist für so Einkaufsabteilung nicht unheimlich motivierend die Produkte einzukaufen.

00:48:47: und in vielen Unternehmen sind eben die Sicherheitsverantwortlichen gar nicht einmal unbedingt die letztendliche Kaufentscheidungen treffen insbesondere nicht wenn irgendwas ausgeschrieben werden muss.

00:48:56: aber das ist eine ganz andere Geschichte.

00:48:58: also Es ist echt ein Problem, wenn Security-Unternehmen gerade solche, die so Appliance machen in diese Fitscheritis abdriften und immer wieder neue Features für monatliches Geld an Sachen dran stricken.

00:49:14: Die dann auch einfach neuer Angriffsfläche bieten.

00:49:17: Stellt euch mal vor du hast so eine Security-Appliance von einem der großen Hersteller und dann sagen die okay wir haben jetzt im Webinterface einen Chatbot und MCPServer und du kannst den Cloudbot Skill daran nagern.

00:49:28: was würdest du denn dazu sagen?

00:49:31: Kann ich das Gerät auch vom Internet trennen oder ist es vielleicht bei einer Feuerwoll gar nicht möglich?

00:49:36: Ja, weiß ich auch nicht was ich dann sagen würde.

00:49:38: Vielleicht überlege ich mir dann ein Produkt zu nehmen was dass alles nicht hat.

00:49:44: Vielleicht ist das das neue feature.

00:49:47: Ich melde übrigens hier mit vorläufigen Patentschutz für die Ideen auf einer Security Appliance einen MCP Server zu installieren und ein Openclaw Skill dafür zu schreiben.

00:49:56: Wenn also irgendjemand das zufällig jetzt implementieren sollte in den nächsten Wochen, dann erwarte ich Royalties und zwar in sieben bis achtstelliger Höhe.

00:50:03: kann sich jemand die schon mal hinter die Ohren schreiben?

00:50:05: Ja wir driften ein bisschen.

00:50:07: habe ich versuchbar zum Skript zurückzukommen.

00:50:10: In diesem Blumenberg-Artikel, um den es ja jetzt geht hat sich der Reporter nicht nur ihr meilige Mitarbeiter von IVANT hier als Kronzeugen hergenommen oder eben Leute von der NASA oder andere US Behörden sondern auch den Alexandre Dullenois.

00:50:29: Ich hoffe ich spreche das richtig aus und habe ihn gefragt aber er hat vielleicht nicht geantwortet wie ich seinen Namen richtig ausspreche von Circle Das ist im Mund das Luxemburger Zert und der Alexandre, der hat den Bloomberg-Leuten in die Feder diktiert als das Jahr zwanzig dieser große Angriff war.

00:50:46: Für uns war das Problem einfach.

00:50:48: Wir hatten Kunden in Luxemburg, die das Produkt nutzten Und wir sahen dass das Unternehmen in einem desolaten Zustand war.

00:50:56: Die Leute fragten nach Informationen und wir beschlossen ihnen zu sagen diese Firma funktioniert nicht richtig.

00:51:01: suchen sie sich eine andere.

00:51:03: Das war also das Statement des Luxemburger zerd.

00:51:06: ich habe dann Noch ein bisschen mit ihm über Mastodon gesprochen und er hat... Ich habe ihn gefragt, wie kriege ich denn raus?

00:51:19: oder was ist die Metrik für einen Security-Unternehmen?

00:51:24: Dass es ein gutes Unternehmen ist und dass sich dem vertrauen kann.

00:51:27: Hast du da eine Idee, wonach würdest du gehen?

00:51:29: Also wenn du sagen musst, du müsstest dich jetzt wirklich für so ne Security Appliance Lösung irgendeiner Art entscheiden für Heise für irgendein anderes Unternehmen, hättest du so einen Punkt auf den du dann guckst und schon mal direkt zu sagen also die sind für mich raus.

00:51:45: Dieser Hersteller ist für mich heraus?

00:51:50: Wenn ich... Also ganz schlechtes Zeichen ist wenn ich keinen richtigen Ansprechpartner finde, also wenn ich einfach keinen Kontakt habe der mir das Produkt persönlich vorstellt, das find' ich schonmal schwierig.

00:52:05: Ich weiß nicht ob ich wirklich auf die Unternehmensstruktur gucken würde.

00:52:11: Wahrscheinlich muss man das tun, aber ich weiß nicht ob das so.

00:52:16: Gerade zum Beispiel, wem gehört das Unternehmen?

00:52:18: Ich weiß nicht, ob das der erste Blick wäre bis vor dieser Podcastaufnahme die den ich gemacht hätte.

00:52:24: Da bin ich auch deiner Meinung denn es gibt auch nicht unheimlich viele Alternativen.

00:52:29: natürlich gibt es immer noch Security-Unternehmen in Eigentümer Hand sind oder so also in Gründerhand.

00:52:36: Aber die beiden anderen großen Formen der Unternehmens Das Unternehmen-Beteiligungsstruktur sind entweder eben sowas wie Private Equity.

00:52:47: Also das Unternehmen ist auf irgendeine Form in der Hand weniger großer Investoren oder es ist ein börsennotiertes Unternehmen, also es ist Public und dann sind die Aktionäre ja im Grunde diejenigen denen das Unternehmen gehört.

00:53:01: aber dann diktiert im Grund auch immer wieder die Furcht vor den nächsten Quartalszahlen, vor dem Absturz des Börsenkurses So ein bisschen die Politik, also ob es das unbedingt besser macht.

00:53:13: Das wage ich auch arg zu bezweifeln.

00:53:15: Ich glaube auch tatsächlich dass es schwierig ist und da das ist so'n bisschen die eines der Fazits dieses Artikels schaut euch, dass die Ownership des Unternehmens annehmen, die in die Risiko-Bewertung.

00:53:27: aber das ist wirklich leichter gesagt als getan und am Ende kommst du vielleicht einfach mit einer Liste raus wo alles inakzeptabel ist und das ist dann vielleicht auch nicht so zielführend weil einen Tod musste sterben.

00:53:39: Alexander hat es ein bisschen, hat's ein bisschen prägnanter formuliert und das ist vielleicht eine Sache der man sich eher nähern kann.

00:53:45: Er sagte mir für mich zeichnet sich einen guter Anbieter durch seine Offenheit und die Geschwindigkeit aus mit der er seine Kunden zum Handeln befähigt.

00:53:54: Und das finde ich, das find' ich ne total charmante Herangehensweise.

00:53:58: Das bedeutet wenn ich auf die Security-Seite von so einem Anbiedergucker auf seine Security-Advisories und darauf wie er kommuniziert mit seinen Kunden sagt er ihnen frühzeitig Achtung Wir haben hier was gekriegt.

00:54:11: Wir können euch noch keine Details nennen, aber nehmt mal eure Geräte vom Netz oder installiert mal den folgenden Hotfix oder macht Proz.

00:54:18: Dann ist das ja eine Sache die sehr schnell zum Handeln befähigt ohne Angreifern einen unfähigen Vorteil zu geben.

00:54:30: Aber auch nicht leicht.

00:54:31: also Was soll ich denn tun?

00:54:33: Soll ich mir die Security Die Liste an hinweisen durchlesen von verschiedenen Unternehmen der letzten Jahre und das versuchen abzuschätzen.

00:54:41: Da müsste ich auch immer noch wissen, wann wurde ein Fehler gemeldet?

00:54:44: Soll ich alle Berichterstattungen zu dem Unternehmen lesen?

00:54:46: die kann auch in eine oder andere Richtung gefärbt sein.

00:54:49: also Ich finde es ist eine ziemlich schwere Recherche anhand Also irgendwie zu erkennen wie gut in Unternehmen auf Probleme reagiert.

00:54:58: Vielleicht vielleicht ist es um eine positiv Liste zu machen schwierig aber ich glaube man kann sehr schnell Oder vergleichsweise schnell zum Beispiel durch Recherche bei uns auf heise.de oder wenn man Mitglied bei Heises Security Post in dieser Security Community eine Negativliste machen, wo man dann zumindest schon mal ein oder zwei eher so dunke graue Schafe aussortiert.

00:55:19: Zum Beispiel einen Hersteller der Sicherheitslücken die ihm von der Zero Day Initiative gemeldet werden.

00:55:26: Neunzig Tage lang nicht fixt und dann der Zero day Initiative sagt wir schaffen das nicht, könnt ihr uns nicht ein halbes Jahr Zeit geben?

00:55:33: Und dann, als die Zero Day Initiative sagten wir machen wir nicht.

00:55:35: Unsere Regeln besagen neunzig Tage.

00:55:36: ihr wusstet das vorher.

00:55:38: Wenn ihr das nicht fixt, dann disclosen wir das.

00:55:40: auch wenn es zu diesem Zeitpunkt noch Zero Days sind Dann diese Zero day Initiative auch noch schämen will von wegen Die haben ja unverantwortlich zero days auf die Welt losgelassen und Das ist ja kein verantwortlicher Umgang mit Sicherheitslücken.

00:55:51: So ein Hersteller würde ich doch sehr sehr kritisch betrachten.

00:55:53: Möchtest du mal raten welcher hersteller das letztes Jahr gemacht hat?

00:55:55: Gibt

00:55:56: es so einen?

00:55:56: Ich weiß gar nicht.

00:55:57: Haben wir über den heut schon gesprochen?

00:56:00: Ja, ich denke wir sprechen gerade über ihn.

00:56:02: Also genau das ist passiert bei Ivanti.

00:56:04: Wir haben darüber geschrieben.

00:56:06: es gab einen Disput zwischen Ivanti und der Zero Day Initiative Und das war auch mein letzter Kontakt mit der Presse Stelle beziehungsweise dem deutschen PR Büro und da wurde mir folgendes Daten von denen zugeschickt.

00:56:16: Ich habe das auch im heise Security Pro Newsletter schon abgedruckt weil ich es einfach in den interessanteren Kontrapunkt finde.

00:56:23: Es liegt im besten Interesse unserer Kunden, eine Schwachstelle die nicht aktiv ausgenutzt wird erst offen zu legen nachdem sie vollständig behoben wurde.

00:56:29: Wenn Schwachstellen zu früh veröffentlicht werden setzt dieses unsere Kunden einem Risiko aus.

00:56:35: das sehe ich fundamental anders.

00:56:37: also man hätte man muss ja nicht sagen hier ist der proof of concept seht mal zu dass ihr eure appliance dicht macht sondern man kann sagen macht bitte port acht sich dicht nehmt den in euer management netz nehmen die dinger vom netz.

00:56:47: und was wir sehen immer wieder wirklich immer wieder ob das Citrixe sind oder Fortinet, Ivanti oder Cisco oder Juniper oder so.

00:56:56: Sind einfach Geräte deren A-Management Interface ans Internet angeschlossen ist, weil ein Admin zu faul war da einen VPN um rumzuknödeln und Angst hatte dass er sich irgendwie selber aus seinem Managementinterface aussperrt.

00:57:07: und natürlich SSL VPNs die jetzt internet angeschlossen seien müssen, weil du dir ja aus dem Internet ins Firmnetz rein willst wo die Leute dann rankommen sollen.

00:57:14: Jetzt sagen ihr müsst jetzt mal für zwei Tage oder für eine Woche Dieses L vpn abschalten oder ihr müsst folgenden hotfix drum rum flanschen.

00:57:25: Oder wir geben euch ein weiß ich nicht, wir geben euchen doch ein Container mit einem Proxy DNA davor schaltet oder sowas.

00:57:31: das halte ich jetzt nicht für einen riesen Thema.

00:57:33: aber die leute einfach neunzig Tage lang im unklaren zu lassen für muss es mal gerade nachgucken.

00:57:39: ich glaube das war ein gutes Dutzend lücken genau drei zehn zero days und dann Die Leute dritt neunzig Tage im unklaren zu lassen danach noch zu sagen, wir brauchen noch mehr Zeit und dann auch noch den Überbringer der Nachricht zu schämen.

00:57:51: Iwanti und alle anderen Unternehmen bekommen diese Lücken von Zero Day von der Zero-Day Initiative meines Wissens und das habe ich mir letztes Jahr noch ausführlich von einem Vertreter der Zero Day Initiative erklären lassen kostenlos.

00:58:03: die zero day initiative verdient ihr Geld damit dass Trend Micro die das betreiben die Sicherheitslücken, die sie aufkaufen in ihre Alertung mit einbauen.

00:58:12: Und das also Kunden von Trend Micro diese Sicherheits Lücken sehr schnell sehen und in ihren Fettfeed einbaut oder in ihre Risikoanalyse einbauern können.

00:58:20: Die Hersteller bekommen dann die Sicherheizlücken kostenlos frei Haus geliefert.

00:58:24: Und Trend Micro zahlt da siebenstellige Beträge für diesen Sicherheits lücken.

00:58:29: Die machen ja diesen.

00:58:29: Pronto-Onwetbewerb im Mai ist wieder einer wo Sie den Leuten, die vor Ort auf einem Laptop eine Sicherheitslücke aktiv ausnutzen Dinger zu roten, dann kriegen die den Laptop und die bekommen eine Prämion.

00:58:40: Die ist teilweise irgendwie sechsstellig und insgesamt werden da siebenstellige Beträge ausgeschüttet.

00:58:44: Also das so bitte nicht!

00:58:47: Und ich glaube über so ne Negativliste kann man schon sagen, die also in der Vergangenheit versucht haben Sicherheitslücken zu verbuddeln, Sicherheitslücken nicht richtig gefixt haben... Auch da gibt es Beispiele, dass Sicherheitsglücken gefiXT wurden und dann hießes oh er fixt es aber nicht vollständig.

00:59:02: Kann ich mich nachvollziehen?

00:59:05: Auch da der Hersteller, dem das passiert ist unter anderem der über den wir gerade reden.

00:59:09: Dann hat man vielleicht relativ schnell eine Liste von Herstellern wo man sich denkt ah deren Informationspolitik die passt mir nicht so richtig und die Unternehmensstruktur, die Ownership und die Reise wo das Unternehmen hingeht mit in die Risikobewertung zu übernehmen.

