[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[infowar.de] zdnet, 8.4.03: Viren und Internet-Attacken im Zeichen des Irak-Krieges
Infowar.de, http://userpage.fu-berlin.de/~bendrath/liste.html
-------------------------------------------------------------
Mal wieder ein Artikel der vertrauten Art: ein Experte ohne
Eigeninteressen, kriminelle Netzentstellung, Computerkrieg und die
traumatische Zukunft.
--------------------------------------
http://techupdate.zdnet.de/story/0,,t419-s2133079,00.html
Viren und Internet-Attacken im Zeichen des Irak-Krieges
Von Dietmar Müller
ZDNet
08. April 2003
F-Secure General Manager Travis Witteveen im Interview zu Viren und
Website-Manipulationen im Zusammenhang mit dem Krieg in Irak.
Die Sicherheitsberater in Sachen Internet haben, seit sich der Krieg
gegen den Irak immer deutlicher abzeichnete, alle Hände voll zu tun: Fast
täglich wurden gerade im Vorfeld des Feldzuges Seiten manipuliert oder
abgeschossen, mehrere Viren waren explizit aus diesem Grund in Umlauf
gebracht worden. Travis Witteveen, General Manager für die DACH-Region
(Deutschland, Österreich und die Schweiz) des finnischen
Sicherheitsexperten F-Secure, erklärte im Gespräch mit ZDNet die
Hintergründe.
Herr Witteveen, welche Kriegsbedingten Viren hat Ihr Unternehmen bislang
gefunden?
Bisher haben wir vier explizit auf den Krieg bezogene Erreger feststellen
können. Natürlich werden uns täglich mehrere neue Viren gemeldet, nur
diese vier sind aber unmittelbar auf die Auseinandersetzung im Irak
gemünzt:
Lioten, auch unter dem Namen Iraq_Oil bekannt, aufgetaucht am 17. Dezember
2002. Es handelt sich um einen Wurm, der sich über Shared Folders
verbreitet und den verseuchten Anhang "iraq_oil.exe" mit sich führt
Prune, erstmals entdeckt am 12. März 2003. Der Autor bot Bilder aus dem
Krieg an, in diesen versteckte sich jedoch ein Virus. Wie wir aus den USA
erfahren haben, war diese Strategie dort sehr erfolgreich.
Ganda, aufgetaucht am 17. März 2003. Ähnlich wie Prune nutzte der Wurm
verschiedene E-Mail-Betreffzeilen und Nachrichtentexte, um
Computer-Anwender zum Öffnen des Anhangs zu bewegen. Er ist wahrscheinlich
in Schweden programmiert worden. Die Betreffzeilen lauten beispielsweise
"Spy pics", "GO USA !!!!", "LINUX", Nazi propaganda?", "G.W Bush
animation" und "Is USA always number one?". Der Autor sitzt mit ziemlicher
Sicherheit in Schweden.
Vote.D, das Original war bereits am 24. September 2001 als Reaktion auf
den 11. September aufgetaucht. Die neue Version ".D" wurde zu den
Ereignissen im Zweistromland lediglich aktualisiert.
Welche kriegsbedingten Defacements sind Ihnen bislang bekannt?
Bereits in den Stunden des Ultimatums gegen Bagdad kam es zu mehr 200
Manipulationen von Websites, von denen die meisten direkt mit dem
Irak-Konflikt in Verbindung stehen. Bis zum 21. März waren bereits an die
1000 Websites betroffen. Viele dieser Manipulationen bestehen aus
Antikriegsbotschaften, einige von ihnen auch aus anti-amerikanischen oder
anti-irakischen Botschaften. Als wichtigstes Ereignis würde ich aber den
Abschuss des vermutlich besten Tracking-System für Defacement-Aktivitäten,
Zone-h (www.zone-h.org; derzeit nicht erreichbar), bezeichnen. Es besteht
der dringende Verdacht, dass die Regierung der USA die Site lahm gelegt
hat.
Das wäre ja geradezu kriminell?
Kriminell? Ein Teil des Krieges findet im Internet statt. Die USA haben
eine riesige Anzahl an Computerexperten angeheuert, die nur auf so etwas
angesetzt werden. Es ist genauso kriminell, wie einen Menschen im Feld zu
erschießen. Es handelt sich um einen Computerkrieg.
Ich kann Ihnen gerne Einblick in unser Defacement-Tagebuch geben:
Donnerstag, 20. März
Die Zahl der Web-Defacements nimmt aufgrund des Irak-Kriegs eindeutig zu.
Hacker wenden Defacement als Protest gegen die USA, den Irak oder gegen
den Krieg im Allgemeinen an. Mehrere Hundert eindeutig kriegsbezogene
Defacements wurden während der letzten 48 Stunden nach dem Angriff auf den
Irak gemeldet. Kriegsbezogene Proteste stehen für die Mehrheit aller
gemeldeten Defacements.
