Spaß mit Blacklisten

Im Juni 2014 – und das ist im EDV-Land eine kleine Ewigkeit her – nervte auf einmal der von mir eingesetzte Virenscanner Kaspersky Internet Security wenn ich meine eigene Webseite besuchte. „Diese Webseite ist als attackierend gemeldet“ liest niemand gern. Nun fühle ich mich ja durchaus eher fit im Umgang mit dem Medium, aber weder bin ich deswegen sakrosankt noch halte ich mich für unfehlbar. Das einzige, was ich im Zusammenhang mit den Begriffen ‚EDV‘ und ‚Sicherheit‘ denke ist das Wort ‚paranoid‘. Ich bin das, und ich stehe dazu.

Darum war klar, dass ich diese Meldung nicht als Fehlalarm abtun würde sondern eine kleine Reise durch die Untiefen der Systemsicherheit antreten würde. Im ersten Augenblick stellte ich mir das spannend vor. Was mir aber begegnete war mehr als das – es war erschütternd.

Kleines Fazit: es ist grauenhaft. Weder sind Blacklisten eine verlässliche Quelle, noch arbeiten die Hersteller diverser Antivirusprodukte seriös.

Aber der Reihe nach: erst einmal galt es, herauszufinden, was an der Meldung dran war. Es wurde genau eine Datei angemäkelt, nämlich eine piwik.js aus meinem Statistiktool. Wer nicht weiß was das ist: Piwik ist ein Produkt zur Analyse, ähnlich wie Google-Analytics, nur in gut. Das schöne ist, dass es Open Source ist und damit in den Quelltexten einsehbar und überprüfbar. Ich kann mir meinen Code anschauen und ihn mit dem Original vergleichen, kann hoch- und runterlesen und im Tracker oder im Repository (das ist wie eine Tankstelle für Software) nachschauen ob das, was ich sehe, so gedacht war und in Ordnung ist.

Eine erste Sichtung der piwik.js brachte mir dabei aber leider keine Erkenntnisse. Alles war so wie es sein sollte. Bis auf’s letzte Zeichen genau. Aber das hieß ja noch nichts – schließlich bin ich paranoid. Und so war der nächste Durchgang dann eine Analyse meiner eigenen Serverlogs. Wer hat wann mit welchem System, authentifiziert durch welches Zertifikat und welchen Key einen Zugriff gehabt? Kann ja sein, das jemand etwas verändert hatte und es hinterher wieder zurückgespielt hat. Dagegen sprach zwar im ersten Anschein schon das Dateidatum der piwik.js, aber man weiß ja nie.

Kurz: der Einzige, der im vergangenen Jahr auf diese Datei zugegriffen hat war der Webserver. Verändert hatte er dabei nichts – es hätten ihm auch die Rechte dafür gefehlt, und lesen reicht ja, damit ein Javascript-Schnipsel einen Wert an eine Datenbank übermittelt. Ein Blick in die Foren bei piwik.org erbrachte zunächst ebenfalls keine Erkenntnisse – eine genauere Suche dann allerdings doch: Dort war die Rede von einem Mitarbeiter von Phishtank, der anscheinend sehr viele Piwik-Installationen als Phishing-Site gekennzeichnet hatte.

Wer oder welche jetzt nicht weiß was Phishtank ist: eine Webseite, auf der bösartige Webseiten gesammelt, verdächtige analysiert und verifizierte verpetzt werden. Das ganz erfolgt zum Einen durch einige Kollegen und Kolleginnen, die all die Dinge an Phishtank übermitteln, die man bekommt, wenn man sehr viele e-Mails erhält, zum anderen durch Firmen, die sich auf Netzwerksicherheit spezialisiert haben und all die seltsamen Dinge, die sich tagtäglich den Weg durch ihre Mailserver bahnen möchten meist automatisiert an Phishtank schicken. Klingt nach einer Supersache, und es ist eine Supersache. Wer sich jemals gefragt hat, woher das Mailprogramm der Wahl denn weiß weshalb die Post von der Sparkasse gar keine Post von der Sparkasse ist: hier ist die Antwort. Phishtank macht Listen davon, Antivirusanbieter oder auch Browserherstellen abonnieren die und schon wird alles gut.

Soweit die Theorie – denn es gibt zwei Schwachstellen. Eine hatte ich erwartet – die andere hat auch mich überrascht.

