1 Jahr Blog hinter dem Webcache

Wir haben hier natürlich für den November 2023 nur einen halben Monat, weil die Stats vom 13. des Monats sind. Eine kleine Rückschau zur Technik gibt es auch noch.

Sie verpassen nichts, sind nur Zahlen pro Monat mit einigen Balkendiagrammen.

1 Jahr Blog Zugriffszahlen

Einfach nur Zahlen veröffentlichen kann jeder, deswegen ein kleiner Bericht aus dem Jahr des Caches.

Aus dem Leben eines Webcaches

Die meiste Zeit lief das Cache problemlos, sonst hätte ich es auch nicht benutzt. Die Vorteile liegen klar auf der Hand, weil die Zugriffszeiten massiv verbessert wurden. Allerdings stieg auch der Komplexitätsgrad der Serverkonfiguration an:

– DNS Proxies
– Backend-Webserver
– Fake DNS Server
– Cacheserver

Ohne groß ins Detail zu gehen, weil mit irgendwas muß man ja sein täglich Brot verdienen ;), kommen wir zu einer Besonderheit der Konstruktion: Der Backendserver hat eine andere IP als der Cacheserver.

Weil das so ist, muß man dem Cache irgendwie mitteilen, daß eine aufgerufene Domain eine ganz andere IP hat. Dazu benutzt man einen FakeDNS Server. Der war in Perl geschrieben und besteht im Prinzip nur aus einer einzigen Schleife: „Wenn wer fragt, sagt diese IP auf“. Das dumme daran ist, es ist Perl. Perl fällt aus bzw. für den Fragenden kommt einfach ab und zu mal keine Antwort.

„Keine Antwort“ meint aber im Cache: „Hey, der DNS Server ist tod.“   Was macht ein Cache wenn der Server „tod“ ist? Genau, es entfernt den DNS aus der Liste der aktiven DNS Server. Ziemlich blöd, wenn das nur ein Server ist 🙁 Also haben wir zwei konfiguriert und das Cache sollte Roundrobin machen. Machts aber nicht, auch wenn es in der Anleitung steht 😉

d.h. ein dritter FakeDNS mußte her und da hörte der Spaß auf. Statt noch ein Perlscript zu starten, wurde named als Forwarder konfiguriert. Das antwortet jetzt immer stabil  auf Anfragen, weil es nur einmal am Tag nachfragt und geht so mit den arbeitsscheuen Perlscripten wohlwollend um.

Warum Perlscripte?

Weil um eine einzige IP auszugeben, ein vollwertiger PowerDNS nebst Datenbank vielleicht ein bisschen zu viel wäre. Dachte ich. Heute tendiere ich dazu mal entsprechend umzubauen, weil das den Komplexitätsgrad verringert und die Stabilität erhöht. Der Preis wird eine Datenbank basierte Pflege beinhalten, statt einfach ‚echo „domain.de 123.45.67.89“ >> fakedomainliste.txt‚ zu benutzen. Ein kleiner Preis, im Vergleich zum Stress durch die Ausfälle.

Wenn Ihr also plant WordPress mit einem Cache zu betreiben, dann macht es gleich richtig.

Praktischerweise konnte man aus diesem privaten Beispiel sehr viel für unsere Firma übernehmen und jetzt haben wir ein miniCloudflare, nur ohne Abhängigkeit von einer US-Firma \o/  Das reduziert die Last und macht Kunden glücklich.

Der Ghostscript Exploit, der in andere Anwendungen eskaliert

Vor einigen Tagen hatte ich ja was zum Kernel Bug geschrieben, nämlich, daß ich mir mehr Sorgen mache, daß eins der Desktopprogramme geknackt wird. Jetzt ist es bei Ghostscript soweit.

Der Ghostscript Exploit, der in andere Anwendungen eskaliert

Ghostscript < 10.1.02  hat eine Schwachstelle, die das Ausführen von Code erlaubt. Das an sich ist schon schlimm, wenn man dann erfährt, daß das bei den Maintainer untergegangen ist 🙁

Schlimmer ist aber, daß die Lücke in andere Anwendungen wie InkScape, LibreOffice und Gimp eskaliert, dort also auch funktioniert. Möglich macht dies das Äquivalent der größten Container-Sorge überhaupt: Diese Anwendungen halten sich eine selbst gepatchte Version von Ghostscript in der Codebasis und naja, in der ist der Bug auch drin.

