Wir erpressen Sie jetzt mal..oder so :D

Herzlich Willkommen zu einer neuen Ausgabe von „Erpresser – Man muß sie einfach gern haben“ .. wieso? na weil ich dann wieder was zu schreiben habe und Ihr was zu Lachen 😀

Kommen wir zu dieser Erpresser-Spam:

Ich markiere mal die Anekdoten farblich…

Return-path: <junko@kotorinouta.com>
Envelope-to: <#### eine unserer echten Adressen####>
Delivery-date: Mon, 08 Jul 2019 11:44:24 +0200
Received: from www1765.sakura.ne.jp ([112.78.112.75])
	by XXXXXXXXXXX.de with esmtps (TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256)
	(XXXXXXXXXXXXXXXXXXXXXXXXXX)
	(envelope-from <junko@kotorinouta.com>)
	id XXXXXXXXXXXXXXXXX
	for <#### eine unserer echten Adressen####>; Mon, 08 Jul 2019 10:44:23 +0200
Received: from [127.0.0.1] (dynamic-189-45-26-22.webnet.psi.br [189.45.26.22])
	(authenticated bits=0)
	by www1765.sakura.ne.jp (8.15.2/8.15.2) with ESMTPSA id x585vAi13157658
	(version=TLSv1 cipher=DHE-RSA-AES256-SHA bits=256 verify=NO)
	for <#### eine unserer echten Adressen####>; Mon, 8 Jul 2019 17:44:21 +0900 (JST)
	(envelope-from junko@kotorinouta.com)
To: <#### eine unserer echten Adressen####>
From: Mylah <junko@kotorinouta.com>
MIME-Version: 1.0
Message-ID: <2b514q3322k452d@kotorinouta.com>
Content-Transfer-Encoding: quoted-printable
Content-Type: text/plain; charset=UTF-8
Date: Mon, 8 Jul 2019 12:56:54 +0300
List-Help: <http://friend.kotorinouta.com/help/forsubscribers>
X-EVENT_NAME: trxzzkst
X-Virus-Flag: YES
Subject:  Security Alert. Your accounts were hacked by a criminal group.

Hello!

I am a hacker who has access to your operating system.
I also have full access to your account.

I've been watching you for a few months now.
The fact is that you were infected with malware through an adult site =
that you visited.

If you are not familiar with this, I will explain.
Trojan Virus gives me full access and control over a computer or other=
 device.
This means that I can see everything on your screen, turn on the camer=
a and microphone, but you do not know about it.

I also have access to all your contacts and all your correspondence.

Why your antivirus did not detect malware?
Answer: My malware uses the driver, I update its signatures every 4 ho=
urs so that your antivirus is silent.

I made a video showing how you satisfy yourself in the left half of th=
e screen, and in the right half you see the video that you watched.
With one click of the mouse, I can send this video to all your emails =
and contacts on social networks.
I can also post access to all your e-mail correspondence and messenger=
s that you use.

If you want to prevent this,
transfer the amount of $500 to my bitcoin address (if you do not know =
how to do this, write to Google: "Buy Bitcoin").

My bitcoin address (BTC Wallet) is:  3HsB65YE6xgdt6x8Nnrxjck1YMNK1kMka=
L

After receiving the payment, I will delete the video and you will neve=
r hear me again.
I give you 50 hours (more than 2 days) to pay.
I have a notice reading this letter, and the timer will work when you =
see this letter.

Filing a complaint somewhere does not make sense because this email ca=
nnot be tracked like my bitcoin address.
I do not make any mistakes.

If I find that you have shared this message with someone else, the vid=
eo will be immediately distributed.

Best regards!

Solche Emails gibt es ja zu Hauf, der braucht man inhaltlich keine große Aufmerksamkeit schenken. Wir schauen uns mal an, was wir so über den Möchtegernerpresser herausbekommen:

1. Die Einlieferung der Email stammt aus Brasilien, DSL Anschluß, ergo gehackter PC oder seine echte IP 🙂

from [127.0.0.1] (dynamic-189-45-26-22.webnet.psi.br [189.45.26.22])

2. Was auch immer da per SMTP die Email in Japan eingeliefert hat, es hält nicht viel von moderner Software:

(version=TLSv1 cipher=DHE-RSA-AES256-SHA bits=256 verify=NO)

3. Es handelt sich möglicherweise um eine Mailingliste bei einer Kinder-Sozialhilfe:

List-Help: <http://friend.kotorinouta.com/help/forsubscribers>

Google kennt zu der Domain folgende Info:

Poesie-Kindergarten für das Sozialhilfswerk Koori no Uta-Kindergarten Chigasaki-Stadt, privater Kindergarten der Präfektur Kanagawa

Also ein ziemlich fieser Charakter dieser Erpresser, wenn er einen Kindergarten als Tarnung für seine Aktivitäten benutzt.

