x
x
Dietmar Nix
x

 

Index Websabotage Report2
Start Gesetze Report1 Report2 Report3 02Febr 03März 04Apri 05Mai 06Jun 07Jul 08Aug 09Sept


1) Verdeckte Leserx: Trügerische Herkunftsdomänen
2) Verursacherx: Eifrige DISA stets zu Diensten
3) Leitungx: Das Pentagon erforscht Oldtimer-Motorräder
4) Versuchskaninchen?x: Der Leitfund nach Quantico
5) Ein Testlauf von QFire?x: Aktivitäten von Marine Corps Network Operations
6) Angreiferx: Übersicht über typische Angriffsherkünfte
7) Konzeptx: NSA-Angriffe mit örtlicher Nähe
8) Praxisx: Profi-Angriffe über Zwischenverbindungen
9) Getarnte Nummernx: Warum eine IP manchmal nicht das ist, was sie scheint
10) Praxiseinsatzx: Erst der Einbruch, dann das Vergnügen
11) Berufs-Saboteurex: Das Mafia-Prinzip
12) Organisierte Kriminalitätx: Opferhoffnung auf den gütigen Weihnachtsmann
13) Bürgerrechtx: Entweder - oder
14) Microsoftx: Bing und andere Dinge
15) EQUINIXx: Weiß von nix
16) PHPx: die unbekannte Falle

6) Angreifer
x Nachweis eines Angriffverursachers ist, wenn nach Sperrung einer IP-Adresse ein Überlastungspegel sofort meßbar verschwindet. Internet-Server gehören zu einer Gruppe verbundener Systeme (Peers), wobei Angreifer häufig in einer Gruppe gleicher Namen gefunden werden. Je größer ihr Anteil, desto höher die Wahrscheinlichkeit, daß eine Leseherkunft kriminellen Zwecken dient. In einer großen Menge erfaßter Angriffsfälle zeigten sich Namenstypen für Netzdienste als verdächtig - besonders Liebreizende sind tendenziell unseriös und käufliche Angreifer:
"Angel, Cavalier, Daisy, Elan, Euro, Fair, Freedom, Genie, Golden, Liberty, Plus, Power, Prima, Silk, Smile, Soft, Sprint, Star, Sunrise, Super, Top, Turbo, Unity, Vision, Virgin, Viva, West".
Netzdienste wie Fastweb in 20155 Mailand, das der Swisscom gehört, arbeiten direkt für die DISA indem sie der Sabotagetruppe eigene Kanäle in ihrem Serverpool zur Verfügung stellen (7.0.255.17/32, 7.0.255.18/32, 7.0.255.33/32, 7.0.255.34/32). In einer Zeit vollständiger Kontrolle gibt es keine Zufälle oder Versehen mehr. Kein Systemverwalter kann mehr glaubhaft machen, daß er einen Überlastungsangriff nicht bemerkt hat, der über seine Computer lief. Vielmehr war zu beobachten, wie sie per Mobiltelefon über reservierte Adressen des Rechenzentrums das Ziel erkundeten, ehe kurz darauf von dortigen Leistungsmaschinen ein Angriff kam. Praktischerweise landen alle entsprechenden Beschwerden auf ihrem Tisch, was die Bearbeitung sicherlich ungemein vereinfacht. Über einen Zeitraum von zwei Monaten Dezember/Januar wurden daueraktive Angreifer hoher krimineller Energie protokolliert, die in folgender Gruppe von Schlüsselnamen angesiedelt sind:
xAkamai, Amazon, AT&T-Admin, Austria-TelekomA1/Admin, Belpak, BezeqInt, Blizoo, ClaraNet, Cogent/PSI, Colt, DaisyCom, Deutsche-Telekom/Admin, DFN-DeutschesForschungsnetz, Easynet, Estpak-Elion, Fastweb-IT, Hetzner, HopOne, HostNoc, Hurricane, Integra, Intergenia, Internetia, Kabel-BW, Kabelfoon, KaiaGlobal, KDDI, KPN-NL, KSNet-Kyivstar, Lambda-Net, Leaseweb, LiWest, MetroNet, MultiMedia-PL, MyLoc, Netcologne, Nextlayer, Novartis, Orange, OVH-Systems, Opal, Ote-GR, Plusnet, Proxad, QSC-AG, Rackspace, RedStation, Rostelecom, ServerStack, SoftLayer, Strato, Sunrise, TalkTalk-London, TDC-Data, Telefonica/Hansenet, Telenor, TeliaNet, TeliaSonera, Telstra, TimeWarner, UKR-Telekom, UnityMedia, UPC-Chello, Verizon, VirginMedia, Vodafone/Arcor, WebSense, Ziggo-NL
Diese Gruppe meist britisch-amerikanisch vernetzter Computerzentren kann auch russische oder chinesische Namen haben und überall auf der Welt sein, sogar in Georgien und Kasachstan oder südpazifischen Kolonien wie den Niederländischen Antillen. In allen exotischen Fällen zeigten sich Geschäftsbeziehungen zu westlichen Unternehmen. Vielleicht sollen sich Schwellenländer, die solche erst aufbauen wollen, ihren Platz zuvor verdienen durch Erledigung besonders schmutziger Aufträge. Folgende Länder könnten daher eigentlich ohne weitere Prüfung pauschal gesperrt werden, da von dort kaum je ein ehrlicher Lesezugriff kommen wird:
Indien, Irak, Moldawien, Serbien, Slowakei, Türkei, Ukraine, Weißrussland.
Im Beobachtungszeitraum wurden auch Kleinstationen nur kurzzeitiger Aktivität gesehen: von Brandenburger Antennenbauern, südamerikanischen Landwirtschaftsschulen, holländischen Spieleprogrammieren und Netzspelunken bis zu tschechischen Computerhändlern. Großparks wie Facebook und Brighthouse waren im Einzelfall an einer Aktion beteiligt, wurden danach aber nur noch als Erkunder gesehen, im Falle von Facebook überhaupt nicht mehr - wozu allerdings auch Dauersperren beitragen.

