„Hello, you reached Interpol, how can we…“ *click*

Heute morgen wurden wir aus Indien mit Fakenews zu unserem Air-Gapped Windows-PC angerufen. 4 mal, beim 5ten mal passierte das hier 😀

„Hello, you reached Interpol, how can we…“ *click*

Irgendwie hat das Wort Interpol bei den Indern eine Allergische Reaktion hervorgerufen, ich konnte nicht mal meinen Fiktiven Namen nennen 🙂

Na gut, da bleibt wohl nur die Forensische Untersuchung. Dazu brauchen wir:

– eine Fritzbox

Denn, eine Fritzbox hat ein Funktion zum Herunterladen von Erweiterten Supportdaten fĂŒr AVM, das machen wir uns zu nutze 🙂 Und Ihr mĂŒĂŸt schnell sein, schon der nĂ€chste Anruf kann die Daten die wir brauchen, aus der Liste werfen.

Wie kommt man an die Daten ran?

Dazu loggt Ihr Euch in die Fritz!box ein, notfalls die erweitere Ansicht starten.

1) auf Inhalt klicken

2) auf „Fritz!Box Support“ klicken

3) und Daten speichern

Da sind jetzt jede Menge Daten drin, aber findet man da die richtigen. U.a. ist in den Daten die Anruferliste drin, da taucht die fiktive Nummer auf, die der Anrufer sich gegeben hat. Außerdem stehen die SIP Header der letzten Anrufe zur VerfĂŒgung, aber eben nur 3 oder 4, deswegen gleich machen 😉

Wenn Ihr weiter nach der Rufnummer sucht, dann stoßt Ihr zwangslĂ€ufig auf das hier:

2022-06-14 10:50:34.284 – IN: my=Fritz.box-IP%16:5060 peer=212.227.124.129 port=5060 UDP, sipiface=none:
INVITE sip:49meinenummer@meine-IP;uniq=4ED0D261308B18E3479371E6DE583 2.0
Via: SIP/2.0/UDP 212.227.124.129;branch=z9hG4bK558a.a1b3af1c4cb4a9d3db770f9c2540be30.0
Via: SIP/2.0/UDP 212.227.67.227;branch=z9hG4bK558a.43f57bddf2d907ac8e703c88816f28c8.0
Via: SIP/2.0/UDP 212.227.124.145;branch=z9hG4bK558a.0196cb5967141d39c551e1029d6b8409.0
Via: SIP/2.0/UDP 212.93.31.246:5060;branch=z9hG4bK1kv0so005gggdkea0210.1
Record-Route: <sip:212.227.124.129;lr=on>
Record-Route: <sip:212.227.67.227;lr=on;ftag=o6at64tt-CC-1067-OFC-1770;did=e18.5d83>
Record-Route: <sip:212.227.124.145;lr=on>
From: „+49458911245“ <sip:+49458911245@Versatel.de;transport=udp;user=phone>;tag=o6at64tt-CC-1067-OFC-1770
To: „+49meinenummer“ <sip:+49meinenummer@1und1.de;user=phone>
Call-ID: y6bosyszeetyiy769vbssneaa9yetzi6@10.18.5.64
CSeq: 1 INVITE
Contact: <sip:+49458911245@212.93.31.246:5060;user=phone;transport=udp>
History-Info: <sip:+49meinenummer@1und1.de>;index=1
History-Info: <sip:+49meinenummer@1und1.de;user=phone>;index=1.1;np=1
Max-Forwards: 59
P-Early-Media: supported
Supported: timer
Min-SE: 90
Session-Expires: 1800;refresher=uac
Allow: INVITE, ACK, OPTIONS, BYE, CANCEL, INFO, PRACK, NOTIFY, MESSAGE, REFER, UPDATE
Content-Type: application/sdp
Content-Length: 313

Die IP Adresse im Contact:-Header ist die des Anrufer, oder zumindest die, die er nach außen in dem Netz hatte. Er könnte ja auch per VPN drin sei, oder einen gehackten PC kontrollieren. Diese IP ist das einzige wahre an dem ganzen Anruf, denn um die Verbindung zu halten, mĂŒssen die SIP Pakete routebar sein, also kann man keine gefĂ€lschten IPs wie bei einem DDOS benutzen.

