Der E-Mail-Dienst für PC-Profis, Ausgabe vom 23. November 2005

Post vom BKA. Oder: Wer gehört zu welcher IP-Adresse?

Von Dr. Giesbert Damaschke, München

Liebe Leser,

heute bekam ich bedrohliche Post. Absender war "anzeige@bka.de":

Post vom BKA – oder doch nicht?

Sehr geehrte Dame, sehr geehrter Herr,

das Herunterladen von Filmen, Software und MP3s ist illegal und somit strafbar. Wir moechten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP 237.68.125.153 erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet. Die Strafanzeige und die Moeglichkeit zur Stellungnahme wird Ihnen in den naechsten Tagen schriftlich zugestellt.

Aktenzeichen NR.:#5671 (siehe Anhang)

Hochachtungsvoll

i.A. Juergen Stock

Bundeskriminalamt BKA

Sober, was sonst?

Bei der zitierten E-Mail handelt es sich natürlich nicht um eine echte E-Mail vom BKA, sondern um eine Variante des derzeit kursierenden Sober-Wurms.

Neben dieser angeblichen BKA-Post bekam ich den Wurm noch als angebliche Mail ...

• ... vom "webmaster@gmx.de", der mich über eine Account-Änderung informierte,
• ... vom "service@e-service.ingrammicro.de", die meine "Nutzungsdaten" geändert hätten,
• ... vom "admin@hind.dk", der mir eine Fehlermeldung über einen angeblich fehlgeschlagenen Mailversand zuschickte,
• ... vom "hostmaster@hotmail", der mir einen SMTP-Error weiterleitete,
• ... vom "postmaster@ebay.com", der ebenfalls mitteilte, dass ein Mailversand fehlgeschlagen sei.

Ich weiß nicht, wieviele solcher Mails bereits im Vorfeld von meinem Provider ausgefiltert wurden, aber schon diese kleine Auswahl ist recht beachtlich, zumal ein paar Varianten mehrfach eintrafen. Insgesamt versammelten sich rund 20 Sober-Mails innerhalb weniger Stunden in meinem Postfach: Ein deutliches Zeichen dafür, dass der Wurm derzeit sehr aktiv ist.

Die IP-Adresse

Doch zurück zur angeblichen BKA-Mail, die einen schönen Anlass für einen kleine Abstecher in die Grundlagen des Internet bietet. In der Mail heißt es: " ... dass Ihr Rechner unter der IP 237.68.125.153 erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt ...".

Dass man den "Inhalte eines Rechners als Beweismittel sicherstellen" kann, einfach so, via Internet – wird wohl jeder als den Unfug erkennen, der er ist. Doch was hat es da mit "der IP" (ergänze: "-Adresse") auf sich? Die sieht doch irgendwie echt aus, oder?

Vereinfacht gesagt ist eine IP-Adresse ein numerischer Wert, der einem Computer im Internet zugeordnet wird, um ihn eindeutig identifizierbar zu machen. Schließlich soll ein Datenpaket genau da ankommen, wo es hin soll, was nur bei eindeutigen und verwechslungsfreien Bezeichnungen geht.

Ein Computer kann entweder eine feste IP-Adresse besitzen (etwa bei Servern, die permanent mit dem Internet verbunden sind), es kann ihm aber auch eine für die Dauer seiner Online-Zeit aus einem Pool zugewiesen werden. Dies ist zum Beispiel bei allen Dial-Up-Zugriffen der Fall. Hier weist der Provider, über den die Internet-Verbindung hergestellt wird, dem jeweiligen Computer eine IP-Adresse zu. Sobald die Verbindung beendet wird, wandert die IP-Adresse wieder in den Pool des Providers und wird dem nächsten Kunden, der online gehen möchte, zugewiesen.

Schon jetzt kann man wissen, dass es sich bei der angeblichen IP-Adresse in der angeblichen BKA-Mail nur um heiße Luft handeln kann: Die IP-Adresse allein genügt bei einem Dial-Up-Zugriff nicht – man muss auch noch wissen, welchem Computer der Provider zu welchem Zeitpunkt diese IP-Adresse zugewiesen hat.

Wer bin ich?

