The Big Brothers are watching Marc Ruef | 03.08.2009 Halvar Flake (http://addxorrol.blogspot.com/), mit dem ich sporadischen Kontakt hatte, wurde Mitte 2007 die Einreise an die Black-Hat-Konferenz in die USA verwehrt (http://www.heise.de/security/Deutschem-Sicherheitsspezialisten-Einreise-in-die-USA-verweigert--/news/meldung/93518). Spätestens dieser Zwischenfall hat mich dahingehend zum Nachdenken gebracht, ob und inwiefern es schlau von mir war, mich stetig und unablässig mit meiner wahren Identität im Internet zu äussern. Dass nachrichtendienstliche Behörden und die organisierte Kriminalität auf einem aufmerksam wird, ist eigentlich nur eine Frage der Zeit. Um mir selbst einen gewissen Informationsvorsprung zu erarbeiten, habe ich auf meinen Webseiten verschiedene Tracking-Module integriert. Diese sind darum bemüht, das auffällige Verhalten von Benutzern zu erkennen. Eine entsprechende Meldung informiert mich sodann über die verdächtigen Aktivitäten, so dass ich weitere Recherchen anstreben kann. Dass die Leute der Deutschen Bundeswehr über fw-bonn.bund.de sowie der Schweizer Armee über fwigk1-proxy.admin.ch regelmässig meine Besucher sind, scheint mir noch offensichtlich. Schliesslich publiziere ich vorwiegend in deutscher Sprache, so dass sowohl die hauseigenen IT-Techniker als auch die Nachrichtendienste Interesse an meinen Schriften haben könnten. Das einzige Auffällige ist, dass hier fast täglich die News auf meinen Seiten gelesen und nach neuen Software-Versionen (z.B. das Attack Tool Kit (http://www.computec.ch/projekte/atk/)) gesucht wird. Sowohl das Timing der Zugriffe als auch das Fingerprinting des Webbrowsers schliesst ein automatisiertes Skript aus. Die Zugriffe erfolgen zwar immer innerhalb eines ähnlichen Zeitfensters. Jedoch ist die der Ablauf der Seitenaufrufe und die Verweildauer stets individuell und folgt keiner starren Logik, wie man es von einem Skript oder einem Download-Manager erwarten würde. Ebenso ist zu beobachten, dass normale Webbrowser eingesetzt werden. Zwar lassen sich die mit der HTTP_USER_AGENT mitgeschickten Werte anpassen. Das eventuell vorgetäuschte Update-Verhalten deckt sich jedoch mit meinen Erfahrungen (http://www.scip.ch/?labs.20090710) bei Kunden und im Rahmen der Analyse des browserrecon project (http://www.computec.ch/projekte/browserrecon/). Ich hege sehr starke Zweifel daran, dass sich jemand in derartiger Weise Mühe gibt, ein simples Skript als menschlicher Besucher zu tarnen (auch wenn es durchaus möglich wäre). Von grösserem Interesse sind jedoch die Zugriffe aus Übersee. Die meisten Besuche erhalte ich von der NSA, dem Auslandsgeheimdienst der USA. Auch hier sind manuelle Zugriffe, jedoch zusätzlich geskriptete Update-Abfragen, zu beobachten. Ich habe begründeten Verdacht zur Annahme, dass die NSA diverse Software-Lösungen von mir einsetzt. Wieso sonst sollten sie tagtäglich prüfen, ob ich in den News oder Changelogs der jeweiligen Seiten aktualisierte Fassungen dieser zur Verfügung stelle? Auffällig ist, dass die manuellen Zugriffe über verschiedene IP-Adressen, die auf den ersten Blick nichts miteinander zu tun haben, stattfinden. Da kommen Zugriffe von mac974.nas.nasa.gov (129.99.133.74). Durch erweiterts Fingerprinting mit einer noch nicht veröffentlichten Version von browserrecon kann ich ein "Tagging" der Besucher durchführen. Damit ist es mir in bestimmten Situationen möglich, Besucher zu erkennen, die Tage später über einen komplett anderen ISP Zugriffe durchführen. Einer der NSA-Mitarbeiter scheint ebenfalls für NCSC (National Center for State Courts) tätig zu sein. Ein regelmässig observiertes NSA-System besucht mich ebenfalls ab und an von thecouch.ncsc.mil (144.51.42.6). Ich könnte mir vorstellen, dass der Hostname auf ein Public WLAN hindeutet, welches zum Beispiel in einem Warteraum oder einem Besprechungszimmer angeboten wird. Die Amerikaner scheinen sowieso viel Zeit für Internet-Recherchen aufzuwenden. Andere Dienste, wie zum Beispiel NASA (redcat-28-245.gsfc.nasa.gov), verschiedene Stützpunkte der United States Navy (g208108.chs.spawar.navy.mil) und für uns Europäer eher unbekannte Three-Letter-Organisations schauen regelmässig rein.