27.05.2008: 477 Besucher und 1.650 Seitenaufrufe am 26.05.2008 - und ich weiß nicht warum.

Nach nachlassenden Besucherzahlen im Mai kam ein großer Ansturm am 26.05.2008, wobei jeder Besucher im Durchschnitt 3,5 Seiten aufgerufen hat (311 Kilobytes pro Besucher). Das ist über dem Monatsdurchschnitt mit 3,1 Seiten je Besucher.
 

 
In vier Wochen steht Ihnen der Cyberfahnder wieder zur Verfügung. In der Zwischenzeit vergnügen Sie sich einfach mit neu eingerichteten Führungen:

Führungen
  Cybercrime
  Aufsätze mit technischem Bezug
 

 
27.05.2008: Die zweite Führung durch den Cyberfahnder widmet sich seinen größeren Beiträgen und Aufsätzen, die technische Fragen ansprechen.

Mit ihr verabschiedet sich der Cyberfahnder in eine mehrwöchige Pause.
 

 
Aufsätze mit technischem Bezug
 

 
27.05.2008: Ab wann machen sich Nutzer strafbar, die Computerprogramme zum Aufspüren von Sicherheitslücken verwenden? Dieser Frage widmet sich ein Leitfaden, den der Branchenverband BITKOM für IT-Praktiker und Strafverfolger veröffentlicht hat (1).

Der Leitfaden stellt eine Reihe von Systemkommandos und Analyseprogrammen vor, die im Rahmen der Netzwerkanalyse und IT-Sicherheit zum Einsatz kommen. Damit bestätigt er die praktischen Schwierigkeiten beim Umgang mit dem Gesetzeswortlaut, auf die bereits hingewiesen wurde (2).
 

(1) Leitfaden zum Umgang mit dem Hackerparagrafen, BITKOM 21.05.2008

Praktischer Leitfaden
für die Bewertung von Software im Hinblick auf den § 202c StGB, BITKOM 23.05.2008

(2) Computerprogramme
 

 
27.05.2008: Mehrere Unternehmen entwickeln automatische Bilderkennungssysteme, die verdächtige Aktionen von selber erkennen und die betreffenden Objekte visuell nachverfolgen können. zitiert ausdrücklich die Sprecher der Firmen Panasonic System Solutions und Siemens Building Technologies - SBT (1).

Die dafür entwickelte Software soll dazu in der Lage sein, ungewöhnliche Gegenstände wie abgestellte Koffer, unberechtigte Personen und auffällige Aktivitäten zu erkennen. Mit Hilfe des Autotrackings sollen die Personen auch automatisch von anderen Kameras verfolgt werden können, wenn sie den Aufnahmebereich der ersten verlassen.

Dabei gilt es mehrere Schwierigkeiten zu lösen. Zunächst muss die Automatik erkennen, dass eine ungewöhnliche Situation besteht. Wo plötzlich eine Bewegung in einem für die Öffentlichkeit gesperrten Bereich auftaucht, ist das noch einfach zu bewerkstelligen. Die Programme sollen aber auch erkennen können, ob sich ein Mensch oder ein Tier auf der Aufnahme befindet.
 

 
Noch schwieriger wird es, in einer Menschenmenge nach ungewöhnlichen Aktivitäten zu forschen. Hierzu sind leistungsfähige Auswertungsroutinen zu entwickeln und müssen Lernphasen durchlaufen werden, die den Normalzustand betreffen.

Bei der Verfolgung müssen die Umrisse des beobachteten Objekts und seine Veränderungen bei der Bewegung genau analysiert und fixiert werden. Bei den ersten Versuchen soll die Elektronik bereits von anderen das Blickfeld kreuzenden Personen abgelenkt worden sein.

Big Brothers große Vision dürfte es sein, auch kleine individuelle Verhaltensauffälligkeiten zu erfassen, um die allgegenwärtigen Terroristen und Kriminellen zu erkennen. Bis dahin dürfte noch ein langer Weg zu gehen sein.

(1) Überwachung: Täterverfolgung per Kamera, tecchannel 27.05.2008

KI-Software macht Überwachungskameras intelligent, tecchannel 25.06.2008
 

 
25.05.2008: Der Cyberfahnder verfügt über mehrere Systeme, mit denen die verteilten Informationen zusammen geführt werden. Neben den Seiten für die Hauptthemen (z.B. Cybercrime) sind dafür die Suchmaschine und der Index vorgesehen. An Einzelthemen orientiert verweisen auch die Meldungen ( Providerauskunft) nicht nur auf Quellen im Internet, sondern besonders auch auf andere Stellen dieser Webseite.