Freitag, 21. März
Die Zahl gehackter Web-Sites hat am Freitag, dem 21. März konstant
zugenommen. Die Reporting-Systeme haben Schwierigkeiten im Umgang mit der
Belastung und die Anzahl gehackter Web-Sites kann nur geschätzt werden. Es
steht fest, dass mehrere 1.000 Web-Sites zwischen Mitternacht und 15.00
Uhr EET entstellt worden sind. Die tatsächliche Anzahl ist wahrscheinlich
viel höher und nimmt weiter zu.
Samstag, 22. März
Die Zahl der Web-Defacements war am Samstag, dem 22. März immer noch hoch.
Ferner war es immer noch unmöglich, zuverlässige Zahlen zu nennen, da die
Reporting-Systeme stark überlastet sind und nicht alle Meldungen überprüft
werden können. Quellen, welche die Hacker-Gemeinschaft genau beobachten,
sprechen von ca. 2.500 Meldungen pro Tag. Web-Sites, die mit dem
US-amerikanischen Militär verbunden sind, waren erwartungsgemäß Gegenstand
der Angriffe. Die zunehmenden Hacker-Aktivitäten beschränken sich jedoch
nicht auf die am Krieg beteiligten Nationen. Web-Sites in jedem Land
können von Angriffen betroffen sein, da die Hacker nach maximaler
Publicity für ihren Protest suchen.
Sonntag, 23. März
Die Zahl gemeldeter Defacements ist immer noch hoch, und die
Reporting-Systeme holen langsam auf. Es ist jedoch klar, dass viele
Defacements aufgrund des überlasteten Systems nicht gemeldet werden. Eine
Hacker-Gruppe behauptet, dass sie zusätzlich zu den überprüften
Statistiken 3.000 Web-Sites entstellt haben. Die Mehrzahl der Defacements
scheint sich gegen die USA oder gegen den Krieg im Allgemeinen zu richten.
Eine kleinere Anzahl an Gruppen verbreitet Pro-US- oder
Anti-Irak-Material.
US-Behörden insbesondere Militärorganisationen sind natürlich in dieser
Situation ein gemeinsames Ziel. Die Anzahl überprüfter Defacements solcher
Organisationen ist jedoch eher niedrig. Diese Organisationen könnten vor
dem Krieg mühelos eine hohe Zahl an Angriffen voraussagen und auf
Sicherheitsaspekte achten. Administratoren dieser Web-Sites haben zudem
den Zugriff von Organisationen gesperrt, die für die Bestätigung von
Defacement-Angriffen bekannt sind. Das bedeutet, dass viele erfolgreiche
Defacements von US-Sites womöglich unbestätigt bleiben. Eine Hacker-Gruppe
behauptet, dass sie www.whitehouse.gov erfolgreich entstellt haben. Die
Web-Site wurde offenbar sehr schnell wiederhergestellt, und unabhängige
Beobachter konnten dieses Defacement nicht bestätigen.
Montag, 24. März
Die Zahl neuer Defacement-Meldungen bleibt hoch. Es steht jedoch fest,
dass die tatsächliche Zahl der Defacements viel höher ist als die
gemeldeten Zahlen. Ursache hierfür sind das langsame Reporting-System
sowie die Tatsache, dass viele Web-Sites wiederhergestellt wurden, bevor
das Defacement überprüft werden konnte. Die Anzahl an Meldungen und
bestätigten Defacements zeigen jedoch ganz deutlich, dass die
Hacker-Aktivitäten stark zugenommen haben. Nahezu 10.000 Defacements
wurden während der letzten Woche gemeldet oder bestätigt, und es steht
fest, dass die tatsächliche Zahl viel höher ist.
Dienstag, 25. März
Zone-h, das derzeit beste Tracking-System für Defacement-Aktivitäten, ist
am 25. März für mehr als zwölf Stunden ausgefallen. Daher ist es
unmöglich, verlässliche Daten für dieses Datum zu bekommen. Das System
lief jedoch irgendwann an diesem Tag wieder, und es gibt keine Anzeichen
nachlassender Aktivitäten.
Es ist eine deutliche Tendenz zu erkennen, dass die Hacker-Gruppen ihre
Ziele über systematische Methoden auswählen. Ganze Domänen werden
durchsucht, und mehrere gefährdete Hosts in der Domäne scheinen
gleichzeitig durch Hacker beschädigt worden zu sein. Andere Domänen wurden
nicht angegriffen zumindest nicht zum jetzigen Zeitpunkt. Es gibt jedoch
natürlich keine Garantie, dass sie nicht doch angegriffen werden. Die
Hacker können jede Web-Site angreifen, um ihre Nachricht zu verbreiten.
Nationalität oder Religion spielen dabei keine Rolle.
Wie sah es mit den Denial of Service-Angriffen aus?