Zur ersten: die fleissigen Firmen aus dem Sicherheitsbereich hatte ich ja bereits erwähnt, und es sollte klar sein, dass sie keine Vorhängeschlösser verkaufen sondern Beratung. Deren Produkt kann (nicht muss!) sein, kleine, mittlere oder gar große Unternehmen in Sicherheitsfragen zu beraten. Der Markt ist durchaus umkämpft, und in ihm tummelt sich alles, vom Großkonzern bis hin zur Unternehmergesellschaft aus dem bayerischen Wald. Für eine kleine Firma ist es dabei also wichtig, möglichst viel Lärm zu machen, um wahrgenommen zu werden. Ich kann das sogar nachvollziehen.

Mein Statistiktool wurde also (man mag es sich denken) von einer kleinen Firma aus Süddeutschland zusammen mit geschätzten 100.000 anderen (ich schreibe es nochmal aus: hunderttausend) an Phishtank gemeldet. Allen gemeinsam: eine harmlose piwik.js. Das ist eine Menge Holz, wie man hierzulande sagt.

Also habe ich – blauäugig wie ich war – einen Account bei Phishtank angelegt um dort ins Formular einzutragen, dass hier wohl ein Irrtum vorliegen würde. Und ob man bitteschön … naja, klar. Was passierte war ganz genau nichts. So ist das Leben – Dinge gehen verloren. Also habe ich meine Seite dann nochmals als ‚false positive‘ gemeldet. Ergebnis: erneut keine Reaktion. Der dritte Versuch brachte dann aber schließlich ein Ergebnis: der Eintragende, der auch Adminstrationsrechte hat, deaktivierte kurzerhand die Kontaktmöglichkeit. Man kann sich schon vorstellen, was ich in diesem Augenblick gedacht habe. Zitierfähig war das nicht.

Aber es gibt ja noch andere Wege – der Betreiber von Phishtank hat seinen Firmensitz beim Großen Bruder, und man kann, wenn man die richtige Adresse aus dem Impressum herauspult, durchaus direkt dahin schreiben. Ich tat das in wohl gesetzten Worten – und bekam eine Antwort:

 

 

Hi Carolina

I am volunteer moderator for PhishTank and I apologize on the behalf of of the irresponsible submitter (who submitted tons of innocent websites using piwik) and blind voters who got your website framed for false phishing status.

PhishTank Support is not actively responding to requests nowdays.  As an outsider volunteer, I have no privilege to delete the submission but I could tweak it using a hack by inserting an extra „i“ and *poof* now it is a non-existing domain.
You should contact clean-mx.de, who submitted your website to PhishTank and who still consider your website an active phishing site.  Otherwise, they may even resubmit your website again since it is not on PhishTank any more.See
http://support.clean-mx.de/clean-mx/phishing?id=4449035
I hope this helps.
Best regards
Inhaltlich fand ich das schon ein starkes Stück, aber jetzt hatte ich den Faden in der Hand, den ich brauchte. Es ist immer schön, wenn jemand den Firmensitz in Deutschland hat – in Deutschland kann man abmahnen und klagen. Und man kann damit drohen, das man jemandem bei lebendigen Leib die Haut von den Knochen zieht. Liebe Leser_innen, das habe ich dann auch getan:
Well,
so you’ve putted my statistical tool onto the phishing site list. For me, this is hard to believe, because the only thing I’ve ever hosted there was, is and will be my statistical tool Piwik. It is well maintained,  running security patches as soon as possible, and I can state clearly that no one can enter any sensitive information besides his / her logon name and password.
After monitoring for a while, reading tons if logfiles and, of course, checking all the files via md5 hashes, I can state that this is (besides my own logo) a vanilla Piwik installation.
How could you dare to put this on the phishing sites list? How could you dare to vote for my domain being a phishing site? I’ve got no clue, and after crossing some mails between me and SURBL, me and Phishtank, me and Kaspersky Labs I am really annoyed, being told that you are somewhat like an „irresponsible submitter“ who submits websites using piwik on a nearly regular basis.
##
I am a freelance web developer, and you are ruining my business since the reputation of my company goes straight downward, seeing potential customers calling me and asking what the hell is going on with that malicious code on my site.
##
I think, 24 hours is pretty much time to remove my domain from the list.
Please confirm the deletion until July 1st, 11:00 pm.As I noticed, you are based in Augsburg, Germany, so this will give me the
opportunity of obtaining a provisional order from a german court.
Regards,
Carolina Koehn.

