Drucken
11.03.2010, 09:30 Uhr | Sascha Plischke
Erfolgreichste Bande von Online-Bankräubern zerschlagen. (Foto: stock.xchng) (Quelle: t-online.de)
Beinahe wäre es ein schwerer Schlag gegen die internationale Szene der Online-Kriminellen geworden. Sicherheitsexperten hatten sich vorgenommen, dem Botnetz Zeus den Garaus zu machen. Dabei handelt es sich um eines der derzeit größten und besonders gefürchteten Botnetze weltweit. In einer Nacht-und-Nebel-Aktion gelang es, knapp die Hälfte der Kommandoserver vom Netz zu nehmen, mit denen Zeus seine gekaperten Computer steuert. Doch nur wenige Stunden später brachten die Kriminellen hinter dem Netzwerk einen Großteil der Server zurück ans Netz. Der Fall zeigt, wie aussichtslos der Kampf gegen große Botnetze oft ist.
Es war ein Kampf zwischen Sicherheitsexperten auf der einen und einem weit verzweigten Untergrund-Netzwerk auf der anderen Seite. Die Experten wollten dabei Zeus so still legen, wie es zuvor schon mit anderen Botnetzen gelungen war: Indem sie die zwielichtigen Internet Provider vom Rest des Internet abschneiden ließen, die einen Großteil der Kontrollserver des Botnetzes beherbergten. Ohne diese Server würde sich Zeus nur noch schwer lenken lassen, manche Teile würden eventuell ganz aus der Umklammerung des Botnetzes befreit. Das würde einen großen Erfolg bedeuten, war Zeus doch in jüngster Vergangenheit immer wieder für massive Angriffe auf Privatleute und Unternehmen verantwortlich.
Doch dieses Mal mussten die Sicherheitsexperten erkennen, dass der Kampf gegen ein Botnetz oft auch aussichtslos ist. Denn im Gegensatz zu anderen erfolgreichen Aktionen gegen solche Netzwerke ließen sich die betroffenen Internet Provider nicht einfach so vom Netz nehmen. Denn das ist eine schwierige Sache wenn ein solcher Provider in einem Land beheimatet ist, dass es mit Computerkriminalität nicht so genau nimmt. Deshalb müssen sich Sicherheitsexperten die Architektur des Internet selbst zu nutze machen, um den Provider eines Botnetz-Betreibers zu treffen.
Jeder Internet Provider ist sehr vereinfacht gesagt nur für einen kleinen Teil des Internet zuständig. Jeder kommuniziert mit jedem, und eine Internetverbindung zwischen Kontinenten kommt nur über viele unterschiedliche Provider hinweg zustande. Wenn nun ein Provider seinem Nachbarn die Weiterleitung der Verbindung verweigert, muss der sich eine andere Route über andere Provider suchen. Wenn alle Nachbarn eines Providers ihm die Weiterleitung verweigern, ist er vom Internet abgeschnitten. Genau das war das Ziel der Sicherheitsexperten im Fall von Troyak und Group 3, den beiden Providern, die gemeinsam etwa die Hälfte der Kontrollserver von Zeus beherbergen. Beide stammen aus Kasachstan.
Tatsächlich gelang es, die Verbindungen zu den beiden Unternehmen kappen zu lassen. Damit waren alle Kunden von Troyak und Group 3 vom Internet abgeschnitten. Dazu zählen nicht nur die Kommando-Server des Zeus-Botnetzes, sondern auch die Betreiber zahlreicher Internet-Seiten, über die Malware in alle Welt verteilt wird. Doch dieser Zustand hielt nur einige Stunden. Irgendwie gelang es den Verantwortlichen von Trojak nach nur wenigen Stunden, wieder Zugang zum Rest des Internet zu erhalten. Auf Nachfrage des amerikanischen Computer-Magazins PC World gab das Unternehmen zu verstehen, dass es sich bei dem Ausfall bloß um einen "Verwaltungsfehler" gehandelt habe.
Nun müssen die Gegner von Zeus den neuen Partner von Troyak ansprechen und ihn dazu bewegen, den zwielichtigen Anbieter nicht mehr zu verbinden. Im Fall von Group 3 waren die Sicherheitsleute erfolgreicher, der Provider konnte sich nicht wieder mit dem Internet verbinden. Allerdings war er auch nur für knapp 22 Kommandoserver von Zeus verantwortlich, Troyak hingegen beherbergte etwa drei mal so viele. Das ganze bleibt ein "Katz-und-Maus-Spiel", wie FBI Direktor Robert Mueller den Kampf gegen Online-Kriminalität jüngst in einer Erklärung nannte.
Denn auch wenn Troyak endgültig vom Netz verschwinden sollte, bleiben der Zeus-Gang noch etwa 100 weitere Kommando-Server, mit denen sie ihr Netzwerk steuern können. Und selbst ein kompletter Ausfall aller Server ist bestenfalls ein Rückschlag für die Online-Kriminellen. Das hat der Fall des Providers McColo gezeigt, der für zahlreiche Botnetze Infrastruktur bereit gestellt hatte. In einer ähnlichen Aktion wie nun bei Troyak hatten Sicherheitsexperten den Provider vom Netz genommen und damit gleich mehrere Botnetze lahm gelegt, die für einen Großteil des Spam im Internet verantwortlich waren. Ein großer Prozentsatz des Werbemülls verschwand einfach. Die Kriminellen brauchten allerdings nur wenige Monate, um die Kontrolle über ihre Netzwerke zurück zu erlangen. Heute wird wieder so viel Spam verschickt wie zuvor´– Tendenz steigend.
Sascha Plischke
(0)Bitte füllen Sie alle Felder aus.
Sie sind der Meinung, dass dieser Kommentar anstößige Inhalte enthält.
6 Fl. 2010er Condesa Eylo Verdejo + Karaffe für nur 39,- € statt 72,30 €. von Hawesko
Modische Multitalente für Business und Freizeit - für Frauen mit jedem Figur-Typ. zum XXL-Special
Endlos ins deutsche Festnetz telefonieren. Volle Kostenkontrolle. von congstar.de
Modische Herrenanzüge von Daniel Hechter für Business und beson-
dere Anlässe. zum Special
Internet Explorer 9: Flotter Seiten- aufbau bei voller Sicherheit. mehr
Neues Oberklassen-Smartphone mit 4,7-Zoll-Display. zum Video
