Web Cyberfahnder
  Cybercrime    Ermittlungen    TK & Internet    Literatur    intern    Impressum 
September 2010
24.09.2010 10-09-36 Botnetze
     
zurück zum Verweis zur nächsten Überschrift mächtige Werkzeuge für die Cybercrime
  Entwicklungsgeschichte und Funktionen von Botnetzen
 

Bots und Botnets sind ganz eindeutig komplexer geworden. Die Programmierer dieser Malware müssen umfangreiche Kenntnisse über Netzwerke, Systeme und Kryptographie mitbringen. Angesichts der unglaublichen Mengen und des hohen Entwicklungsstandes von Botnets ist es sehr wahrscheinlich, dass diese nicht von einer kleinen Gruppe von Personen, sondern von einem Syndikat aus Einzelpersonen entwickelt werden, die von der Aussicht auf Geld getrieben werden. Die Motivation ist offensichtlich: Unternehmen sollen unterwandert und kompromittiert werden, um Daten zu stehlen, die zu Geld gemacht werden können. (2)
 
Mit zunehmender Bedrohung durch computerbasierte Kriegsführung und die damit verbundenen Schäden werden in zukünftigen Konflikten sehr wahrscheinlich Botnets als Waffen eingesetzt werden. Möglicherweise ist dies bereits geschehen.
 
... Durch Störungen oder Unterbrechungen dieses Informationsflusses kann ein tragisches Ereignis zu einer Katastrophe werden. Das Internet könnte also zu einem weiteren Kriegsschauplatz werden.
 
Botnets können auf dem Schwarzmarkt gekauft oder gemietet und sogar ihren Besitzern entrissen und für andere Zwecke eingesetzt werden. ... Daher müssen wir davon ausgehen, dass sich Behörden oder Staaten auf der ganzen Welt Gedanken darüber machen, wie sie Botnets für offensive oder gegenoffensive Maßnahmen in ihren Besitz bringen können.
 
Eine zivile oder nationale Behörde hat gute Gründe, Botnets ihren Herren zu entreißen. Botnets können Unternehmen, Einzelpersonen und Regierungsbehörden ebenso unterwandern wie militärische Workstations. ... (S. 10)

Ein neues Whitepaper von McAfee setzt sich mit der Entwicklungsgeschichte, den Funktionen und den Gefahren von Botnetzen auseinander (1). Die Versprechungen in seinem Vorwort löst es nicht ganz ein, denn dort steht auch: Wir beleuchten die Schattenindustrie, die hinter ihrer Entwicklung und Verbreitung steht und legen ihre Verwendung durch heutige kriminelle Vereinigungen offen (S. 3). Die Kernaussagen dazu werden im Kasten links oben wiedergegeben.

Interessant ist die Entwicklungsgeschichte, die die Autoren präsentieren. Sie reicht rund 10 Jahre zurück und beginnt mit zentral gesteuerten Botnetzen auf der Grundlage des IRC-Protokolls - Internet Relay Chat. Seit 2003 werden Kompressions- und Verschlüsselungsverfahren eingesetzt, um die Malware und ihre Aktivitäten zu tarnen. Ebenfalls seit 2003 werden von ihr auch das Peer-to-Peer-Protokoll (Filesharing) eingesetzt, das eine dezentrale Steuerung des Botnetzes zulässt.

Die meisten Zombies - gekaperte PCs - laufen unter dem Betriebssystem Windows (S. 4). Allein in Deutschland sollen über eine Million Zombies entdeckt worden sein (S. 8). Das ist Platz 4 auf der Weltrangliste, auf der Indien, Brasilien und Russland führend sind (S. 8). Einige Unix/Linux-Varianten sollen von einer brasilianischen Hackergruppe namens Atrix-Team <stammen>, die zum damaligen Zeitpunkt nur aus ein paar Skript-Kiddies bestand (S. 4).

