Ich habe ein bisschen rumgesucht, welche domains ich finden konnte, die durch operation-endgame.com beschlagnahmt wurden.
Bisher konnte ich nur diese finden:
– Veraltete Liste, checkt den Link drunter –
All diese domains haben die gleiche IP Adresse hinter den Nameservern, wodurch ich sie gefunden habe.
Mehr konnte ich jetzt nicht finden.
Habe 1210 Domains jetzt.
hier: paste.tchncs.de/raw/snake-snake-ape
Einige der Domains wurden von deutschen Behörden beschlagnahmt - das ist das erste Mal, dass ich mitbekomme, dass die deutschen Behörden das auch machen.
Meines Wissens nach wurden bis jetzt nur Server beschlagnahmt, nie Domains (die Server haben dann daraufhin die Seized-Banner angezeit).
Ganz viele der Domains nutzen de-a/b.sinkhole.shadowserver.org als deren Nameserver. Habe mir einfach mal die CZDS Datenbank heruntergeladen, und danach gesucht:
paste.tchncs.de/raw/fish-swan-deer
1026 Domains allein hier.
Die scheinen alle von deutschen Behörden beschlagnahmt zu sein.
Die Liste enthält keine ccTLDs, daher sind TLDs, die nur 2 Zeichen lang sind, nicht enthalten. Ich vermute mal da kämen noch etwa 1000 dazu.
(Die anderen NS auf *.sinkhole.shadowserver.org scheinen tatsächlich einfach nur eine Sinkhole zu sein)
Bin gerade viel zu Müde um richtig nachzudenken. Vielleicht finde ich noch mehr. Wenn ihr noch irgendwelche anderen findet, bitte antwortet hier!
Das ist nicht ganz richtig! Die haben die URLs nicht beschlagnahmt, die wurden dem ZIT übertragen als neuer Owner.
Shadowserver hat einen vollständigen Kooperationsvertrag mit Europol (wo DE ebenfalls involviert ist) und erledigt die technischen Arbeiten in solchen großen Fällen!
Sie treten dabei als „non-Profit Foundation“ auf, haben dazu weltweite Beziehungen und ein riesiges Netzwerk inkl. Server-Farmen, in den USA hauptsächlich.
Die Shadowserver Foundation ist eine altruistische, gemeinnützige, Organisation, die durch Sponsoring, Zuschüsse und Spenden finanziert wird.
Die sammeln riesige Mengen an Bedrohungsdaten, versenden täglich Zehntausende kostenlose Abhilfeberichte und pflegen enge gegenseitige Beziehungen zu Netzwerkanbietern , nationalen Regierungen und Strafverfolgungsbehörden. „Wir holen bösartige Aktivitäten und missbräuchliche Schwachstellen aus dem Schatten, beschleunigen deren Behebung und tragen dazu bei, das Internet besser zu schützen.“
Wie du also sehen kannst, hat „Shadowserver“ alle Werkzeuge dafür in der Hand. Das nun die Deutschen als neue Eigentümer eingetragen sind, wird ja zuvor bei Europol besprochen. Da teilen sich die Mitgliedsländer die abschließenden Arbeiten usw. ja untereinander auf, weil es sonst schlichtweg viel zu viel wäre, wenn jedes Land von allem etwas abarbeiten würde - so sinkt auch die Fehleranfälligkeit bei en gesamten Ermittlungsarbeiten…!
Vor allem ist Shadowserver autark und ist nicht den Gesetzen bestimmter Länder unterworfen, so wie eine Pozileibehörde z.B.
