[infowar.de] Update und Entwarnung zu Estland / Russland / Cyberterrorismus

[Ralf Bendrath <bendrath -! - zedat - fu-berlin - de>]

http://www.spiegel.de/netzwelt/web/0,1518,483583,00.html
SPIEGEL ONLINE - 18. Mai 2007, 16:42

CYBER-ANGRIFFE
Estland schwächt Vorwürfe gegen Russland ab

Von Konrad Lischka

Cyber-Krieg im russischen Auftrag? Der Leiter der estnischen Organisation 
für Computerssicherheit CERT bezweifelt gegenüber SPIEGEL ONLINE eine 
direkte Verantwortung der russischen Regierung. Er sieht hier vor allem 
Privatleute am Werk. Das Vorgehen der Cyber-Krieger stützt diese These.

Heute ist ein recht ruhiger Tag im estnischen Internet: Die Nutzer können 
wieder Zeitung lesen, sogar Online-Banking ist möglich. Aber das kann sich 
jederzeit wieder ändern. Seit dem 27. April nehmen Hacker Estland unter 
Dauer-Beschuss, legen immer wieder Server lahm. Über die Urheber und 
Hintermänner der Angriffe ist ein heftiger Streit entbrannt. Der estnische 
Außenminister Urmas Paet hatte russische Regierungsorgane beschuldigt, 
Russland wies die Vorwürfe zurück. Jetzt entschärft Estland überraschend 
seine Vorwürfe.

"Wir haben keine Beweise, dass die Angriffe von einem einzigen konkreten 
Urheber ausgehen", sagte Hillar Aarelaid, Leiter des estnischen "Computer 
Emergency Response Team" (CERT) zu SPIEGEL ONLINE. Das von der Regierung 
eingesetzte CERT koordiniert seit einem Jahr die Verteidigung gegen 
Angriffe im estnischen Adress-Raum ".ee". Damit widerspricht Aarelaid dem 
estnischen Außenminister Paet direkt, der angegeben hatte, Cyber-Angriffe 
zu "konkreten Personen und konkreten Computern russischer 
Regierungsorgane" zurückverfolgen zu können.

10-Jährige am Werk

Sicherheits-Experte Aarelaid folgert aus den verwendeten Angriffsmethoden 
hingegen, dass hier eher Privatleute ohne zentrale Steuerung am Werk sind. 
Er sagte zu SPIEGEL ONLINE: "Die Qualität der Angriffe ist höchst 
unterschiedlich. Das reicht vom 10-jährigen Skriptkiddie, das einfach mal 
so Hackertools ausprobiert bis hin zu Menschen, die offensichtlich zehn 
Jahre Hacker-Erfahrung haben."

Skriptkiddie ist ein abfälliger Ausdruck für junge Computer-Nutzer, die 
vorgefertigte Bausätze und im Web kursierende Anleitungen benutzen, um 
Schaden anzurichten. Entsprechende Aufrufe und Erläuterungen kursieren 
laut Aarelaid in russischsprachigen Internet-Foren: "Da sind viele junge 
Leute sehr wütend."

Patriotismus und Zorn

Die Wut brach los, als der schon lange schwelende Konflikt zwischen 
Russland und Estland am 27. April neues Feuer erhielt: Estland ließ ein 
sowjetisches Denkmal für den "unbekannten Soldaten" aus dem Zentrum der 
Hauptstadt Tallinn auf einen Soldaten-Friedhof verlegen. Für Russland und 
die große russische Minderheit in Estland war das Denkmal eine Erinnerung 
an die Opfer des Zweiten Weltkriegs. Esten hingegen interpretierten die 
Statue eher als Symbol der sowjetischen Kontrolle Estlands.

Ein Thema also, bei dem Patriotismus leicht in Zorn umschlägt. Und es 
genügt, wenn das ein paar Internet-Kundige genug anstachelt - sie können 
mit den richtigen Werkzeugen genug Schaden anrichten - da braucht es keine 
generalstabsmäßige Planung. Sicherheits-Experte Aarelaid sieht keine 
zentrale Instanz hinter den Angriffen gegen den estnischen 
Internet-Adressraum: "Das Vorgehen sieht nicht danach aus, dass ein 
zentrales Kommando dahinter steht. Wobei ich über Anleitungen, Anwerbungen 
und all das nichts sagen kann - das klären die Geheimdienste."

Simple und avancierte Angriffe

Sicher sind jedenfalls diese Tatsachen: Die Angreifer versuchen mit 
sogenannten Denial-of-Service-Attacken Server gezielt zu überlasten, bis 
diese unter der übergroßen Menge von den Angreifern erzeugter 
Datenanfragen zusammenbrechen. Andere Seiten wurden einfach verunstaltet, 
ursprüngliche Inhalte durch anti-estnische Propaganda ersetzt. Solche 
Defacement genannten Attacken sind alles andere als selten und für 
rivalisierende Defacer-Gruppen ein regelrechter Sport: Täglich kommt es 
weltweit zu Tausenden erfolgreichen Attacken dieser Art. An normalen Tagen 
zählen Beobachter zwischen 1500 und 3000 entsprechende Attacken.

