tahina.priv.at/ oevpmails

ich / me

vorträge / talks

spam

hacks

electronics

impressum

cm@tahina.priv.at

ein paar fakten und erfahrungswerte zu den ÖVP-mails

zu den angeblichen ÖVP-emails im juni 2019 möchte ich ein paar fakten aus meiner erfahrung beisteuern, weil ich seit 1997 IT-security beruflich mache und im bereich penetration tests und forensik einiges an erfahrung habe.

ich habe keine insider-informationen, aber das geballte halbwissen und die davon getriebenen spekulationen vor allem auf twitter gehen mir langsam hinreichend auf die nerven, also schreib ich mal was dazu.

forensik

generell

die stellungnahme von deloitte ist mit 16.6. datiert und bezieht sich auf einen auftrag vom 15.6. -- also nur 2 tage zeit, noch dazu an einem wochenende.

die faktenlage für diese stellungnahme war extrem dünn (S. 3 des PDF), und sie haben getan, was ich auch getan hätte, nämlich die vorhandenen informationen auf plausibilität geprüft, ein paar seiten text dazu formuliert und sich geärgert, dass das wochenende versaut war. den schluss, dass es sich um eine "fälschung" handelt, hat dann die ÖVP gezogen.

angesichts der knappen zeit kann ich nachvollziehen, dass die kollegInnen bei deloitte bei den thread-index-daten aus 1830 nicht soweit in die tiefe gegangen sind wie die armchair quarterbacks auf twitter, die dann herausgefunden haben, dass das ein bekanntes outlook-phänomen ist.

Mon, 27 Feb 2018

der 27. februar 2018 war ein dienstag. das war er in jeder zeitzone, weil es einfach per definitionem so ist, dass datum und wochentag um mitternacht weiterzählen, egal, wie groß der offset von UTC ist.

das könnte also ein indiz für eine fälschung sein, oder einfach ein software-bug; ich hab jetzt allerdings nicht recherchiert, ob es bekannte bugs gibt, die so ein falsches datum generieren (es ist ja auch nicht klar, aus welcher header-zeile der timestamp überhaupt stammt).

92.51.182.1

diese adresse gehört bekanntlich zu hosteurope, einem größeren deutschen hoster. dass im selben /24 auch ein server der ÖVP liegt, sagt nichts aus, andere adressen in diesem /24 gehören zb zu innsbruckathlon.at, sachsenstartups.org, berlinstartups.org, europeanstartupmonitor.com, europeenstartups.org. mail.ml-markenshop.de, mail.ml-markenshop.com, web2.eak-gmbh.de undsoweiter.

und auch wenn dort ein server der ÖVP ist: üblicherweise hat man den mailserver im haus (oder heutzutage in der cloud), und bei hostern wie hosteurope sind dann webserver, die die leistungen eines solchen hosters (fett bandbreite, DDoS-schutz, ...) brauchen. bei eigentlich allen setups, die ich kenne, kommt die IP-adresse eines solchen hosters nur in einem fall in mails vor: wenn irgendwas über den webserver versendet wird, also systemmeldungen, kontaktformulare etc; webmail nicht, das läuft normalerweise auch inhouse oder in der cloud.

die angebliche quelle der mails

mein bullshit-alarm geht richtig los bei den auf eu-infothek kolportierten aussagen eines anonymen "cyber-security-manns", insbesondere dieser:

Er erhielt telefonisch, wie angeblich in seiner Branche üblich, einen anonymen Anruf, mit dem Auftrag, für 7.500 Euro in Ibiza die WLAN Sicherheit eines Hauses zu prüfen.

ich hab jedenfalls noch keine telefonischen, anonymen aufträge erhalten, und der stundensatz, den mein arbeitgeber aktuell verrechnet, sind 150€; andere in der branche nehmen für "senior consultants" bis zum doppelten. das ist auf den tag umgerechnet immer noch sehr weit weg von 7500€, auch wenn man ein flugticket einrechnet. im allgemeinen verrechnen freelancer auch weniger als firmen, weil sie weniger overhead haben.

dass man ein WLAN innerhalb von 91 sekunden knackt oder sich irgendwo auf die straße stellt und daten "abholt", ist durchaus möglich, sagt meine erfahrung, auch wenn es natürlich nach einer filmszene klingt. illegal ist es ziemlich sicher auch (zB §118a StGB, " Zugriff auf ein Computersystem").

michael eisenriegler hat übrigens auf twitter darauf hingewiesen, daß an der angegebenen adresse kaum eine möglichkeit besteht, längere zeit mit dem laptop herumzustehen...

fazit: echt oder falsch?

prinzipiell kann man hier die echtheit der mails nicht nachweisen.

manche arten von fälschungen könnte man nachweisen, aber gute fälschungen nicht. man denke nur an die möglichkeit, ein echtes mail-archiv herzunehmen und in einer oder wenigen mails einfach den text zu verändern.

das wäre nachweisbar, wenn digitale signaturen verwendet würden, was aber hier wohl nicht der fall ist.

wenn man die logs der involvierten mailserver hätte, könnte man die mails damit korrelieren, da steht aber normalerweise nur timestamp, absender, empfänger, message-id, größe drinnen, die möglichkeit einer größengleichen textänderung bleibt nach wie vor -- abgesehen davon, dass diese logs vermutlich nicht revisionssicher aufbewahrt werden und von einer stelle stammen, die ein interesse am ergebnis "fälschung" hat. und daß die logs nach fast 1,5 jahren wohl nicht mehr existieren.

und ja, ihr gscheiten twitteranten: man kann auch mit 4 wochen backups eine ISO27001-zertifizierung bekommen. man will die logs vielleicht wegen DSGVO gar nicht besonders lang aufbewahren.

und die geschichte vom cyber-security-experten kommt mir eher unglaubwürdig vor.

feedback

fediverse: @cm@chaos.social

twitter: @ChristianMock