Elevate: Möchels Cyberwar #efg09

schneeengel

“in diesem krieg wird nicht geschossen, sondern gesaugt”
(erich möchel)

was für ein auftakt für mich beim elevate. nach der eröffnung am mittwoch, die mich – ehrlich gesagt – mit ausnahmen jetzt nicht ganz so vom hocker gerissen hat, startete ich “mein” elevate-programm am donnerstag mit erich möchels vortrag “die militarisierung des cyberspace”.
ich hatte eine große verschwörungstheorie nach der anderen erwartet und wurde positiv überrascht. ein wirklich toller vortrag, nachdem einiges, was in den letzten jahren des web passiert ist, etwas klarer wurde. das thema beträfe uns mehr, als wir glauben, startete er mit dem vortrag – und ja, ich teile diese auffassung – spätestens seit dem vortrag. manches war für mich nicht ganz so neu, aber an den gesichtern im saal merkte man, dass viele es schon etwas schockierte, was erich zu erzählen hatte. deswegen werde ich auch die teile wiedergeben, die vielleicht den einen oder anderen unter euch schon bekannt sind – ich denke aber auch vielen von euch vielleicht nicht ganz so.

“spam war die erste mit großem ausmaß begangene straftat im netz”
(erich möchel)

und wir kennen sie alle, die spam-mails. die spam-netzwerke resultieren alle aus sicherheitslücken, die nicht rechtzeitig geschlossen wurden. doch diese netzwerke können nicht nur für viagra-mails verwendet werden, sie bieten auch die möglichkeit damit ganze staaten anzugreifen.

im jahr 1999 begann der cyberwar langsam, gestalt anzunehmen. viele von euch werden die namen “melissa” oder “iloveyou” noch kennen: die ersten würmer, die der web-welt das fürchten lernten.

2000 waren dann plötzlich so große websites wie cnn, yahoo und noch mehr ein paar tage offline. grund war einer der größten angriffe zur damaligen zeit, wohl zu testzwecken.

2001 kam es dann zu den ersten phishing-attacken auf ebay, paypal etc. auch diese mails kennt wohl inzwischen jeder: “geben sie bitte hier ihre neuen kontodaten ein…” das ganze scheint scheinbar immernoch zu funktionieren: “manche sind unbelehrbar – die lesen die mail und machen sofort das, was sie gelesen haben”. interessant ist, dass die gangster, die da hinter stecken, oft enge kontakte mit einem staatsapparat haben – der melissa-erfinder war zum beispiel ein polizei-informant.

die ersten erpressungsversuche im netz starteten dann 2002. opfer wurden vor allem die online-wettanbieter. ihnen wurde gedroht, die seite zum beispiel zu einem wichtigen europa-cup (ja, heißt jetzt euro-league, ich weiß schon), einfach zum abstürzen zu bringen (bzw. den die server, die dahinter stehen), wenn sie nicht die summe xy überweisen. angeblich zahlen sie nie – aber kann das ein wettanbieter wirklich riskieren?
langsam bildete sich auch ein schwarzer markt, auf dem so genannte botnet herders, spammer, phisher und ähnliches angeboten wurden. einheitliche preise gibt es allerdings natürlich nicht – eine preisstaffelung, so wie wir sie kennen, ist dort schlecht umzusetzen… 😉

ein jahr später – 2003 – überschwemmten dann die ersten großen phishing-wellen das web. “ungefähr jeder 10. hat es wohl am anfang gemacht” – was das für summen ausmachen kann, kann sich jeder selbst zusammen reimen.
immer mehr würmer kamen, wobei sie nur als transporteure dienen. mit ihnen gelangen “backdoors”, “trojaner” etc auf den rechner und “der pc fängt dann gleich an, nach hause zu telefonieren”. er meldet, welche ip-adresse er hat, seinen online-status – zum beispiel, ob er “always on” ist – und noch viel mehr.

2005 waren rund eine million pc befallen, so genannte “zombie pc”. und rund 60% von allen neuen schadprogrammen waren bereits trojaner. es ging immer weniger darum, dem pc zu schaden, sondern viel mehr darum, ihn von außen steuern zu können. es begannen auch die ersten attacken – auf exil-tibeter und falun gong dissidenten. alle wurden sie über sicherheitslücken angegriffen.

“der, der hinter den angriffen gegen exil-tibeter und falun gong steckte, war so gut, wie mc affe und kaspersky zusammen!”
(erich möchel)

der markt mit botnets und sicherheitslücken – also die möglichkeit auf eine gewisse anzahl von zombie pcs zugreifen zu können – entwickelte sich weiter. für 5.000 dollar gibt’s den hinweis auf die sicherheitslücke und vielleicht sogar noch ein tipp, wie man sie überwinden kann. komplette steuerungs-suites für malware (= “schlechtware oder auch scheißware”) sind inzwischen erhältlich. wer dahinter steckt? “irgendwelche arbeitslosen programmierer – programmierer aus der dritten welt etc. das sind die, die ihre programmierkünste gegen bezahlung zur verfügung stellen

das wohl größte der botnet – ein super botnet – heißt “rustock”. es hat ungefähr 1,4 bis 1,9 millionen zombies unter kontrolle. “damit kannst du die komplette usa drei mal platt machen”, wird aber nicht gemacht, es wird zum spammen benutzt.

