computerwoche.de

Web

Der Cyberterror eskaliert

10.02.2000
Sind Script-Kiddies am Werk?

MÜNCHEN (kg) - Die Hackerattacken auf populäre Websites reißen nicht ab. Nach den jüngsten Angriffen auf Yahoo, Ebay, Buy.com und CNN

meldeten gestern auch E-Trade, ZDNet, Uunet und About.com stundenweise Ausfälle ihrer Homepages. Das FBI (Federal Bureau of Investigation) hat nun eine weltweite Suche nach den Tätern eingeleitet.

Auf einer Pressekonferenz in Washington, D.C., erklärte die US-amerikanische Justizministerin Janet Reno, die Motive hinter den Angriffen seien noch nicht bekannt. Man könne nicht ausschließen, dass es sich um eine ausländische Gruppe oder eine einzelne Person handele. Laut Reno überprüft das FBI alle Server-Protokolle der für die Attacke missbrauchten Hosts, um die Angriffe zu rekonstruieren und geografische Anhaltspunkte zu den Verursachern zu erhalten.

Am Montag wurde zunächst die Website von Yahoo für drei Stunden außer Gefecht gesetzt. Nach Angaben von Lloyd Taylor, Sprecher der Web-Überwachungsfirma Keynote Systems, fielen am Dienstag der Online-Einzelhandel Buy.com für drei bis vier Stunden, der Online-Auftritt des Fernsehsenders CNN für vier Stunden, die Website von Amazon.com für über drei Stunden und der Internet-Auktionator E-Bay für rund sieben Stunden aus (CW Infonet berichtete). Am Mittwoch folgten der Informationsdienst ZDNet (drei Stunden) und die Online-Broker E-Trade (1,5 Stunden) und Datek (30 Minuten). Auch der Internet-Service-Provider Uunet und die Informations-Website About.com, die Expertenmeinungen zu umfangreichen Themen anbietet, meldeten Unregelmäßigkeiten.

Die Ausfälle wurden offenbar durch sogenannte Denial-of-Service-Attacken (DoS) bewirkt. Dabei werden Unmengen von Anfragen mit falschen Rückadressen an einen Server geschickt. Der Host versucht daraufhin ohne Erfolg, die Adressen zu verifizieren. Aufgrund der großen Zahl von Anfragen ist der Server so überlastet, dass er keine weiteren Aufträge annimmt. Die Website ist blockiert.

Derzeit gibt es drei große Theorien zu den Drahtziehern:

Viele nehmen an, dass die Attacken durch Sensationslust und Nervenkitzel motiviert sind. In Frage kämen beispielsweise Schüler, die sich "lediglich" amüsieren wollen. Ron Dick, Chef für Computerverbrechen bei der FBI-Division National Infrastructure Protection Center, meint: "Ein 15-jähriges Kind kann diese Angriffe durchführen. Dafür muss man nicht besonders raffiniert sein." Bruce Schneier, Gründer und Cheftechniker der IT-Sicherheitsfirma Counterpane Internet Security aus Kalifornien, glaubt ebenfalls nicht an einen professionellen Hack. Im Zeitalter des Internet, wo Software überall erhältlich ist, könnten Teenager sich eines Tages einfach entschließen, Hacker zu werden. "In diesem Fall ist der Hacker ein Script-Kiddie oder aber es handelt sich um einen Konfigurationsfehler, der außer Rand und Band geraten ist. Ein Professioneller legt eine Website entweder permanent lahm oder tut, was er tun will, ohne die Site auszuschalten."

Andere Hypothesen richten sich auf Cybergangs à la "Jets" und "Sharks". Diese Banden sind dafür bekannt, sich in Internet-Chatrooms zu treffen und sich gegenseitig zu immer gewagteren Hacker-Mutproben herauszufordern. Es könnte sich in diesem Fall um einen Cyberkrieg zwischen rivalisierenden Hackergruppen handeln.

Auf der anderen Seite könnte die Tatsache, dass vor allem die ganz großen E-Commerce-Unternehmen angegriffen wurden, auf eine politisch-gesellschaftliche Motivation schließen lassen. Die Attacke könnte sich gegen die zunehmende Kommerzialisierung des Internet richten.