Das ist vergleichbar mit einer Sammlung von Docker Containern,Snaps & Flatpaks, welche alle die gleiche ausnutzbare libPNG drin haben und jetzt alle geupdated werden müssen, wo ja eigentlich nur eine Komponente das Update wirklich bräuchte: Ghostscript. Was zeigt das: Dumme Entscheidungen brauchen kein Containermodell 😉

Anstatt einer Komponente, müssen jetzt ein Haufen unübersehbarer Anwendungen aktualisiert werden, wozu man erstmal rausfinden muß, wo das überall drin ist. Das muß man erst mal schaffen. Log4J lässt so derbe grüßen, daß heute wohl Murmeltiertag ist.

Da zu allem Überfluss ein POC-Exploit bekannt ist, werden echte Exploits nicht lange auf sich warten lassen.

Die Situation auf Debian ist besser als die von Fedora, weil Debian immerhin das erste GS Update ausgeschickt hat, bei Fedora aber nichts am Horizont ist. Dagegen habe ich mal was gemailt…

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-36664

https://www.kroll.com/en/insights/publications/cyber/ghostscript-cve-2023-36664-remote-code-execution-vulnerability

 

Die Polizei schickt keine „Haftbefehle“ per Email.

Ich mußte heute herzlich lachen, weil eine Scammertruppe, die vermutlich aus dem Ostblock stammt, eine „Vorladung“ bzw. „Haftbefehl“ über Server der deutschen Telekom verteilt hat. Dabei haben Sie eine Schwachstelle in einem Webdienst ausgenutzt oder hatten gültige Zugangsdaten.

Die Polizei schickt keine „Haftbefehle“ per Email.

So eine Email kann echt Leben retten, weil wir ja Sommerloch haben und es echt schwer ist, gerade Themen für Linux am Dienstag zu bekommen. Ergo war ich ganz erpicht darauf, diesen „Haftbefehl“ zu sehen, den ein Freund bekommen hatte 😀

Jetzt liegt der Text schlauerweise nur als Bild vor, sodaß man es mit Virenscannern nur per Signatur erkennen kann, aber einmal OCR drüber laufen lassen und…

Zu Ihrer Kenntnisnahme,

Ich, der unterzeichnende Michael RUPP Polizeidirektor, stellvertretender Generaldirektor der öffentlichen Sicherheit,
Zentraldirektor der Kriminalpolizei und des Dienstes für internationale polizeiliche Zusammenarbeit (SCIP), in
Zusammenarbeit mit Herrn Jean Philippe Lecouffe, Direktor der Operationen von EUROPOL, gestützt auf die Artikel 20 21. 1
und 74 bis 78 der Strafprozessordnung,

Wir übermitteln Ihnen diesen Haftbefehl kurz nach einer verdeckten Beschlagnahme von Computern, um Ihnen
mitzuteilen, dass Sie Gegenstand mehrerer laufender Gerichtsverfahren sind.

Wir leiten rechtliche Schritte gegen Sie ein wegen:

o Kinderpornographie.
o Padophilie
o Exhibitionismus
o Cyberpornographie
o Verstoß gegen die guten Sitten

Zu Ihrer Information: Das Gesetz 3903 der Strafprozessordnung vom März 2007 versehärft die Strafen, wenn Prostitution,

sexuelle Nötigung oder Vergewaltigung begangen wurden.

Sie haben die Straftat begangen, nachdem Sie im Internet (auf einer Werbeseite) angesprochen wurden, eine
kinderpornografische Seite besucht haben, Nacktfotos/-videos gemacht haben und Ihr Austausch von unserem Computer-
Agenten aufgezeichnet wurde und den Beweis für Ihre In Übereinstimmung mit dem Artikel Nr. 98-451 vor 19.|uni 2007,
808 Abs. 15 cp – Amtsblatt 11. Juni 200 Wer solche Taten begeht, wird strafrechtlich verfolgt und mit einer
Freiheitsstrafe von 8 bis 35 Jahren und einer Geldstrafe von 50.000 bis 250.000 Euro bestraft.

Aus Gründen der Vertraulichkeit senden wir Ihnen diese E-Mail, Bitte senden Sie uns Thre Begründungen per E-Mail, damit
sie innerhalb einer strengen Frist von 72 Stunden geprüft und auf Sanktionen untersucht werden können,
Nach Ablauf dieser Frist sind wir gezwungen, unsere Beschwerde an die Staatsanwaltschaft weiterzuleiten, um einen
Haftbefehl gegen Sie zu erwirken, und wir werden Ihre sofortige Verhaftung veranlassen.
In diesem Fall wird Ihre Akte auch an pädophile Vereinigungen und die Medien zur Veröffentlichung
weitergeleitet, damit Ihre Familie und Verwandten wissen, was Sie tun, und Sie werden in allen europäischen
‘Verwaltungen und im Nationalen Register für Sexualstraftäter (RNDS) als Sexualstraftäter registriert.
Wir warten auf Ihre Antwort-E-Mail, um Ihnen mitzuteilen, wie Sie weiter vorgehen sollen.
+ Bitte senden Sie Ihre Antwort an die unten angegebene E-Mail-Adresse der Abteilung:
* info.regulierang01@gmail.com

Mr Michael Rupp.