Um herauszubekommen, unter welcher IP-Adresse man selbst im Internet unterwegs ist, genügt es nicht, ein Programm (etwa das windowseigene "ipconfig.exe") auf zu starten. Denn das kann einem nur verraten, wie die IP-Adresse des Computers innerhalb eines (lokalen) Netzwerkes lautet – die IP-Adresse, über die die Maschine von außen erreichbar ist, erfährt man auch nur "von außen".

Das ist einfacher, als es vielleicht klingt, denn diese IP-Adresse wird bei jedem Kontakt zu einem Webserver übermittelt. Man muss also nur eine Webseite gestalten, die diese IP-Adresse vom Server abfragt und anzeigt. Da das eine der einfachsten Aufgaben ist, gibt es entsprechend viele Webseiten, die das tun, zum Beispiel:

Wie ist meine IP-Adresse? (mit Speed-Test)

Wer gehört zu welcher IP-Adresse?

Die Überprüfung der eigenen IP-Adresse wird zweifellos ergeben, dass die in der Sober-Mail angegebene Adresse nicht die des eigenen Rechners sein kann – aber wem gehört sie dann? Die Adresse selbst ist formal korrekt und irgendjemanden wird sie zugewiesen sein.

Der gesamte IP-Adressbereich umfasst derzeit die Nummern 1.0.0.0 bis 255.255.255.255. Nicht alle möglichen IP-Adressen sind für den allgemeinen Gebrauch frei gegeben. Bestimmte Teilbereiche sind für Tests und Entwicklung reserviert, andere bestimmten Aufgaben vorbehalten und einige Bereiche für den Einsatz in lokalen IP-basierten Netzen vorgesehen.

Die IP-Adresse "127.0.0.1" meint zum Beispiel immer den eigenen Computer, der gesamte Bereich von 10.0.0.0 bis 10.255.255.255, Teilbereiche von 172.xx.xx.xx und alles von 192.168.0.0 bis 192.168.0.255 ist für den lokalen Einsatz in Firmen- und privaten Netzwerken vorgesehen. Adressen aus diesem Bereich sollten nicht im öffentlichen Internet auftauchen (und tun dies normalerweise auch nicht).

Auch die im angeblichen BKA-Schreiben genannte IP-Adresse gehört zu einem reservierten, nicht öffentlichen Adressraum und kann schlechterdings keinem normalen Netzteilnehmer zugewiesen sein.

Eine Whois-Abfrage schafft Klarheit

Woher ich das weiß? Nun ganz einfach – ich habe ein so genannte "Whois"-Abfrage durchgeführt. Dabei schlägt ein kleines Programm in den "Telefonbüchern" des Internet – also den Datenbanken der DNS-Server – nach, wem eine IP-Adresse gehört.

Füttert man ein Whois-Programm mit der angegebenen Adresse, dann erhält man die Auskunft, dass die Adresse der "Internet Assigned Numbers Authority" zugewiesen ist, zum Netzbereich "224.0.0.0 – 239.255.255.255" gehört und vom Netztyp "IANA Special Use" ist.

Was immer die Iana mit dieser Adresse vorhat und wozu immer sie diese Adresse einsetzen mag – es handelt sich mit Sicherheit um keine IP-Adresse, die der Computer eines Anwenders im Internet haben kann.

Derartige Whois-Programme gibt es im Netz sehr viele, in diesem Fall habe ich das Abfrage-Tool der IKS GmbH aus Jena benutzt:

Abfrage von Whois-Datenbanken

Ihr

Dr. Giesbert Damaschke

Erneut Sicherheitsloch im Internet Explorer aufgetaucht

Schon vor mehr als vier Monaten wurde eine Sicherheitslücke im Internet Explorer bekannt, die von Microsoft allerdings als weniger kritisch eingestuft wurde. Entsprechend des geringen Risiko-Potentials der Lücke hat Microsoft sich mit einer Behebung des Fehler Zeit gelassen – zu viel Zeit, wie sich jetzt herausstellt.

