x
x
Dietmar Nix
x

 

Index Websabotage Report3
Start Gesetze Report1 Report2 Report3 02Febr 03März 04Apri 05Mai 06Jun 07Jul 08Aug 09Sept


1) Verdeckte Leserx: Trügerische Herkunftsdomänen
2) Verursacherx: Eifrige DISA stets zu Diensten
3) Leitungx: Das Pentagon erforscht Oldtimer-Motorräder
4) Versuchskaninchen?x: Der Leitfund nach Quantico
5) Ein Testlauf von QFire?x: Aktivitäten von Marine Corps Network Operations
6) Angreiferx: Übersicht über typische Angriffsherkünfte
7) Konzeptx: NSA-Angriffe mit örtlicher Nähe
8) Praxisx: Profi-Angriffe über Zwischenverbindungen
9) Getarnte Nummernx: Warum eine IP manchmal nicht das ist, was sie scheint
10) Praxiseinsatzx: Erst der Einbruch, dann das Vergnügen
11) Berufs-Saboteurex: Das Mafia-Prinzip
12) Organisierte Kriminalitätx: Opferhoffnung auf den gütigen Weihnachtsmann
13) Bürgerrechtx: Entweder - oder
14) Microsoftx: Bing und andere Dinge
15) EQUINIXx: Weiß von nix
16) PHPx: die unbekannte Falle

11) Berufs-Saboteure
x Durch die Macht unerkennbarer Anonymität erscheint Internet-Sabotage unangreifbar, wenn sie gegen Publizistik vorgeht, die irgendwen stört. Und ähnlich wie die sizilianische Mafia verlassen sich organisierte Sabotagegruppen darauf, daß sich bei ihrem Auftauchen niemand mehr verteidigt, weil er das für hoffungslos hält. So entsteht die "Omerta", die Mauer des Schweigens, bei der man keine "Lupara" mehr benötigt, die Schrotflinte mit abgesägtem Lauf. Erfahrene Systemtechniker kennen die Namen und wissen, daß sie eine ständige öffentliche Gefahr sind. Aber man spricht nicht darüber, verschweigt protokollierte Vorfälle. Man will keinen Ärger bekommen. Vielleicht kommen die nicht nochmal wieder. Wenn man selbst etwas netter ist, dann hat man auch Ruhe, so die Logik demoralisierter Selbstzensur. Was Recht ist, ist egal, denn es gibt keine Hilfe durch Staaten oder Behörden: die schauen einfach weg. Zunehmende Unzufriedenheit mit herrschende Politik und Unruhen der Bürger fördern bei manchen Staatsführungen das Interesse an einer eingeschüchterten Grundstimmung öffentlicher Meinung. Während lächelnd die Gebetsmühle von "Freiheit und Demokratie" gedreht wird, sind manche Staatslenker zugleich Komplizen und Auftraggeber von Internetangriffen und vor allem jene, die von ihrer Politik am meisten profitieren.

12) Organisierte Kriminalität
x So operiert Organisierte Kriminalität weltweit: in Bananenrepubliken, Abzocker-Diktaturen und Partei-Monarchien. Das ist ihr Erfolgsrezept: solche Strukturen herrschen durch Angst vor ihrer Macht, wobei eigentlich niemand genau weiß, worin sie besteht. Man will es nicht wissen, man will nur seine Ruhe. Aber genau so bekommt man die eben nicht, denn genau so ist das Problem überhaupt erst erstanden. Wer sich duckt und durch Unrecht sein Verhalten erzwingen läßt, darf nicht darauf hoffen, daß ein gütiges Schicksal seine Rechte irgendwann schon schützen wird. Denn er macht sich selbst zum Untertanen, der danach ruft, ständig angegriffen und beherrscht zu werden. Entsprechende Ausnutzer werden sich schnell dafür finden. Eigene Sicherheit kann nicht darauf gründen, daß Gewaltherrscher heute oder morgen nur gerade keine Lust auf einschüchternde Angriffe haben, oder weil für ein anderes Ziel mehr Geld gezahlt wird. Denn die Untäter haben immer irgendwann einen neuen Grund für einen nächsten Angriff. Und sei es auch nur, weil es ohne jedes eigene Risiko daran Spaß macht und weil sie verstanden haben, daß ihr Eigennutz umso ungestörter ruht, je mehr ihre Untertanen vorbeugend eingeschüchtert sind.