Die Software für solche Attacken ist frei im Internet erhältlich. Zu den hier in Frage kommenden Programmen gehören "Tribe Flood Net" (TFN), "Trin00" oder "Stacheldraht". Einigen Experten zufolge scheint letzteres bei den jüngsten Attacken zur Anwendung gekommen zu sein. Das System funktioniert folgendermaßen: Zunächst wird ein Virus verwendet, um die Software auf möglichst vielen ans Internet angeschlossenen Computern - ohne das Wissen der Besitzer - zu installieren. Sind die Anwendungen an Ort und Stelle, können die Hacker sie jederzeit dazu aktivieren, Serveranfragen zu starten. Die Anfragen sind, wie bereits erwähnt, mit falschen beziehungsweise verschlüsselten Adressen ausgestattet, die eine Rückverfolgung unmöglich machen.

"Das waren keine Hacker!"

Tweety Fish, ein Hacker der Gruppe Cult of the Dead Cow, ist überzeugt, dass eine derartige Software in den letzten Website-Angriffen eingesetzt wurde. In einem E-Mail-Kommentar an die US-Publikation "The Standard" erklärte er: "Diese Art der Attacken werden wahrscheinlich zu einem großen Problem. Die einzig wirkliche Barriere für derartige Angriffe war bisher die komplizierte Logistik hinter der Koordination der Massenattacken. Die Programme TFN und Trin00 haben dieses Problem sehr elegant gelöst und können jederzeit ohne großen Aufwand modifiziert werden, um mit jeder neuen Sorte von DoS-Attacken zu arbeiten." Seiner Meinung nach hat irgend jemand in den letzten Monaten ein massives TFN- oder Trin002k-Netzwerk aufgebaut und "spielt gerade damit herum." Ein anderes Cult-of-the-Dead-Cow-Mitglied, Chris Tucker, wehrt sich dagegen, mit diesen Vorgängen in Verbindung gebracht zu werden, und verteidigt seine Hackerehre: "Das waren keine Hacker, das waren Vandalen."

Die Suche nach den Hackern wird lange dauern, meint Simon Perry, Sicherheitsexperte bei Computer Associates. "Es sei denn, sie sind so dumm und sagen, dass sie es waren. So wie die Attacke angelegt war, ist es sehr schwer, sie zu einer bestimmten Maschine zurückzuverfolgen." Dem FBI werden bei seiner Arbeit noch weitere Steine in den Weg gelegt, denn Datenschutzaspekte behindern die schnelle Aufklärung. Außerdem heben viele Internet-Service-Provider ihre Log-Files nicht auf.

Die jüngsten Attacken haben gezeigt, wie unsicher E-Commerce-Seiten sind. Selbst die großen Unternehmen, die ausreichend technologische und finanzielle Ressourcen für entsprechende Sicherheitsvorkehrungen zur Verfügung haben, sind offenbar ein leichtes Opfer. Allerdings sind die Möglichkeiten, sich gegen DoS-Angriffe zu schützen, beschränkt. Eine Möglichkeit besteht laut Expertenmeinung darin, Filtertechniken einzubauen, die ernsthafte von gefälschten Server-Anfragen unterscheiden können. Zum anderen helfen Switches, die bei zu hohem Traffic die Anfragen von einem Server auf einen anderen umleiten. Allerdings sind Switches teuer, und Filter verlangsamen die Leistung der Server, weshalb viele Unternehmen sich vor dem Einsatz dieser Technologien sträuben. "Sie werden niemanden finden, der seine High-end-Router mit Filtern versieht," erklärte ein Marktforscher von Communications Network Architects.

Vielleicht ändert sich diese Einstellung der E-Commerce-Firmen in Anbetracht der letzten Vorkommnisse. Zumindest melden die IT-Sicherheitsfirmen, dass sie sich vor Anfragen nach Informationsmaterial zu ihren Produkten nicht retten könnten. Ähnlich ergeht es den Versicherungen, die spezielle Policen für E-Commerce-Unternehmen anbieten. An der Börse legten die Aktien von Sicherheits-Software-Firmen wie Check Point Software, Verisign, Entrust Technologies, ISS Group und Axent Technologies deutlich zu, während einige der Internet-Firmen an Wert verloren.