Polizeidirektor
– BUNDESPOLIZENINSPEKTION MÜNCHEN
BRIGADE FÜR DEN JUGENDSCHUTZ
Denisstraße 1 – 80335 München

 

Alle Rechtschreibfehler und grammatikalischen Verstümmelungen liegen entweder beim Täter oder der OCR 😉

Bei „BRIGADE FÜR DEN JUGENDSCHUTZ“ mußte ich so lachen, weil das Sowjetsprache ist und so gar nicht zu Europol oder der PI München paßt 🙂

Schauen wir uns mal die Header an:

Return-Path: <bv8000963@magenta.de>
Received: from fwd73.dcpf.telekom.de ([10.223.144.99]) by ehead24a09.aul.t-online.de with LMTP id VnlyJvSBhmSfDgAATKPkTA:T6 (envelope-from <**********@magenta.de>); Mon, 12 Jun 2023 04:26:10 +0200
Received: from spica15.mgt.mul.t-online.de ([172.20.102.121]) by fwd73.aul.t-online.de with esmtp id 1q8XED-0W8nQm0; Mon, 12 Jun 2023 04:24:21 +0200
Received: from 80.255.13.4:64582 by cmpweb02.aul.t-online.de with HTTP/1.1 (Lisa V7-3-3-1.0 on API V5-51-0-0); Mon, 12 Jun 23 04:24:20 +0200
Received: from 172.20.102.132:49924 by spica15.mgt.mul.t-online.de:8080; Mon, 12 Jun 2023 04:24:20 +0200 (CEST)
Date: Mon, 12 Jun 2023 04:24:20 +0200 (CEST)
From: Abteilung Kriminalpolizei <**********@magenta.de>
Sender: Abteilung Kriminalpolizei <**********@magenta.de>
Reply-To: „bvb175000@magenta.de“ <bvb175000@magenta.de>
To: „winnipooo@t-online.de“ <winnipooo@t-online.de>
Message-ID: <1686536660935.2098793.ebf4c26453c3211c5e5373917ea4959ad249fe29@spica.telekom.de>
Subject: =?UTF-8?Q?CYBERKRIMINALIT=C3=84T_-_VORLADUNG?=

Wie oben markiert, sieht man schön, daß das angeblich über eine Webanwendung eingeliefert wurde. Das kennt man schon bei der DTAG, hatte da auch mal eine schöne Scamemail über die DTAG, da wars auch ne Webanwendung. Es ist also durchaus möglich, daß das wirklich per Web eingeliefert wurde. „172.20.102.132:49924 “ ist eine private Adresse innerhalb des eigenen Netzwerkes. Das meint, daß auch die Einlieferung schon aus dem Netz der DTAG kam, was auf eine andere Sicherheitslücke hindeutet. Fairerweise muß man sagen, daß Angreifer Received-Header in Emails einfügen können, aber auf den ersten Blick sieht die Kette valide aus.

Über den Schwachsinn, den die Kriminellen in das Bild mit der Überschrift „Bundespolizei  EUROPOL / Mandat für Gerichtsverfahren“ geschrieben haben, brauchen wir uns nicht groß auslassen. Da ist einfach irgendwas zusammenkopiert worden und bedrohlich verpackt worden. Mehr Relevanz hat das nicht. Es sollte ja jedem klar sein, daß so etwas nicht per Email kommt. Das und die GMAIL Adresse sollte eigentlich auch bei den einfältigerne Mitmenschen sofort für „BETRUG“-Schriftzüge vor dem geistigen Auge sorgen 😉

Damit diese Zielgruppe von Menschen, die auch glauben, daß man Verwandte freikaufen müßte, gewarnt werden, habe ich das ganze an die zuständigen Behörden geleitet, u.a. auch die Behörde von besagtem Herrn Rupp in München. Es zahlt sich aus, ein Adressbuch mit Polizeikontakten zu haben 😉

Also, laßt Euch nicht verarschen 🙂