2007/2008 entstanden die HTTP-Bots, die über infizierte Webseiten verbreitet werden. Vor allem "russische Internetkriminelle" sollen regelrechte Bausätze (Exploit-Kits) entwickelt und verkauft haben, mit denen sie sich auch ohne Programmierkenntnisse zusammen setzen lassen (S. 5).
  

Das Whitepaper geht in diesem Zusammenhang näher auf den "Zeus Builder für Version 1.2.x" ein, der sich auch auf das Ausspähen der Zugangsdaten zum Onlinebanking spezialisiert hat (S. 5 f.). Breitere Beschreibungen widmen sich sodann dem "Spy Eye"-Builder (S. 7 f.).

Die Entwicklungsgeschichte der Botnetz-Malware zeigt eine Professionalisierung ihrer Entwickler und Zulieferer. Insoweit gilt noch immer das, was Gordon Bolduan 2008 ausgeführt hat (3): Bei der Entwicklung dieser Malware wirken mindestens drei Gruppen von Spezialisten zusammen. Das sind neben den Programmierern der Malware die Exploit-Händler, die sich auf Sicherheitslücken und ihren Missbrauch spezialisiert haben, und die Lieferanten von Toolkits, die die Verschlüsselungs- und andere Tarntechniken beisteuern und immer wieder aktualisieren (4). Bolduan lieferte dazu auch ein neues Organisationsmodell der Cybercrime, das sich unter der Leitung eines Koordinators des Projektmanagements bedient. Ich habe daraus das Modell der modularen Cybercrime (5) entwickelt und als modulare Kriminalität verallgemeinert (6).

Die Autoren gehen schließlich auf Die Rolle der Regierungen ein (S. 10, siehe Kasten links unten). Auch dadurch sehe ich mich bestätigt.

2009 hat Paul B. Kurtz ausgeführt (7): Die Grenze zwischen Internetkriminalität und Internetkrieg verschwimmt heute immer mehr, weil manche Staaten kriminelle Organisationen als nützliche Verbündete betrachten. Einige Nationen zeigten bereits, dass sie bereit sind, Angriffe auf gegnerische Ziele durch kriminelle Organisationen und Privatpersonen zu tolerieren, zu fördern oder sogar gezielt einzusetzen.
 

zurück zum Verweis Cyberwar Fazit

 
DoS-Angriffe können die Kommunikation während Krisen unterbrechen.
Quellcodeinfektionen können die Stilllegung wichtiger Netzwerke verursachen.
Über zugriffsgeschützte Systeme können Gegner an militärische Informationen gelangen. (11)
 

 
Im Arbeitspapier Netzkommunikation habe ich diese und andere Analysen aufgegriffen und den Cyberwar definiert:

Cyberwar ist der strategische Einsatz der Informations- und Kommunikationstechnik mit dem Ziel, Gegner und Opfer existenziell zu schädigen, also nicht nur ihre Datenverarbeitung und Netzkommunikation zu stören oder auszuschalten, sondern ihre Funktionstüchtigkeit insgesamt.

Seine Instrumente sind vor allem auch Botnetze. Die Akteure der Cybercrime und im Cyberwar sind austauschbar, so dass sich die Unterscheidung zwischen Kriminalität und Staat weniger auf die Personen, als auf die verfolgten Zwecke bezieht.

Cybercrime und Cyberwar stellen nach meinem Verständnis verschiedene Eskalationsstufen dar (8), wobei ich den Cyberwar in eine unterschwellige, "kalte" Phase und dem materiell zerstörerischen Heißen Cyberwar unterscheide (9).

Das sehen die Autoren des Whitepapers offenbar ähnlich, indem sie auf die Gefahren von Botnetzen bei Katastrophen und im Zusammenhang mit gewaltsamen Auseinandersetzungen hinweisen (Kasten links).

Ihre Aussagen sind sicher zutreffend, bleiben aber etwas oberflächlich. Andere Veröffentlichungen sind erheblich deutlicher geworden (10) und die jüngeren Diskussionen geben ihnen recht (11).
 


