SIRIS Documents

Inspired by a tweet from Kenneth Lipp on Twitter in which obviously live streams of Predator Drones were published on the internet, I started to look for the material myself on Shodan.

So I started a search on the key words on ShodanHQ und stumbled across said streams shortly after. Due to nerdy and journalistic curiosity, I randomly took a look an the same IP-address range in order to find more live imagery.

 

Shodan Suche „html:fmv“

Just to make it clear: We are talking about freely accessible web servers, given the IP-addresses are known. A search engine like Shodan – in comparison to Google – simply uses different key words in the algorithm and crawls the web for so called „Internet of Things“-devices. In other words: badly or insufficiently secured devices/servers on the web accessible for all.

The fourth result lead to a live stream displaying the area of the Gulf of Mexico. Meanwhile, others had the same idea to look further and have obviously found more streams.

Anyhow, it was my first try and based on the drone stream accessible under 98.188.203.187 I simply went along the address range incrementally and didn’t believe my own eyes. The URL http://98.188.203.188/index_page/index.html points to the following page (as taken from archive.org) (A Reverse Lookup lists the IP as appointed to the following  Domainhttp://sirisdemo.aviture.us.com/index_page/index.html).
siris

There was a page with the name „SIRIS –  Surveillance Intelligence Reconnaissance Information System“. First, I assumed that somebody must have misconfigured the access rights. A little further down the page it got even more intreresting: obviously even some SKYNET NSA loginpages are linked directly (I can’t tell whether or not those pages grant direct access to said system. It’s up to others to evaluate that).

The page itself looks as if it was used as a demonstrational system of a software of an external actor along the US-Military/Intelligence supply chain. There are several screencasts to be found that look like a tour to the software of the prorgram.

(Be carefull: The Videos are linked direct at the source page)

This Slides i found under „SIRIS 0.9“:

As I already said, I leave it to others to judge the found documents. Obviously they must be rated as „unclassified“, since they contain dummy data for demonstrational purposes. But one couldn’t exactly say that the SKYNET Logins have been spread accross every blog roll so far (given they’re real). Up until now I haven’t heard of  a program called „SIRIS“, so I would be happy to receive furhter info on it. Since the server is openly accessible for everyone on the web, I have decided to publicly talk about my findings.

SIRIS Dokumente offen im Netz einsehbar

(English Version: https://cybererrorism.org/2017/05/siris-documents/)

Neugierig gemacht durch einen Tweet von Kenneth Lipp auf Twitter bei dem offensichtlich Live Streams von Predator Dronen im Internet Live gestreamt werden, begann ich bei Shodan selber nach den Dronenbildern zu suchen.

Also begann ich nach den Stichworten bei ShodanHQ zu suchen und fand schnell die Streams um die es in seinem Beitrag geht. Wie die IT’ler*innen nun mal sind und aus journalistischer Neugierde begann ich einfach mal im selben IP-Adressbereich weiter zu schauen. Ggf. ließen sich ja weitere Live Bilder finden.

Um es nocheinmal klar zu stellen, wir reden hier über von jedem Menschen im Netz aufrufbaren Webservern, wenn die IP-Adressen bekannt sind. Eine Suchemaschiene wie Shodan nutzt im Vergleich zu Google lediglich eine andere Thematik im Algorythmus und sucht nach im Netz erreichbaren sogenannten „Internet of Things“ Geräten. Also schlecht oder nur unzureichend abgesicherte Geräten/Servern, die im Netz hängen und für alle Erreichbar sind.

Shodan Suche „html:fmv“

Gleich der vierte Sucheintrag führt zu einem Live Stream über dem Golf von Mexiko. Inzwischen sind auch andere auf die Idee gekommen mal weiter zu schauen und haben offensichtlich weitere Streams gefunden.

Nun denn. Erster eigener Versuch und anstatt des Drohnen Streams unter 98.188.203.187 zählte ich eine IP im Adressbereich weiter hoch und ich traute meinen Augen kaum. Unter http://98.188.203.188/index_page/index.html ist folgende Seite erreichbar. (Seite bei archive.org) (Ein Reverse Lookup listet die IP mit der folgender Domain http://sirisdemo.aviture.us.com/index_page/index.html)

SIRIS – Surveillance Intelligence Reconnaissance Information System

Es fand sich eine Seite mit dem Programmnamen „SIRIS – Surveillance Intelligence Reconnaissance Information System“. Mein erster Gedanke war: Da hat wohl wer das Häkchen in der Rechteverwaltung falsch gesetzt. Etwas weiter unten auf der Seite wurde es dann aber noch spannender. Hier sind offenbar sogar SKYNET NSA Loginseiten direkt verlinkt. (Ob diese einen direkten Zugang bieten, kann ich an dieser Stelle natürlich nicht feststellen, dass können ggf. andere bewerten)

Skynet Login

Die Seite selber sieht aus wie eine Präsentation zu einer Software von einem externen US-Militär/Geheimdienst Zulieferer. Auf der Seite sind einige Screencasts verlinkt, die einen Einblick der Software des Programms zeigen.