00:59:24: Das ist zugegenehmermaßen aus meiner Sicht sogar noch schwieriger Recherche weil dann musst du ja nicht nur die Unternehmen in so einer Art Negativliste aufnehmen sondern auch Besonders heuschreckenartige Investoren.

00:59:34: und dann fängst du irgendwann an so eine Investorendatenbank zu führen.

00:59:36: Und dann bist du irgendwann Bloomberg selber, also das ist glaube ich für einen Mittelständler der einfach nur eine neue Feierwohl braucht nicht zu leisten.

00:59:46: Nein, da sind wir irgendwie bei der Frage.

00:59:47: es gibt keine gemeinwohlorientierten Security-Wenders.

00:59:51: natürlich nicht weil Geschäftsmodell und Gemeinwohlorientierung das passt nicht zusammen.

00:59:57: aber da ist man doch vielleicht wirklich einfach bei der frage ob man nicht auf Open Source Lösungen setzt und gar nicht auf den Appliance Weil die gemeinwohlorientierte Lösung, die existiert.

01:00:07: Die heißt einfach Open Source und wenn man... Am Ende werden ja auch Open Source Produkte in diesen Appliances wie zum Beispiel eine Patchy Server reingelötet.

01:00:17: dann kann ich auch eine Patchyserver nutzen

01:00:22: Ist aber auch ne Sache.

01:00:22: also Ich habe auch immer mal wieder Zuschriften gekriegt oder Western und ich haben die gekriecht wo es dann hieß Ja das ist ja schön dass sie auf diese Appliance ist immer drauf empfehlt doch mal was anderes.

01:00:33: Was sollen wir denn machen?

01:00:34: Einen Tod müssen wir sterben und ich verstehe diesen Druck, dass man irgendwas haben muss und das einfach nicht alles selber mit NF-Tables bauen kann.

01:00:43: Das kann ich total nachvollziehen und ich habe auch dann an vielen Stellen so ein bisschen eine gewisse Hilflosigkeit weil ich auch nicht so richtig guten Gewissens irgendetwas empfehlen kann oder möchte, was auf einer Bastellösung hinausläuft.

01:00:57: wenn ich das jetzt mal ein bisschen despektierlich dir deine Appliance ganz doof gesagt selber baust.

01:01:04: Deine Security-Pliance, dann verlagerst du ja das Risiko nicht vom Produkt sondern das Risico ist dann dass der Mitarbeiter, der das gebaut hat irgendwann weg ist oder dass seine Doku missed ist oder was er halt bei seinem selbstentwickelten Netzwerksteck irgendwie missgebaut hat.

01:01:18: Ja aber Ist

01:01:19: eine

01:01:20: SPF Sense oder OpenSense sind da keine Bastelösung zum Beispiel?

01:01:25: Das stimmt!

01:01:26: Ich weiß auf der anderen Seite nicht, wie gut die Skalieren.

01:01:29: Aber ich denke das was kann man schon nehmen und dass wäre auch wenn ich einen kleinen Mittelständler jetzt versorgen müsste, wäre das auch meine erste Wahl?

01:01:36: Auch schon alleine aus Kostengründen!

01:01:38: Das ist ja eine ganz andere Kostensstruktur.

01:01:40: selbst wenn du da irgendwie Management dazu kaufst, was garantiert die mit so einem Dual Leistungsmodell anbieten.

01:01:49: also das halte ich schon für sinnvoll sich von so großen Herstellern zu verabschieden, das machen ja auch ganz viele und da kommen wir jetzt auch gleich nochmal zu.

01:01:58: Also zum Beispiel bei der NASA ist das Zeug rausgeflogen also die Wandi und bei vielen oder wenn nicht sogar allen US-Bundesbehörden sind sie inzwischen auch nicht mehr an Bord und dass es natürlich für deren Umsatz auch nicht unbedingt förderlich.

01:02:14: und was vielleicht noch ein Punkt ist dem man sich mal angucken kann, wenn man mit einem Vertriebler redet Esselt mir doch mal, wie viel Geld habt ihr?

01:02:25: oder wie viele Leute hattet ihr im Entwicklerteam?

01:02:29: Oder im Produktteam oder den Product Security Team im Jahr.

01:02:33: Wieviel habt ihr jetzt noch einmal zu schauen?

01:02:35: haben die da leute weg rationalisiert?

01:02:36: bitte aber wirklich keine Auskunft geben was es ist wirklich so ein.

01:02:40: Wie du schon gesagt hast eine schwierige Recherche.

01:02:43: Aber ich glaube weiterhin PF Sense OpenSense Wire Guard ist einfach ein sehr sehr funktionales VPN Protocol.

01:02:49: Ich brauche vielleicht gar keine VPN-Pleins, als mit dem Ständler.

01:02:53: vielleicht nehme ich einfach WireGuard.

01:02:54: So wie es

01:02:55: kommt

01:02:56: von ProfisInvicket.

01:02:58: Genau und auch wenn ich ein kleiner Mittelständler bin und wirklich nur so einen Büro habe, sagen wir mal, ich bin Architekturbüro und ich brauche einen VPN weil natürlich bin nicht viel auf einer Baustelle, ich muss trotzdem an die Pläne schalte ich WireGard auf der Fritzbox an und dann hat sich diese Sache.

01:03:12: Also da musst du ja für alles irgendwie eine Plains hinstellen, bin ich total bei dir Ding machen will, wo man dann auch irgendwie Webseiten tunnelt oder so habe ich sehr gute Erfahrungen mit Pangolin gemacht.

01:03:25: Das ist ein Modell das ist ich glaube nicht mehr formal Open Source sondern Source Available.

01:03:30: die haben eben auch so einen Enterprise Lizenz wo man Geld einwirft und dann kriegt man auch so HA Features und sowas und da kannst du innerhalb von Minuten dir so ein Zero Trust Tunnel in deinem Firmnetz bauen hast dann auch Clients, mit denen du dann interne Ressourcen abbilden kannst.

01:03:46: Das ist eigentlich ganz schick und es gibt Alternativen.

01:03:49: aber es ist natürlich einfacher.

01:03:51: man lädt sich drei Vertriebler ein und dann nimmt man das Produkt wo das Abendessen am Leckersten war so dieser eher vertriebsbasierte klassische IT Einkaufsansatz.

01:04:02: Aber also um das jetzt nochmal ganz deutlich zu sagen und dann vielleicht auch zum Ende zu kommen wenn Leute, die mal bei der NASA waren.

01:04:09: Wenn die CISA das Luxemburger Zert und der fucking ehemalige CISO des Unternehmens dir sagen besser Finger weg!

01:04:17: Das ist alles nicht so clean.

01:04:18: dieses Frau PN Wie viel mehr Warnung braucht man denn dann noch?

01:04:25: Okay also eine habe ich noch.

01:04:27: Trotz kontinuierlicher Überwachung und Kontaktaufnahme konnten wir keine wesentliche Verbesserung der Sicherheitslage feststellen.

01:04:32: daher stellt die weiteren Nutzung ein inakzeptables Risiko für unseren Betrieb Die Datenintegrität und das Vertrauen unserer Kunden da.

01:04:39: Das ist ein Zitat aus einem Memo, das von Entity Data Deutschland also einen großen IT-Dienstleister letztes Jahr an seine Kunden und Partner rausging mit dem sie die Auslistung von Ivanti Produkten begründet haben.

01:04:51: Da habe ich eine Meldung drüber geschrieben, hab sowohl Ivanti als auch Entity data um eine Stellungnahme gebeten.

01:04:56: beide haben gesagt Sie hätten miteinander über den Vorgang stillschweigen vereinbart und würden sich dazu nicht äußern aber beide ausdrücklich nicht dementiert dass dieses Zitat und dieses Memo das mit der Vorlage authentisch sei also das zur situation in deutschland.

01:05:13: Ja es ist so ein bisschen, leider gibt's kein klares Fazit.

01:05:16: ich würde tatsächlich sagen viele sind sehr gut beraten wenn sie sich auf bei open source umschauen pf sense opn sens sich war ja gar Sachen angucken sowas wie pangolin und dann gerne wenn man es gebaut und benutzt hat auch was zurückgeben und nicht nur Open Source als kostenlose alternative zu dem kommerziellen tool betrachten sondern gerne auch irgendwie pull requests machen, sich selber an der Entwicklung beteiligen oder wenn es Spenden gibt.

01:05:42: Oder so ein Dual License Modell dass man support kommerziellen Support vom Herrschte von dem von den Open Source Team kaufen kann dann auch gerne da Geld einschmeißen denn So wird sonst wird Open Source langfristig nicht überleben und dann gibt's nur noch die kommerzielle Hersteller.

01:05:56: Ich habe den Dunberg Artikel in die Show Notes gepackt Und ich hab auch den heise Artikel In die show notes gepackts.

01:06:01: zum Thema Entity Data glaube ich und das zu diesem zu diesem Thema mit Ivante.

01:06:08: Und dass sie in finanziellen Schwierigkeiten sind, also in objektiven finanzieellen Schwierigkeiten hat Bloomberg auch noch erwähnt.

01:06:14: aber das ist jetzt hier sozusagen nur noch die Kirche auf der Torte.

01:06:20: Jetzt habe ich meine Dipletten alle aufgegessen.

01:06:24: Es ist eine Stunde rum und wir haben immer noch nicht über PKI gesprochen.

01:06:27: Wollen wir das mal machen?

01:06:28: Das könnten wir mal machen!

01:06:30: Aber schnell... Also, wir haben einen Stapel PKI Sachen.

01:06:33: Also ein paar Drollige die wirklich nur kurz abhandeln möchte damit wir sie gesagt haben weil sonst kommt ein Leser und erzählt sie uns beziehungsweise ein Silvester kommt und erzählt sich mir Und das sind alles so'n bisschen Follow-ups zu bekannten Themen und die möchte ich einmal kurz ab handeln damit alle auf dem aktuell stand sind und wir beim nächsten mal dann da wenn sich da wieder was tut einsteigen können.

01:06:53: also Das erste ist ein Blog-Artikel von einem Herrn namens Andrew Ayer zum Thema IP-Zertifikate.

01:07:00: Die IP- Zertifikaten hatten wir in vergangenen Folgen schon, weil Let's Encrypt jetzt welche ausstellt.

01:07:05: D.h.,

01:07:05: du kannst einen TLS Zertifikat bekommen nicht für eine Domain sondern für eine IP Adresse und das allerdings nur maximal sechs Tage lang wenn ich mich richtig erinnere und hast dann HTTPS doppel.doppelslash Natürlich nicht für eine IP Adresse in deinem privaten Netzwerk oder für hundertundzwanzig Null eins dieses du nicht ausgestellt bekommen.

01:07:26: Endo Ayer ist ein Ausgewiesener PKI Fachmann, das ist unter anderem der Autor von SSL-Mate.

01:07:32: Das ist so ein Schweizer Taschenmesser zur Zertifikatsverwaltung.

01:07:36: und dass SSL Mate... Ich habe mein Thema vergessen, merke ich gerade aber das mache ich gleich.

01:07:43: Dass SSL Mates nur eines der Tools die er geschrieben hat.

01:07:46: also er kennt sich mit dem Thema wirklich gut aus Und er hat auch meinung und die tut in seinem bloggrund wie man das in den zwei tausend dann so gemacht hat bis vor irgendwelche weiß ich nicht anderen plattformen dafür gab.

01:07:59: Und man das auf tiktok erzählt hat und er hatte auch eine meine zu diesen ip zertifikaten und es sagt im wesentlichen und dass ist auch die headline seines artikels die sind meistens überflüssig eigentlich eher schädlich weil, aktuelle Methode der Zertifikatsvergabe und der Kontrolle, dass jemand ein Zertifikat erhalten darf.

01:08:20: Und die dynamische Natur von IP-Adressen seiner Ansicht nach einfach nicht zusammenpassen.

01:08:26: Er macht da eine Rechnung auf, das ein gültiges Zertikat für eine IP Adresse derzeit bedeuten kann.

01:08:34: Jemand dieser IP-Addresse in den letzten siebenhundertsechsundneunzig Tagen mal unter seiner Kontrolle hatte kann ein Zertifikat für diese IP-Adresse bekommen.

01:08:43: Und bei IP-Addressen, wir kommen glaube ich zum Thema IP-ADress und IP-Netze gleich nochmal ausführlicher, gibt es einfach auch unheimliche Dynamik?

01:08:51: Und ist das kein Markt wo du irgendwas zwei Jahre hast also gerade bei dynamischen IP Adressen in Deil abnetzen die wechseln alle vierundzwanzig Stunden und da kann nicht dieser Argumentation schon nachvollziehen oder?

01:09:04: Ja, das ist dynamisch.

01:09:05: P-Adressen sind, glaube ich, die meisten oder sind einfach viele P-Addressen.

01:09:09: Ich habe das von Anfang an mich gefragt.

01:09:11: wie das... Wofür diese Zertifikate in dem Kontext sinnvoll sind wenn sie regelmäßig wechseln?

01:09:17: Genau und Let's Encrypt begrenzt in den Zeitraum dieser Zertifikatsgültigkeit auf sechs Tage aber tatsächlich bei den anderen CAs sind wir gerade im Übergang von einer maximalen Laufzeit von threehundert achtundneunzig Tagen auf zweihundert Tage.

01:09:31: Wir rechnen jetzt mal mit den zweihundert Tagen weiter Und vor diesen zweihundert Tagen hast du auch noch zweihundert Tage Zeit einen Nachweis zu erbringen, dass du die IP-Adresse kontrollierst.

01:09:40: Das wird zweihundertage lang.

01:09:41: kannst du das weiter nutzen.

01:09:44: Das ist dieser Verreplication Reuse Window heißt das.

01:09:47: Die beiden weit dauern kannst du addieren und dann heißt es, dass jemand denn in den letzten vierhunderttagen eine IP-Addresse kontrolliert hat ein gültiges Zertifikat dafür bekommen kann, die IP Adresse dann aber irgendwann wieder abgegeben hat.