Bei der Auswahl der Angriffsziele hatten die Cyberkrieger in diesem Fall 
offenbar nicht den größtmöglichen Schaden im Blick: Angegriffen wurden 
nicht nur Regierungsseiten und Banken, sondern auch Zeitungen, ein 
Wald-Schulheim und sogar ein Forum von Ford-Tuning-Begeisterten.

Warum sind unter den Opfern so viele harmlose, für die Infrastruktur 
Estland nun wirklich nicht entscheidende Seiten? Eine mögliche Erklärung: 
Sie haben zwei für junge, böswillige, zornige Computer-Verrückte 
entscheidende Gemeinsamkeiten: Sie werden von Esten genutzt und sie haben 
eine mit vorgefertigten Werkzeugen zu knackende Sicherheitslücke.

Die kann jeder Internet-Nutzer mit dem entsprechenden - illegalen, aber im 
Netz zu findenden - Werkzeug aufspüren und ausnutzen. Schritt 1: Mit einem 
Werkzeug baut man eine Datenbank so genannter IP-Adresse auf. Im zweiten 
Schritt scannt ein anderes Werkzeug diese Adressen automatisch auf 
bestimmte, durch Schadprogramme ausnutzbare Schwachstellen. Und dann muss 
man nur noch das entsprechende Schadprogramm auf die gefundenen Seiten 
ansetzen.

Die Armeen der Zombie-Rechner

Solche Methoden haben auch einige Angreifer in Estland genutzt, bestätigt 
CERT-Chef Hillar Aarelaid. Andere sind avancierter vorgegangen, haben zum 
Beispiel Botnetze verwendet. Gemeint ist damit eine Infrastruktur vieler 
von einem Schädling infizierter Rechner, die sich zentral - ohne Wissen 
der Besitzer - steuern lässt. Die für Angriffe gegen estnische Webseiten 
genutzten Computer standen den Internet-Adressen nach in den Vereinigten 
Staaten, Kanada, Brasilien und Vietnam. Solche Netzwerke nutzen heute vor 
allem Spam-Versender - sie mieten dabei die Botnetze von den Autoren der 
Schadprogramme.

Vor einigen Jahren noch haben Kriminelle Botnetze auch für sogenannte 
verteilte Denial-of-Service-Angriffe genutzt: Erst forderten sie von 
Seiteninhaber Schutzgeld, gingen diese nicht auf die Erpressung ein, 
wurden ihre Seiten von der Anfragewelle eines Botnetzes überschwemmt. 
Inzwischen ist die Nutzung solcher Botnetze für Spam aber viel lukrativer 
als die für Denial-of-Service. So interpretierte jedenfalls das 
Sicherheitsunternehmen Symantec den Rückgang von 
Denial-of-Service-Angriffen und den gleichzeitigen Anstieg des 
Spam-Volumens im zweiten Halbjahr 2006.

Keine Spur in den Kreml

Das bedeutet im Fall Estland: Entweder haben hier Botnetz-Kontrolleure aus 
eigener Wut heraus einen Angriff gestartet - oder jemand hat wirklich gut 
gezahlt, vielleicht Druckmittel benutzt. Doch diese Spuren werden kaum bis 
zum eigentlichen Urheber zurückzuverfolgen sein - wenn der denn existiert. 
Der finnische Anti-Virus Experte Mikko Hyppönen, Forschungsleiter bei 
F-Secure, sagte dem Helsingin Sanomat "Es wird schwierig sein, hier eine 
Verantwortung des russischen Staats zu belegen."

Da stimmt ihm der estnische CERT-Chef Hillar Aarelaid zu: "Wenn 
tatsächlich eine Instanz hinter diesen Angriffen steckt, wird sie schlau 
genug sein, ihre Spuren zu verwischen." Er betont, dass inzwischen die 
Folgen fast jeden Angriffs nach höchstens einer Stunde behoben sind, dass 
die Wirkungen der letzten großen Angriffe ohnehin nur noch wenige 
Privatanwender bemerkt hätten. Darüber hinaus hofft Aarelaid auf ein paar 
ruhige Tage wie heute und darauf, dass "die Gemüter sich abkühlen - dann 
werden auch die Angriffe nachlassen."

---------------------------------------------------------------------
To unsubscribe, e-mail: infowar -
de-unsubscribe -!
- infopeace -
de
For additional commands, e-mail: infowar -
de-help -!
- infopeace -
de