« »

Verfasst am 28.12.2008 12:49:42 Uhr
Kommt nach der Bankenkrise nun die Internetkrise mit Homepage-Sterben?

Soeben habe ich wieder mein freenet'sches Zeitlimit überschritten und mein nur im Zwischenspeicher gesicherter Beitrag ist weg, weil ich Döösbaddel noch etwas Neues ebenso wichtig fand, markiert und in den Zwischenspeicher kopiert habe. In meinem Tagebuchzentralarchiv werde ich mir selber kein Timeout einbauen. Lediglich der FTP-Zugang kann wieder versagen.

So. Nun habe ich mal Luft abgelassen.

Die Lage ist ernst. Wie im Rundfunk zu hören war, sei das Problem zur Zeit, dass nicht nur Banken untereinander sich, sondern auch Banken den Unternehmen keine Kredite gewähren. Da haben alle den Rotstift angesetzt. Bei mir herrscht schon sein 15Jahren der Rotstift und es ist kein Ende der Hungerkur zu sehen.

Hier zunächst mal eine Link-Sicherung zu Online-Angeboten des freenet-Konzerns (Sortierung (Zahlen nach Buchstaben), Stand 28.12.2008):

• aktiencheck.de
• filepilot.de
• fondscheck.de
• freenet-business.de
• freenetprofi.de (profi.freenet.de)
• fundorado.de
• gambas.de
• geheimbild.de
• klarmobil.de
• meome.de
• mobilcom.de
• strato.de
• strato-pro.de
• ucompare.de
• vitrado.de
• 4players.de
• 4netplayers.de (gameserver.4players.de)

Diese Links entstammen angeblich meiner HP bei freenet http://freenet-homepage.de/drpagel/ (vermutlich über eine Weiterleitung von http://www.freenet.de/dienste/homepage/index.html), die zur Zeit folgenden Slogan trägt:

Dies ist eine freigeschaltete Homepage von freenet.de
Bald finden Sie an dieser Stelle
spannende, informative oder persönliche
Informationen des Besitzers.

Gerüchteweise soll angeblich das Webhosting global bei AOL und Lycos eingestellt werden und es werde empfohlen, man möge doch zu Strato wechseln.

So, am heiligen sonnenscheinvollen Sonntag um 14.09Uhr habe ich alle meine Dateien von meiner "mysteriösen" freenet-Homepage mit FTP heruntergeladen, also gesichert.

Auf der Webseite http://www.freenet.de/dienste/homepage/index.html heisst es noch, eine Homepage bei freenet ohne Trafficbegrenzung, ohne Werbeeinblendung, mit Homepagebaukasten, mit kostenlosem FTP-Zugang habe die Note 3,25 in der Ausgabe 18/2008 der Computer-Bild als Preis-Leistungs-Sieger bekommen.

Warum befürchte ich nun, sei meine inzwischen mysteriöse Homepage bei Freenet ebenfalls vom möglichen Homepagesterben von AOL und Lycos betroffen? Nun, ganz einfach. Vorhin wollte ich nur einmal kurz einen Link in meinem Gedicht "Hopp-la-hopp ..." (Eintrag vom 2.4.2005 (lange ist es her)) testen, der auf meine jetzt mysteriöse freenet-Homepage verweist. Und da bekam ich eine Warnseite des Browsers von Symantec Corporation. Sie schreibt:

Verdächtige Webseite blockiert

Zugriffsversuch auf:

http://freenet-homepage.de/drpagel/

Um Sie zu schützen, wurde diese Webseite blockiert und zur Überprüfung weitergeleitet. Besuchen Sie Symantec und erfahren Sie mehr über Phishing und Sicherheit im Internet.

Es wird empfohlen, diese Webseite NICHT anzuzeigen. Wenn Sie jedoch wissen, dass sie sicher ist, können Sie diese Webseite trotzdem anzeigen.

Nun habe ich gerätselt, was denn an meiner Seite so verdächtig sei, zumal ich noch freien FTP-Zugang habe und mir deswegen alle Dateien und Ordner zur Sicherheit mal auf meinen PC heruntergeladen habe. Wenn man mit der Maus über den Namenszug der blockierten Webseite streicht und diesen in eine Textdatei kopiert, so liest man mysteriös:
http: //free net- homepa ge.de /drpa gel/
anstatt richtig:
http://freenet-homepage.de/drpagel/
. Wenn man dann sich noch den Luxus erlaubt, mal etwas Text der URL zu löschen oder hinzuzufügen, wird es ganz mysteriös. Zwischen dem letzten "e" von "free" und dem "n" von "net-" ist offensichtlich eine von rechts-nach-links-Zeichenfolge einprogrammiert, denn fügt man hinter diesem "e" einen beliebigen Buchstaben, z.B. "a" ein, so ersetzt er dieses "e", welches dann auch noch mit dem Leerzeichen tauscht und sich direkt vor das "n" begibt, also zum mitdenken:

h

t

t

p

:

/

/

f

r

e

e

n

e

t

-

+

a

=

h

t

t

p

:

/

/

f

r

e

a

e

n

e

t

-

Allein die Tatsache, dass in eine H.P.-Adresse Leerzeichen eingeblendet werden können, die der Browser wieder weglöschen und der Benutzer daher nicht erkennen kann, ist schon schlimm genug. Und nun auch noch eine Zeichenfolgeumkehr, d.h. es ist vermutlich nicht Ascii32, sondern ein anderes Leerzeichen aus dem hebräischen oder arabischen Schriftsatz mit mir noch unbekanntem UNIcode, weil diese nämlich von rechts nach links schreiben. Falls man keinen Unicode benutzt, wird
http: //free net- homepa ge.de /drpa gel/
nach dem Abspeichern wie folgt dargestellt:
http:?//fre?enet-?homep?age.d?e/drp?agel/
, es ist also nach jedem 5.Zeichen durch ein mysteriöses UNIcode-Zeichen zerhackt. Bisher gelang mir nicht, dieses geheime UNIcodezeichen abzuspeichern. In einer Wordpad-Textdatei wird es erkannt, aber nach dem Abspeichern durch das Fragezeichen ersetzt, speichert man es als Unicode ab, ist es spurlos verschwunden. Erzeugt man zunächst eine UNIcode.txt-Datei mit einem normalen Editor und speichert den Namenszug der gesperrten Webadresse, so sind die eingestreuten Zeichen unsichtbar, sind aber für das Lesen durch Wordpad erkennbar. Leider konnte der Homepage-Editor NVU dieses Zeichen nicht interpretieren, aber 1:0 für Staroffice. Es wird so dargestellt:

Nach dem Kopieren in eine neue Staroffice-HTML-Datei und Betrachten des HTML-Quellcodes wird das Geheimnis endlich gelüftet. Das eingestreute Unicodezeichen lautet ​

Und damit keine falsche Hoffnung entsteht: hier in diesem Beitrag habe ich nirgends dieses mysreriöse Zeichen eingebaut. Der Test an einem anderen PC ergab:

• falls man http://freenet-homepage.de/drpagel/ eingab, wurde die freenet-Webseite zur Vorankündigung eingeblendet:

  Dies ist eine freigeschaltete Homepage von freenet.de
  Bald finden Sie an dieser Stelle
  spannende, informative oder persönliche
  Informationen des Besitzers ... usw.

• falls man http://freenet-homepage.de/drpagel eingab, wurde diese Adresse automatisch um den Schrägstrich ("slash") ergänzt und dann meine bekannte freenet-Homepage am Browser ohne Murren dargestellt.

Nun liegt die Vermutung nahe, evtl. dürfe die "index.html"-Datei nicht mehr so heissen, sondern vielleicht "index.htm" oder ähnlich. Aber auch eine Umbenennung meinerseits ergibt die gleiche Symantec-Phishingwarnung. Wenn ich aber diese Warnung beobachte, so kommt sie erst, nachdem abakus.freenet.de meinem Browser seine erste Aufwartung bereitet hat. Nach der Symantec-Warnung wartet der Browser erneut auf abakus.freenet.de, um zu vermelden, dass ... ja das wüsste ich auch gerne ...
Möglicherweise rührt die Zerhackung in 5er-Zeichensequenzen gefolgt vom Separatorzeichen von einem Javascript-Code, möglicherweise kann ich vermuten, wird nicht nur meine Seite auf einem anderen Server kopiert und mit dieser "gehackten" Adresse zu mir als Leser geschickt. Dass ich zukünftig mich nur noch über ein sichereres ssl-Login einlogge, versteht ich von selbst. Auch darf ich hier die Warnung von Phishing-Experten wiedergeben, dass man nicht einmal die Adresse der verdächtigen Seite mit "drag und drop" in die Browseradresszeile kopieren darf, sondern sie Zeichen für Zeichen von Hand dorthinein eintippen muss.

Vorläufig kann abakus lange warten, weil ich unter dem mysteriösen FREENET-Account sämtliche Dateien und Verzeichnisse, soweit ich darauf zugreifen konnte, rigoros und restlos gelöscht habe (siehe » Beitrag3).

Diese mysteriöse URL wird bei symantec durch css-Style erzeugt. Ich dachte immer, css sei nur für die grafische Ausschmückung von HTML-Seiten zuständig. "Mein Gott, was bin ich naiv!"

Die Klärung der Frage, ob Symantec diese URL derart seltsam maskiert oder ob Symantec diese von Fremdprogrammen verursachte Maskierung als Phishinggrund bewertet hat, muss auf später verschoben werden. (dp) (5,5h)
archiviert (tbid2621.526): (dp) 28.12.2008 (+flagcounter +home.icon)