01:09:59: und jetzt kriegst du diese IP Addresse und jemand völlig anderes hat dafür ein Zertifikat.

01:10:04: Ich kann mir dafür tatsächlich relativ wenig, hat übrigens gerade mein Handy gesummt.

01:10:08: Das war die tägliche Nachricht von Zert Bund dass es Sicherheitslücken in Open Cloud gibt.

01:10:13: Die kriege ich inzwischen jeden Tag weil sie jeden Tag davor waren.

01:10:18: Ich kann mich nicht so richtig ein Missbrauchsszenario dafür vorstellen aber das ist einfach aus regulaturischer und Vergabesicht haltig für wenig sinnvoll.

01:10:24: und da bin ich auch bei Android und habe mit Sylvester schon darüber diskutiert.

01:10:29: Es gibt einfach wenig Anwendungswecke für so ein IP-Adressen Zertifikat.

01:10:32: Wofür brauche ich das?

01:10:35: Wo habe ich einen Szenario, dass ich nur eine IP-Addresse hab?

01:10:37: Eine öffentliche IP-ADresse wohlgemerkt keine interne sondern eine öffentlicher IP-addresse und ich brauch dafür ein CA signiertes Zertifikat verstehe ich nicht.

01:10:45: Hast du da irgendeine Idee?

01:10:47: Nein!

01:10:48: Mir fällt wirklich gar keiner ein weil entweder Ich bin Privatkunde und habe in der Regel eine dynamische IP die regelmäßig wechselt dann ist es gar nicht mal so praktisch Oder ich bin Firmkunde, dann habe ich vielleicht eine statische IP bei meinem Anbieter.

01:11:01: Dann hab' ich aber in der Regel auch ne Domain.

01:11:02: also... Die Kombination aus Ich Bin-Business Kunde mit einer Business Leitung und Statischer IP die ich bestellt habe Und ich habe keine Domain weiß ich nicht, die kenne ich einfach nicht!

01:11:12: Ich kann ja mit meiner Domain immer noch beliebig drei Millionen Subdomains da drunter bauen.

01:11:16: das ist ja überhaupt kein Problem.

01:11:18: Ich kann hier zum Beispiel auch Eine IP Adresse Punkt meineDomain.de nehmen.

01:11:24: Das kann ich mir alles bauen, von daher sehe ich da absolut keine richtige Anwendung außer halt irgendwie so Testfälle.

01:11:33: Ganz kurze Tests aber... Da muss schon irgendwie viel zusammenkommen.

01:11:37: Kurze Teste und bin so faul dass sich das DNS nicht aufmachen möchte.

01:11:41: oder ich bin organisatorisch in einer Struktur gefangen der DNS-Admin in eine andere Abteilung arbeitet und doof ist und ich möchte mit dem nicht kommunizieren arbeiten Weiß ich nicht.

01:11:52: Selbst dann habe ich doch eine eigene Domain, die ich dann irgendwie deploye oder ich nehme dünn DNS oder sowas.

01:11:56: Also selbst auch das erschließt sich mir nicht.

01:11:58: und wie kurz kann denn ein Test sein wenn er zu kurz ist um einen DNS Eintracht zu machen aber lang genug ist um eine IP Adresse zu haben und dann ein Acme also ein Zertifikat zu brauchen?

01:12:08: Das ist für mich auch vollkommen schleiherhaft.

01:12:11: Und dass es auch Endo Air total schleihaft und die Leute diese IP-Adress-Zertifikate Propagieren die sagen dann eben genau sowas nicht sagen so man kann tls benutzen ohne einen ohne bevor ein dns-name existiert aber wenn Nicht negatives also in x domain gecached ist in irgendeinem resolver dann dauert eine subdomain anzulegen inklusive weltweiter dns propagation keine ahnung In der größten ordnung von paar minuten Und ich sehe es sofort.

01:12:40: Wenn ich was testen muss, habe auch immer noch eine ITC Hosts und kann da Sachen eintragen.

01:12:45: wenn ich jetzt ganz schnell sofort irgendwie neuen Docker Container testet.

01:12:49: Warum schließe ich den ans Internet an?

01:12:51: Es gibt diese Dienstleister im Internet die diese Resolving einfach machen.

01:12:56: Es gibt ja so IP-Adressepunkt, irgendeine Domainpunkt TED und die lösen das immer auf die IP Adresse auf.

01:13:02: Ich suche mal einen raus von diesen Dienstleisten.

01:13:04: Das ist niedrigschwellig ohne Anmeldung

01:13:08: Ja, und selbst dann die meisten dynamischen IP-Adressen haben ja so ein DNS schon.

01:13:14: Irgendwas.t.

01:13:15: minusdialin.net war früher von der Telekom immer der Reverse-DNS und der Forward-Dns für jede IP-Addresse in deren Dialabruhe.

01:13:24: Und dieses einzige Szenario ist wirklich DNS over TLS oder DNS over HTTPS also für DNS Resolver.

01:13:32: Also wenn ich einen DNS Resolve anbiete der DOT machen soll Dann kann ich mir vorstellen, dass man die für die IP Adress in Zertifikat braucht.

01:13:39: Aber zum Beispiel DNS.Google macht DNS über HTTPS genau diese Domain dns.google.

01:13:46: So natürlich musste dich dann erst mal am eigenen Shopf aus dem Wunsch ziehen um die zu resolven.

01:13:50: aber diese Sachen sind auch alle lösbar glaube ich ohne so eine komische Krücke zu haben.

01:13:54: okay also insgesamt ist Andrew Ayer kein Fan von diesen Zertifikaten und ich glaube wenn nicht Zum Beispiel Self-Hoster, HomeLabber oder so was bin.

01:14:06: Dann habe ich sowas wie Pangolin oder ich hab hier Talescale und dann brauche ich diese ganzen Sachen sowieso nicht.

01:14:11: Und wenn ich in Unternehmen bin und mal eben schnell etwas testen will und dafür eine öffentliche IP Adresse verbratet und da irgendeine Teststellung drauf mache, dann lade ich auch einig das Heidi Sophisticated Chinesische Abförmlich in mein Netzwerk ein bei sowas.

01:14:23: Insofern sehe ich da wirklich wenig use cases.

01:14:27: gut.

01:14:29: Wir bleiben im weiteren Sinne bei DNS.

01:14:32: Eigentlich ist alles wieder irgendwas mit DNS hier, diese PKI Sachen.

01:14:35: Es gibt einen kleinen Fortschritt zum Thema dns.

01:14:38: persisto leins.

01:14:39: das ist der neue Acme Das neue Acmi Verfahren um Zertifikats Anträge per DNS zu bestätigen aber nicht indem man jedes mal ein neuen Eintracht setzt sondern Ein eintrag im DNS resistiert und er bindet dann diese Domain Und die Möglichkeit, Zertifikate für diese Domain zu vergeben an einen Acme Account also zum Beispiel ein Konto bei Let's Encrypt.

01:15:03: Jeder der Let's Encrypt-Zertifikaten für sich selber nutzt oder für sein Unternehmen hat so eine Account und für mich war das jetzt bis jetzt kein Account den ich in irgendeiner Weise weiß nicht wertvoll finde und besonders schütze.

01:15:14: aber das ändert sich dann mit DNS Persist Null Eins denn dann brauchst du immer diesen Account dieses Konto nehmen um die Zertifikade per DNS Persistent Null Eins beantragen zu können oder verlängern zu können aber im hauptsächlich beantragend zu können und das verlagert so ein bisschen die risikobetrachtung.

01:15:32: Das war bis jetzt immer, wer den DNS einer Domain kontrolliert der kann Zertifikate dafür beantragt.

01:15:39: Und DNS ist in der Regel also der Zugang zum DNS Server auf der für ein Unternehmen zuständig ist es in der regel einigermaßen abgesichert.

01:15:47: Ist das neue diese Verlagung?

01:15:48: eben derjenige, der den ACMI Account kontrolliert kann Zertifikate dafür beantragen denn Der DNS Eintracht ist ja persistent und das halte ich.

01:15:56: Ich weiß nicht ob ich das für eine gute Idee halt ich habe mir noch keine Meinung gebildet.

01:15:58: hast du da irgendwie?

01:16:02: Ne mir geht's da genauso.

01:16:03: ich hab auch Nicht gewusst schrecklich Beachtet dass ich vielleicht diverse Acme Accounts habe.

01:16:10: Ich hätte mich damit bisher nicht beschäftigt.

01:16:13: ich hoffe ich stehe auch ein bisschen davon aus dass das dann gut umgesetzt wird, ob es da zwei Faktor-Ordentifizierung gibt.

01:16:20: Aber ich weiß noch nicht, ob mir das gefällt.

01:16:23: Komfortabel ist es vielleicht?

01:16:25: Ob's mir gefällt?

01:16:26: Weiß' ich nicht!

01:16:28: Vielleicht... Es hat ja auch dazu geführt, dieses Eiterverfahren mit der DNS Validierung hat hier auch dazugeführt, dass vielleicht mehr von den DNS Anbietern gerade von diesen Hosting-Läden AP-Zugriffe ermöglicht haben, um sowas zu automatisieren.

01:16:44: Also es hat auch durchaus der Bewegung von so einer ganz schäbigen Weboberfläche hinzu irgendetwas automatisierbarem gebracht was man auch anderweitig nutzen könnte.

01:16:52: plötzlich gab's auch mehr Möglichkeiten das über Enzybil zum Beispiel zu steuern.

01:16:57: Das war eigentlich eine positive Entwicklung Hat aus meiner Sicht ganz gut funktioniert.

01:17:03: Weiß ich noch nicht ob ich jetzt groß auf Helm meines Acme Accounts werde.

01:17:06: vielleicht kann ich mich dann da anmelden und auch Statistiken sehen und so Muster ich mal reingucken, was ein Acme Account kann.

01:17:15: Ich glaube jedes Mal wenn du Let's Encrypt irgendwo ausführst und der dich dann fragt hier an die welche E-Mail Adresse soll die Bestätigungsmails gehen, dann wird er mich da unten neuer Account angelegt Aber sie haben noch

01:17:24: die E-mails abgeschafft.

01:17:25: also die Benachrichtigungsemails gibt es doch nicht mehr nach Ablauf

01:17:29: Ja, diese Benachrichtigungs-E-Mails gibt's nicht mehr.

01:17:32: Aber ich glaube wenn irgendwas mit deinem Zertifikat passiert und das revoked werden muss oder so... Also ich glaube dahinter steht immer dieser Acme Account aber bin auch nicht tief genug drin.

01:17:41: Das ist für mich auch ein Fire in Forget Ding gewesen.

01:17:44: Ist vielleicht ein bisschen die Kehrseite der Medaille dass sich hier immer die Automation so hoch hänge.

01:17:48: Dass ich mich dann auch um diese Sachen wirklich nur einmal alle drei Jahre kümmern muss bedingt auch, dass ich mir dann nur wenn es wirklich schief geht mal Gedanken drüber mache.

01:17:56: was hängt da eigentlich für den Konto dahinter?

01:18:01: Wir gucken uns das ein bisschen genauer an, sobald man es testen kann.

01:18:04: Das soll noch in diesem Quartal passieren also Q-One-Zweißen-Sächsen-Zwanzig und in Produktion soll das sogar schon im nächsten Quartale gehen.

01:18:11: Also Q-Zwei-Zwoißenzechsen-Sechsenszwanzig Obwohl der darunter liegende Standard bei der ETF noch im Draftstatus ist.

01:18:18: aber da schreibt Letzengrypt in ihrem Blog wir glauben nicht dass dann noch viel passieren wird.

01:18:22: Insofern wenn das stabiler draft ist Dann setzen wir das auch um obwohl's im Drafstatus weiß ich nicht warum sie da jetzt auf die Tube drücken.

01:18:30: Wir gucken uns das sicherlich an, sobald wir irgendwas technisch in der Hand haben was wir mal ausprobieren können.

01:18:37: So und jetzt wir kommen wieder zu dem Thema was du gerade versehentlich schon kurz angeteasert hast nämlich Reverse DNS.

01:18:44: Erklär doch nochmal ganz kurz eben was ist eigentlich Reverse-DNS umgekehrter DNS?

01:18:48: Ja fangen vielleicht mit normalem DNS an.

01:18:51: ich möchte eine Domain auflösen example.org.

01:18:55: dann frage ich ihm im DNS nach Welche IP-Adresse oder welche Einträge sind denn für dieser Domain gesetzt?

01:19:03: Und dann bekomme ich eine Antwort in Form einer IP Adresse.

01:19:07: Es gibt aber auch manchmal den anderen Fall, dass sich eine IP-Addresse vorliegen habe und wissen möchte wo die denn herkommt und wo die dazugehört.

01:19:15: Dann gibt es die Möglichkeit das DNS andersrum zu fragen nämlich welchen Namen hat der Inhaber diese IP-ADresse dafür vergeben?

01:19:27: Inform einer Domain also andersrum.

01:19:29: Und das funktioniert.

01:19:31: dafür muss ich einen sogenannten PTA, also ein Pointer Eintrag setzen der diesen Rückweg beschreibt und da kann Ich das habe ich noch mal nachgelesen Kann ich theoretisch mehrere eintragen.

01:19:42: üblich ist aber genau Einpointereintrag.

01:19:45: Sonst wird das irgendwie verwirren und einige kommen damit auch nicht ganz klar und Dafür Muss ich mich dann eben entscheiden wen ich da ein irgendwelchen eintrage ich ersetze Und es gibt irgendwie eine konkrete Anwendung, die mir einfällt, wo das Ganze gemacht wird.

01:20:00: Daher kannte ich es zuerst.

01:20:02: Das ist wenn ich ein Mailserver betreibe der auch raus senden möchte dann muss sich diesem Mailserver, der kann ja hundertzwanzig Domains verwalten, kann auch Millionen Domain verwerten einen Mailsaver, der Google Mailsaber wird das genau tun.