Mit den Touren wird ein weiteres Hilfsmittel eingeführt, um die Themenvielfalt des Cyberfahnders in den Griff zu bekommen. Sie führen die die Beiträge und teilweise kurzen Ausführungen in den Meldungen und Aufsätzen systematisch und themenorientiert zusammen.
 

 
Die erste Führung betrifft die Erscheinungsformen der IT-Kriminalität ( Cybercrime), denen der Cyberfahnder nicht nur ein Hauptthema widmet, sondern die auch bei den Ermittlungen und vielfach in den Meldungen angesprochen werden.

Die Themen im Einzelnen werden ganz links angezeigt.

Viel Spaß beim Stöbern.

 
24.05.2008: Am 23.05.2008 hat der Bundesrat das Gesetz zur Verbesserung der Durchsetzung von Rechten des geistigen Eigentums verabschiedet (1), das wegen gewerblicher Schutzrechte einen privaten Auskunftsanspruch gegen Zugangsprovider einführt. Wenn der Bundespräsident das Gesetz zügig unterzeichnet und es noch in diesem Monat im Bundesanzeiger veröffentlicht wird, kann es (frühestens) am 01.07.2008 in Kraft treten.

Die Voraussetzungen für die Auskunftserteilung sind sehr beschränkt und einer richterlichen Entscheidung vorbehalten, die zu allem Überdruss auch noch beim Landgericht angesiedelt wurde.

(1) Bundesrat segnet Gesetz zur besseren Durchsetzung geistigen Eigentums ab, Heise online 23.05.2008
 

 
An solche gesetzgeberischen Hasensprünge muss man sich erst gewöhnen:

	privater Auskunftsanspruch ja, aber nur unter komplizierten und teuren Zugangsvoraussetzungen
	Privatkopie ja, aber nicht, wenn dazu eine Sperre überwunden werden muss
	Verbot des Ausspähens von Daten ja, aber nicht bei WLANs, die Amateurfunkfrequenzen nutzen
	verdeckte Ermittlungen wegen schwerer Kriminalität ja, aber nur unter Richtervorbehalt, strengen Formalien und aufwändigen Berichtspflichten.

Die Rechtspraxis kann man sehr verkomplizieren.
 

 
23.05.2008: "Ach wie gut, dass niemand weiß ..." ist die klassische Umschreibung des Phänomens, dass etwas, das einen Namen hat, beherrschbar und weniger bedrohlich erscheint. Die IT- und Marketing-Vermarkter, -Adepten und -Deppen sind die Allergrößten darin, jeder Kleinigkeit und jedem Unsinn einen eigenen Namen zu geben und ihre Begriffshoheit mit allen Krallen und herablassenden Gesten zu verteidigen. Dabei geht es ihnen nie um Systematik oder Erkenntnis, sondern immer nur darum, dass sie die Wahrheit für sich gepachtet und einem Kiesel am Strand ihren Stempel aufgedrückt haben. Ihnen folgen die Wortlerner, die sich daran erfreuen, im Glanz der Modernität zu strahlen, weil sie naturvölkisch nachplappern und nicht aufklärerisch verstehen. Wischmopp und Feudel gegen ihre Schleimspuren sind dringend zu empfehlen.
 

 
Dank ihnen weiß ich jetzt aber auch, welches Leid mir vor einem Jahr widerfahren ist. Es heißt nicht "Spamming mit missbrauchter Absenderadresse" oder wie bei "Spam-Rückläufer", sondern "Backscatting" oder auch "Collateral Spam". Sie sind die Folge davon, dass die Absenderadresse von Spams gefälscht wird und die unschuldige, aber genannte Adresse alle Abwesenheits- und Fehlermeldungen zugespamt bekommt. Bei mir waren es bis zu 2.000 Unsinnsmeldungen am Tag.

Spam-Rückläufer terrorisieren E-Mail-Anwender, Heise online 23.05.2008
 

 
21.05.2008: Im ersten Quartal 2008 wurden die deutschsprachigen Nachrichten-Portale 1,2 Milliarden Mal und somit ein Drittel häufiger aufgesucht als im Vorjahr, berichtet BITKOM (1), der Branchenverband für die Internetwirtschaft.