13) Bürgerrecht
x Wer das Unrecht tatenlos hinnimmt, ist bereits aktiver Komplize der Willkürlaune von Kriminellen - egal, ob mit oder ohne grauen Anzug, innerhalb oder außerhalb von Parlamenten. Wer seine Bürgerrechte erhalten will, darf nicht fördern, was sie gefährdet, und sich nicht zugleich ein Schild um den Hals hängen: "hier willenloses Opfer". Dieselbe Verhaltenslogik, welche Unrechtherrschaft begründet, ist zugleich der Schutz davor: Verbrecher auch ohne konkreten Anlaß immer konsequent und kompromißlos aufspüren und angreifen, ehe sie es tun, und ehe man selbst als ihr nächstes Opfer ausgewählt wird. Angriffsgewalt ist eine Sprache, die sie verstehen. Sie sind immer nur eine kleine Gruppe, die den Mehrheitsrest unterdrückt. Ob sie dafür religiöse oder ideologische Motive haben, ob es nur um Geldgewinn geht, oder sich alle Motive mischen, ändert nichts daran, daß sie eine ständige öffentliche Gefahr sind. Nach dem Prinzip des Gesellschaftsvertrags (Rousseau, 1762) gibt es nur zwei Möglichkeiten: entweder sorgt die Staatsführung für Recht, oder Bürger müssen aus Sorge um ihre Sicherheit das Unrecht selbst bekämpfen. Hat sich eine Staatsführung sogar zum Komplizen des Unrechts gemacht, wird sie früher oder später ernten, was sie gesät hat - gleichgültig, wie trügerisch sie Unrecht rechtfertigen oder es mit Gewalt durchsetzen kann. Selbst wenn Bürger so verdummt worden wären, daß sie von nichts mehr etwas verstehen, würden sie immer noch wissen, wenn ihre eigenen Interessen gefährdet werden.

14) Microsoft
x Am häufigsten wird Internetpublizistik Ärger mit diesem Konzern bekommen, dessen Netzsysteme auffällige Merkmale haben und wo protokollierte Vorfälle zeigen, daß sie Internetsabotage möglicherweise als Geschäftsfeld betreiben. In jedem Fall bedeutet das Stören und Abschalten von marktführenden Apache Webservern mit ihrem kostenlosen offenen Quellcode ein Verkaufsargument für die konkurrierenden gewerblichen Systemlösungen von Microsoft. Vermutlich ist das Unternehmen auch verwickelt in "EQUINIX", das anschließend zu erwähnen ist. In eigener Beobachtung wurde festgestellt, daß beide zeitgleich zusammenarbeiten können im selben Ziel. Im Beispielfall (11.06.14) war der Angriff nicht automatisiert, sondern Systemtechniker der Angreifer reagierten kurzfristig über das ganze Adressfeld IPv4 auf Abwehrtechniken. Als das Internet komplett abgeschaltet wurde, stand der Störpegel unverändert: ein klarer Hinweis darauf, daß der eigene Rechner mit Microsoft-Betriebssystem gekapert war. Sobald die Angreifer die Sperre bemerkten, was ebenfalls gekaperten Zugang in das System voraussetzt, war der Pegel ohne weitere Abwehrmaßnahme innerhalb weniger Minuten verschwunden. Als anschließend sowohl EQUINIX wie Microsoft komplett gesperrt wurden, verschwand auch die neu anhebende Lastwelle (12.06.14).

