Manfred Kloiber: In dieser Woche haben gleich mehrere Schwachstellenanalytiker Sicherheitsalarm ausgerufen. Bedroht sind offenbar Computernetze von Sicherheitsbehörden. Die haben sich nämlich auf der Suche nach illegalen Webservern von Online-Kriminellen vermutlich Schadsoftware eingefangen und sind dabei wohl auf einen Trick hereingefallen, den Sicherheitsbehörden seit zwei Jahren stärker verwenden, um Internetbetrüger zu jagen. Was ist da passiert, Peter Welchering?
Peter Welchering: Nach allem was man hört, haben die Computerexperten von amerikanischen und europäischen Sicherheitsbehörden und auch einige private Sicherheitsberater einer Insiderinformation zufolge einfach in einen Honigtopf gegriffen, sind da also hängengeblieben. Honeypot – Honigtopf – so nennt man eine Falle, die Sicherheitsexperten gerne für Internetbetrüger aufstellen, indem sie das Verhalten eines Internetnutzers simulieren, von Software simulieren lassen. Und das ist dann ein Internetnutzer, der unglaublich unvorsichtig im Internet unterwegs ist, und damit wird eben ein verlockender Honigtopf, ein attraktiver Honigtopf, ein attraktiver Internetnutzer für Internetkriminelle angeboten, denn dieser angebliche Internetnutzer hat keine Sicherheitssoftware auf seinem Rechner, der öffnet alle Anhänge von E-Mails, auch solche, auf denen etwa, um es zu übertreiben, I love you steht. Sicherheitstechnisch macht er eben alles falsch, was man nur irgendwie falsch machen kann und ist damit eben ein attraktives Opfer für Internetkriminelle. Und dahinter verbirgt sich eben eine Simulationssoftware auf einem Server. Und auf diesem Server liegt in der Regel auch eine weiter Sicherheits- und forensische Software, so dass die IP-Adresse und ähnliche Daten der Online-Betrüger ermittelt werden können. Und mit so einem Honigtopf haben Internetkriminelle die Sicherheitsszene jetzt auch gelockt und einige Experten sind denen wohl auf den Leim gegangen.
Kloiber: Und wie sah dieser Honigtopf der Internetkriminellen aus?
Welchering: Sehr, sehr attraktiv. Sie haben nämlich einen Kontrollserver für Botnetze simuliert, die Internetkriminellen. Also einen Server, der gekaperte Rechner steuert und von denen aus Spam-Mail verschickt werden kann oder etwa Denial-of-Servcie-Attacken abgeschossen werden können. Und dabei werden dann von so einem Kontrollserver die einzelnen PCs koordiniert. Allerdings haben die Internetkriminellen den Zugang zu diesem Kontrollserver gleichzeitig extrem leicht gemacht. Erstens war das Benutzerkonto samt Passwort für den Administrator des Kontrollservers ganz leicht zu erraten. "Admin" lautete der Benutzername, "Admin" lautete das Passwort nämlich. Und zweitens sind die Datenpäckchen, die von diesem Kontrollserver aus an die gekaperten PCs verschickt worden sind, nicht vollständig verschlüsselt worden und sie sind mit einem sehr kurzen, mit einem sehr unsicheren Schlüssel nur verschlüsselt worden, die konnten also leicht dechiffriert werden.
Kloiber: Was wollten die Internetkriminellen denn damit erreichen?
Welchering: Zum einen sollen sie aufgezeichnet haben, was die Sicherheitsspezialisten auf diesem simulierten Kontrollserver so alles gemacht haben, wie die sich umgeschaut haben. Und damit hätten sie nicht nur die Untersuchungsstrategie der Sicherheitsexperten kennengelernt, sondern gleich auch noch forensische Software und die Sicherheitstools kennengelernt, die zur Jagd auf Online-Kriminelle für gewöhnlich verwendet werden. Und zum anderen sollen sie Schadsoftware verschickt haben, und zwar an die Auswertungsrechner der Sicherheitsexperten. Die ist nach den bisherigen Diskussionen in einem Spezialforum in die Datenpäckchen eingebaut worden, die bei der Untersuchung des angeblichen Kontrollservers an die Rechner der Sicherheitsexperten als Antworten auf Anfragen zurückgeschickt wurden. Und ersten Hinweisen aus den USA zufolge, sind dabei auch Angriffsprogramme wohl verschickt worden, die auf den Sicherheitsbehören wahrscheinlich bekannten Sicherheitslücken beruhen. Aber auf Sicherheitslücken eben, die noch nicht veröffentlicht sind und damit auch noch nicht beseitigt sind. Und welche Schäden die verursachen, ist im Augenblick noch unklar. Das wird in den nächsten Wochen sicherlich noch sehr, sehr spannend zu beobachten sein.