Und dann hört die Meldung unvermittelt auf, interessant zu sein. An welcher Stelle stehen dabei instinktorientierte Angebote und wo steht Heise?

Keine Antwort ist eine ganz schlechte Antwort.
 

 
(1) 33 Prozent Plus für Nachrichten-Portale, BITKOM 20.05.2008

19.05.2008: Das Ausspähen der Daten von Zahlungskarten und ihr Missbrauch zu Barauszahlungen an Geldautomaten im Ausland erfolgt in bandenmäßig organisierten und arbeitsteiligen Strukturen. Der Tatplan der zusammen arbeitenden Täter umfasst das Ausspähen, die Fertigung von Dubletten und schließlich ihr missbräuchlicher Einsatz. Es handelt sich dabei um den Gebrauch von gefälschten Zahlungskarten mit Garantiefunktion ( § 152b StGB) und damit um ein Verbrechen, das unabhängig von seinem Tatort verfolgt werden kann ( § 6 Nr. 7 StGB).

Die Organisation beim Skimming muss als gewerbs- und bandenmäßige Struktur betrachtet werden, in der alle Handlungen der Täter in den beteiligten Arbeitsgruppen (mindestens) als Beihilfe zum Gebrauch von gefälschten Zahlungskarten mit Garantiefunktion ( § 152b StGB) strafbar sind.
 

 
Die Strafverfolgung richtet sich deshalb beim arbeitsteiligen Skimming gegen eine Form der besonders schweren und gleichzeitig Organisierten Kriminalität. Es handelt sich dabei um eine Katalogstraftat nach § 100a Abs. 2 Nr. 1 e) StPO, die in aller Regel den Einsatz verdeckter und heimlicher Ermittlungsmethoden rechtfertigt.

Mit der Aktualisierung des beliebtesten Aufsatzes im Cyberfahnder wird das Thema neu aufgenommen und die rechtliche Einschätzung auf den neuesten Stand gebracht.

arbeitsteiliges Skimming

Skimming (ursprünglicher Aufsatz)
 

 
17.05.2008: Der Missbrauch eines nicht zugangsgeschützten, privaten Wireless LAN ( Wardriving) ist ganz überwiegend als nicht strafbar gesehen worden, wobei die Abgrenzungs- und Rechtsfragen äußerst kompliziert sind.

berichtet über ein nicht dokumentiertes Urteil des AG Wuppertal - 70 Js 6906/06 - aus 2007, das eine Strafbarkeit gemäß § 148 TKG und § 44 des Bundesdatenschutzgesetzes - BDSG - annimmt (1).

Der Angeklagte ... nutzte ... "vom Bürgersteig aus" ein offenes Funknetzwerk, von dem ihm bekannt war, dass dessen Besitzer den Zugang nicht verschlüsselt hatte. Er beabsichtigte dabei, die Internetnutzung ohne Zahlung eines Entgeltes und ohne Zustimmung des Betreibers zu erlangen. ... Obwohl dem WLAN-Betreiber durch die Tat kein finanzieller Schaden entstand, da er über eine Flatrate verfügte, erstattete er Strafanzeige. ...

Nach Ansicht des Richters hat der Angeklagte durch diese Handlung gegen das Abhörverbot nach § 89 des Telekommunikationsgesetzes (TKG) verstoßen und sich somit gemäß § 148 TKG strafbar gemacht. Ein WLAN-Router sei eine "elektrische Sende- und Empfangseinrichtung" und damit eine Funkanlage im Sinne des TKG. Der Begriff "Nachrichten" umfasse auch die Zuweisung einer IP-Adresse durch den Router. Diese nicht für ihn bestimmte Nachricht habe der Angeklagte "abgehört", in dem er auf die zugesandte IP-Adresse zugegriffen und diese ausgewertet habe. Denn die IP-Adresse sei gerade nicht für den Angeklagten bestimmt gewesen. Vielmehr werde die Festlegung, wer zur Verwendung der IP-Adresse berechtigt ist, allein vom Eigentümer des WLAN-Routers und nicht dem Gerät selbst getroffen.
  