7) Konzept
Im Sommer 2011 war das Projekt für Angriffe gegen Internetziele in die Praxisphase gekommen laut QFire Pilot Lead der NSA-Technikabteilung. Aus dem DoD-Netz und mit der bronzenen Turbine auf der Höhe von NYC sollen Cloudrechner in Europa für eigene Zwecke gesteuert werden, wobei Satelliten und örtliche Funk-Kontaktstellen die Aktion unterstützen. Der Text fordert eine Testphase zur Effizienzkontrolle der Waffentechnik, wobei in Europa eine eigene örtliche Angriffs-Infrastruktur aufgebaut wird durch Nutzung dortiger Anlagen.

NSA/CSSM 1-52: "Getting close to the adversary", 03.06.2011, Sn. 6,9 - Quelle: Spiegel-Online
x
x

8) Praxis
Es läßt sich leicht herausfinden, von wo im Netz ein Lastangriff kommt. Diese Herkunft wird gesperrt und beendet die Störung. Das wissen auch Angreifer, weshalb QFire anders operiert wie in folgender Grafik. Typischerweise im Einsatz sind Webserver mit Funktionsnamen, die "colo" enthalten ("colocation crossing", gemeint: Netzverbund). Sie sind nicht notwendig offiziell registriert mit einem Domänennamen, haben aber viele Peers/Gegenstellen. Wie in der Grafik zu sehen, kann der inzwischen gesperrte Angriffserver S1 sein Angriffsziel (rechts oben) auf Zwischenverbindungen erreichen.

x


Dazu nutzt er eine Datenleitung über seinen Peer S2, dessen Gegenstelle neben anderen auch S3 ist, verbunden mit Colocrossing. Von dort kommt der Angriff. In den Zugriff-Protokollen ist die Herkunft des Angriffs aber mit S3 angegeben. Dessen Sperrung ist für weitere Angriffe gleichgültig, denn dann schaltet S1 seinen Angriff über die Strecke S4 und Colocrossing. Selbst wenn der Colo-Server in Protokollen des Angriffs entdeckt und gesperrt würde, kann S1 sein Angriffziel über andere Datenwege erreichen. Es könnte je nach Geschäftsvereinbarung sogar der eigene Internetprovider sein, der dabei mitmacht, und eine Datenleitung für fragwürde Server und Zwecke zur Verfügung stellt. In besonders raffinierten Fällen und bei Kunden mit dynamischer IP verwendet der Servermanager, der den Angriff unterstützt, eine der eigenen IPs des Angriffopfers als angebliche Herkunft des Angriffs, die nur gerade nicht in Benutzung ist oder durch jemand anderen.