(Alle Videos liegen auf dem Original-Server – Also ggf. Vorsicht beim ansehen)

Unter dem Link „SIRIS 0.9“ sind folgende Bilder zu finden:

Die Bewertung der gefundenen Dokumente sei erst einmal anderen überlassen. Sie sind offensichtlich nach einer ersten in Augenscheinnahme als „unclassified“ eingestuft und enthalten dummy Datensätze für die Präsentation. Allerdings sind die SKYNET Logins ja bisher nicht gerade in jeder Blogroll zu finden gewesen. (Wenn diese real sind) Ein Programm mit dem Namen „SIRIS“ war mir bisher nicht bekannt, ich freue mich deshalb ggf. über Hinweise falls dieses Programm früher bereits erwähnt wurde, oder bisher unbekannt war.

Da der Server offen und für jeden Mensch im Netz erreichbar ist, habe ich mich entschlossen die vorgefundene Seite hier öffentlich zu behandeln.

 

Update (05.05.2017: 20:00): Die Seite wurde Offline genommen. Dementsprechend funktionieren die Videos nicht mehr. Es gibt ein Beitrag auf Ars Technica, der eine Einschätzung versucht. Fest steht, es gibt eine Resonanz, die die Quelle abgeschaltet hat. Was auch immer das war. https://arstechnica.com/information-technology/2017/05/not-so-secret-dod-spy-drone-footage-live-on-the-internet/

Wikipedia Mirror

Aus aktuellem Anlass der Websperren in der Türkei, haben wir uns veranlasst gesehen mal einen kleinen Mirror der türkischen Wikipedia aufzusetzen. Der Dump ist vom 20.04.2017 und dient erst einmal als Beispiel voran zu gehen und eine Möglichkeit zu schaffen ggf. die Inhalte erstmal wieder erreichbar zu machen.

Natürlich wird unsere Seite schnell im Filter landen. Aber wenn viele Menschen einen eigenen Mirror aufmachen, müssen schon ganze Adressräume gesperrt werden und der Druck steigt. Es ist also zu wünschen das mehrere Mirrors entstehen.

Unter dumps.wikimedia.org könnt ihr euch ebenfalls die Files besorgen und euch einen eigenen Mirror aufsetzen. Ggf. ist es eine gute Idee wenn jemand eine statische Version parst und diese zur Verfügung stellt.

Ihr erreicht das Mirror Projekt unter ####################

Hier geht es zum Mirror der türkischsprachigen Wikipedia vom 20.04.2017

Die Suchfunktion funktioniert.

Eine Liste freier DNS-Server gibt es hier. Hier eine Auswahl:

  • 85.214.20.141 (FoeBud)
  • 204.152.184.76 (f.6to4-servers.net, ISC, USA)
  • 2001:4f8:0:2::14 (f.6to4-servers.net, IPv6, ISC)
  • 194.150.168.168 (dns.as250.net; Berlin/Frankfurt)
  • 213.73.91.35 (dnscache.berlin.ccc.de)

Nedeniyle son olaylar Türkiye’de web engelleme , bize Türk Wikipedia’nın küçük bir ayna ayarlamak için zamana açtı gördüm.dökümü 20.04.2017 den ve gerekirse erişilebilir ilk içeriği yeniden yapmak için, örneğin ve oluşturmak için bir yol olarak gitmek için sadece bir kez kullanılır.

Tabii ki, bizim yan yakında filtresinde sona erecek. Birçok kişi kendi ayna açtığınızda Fakat, tek adresleri zaten kilitli ve basınç artar edilmelidir. Bu yüzden birkaç aynalar neden olduğu arzulanan edilecektir.

Altında dumps.wikimedia.org da size dosyaları elde edebilirsiniz ve kendi ayna koydu. Gerekirse Birisi statik bir sürümünü ayrıştırır ve kullanılabilir hale getirir, bunun iyi bir fikirdir.

Sen Ayna projeyi ulaşmak ####################

için tıklayınız Türk dilinin Wikipedia’nın Mirror 20/04/2017 den

arama fonksiyonu çalışır.

Bir serbest DNS sunucusunun liste burada mevcuttur. İşte bir seçki:

  • 85.214.20.141 ( FoeBud )
  • 204.152.184.76 (f.6to4-servers.net, ISC, ABD)
  • 2001: 4F8: 0: 2 :: 14 (f.6to4-servers.net IPv6, ISC)
  • 194150168168 (dns.as250.net; Berlin / Frankfurt)
  • 213.73.91.35 (dnscache.berlin.ccc.de)