Es ist bemerkenswert und keine Selbstverständlichkeit, dass sich ein Sicherheitsunternehmen wie McAfee zur gesellschaftlichen und kriminellen Dimension der Cybercrime äußert und dabei seine eigenen kommerziellen Interessen nur unaufdringlich durchschimmern lässt. Es wäre dumm, wenn das nicht geschähe.

Die Analysen und Aussagen in diesem Whitepaper bleiben jedoch hinter den Ankündigungen zurück. Selbst McAfee ist in der Vergangenheit erheblich deutlicher gewesen (12).

Dennoch ist das Botnet-Papier ein wichtiger Baustein im Gesamtbild der Cybercrime, weil es die Entwicklungsgeschichte und Funktionsweisen der Botnetze zusammen fasst. Insoweit hat es nur die Schwäche, dass es zu wenig auf die Größe und Wirkungen der gegenwärtigen Botnetze eingeht.

Die teilweise gruseligen Bilder, die ich bei der Auseinandersetzung mit der Malware, den Botnetzen und dem Cyberwar entwickelt habe, werden von dem Papier jedenfalls in den Punkten bestätigt, auf die es im einzelnen eingeht. Das beruhigt mich wenigstens darin, dass ich nicht ganz falsch gelegen habe mit meinen Einschätzungen.

Mich überrascht immer wieder, wie wenig Resonanz die Veröffentlichungen von McAfee und G Data erleben. Manchmal habe ich den Eindruck, dass ich der einzige bin, der sie wahrnimmt und öffentlich würdigt.

Sie hätten mehr Aufmerksamkeit verdient und würden viele politischen Diskussionen bereichern, weil sie die Cybercrime nicht etwa an der Effektivität von Websperren gegen Kinderpornographie messen, sondern als eine zunehmend strukturierte und organisierte Schattenwirtschaft, deren Konturen immer deutlicher werden, aber längst nicht durchdrungen sind.

Bemerkenswert ist auch, dass sich über diese Strukturen vor allem Journalisten und Sicherheitsunternehmen äußern. Insoweit stellt selbst das Positionspapier zur Computerkriminalität eine lobenswerte Ausnahme dar, das der Bund Deutscher Kriminalbeamter im Juli 2010 vorgestellt hat, ohne damit die wirkliche Brisanz der Cybercrime auszuloten (13).
 

zurück zum Verweis Anmerkungen
 


(1) Zheng Bu, Pedro Bueno, Rahul Kashyap, Adam Wosotowsky, Das neue Zeitalter der Botnets, McAfee Labs 19.08.2010

(2)   (1), S. 3.

(3)  Gordon Bolduan, Digitaler Untergrund, Technology Review 4/2008, S. 26 ff.

(4) Cybercrime: Zusammenarbeit von Spezialisten, 13.07.2008;
Botnetz-Software und -Betreiber, 13.07.2008

(5) modulare Cybercrime, 07.08.2008

(6) modulare Kriminalität, 21.09.2008;
modulare Kriminalität, 05.10.2008.

(7) Paul B. Kurtz, Bericht zum Thema Virtuelle Kriminalität 2009. Virtueller Internetkrieg wird zur Wirklichkeit, McAfee 06.11.2009
 

 
(8) Kommunikationstechnik und Cyberwar, 27.06.2010

(9) am Ende kommt der Cyberwar, 22.08.2010

(10) Arbeitspapier Netzkommunikation, S. 22 bis 27.

(11) Kriegsrecht im Internet, 13.09.2010;
Stuxnet spielt erst noch wie Nachbars Kampfhund, 16.09.2010

(12) siehe Arbeitspapier Cybercrime, S. 121 bis 124.

(13) Internet-Reset, 01.08.2010
 

zurück zum Verweis Cyberfahnder
© Dieter Kochheim, 10.01.2011