Es ist verdächtig ruhig geworden in letzter Zeit. Offenbar hat die
Aufmerksamkeit der Menschen für den Krieg nachgelassen. Ich kann Ihnen
aber die drei größten Angriffe nennen:
Die Web-Site www.number-10.gov.uk des britischen Premierministers Tony
Blair wurde scheinbar am Sonntag den 23. März über DDoS (Distributed
Denial of Service) angegriffen. Berichten zufolge war die Web-Site für
kurze Zeit nicht verfügbar. Es gibt auch Gerüchte über Defacements
(Entstellungen) dieser Web-Site. Diese Gerüchte sind aber aller
Wahrscheinlichkeit nach nicht zuverlässig.
Die Site des in Katar ansässigen Fernsehsenders Al-Jazeera
www.aljazeera.net war eine Nacht lang nicht erreichbar. Zuvor hatte der
Sender Bilder von gefangenen US-Soldaten ausgestrahlt. Allerdings ist
nicht sicher, ob es sich um einen Angriff handelte.
Am Freitag den 28. März wurde Al-Jazeera dann richtig hart getroffen. Die
Site wurde vermutlich durch DDoS-Attacken über Stunden und Tage immer
wieder ausgeschaltet, auch ereigneten sich eine ganze Reihe von
Defacements. Vermutlich hat der Fernsehsender den von Internet-Aktivisten
am meisten beschädigten Inline-Auftritt.
Welche Virenauthoren sind Ihnen bislang bekannt?
Beim Verfassen von Kriegs-Viren spielt eine von den einzelnen
Kriegsparteien ausgehende, so genannte "digitale Kriegsführung", weniger
eine Rolle. Vielmehr nutzen unabhängige Hacker die Gelegenheit und
bedienen sich öffentlicher Datennetze, um ihre persönlichen Meinungen kund
zu tun.
Diese Hacker lassen sich in drei Gruppen unterteilen:
Personen aus den USA, die ihre Unterstützung des Krieges gegen den Irak
durch virtuelle Angriffe kundtun, zum Beispiel durch
Distributed-Denial-of-Service-Angriffe (D-DoS) auf E-Mail-Server der
irakischen Botschaft oder auf Websites von irakischen Firmen.
Personen der islamischen Welt, die öffentliche Netzwerke zum Gegenangriff
verwenden, und es dabei möglicherweise auf amerikanische Websites (vor
allem .mil-Websites) abgesehen haben.
Friedensaktivisten in aller Welt, die Computerviren über Antikriegs-Mails
verbreiten oder öffentliche Netzwerke auf andere Arten für ihre Zwecke
einsetzen.
Und wo, in welchen Ländern, finden sich diese islamistischen Hacker
vorrangig?
An Orten, an denen die Religion einen sehr starken Stand hat, ist das
Internet zumeist stark reglementiert. Daraus ergibt sich ganz natürlich,
dass "islamistische" Viren vorrangig im Westen produziert werden. Die
Autoren nutzen dazu die Netze von Unis und anderen Einrichtungen, in denen
sie unerkannt bleiben können. In Saudi Arabien beispielsweise würde man
sich viel schwerer tun, anonym einen Virus zu schreiben und zu verbreiten.
Gibt es Organisationen oder sind es Einzeltäter?
Ganz klar Einzelpersonen. Aber diese pflegen untereinander Verbindungen
über Newsgroups. Konkret bekannt geworden sind aber nur zwei Fälle. Zum
einen der Fall Melhacker. Dabei handelt es sich um einen malaysischer
Virenschreiber, der unter anderem die Viren Nedal (Laden rückwärts
gelesen) und Blebab in Umlauf gebracht hat. Im März wurde dann der Fall
des schwedischen Ganda-Autors publik. Er lebt in Härnösand und hat
angeblich schon gestanden. Die meisten Verfasser bleiben aber unerkannt -
über das Internet Protocol kann man versuchen, ihrer habhaft zu werden,
aber das ist sehr schwierig und wenig aussichtsreich.
Kann man eine Prognose zu den kriegsbedingten Virenaktivitäten abgeben?
Die Zukunft wird traumatisch sein. Ich meine damit, dass die Menschen auf
traumatische Erlebnisse stark reagieren. Wenn der Krieg bald aufhört,
werden auch die Hacker- und Virenaktivitäten einschlafen. Die größten
Hacks haben wir noch vor dem Krieg registriert. Wenn der Krieg aber
weitergeht und die USA andere Staaten ins Visier nehmen, die Namen Syrien
und Iran sind ja bereits gefallen, dann rechne ich mit einem
Wiederaufleben dieser Aktivitäten. Auch muss man erst sehen, welche
Regierung die USA im Irak implementiert.
---------------------------------------------------------------
Liste verlassen:
Mail an infowar -
de-request -!
- infopeace -
de mit "unsubscribe" im Text.