01:20:15: aber er muss sich nach außen, wenn er anfängt, E-Mail zu versenden mit einem Namen melden nicht Einung der hundertzwanzig, sondern mit genau einem also smtp.example.org zum Beispiel.

01:20:26: und dann meldet er sich beim bei der Verbindung verbindungsaufbau mit genau diesem Namen hallo so heiße ich.

01:20:33: Und dann ist es übliche spam abwehrpraxis dass man überprüft ob der reverse dns eintracht zu diesem namen passt.

01:20:40: Also fragt der empfangene mail server das dns ab und sagt Ist das wirklich smt p.example.org der da Aufgelöst wird?

01:20:48: oder steht da ein zwei drei vier fünf Punkt dünn ip.telecom.de?

01:20:52: und deswegen muss ich jetzt mel akmin einmal diesen pta eintrag setzen.

01:20:58: daher kennen das vielleicht einige noch.

01:21:00: Und der grund dafür ist dass man so relativ leicht eben mail server ausfiltern kann die auf dynamischen IP adressen also in dial-in netzen laufen.

01:21:08: das sind nämlich häufig irgendwelche geohnten pc's oder irgendwelchen anderen spammer, die einfach von ihrem DSL zu hause spamm ausschicken.

01:21:16: Und da habe ich in aller Regel nicht die Möglichkeit diesen Reverse-DNS Eintracht zu setzen, sondern der wird von meinem Internetprovider kontrolliert.

01:21:23: Wenn ich dann also sage mit mail.example.com aber der Reverse DNS sagt du bist eigentlich dünn, hundert, sieben, zwanzig, null, eins.

01:21:29: Punkt t dialin.net.

01:21:30: passt das nicht zusammen und dann kann man es als Indiz nehmen dass das möglicherweise ein Spammer ist und dass es insofern ein so starkes Indiz hat die meisten Mail Server e-mail bei denen der reverse und der forward DNS Nicht zusammenpassen, schon mal einfach direkt ablehnen.

01:21:45: Also den kannst du dann da nicht reden.

01:21:47: Aber ganz wichtig das ist beim Thema Sfemmeabwehr wichtig.

01:21:50: ich kann trotzdem sagen halloich bin smtp.example.org aber ich verschicke jetzt eine E-Mail von xampel.com.

01:21:56: Das ist durchaus möglich.

01:21:58: es muss eben nur dieser dieser Eintrag einmal geprüft werden.

01:22:01: Ich kann aber trotzdem von einem Master bei verschiedenen anderen Domäns versenden.

01:22:05: Das ist also nicht das hundertprozentige Mittel um irgendwie spoofing zu verhindern aber es ist ein ganz gutes entdienst beim als ingener e-mail server smtp reverse aufzulösen.

01:22:17: So was wollen wir jetzt eigentlich damit?

01:22:19: das ist ja hier nicht der email server einrichten podcast diese reverse dns einträge wie werden die denn technisch realisiert?

01:22:27: also wo werden die eingetragen?

01:22:31: Ursprünglich hatte man mal eine idee gab's noch eigenem befähig Eikferi hieß da glaube ich den hat man verworfen.

01:22:37: Es gibt jetzt eine andere lösung, die sich etablierte seit Jahrzehnten.

01:22:41: Und dafür gibt es eine Domain, die heißt IN-ADDR.APA.

01:22:48: Also die Top Level Domain ist Punkt APA, also eine top Level Domaine der ersten Stunde und davor vor dieser IN minus ADDR.APPA setze ich in verkehrter Reihenfolge die Blöcke der IP Adresse und das ist dann der Eintrag.

01:23:08: Als Beispiel haben wir hier mal ein Beispiel.

01:23:11: Hundert, sieben, zwanzig, neun oder eins?

01:23:14: Hundert

01:23:15: und siebenundzwanzig null

01:23:16: oder eins müsste ich also rückwärts schreiben in Eins Punkt Null, Punkt Nüll, Punkt Hundert sieben und zwanzzig, Punkt IN Minus Adre, Punkt APA für eine IPvIV-Adresse.

01:23:28: Und es gibt noch eine Top Level Domain oder eine Domain IPVI.APA Für die IPV VI-Adressen.

01:23:37: Genau.

01:23:37: und wenn ich jetzt zum Beispiel vom reib da zudem kommen wir ja auch gleich nochmal kurz einen IP adress bereich bekomme oder von meinem proval oder so dann kann Ich oft auch habe ich auch oft auch die möglichkeit mit meinem eigenen dns server Einen ein teil dieser domain also eine subdomain zu von in adder punkt aba Zu übernehmen unter der reversion es selber zu setzen.

01:24:01: und da das an diesen tuppeln der ip adresse abgeschnitten ist, ist das in IPvIV mit einigem Aufwand verbunden.

01:24:08: Wenn man nicht einen Slashslash-Slash-Firnzwanzig bekommt an ehemaliges Class-C-Netz sondern irgendwie was größeres oder kleineres.

01:24:15: aber ich kann dann im Grunde die den Reverse DNS selber setzen wenn sich Unternehmen in diesem bestimmten Adressbereich hat und durch diese Hierarchie die einfach die Reverse-DNS Domain genauso hat wie normale Domains kann ich also auch für Netze die DNS Verantwortung weitergeben und das wird auch so gemacht.

01:24:36: Das heißt, wenn ich also ein Netz vom Right bekomme dann kann ich auch habe ich auch die Möglichkeit, den reverse DNS selber zu setzen und dann kann Ich eben auch Beweisen dass nicht nur der forward dns mail.example.com auf meiner IP adresse zeigt sondern auch der reverse DNS oder man richten webinterface oder API oder so So.

01:24:53: eigentlich ist es also eigentlich ip six punkt.

01:24:56: aber wir bleiben mal bei dem weil es ein bisschen kürzer ist und sich leichter aussprechen lässt eine normale Domain wie alle anderen auch.

01:25:02: und wenn das eine normale, normale Domaine ist dann könnte man da ja auch eigentlich ein Web Server drauf betreiben oder?

01:25:08: Das klingt technisch möglich.

01:25:12: Und wenn man da einen Web Server darauf betreiben kann, dann könnte dafür ja auch ein Zertifikat vielleicht

01:25:18: letzt im Crypto oder andere darauf auflösen können.

01:25:20: die Acme Challenge läuft kriege ich dafür wahrscheinlich auch ein zertifikat?

01:25:25: Genau!

01:25:27: Wenn ich das kann Gibt es auch immer einen, der das auch macht.

01:25:30: Und tatsächlich gab es ein Menschen ... Ich glaube er kommt aus einem polnischen Hackerspace.

01:25:37: Der hat unter einer IP-Adresse also unter eins... ich lese es mal schnell vor.

01:25:51: Ich glaube die war hauptsächlich für Shitposting gedacht oder so zumindest stand da irgendwie sowas in dem Profil Und hatte dafür einen Zertifikat, ich glaube von Letz Encrypt.

01:26:00: Das hat jetzt aber ein Ende.

01:26:01: Denn die CAB hat eine Machtwort gesprochen für diesen absoluten Mainstream Case das jemand auf seiner Reverse DNS Domain einen Webserver betreibt und den Zertifikat bekommt.

01:26:12: Da haben sie gesagt ab dem fünftzehnten Dritten dürfen Shell Nordnarsch also sollen CAs keine Zertfikate mehr für Domainnahmen ausstellen die mit einem IP Reverse so suffix enden.

01:26:24: also ip six punkt aber oder in adder punkt aber steht den aktuellen baseline requirement sektion vier zwei zwei.

01:26:33: Das sage ich nur auch manno da ist mein schöner esch käss ja kaputt.

01:26:36: Ich kann mir keinen Auch hier wieder kein case vorstellen, wo das sinnvoll ist.

01:26:41: Aber da hat sich jemand quasi seiner ip zertifikate durch die hinter tür gebaut sozusagen

01:26:46: Ja war witzig und technisch machbar.

01:26:49: also hat man gemacht

01:26:52: Gut, wir bleiben beim Thema IP-Adressen und wir bleiben bei dem Thema Netze und so Zeugs.

01:26:59: Weil jetzt kommt eine etwas längere Geschichte die du glaube ich am besten erzählen kannst weil du auch den Artikel dazu geschrieben hast und dich da unheimlich tief eingegraben hast.

01:27:10: Ich habe mir ein bisschen mitgearbeitet und hab da ein bisschen was beigesteuert aber vielleicht willst du mal erzählen worum es im Großen und Ganzen geht und wie Du vor allem auch auf die Geschichte gekommen bist.

01:27:20: Ja ich fange mal irgendwo mittendrin an, weil die Geschichte ist ein riesiges Netzwerk.

01:27:24: Es geht auch um einen riesigen Netzwerk, nämlich das Internet also ein Netz aus Netzen und ich fang einfach mal irgendwo drin an.

01:27:31: und jetzt tun wir mal so als wärst du Administrator eines Mittelständlers und du hättest jetzt eine Firewall Appliance installiert von irgendeinem Premium Hersteller deines Vertrauens.

01:27:42: Und du scrollst da jetzt so die Logs durch, weil das machst Du immer regelmäßig am Freitag Bevor du ein Feierabend gehst.

01:27:50: und du siehst schon seit einigen Wochen, da gibt es ein paar Netze.

01:27:53: Die scheinen irgendwie nicht ganz sauber zu sein.

01:27:56: aus denen kommen dauerhaft so Wörterbuchattacken oder versuchen gezielt in deinen VPN einzudringen.

01:28:02: Und das sieht man ganz gut in den Logs weil es ist keiner deiner Mitarbeiter die versuchen verschiedene Nutzannahmen durchzuprobieren.

01:28:09: was machst Du jetzt wenn du einen Netz gefunden hast?

01:28:13: Ich gucke erstmal, ob es der Netzblock von Heiseverlag in Hannover ist.

01:28:18: Und wenn's der nicht isst... Ist das nicht?

01:28:22: Dann schaue ich tatsächlich über dieses Tool-Hoes in der Hoistatenbank zu wem dieses IP-Netz gehört.

01:28:28: Da steht dann ja gerne mal irgendwie ein Kontakt drin, der auch verpflichtend einen sogenannten Abusekontakt hat.

01:28:35: Also eine E-Mailadressin die mich wenden kann um missbräuchliche Nutzung zu melden und Ich schaue mir auch an, über welchen Provider das geroutet wird und in welches AS dieser Treffig gehört.

01:28:48: Also in welchem autonomes System?

01:28:50: Tja was sind eigentlich autonome Systeme?

01:28:52: Das sind ja die Bausteine des Internets!

01:28:56: Okay jetzt das war der Stallvorlage.

01:28:58: Jetzt muss ich leider Lehrer Bömmel zitieren.

01:29:00: Herrn Professor Böhml da stelle mal uns Mayans dumm und sagen NAS ist eine große runde schwarze Netz Und er hat zwei Löscher.

01:29:11: Da kommt der Internet rein und das andere Loch, da sind sogar mehrere Löcher.

01:29:15: Das kriege ich mal

01:29:16: später.".

01:29:19: Okay du hast also ein AS, das ist erstmal ein Netzwerk was irgendeiner Entität gehört eine Privatperson einer Firma in der Universität die sagen wir haben hier ein ausreichend großes Netz Und wir hätten gerne hierfür eine Nummer nämlich eine AS-Nummer.

01:29:40: Und die bekomme ich, indem mich an meine regionale Internet Registry wende.

01:29:46: An die RER das ist für Europa das Reib NCC.

01:29:50: Die sitzen glaube ich in Belgien.

01:29:56: In den Niederlanden?

01:29:57: Okay es ist also eine Non-Profit, die für Europa zuständig ist um diese Ressource AS Nummern zu vergeben.

01:30:05: und dann sage ich, ich hätte gerne eine solche AS Nummer und dann kriege ich diese Nummer Mit dieser Nummer und einem IP-Adressenbereich der mit zugewiesen wird, den kann ich auch beim Reib besorgen.

01:30:16: Aktuell kriege ich keine IPvIVs mehr weil die vergeben sind aber wenn ich so ein IPVIV-Netz habe... ...und einen AS kann ich darüber Routing einrichten.

01:30:29: Ja nehmt mir den Satz zu Ende!

01:30:31: So dringend ist es nicht.

01:30:32: Mit dem Border Gateway Protokoll BGP.

01:30:34: also ich brauche dann einen Router Und ich kann sagen Dieser IP Bereich der mir jetzt gehört zu meinem AS gehört, der geht über folgenden Wegen ins Internet.

01:30:45: Da muss ich also eine Vereinbarung mit jemandem unterschreiben, der den Verkehr durch seinen Netz durchleitet, der wiederum den Verkehr in ein anderes Netz in Richtung weltweites Internet

01:30:56: durchleidet.".

01:30:58: Das sind die Voraussetzungen um mit meinem eigenen IP-Netz und einem eigenen ASN Verkehr ins Internet zu kriegen?

01:31:06: Genau, rein von den Zahlen her damit man sich das vorstellen kann es gibt ungefähr so in der Größe zwischen hundertzwanzig und hundertdreißigtausend AS, also autonome Systeme derzeit im Internet.

01:31:18: Und die können wirklich von einer Person mit ihrem Home Lab und einem kleinen IP Bereich den sie mal irgendwo geschossen hat bis hin zu der deutschen Telekom rangieren.

01:31:28: Die Deutsche Telekom hat einen AS das ist als dreiunddreisig zwanzig.

01:31:31: Sie haben auch noch weitere vier verschiedene mobilen Probeide aber das Haupt-IS der Telekom ist die dreiund dreißigzwanziger.

01:31:37: Das werde ich Wenn du mich nachts um drei aufwächst und mich bittest ein paar IS Nummern runter zu beten, dann ist die Dreiunddreißig zwanzig garantiert dabei.

01:31:44: Hundertvierundsiebzig habe ich noch das ist Cogent Und Ich konnte auch mal dass von Telia auswendig weil ich mit denen irgendwie Treffig ausgetauscht hab.