Kloiber: Wie stark sind denn die Computernetze von Sicherheitsexperten und Behörden infiltriert worden?
Welchering: Die amerikanischen Behörden haben noch nicht reagiert, wie es scheint. Zumindest findet sich in den Web-Pressebereichen der National Security Agency und der amerikanischen Bundespolizei noch keine Stellungnahme dazu. Und die reagieren eigentlich immer sehr schnell auf so etwas. Und wir haben auch das Bundeskriminalamt um Stellungnahme gebeten, aber bislang noch keine Antwort erhalten. Aber nach den bisher mir vorliegenden Informationen lässt sich abschätzen, dass die organisierte Kriminalität sich nun wirksamer gegen Untersuchungsmethoden von Sicherheitsexperten wehren kann, weil die mit den Honeypots vermutlich ausspioniert wurden. Dass Angriffsprogramme, also dass Schadsoftware an die PCs verschickt wurde, kann man einigermaßen sicher annehmen, denn die Angriffsprogramme, also Schadsoftware, die dann von diesem Botnetz-Kontrollserver ausgegangen ist, scheint ebenfalls direkt an diejenigen, die eben von ihren PCs aus zugegriffen haben, verschickt worden zu sein. Nur, was dann diese Schadsoftware anrichtet, das ist völlig unklar. Und drittens könnte man auch vermuten, dass ein Teil dieser Überwachungssoftware von amerikanischen Sicherheitsbehörden nach dieser Honigtopffalle beeinträchtigt sein könnte und das würde natürlich die Sicherheit im Internet ganz massiv schwächen. Vor allen Dingen dürfte momentan das Aufspüren von sogenannten Dropzones start erschwert sein. Das sind ja Sammelstellen, Datensammelstellen im Internet, die geklaute, ausspionierte oder abgefischte Kontodaten haben. Und das wird natürlich interessant sein zu beobachten, wie die Internetkriminellen jetzt mit diesen Dropzones weiter umgehen. Sie werden sie vermutlich etwas besser schützen können.
Peter Welchering: Nach allem was man hört, haben die Computerexperten von amerikanischen und europäischen Sicherheitsbehörden und auch einige private Sicherheitsberater einer Insiderinformation zufolge einfach in einen Honigtopf gegriffen, sind da also hängengeblieben. Honeypot – Honigtopf – so nennt man eine Falle, die Sicherheitsexperten gerne für Internetbetrüger aufstellen, indem sie das Verhalten eines Internetnutzers simulieren, von Software simulieren lassen. Und das ist dann ein Internetnutzer, der unglaublich unvorsichtig im Internet unterwegs ist, und damit wird eben ein verlockender Honigtopf, ein attraktiver Honigtopf, ein attraktiver Internetnutzer für Internetkriminelle angeboten, denn dieser angebliche Internetnutzer hat keine Sicherheitssoftware auf seinem Rechner, der öffnet alle Anhänge von E-Mails, auch solche, auf denen etwa, um es zu übertreiben, I love you steht. Sicherheitstechnisch macht er eben alles falsch, was man nur irgendwie falsch machen kann und ist damit eben ein attraktives Opfer für Internetkriminelle. Und dahinter verbirgt sich eben eine Simulationssoftware auf einem Server. Und auf diesem Server liegt in der Regel auch eine weiter Sicherheits- und forensische Software, so dass die IP-Adresse und ähnliche Daten der Online-Betrüger ermittelt werden können. Und mit so einem Honigtopf haben Internetkriminelle die Sicherheitsszene jetzt auch gelockt und einige Experten sind denen wohl auf den Leim gegangen.
Kloiber: Und wie sah dieser Honigtopf der Internetkriminellen aus?