4. Offensichtlich hat der Erpresser auch von der Technik keine Ahnung:

Filing a complaint somewhere does not make sense because this email cannot be tracked like my bitcoin address. I do not make any mistakes.

Der erste Fehler war, die Email an uns zuschicken. Fehler Nummer 2, natürlich kann man Emails bis zur Sender IP  verfolgen, wobei man das gar nicht muß, da uns der Erpresser freundlicherwiese seine Bitcoinadresse genannt hat

Bitcoin Adressen, und damit Bitcoins, lassen sich durch die Blockchain tracken, egal ob Bitcoin Mixer im Spiel sind oder nicht. Die Blockchain ist nicht anonym und der Benutzer auch nicht, im Gegensatz zu echtem Bargeld, das ist bis auf die Fingerabdrücke und DNS Spuren anonym! Es ist nämlich im wahrsten Sinne waschbar 🙂

Wenn man Bitcoins waschen will, muß man damit ins Spielcasino gehen. in China nehmen viele Casinos auch Digitales Geld an und man muß es ja nicht zwangsweise verlieren 😉

Es hat wohl noch niemand bezahlt

Stand 13:30 Uhr hat wohl niemand etwas auf dieses Konto überwiesen, was mich nicht wundert, die Scamwelle schappt ja schon seit jetztem Sommer durchs Netz:

https://www.blockchain.com/de/btc/address/3HsB65YE6xgdt6x8Nnrxjck1YMNK1kMkaL

oder auch

https://www.bitcoinabuse.com/reports/3HsB65YE6xgdt6x8Nnrxjck1YMNK1kMkaL

Wie immer …

Ab in die digitale Müllhalde damit!

BSI aktualisiert Mailserver auf TLS 1.2.. ABER

„Nein! Doch!! OOOHHHH!“ Es ist vollbracht. Das BSI hat den Newsletterserver für das Bürger-CERT nach 13 Monaten endlich auf TLS 1.2 gehievt, also auf den Stand der Technik vom Jahr 2008.  \o/

Delivery-date: Wed, 13 Mar 2019 15:27:52 +0100
Received: from newsletter.bund.de ([77.87.229.56])
	by XXXXXXXXXXXXX.de with esmtps (TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256)
	(Exim 4.90_1)
	(envelope-from <buerger-cert-newsletter@newsletter.bund.de>)
	id 1h44rG-0001dj-FW
	for XXXXXXXXXXXXXXXX.de; Wed, 13 Mar 2019 15:27:52 +0100

Bin mal gespannt, ob der 2030 endlich TLS 1.3 kann 😀

OHHHH NEEEEIIIINN!!!!

KEIN TLS IM SERVER

Das kann jetzt echt nicht wahr sein, aber der gleiche Server, der beim Senden TLS 1.2 nimmt, bietet nicht mal TLS an, wenn er was empfangen soll!

Trying TLS on newsletter.bund.de[77.87.229.56:25] (10):

secondstest stage and result
[000.106]Connected to server
[000.292]<–220 ESMTP
[000.293]We are allowed to connect
[000.293] –>EHLO www6.CheckTLS.com
[000.399]<–250-newsletter.bund.de
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
[000.399]We can use this server
[000.399]TLS is not an option on this server
[000.400] –>MAIL FROM:<test@checktls.com></test@checktls.com>
[000.506]<–250 2.1.0 Ok
[000.506]Sender is OK
[000.506] –>QUIT
[000.612]<–221 2.0.0 Bye

Geht noch mehr FAIL ?

Mehr zu dem Thema : Mailserver – Gebrochenes TLS im Einsatz

…und TLS 1.3 gebleichenbacht :(

Wenn Du denkst, Du hast gute Krypto installiert, kommt ein Bleichenbacher um die Ecke und was ist die Essenz?

Die X.te Bleichenbacher Attacke funktioniert auch bei TLS 1.3 !

Wie ZDNET heute berichtet, ist einen Team von Forschern mit einem CACHE Timingangriff gelungen, auch im TLS 1.3 die RSA Parameter der Verbindung auszulesen. Ehrlich gesagt, lohnt es nicht mal darüber zu berichten, weil das mit den Bleichenbacherangriffen immer so weiter gehen wird, wenn der uralte RSA Kram da nicht mal rausfliegt.

