Menü
Technology Review

Innovation im Untergrund

vorlesen Drucken Kommentare lesen 62 Beiträge

Der technische Fortschritt bewirkt auch in der kriminellen Internet-Szene einen organisatorischen Wandel, berichtet Technology Review in seiner aktuellen Ausgabe (04/08). So nimmt etwa die Bedeutung so genannter "Rogue Provider" stetig ab, weil sie zunehmend von neuartigen Botnetzen ersetzt werden.

Rogue Provider stellen die Infrastruktur für die mittlerweile hoch professionelle kriminelle Szene im Internet. Dabei nutzen sie die Tatsache aus, dass das Internet zunehmend aus einer Ansammlung von so genannten autonomen Systemen – einem ganzen Bündel verschiedenster IP-Netze – besteht, die untereinander Verträge den Datenverkehr aushandeln. Der bekannteste dieser Schurken-Provider ist das so genannte Russian Business Network RBN. Die Organisation dahinter knüpfte ein nahezu undurchschaubares Geflecht aus Teilnetzen und Schein-Providern, das es beinahe unmöglich machte, sie abzuschalten.

David Bizeul ist einer der wenigen Experten, die sich mit ihrer Beschäftigung mit kriminellen Internet-Strukturen an die Öffentlichkeit wagen. Im Juni des vergangenen Jahres entschloss sich der 30 Jahre alte Bank-IT-Angestellte, den bösartigen Netzwerken auf den Grund zu gehen, und erkundete vier Monate lang in penibler Computer-Detektivarbeit die Struktur des RBN. Auf 406 Servern mit rund 2090 Internet-Adressen fand er so ziemlich alles, was es im Internet nicht geben dürfte: Kinderpornos, Software zum Datendiebstahl, Anwerbeseiten für angebliche Finanzagenten, Drop Zones.

An der Spitze des RBN steht nach Bizeuls Recherchen (PDF-Datei) ein Mann mit dem Decknamen "Flyman", von dem anderswo zu hören ist, dass er der Neffe eines mächtigen Politikers aus St. Petersburg sein soll. Als weitere wichtige Figur hat Bizeul einen Mann ausgemacht, der laut einem internen Report der Sicherheitsfirma Verisign auch direkt an "einigen Aktivitäten" beteiligt war. Dazu gehörte etwa eine groß angelegte Phishing-Attacke auf Kunden unter anderem von Deutscher und Dresdner Bank, die dem RBN 150 bis 200 Millionen Dollar eingebracht haben soll.

Das sonstige Geschäftsmodell des RBN war simpel: Je mehr eine Domain in den Fokus der Öffentlichkeit geriet, je mehr Beschwerden an die E-Mail-Adresse für Missbrauch geschickt wurden, desto mehr Geld verlangten die Russen von ihren Kunden. Durch die Arbeit von Bizeul und des amerikanischen Journalisten Brian Krebs wurde zuletzt jedoch der Druck zu groß – im November 2007 verschwanden plötzliche mehrere der RBN-Domains samt den dazugehörigen Internet-Adressbereichen. Kurze Zeit später allerdings gab es Hinweise darauf, dass die Aktivitäten in chinesische und taiwanische Netze verlegt worden waren.

Doch die Bedeutung der Rogue Provider nimmt ohnehin ab, weil sie zunehmend von neuartigen Botnetzen ersetzt werden. Deren prominentester Vertreter ist das sogenannte Storm Botnet, das auch für die gefährlichen Valentinstagsgrüße in diesem Februar verantwortlich war. Mit seiner geschätzten Größe von bis zu mehreren Millionen Rechnern hat das Botnetz die Neugierde von Computerwissenschaftlern geweckt. Einer davon ist Thorsten Holz, der als Doktorand an der Universität Mannheim über angewandte IT-Sicherheit forscht.

Besonders beeindruckt zeigt Holz sich von den so genannten Fast-Flux Service Networks. Dabei sind etwa einer manipulierten Webseite Tausende über den ganzen Globus verteilte IP-Adressen von gekaperten Rechnern zugeordnet, die aber jeweils nur für wenige Sekunden aktiv sind. Über diese schnell wechselnden Zwischenstationen gelangen Anfragen dann an den eigentlichen Server. Mit zwei Stufen nach diesem Prinzip kann man ein Double-Flux-Netz schaffen, das die Lokalisierung des Servers noch schwieriger macht. Holz hat das Wüten von Storm über mehrere Monate lang analysiert. "Verdammt schwer zu knacken, selbst für richtig gute Leute, die sich damit auskennen", lautet sein Fazit.

Siehe dazu auch in Technology Review:

  • Report: Im Internet floriert ein digitaler Untergrund. Anfangs noch harmlos, trägt er inzwischen Züge organisierter Kriminalität. Technology Review, Heft 04/08. Seit dem 20. März am Kiosk oder portokostenfrei online zu bestellen.

(wst)