 
Außerdem habe sich der Angeklagte gemäß § 44 des BDSG strafbar gemacht, in dem er sich unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, verschafft habe. Hierunter fallen nach Ansicht des Gerichts auch IP-Adressen, da diese jederzeit zurückverfolgt und einer bestimmten Person zugeordnet werden können.

Die Schilderung lässt offen, ob die Probleme erkannt und behandelt wurden, dass der Funkschutz den Amateurfunk ausschließt und die WLAN-Frequenzen überwiegend in den Frequenzbändern des Amateurfunks angesiedelt sind.

Das BDSG dürfte jedenfalls dann als allgemeineres Gesetz hinter dem TKG zurück treten, wenn das TKG die Nutzung von Frequenzbändern ausdrücklich zulässt.

Das Thema dürfte damit nicht abschließend behandelt worden sein.

(1) Joerg Heidrich, Gericht erklärt Nutzung eines privaten, offenen WLAN zur Straftat, Heise online 16.05.2008
 

 
17.05.2008: berichtet davon, dass sich eine unter Schockwirkungen leidende Tatzeugin unter Hypnose an wichtige Details am Fluchtfahrzeug der Täter erinnern konnte, die schließlich zu deren Identifikation und Geständnis führten (1). Der Bericht betont, dass die Angaben der Zeugin vor Gericht keine Beweiskraft gehabt hätten.

Das provoziert ein klares "Jein" als Entgegnung.

Die Zeugin dürfte keine Angaben über das machen können, was sie unter Hypnose ausgesagt hat, weil sie sich daran sicherlich nicht erinnern wird. Solche Auskünfte können nur mit dem Sachverständigen eingeführt werden, der die Hypnose durchführte.

Der Sachverständige ist insoweit ein Zeuge vom Hörensagen, der das Kerngeschehen, also den Ablauf der Straftat, nicht aus eigener Erfahrung berichten kann. Wegen seiner Angaben besteht jedoch kein Beweisverwertungsverbot, sie sind nur allein und ohne weitere Beweismittel, die sie unterstützen, bestätigen und abrunden, nicht dazu geeignet, einen Tatnachweis zu führen. Dazu bedarf es keines Geständnisses. Es kann sich ebenso gut um andere Beweisanzeichen (Indizien) handeln, die in einer Gesamtschau schlüssig sind, die Richter überzeugt und keine vernünftigen Zweifel an der Richtigkeit aufkommen lassen (2).
  

 
Erkenntnisse vom Hörensagen sind besonders gut zu Initiativermittlungen geeignet, mit denen die Täter eingekreist und die Ermittlung direkter Beweismittel erst ermöglicht wird. Sie dienen dem Einstieg in eine sinnvolle Beweiserhebung.

(1) Peter Mühlbauer, Fahndung mit Hypnose, Telepolis 16.05.2008

(2) Verdacht

 
17.05.2008: Eine Horde extrem hungriger Ameisen bedroht angeblich Häuser und Güter rund um Houston Texas. Die Insekten mit dem enormen Appetit sind vermutlich mit einem Frachtschiff aus der Karibik in die USA gereist und fallen nun über sämtliche elektronischen Anlagen der Stadt her. Die Tiere haben etwa die Größe von Flöhen und sollen extrem schnell sein. Sie machen es sich offensichtlich gerne in Telefonkästen bequem, verursachen Kurzschlüsse und ruinieren Computer. (1)
 

 
Die Ameisen sollen ursprünglich aus der Karibik stammen. Mit "Horden" hätte ich jedoch im Zusammenhang mit Ameisen nicht gerechnet.

(1) Ameisenhorde zerstört in Texas elektronische Geräte, tecchannel 16.05.2008
 

 
17.05.2008: Die schwedischen Filesharing-Aktivisten Piratbyron bieten eine lustige Beweismaschine an, mit der Sie sich und jeden beliebigen Mitmenschen schweren Verstöße gegen das Urheber- und andere Schutzrechte bezichtigen können (1). Sie wenden sich damit gegen die (leichtfertige) Praxis von Schutzrechtsinhabern und der Justiz, zur Beweisführung Bildschirmkopien von Filesharing-Browsern als Nachweis gegen den angeblichen Downloadanbieter zu behaupten und zu akzeptieren (2).