01:31:54: immer wenn es Ärger gab mit irgendwelchen Kunden Die sagten mein Game Server läuft langsam oder sowas Dann musste man immer in als Dreihund dreißigzwanzig schauen.

01:32:05: Das ganze das ganze Routing.

01:32:06: ist es dann sinnvoll, wenn ich irgendwie zwei Partner habe.

01:32:10: Von denen aus Ich aus meinem Netz ins Internet komme?

01:32:13: erst Wenn das der Fall ist Dann kann mich auch verkehrt durch meinen netz Durchfließen von der einen in die andere richtung.

01:32:19: erst dann vermasche ich dass internet Enger und erst dann habe ich dem internet irgendwie auch ein Befallen getan dadurch dass ich mein eigenes Netzwerk habe.

01:32:27: Und erst dann bin ich auch im Sinne des Wortes Ein autonomes system.

01:32:33: denn vorher bin ich nicht autonom, sondern ich bin aufgedeilt und verderbt von meinem einen Provider in dieser Terminologie wir upstream abhängig.

01:32:43: Und erst wenn ich also selber Routing-Entscheidungen treffen kann, sagen kann okay der Treffig in Richtung, sagen wir mal Asien, der soll immer über mein Provider A gehen und der Treffe in Richtung Lateinamerika soll immer bei meinen Provider B gehen dann bin ich im Sinne Autonomen, dass sich autonome Routing Entscheidungen fällen kann, ansonsten geht alles über die Telekom und dann bin ich am Ende nicht besser als ein x beliebiger Teil ab Anschluss.

01:33:09: Oder habe ich irgendwelche Vorteile wenn ich an der Eis bin das nur einen Ablenker?

01:33:14: Im Prinzip hab' ich dann erst mal keinen sinnvollen Vorteil.

01:33:19: Deshalb sagt das RIPE in seinen Dokumenten auch Ich brauche grundsätzlich sogenanntes Multi-Homing also ich brauche mehr als ein Upstream mindestens zwei.

01:33:27: Das ist eine formale Vorgabe die das RIBE NCC steht Wenn ich an solches AS haben möchte.

01:33:33: Es gewährt allerdings, auch da steht in der Doku eine Grace Period die ist nicht länger näher definiert wie lang die genau geht, in der ich auch nur einen haben kann.

01:33:42: denn einige von den Partnern mit denen ich so ein Vertrag über das Abstream abschließe die wollen ja erstmal sehen dass ich überhaupt eine AS habe bevor sie überhaupt einen Vertrag mit mir schließen.

01:33:52: und deshalb sagt das Wipe du kannst doch erst mal ohne ab Streams zu uns kommen dann an AS beantragen und dann kümmert sich später bitte darum Formale nicht weiter spezifizierte Anforderung.

01:34:05: So ein bisschen Hände-Eilproblem, um einen Girokonto eröffnen zu können brauche ich einen Arbeitsvertrag und um Arbeitsvertrauen unterschreiben zu können muss ich den Giro Konto angeben?

01:34:13: Genau deswegen gibt es die Grace Period und ist aber auch nicht weiter definiert wann und wer das überprüft.

01:34:19: Aber Multihoming ist eigentlich eine Voraussetzung.

01:34:22: Du hast eben gefragt ob ich irgendein Vorteil davon habe.

01:34:25: wenn ich nur ein upstream habe Es gibt keinen so richtig legalen und sinnvollen anwendungs- oder ja, legein sinnvolle in Anwendungsbereich.

01:34:33: Es gibt dieses Konstrukt das Stab AS.

01:34:36: also so ein StummelAS gibt es durchaus im Umfeld von sogenannten Bulletproof Hostern.

01:34:42: ich hänge mich also hinter des Netz eines Hosters der sämtliche Anfragen die bei dessen Abuse ankommen einfach verzögert abwert mit rechtlichen fadenscheinigen Argumenten irgendwie rauszögert und einfach auf abuse add nicht so richtig sinnvoll reagiert.

01:34:59: Und ich selber tue das auch nicht, dann kann ich in meinem Stubb AS diverse Dinge

01:35:04: tun.".

01:35:05: Genau!

01:35:05: An dieser Stelle können wir mal mit zwei Sätzen diesen sogenannten Abuse-Prozess skizzieren.

01:35:10: den habe ich leider an beiden Enden des Abuse Prozesses schon verschiedentlich machen müssen.

01:35:15: wenn ich also dieser Firewall Admin bin aus deiner Einleitung des Themas und ich merke dass da ständig Missbrauch kommt dann schreibe ich erstmal dem Inhaber des IP-Netzes eine mehr oder weniger freundliche E-Mail und sagen wir mal, komm ständig es ist hab Blutforce Angriffe von der IP-Adresse so und so.

01:35:33: Und stell das mal bitte ab!

01:35:35: In einer idealen Welt... Wir nehmen jetzt mal als Beispiel für eine idealere Welt, dass die, die wir gleich erzählen werden den Hoster wie Herzner weil ich weiß, dass Herzner ein Buseprozess hat, der funktioniert.

01:35:47: dann geht dieser Hoster hin und sagt oder dieser Provider geht hin.

01:35:51: Und sagt dann seinem Kunden einmal du hast auf der IP Adresse so einen offensichtlichen Security-Problem, da macht jemand SSH Brutforcing.

01:35:58: Du stellst das bitte bis übermorgen ab oder wen nämlich vom Netz?

01:36:01: Wenn er es zwei Tage später nicht abgestellt ist, dann nehmen die den vom Netz.

01:36:05: So ist ja Bios Prozess für einen normalen Fall.

01:36:11: wenn jetzt dieser Hoster Nicht reagiert Dann habe ich als Opfer des Missbrauchs nur die Möglichkeit eine kette weiter nach oben zu gehen und zwar zu dessen internet provider beispielsweise der telekom sagen da ist jemand der kriegt Internet anbindung von euch das also euer eurkunde und aus dessen netz kriege ich ständig bitte haut dem mal auf die füße Und sorgt dafür dass der das abstellt und dann würde die telekom hingehen und sagen lieber provider x Da kommt zeugs aus deinem netz.

01:36:43: Das ist nicht so gut.

01:36:44: Bitte stell das mal ab.

01:36:46: dafür gibt es also einfach auch diese Möglichkeit in der Kette, in der Hierarchie weiter hochzugehen um dann seine Abuse-Meldung loszuwerden.

01:36:53: und in einer idealen Welt würde irgendein Glied dieser Kette von Entkunde zu Hoster, zu Provider des Hosters, zu upstream des Providers auf so eine Abusemeldung reagieren und Gegenmaßnahmen ergreifen.

01:37:08: Aber in dieser idealen Welt befinden wir uns tatsächlich nicht.

01:37:11: Hintertat nicht!

01:37:12: Grundsätzlich kann man festhalten... vergleichsweise wichtig, dass da korrekte Angaben beim RIPE hinterlegt werden sowohl für ADP-Adressenbereiche als auch für die IS.

01:37:21: Vergabe das da einfach valide Einträge sind.

01:37:24: weil ich möchte am Ende wissen wer ist denn hier wirklich verantwortlich?

01:37:27: Als in der Regel sind es Unternehmen.

01:37:29: Wer ist denn bitte schön der Verantwortliche und wo kann ich mich melden?

01:37:32: Wo kann ich zur Not hinfahren und mich bei dem beschweren?

01:37:36: Da sollte man also annehmen, dass das RIPE ein gewisses Maß an Verantwortung irgendwie hat, weil sie führen eben diese Datenbank.

01:37:44: da sollen korrekte Einträge stattfinden.

01:37:46: Und dafür haben sie auch einen relativ ausführlichen Prozess mit ziemlich strengen Regeln, Multi-Homing ist eben nur eine der Regeln.

01:37:53: So unsere Geschichte beginnt schon am thirteenth November.

01:37:55: Da bekamen wir über unseren Investigativbriefkasten ein Hinweis eines Hamburger Unternehmers.

01:38:02: Der war ein bisschen verwundert Denn er hatte festgestellt durch Hinweise von Administratoren aus dem Mittelstand die sich wütend bei ihm gemeldet hatten Inhaber eines a s geworden war in ohne dass er dafür jetzt sonderlich viel getan hatte.

01:38:20: Er hatte genau gar nichts damit zu tun, er hatte aber ein as eintrag auf seinen namen auf den namen seiner firma.

01:38:27: er betreibt eine kleine preis suchmaschine irgendwie aus den urzeiten des internets hatte ganz früher mal auch für sein Unternehmen das heißt meta spinner gmbh hatte ja ganz früher meine domain.

01:38:38: die hat er schon ewig nicht mehr benutzt.

01:38:39: die war also verweist und ganz plötzlich hatte sich unter seinem Namen eine ganze Identität entwickelt, nämlich die Domäne wurde von jemand anderem übernommen und auf dieser Domänen wurde ein autonomes System beworben.

01:38:53: Nämlich das AS-IX-IX ist jetzt eines der AS-Nummern, die ich auswendig kann.

01:38:58: Die habe ich nämlich ein, zwei hundertmal in Artikel geschrieben und auch sehr lange mich mit der beschäftigt.

01:39:03: Die gehörte also laut Datenbank des WIPES.

01:39:05: Da gibt es WIPE-NCC, da gibt's eine Database, da kann man nach AS-nummern gucken Und da stand sein Name drin.

01:39:12: Da stand eine glaube, eine alte Adresse von ihm drinnen.

01:39:17: also offensichtlich hatte es jemand geschafft seine Identität zu stehen und in seinem Namen ein Eis zu beantragen.

01:39:26: Und dann ist genau das passiert was so korrekt wäre wenn's sein eigenes Eis gewesen wäre.

01:39:32: Irgendein Mittelstandsatman hat gesagt hier sind im VPN er sind in meinem Lock.

01:39:36: Einfach Einträge aus deinem Netz, hör mal bitte auf mit dem Quatsch.

01:39:38: Also du machst den Wörterbuch Attacken gegen mein Server?

01:39:42: Lass das mal bitte!

01:39:42: Und er hat gesagt ich habe keine Server.

01:39:44: Ich hab kein Eis.

01:39:45: Ich kenne nichts von dem was du da beschreibst ist.

01:39:49: Hat noch einmal seiner IT gesprochen und die haben ihn bestätigt wir haben wirklich keinen Eis.

01:39:53: Da begann so ein bisschen unsere Recherche und parallel hatten auch schon andere recherchiert.

01:40:00: Auch da tauchte der Name Metaspinner auf.

01:40:02: als Enabler von internationalem Cybercrime war er plötzlich in einem Report von dem Unternehmen Inseq Gubb, die machen Cyber Security Analysen.

01:40:17: Ich weiß gar nicht genau was deren Geschäftsmodell ist aber die machen so invest generative Berichte oft im Cybercrime Umfeld und suchen nach Gefährdung im Internet.

01:40:29: Also INSEC Group gehört zu Recorded Future und Recorded Futures Geschäftsmodell ist genau das, die ich glaube die gehören auch inzwischen irgendwie zur Google.

01:40:37: Die sind glaube ich neulich mal irgendwann gekauft worden von irgendwem.

01:40:41: Und Thread Intelligence im weiteren und engeren Sinne ist deren Geschäfts-Modelle sowohl für private Unternehmen als auch für so Nachrichtenagentur.

01:40:49: Wie heißen Sie Nachrichtendienste?

01:40:53: Also diese Insekub wird relativ deutlich, die sagen in dem Bericht da gibt es ein ganzes Netzwerk.

01:40:58: Da gibt es irgendwo einen Deutschen-Hoster der heißt Aurologic, der sitzt im Langen.

01:41:03: Da ist eine Firma, die heißt IEZA.

01:41:05: Die kommen aus Russland und stehen auf diversen Sanktionslisten.

01:41:08: Die machen Desinformationskapanien.

01:41:11: aus den Netzen kommt wirklich alles Schlechte dieser Welt also Command & Control Server für Ransomware DDoS-Attacken, Wörterbuchattacken gut vor.

01:41:21: Also alles was man so spammen kann kommt aus diesen Netzen aus diesem großen Umfeld und die zeichnet eben so ein verstricktes Netz aus verschiedenen Firmen, verschiedenen Briefkastenfirmen, Pseudofirmen und mittendrin steckt angeblich auch diese Firma Metaspinner.

01:41:39: Und der Herr Berndt, der Geschäftsführer ist so mitten drin und großer Enabler von Cyberg Prime Gefiel ihm gar nicht, also hat er Strafanzeige gestellt.

01:41:49: Bei seiner lokalen Polizei oder bei seinem lokalene LKA wegen Identitätsdiebstahl und er hat angefangen Beweise zu sammeln.

01:41:57: so richtig viel hat er gar nicht bekommen.

01:42:00: Das Wipe hat erst mal gesagt Beweis erstmal dass du wirklich der Richtige bist.

01:42:04: das hat er dann mühsam getan in dem er bewiesen hat, dass wirklich ihm diese Firma gehört Hat dann eine DSGVO Anfrage gestellt.

01:42:13: Anders Wipe ist ja auch in Europa, in der EU.

01:42:15: Er hat gesagt, schick mal bitte alle Daten die über mich verarbeitet.

01:42:19: Daraufhin kam dann etwas Bewegung rein und er hatte ein paar Dokumente bekommen unter anderem nämlich einen Vertrag mit der sogenannten LER das ist die Local Internet Registry.

01:42:33: Dazu muss man erklären wie man an so eine ARS kommt.

01:42:36: Man muss sich einen sogenannten Sponsor suchen.

01:42:39: Das ist eine local internet registry Und das ist einfach ein Unternehmen, was selbst Mitglied beim Wipe ist.

01:42:45: Also da kann man Mitglied werden als Unternehmen.

01:42:47: viele große Internetfirmen, Firmen die im Umfeld aktiv sind, sind Mitglied bei dem Wipe-Zahlen der ihr Mitgliedsbeitrag und sind dann in der Lage als Sponsor aufzutreten um für andere Ressourcen zu beantragen.