 

Eine Antwort bekam ich nicht, aber meine Seite war binnen 24 Stunden von der Liste entfernt. Yesssss.

Das Erste, was ich in diesem Fall lernte war also, Blacklisten mit einer gehörigen Portion Skepsis gegenüber zu treten. Die Schwachstelle ist hier also das Eigeninteresse derjenigen, die mit dem Thema Sicherheit ihr Geld verdienen. Und das sind ja nicht nur kleine Unternehmergesellschaften sondern können durchaus auch veritable Brocken in der Firmenlandschaft sein.

Das Zweite was ich lernte ist eigentlich viel hahnebüchener: diese Geschäftsphilosophie trifft in einer Art und Weise auch für die Anbieter von Endkundenprodukten zu die ich in dieser Form nicht für möglich gehalten hätte. Zum Beispiel für Firmen, die in Wimmelanzeigen in der so genannten Fachpresse ihren wundervollen-Superduper-Hightech-topaktuellen Virusscanner an den Mann und an die Frau bringen und dabei mit zeitnahen Updates werben. Eigentlich ist das ja klar: nur wenn man ein aktuelles Schutzprogramm einsetzt ist man (wenigstens teilweise) geschützt vor diversen Bedrohungen. Dass niemand darüber redet, was da eigentlich geupdatet wird und warum das so ist – das ist die eigentliche Überraschung.

Denn damit, dass ich meine Seite sowohl aus dem Datenpool von Phishtank als auch von clean-mx gezogen hatte war es leider nicht getan, und das spricht nicht für die Anbieter von SOHO-Antivirenprodukten. ich persönlich war sehr froh, als ich nach vier Tagen hektischer Aktivität auf virustotal.com keine Meldung mehr sah, das ein paar Dienste meine Seite bösartig fanden. Ich saß da wie weiland Louis de Funès, als er sich sehr sicher war, den richtigen Koffer zu besitzen. Allein, ich tat es nicht.

Tage darauf tauchte meine Seite nämlich bei Virustotal wieder auf. Ich fand das etwas überraschend – schließlich meldeten die jeweiligen Dienste sie als sauber, während sie bei Phishtank auf der Liste stand. Und hier jetzt eine Woche Verzögerung? Sehr seltsam – mein Weltbild bekam ernsthafte Risse. Es entspann sich ein munterer Mailverkehr mit diversen Anbietern von Sicherheitssoftware: mal reichte eine kurze Nachricht mit der Bitte um Überprüfung (Kaspersky hatte das schon auf meine allererste Mail Anfang Juni hin binnen 90 Minuten getan), mal ein Konvolut wüster Drohungen und jede Menge Geduld. Trat man ein Feuerchen aus, dann begann promt an anderer Stelle ein neues. Klar, die tauschen ihre Ergebnisse aus, und das ist ja auch gut so. Aber in welchem Schneckentempo!

Denn das ist die zweite, diesmal eklige Überraschung. Nach vorne heraus seifen Sicherheitsanbieter die Kundschaft  mit dem Versprechen der Aktualität ein, nur um sie nach hinten heraus mit teilweise zwei Monate alten Signaturen zu versorgen. GData brauchte vom 6. Juni bis zum 31. Juli um der Meinung zu sein, meine Seite wäre bösartig. McAfee, die mittlerweile zu IBM gehören, benötigte beinahe ebenso lange – und strafverschärfend kommt hinzu, dass McAfee in der Websuche veraltete Ergebnisse präsentiert, in der Detailansicht dann durchaus korrekte Daten liefert und die Bitte um Korrektur der suchmaschinenrelevanten Schnipsel mit einem nicht funktionierenden Formular beantwortet.

Auch Firmen, die sich an Industriekunden richten, machen keine Ausnahme – hier ist das Ergebnis genauso schlecht wie bei den Consumerprodukten, aber sie beantworten schlicht keine Mails. Schön, dass es Telefax gibt – aber man muss schon ordentlich auf die Hupe drücken um etwas zu bewegen.

Kleines Fazit: es ist grauenhaft. Weder sind Blacklisten eine verlässliche Quelle, noch arbeiten die Hersteller diverser Antivirusprodukte seriös.

Man sollte bewaffnete Haufen bilden.

1 Thought.

Deine Meinung?