Gestern habe ich noch die GNU Admins angeprangert, weil die nur TLS 1.0 können, aber falls das eine fatalistische Prognose zur TLS Krypto der Zukunft war, Glückwunsch: Volltreffer, versenkt.  Es lohnt nicht auf neue Versionen zu gehen, wenn die dann doch wie die Fliegen umfallen. Es müßte doch noch mehr Leute geben die was davon verstehen und endlich mal was ohne RSA bauen, daß funktioniert.

Quelle: https://www.zdnet.com/article/new-tls-encryption-busting-attack-also-impacts-the-newer-tls-1-3/

Gnu.org im Jahr 1998 stecken geblieben

Ja, ich weiß, Ihr könnt es nicht mehr lesen, der xte Mailserver der keine TLS 1.2 kann, nur leider hat der hier eggs.gnu.org eine wichtige Rolle, der handelt nämlich Emails für gnu.org . Kein TLS 1.2 , keine Emails mehr aus Europa.

„.. und dabei ist FOSS & TLS 1.2 kein Widerspruch.“

Trying TLS on eggs.gnu.org[209.51.188.92:25] (10):

secondstest stage and result
[000.007]Connected to server
[000.167]<–220 eggs.gnu.org ESMTP Exim 4.71 Sat, 09 Feb 2019 11:54:20 -0500
[000.167]We are allowed to connect
[000.167] –>EHLO www6.CheckTLS.com
[000.174]<–250-eggs.gnu.org Hello www6.checktls.com [159.89.187.50]
250-SIZE 52428800
250-PIPELINING
250-STARTTLS
250 HELP
[000.174]We can use this server
[000.175]TLS is an option on this server
[000.175] –>STARTTLS
[000.185]<–220 TLS go ahead
[000.186]STARTTLS command works on this server
[000.275]Connection converted to SSL
SSLVersion in use: TLSv1
Cipher in use: DHE-RSA-AES256-SHA
Certificate 1 of 3 in chain: Cert VALIDATED: ok
Cert Hostname VERIFIED (eggs.gnu.org = eggs.gnu.org | DNS:eggs.gnu.org | DNS:mail.gnu.org)
cert not revoked by CRL
cert not revoked by OCSP
serialNumber=03:f9:06:4d:6c:6d:1e:1c:83:03:50:8a:32:c0:d5:a9:da:99
subject= /CN=eggs.gnu.org
issuer= /C=US/O=Let’s Encrypt/CN=Let’s Encrypt Authority X3
Certificate 2 of 3 in chain: Cert VALIDATED: ok
cert not revoked by CRL
cert not revoked by OCSP
serialNumber=0a:01:41:42:00:00:01:53:85:73:6a:0b:85:ec:a7:08
subject= /C=US/O=Let’s Encrypt/CN=Let’s Encrypt Authority X3
issuer= /O=Digital Signature Trust Co./CN=DST Root CA X3
Certificate 3 of 3 in chain: Cert VALIDATED: ok
cert not revoked by CRL
cert not revoked by OCSP
serialNumber=44:af:b0:80:d6:a3:27:ba:89:30:39:86:2e:f8:40:6b
subject= /O=Digital Signature Trust Co./CN=DST Root CA X3
issuer= /O=Digital Signature Trust Co./CN=DST Root CA X3

wenn man mal genauer hinsieht mit :  „openssl s_client -connect eggs.gnu.org:25 -starttls smtp -tls1“

Subject=/CN=eggs.gnu.org
….
New, SSLv3, Cipher is AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1
Cipher : AES256-SHA
….
250 HELP

sieht dann auch, daß der Cipher noch aus SSLv3 Zeiten stammt, was nicht verwundert, weil TLS 1.0 nur SSLv3 mit SNI Support ist.

Falls jemand von Euch jemand den GNU Leuten Emails schicken will, machts gleich in Klartext 😀

Mozillas Bugtracker zu blöd für TLS

Also da könnte man aus der Haut fahren. Wir haben das Jahr 2018. In 2008 wurde TLS 1.2 als Stand der Technik eingeführt und was bekommt man, wenn sich in den Bugtracker von Mozilla einloggen will ??? DAS HIER :

Your account has been disabled

Your Bugzilla account has been disabled due to issues delivering emails to your address.