01:43:02: Und um das auch klar zu nochmal klar und deutlich zu sagen um ein solches AS... zu bekommen und auch am IP-Netz zu bekommen muss man selber kein Mitglied beim Ribesign, sondern man muss nur einen Sponsor haben der es ist.

01:43:16: Und üblicherweise ist dieser Sponsore dein Hoster, deinen Internetprovider, deinen Netzdienstleister sowas in der Art der dir eine Dienstleistung verkauft wie Hosting und sagt du brauchst natürlich auch IP Adressen für das Ding und kriegst von mir ein Netz und wenn Du größer bist eben sogar ein AS

01:43:34: Genau.

01:43:34: Das Ding heißt Leer Local Internet Industry, weil man sich in der Regel einen lokalen Partner sucht und auf der Website des Web gibt es auch ein paar Tausend die für Deutschland zuständig sind.

01:43:45: Dieser Eintracht von Metaspinnerweils aber nicht von einem deutschen Unternehmen beantragt worden sondern von einem türkischen von der Firma MGM Technology RS.

01:43:55: Was sie genau machen haben wir trotz intensiver Recherche nicht rausgefunden.

01:43:58: Wir haben bei Google Maps das Haus gefunden indem Sie sitzen.

01:44:02: Sie haben keine Website Kein bekanntes Geschäftsmodell, aber sie sind beim Reib Mitglied und Sie haben insgesamt so um die fünf A.S.- und zwei IP-Netz beantragt.

01:44:12: also es ist echt kein großer Player bei dem Reib wirklich eine ziemlich kleine Bude.

01:44:17: Und beim Reip war ein Vertrag hinterlegt zwischen... Also einen Sponsoringvertrag Zwischen der Firma MG in Technology und der vermeintlichen Metaspinner GmbH.

01:44:27: Der Geschäftsführer hat sich die Unterschrift angeguckt festgestellt das ist nicht seine eigene.

01:44:32: Und auch die anderen Dokumente, die beim Reib hinterlegt waren, waren nicht echt unter anderem ein... Ich nenne es jetzt mal Handelsregisterauszug.

01:44:39: Das war eine PDF-Datei.

01:44:40: Da stand öffentlich im Internet zugängliche Informationen drin, die teilweise auch noch falsch abgeschrieben haben.

01:44:46: Es war die falsche Umsatzteueridie aus einer anderen Firma, die auch dem gleichen Menschen gehörte.

01:44:51: Also einfach lieblos irgendetwas aus dem Internet zusammenkopiert und drüber geschrieben.

01:44:55: HandelsRegisterauszug!

01:44:56: So sieht ein Handelregister Auszug beim Handel Register einfach gar nicht aus.

01:45:00: aber Und das Word Layout war wirklich arg spartanisch.

01:45:06: Was ja umso ironischer ist angesichts der Tatsache, dass du einfach für jedes beliebige deutsche Unternehmen einen Handelsregisterauszug dir holen kannst kostenlos beim Warte...warte ich muss kurz überlegen bei einem HandelsRegister wer hätte das gedacht?

01:45:19: Das sind zwei also ein Eingabeformular und ein Klick entfernt.

01:45:24: dann hast du einen korrekten aktuellen vollständigen Handelsregisterauszug jedes Unternehmens, das in Deutschland im HandelsRegister oder im Vereinsregister steht.

01:45:32: Was für eine angeht?

01:45:33: Dann hätte es sogar noch besser ausgesehen als diese Stück in wahrscheinlich LibreOffice zusammengelötet.

01:45:42: Warum Libreoffice?

01:45:43: Wir haben die Metadaten geguckt und es war irgendwie mit Ghostswipt generiert.

01:45:48: Wichtig in den Metadatten ist, da war eine Gmail-Adresse drin versteckt Und die haben wir mit so OS Intools mal nachgeprüft.

01:45:54: und die führt zu einer Übersetzerin, die russische und ja irgendwie auch im russischen Umfeld aktiv ist.

01:46:00: Und Übersetzung auch nach deutsch anbietet.

01:46:03: Die sitzt in Budapest.

01:46:05: also da hat irgendjemand einfach irgendeine Budapester Reden aktiviert, die Übersetzungsdienstleistung macht.

01:46:12: Die hat diesen Handelsregister Auszug wohl übersetzt zusammengebaut und damit ist man dann bei MGM in der Türkei Hat man einen Vertrag aufgesetzt und hat das Ganze ans Reib geschickt.

01:46:24: Und das Reib hat eine AS-Nummer auf Grundlage dieser doch sehr dürftigen Daten vergeben, damit war plötzlich dieses Unternehmen Metaspinner Teil des internationalen Cybercrimes so einfach funktionierte dass es gab keine Personalausweiskopien und auch sonst keine Prüfung der Identität.

01:46:43: jetzt okay also ich habe verstanden dass dieser dieser dieser Antrag auf einer IS-Nummer, dieses angebliche Sponsoringverhältnis oder Kundenverhältnissen zwischen Metaspinner und der MGN Technology gefälscht ist.

01:46:59: Aber das ist jetzt erstmal so.

01:47:01: ein, sagen wir können jetzt unterstellen dass da irgendjemand bei dieser Firma einen Betrug begangen hat aber das ist ja noch kein internationaler Cybercrime.

01:47:08: wie kommt das denn jetzt zusammen?

01:47:09: Also wo ist jetzt die der Weg von diesem Unternehmen was nur diesen diese IS Nummer beantragt hat?

01:47:15: und zu den Wütenden Anrufen von Atmans bei dem Abend Herrn Bernd aus Hamburg da fehlt mir noch irgendwas in der Mitte.

01:47:24: Ja, verbunden mit diesem AS was jetzt beantragt war auf seinen Namen wurden jetzt diverse IPVIV-Adressbereiche und aus diesen Adressbereichen wurden fleißig Attacken

01:47:38: auf

01:47:38: Server irgendwo auch in Deutschland durchgeführt.

01:47:42: Also das war quasi der Schritt, der noch dazu kommt.

01:47:46: Die unbekannten Täter haben dann ihre IP-Adresse, ihre IP Netze damit verbunden veröffentlicht und angefangen daraus illegale Aktivitäten zu begehen.

01:47:59: Veröffentlich wurden diese Netze hinter einem Netz der Firma Aurologic.

01:48:04: AuroLogics ist ein Hosting & Rechenzentrumsbetreiber aus Langen – auch in Deutschland.

01:48:09: Und das war die Konstruktion.

01:48:11: Ein klassisches Stubb-AS, also... Die IP-Adressbereiche wurden allesamt genau mit einem Upstream veröffentlicht.

01:48:20: Nämlich mit dem Upstream über Aurologic und von AuroLogic ins weltweite Internet.

01:48:27: Okay,

01:48:28: da führt ja die Spur jetzt wieder ein bisschen zurück nach Deutschland oder wie?

01:48:32: Da führt die Spurs ganz offensichtlich nach Deutschland.

01:48:35: Auro Logic ist einer der Hoster, die deutlich langsamer und deutlich sehr auf Abuse Anfragen regieren.

01:48:43: Also wenn man da sagt, hier passieren Dinge in dem Netz dann sagen die gesagt der Geschäftsführer von EuroLogic als Antwort Wir greifen den Verkehr nicht ein wir inspizieren sie nicht wir lassen die erstmal gewähren.

01:48:57: aber wir werden den betroffenen Kunden mal langsam informieren dass da etwas in seinem Netz stattfindet.

01:49:03: und so hat dann Christoph Berndt der Geschäftspieler von Metaspinner auch sich daran gewendet und hat genau diese Antwort bekommen.

01:49:10: Und nach etwas zehn Ringen hatte dann die Antwort bekommen, wir haben jetzt mit dem Kunden gesprochen und in vierundzwanzig Stunden soll der schädliche Verkehr aus deinem Metaspinternetz abgeschaltet werden?

01:49:25: Um das auch nochmal mit einem weiteren Input den wir erhalten haben zu kombinieren.

01:49:29: also uns liegt auch mindestens eine E-Mail beziehungsweise ein Auszug aus einer Kommunikation weiteren Beschwerdeführer vor, wo es mehr oder weniger explizit heißt.

01:49:40: Bitte beheldet uns nicht weiter mit euren unbestätigten Verdächtigungen oder so eine ähnliche Formulierung.

01:49:47: also es gibt ja schon sagen wir mal einen gewissen Widerstand Abwehrhaltung.

01:49:57: Also liest sich ein bisschen als sei da jemand sehr defensiv und würde das nicht so gerne... bereinigen, was da auch möglicherweise aus einem Netz kommt.

01:50:09: Genau also der Vorwurf Aurologic sei ein Bulletproof-Hoster ist ein großer Vorwurf, was man glaube ich sagen kann.

01:50:16: es ist ein Hoster der weniger proaktiv auf Abuse-Meldung reagiert und das scheinbar zu seinem Geschäftsmodell gemacht hat etwas langsamer zu regieren als vielleicht die von dir genannten Hetschner zum Beispiel relativ proaktif gegen solche Dinge im Netz vorgehen und sogar auch auf eigene Faust, auf bestimmte Aktivitäten reagieren.

01:50:37: Und die Kunden abschalten bevor es andere Leute

01:50:40: merken.".

01:50:42: Gibt's denn dann noch so ein Konglomerat?

01:50:46: Gibt es da in dem Bereich noch andere, die da auffällig sind?

01:50:52: oder ist das jetzt so'n One-Off, dass wir da was gesehen haben...

01:50:58: Also, die Insek-Gruppe hat sich ja damit auch schon beschäftigt und hatte dann erst den Christoph Berndt da mit rein in dieses Netzwerk reingezogen.

01:51:06: Und rund um Aurologic gibt es noch ein paar andere Firmen.

01:51:10: Es gibt zum Beispiel der Tornado ist der eigene Rechenzentrumsbetreiber, der den gleichen Geschäftsführer hat wie die Firma AuroLogic.

01:51:17: Die gehören also definitiv zusammen.

01:51:20: Da gibt's noch so zwei oder drei andere Firme herum.

01:51:24: Wir haben noch ein paar andere Firmen gefunden, die auch drumherum dazugehören.

01:51:28: Wenn man sich natürlich mal anschaut was diese Firma NGN eigentlich genau tut in der Türkei Die machte nämlich hat nämlich insgesamt ungefähr vier oder fünf AS-Nummern beantragt.

01:51:39: und all dieser AS- Nummern die da beantragt wurden, die Routen das kann man mit verschiedenen Tuits ja ganz gut nachvollziehen.

01:51:46: bgp.tuits zum Beispiel Die ruten alle über das Netz von Aurologic ins Internet.

01:51:52: also das scheint der bevorzugte upstream anbieter für die firma mgn und alles was die so angelegt hat.

01:51:59: das geht immer über eurologik ins netz.

01:52:02: Und dass ist alles schon ein bisschen bisschen fischy, ein bisschen merkwürdig besonders wenn man sich anguckt was das so für in Anführungszeichen Firmen sind.

01:52:10: also dieses meterspinner identitätsliebstahl war eine Möglichkeit.

01:52:14: sie haben aber jetzt mittlerweile einen anderen andere strategie gewählt und suchen sich einfach briefkastenfirmenanbietern Und den sind wir auch ein bisschen nachgegangen in Covent Garden, in London.

01:52:25: Das klingt nach einer total nobelen Adresse.

01:52:27: da residieren diverse Netzwerktienstleister oder Internet Dienstleister.

01:52:32: Das ist ein Anbieter für Briefkastenfirmen.

01:52:36: First Formations heißt derzeit man im Jahr einen paar Fund und dann hat man da seine Limited in London sitzen und die nehmen dann deine Post an.

01:52:45: und mit diesem Briefkasten Firmen wurden dann die anderen AS Nummern die IP-Adressen beim Reib beantragt und die ruten wiederum alle über EuroLogic.

01:52:56: Außer in London gibt es noch eine Briefkastenfirma in Amsterdam, genau da schließt sich der Kreis.

01:53:05: Die gibt es schon seit ein paar Monaten bei einer Firma Lanedo.

01:53:10: Diese Firma war als nächstes die Netze übernommen hat nachdem sie das Metaspinner Netzwerk auf Beschwerde rausgekegelt haben also nach der Beschwerde.

01:53:22: Man hat Aurologic zu seinem Kunden gesagt, lasst das mal bitte.

01:53:25: und daraufhin hat der Kunde gesagt okay wir lassen es jetzt mit dem Metaspinner-Netzwerk.

01:53:30: Wir wechseln die Inhaberschaft und die Inhauberschaft wurde gewechselt auf eine Firma Lanedo.

01:53:36: und diese Firma Laneto sitzt jetzt in Amsterdam an einer anderen

01:53:40: Briefkastenadresse.".

01:53:48: türkische firma das ist jetzt kein hoster oder so sondern wir wissen es nicht so ganz genau.

01:53:54: also mehr oder weniger ein bisschen so'n proxy der als anbieter für fragwürdige antragsdokumente agiert.

01:54:08: aber diese lanedo was machen die jetzt so beruflich?

01:54:11: Also, ist das ein hoster oder ist das eine carrier?

01:54:14: oder was machen sie?

01:54:16: Ja, ganz spannend.

01:54:17: Laneto Der erste Eintrag, den habe ich auch dokumentiert.

01:54:21: Der erste eintracht in der Reibdatenbank lautete auf eine Firma LANEDO GmbH die auch in Hamburg sitzt.

01:54:27: Die haben wir auch recherchiert und geguckt wo sie ist Und die gab es wirklich mal, die haben früher etwas im Bereich Open Office gemacht.

01:54:39: Die Firma ist seit vielen Jahren geschlossen.

01:54:41: Die Gmbh ist in Liquidationen den Rest ihrer Website offen, die haben keine Geschäftsaktivität mehr.

01:54:47: Also da liegt der Verdacht, wir haben versucht sie zu kontaktieren, niemanden mehr erreicht.