vor zwei jahren gab es in estland die ersten online-wahlen überhaupt. und wen wundert’s: rund einen monat später wurde estland online-technisch komplett “platt gemacht”. mehrere tage ging kein online-banking, kein internet, nichts. angeblich steckten dahinter private bürger aus russland, die sich über ein umsetzen eines sowjet-denkmals aufregten. das sagten zumindest die offiziellen aus moskau.
2007 bekam man bereits für weniger als 5.000 dollar pro tag ein botnet, mit dem ein gleicher angriff möglich gewesen wäre.

doch das sollte eigentlich nichts dagegen sein, was am 4. juli 2009 passierte: die attacken auf südkorea und einige server in den usa.

“kim jong il macht ja immer ein feuerwerk zum independence-day – er schießt halt nur mit echten raketen.”
(erich möchel)

dieses jahr fielen die raketen etwas kleiner aus, man schoss nur kurzstreckenraketen los. zufällig begannen fast gleichzeitig die angriffe auf server in den usa und vor allem in südkorea. wie sieht so ein angriff aus? abertausende zombie-pc (“ein 20.000 rechner-botnet hat jeder rotzbub in den usa”) bombadieren die betreffenden servern mit anfragen. so viele anfragen, wie der server nicht auf einmal beantworten kann. es kommen immer mehr und mehr anfragen, bis der server unter der anfragenflut zusammenbricht.

das agierende botnet war sehr intelligent und raffiniert programmiert, war allerdings kein super-botnet, zählte aber zu einem “der gehobenen mittelklasse” (ungefähr 50-100.000 rechner). die verursachten volkswirtschaftlichen schäden hätten allerdings noch deutlich größer ausfallen können, denn gestartet wurden die angriffe jeweils erst gegen 18.00 uhr, “sie haben nicht während der geschäftszeit angegriffen und zum beispiel die börse oder den bankenverkehr untereinander verschont.” sie haben sich auf die privaten anwender gestürzt. und immer, wenn südkorea gerade dabei war, die server wieder zum laufen zu bringen, kam eine neue welle von angriffen und sie waren wieder überlastet.

nachdem sich früher die verbreitung der malware hauptsächlich über den eMail-verkehr abspielte, zählen heute browser-plug-ins zu den hauptquellen für infektionen, so genannte “drive-by-infections”. zu bedenken ist auch, dass je besser die infrastruktur des verteidigers bzw. des angegriffenen ist, desto mehr feuerkraft hat das botnet. “infrastructure and topography always count on the defending side”. je mehr breitband zur verfügung steht, desto effizienter können die botnets angreifen.

“je demokratisierter, offener, fortgeschrittener ein staat ist, desto einfacher und verheerender kann der angriff sein.”
(erich möchel)

im zweiten quartal 2009 gab es gut 14 millionen neu infizierte pcs, das sind rund 150.000 pro tag! die beiden größten botnet, “rustock” und “cutwail”, verfügen jeweils (!) über an die zwei millionen zombies. damit können sie rund 1-3 milliarden emails pro stunde aussenden. und die bots werden immer billiger, heutzutage bekommt man sie bereits für ungefähr 1.000 dollar pro tag. und die bezahlung dafür geht komplett über western union.

“gebt mir zwei dutzend spezialisten und 200.000 dollar cash und ich stelle euch die größte zombie-armee der welt auf die beine!”
(erich möchel)

und das sei alles erst der anfang, die usa haben inzwischen eine eigene militäreinheit gegründet, die sich damit beschäftigt. “trainiert” wird angeblich allerdings nur in abgeschlossenen netzwerken – die chinesen zum beispiel üben auch in zivilen netzen.

“das, was ich heute erzählt habe, ist lediglich die spitze des eisbergs!”
(erich möchel)

die zahl der botnet-rechner verdoppelt sich inzwischen halbjährig, eine verfolgung ist schwierig, weil die rechner ständig wechseln – was auch “stoppschilder” völlig sinnlos macht. denn der großteil der illegalen sachen wird über die zombies verteilt. somit wäre es viel sinnvoller, die betroffenen benutzer zu informieren, was ihr pc da eigentlich die ganze zeit macht. die meisten wissen gar nicht, was sie auf ihren rechnern überhaupt drauf haben und würden die inhalte sofort löschen.

“die stoppschilder sind reiner populismus!”
(erich möchel)

mit den stoppschildern soll lediglich eine sperrinfrastruktur geschaffen und etabliert werden, die es möglich macht, sämtliche unliebsamen inhalte zu sperren. die liste, auf der die zu sperrenden seiten stehen, darf sowieso keiner sehen. dementsprechend kann auch niemand wirklich überprüfen, was auf der liste steht.

Leave a Reply

Your email address will not be published. Required fields are marked *