Microsofts Suchmaschine "BING" erscheint als normaler Lesereintrag, der unkritisch toleriert wird aus Freude am angeblichen Interesse an eigenen Inhalten. Tatsächlich kann der Roboter die Zielseiten zusätzlich unbemerkt tausendfach pro Sekunde abrufen, um ein System zu überlasten und es gegen weiteres Lesen zu sperren. Das ist nicht im Zugriffprotokoll zu finden, weil Bing die Lastzugriffe in Zehntelsekunden abbricht, ehe etwas davon protokolliert worden sein kann. Die schiere Menge der Kurz-Zugriffe allein aber erreicht schon den beabsichtigen Zweck. Diesen Roboter per IP zu sperren, ist vergeblich. Eine Woche später kommt das Bing wieder mit der nächsten Nummer. Wer sich davor schützen will, kann nur dessen Betreiber sperren.

Microsoft hat viele "Autonome Systeme" (AS) im Internet registriert, auch anonym, ohne ihren Firmen-Namen (ASN 13811, 14719, 20046). Wer ein ehrliches Geschäft betreibt, würde keine Gelegenheit versäumen, den zu plazieren für das Marketing. Wer das Gegenteil tut, hat etwas zu verbergen. Selbst wenn die Systeme den Namen tragen, können sie Luftnummern sein. Hierzu ist keine IP registriert, keine Peer-Gegenstelle (ASN 5582, 6194, 8073, 8074). Ob es dort wirklich keine gibt, kann man nicht wissen. Man weiß nur, daß der Konzern dazu keine Auskunft gegeben hat. Solche Systeme sind nicht aus dem öffentlichen Netz erreichbar, aber sie selbst könnten es. Wenn Microsoftsysteme offen registriert sind und Peers sowie IP haben, zeigt die Nummernfolge zuweilen Lücken. Es ist unwahrscheinlich, daß diese Nummern woanders in Gebrauch sind. Auf Vorrat geparkt bei Microsoft könnten sie aber jederzeit aus dem Hut gezaubert werden und sind dann bestimmt nirgendwo gesperrt, weil nicht als registriert bekannt. Folgend ihre System-Nummern im IANA Internetregister, dabei auch zu MS gehörende Anonyme. Die IP dazu sollte man sich selbst aktuell heraussuchen, weil deren Liste sich aus naheliegenden Gründen wohl häufiger ändern wird.
3598, 5582, 5761, 6182, 6194, 6291, 6584, 8068, 8069, 8070, 8071, 8072, 8073, 8074, 8075, 8076, 9984, 13399, 13811, 14719, 20046, 23468, 26222, 35106, 45139

15) EQUINIX
x Auch von denen werden ihre Opfer nie etwas bemerken und diese Störzugriffe in keinem Systemprotokoll finden. Nur die so erzeugten Lastpegel, deren Ursache man dann nicht herausfindet. Offiziell ist das eine Aktiengesellschaft für Internetdienste mit einer Pseudo-Stiftung in New York City. Dazu gibt es die übliche Cowboy-Gründergeschichte mit Lagerfeuerwürze. Die Schaltzentrale ist tatsächlich im kalifornischen Fremont, wo auch Hurricane, Microsoft, Yahoo, Facebook und andere sicherheitsrelevante Spezis sitzen. Ein unvorsichtiger Angreifer in Holland ließ dieses Sabotagesystem im Juni 14 auffliegen. Dieser konnte nicht wissen, daß EQUINIX seit ihrer Beteiligung am Angriff gegen Histor.WS, Weihnachten 2013, unter Überwachung steht und deshalb schnell identifiziert ist als Schattenfigur einer Attacke. Schaut man sich die Architektur der EQUINIX Netzgruppe an, erkennt man sofort den klassischen asymmetrischen Colocrosser, wie genauer zu erläutern.

Wenn die IP-Netznummer eines Störers entdeckt und nicht wirksam sperrbar ist, wird sie irgendwo geliehen sein und einen anderen Nutzer haben als es scheint. Findet der Angreifer seine Leihnummer gesperrt, holt er sich gleich die nächste durch "Proxy", also Strohmänner-Systeme, die Nummern verleihen. Viele öffentlich genutzte Proxy nennen dabei die wahre Herkunft. Also brauchen Angreifer andere Lösungen. Sie finden die in Form von Rechenzentren, welche auf Maskierungen spezialisiert sind und Nummern anonym verleihen in weltweiter Vernetzung, so daß sie nicht blockiert werden können. Das sind "Colos" Leitungsknüpfer, praktisch Groß-Proxies für allerlei Zwecke. Man erkennt sie daran, daß sie unverhältnismäßig mehr Peer-Gegenstellen als eigene IP-Nummern haben, im Einzelfall bis zur Relation 1:100. Folglich ist ihr Geschäft weniger die Gestellungsleistung von Internetplätzen und -zugängen für Kunden, auch wenn sie das in ihrer Reklame behaupten. Wahrscheinlicher ist, daß ihr Geschäft die verschleierte Verdrahtung auch dubioser Aktivitäten ist.

