VORNEWEG: Nachfolgender Fall oder ähnliche Fälle gibt es leider extrem viele im WWW. Dies hier ist nur eines von tausenden, welcher uns einmal mehr zeigen soll, wie verseucht das Netz ist. Ein Grund mehr, die eigenen Systeme und Konfigurationen aufs Neue zu überprüfen.

Zugegeben, ich kaufe mir nicht jeden Film, den ich mir ansehen will. Manchmal stosse ich im Netz einfach darauf 😉

So war ich letztens auf der Suche nach einem bestimmten Klassiker, als ich auf einen komischen Server stiess, eine Domäne mit der Endung .ee, also eine Top Level Domain die dem Land Estland gehört.

Die URL: kuno.ee

“KUNO ist ein lebendiges und ehrgeiziges Nordplus-Netzwerk, das 18 nordisch-baltische Kunstakademien umfasst und sich zum Ziel gesetzt hat, eine Kunstuniversität ohne Mauern zu werden”.

So heisst es in deren allgemeinen Webseite: kunonetwork.org

Jedes der 18 Akademien hat nochmals ihre eigene Webseite zu der oben erwähnten Gruppenwebseite. Die von Estland lautet wie oben. Die von Litauen z.B. “lma.lv/en/international/kuno” usw. In Google kann man alle diese Seiten finden.

Die Webseiten von kuno.ee erscheinen ziemlich schlicht und einfach gehalten. Kurz nachgeschaut, sehe ich, dass es sich um einen intern aufgestellten Server handelt. Die offizielle IP führt zu Cloudflare in den Niederlanden. Cloudflare wird oft genutzt eigene Server ins Netz zu bringen, mit einer top-level Domain zu verbinden und über ein eigenes Hosting durch eine Cloudflare-IP im WWW zu publizieren.

Doch dieser  Server von kuno.ee ist langsam und die OS-Scan durch Nmap ist sich nicht sicher, was für ein System sich hinter den Seiten verstecken könnte.

Schnell stelle ich fest, diese Domain ist kompromittiert. Ich entdecke über Google, dass eine Subdomain eingerichtet ist. Als Subdomain oder auch sogenannte “Third-Level”-Domain wird der Teil einer Domain bezeichnet, der vor dem eigentlichen Namen steht und durch einen Punkt abgetrennt dargestellt wird.

Die Subdomain: jrnudist.kuno.ee

Mit einem Wildcard SSL Zertifikat wie die von Kuno ist das kein Problem nach einer Kompromittierung seriöse Subdomains einzurichten, die mit HTTPS angesprochen werden können, somit moderne Browser-Filter umgehen. In diesem Fall wurde anscheinend der Zugang zum Hoster gehackt, der die DNS Einträge verwaltet, oder bewusst eingerichtet.

Anhand der OS-Scans von Nmap und der Response Messung mit “Pingdom” ist es ersichtlich, dass beide Server sich unterscheiden, der hinter der Subdomain, und der der Hauptdomain. Nmap meint sogar, es könnte sogar Drucker sein, vielleicht ein Rasperry Pi? (shodan.io wäre hier eine Option)

Als ich auf die Subdomain mit dem Browser gehe, bin ich leicht erschrocken und irritiert zugleich: Werbung für Kinderpornographie-Seiten, zumindest die Illustrationen deuten darauf hin. Es sind keine Links in Exif oder Metadaten der Fotos, die auf Onion-Adressen verlinken versteckt, auch nicht woanders versteckt, nur normale WWW Links. So offensichtlich? Ich gehe der Sache nach und entdecke lediglich Verlinkungen auf weitere Pornographie-Seiten, die grenzwertige Pornographie anbieten, meist aus dem fernasiatischen Raum, worin die Darstellerinnen sehr junge Frauen sind, deren Physik es tatsächlich nicht unbedingt erlaubt, auf Anhieb zwischen Kind und Erwachsene zu unterscheiden.

Es ist schwer festzustellen, ob illegales Material hinterlegt wurde. Allein die Anlock-Fotos als Links sind für mich bereits ein Grund, die Sache den nationalen und internationalen Behörden zu melden. Doch vergeblich, denn selbst die inländischen Anlaufstellen für die Meldung von Kinderpornographie im Netz reagieren nicht auf Anfragen und Meldungen. Ich habe es in der Vergangenheit bereits mehrmals versucht. Die sind lieber hinter grossen Netzen hinterher, melden ab und zu mal Erfolgserlebnisse durch Gruppenermittlungen wie “Dies und jenes Hackernetz zerschlagen”, also, sie glauben es zumindest, dass sie es taten.

Ich möchte diesen Beitrag nicht unnötig in die Länge ziehen. Ich weiss jedoch, dass die wenigsten Institutionen und Firmen tatsächlich wissen, was auf ihren Servern aktiv prozessiert wird. Einmal eingerichtet, werden Vitalitätswerde abgerufen, die Auslastung gemessen, Health-Checks sind normal. Ein Prozess-Fork eines Webservers? Ein neuer DNS Eintrag, wer sieht das schon ohne die richtigen Tools und Mittel, oder über regelmässige Prüfungen. Denn die meisten von uns untersuchen doch lediglich eingehenden Datenverkehr: Wer greift mich an, sozusagen.

Der ausgehende Datenverkehr ist oft nur für die Kommunikationsicherheit der Endpoints wie Clients, Smartware, Tablets etc. wichtig und dass auch oft als Data Leakage Prevention-Massnahmen und zum Schutz vor Malware und Viren. Man möchte sich gegen Aussen schützen.

Doch was passiert bereits innen? Schauen sie nach, was auf ihren Servern und Netzen sowie in den Konfigurationen ihrer Provider noch so alles läuft und dokumentieren sie ihre Konfigurationen penibel. Diese helfen später den Soll-Ist Vergleich zu bewerkstelligen. Ah und, Personalprüfungen sind nicht weniger wichtig. Wer sagt denn, dass ein Admin nicht bei einem Affiliate Programm im Porno-Netz mitmacht und die vorhandene Infrastruktur dafür nutzt. Zu unwahrscheinlich sagen sie… Ich kenne mindestens 2 Fälle.

Was die Behörden betrifft, viel Glück, denn ich hatte keines bis jetzt. Kuno.ee werde ich dennoch informieren.

(red)