Die Beweismaschine funktioniert ganz einfach: Sie geben den Namen und die IP-Adresse eines beliebigen oder von Ihnen besonders ausgesuchten Menschen ein und die Maschine meldet Ihnen die Ansicht eines üblichen Filesharing-Browsers zurück, der belegt, dass dieser Mensch geschützte Werke zum Download anbietet. Links ist der Bildschirmbeweis gegen als Verkleinerung abgebildet. Mit ihm könnten Sie nun eine Abmahnung oder eine Strafanzeige versuchen - was ich beim besten Willen nicht anrate!

Um einen gerichtsfesten (forensischen) Beweis handelt es sich dabei nicht. Das Abbild belegt nur die Tatsache, dass sich dieses Abbild auf dem Bildschirm des Betreffenden befunden hat. Es ist keine Urkunde, die aus sich heraus eine gesicherte inhaltliche Aussage verkörpert, sondern ein Gegenstand des Augenscheins, der als eine Beweistatsache im Zusammenhang mit anderen Beweisen zu einer Überzeugung des Gerichts führen kann.

Das kann ein Zeuge sein, der bekundet, dass und wie er das Abbild erstellt hat. Seine Bekundungen sind mit den üblichen Fragen nach seiner persönlichen Glaubwürdigkeit und der inhaltlichen Glaubhaftigkeit zu bewerten.
 

 
Das Beispiel zeigt die Schwierigkeiten bei der Beweisführung mit digitalen Beweisen. Sie sind in aller Regel nicht aus sich selber heraus aussagekräftig, sondern erst durch flankierende Beweise über ihre Herkunft (Beschlagnahme bei einem Verdächtigen), über ihre innere Aussage (Sachverständiger über technische Funktionsabläufe oder Urheberrechte) und ihre Erstellung (wie hier: Screenshot, Protokollierung, Suchläufe).

Einen zwingenden Beweis bieten elektronische Dokumente nur, wenn sie mit anerkannten und überwachten Methoden signiert sind.

Im Ausgangsbeispiel könnte sich ein nicht böswilliger Ermittler den Nachweis des rechtswidrigen Download-Angebots dadurch erleichtern, dass er die von ihm verwendeten technischen Instrumente und jeden seiner Arbeitsschritte dokumentiert. Damit könnte er von vornherein den meisten Manipulationsvorwürfen begegnen. Dann blieben nur noch die Fragen, ob seine Dokumentation inhaltlich richtig ist und die von ihm verwendeten Arbeitsmittel ihrerseits nicht bereits manipuliert waren. Beides wird man am ehesten bei unabhängigen Fachleuten mit nachgewiesener Sachkunde ausschließen können.

(1) Piratbyron, Beweismaschine

(2) Screenshot-Maschine: Tauschbörsen-Aktivisten wehren sich gegen digitale Beweisfotos, tecchannel 15.05.2008
 

 
17.05.2008: Die NATO plant, im Sommer in Tallinn in Estland ein Zentrum zur Abwehr von Cyberangriffen mit (lächerlichen) 30 Mitarbeitern aufzubauen. Laut soll es der Bekämpfung der Internetkriminalität dienen.

Die NATO ist ein militärisches Bündnis, das zur Bekämpfung der Kriminalität nicht berufen ist. Richtiger wird man wohl davon ausgehen müssen, dass die Einrichtung gezielte Angriffe auf staatliche und versorgungswirtschaftliche, also Kritische Infrastrukturen abwehren soll.

Estland ist ein symbolischer Standort, nachdem dort 2007 eine schlecht koordinierte Netz-Prügelei die Finanzsysteme des Landes für mehrere Stunden ausfallen ließ (2). Aus technischer Sicht hätte es angeboten, den Standort in der Nähe der europäischen Internetzonen-Verwaltung (3) oder am frequentierten deutschen Internetknoten einzurichten (4).
  

 
(1) NATO plant Zentrum zur Internet-Kriegsführung, tecchannel 15.05.2008

(2) politisch motivierte Angriffe

(3) RIPE NCC, Amsterdam

(4) De-CIX, Frankfurt am Main, Tiers, Anm. 10b.
 

 
15.05.2008: Das Gesetz zur Verbesserung der Durchsetzung von Rechten des geistigen Eigentums, das ursprünglich zum 01.05.2008 in Kraft treten sollte, soll am 23.05.2008 vom Bundesrat verabschiedet werden. Das sieht die Beschlussempfehlung des Rechtausschusses vor (1).