Bolide Colos sind eine Rechnergruppe am selben Platz, Streu-Colos ein international verteiltes System, dessen Sperrung durch unterschiedliche Landesbedingungen schwerer möglich ist. Bei einigen davon sind die Elemente unterschiedlich groß mit asymmetrischer Gesamtarchitektur. Großelemente können geradezu ein Viertel des Internet belegen wozu aber ganz kleine Stationen desselben Betreibers geschaltet sind, die weniger Nummern registriert haben als eine Computerspelunke mit zwei Angestellten. Diese Konstruktion erlaubt flexibel anpaßbare Angriffsmethoden:
  (Variante-1) Kleinstationen als unauffällige Einzelleser im Angriffsziel erkunden Schwachstellen und melden sie Großfarmen, die mit ihrer Masse anschließend angreifen, wobei die Pilotfische Auskunft geben über den Sabotage-Erfolg. Diese Angriffsmethode hat Masse in der Breite von IP-Adreßfeldern unterschiedlicher Herkunft, wobei unwichtig ist, ob einzelne Pilotfische weggestochen worden, die nicht an der Störleistung beteiligt sind. Diese Methode benötigt aber viele Massenangreifer unterschiedlicher Standorte, damit der Angriff nicht durch Sperren blockiert werden kann und ist damit auch personalkostenintensiv.
  (Variante-2) Kleinstationen sind Leser zeitgleich zum Angriff und wirken wie Erkunder, sind aber für das Angriffsziel unerkennbar zugeschaltet zu einer fernen Großstation als Angreifer über den Mailserver des Kleinfischs als Übertragungskanal. Diese Methode kann Angriffsmasse nur im Punkt durch Zeit-Takt erzeugen wie BING und ist damit begrenzt in der Macht. Sie hat aber den Vorteil, daß Angreifer unerkennbar und sicher geschützt bleiben bei geringem Personalkostenaufwand. Ein Kleinfischverlust könnte auch jederzeit durch jeden beliebigen anderen ersetzt werden.
So hatte sich das erwähnter Holländer sicherlich gedacht, dessen IP aus Dankbarkeit für die unfreiwillig enthüllte Technik gnädig verschwiegen sei. Im Gegenzug ein kleiner Tip in alter Freundschaft: man kann auch ehrlicher Geld verdienen als so oder mit stupiden Ballerspielen - auch in Holland.

Die Architekturlösung asymmetrischer Colos hat also klare Vorzüge. Der Riesenpool ist meist im finsteren Asien, von wo Angriffe mit der Macht einer technischen Masse möglich sind, die in regulierteren Ländern viel zu auffällig wäre. Die zeitgleich operierenden Kleinfische sind durch geringe Größe unverdächtig als Verursacher großer Angriffsmasse und können daher nahe an den Zielen liegen, die sie durch passende Sprach- und Umfeldkenntnisse auch besser erkunden. Die tatsächlichen Angreifer benötigen deshalb überhaupt keine Kenntnisse des Ziels, außer der ihnen gelieferten Adresse, so daß nur wenige Riesen die Angriffe für die ganze Welt bedienen können. Aus diesem Grund also forderte NSA/CSSM 1-52 am 03.06.2011 für das System Quantum-Fire unter dem Nahkampf-Motto "Ran an den Gegner" auch "more points of presence / grow regional shooter infrastructure". Fliegt irgendetwas auf, sind die Täter für die Strafverfolgung unerreichbar, und ihre Lenker wissen natürlich von nichts ("equi nix"), kennen die aktuelle Uhrzeit nicht und haben auch gerade ihren eigenen Namen vergessen, aber dafür irrtümlich die aktuellen Systemprotokolle gelöscht, als Admin Hein Schmitz eigentlich Kaffee holen wollte und die Tastur für die Kaffeemaschine hielt.