Your mail server (dsn; a27-61.smtp-out.us-west-2.amazonses.com) said: (failed) smtp; 550-Sender did not use TLS secured connection. Sender benutzte keine TLS 550 gesicherte Verbindung.


If you believe your account should be restored, please send email to bugzilla-admin@mozilla.org explaining why.

 

Klar failed das, weil die Mozilla Admins zu blöd sind um TLS beim Senden in Ihrem Mailserver zu aktivieren! In 2018! Und nächstes Jahr ist TLS 1.3 draußen. Au Backe.. wozu macht die IETF das wohl neu .. zum Spaß wohl kaum!? Und zu allem übel ist die Meldung auch noch falsch, weil das da DEREN MAILSERVER IST! 😀

Jetzt überlegt mal was das heißt, wenn ein Security Bug von weltweiten Ausmaß besprochen wird. Was machen die dann, sich im Nebel unter einer Londoner Brücke treffen ?

Wo wir grade dabei sind :

Der SystemD Bugzilla hatte da wohl ein größeres DATENLECK :

reject.log-20180909:2018-09-04 00:11:32 H=mail.logite.biz.ua [89.163.132.50] F=<amsizcz@logite.biz.ua> rejected RCPT <systemdbugzilla@MEINEDOMAIN>: found in zen.spamhaus.org</systemdbugzilla@
reject.log-20180909:2018-09-05 02:30:21 H=mail.windersale.biz.ua [217.79.182.196] F=<iskohmf@windersale.biz.ua> rejected RCPT <systemdbugzilla@MEINEDOMAIN>: Sender did not use TLS secured connection. Sender benutzte keine TLS gesicherte Verbindung.</systemdbugzilla@
reject.log-20180909:2018-09-05 18:39:10 H=mail.zimerton.biz.ua [89.163.142.60] F=<exbiclz@zimerton.biz.ua> rejected RCPT <systemdbugzilla@MEINEDOMAIN>: Sender did not use TLS secured connection. Sender benutzte keine TLS gesicherte Verbindung.</systemdbugzilla@
reject.log-20180909:2018-09-06 20:00:27 H=mail.axiroks.co.ua [217.79.181.114] F=<ablojmp@axiroks.co.ua> rejected RCPT <systemdbugzilla@MEINEDOMAIN>: Sender did not use TLS secured connection. Sender benutzte keine TLS gesicherte Verbindung.</systemdbugzilla@
reject.log-20180916:2018-09-09 22:24:27 H=mail.aquaclean.biz.ua [62.141.32.162] F=<ynmipfy@aquaclean.biz.ua> rejected RCPT <systemdbugzilla@MEINEDOMAIN>: Sender did not use TLS secured connection. Sender benutzte keine TLS gesicherte Verbindung.</systemdbugzilla@
reject.log-20180916:2018-09-09 22:58:07 H=mail.derosman.co.ua [5.104.110.186] F=<aysixkc@derosman.co.ua> rejected RCPT <systemdbugzilla@MEINEDOMAIN>: Sender did not use TLS secured connection. Sender benutzte keine TLS gesicherte Verbindung.</systemdbugzilla@
reject.log-20180916:2018-09-11 02:40:28 H=mail.windersale.biz.ua [217.79.182.196] F=<etkuxnw@windersale.biz.ua> rejected RCPT <systemdbugzilla@MEINEDOMAIN>: Sender did not use TLS secured connection. Sender benutzte keine TLS gesicherte Verbindung.</systemdbugzilla@
reject.log-20180916:2018-09-12 10:29:33 H=mail.alihost.co.ua [213.202.212.238] F=<ivdewmw@alihost.co.ua> rejected RCPT <systemdbugzilla@MEINEDOMAIN>: Sender did not use TLS secured connection. Sender benutzte keine TLS gesicherte Verbindung.</systemdbugzilla@
reject.log-20180916:2018-09-13 01:08:28 H=mail.windersale.biz.ua [217.79.182.196] F=<yrxocts@windersale.biz.ua> rejected RCPT <systemdbugzilla@MEINEDOMAIN>: Sender did not use TLS secured connection. Sender benutzte keine TLS gesicherte Verbindung.</systemdbugzilla@
reject.log-20180916:2018-09-14 00:36:32 H=mail.mafines.eu [213.202.212.252] F=<odyizfm@mafines.eu> rejected RCPT <systemdbugzilla@MEINEDOMAIN>: Sender did not use TLS secured connection. Sender benutzte keine TLS gesicherte Verbindung.</systemdbugzilla@
reject.log-20180923:2018-09-16 22:07:58 H=mail.shophostel.eu [89.163.131.100] F=<iwpekfy@shophostel.eu> rejected RCPT <systemdbugzilla@MEINEDOMAIN>: Sender did not use TLS secured connection. Sender benutzte keine TLS gesicherte Verbindung.</systemdbugzilla@
reject.log-20180923:2018-09-17 22:24:23 H=mail.kollisar.biz.ua [213.202.212.143] F=<ephorkm@kollisar.biz.ua> rejected RCPT <systemdbugzilla@MEINEDOMAIN>: Sender did not use TLS secured connection. Sender benutzte keine TLS gesicherte Verbindung.</systemdbugzilla@
reject.log-20180923:2018-09-19 03:44:26 H=mail.axiroks.co.ua [217.79.181.114] F=<ypficrx@axiroks.co.ua> rejected RCPT <systemdbugzilla@MEINEDOMAIN>: Sender did not use TLS secured connection. Sender benutzte keine TLS gesicherte Verbindung.</systemdbugzilla@
reject.log-20180923:2018-09-21 02:58:35 H=mail.windersale.biz.ua [217.79.182.196] F=<uvbiczw@windersale.biz.ua> rejected RCPT <systemdbugzilla@MEINEDOMAIN>: Sender did not use TLS secured connection. Sender benutzte keine TLS gesicherte Verbindung.</systemdbugzilla@
reject.log-20180930:2018-09-23 23:52:36 H=mail.alihost.co.ua [213.202.212.238] F=<upyyzdr@alihost.co.ua> rejected RCPT <systemdbugzilla@MEINEDOMAIN>: Sender did not use TLS secured connection. Sender benutzte keine TLS gesicherte Verbindung.</systemdbugzilla@
reject.log-20180930:2018-09-25 03:05:04 H=mail.developmnt.eu [62.141.46.214] F=<opvojcx@developmnt.eu> rejected RCPT <systemdbugzilla@MEINEDOMAIN>: Sender did not use TLS secured connection. Sender benutzte keine TLS gesicherte Verbindung.</systemdbugzilla@
reject.log-20180930:2018-09-25 18:04:27 H=mail.mafines.eu [213.202.212.252] F=<ytvelrs@mafines.eu> rejected RCPT <systemdbugzilla@MEINEDOMAIN>: Sender did not use TLS secured connection. Sender benutzte keine TLS gesicherte Verbindung.</systemdbugzilla@
reject.log-20180930:2018-09-25 18:10:29 H=mail.gorgyam.eu [5.199.135.188] F=<ympyrmv@gorgyam.eu> rejected RCPT <systemdbugzilla@MEINEDOMAIN>: Sender did not use TLS secured connection. Sender benutzte keine TLS gesicherte Verbindung.</systemdbugzilla@
reject.log-20180930:2018-09-27 01:50:59 H=mail.axiroks.co.ua [217.79.181.114] F=<alpafcb@axiroks.co.ua> rejected RCPT <systemdbugzilla@MEINEDOMAIN>: Sender did not use TLS secured connection. Sender benutzte keine TLS gesicherte Verbindung.</systemdbugzilla@

