Userbase

Op HLN lazen we vandaag 't volgende "VS onderscheppen e-mail Kamerlid"

http://www.hln.be/hln/nl/957/Binnenland ... rlid.dhtml

De video bekeken, en met zo'n 20 jaar ervaring in het lezen van email headers had ik direct iets van: dit klopt niet:

1) het betreft geen header, maar iets wat onderaan de mail staat, dus in de body
2) het IP 6.73.3.0 lijkt niet op een IP, want het eindigt op 0, lijkt eerder op een /24 netwerkadres (maar is in theorie wel mogelijk bij /23 en ruimere subnetting van de /8 waarin dit IP voorkomt)
3) als een security dienst al zou in slagen je mailbox te hacken, dan gaan ze geen sporen nalaten
4) zijn ze toch zo dom om zich access op de fysieke mailbox te verschaffen, dan zal hooguit de read vlag veranderen, maar dit staat ook niet in de body dat de mail gelezen werd.

Meer plausibel als ze echt willen afluisteren: gewoon de packets dumpen & loggen en nadien zelf de mail terug samenstellen, ooit zelf nog IDS sensors gedeployed dus weet wel hoe dit werkt.

Dus heel het verhaaltje stinkt, zeker dat zogezegd een Amerikaanse legerbasis haar email zou geopend hebben.

Dus eens gezocht op de beruchte boodschap “message opened by mailclient” zoals gezien in de video op HLN. Wat blijkt nu ?

After registering for Mail.com (where the MP send her mail from), and looking to the source code of the web interface, "6.73.3.0" (the IP adress of the military base) is coincedently the version number of their webinterface-software. Cf. the suffix of this Javascript-file directory-lookup-table-6.73.3.0.js.

So, the message

message opened by mailclient 6.73.3.0

means exactly that: the mailclient (you as the user) opened the email through the Mail.com webinterface.

Lesson of today: make sure the "IT-expert" you consult can differentiate between an IP-adres and a version number .

Dus het ip 6.73.3.0 is helemaal geen ip, maar de versie van de webmail software die nu op mail.com draait, en blijkbaar is de pagina zo opgezet, dat deze onderaan altijd de versie toont. En die versie heeft zelfs al een geschiedenis:


(2008) message opened by mailclient 1.0.20.1
(2009) message opened by mailclient 4.6.0.0
(2010) message opened by mailclient 6.21.11.1
(2011) message opened by mailclient 6.35.6.0
(2012) message opened by mailclient 6.54.5.0
(2013) message opened by mailclient 6.71.3.0


Zie:

http://security.stackexchange.com/quest ... 4826#44826

Heb ondertussen al op HLN een reactie of drie geschreven en het artikel als fout gerapporteerd, maar dit wordt gewoon gecensureerd, ze hebben liever valse spectaculaire berichtgeving. Spijtig dat onze kranten niet te vertrouwen zijn en er zulke onzin wordt gepubliceerd.

Het gaat dan ook over Het Laagste Nieuws hé

Ik lees die commentaren niet maar waarschijnlijk staat het nu vol met iets in deze aard:

NVA wil aandacht
NVA vervalst artikel
NVA kent er niets van
NVA blablabl

Het lijkt me eerder een slechte bron die:
ofwel de NVA in een slecht daglicht wil zetten
of zelf wat aandacht wou...

Geen wonder dat de mensen niet meer weten wat te stemmen, al die kak artikels... brrrr
Als je dan een milde interesse in politiek hebt moet je alle partijprogramma's zelf gaan doorspitten voor je iets meer weet want een onpartijdige artikel kan je tegenwoordig niet meer vinden.

edit: Ofwel hebben die nooit bestaan die onpartijdige artikels dat kan natuurlijk ook

Waarom gebruikt een Vlaams parlementslid trouwens een @mail.com adres (op zich is ze dus blijkbaar zelf niet in staat verantwoord om te springen met internet, zijn er dan geen regels dat ze de infrastructuur van haar werk moet gebruiken voor dergelijke dingen). Erger nog is haar raadgevende "security expert" die blijkbaar geen verschil kent tussen een versie nummer en IP-adres.

ub4b schreef:2) het IP 6.73.3.0 lijkt niet op een IP, want het eindigt op 0, lijkt eerder op een /24 netwerkadres

Sinds wanneer kan een IP-adres niet eindigen op een 0 ?

Een 6.x.x.x adres is trouwens origineel (tot de komst van CIDR) een class A adres en dus een /8.

een geldig host IP kan idd op .0 eindigen, maar zie niet vaak LAN subnets groter dan /24 zelfs bij grote klanten ... sporadisch eens nen /23

als die .0 deel is van een /23 or ruimer wel perfect plausibel als host IP ...

anderzijds zo'n /8 ga je normaal opsplitsen ... net iets te veel hosts in 2^24

ub4b schreef:een geldig host IP kan idd op .0 eindigen, maar zie niet vaak LAN subnets groter dan /24 zelfs bij grote klanten ... sporadisch eens nen /23

Ik kom ze genoeg tegen /23's... aangezien iedere laptop vaak een wired en wireless IP gebruikt (al ben ik van mening dat het beter is deze in een ander subnet te plaatsen). Ook op plaatsen waar veel devices in omloop zoals scholen ed. zie je ze genoeg (het is namelijk niet omdat je ze niet gebruikt dat het adres niet gereserveerd blijft op de DHCP server).

ub4b schreef:als die .0 deel is van een /23 or ruimer wel perfect plausibel als host IP ...

Inderdaad... vandaar dat je dus dergelijke uitspraken beter niet doet (zeker niet in een topic waar de kleinste vergissing het verschil maakt tussen een "expert" en ....).

ub4b schreef:anderzijds zo'n /8 ga je normaal opsplitsen ... net iets te veel hosts in 2^24

Inderdaad... al staat het in de Whois data als één /8 blok. Je bewering over een /24 slaat trouwens op niets, daar is geen enkele aanwijziging voor (ook al zou het kunnen).

http://www.standaard.be/cnt/dmf20131102_00820363
Gelukkig worden er bij de degelijke kranten wel nog enkele vragen gesteld. Natuurlijk geloven we allemaal dat de NSA of consoorten sporen gaan achterlaten...

heb zelf nog een /23 beheerd waar ik dhcp op uitdeelde ...

dat een HOST ip eindigde op .0 vond ik onwaarschijnlijk in de HLN video (maar zeker niet onmogelijk), maar het doorslaggevende is dat het vermeende IP gewoon een versienr is van de webmail software

6.x.x.x is een class A netwerk dus een /8, tenzij men CIDR toepast en /8 in 256x256 /24 maakt , kan een adres idd eindigen op 6.x.x.0

xming schreef: tenzij men CIDR toepast en /8 in 256x256 /24 maakt

CIDR hoeft niet te betekenen dat het allemaal /24's zullen zijn... alle mogelijke combinaties zijn daar zowat mogelijk.

r2504 schreef:

xming schreef: tenzij men CIDR toepast en /8 in 256x256 /24 maakt

CIDR hoeft niet te betekenen dat het allemaal /24's zullen zijn

Dat beweerde ik ook niet, ik zei CIDR *EN* 256x256 /24.

Half uurtje techtalk?