So erstaunt es nicht, Bau-Elemente von EQUINIX genau dort angesiedelt zu finden, wozu die Beschreibung der NSA paßt für die Strukturen ihrer Mafia-Technologie. Ein "Navteq" in den USA als Bauteil von EQUINIX meint vermutlich "Navy-Technology", was hinweisen könnte auf das MNOSC der US-Marine, wo Internet-Angriffstechnik entwickelt wird. Navteq hat offiziell aber kaum ein Dutzend Computeradressen. Als Aktionspool dann zwei gigantische Blöcke mit Millionen Adressen: "Asien-Pazifik", also der Einsatzraum selber Marine-Einheit, sowie einen zweiten Block in Singapur. Ergänzend und dazu passend lenkende Kleinstationen vor allem in Europa, in der Nähe potentieller Angriffsziele: Lambda-Netz/EU, heute England (ebenso: "Marex"=Hutchison), Niederlande, Schweiz, sowie KFZ-Industrie auf dem Balkan und Indien ("Tata"). Standorte in Zürich, Düsseldorf, Frankfurt und Paris ("Chmurz"). Wie Microsoft haben auch sie Luftnummern in den Systemen, wobei die Menge von mehr als einem Fünftel Anteil auffällt (ASN 25658, 27315, 27433, 27438, 32007, 36641, 40052). Dazu dann Leitungsverbindungen zu technischen Großparks mit den üblichen Verdächtigen aus beobachteten Lastangriffen: Hurricane/US, AT+T/US, Shaw-Cable/CA, Telstra/AU, Level3/US, QWest/US, Bell-Labore, usw. Die EQUINIX Gruppe ist öffentlich völlig unbekannt, dürfte aber eines der größten Konglomerate weltweit sein mit Leitungszentrum in den USA.
Dazu sind folgende Systemnummern öffentlich registiert:
9989, 11056, 13531, 14609, 14821, 16243, 17819, 18921, 21371, 24989, 24990, 25307, 25658, 27315, 27407, 27433, 27438, 27444, 27466, 30157, 30159, 32007, 32323, 33109, 33157, 35054, 36242, 36641, 40052, 44729, 47886, 53293, 55852

16) PHP-Falle
x Dieses dominant verbreitete Programmiersystem mit umfangreichen Funktionalitäten für Netzseiten ist ein Zusatz zum Serversystem. Seine Architektur und Einstellungen sind für Nutzer von Mietplätzen im Internet nicht direkt erreichbar und nur über eine Einstelldatei (php.ini) teilweise beeinflußbar. Merwürdigerweise gibt es aber eine Technik mit der beliebige Unbekannte aus dem Netz dieses System direkt erreichen können mit folgendem Aufruf:

seite.php?-s

Anstelle des Buchstabens "s" könnten es auch andere sein, auch als Großbuchstaben mit jeweils eigenen Funktionswirkungen. Dahinter können umfangreiche Befehle aller Art folgen, ganze Programme - in PHP oder anderen Programmiersprachen, die der Zielserver ausführen kann. Würde man die Länge solcher Aufrufe begrenzen, könnte das angefügte Programm auch eine "Shell" sein, ein Paketrahmen, der von beliebigen Plätzen im Internet dort abgelegte Programme integrieren kann. Weil diese Art Zugang in ein Rechnerstym ablauftechnisch früher liegt als dann folgende Einstellungen seines Eigentümers, können dessen Sicherheitsvorkehrungen abgeschaltet werden. Die unbekannten Angreifer sind dann die neuen Eigentümer dieses Systems, können dort installieren, ändern oder löschen was sie wollen, können dort ihre Programme laufen lassen, Emails versenden.