(Der Editor von WordPress verweigert den Text in seiner Rohform zu zeigen und will unbedingt das nicht existente Tag schliessen. All Fail WordPress! )

SO! muß das aussehen Mozilla!

2018-09-22 00:21:23 1g3Tnc-0005cl-8K <= bugzilla@redhat.com H=mx1-phx2.redhat.com [209.132.183.26] P=esmtps X=TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256 CV=no S=3923 id=bug-1599018-321468-Fft8v2y8dX@bugzilla.redhat.com

Damit die Admins bei Mozillapost bekommen, sind sie bei GOOGLE untergekommen :

2018-10-03 10:23:49 1g7cRf-0000Gr-Qb => bugzilla-admin@mozilla.org R=dnslookup T=remote_smtp H=aspmx.l.google.com [74.125.133.27] X=TLSv1.2:ECDHE-RSA-CHACHA20-POLY1305:256 CV=yes K C=“250 2.0.0 OK l18-v6si623134wre.19 – gsmtp“

Und jetzt steht euch mal den Chiper an : „First Time spotted“ CHACHA20-POLY1305 . „Was ist das denn fürn Exot ?“ werdet Ihr Euch fragen… ja, das ist eine GOOGLE Erfindung. Wie man da lesen kann, nicht mal ein Standard, sondern nur eine Info 😉 Naja, scheint ja von OpenSSL implementiert worden zu sein.