Ähnlich wie Organisationen wie Shodan und Censys führt Shadowserver täglich Port-Scanning des gesamten IPv4-Internets durch, und zwar von Computern, die sich physisch in den USA befinden, wo Port-Scanning nicht durch Bundesgesetze verboten ist. Für eine detaillierte Analyse der Rechtmäßigkeit des Internet-weiten Scannens, lesen Sie bitte die Artikel von Nmap und Rapid7. Wir tun dies als Shadowserver, um das Internet für alle sicherer zu machen, aber im Gegensatz zu Diensten wie Shodan und Censys haben wir beschlossen, unsere Scandaten nicht für die Öffentlichkeit zugänglich zu machen. Stattdessen benachrichtigen wir nur überprüfte Netzwerkbesitzer, die unsere kostenlosen täglichen Berichte über potenzielle Fehlkonfigurationen oder missbrauchbare Dienste in ihrem Netzwerk abonniert haben, die für Angriffe auf andere genutzt werden könnten (z. B. bei reflektierenden DDoS-Verstärkungsangriffen), sowie ihr zuständiges nationales CERT/CSIRT - diese Daten dienen ausschließlich dem Zweck der Abhilfe. Wir sind der Meinung, dass dieser Ansatz ein ethisches Gleichgewicht zwischen der Verbesserung der Sicherheit des Internets als Ganzes und der Vermeidung von Schaden schafft, z. B. durch die Offenlegung potenzieller Schwachstellendaten für eine offene, anonyme öffentliche Suche, die andernfalls von Angreifern zum Auffinden und Ausnutzen/Missbrauchen verwundbarer Systeme verwendet werden könnte.
Was zur Hölle geht gerad in der Szene ab?
Von der Shadowserver Foundation habe ich tatsächlich auch schon gehört.
Hier ging es mir eigentlich um etwas anderes: Die Domains zeigen alle auf die beiden oben genannten Nameserver, die bei Shadowsocks liegen. Jedoch ist Shadowsocks natürlich nicht in der Lage, tausende von Domains zu beschlagnahmen. Jemand hat die Nameserver zu den beiden oben genannten geändert. Da die beiden Nameserver mit „de-“ anfangen, dachte ich mir es wären die deutschen Strafverfolgungsbehörden.
Bei der Domain, von der ich zufälligerweise das whois genommen habe, handelt es sich übrigens um tierzahnarzt.at. Ich habe whoxy (eine whois Suchmaschine) benutzt, um Domains mit dem gleichen Besitzer zu finden - es kam aber nur tierzahnarzt.de
whoxy.com/email/217076388
Die Generalstaatsanwaltschaft Frankfurt am Main ist ein zentrales Mitglied der Operation, wie die offizielle Website selbst sagt. Meines Wissens nach wurden zuvor noch nie Domains auf deutsche Strafverfolgungsbehörden übertragen, das wollte ich vorhin nur damit betonen. Wie gesagt, bin etwas müde, es kann gut sein, dass einiges was ich sage wenig Sinn ergibt.
Ganz nebenbei:
Ich bin gestern schon durch meine Domain Liste gegangen, wobei mir die Domain „operation-endgame**.org**“ aufgefallen ist. Die offizielle Domain lautet „operation-endgame**.com**“
Laut whois wurden beide Domains am gleichen Tag registriert. Die Domain selbst resolved keinen A record.
Ich habe mir Gestern nicht viel dabei gedacht, dachte es sei einfach nur eine Domain, welche die vergessen haben. Heute aber sind die Nameserver der Domain bei Cloudflare, während sie Gestern noch auf die gleichen Nameserver zeigten wie die .com Domain. Sie scheinen also anscheinend doch nicht über diese Domain vergessen zu haben.
Nichts wichtiges, fand ich nur allgemein komisch.
Außerdem pointed de-a.sinkhole.shadowserver.org auf 188.40.141.217 und de-b.sinkhole.shadowserver.org auf 188.40.141.213 - beides IP-Adressen, die zum Subnet gehören, das operation-endgame nutzt. Warum die beiden NS von Shadowserver direkt auf IP-Adressen von op-endgame pointen ist mir ein Rätsel.
Das gehört ja mit zu den tiefen Verflechtungen zwischen Shadowserver und den teinehmenden Behörden, was ich gestern geschrieben hatte. Shadowserver hat halt die Möglichkeiten dazu, da sie auch mit diversen ISPs aber auch mit Registraren wie z.B. ICANN oder DENIC etc. 1:1 zusammenarbeiten!
In dem Fall, den du dort nanntest, geht es um die Kooperation zw. Shadowserver und EuroJust - EuroJust ist ja der Justizapparat hinter EuroPol.