01:54:52: danach ist aber die Webseite verschwunden nachdem ich auf den AB gesprochen habe.

01:54:56: Ich habe den Verdacht das war die zweite der zweite Identitätsdiebstahl Der Firma Laneto GmbH in Liquidation und dann wurde auch ganz schnell der Reipeintracht geändert auf eine Firma Lanetonet Data Center nach Amsterdam.

01:55:09: also man hat diesen Namen irgendwie behalten.

01:55:11: Identitätsdiebstähle wurden ihnen wohl langsam zu heiß, weil es haben wir angefangen heute nachzufragen.

01:55:16: Die Firma Lanedo Net macht gar nichts.

01:55:21: die Firma Laneto net hat eine Webseite auf der Webseiten das könnte Weibgekode sein.

01:55:26: das könnte auch jemand mal schnell gebaut haben wird so einer Art Hosting Simulationen aufrecht erhalten.

01:55:32: also die Idee ist wohl ich betreibe eine Web-Seite.

01:55:35: Die sieht so aus, als könnte man da irgendwie private Server mieten.

01:55:39: Ich kann mich da sogar anmelden mit einer e-Mail Adresse.

01:55:41: dahinter komme ich in einen...ich nenne es jetzt mal Backend aber machen kann nicht da nichts.

01:55:45: also es gibt kein Bestellknopf.

01:55:47: Es sieht alles nur auf den ersten Blick so aus Als hätte ich es damit einem Hoster zu tun.

01:55:51: das ist wohl das Geschäftsmodell oder die Idee.

01:55:55: Wenn jemand den Verkehr sieht er guckt auf den Abusekontakt sieht oh das ist ja ein Hoster.

01:56:00: Ja dann frage ich doch Mal und der Hoster blockt dann ab mit, das sind unsere Kunden.

01:56:05: Wir können da nichts

01:56:05: machen.".

01:56:07: Sehr ist eine Hostel.

01:56:08: Das ist eine Briefkasteldresse in Amsterdam.

01:56:11: Ein Potemkinscher-Hoster?

01:56:13: Absolut!

01:56:13: Es gibt eine Fassade und die sieht aus wenn man dran vorbei geführt wird als sei sie total funktional.

01:56:20: aber wenn du dann ein bisschen weiterklickst und dir so einer Vm zusammen klickst, da steht dann drüber, wird in vierundzwanzig bis achtenvierzig Stunden Manuell bereitgestellt, da wird auch in vierhundert achtsig oder in viertausend acht hundert stunden nichts manuel bereitstellen.

01:56:34: Genau das ist das ist so ein bisschen.

01:56:35: die Idee soll aussehen wie ein hoster und dann damit ist die geschichte plausibel dass da halt irgendein böser kunde des hosters dinge getan hat.

01:56:42: was ich allerdings ein kleines bisschen entlarven finde es dass sie laut eigenaussage auf dieser step webseite aus dem baugasten dedicated server in fünf verschiedenen ländern bereit stellen und zwar in deutschland.

01:56:55: Naja, ist ja auch ne... also war mal eine gefälschte GmbH in Deutschland.

01:57:00: In den Niederlanden da ist ja ihr Firmensitz.

01:57:03: In Bulgarien, in den USA und in der Ukraine.

01:57:08: Und die letzten vier dieser fünf Locations sind einfach auch Locations wo sich Bulletproof-Roaster ganz gerne mal tummeln weil je nachdem auch in welchem Rechenzentrum man sich da einmietet Die Abuseprozesse sagen wir mal zum Versandeneigen.

01:57:27: Ja, also insgesamt ist das ein relativ gut organisiertes Netzwerk aus Briefkastenfirmen.

01:57:36: ich glaube wirklich das Thema mit der Identitätsdiebstahl es ist so ein bisschen vom Tisch weil das ist ja auch wirklich unnötiges Risiko.

01:57:43: da gibt's nämlich dann schlimmstenfalls jemanden der sich beschwert und der dann Neustrafanzeige stellt und da gibt es vielleicht Ermittlungen oder es gibt Journalisten die sich das dann angucken weil es einen Betroffenen gibt.

01:57:52: Deshalb ist es viel viel einfacher einfach einen Briefkastendienstleister zu wählen, der in Amsterdam sitzt.

01:57:58: In der Stravinsky-Lahn auch das kann man sich angucken und auch da kann man ein bisschen nachbohren.

01:58:02: In den Stravinski-Lahnen an der Adresse gibt es so einen Büroturm und da gibt es auch die Dienstleistung.

01:58:07: hier kannst du deinen Unternehmensitz hinlegen und dann leiten wir deine Post an dich weiter und damit kannst du dein Unternehemsadresse dann verschleiern oder du bist gar kein Unternehmen und du hast nur eine Adresse.

01:58:19: Das funktioniert Erstaunlich gut und mit diesem Netzwerk kann ich dann dieses Geschäftsaufrecht erhalten.

01:58:26: Mittlerweile ist auch gar nicht mehr Laneto drin, die haben vor ein paar Wochen das wieder gewechselt und haben sich einen neuen Briefkastendienstleister gesucht.

01:58:35: der sitzt jetzt auf den Sechellen.

01:58:36: Das ist... ...auch ne ganz toller Ort.

01:58:40: Und wenn man da mal guckt wo die sitzen diese Hosting dieser weltweite Internetnotenpunkt liegt in einem... Ich nenn's mal Außenlager in der Nähe des Hafens rundrum.

01:58:50: Bei Google Maps kann man das sehen, auf dem Satellitenfoto sind so Container und Schiffsfracks irgendwie.

01:58:56: Und in der Ecke ist mittendrin einfach so ein Dienstleister für Office-Dreihundert-Einund-Fünfzig oder so.

01:59:02: Da kann ich meine Firmen an Schrift auf diese Schäden verlegen auch aus Steueroptimierungsgründen wahrscheinlich im beliebter Dienstleiste.

01:59:10: Also wenn wir da eine Investigativreise dahin machen dann sollten wir vielleicht gucken dass wir ne Badehose einpacken weil die Fotos die man von den Sechellen findet wenn man sie einfach mal in eine Suchmaschine eingibt Die sehen nicht so sehr nach Industriegebieten und Container aus, sondern die haben doch sehr viel Azur-Blauswasser.

01:59:26: Insofern sollten wir da vielleicht schon mal einen Reiseantrag stellen?

01:59:29: Machen wir!

01:59:30: Wahrscheinlich müssen wir uns beeilen weil die wechseln ja scheinbar jetzt regelmäßig die Identitäten und sie haben die das kann man auch in den Daten ganz gut sehen auch regelmäßig schon vorbereitet.

01:59:39: also die waren quasi vorbereitet.

01:59:41: für den Fall dass Sie mal wechselen müssen hatten sie zum Beispiel diese Firma Lanedo schonmal hinter hat und als dann Metaspinner Betroffen reagiert hat, hat man gewechselt auf die nächste Identitätsdiebstahl und von da auf die Briefkastenfirma.

01:59:59: Die Fäden laufen irgendwie verdächtig häufig bei Firma Aurologic zusammen.

02:00:03: das ist das was man in den Daten ganz schön sehen kann.

02:00:06: Und was für mich dabei als Frage offen bleibt ist wie kann es wenn dieser News-Prozess irgendwie funktionieren soll?

02:00:14: Wie kann es dann so einfach sein mit gefälschten Identitäten Ressourcen beim Reib zu beantragen.

02:00:20: Haben wir das Reib auch gefragt?

02:00:22: Und das Reiber hat gesagt, es gibt erst mal kein New York-Customer-Prozess.

02:00:26: also ist nicht wie bei der Bank.

02:00:28: Es gibt keinen Ausweis in die Kamera hälte Prozess oder andere Identitätsprüfungen wie bei einer Bank.

02:00:35: Sie sagen sie haben Schutzmechanismen aber sie sagten auch trotz dieser Prozesse kann es manchmal vorkommen dass betrügerische Absichterstellte Dokumente nicht erkannt werden Besonders wenn wir keinen Grund haben, Mist raus zu werden.

02:00:52: Und auch das habe ich sie dann gefragt ob Sie denn bei manchen Sponsoren also lirst mal misstrauisch werden?

02:00:58: Sie sagen grundsätzlich gibt es das.

02:01:00: Grundsätzlich gibts auch die Möglichkeit Mitglieder zu sperren oder zum Verwarnen.

02:01:06: Das haben sie auch schon ein paar Mal getan.

02:01:07: Sie haben auch ein paar mal schon die Polizei gerufen im letzten Jahr.

02:01:11: Sie sagen genau stand in den November haben sie gesagt, wir haben zwölf offizielle Warnungen vergeben.

02:01:16: Sie haben neunzehn Polizeireports rausgegeben und ich glaube, sie haben niemanden gesperrt in diesem Jahr.

02:01:25: Im

02:01:27: letzten

02:01:27: Jahr haben sich drei Rausgeschmissen beim Raib, drei Mitgliedschaften beendet.

02:01:33: Stimmt!

02:01:34: Da steht es.

02:01:34: Wir haben drei Mitglieder beendeten.

02:01:36: Unter diesen drei waren aber nicht die Firma MGN.

02:01:40: Die macht weiter.

02:01:43: auf fremden Namen gesoßen.

02:01:47: Um das ein bisschen einzuordnen, weil ich die Prozesse beim RIPE von der anderen Seite kenne nämlich als Carrier, also mein ehemaliges Unternehmen war, sage ich, ich glaube, im Jahr zwei Tausendneuen RIPE-Netlied.

02:01:58: wir hatten auch einen ASN.

02:02:00: Wir haben verschiedene IP-Netzle beantragt und sind regelmäßig vom RIPE auditiert worden.

02:02:04: Der Schwerpunkt dieser Audits liegt aber oder lag nie auf den Unternehmensdokumenten.

02:02:13: Die haben wir einmal eingereicht, dazu gehörte eben auch das was wir gerade genannt haben der Vertrag.

02:02:18: Wir sind dann aber leer geworden.

02:02:19: Wir hatten kein Sponsor sondern wir waren selber leer und Handelsregister Auszug Und hier auf gestempelten Briefpapier und so dieses ganze Zeug was man also in der alten Welt als Legitimation beigebracht hat bevor es Video ident gab die Der Schwerpunkt liegt sehr stark oder lag sehr stark auf der Verwendung und der vernünftigen Allokation Beziehungsweise Technisch richtig gesehen den vernünftigen Assignment von IP-Adressen und IP-Netz.

02:02:45: Denn die sind das, was beim RIPE wirklich sehr begehrt war damals.

02:02:50: Das war kurz bevor die IP Ranges in IPvIV komplett ausliefen Und da mussten wir dann eben Adress genau sagen.

02:02:59: Wem haben wir Adressen weitergegeben?

02:03:01: Was machen sie damit?

02:03:02: Wieso sind davon den Achtzehn belegt?

02:03:08: und immer wenn wir neue adressen nachordern wollten als das noch ging, mussten Wir so einen audit absolvieren und da wurden dann mehrere adressbereiche random von so einem auditor ausgesucht.

02:03:18: Und dann mussten wir reden und antwort stehen was denn mit diesen IP adress bereichen passiert ist.

02:03:23: und Wenn die zum beispiel trotz anders lautender dokumentation nicht dann doch nicht genutzt waren Dann gab es eben auch schon mal auf den deckel wo sie es macht erst mal eure doku fertig und aktualisiert Die und dann könnt ihr mal mit neuen IP adresses kommen die ihr beantragen wollt.

02:03:36: Also da gab es schon Aktivitäten, die auch immer mal wieder relativ gründlich in Sachen reingeschaut haben.

02:03:45: Auf der reinen Vertragsrechtlichen und der Identifikationsseite sobald du eine Lieb bist kannst du eigentlich fast machen was du willst.

02:03:55: Es gibt ein paar Fälle wo dann doch nochmal Identitätsdokumente deiner Kunden beibringen musst nämlich wenn du denen sogenannte Gott wie hießen die denn noch?

02:04:05: PI-Provider, Independent IP Adressen zuordnen willst oder die übernehmen willst.

02:04:08: Das ist nochmal so ein Spezialfall da brauchen wir nicht drauf einzugehen.

02:04:11: aber in den meisten Fällen glaubte dir dann das Reib auch was du da eingetragen hast in deren Datenmangel?

02:04:17: Ja, du hast es gerade alte Welt genannt.

02:04:19: ich glaube dass ist so ein bisschen auch das Kernproblem.

02:04:22: Das Ganze ist noch aus einer oder stammt noch aus der Zeit in der friedliche Uni Institute und große Firmen irgendwie miteinander eine Datenbank gepflegt haben auf so einer friedlichen Basis in dem Moment, wo ein das internationale Cybercrime damit richtig Geld verdient.

02:04:39: Das auszunutzen bricht dieser ganze Prozess ein bisschen zusammen und dann bräuchte man halt... Dann müsste man halt wissen dass jeder mögliche... Jeder Antrag auch möglicherweise betrug ist und da müsste man auch entsprechend darauf reagieren unter einfach mit mehr als nur so ein bisschen Misstrauen draufschauen sondern mit einer genauen Prüfung.

02:04:59: Und diese genaue Prüfungen kann nicht darin bestehen, dass jemand ein Wirt-Dokument mit einem Handelsregisterauszug hoch lädt.

02:05:07: Bisschen zu einfach finde ich.

02:05:09: Ja und vor allem eben das ist dann keine Plausibilitätsprüfung stattfindet.

02:05:13: Das ist natürlich beim RIPE komplexer als bei einer reinen deutschen Behörde weil die ja aus allen Ländern Die im RIPE mit organisiert sind.

02:05:23: Ich glaube auch Israel gehört zur RIPE Region?

02:05:27: Ich weiß gar nicht mehr genau aber es ist auf jeden Fall mindestens die.

02:05:30: also alles was Auf dem Kontinent Europa ist nicht nur in der EU, sondern auch auf dem Kontinenteuropa.