Mit den Daten oben könnt Ihr dann tatsĂ€chlich zur Polizei gehen und Anzeige erstatten, weil es hier tatsĂ€chlich einen Ermittlungsansatz gibt. NatĂŒrlich sind die Inder nicht wirklich in Deutschland, aber beim Provider der das SIP GesprĂ€ch an Euch durchgereicht habt, muß es auch Log zur echten IP geben, weil, wie gesagt, mit gefĂ€lschten Ips gehts nicht. Also ist da entweder ein gehackter PC / Telefonanlage im Spiel, oder ein VPN. Auf beides muß man mit IPs zugreifen. So oder so, tut ihr was Gutes 😉

Um die Anrufer aus dem obigen Beispiel kĂŒmmert sich die Kripo Wuppertal 😉

Follow-UP: „Hello, you reached Interpol, how can we …“ *click*

CoronaChroniken: Die Sache mit dem R

Liebe Kasernierte,

heute geht es um Panikmeldungen zum Faktor R.

CoronaChroniken: Die Sache mit dem R

Wir brauchen unsere tĂ€gliche Grafik, extra fĂŒr Euch heute morgen noch aktualisiert:

Ihr seht die rote Linie, das ist R. Wenn R > 1 geht, dann bedeutet das eine Zunahme der Neuinfektionen. Sehen kann man das schön vom 6.3. bis 18.3. als die Zahlen der Neuinfektionen steil angestiegen sind.

Heute morgen hieß es in den Medien, das das RKI ein R von 1,1 annimmt und eine passende Warnung platziert hat. Nun, die Zahlen oben sind vom RKI und unterscheiden sich nur dadurch, daß ich andere Formeln auf R loslasse 🙂

Ich bilde erst einmal einen ĂŒber 7 Tage gemittelten Kurvenwert ( grĂŒn ) fĂŒr die Neuinfiziertenzahlen. Damit verflĂŒchtigen sich die ganzen Meldeschwankungen (das ist das Zickzackmuster in der dunkelblauen RKI Linie) ).

Was ist R ĂŒberhaupt?

R ist der Ansteckungsfaktor. Damit ist das VerhĂ€ltnis von Leuten die infektiöse sind und Neuinfizierten gemeint, denn nur Menschen, die gerade in Ihrer infektiösen Phase sind, können ĂŒberhaupt jemanden anstecken.

1, Annahme: Diese Phase betrÀgt ganz grob 12 Tage.
2, Annahme: Nur Menschen, bei der die Krankheit frisch ausbricht, laufen draußen noch rum, weil die anderen, liegen im Bett um sich auszukurieren.

R wird nun wie folgt ermittelt:

R(10.5.) = SUMME(8.5. – 11.5.) / SUMME(4.5. – 7.5.)

kommt hier 0,8 fĂŒr den 10.5. raus. Der 11.5., also die Neuinfektionszahlen von Morgen, werden aufgrund des Kurvenverlaufes geschĂ€tzt, Das RKI geht mit seinem hochtrabend „NowCasting“ benannten Verfahren sogar noch 2 Tage weiter in die Zukunft. Da die Werte im Wochenverlauf immer gleich Schwanken ( Donnerstags die meisten Meldungen ) kann man das Experiment vermutlich wagen, aber es wird halt immer unsicherer, je mehr man SchĂ€tzen muß. Daher wage ich nur einen Tag in die Zukunft zu blicken und den Rest berechnen zu lassen.

Anmerkung: Ob man 4 oder 5 Tage als Durchschnitt nimmt, hat keinen signifikanten Einfluss auf die derzeitige Kurve. Es ist nur bei extrem starken Änderungen, wie von 6.3. bis 18.3. relevant.