So stehen schließlich alle Programmierbefehle des Systems PHP für jeden beliebigen Unbekannten aus dem Internet zur Verfügung, der von diesem Trick weiß. Alle Befehle heißt wirklich alle, einschließlich solcher aus Ergänzungspaketen wie Pear, Curl oder GDLib. Selbst so harmlose Systembestandteile wie "Browscap", eine Merkmalliste gängiger Netznavigatoren für ihre Erkennung, ist durch das offene Scheunentor zur Blockade des Sytems nutzbar. Diese Liste ist natürlich sehr groß mit zunehmender Tendenz. Selbst wer mit ihr harmlosen Unfug treibt, sie vielleicht auf sich selbst kopiert, erzeugt damit schon so viel Arbeitslast im System, daß genügend viele solcher Störaktionen zugleich jedes System erledigen können. Es wurde beobachtet, daß auch Steuerbefehle des Betriebssystems auf dem Server auf dieses Weise durch Angreifer ausführbar sind.

Ein Schutz vor diesem Mißbrauch ist bislang nicht möglich. Es können nur Befehlskommandos in Leserzugriffen gesucht und der Zugriff bei Funden gesperrt werden. Aber nur PHP alleine mit allen seinen typischen Erweiterungspaketen dürfte inzwischen tausende Befehle haben. Die Lösung kann also nicht darin liegen, hier einzugreifen, sondern zu verhindern, daß überhaupt beliebige Unbekannte Systemzugang finden, der nur dem legitimen Eigentümer zusteht. Anderenfalls ist das System PHP praktisch nicht mehr verwendbar, es ist wie ein Auto ohne Räder. Wenn sein Einsatz letztlich nur dazu dient, damit Fremde nach eigener Willkür mit dem eigenen Rechner machen können, was sie wollen, kann man es als Eigentümer auch gleich ganz lassen. So scheint es regelmäßig zu passieren, daß Unternehmer mit Geschäftsfeld im Internet schließlich aufgeben müssen. Möglicherweise wurden sie vorher noch von den Angreifern kontaktiert mit dem Angebot, sich gegen Erfüllung ihrer Forderungen von den Angriffen freizukaufen. Wer erkennt, daß er ab dann ihr Sklave wäre, weiß warum er dabei nicht mitmachen kann.

Trickser und Täuscher haben hier leichtes Spiel und fallen dabei nicht auf. Gegen öffentliche Warnungen vor dieser verheerenden Sicherheitslücke haben sie ein gutes Argument: bloß still schweigen, damit nicht böse Leute die Technik kennenlernen und überall anwenden. Daß sie selbst das sind, die keine Konkurrenz in ihrem Erpressungsgeschäft haben wollen, ist kaum durchschaubar. Ehrliche Anhänger und Entwickler des Programmiersystems PHP haben ihren eigenen Grund mit selbem Ergebnis: sie wollen nicht, daß Bedenken vor diesem System seine weitere Entwicklung und Verbreitung gefährdet, womit die von ihnen bisher hier investierte Arbeitsmühe vergeblich würde.

Dieser skandalöse Zustand dauert nun an seit Beginn der öffentlichen Diskussion darum, mindestens seit dem Jahr 2012 wie eine Meldung bei Heise.de zeigt, bei der US-CERT anscheinend noch früher. Niemand kann also sagen, daß dies unbekannt gewesen sei. Über das Problem wird offen diskutiert, detaillierte Befunde können in Datensammlungen nachgesehen werden. Die Anwender werden dennoch vertröstet auf den Tag Sankt Nimmerlein. Oder es heißt, eine neuere Version des Systems ab Nummer 5 biete einen "Patch" (Flickstück), eine Korrektur des Problems. Sieht man nun die Version von PHP auf dem eigenen Server nach, wird dies garantiert eine solche Nr.5 sein. Nur merkwürdigerweise kann man die genannten Tricks ausprobieren: und sie funktionieren trotzdem noch. Oh welche Wunder durchwirken unsere Welt! Aha, ich verstehe, das sind alles nur "Verschwörungstheorien". Nicht? Na dann doch wenigstens "Zufälle", oder?


Start Gesetze Report1 Report2 Report3 02Febr 03März 04Apri 05Mai 06Jun 07Jul 08Aug 09Sept
 
®