Denn die immer noch nicht geflickte Lücke im System erwies sich jetzt als deutlich gefährlicher als anfangs gedacht. Denn sie sorgt nicht nur dafür, dass man den Internet Explorer durch eine entsprechend präparierte Webseite abstürzen lassen kann. Sondern es ist ebenfalls möglich, über einfache Javascript-Anweisungen beliebigen Programmcode einzuschleusen und auf dem Computer des Anwender auszuführen.

Microsoft hat die Gefährlichkeit der Lücke bestätigt. Da noch kein Patch vorliegt, empfiehlt Microsoft als Workaround die Deaktivierung von ActiveScripting bzw. die Sicherheitseinstellungen des Browsers so zu ändern, dass der IE nachfragt, bevor er ein Script ausführt.

Sony gerät weiter unter Druck / Mehrere Anzeigen erstattet

Der missratene Kopierschutz auf einigen Sony-Musik-CDs (s. zuletzt "Business-PC Daily" vom 16. November) weitet sich für den Konzern immer mehr zu einem Desaster. Derzeit hat der Konzern nicht nur einen erheblichen Image-Schaden zu befürchten, sondern sieht sich mit derzeit drei Klagen konfrontiert.

• In Kalifornien haben Verbraucher eine Sammelklage gegen Sony BMG eingereicht.
• In Texas wurde der Konzern vom Generalstaatsanwalt wegen eines Verstoßes gegen das neue Antispyware-Gesetz in diesem Bundesstaat.
• Ebenfalls in Texas wurden von der Staatsanwaltschaft Testkäufe gemacht. Entgegen Sonys Ankündigung, die betroffenen CDs zurückzurufen, konnten die Mitarbeiter der Staatsanwaltschaft problemlos Exemplare der CDs bekommen.
• Pro in Texas verkaufter CD fordert der Generalstaatsanwalt Greg Abbott 100.000 US-Dollar Schadenersatz.
• Die Bürgerrechtsorganisation EFF (Electronic Frontier Foundation) hat eine weitere Sammelklage gegen den Konzern eingereicht.

Während sich die bisherigen Klagen gegen den Windows-Kopierschutz XCP richten, bezieht die EFF ihre Klage auch auf den Kopierschutz "Mediamax", der von der Firma Sunn Comm für Sony produziert wird und für Macintosh-Computer gedacht ist. Auch dieser Kopierschutz hat zahlreiche unerwünschte Nebenfunktionen und greift ebenfalls so tief in das System ein wie XCP.

Regelkonform, aber unbeliebt: Ein Windows, das niemand will

Der langjährige Monopol-Prozess der EU-Kommission gegen Microsoft führte vor einigen Monaten dazu, dass Microsoft ein Windows ohne Mediaplayer anbieten musste. Ziel dieser Aktion war es, anderen Marktteilnehmern die Chance zu bieten, ihre Multimedia-Software zu fairen Konditionen anbieten zu können und nicht von einem vorinstallierten Mediaplayer vom Markt gedrückt zu werden.

Doch so schön die Theorie auch immer sein mag, die Praxis sieht dann doch ein wenig anders aus: Die seit Juni erhältliche Version "Windows XP N" – das N steht für "No Mediaplayer" – wird nicht gekauft. Als einziger Hardwarehersteller hatte Fujitsu-Siemens sich bereit erklärt, "XP N"-PCs anzubieten, falls danach gefragt wird. Die Nachfrage sei aber praktisch nicht existent, so der Produktmarketing-Chef des Konzerns, Garry Owen. Auch Lenovo (dem Käufer der IBM-PC-Reihe) vermeldet Absatzzahlen nahe Null.

Von Microsoft selbst liegen noch keine Absatzzahlen vor.

Über "Business-PC Daily"

Der Newsletter "Business-PC Daily" wird heute gesponsert vom "Windows 2000/XP/NT-Berater", dem Berater für die optimale Pflege und Installation Ihres Windows-Netzwerks.

Detaillierte Informationen zum "Windows 2000/XP/NT-Berater", sowie die Möglichkeit, den Berater kostenlos zum Test anzufordern, finden Sie unter:

Der Windows 2000/XP/NT-Berater

Fordern Sie sich am besten noch heute ein GRATIS-Test-Exemplar an und machen Sie den kostenlosen 6-Wochen-Test!