Hier die Kurven in Zahlenform, damit Ihr das nachrechnen könnt:

DatumRKI Neuinfektionen7Tage Mittelwert
01.05.20850979,7142857143
02.05.20620928,2857142857
03.05.20407895,4285714286
04.05.20717853,4285714286
05.05.201060849,1428571429
06.05.201180810,4285714286
07.05.201140838,7142857143
08.05.20820822,8571428571
09.05.20349758,1428571429
10.05.20605676,4285714286

Wenn die Zahlen der Neuinfizierten auch nur fĂŒr 7 Tage gleich blieben, hĂ€tten wir den R=1 Wert erreicht, weil dann immer ein bereits Infizierter einen Neuinfizierten verursacht (im Durchschnitt natĂŒrlich nur).

Da es sich bei R um einen Faktor handelt, der auf Durchschnittswerten von Durchschnittswerten beruht, dauert es immer eine Weile bis sich klare Trends ablesen lassen und der Wert wird immer leicht schwanken, das liegt schon in der 5 Tage Arbeitswoche begrĂŒndet, der die Meldeschwankungen zu verdanken sind.

Wenn man sich den Verlauf von R als direkte Ableitung von den ungeglĂ€tteten und somit unrealistischen Zahlen ( hier „r direkt“ genannt )  und im Vergleich dazu die geglĂ€tteten Zahlen ( „r(4d)“ ) dann sieht man sofort, wieso das gemacht werden muß:

Analyse von RDie Neininfektionszahlen sind im Hintergrund als Referenz eingefĂŒgt.

Hinweis: Im Vergleich zu den anderen Kurven sind hier die Achsen vertauscht.

Analyse

Die Kurve aus den geglĂ€tteten Zahlen des 7Tage-Durchscnitts ( blau ) verlĂ€uft deutlich entspannter, als die ZickZack r-direkt Kurve, die leicht ĂŒber 1 gehen kann. Da hier die 5 Tage Arbeitswoche die Ursache fĂŒr die Schwankungen ist spiegelt sich das auch direkt in einem hektischen Verlauf der Kurve wieder.

„r(4d)“ dagegen ist die realistischere Kurve, da .. und hier zitiere ich mich gern selbst von Anfang der Artikelserie: „Einem Virus das Wochenende vollkommen egal ist.“ 🙂

Panik ist also gar nicht angezeigt, da „r“ nicht mal in die NĂ€he von 1 kommt derzeit. Wieso das RKI da schon wieder Panik macht, kann man eigentlich nur damit erklĂ€ren, das die „hellen Köpfe des RKI“ andere Zahlen benutzen, oder doch nicht ganz so helle sind. Sie konnten den Journalisten ja schliesslich auch bei mehrmaligem Nachfragen nicht erklĂ€ren, wie R zustande kommt und was das ĂŒberhaupt ist.

Essentials: Festplattenbelegung mit Baobab analysieren

Wie Finn Christiansen in seinem Blogbeitrag Große Dateien und Verzeichnisse unter Linux finden beschrieben hat, könnte man find benutzen und nach Files einer bestimmten GrĂ¶ĂŸe suchen(oder grĂ¶ĂŸer). Die Herren Kommentatoren zeigten dann gleich noch andere, ebenfalls shellbasierte Methoden auf, den Platzbesetzern auf die Spur zukommen.

Was aber, wenn man darauf keinen Bock hat ?

Dann nimmt man BaoBab :

Baobab-1

Baobab stellt die Festplattenbelegung auf eine einfache Weise in Ebenenringen dar. Je grĂ¶ĂŸer die RingflĂ€che, desto mehr ist drin und man kann schon auf den ersten Blick erkennen, in welchem Unterzeichnispfad der ÜbeltĂ€ter stecken könnte.

NatĂŒrlich kann man den Verzeichnisbaum links auch aufklappen, oder sich das als wirklich als abstrakte Kunst anzeigen lassen 😉

Baobab-2Damit werdet Ihr schnell ans Ziel kommen.