Spickzettel zur Selektorendeutung

Auf der umstrittenen BND-Selektorenliste sollen sich NGOs wie das Internationale Rote Kreuz, aber auch Botschaften anderer Staaten und viele weitere Spionageziele befinden. Wer heute die Ehre hat, diese Selektoren des BNDs deuten zu dürfen, dem könnten u. a. diese Listen von in der Telekommunikation relevanten Parametern dabei helfen:

Länderspezifische Domain-Endungen (country code Top-Level-Domans, ccTLD),

Landes-Telefonvorwahlen,

IPv6-Adressraum nach Regional-Internet-Registry (RIR),

IPv4-Adressraum nach Regional-Internet-Registry (RIR),

Liste und Zonierung der Regional Internet Registries (RIR),

Liste von URL-Präfixen („schemes“ wie „http“, „mailto“, „xmpp“),

Liste der Zuordnungen der europäischen RIR zu Local Internet Registries (LIR) (alloclist.txt, 2MB),

unvollständige Liste von IPv4-Adressbereichen einzelner staatlicher Stellen und Parteien aus Deutschland.

Ausgewählte Ergänzungen zu vorgenannter Liste anhand der alloclist.txt:

  • Bundeskanzleramt: 78.41.144.0/21 2a03:f080::/32
  • Bundesamt für Finanzen: 80.245.144.0/20
  • Bundesministerium des Innern: 31.12.32.0/19 2a02:1000::/26
  • Deutsche Bundesbank: 185.92.76.0/22 2a03:8ae0::/32

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

8 Ergänzungen

  1. Joar, sicherlich ist so ne MAC-Adresse auch mal nen Selektor. Allerdings kannst Du als nicht-Geheimdienst anhand dieser ersteinmal nicht viel mehr als den Hersteller der Netzwerkkarte identifizieren, etwa unter http://coffer.com/mac_find/ . Womöglich gibt es auch präzisere Erfassungen nach Geräte-Typen oder je nach Hersteller in welche Regionen welche Chargen gingen.

    Nachtrag: Eine MAC-Adresse ist relevant auf dem „Media-Access“-Layer; das bedeutet, dass sie außerhalb des ersten logischen Netzes keine Relevanz mehr hat und dementsprechend auch nicht übertragen wird oder außerhalb diesen üblicherweise erfasst werden kann. Als Provider kann ich also erstmal nur die MAC-Adresse Deines Routers identifizieren — nicht die Deiner Rechner dahinter, außer ich behalte Kontrolle/Zugriff über/auf Deinen Router. Als „WLAN-Provider“ sieht das schon anders aus. Grad im WLAN sendest Du besonders oft und häufig Deine MAC-Adresse blind in Deine direkte Nachbarschaft. Sonst wird die MAC-Adresse auch häufig als Seriennummer genutzt, weil sie weltweitig eindeutig sein sollte. Doppelvergaben sind aber auch nicht unüblich. Jedes Betriebssystem/jeder Netzwerkstack kann eine beliebige MAC-Adresse verwenden, sofern sie im lokalen Netz eindeutig ist (bei einer Zufälligen Adresse sehr wahrscheinlich).

    1. MAC-Adresse?
      Nein, beim IPv4 Standard ist da noch keine größere Gefahr vorhanden!
      Erst mit der flächendeckenden Etablierung des IPv6 Standards, wird eine eineindeutige Identifizierung ermöglicht!
      … aber auch hier können „wir“ uns auf die Chinesen verlassen, die nicht bei jedem netzfähigem Gerät eine extra Hardwarekennung (ehemals „MAC“) vergeben!
      Mit IPv6 macht dann die VDS auch wieder einen Sinn, da dieser Standard kein NAT benötigt!
      Warum?
      Nun, aktuell (IPv4) kommt ein Ende-zu-Ende-Prinzip nicht zum Tragen und somit fallen auch keine direkt auswertbaren Metadaten an!
      Mit dem IPv6 Standard ändert sich das, ein Ende-zu-Ende-Prinzip wird hiermit möglich, da man sich als Gefährder/Terrorist/Wistleblower nicht mehr hinter einem NAT-Router (Firma, Bibliothek) verstecken kann!
      Tja, wir werden sehen, wie man seine Privatsphäre auch mit IPv6 schützen kann, dürfen … darf man das ja quasi nicht, weil … dann hätte man etwas zu verbergen und etwas zu verbergen haben nur Grimminelle und Derrorisd’n!