Welchering: Sehr, sehr attraktiv. Sie haben nämlich einen Kontrollserver für Botnetze simuliert, die Internetkriminellen. Also einen Server, der gekaperte Rechner steuert und von denen aus Spam-Mail verschickt werden kann oder etwa Denial-of-Servcie-Attacken abgeschossen werden können. Und dabei werden dann von so einem Kontrollserver die einzelnen PCs koordiniert. Allerdings haben die Internetkriminellen den Zugang zu diesem Kontrollserver gleichzeitig extrem leicht gemacht. Erstens war das Benutzerkonto samt Passwort für den Administrator des Kontrollservers ganz leicht zu erraten. "Admin" lautete der Benutzername, "Admin" lautete das Passwort nämlich. Und zweitens sind die Datenpäckchen, die von diesem Kontrollserver aus an die gekaperten PCs verschickt worden sind, nicht vollständig verschlüsselt worden und sie sind mit einem sehr kurzen, mit einem sehr unsicheren Schlüssel nur verschlüsselt worden, die konnten also leicht dechiffriert werden.
Kloiber: Was wollten die Internetkriminellen denn damit erreichen?
Welchering: Zum einen sollen sie aufgezeichnet haben, was die Sicherheitsspezialisten auf diesem simulierten Kontrollserver so alles gemacht haben, wie die sich umgeschaut haben. Und damit hätten sie nicht nur die Untersuchungsstrategie der Sicherheitsexperten kennengelernt, sondern gleich auch noch forensische Software und die Sicherheitstools kennengelernt, die zur Jagd auf Online-Kriminelle für gewöhnlich verwendet werden. Und zum anderen sollen sie Schadsoftware verschickt haben, und zwar an die Auswertungsrechner der Sicherheitsexperten. Die ist nach den bisherigen Diskussionen in einem Spezialforum in die Datenpäckchen eingebaut worden, die bei der Untersuchung des angeblichen Kontrollservers an die Rechner der Sicherheitsexperten als Antworten auf Anfragen zurückgeschickt wurden. Und ersten Hinweisen aus den USA zufolge, sind dabei auch Angriffsprogramme wohl verschickt worden, die auf den Sicherheitsbehören wahrscheinlich bekannten Sicherheitslücken beruhen. Aber auf Sicherheitslücken eben, die noch nicht veröffentlicht sind und damit auch noch nicht beseitigt sind. Und welche Schäden die verursachen, ist im Augenblick noch unklar. Das wird in den nächsten Wochen sicherlich noch sehr, sehr spannend zu beobachten sein.
Kloiber: Wie stark sind denn die Computernetze von Sicherheitsexperten und Behörden infiltriert worden?
Welchering: Die amerikanischen Behörden haben noch nicht reagiert, wie es scheint. Zumindest findet sich in den Web-Pressebereichen der National Security Agency und der amerikanischen Bundespolizei noch keine Stellungnahme dazu. Und die reagieren eigentlich immer sehr schnell auf so etwas. Und wir haben auch das Bundeskriminalamt um Stellungnahme gebeten, aber bislang noch keine Antwort erhalten. Aber nach den bisher mir vorliegenden Informationen lässt sich abschätzen, dass die organisierte Kriminalität sich nun wirksamer gegen Untersuchungsmethoden von Sicherheitsexperten wehren kann, weil die mit den Honeypots vermutlich ausspioniert wurden. Dass Angriffsprogramme, also dass Schadsoftware an die PCs verschickt wurde, kann man einigermaßen sicher annehmen, denn die Angriffsprogramme, also Schadsoftware, die dann von diesem Botnetz-Kontrollserver ausgegangen ist, scheint ebenfalls direkt an diejenigen, die eben von ihren PCs aus zugegriffen haben, verschickt worden zu sein. Nur, was dann diese Schadsoftware anrichtet, das ist völlig unklar. Und drittens könnte man auch vermuten, dass ein Teil dieser Überwachungssoftware von amerikanischen Sicherheitsbehörden nach dieser Honigtopffalle beeinträchtigt sein könnte und das würde natürlich die Sicherheit im Internet ganz massiv schwächen. Vor allen Dingen dürfte momentan das Aufspüren von sogenannten Dropzones start erschwert sein. Das sind ja Sammelstellen, Datensammelstellen im Internet, die geklaute, ausspionierte oder abgefischte Kontodaten haben. Und das wird natürlich interessant sein zu beobachten, wie die Internetkriminellen jetzt mit diesen Dropzones weiter umgehen. Sie werden sie vermutlich etwas besser schützen können.