02:05:37: Da gibt es natürlich unheimlich viele wahrscheinlich fast beliebig viele Formen wie ein Handelsregister Auszug und einen so ein Unternehmensdokument aussehen kann.

02:05:46: das ist natürlich nicht ganz einfach.

02:05:47: aber am Ende hast du dann halt irgendwie vierzig verschiedene Vorlagen die Du einmal im Jahr aktualisierst Und dann kann man die neben das halten was eingereicht wurde und sieht erst mal dass Es schon optisch nicht plausibel.

02:05:57: Man kann die Telefonnummer mit ihr öffentlich auf Webseiten oder irgendwo dokumentiert ist überprüfen.

02:06:03: Es gibt da durchaus möglich, man kann auch einen Cent auf ein Konto des Unternehmens überweisen und den Schlüssel zurückverlangen.

02:06:10: so überprüft auch PayPal, ob mir das Konto gehört.

02:06:14: also es gibt dadurch aus Möglichkeiten die eine schärfere Prüfung sind als dass was da gerade stattfindet.

02:06:20: Die aktuelle Prüfungen besteht darin.

02:06:22: Die Lehre hat gesagt das stimmt schon und ob die lokale Registrie in der Türkei sitzt und das Unternehmen aus Hamburg kommt viele merkwürdige dinge gemacht haben scheint alles nicht die rolle zu spielen und das finde ich ein bisschen ein bisschen befremdlich.

02:06:38: auch in die antwort des reib war da durchaus meine die aussage das kann schon mal passieren wenn wir gar kein verdacht haben.

02:06:45: das ist schon irgendwie eine ziemlich schwache antwort.

02:06:49: also ich habe gerade mal nachgeschaut fünfe neunzig länder oder landesähnliche entitäten sind.

02:06:57: Dafür ist das Raib zuständig.

02:06:59: Ich sage Landesähnliche Entitäten, weil da zum Beispiel auch Grönland dabei ist.

02:07:03: Das ist hier eine Liste der zwei hochstabigen und drei hochstabbigen Country-Calls.

02:07:09: Und dann steht dazu wieder für Zuständig ist aber z.B.

02:07:11: eben auch Israel was ich gerade genannt hatte, aber auch Iran und Irak die kriegen ihre IP Adressen vom Raib und nicht etwa von Afrinik oder irgendeinem anderen einer anderen Vergabestelle.

02:07:25: Und das geht dann im Osten zum Beispiel bis nach Kasachstan, natürlich gehört Russland auch zur Region und.

02:07:31: Das ist eine ganze ganze Stapel von Dokumenten den man dann irgendwie auswählen muss auch in ganz lustigen Sprachen dann eben nicht nur sprachen wie wir sie möglicherweise in der EU gesprochen werden und es kann schon komplex sein aber.

02:07:45: New York Customer ist also das ist glaube ich ein schwieriges Problem im Sinne von computationally difficult und es gibt aber Verfahren die Trotzdem, dass mit einer einigermaßen großen Genauigkeit hinbekommen.

02:08:01: Insofern ist das vielleicht auch... Da macht man sich es beim Rhype dann vielleicht auch ein bisschen zu einfach.

02:08:07: Ja und bei dem Rhyte gibt es aktuell einen laufenden Vorschlag, den hat man uns auch geschickt zum Thema Multihoming.

02:08:13: Da gibt es nicht den Vorschlag das irgendwie strenger durchzusetzen sondern der Vorschlag lautet weil das mit diesem Multihuming ohnehin aktuell schleifend gelassen wurde wegen der Grace-Puriert bei der Einrichtung.

02:08:23: Und weil es eigentlich keiner überprüft, gibt es ein Proposal mit der Nummer zwanzig fünfundzwanzig null eins.

02:08:28: Wurde also letztes Jahr eingereicht dieses Multihoming als Voraussetzung ganz aus den Bedingungen zu streichen wenn ich eine S beantragen möchte.

02:08:36: Ich habe versucht mit dem Erfinder dieses Proposals mal Kontakt aufzunehmen.

02:08:43: Mal gucken ob da noch was rauskommt.

02:08:45: Ich weiß nämlich gar nicht warum das eine gute Idee sein sollte, ich würde sagen eher die Züge anzuziehen.

02:08:51: Als sie lockerer zu lassen und sich da dem hinzugeben und so sagen weil wir es eh nicht überprüfen können.

02:08:56: dann Baut halt eure Stab a s und macht damit komische Dinge weil wir wollen wollen uns dann mich nicht länger beschäftigen finde ich finde alles ein bisschen komisch um diesen Fall nochmal abzuschließen und auch den Arm herrn Berndt zu entlassen aus der Verantwortung.

02:09:14: Das IS ist mittlerweile gelöscht worden.

02:09:16: Es hat das Reib getan, also es gibt keinen Metaspinner-AS.

02:09:21: Auch das ist ein Problem beim Reib.

02:09:24: Der Eintrag wurde gelösst und er wurde nicht mit einem Löschvermerk versehen sondern ist in der Datenbank einfach weg.

02:09:31: Im Sinne von hier hat Betrug stattgefunden.

02:09:33: wo gab's die Identitätsdiebsteil?

02:09:35: Man findet den Eintracht nur noch im Web Archive nicht mehr in der Datenbank vom Reib Und Insect Group, die Sicherheitsforscher haben das richtiggestellt.

02:09:47: Die haben noch mal einen Rotkasten eingebaut und gesagt Nein, Metaspinner GmbH war nicht Teil des internationalen Cyber-Kriminalitätsringes.

02:09:54: Da gab es ein Identitätsdiebstahl, die haben wir zu Unrecht beschuldigt.

02:09:58: Die IP-Adressen habe ich gesagt sind mittlerweile an andere seriöse Partner an diese Schälen umgezogen worden.

02:10:06: Da finden jetzt einfach die gleichen Aktivitäten statt.

02:10:08: Ich hab nochmal in der Abuse Database nachgeguckt.

02:10:11: Die Adressen sind weiterhin aktiv und Eurologic routet sie weiter fleißig in Richtung Internet.

02:10:19: Und damit weiter fleiss ich allerlei lustige Missbräuche, Angriffe und anderes Zeug das man nicht in seiner Internetnachbarschaft oder auf seiner Premium Security Appliance sehen möchte?

02:10:33: Genau!

02:10:33: Ich freue mich trotzdem über Hinweise.

02:10:34: wenn ihr da draußen aus diesen Netzwerken gerade von Eurologik oder Partnern Verkehr bei euch im Lockfest stellt, dann meldet euch gerne mal.

02:10:44: Wir schauen da gerne noch ein bisschen hinterher.

02:10:45: Wir gucken uns auch gern noch ein paar Briefkastenfirmen an wie sich alle heißen in London Amsterdam oder auf den Seychellen die scheinbar alle mit MGM einen guten Partner gefunden haben.

02:10:56: Diese sogenannten Bulletproof Roaster sind deswegen beißen wir uns daran ja so'n bisschen fest sind seit Jahrzehnten eine der Hauptquellen das hast du gerade gesagt für all das was schlechtem Internet ist.

02:11:08: und dazu gehört eben neben Spam Und diesen Angriffen so Passwort durchprobieren und Proxies, die irgendwelchen Schmu machen auch der Kommand und Kontroll Traffic für Botnets oder für Malware.

02:11:24: Der dann auf irgendwelche Domains hinterlegt wird, die zwar erstmal vordergründig zum Beispiel über Cloudflare geproxied werden aber dahinter muss ja immer noch ein Server stehen bei irgendeinem Hoster und das sind eben solche Bulletproof-Hoster

02:11:38: Fishing ist auch noch viel dabei.

02:11:40: Wenn man sich mal die AP-Adressen guckt, welche Adressen dafür eingetragen sind oder welche Domains darauf registriert sind auf diese AP-Addressen dann sind es oft auch so Banken mit Schreibfehlern und sowas.

02:11:51: Das ist definitiv auch ein Fishingspalkasse

02:11:54: und solche Sachen.

02:11:55: Und also die ganz schwarzen Schafe dieser Szene, die sitzen natürlich in Jurisdiktionen wo man schwer rankommt, beispielsweise in Russland, auch in der Ukraine Gab's sowas immer mal wieder und es gibt aber eben auch Vertreter, die das sehr offen machen in Ländern wo man sich denkt Puh.

02:12:16: Eigentlich hätten wir gedacht dass man da leichter dahinter kommt und dass man dem leicht abhilfe schaffen kann.

02:12:24: Und als ehemaliger Provider der immer versucht hat selber einigermaßen sauberes Netz zu halten finde ich das eben auch einfach eine parasitisches Geschäftsmodell.

02:12:34: Das sind Leute die damit leben das Internet zu einem schlechteren Ort wird, dass andere da möglicherweise Opfer von kriminellen Handlungen werden oder auch nur von irgendeiner Form von Sachen die sie belästigen.

02:12:49: Also so eine Spam-Mail ist ja jetzt nicht per se ne Kriminelle Handlung aber nervt halt und ich finde es ein Unding, das Leute zum Geschäftsmodell machen, da nicht hinzugucken zu sagen, ja das ist ja ihr freie Meinungsäußerung wenn da jemanden sechzehn Milliarden Viagraspams über mein Netz verschickt.

02:13:07: Nein!

02:13:07: Das ist keine freien Meinungs-Äußerungen.

02:13:09: Es hat überhaupt nichts mit Free Speech zu tun und es hat sehr viel mehr damit zu tun dass da jemand dunkelgraue oder schwarze Geschäftsmodelle in deinem Netz betragen.

02:13:19: Okay ich glaube wir haben das Thema fürs erste soweit erzählt wie wir es erzählen können aber mir schwankt da wird nochmal eine Fortsetzung folgen denn auch nicht nur wir haben dieses Thema immer wieder gesehen für uns, sondern auch andere Journalisten aus dem internationalen Bereich.

02:13:39: Die viel mit Cybercrime machen eben unter anderem die Leute von INSIC Group aber auch Leute wie Brian Crabs haben diese Bulletproof-Houster immer mal wieder in Recherchen über den Weg laufen und es läuft immer auf wenige aber identische Namen hinaus, die da als Akteure sind und ich glaube, da wird's noch einmal einen Nachtglaub dazu geben.

02:13:59: Genau!

02:13:59: Es gibt eine relativ langen Artikel schon von uns... Das waren von sechs gedruckte Seiten und der lässt immer noch links und rechts einige Firmen unberücksichtigt, die in dem Netzwerk auch noch dazugehören.

02:14:08: Also den Artikel verlinken wir natürlich nochmal... das ist nur ein Schlaglicht auf das Gesamtproblem.

02:14:16: Genau!

02:14:16: Und das Gesammproblem ist in meiner Zeit, die ich als Hoster verbracht habe, auch nur noch größer geworden.

02:14:24: also es gab diese Bulletproof-Hoster auch Ende der Neunziger Anfang der Zweitausender schon die aus denen viel Spam kam und wo viele Bios rauskam.

02:14:34: Früher hat sich viel des Missbrauchs auf wenige Länder, wie Brasilien zum Beispiel, das erinnere ich noch sehr genau und unter anderem Rumänien konzentriert.

02:14:43: Das ist jetzt sehr viel breiter geworden und das ist einfach eine ganze Industrie geworden, die sich auch übrigens in Einigen Foren so vernetzt und wo es da einfach so Anlaufpunkte gibt, wo sich die Akteure der Industrie mit ihren Kunden unterhalten und neue Kunden gewinnen.

02:14:58: Und das ist nicht unbedingt in irgendwelchen Darknet-Forenen, wo sie sich nur den ganzen Cyberkriminellen tun wollen sondern das geschieht auch relativ offen.

02:15:06: man muss halt nur wissen dann welchem Forum das ist.

02:15:08: Da gibt's ein paar, die dafür berüchtigt sind dass da die Grenzen zwischen Total normal und wir machen richtig gutes Abuse-Management.

02:15:17: Und wir scheißen drauf, was dabei abiusreinkommt sehr fließend sind.

02:15:23: Gut ich glaube das was wir erzählen können haben wir erzählt.

02:15:26: Wir haben uns ein bisschen Zeit gelassen.

02:15:29: wir hoffen ja fandet dass interessant.

02:15:32: und wenn ihr Zu dem thema was anonymes werden wollt Ich möchte noch mal darauf hinweisen unter heise.de-investigativ findet Ihr zwei anonyme Möglichkeiten mit uns Kontakt aufzunehmen Und die sind auch insofern anonym, zumindest also auch die über das Onion-Netzwerk.

02:15:47: Dass wir euch tatsächlich nicht zurückverfolgen können wenn ihr uns da etwas einreicht und auf unsere Rückfragen nicht reagiert dann können wir euch auch nicht finden.

02:15:59: gerade versuche ich nämlich einem Hinweis geben noch einige rückfragen zuzustellen Die zu einem investigativen Hinweis den er mir gegeben hat.

02:16:09: oder sie hat sich nicht wieder zurückgemeldet und dann haben wir auch keine Möglichkeit euch zu finden.

02:16:13: Also, auch wenn ihr was Präsentes habt, das ihr von dem ihr nicht möchtet, dass das irgendwie zurückverfolgt werden kann, dann kippt das über heise.de-invest negativ ein.

02:16:22: Wenn ihr nur in Anführungszeichen nur Lobkomplimente oder Feedback zu dieser Folge habt, dann schreibt uns gerne an.

02:16:30: password-podcastat Heise.de.

02:16:33: Es sind immer noch zwei oder drei Mails von Hörern offen bei mir, die habe ich immer noch nicht geschafft zu beantworten aber Ich hab's auf dem Schirm.

02:16:38: ihr seid nicht untergegangen.

02:16:40: es kann manchmal ein bisschen dauern Aber wir versuchen alle Feedbacks Zu Beantworten.

02:16:46: in dem Sinne würde ich sagen wir kommen zum Ende Bis zum nächsten Mal.

02:16:50: und denkt dran

02:16:52: Dieser Podcast ist das einzige Passwort dass ihr teilen solltet Tschüss.