      1. Ja, aber nur weil IPv6 es wieder so recht ermöglichen würde, dass alle Teilnehmenden eines Internet wieder direkt und logisch ebenbürtig miteinander kommunizieren können, heisst es nicht, dass Du nicht auch Network Address Translation (NAT) mit IPv6 machen kannst, das ist auch standardisiertin iptables Referenz-implementiert (vgl. „NATv6“).

        Im übrigen gibt es für IPv6 die „Privacy Enhancements“, welche standardmäßig von den Betriebssystemen eingeschaltet sind. Die bewirken, dass sich ob Deiner Gesichtspunkte das mit dem „echten Internet“ bei v6 so ähnlich verhält wie bei nem ge-NAT-etem IPv4-Anschluss: Du erhälst von Deinem Provider einen Präfix Deiner Adresse — und baust Dir *zwei* Adressen: Eine statische für eingehende Verbindungen [edit: originär-eingehende, NICHT antwortend-eingehnde], dafür wird als Suffix einfach die MAC-Adresse Deiner Netzwerkkarte verwendet (Du kannst auch Dein Betriebssystem überreden an dieser Stelle immer eine bestimmte andere zu verwenden). Und eine für ausgehende Verbindungen, welche zufällig generiert wird. Von letzteren kansnt Du Dir auch beliebig neue generieren, das geschieht bei den meisten Betriebssystemen glaub ich alle 24h. Kannste auch auf ne Stunde setzen.

        Nachtrag: Ganz praktisch gibt Dir die Telekom sogar alle 24hvon Zeit zu Zeit einen neuen Präfix! Im Grunde ähnlich zu „alle 24h neue IPv4-Adresse für Deinen Router“. Das wird sicher genauso geloggt, wie Deine v4-Adresszuordnung. Defakto kein Unterschied. Bedauerlicherweise kannste so halt nicht ebenbürtig zu anderen Internet-Teilnehmenden erreichbar bleiben, weil sich Dein Präfix dauernd ändert. Das ist quasi ein Datenschutz-Feature, was in nem netzneutralen Sinne etwas nach hinten los geht. Da wünsch ich mir von der Telekom doch lieber zwei Präfixe; einen, der sich dauernd ändert und einen, der gleich bleibt. Dann könnt ich mit meinem Router immernoch diskutieren welcher fürs was und wen benutzt wird.

      2. Den Link -> http://www.golem.de/1112/88043.html wollte noch einfügen, etwas älterer Artikel, aber beschäftigt sich ebenfalls mit dem IPv6 „Problem“!
        Aktuell gibt es noch das Problem mit dem Teredo-Protokoll, das IPv6 über UDP durch NATs tunnelt … was viele (auch Firmen) nicht wissen und sie somit angreifbar sind!
        Das habe ich einmal meinem Boss nachgewiesen, in dem ich auf seinen Rechner durch alle NAT Barrieren hindurch zugreifen konnte, er war reichlich entsetzt!

      3. Wegen der Erreichbarkeit mit ständig wechselnden IPv6 Präfix, wenn nötig kann die benötigte Anwendung zur Verwendung eines Moderationsserversystems konzipiert werden, dann geht das auch wieder mit der Kommunikation!

  2. Hallo, bin total unbedarft. Wie ist das bei Windows. Ist das alles gefährlich oder nicht? Ich habe einen Tablet, einen Laptop und so ein neues Handy (Smartphone). Sind da außer der Telefonnummer noch weitere Nummern und muss ich das wo ändern oder besser nicht?
    Vielen Dank & lieben Gruß SUSI

  3. 78.41.144.0/21 gehört zum Bundeskanzleramt ÖSTERREICH!!!
    Das Bundeskanzleramt dürfte über AS49234 online gehen (betrieben vom BSI), der relevante Bereich ist: 77.87.224.0 – 77.87.231.255
    Der Uplink Carrier ist vermtl. Deutsche Telekom (AS3320) und evtl. DFN (AS680) als Backup.

    MAC-Adressen:
    Werden nicht wirklich übers Internet übertragen. Indirekt jedoch schon. Sie dienen als sehr spezifischer Selektor in Dokumenten die mit Microsoft Office erstellt wurden. Office Dokumente enthalten nämlich die MAC-Adresse des Erstellers in den Metadaten.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.