x
Zugriff eines Colocrossers im kalifornischen Williamsville. Zu Nummer 192.227.243.172 heißt es nur, sie gehöre zum "Kunden-Netz 4", nirgendwo mit einem Domänen-Namen registriert. Zur IP 23.94.19.132 gibt es überhaupt keine Angabe, sie gehört angeblich dem Colo selbst. Aber in beiden Fällen wissen Satelliten von den Nutzer-Standorten: jedes Mal Patton Place 124 in 14221 Buffalo/NY, nahe einer Entwicklungsabteilung des Computerherstellers Hewlett-Packard. Beide IP-Nummern wurden bei Angriffen gefunden.

9) Getarnte Nummern
xEine IP-Netznummer kann es definitorisch natürlich nur einmal geben. Es kann sie aber auf vielen Schaltplätzen geben im Netz - auf vielen Webservern (=Peering). Will ein Angreifer mit seiner IP-Nummer unerkannt bleiben, benötigt er nur eine Verabredung mit dem Systemadministrator einer seiner Peer-Gegenstellen. Dieser kann den eintreffenden Datenstrom des Angriffs auf den bei ihm gebuchten Platz umschalten auf eine andere Leitung, die als IP in seiner Maschine ebenfalls registriert ist und für jemand anderen (=SingleHop: Einfachsprung, rechts). Das werden idealerweise technische IP-Nummern sein, die möglichst niemandem konkret zugeordnet sind (=Bogons/bogus-numbers/unregistrierte Adressen). Weil solche Nummernbereiche oft generell und vorbeugend gesperrt werden, ist vermutlich die Praktik entstanden, fragwürdige Umtriebe zu schalten über Hottentotten-Adressen, die für Strafverfolgung unerreichbar sind: Noname-Stationen in der kasachischen Kalmückensteppe oder Georgien, Eiskratzer in Alaska, chinesische Talsperrenputzer oder unbekannte Kuhwärter in Indien oder Pakistan. Angegriffenen kann das egal sein. Wer eine Netzregistrierung hat und das toleriert, trägt auch die Verantwortung dafür - unabhängig davon, wer letztlich dahinter steht.

10) Praxiseinsatz
xBis hierhin wurde skizziert, was aktuelle typische Verursacher von Angriffen sind, nach welchem Konzept und mit welchen Motiven sie arbeiten, sowie Kanäle, auf denen Angriffe ihr Ziel erreichen. Dieses muß allerdings auch angreifbare Stellen haben als Teil der Internet-Präsentation. Das können große Bild-Dateien sein, Digitaldokumente, PDF oder Medienformate wie Videoclips und Musik. Auch Datenbanken mit nutzersteuerbaren Abfragen und andere ressourcenfressende Dienste werden von Angreifern wohlwollend berücksichtigt.
Um solche Dinge im Ziel zu finden versuchen Angreifer in die Maschine einzudringen. Falls nicht bereits eines der gängigen Importwerkzeuge den ganzen Serverinhalt herunterläd zur Untersuchung, nehmen sie zutreffend an, daß ein Privatbesitzer des Webservers auf einem Mietplatz diese Daten dann wohl auf seinem Heim-PC haben wird. Wäre auch dieser nicht aufbrechbar aus dem Netz, haben sie mancherlei ergänzende Strategien mit liebreizender Menschlichkeit. Es könnten etwa freundliche Emails sein, mit großem Lob für die phantastischen Seiten, und ob es nicht vielleicht eine DVD davon gibt, gerne auch zu kaufen. Umgekehrt könnten es auch Hinweise sein, wo ein ganz tolles X unter Adresse Y zu finden sei. Dort und als versteckter Teil von Bildern oder Clips zum Download werden dann Trojaner sein, die Angreifern den Schlüssel zu diesem Heimcomputer geben. Die werden dann sicherlich auch genutzt, um Paßwörter zu finden, die zum Schutz des Webservers verwendet werden.

x
Start Gesetze Report1 Report2 Report3 02Febr 03März 04Apri 05Mai 06Jun 07Jul 08Aug 09Sept
 
®