Der damit eingeführte private Auskunftsanspruch gegen Zugangsprovider wird somit frühestens per 01.07.2008 in Kraft treten (2).
 

 
(1) Empfehlungen der Ausschüsse zu Punkt ... der 844. Sitzung des Bundesrates am 23. Mai 2008, BR 08.05.2008;
Kein Einspruch gegen Gesetz zur besseren Durchsetzung geistigen Eigentums, Heise online 15.05.2008

(2) Artikel 10 des Artikelgesetzes (S. 24).
 

 
15.05.2008: Ein Rootkit ... ist eine Sammlung von Softwarewerkzeugen, die nach dem Einbruch in ein Computersystem auf dem kompromittierten System installiert wird, um zukünftige Logins des Eindringlings zu verbergen und Prozesse und Dateien zu verstecken.

Mit ihm wird zunächst ein Zugangskonto mit Administratorenrechten für den Angreifer eingerichtet, das ihm das mühelose Eindringen in das System ermöglicht. Mit den übrigen Instrumenten werden die Manipulationen und Installationen getarnt, die der Angreifer hinterlassen hat.

berichtet über zwei "innovative" Neuerungen (1). Beide betreffen Angriffspunkte für Malware, die ich unlängst noch als eher spekulativ angesehen habe.

Dies gilt zunächst für den Missbrauch der Speicherfunktionen in Prozessoren. Das Rootkit von Sparks und Shawn nutzt den sogenannten System Management Mode (SMM) von Intel-Prozessoren, um einen Keylogger im Speicher zu verstecken. (Es) dient eigentlich dazu, um Systemereignisse wie Chipsatz- oder Speicherfehler abzufangen und darauf zu reagieren, oder um fehlende oder fehlerhafte Implementierungen von Motherboard-Funktionen nachzurüsten ...
 

 
Der SMM kann vom Betriebssystem nicht unterbunden werden. Der Prozessor unterbricht auf einen System Management Interrupt (SMI) hin die Ausführung des Betriebssystems, speichert den Inhalt der Register und seinen Status und führt Code aus einer vorher nicht eingeblendeten Speicherregion mit den höchsten Privilegien aus. ...

Das andere Rootkit betrifft "intelligente" Netzwerkkomponenten (hier: Router) von Cisco, die mit einem eigenen Betriebssystem ausgestattet sind. Die Malware wird in die Firmware injiziert, mit der die Funktionen eines technischen Gerätes gesteuert werden.

(1) Hacker stellen neue Rootkit-Techniken vor, Heise online 15.05.2008
 

 
14.05.2008: Über einen feinsinnig geplanten Angriff auf die Schweizer Bundesverwaltung von Ende 2007 berichtet (1), was sehr gut zu der nächsten Meldung passt. Diese Behörde verfügt über 35.000 Mitarbeiter. 500 von ihnen bekamen mit zutreffenden E-Mail-Adressen Nachrichten, die auf einen Fotowettbewerb hinwiesen. Die Empfänger wurden aufgefordert, eine Webseite im Internet aufzurufen, die den Webseiten des Bundesstellen-Servers vollständig ähnlich war, und dort gezeigte Fotos zu beurteilen, die durchweg im Zusammenhang mit dem Bundesamt standen.

Mit den Fotos luden sich die ausgewählten Mitarbeiter einen Trojaner herunter ( Drive-by-Download), der in einem Bildschirmschoner versteckt war. Dieser Trojaner war nach der Methode der Pioniertruppen konstruiert und installierte zunächst nur sein Grundmodul. Seine weiteren Komponenten wurden aus dem Internet nachgeladen und aktualisiert.

Die Konstruktionsmerkmale des Trojaners waren absolut neu und den gängigen Virenscannern unbekannt. Sie wurden deshalb auch nicht erkannt. Gleichzeitig versteckte sich die Malware überwiegend in laufenden Prozessen, was darauf schließen lässt, dass sie zunächst einen Pufferüberlauf im Arbeitsspeicher verursachte. Für die Datenkommunikation nutzte die Malware unverdächtige, also übliche und von Firewalls grundsätzlich nicht blockierte Übertragungswege.
  

In verschiedenen Zusammenhängen habe ich schon gesagt, dass es nicht immer erfreulich ist, Recht zu behalten. Die referierte Meldung las ich erst, nachdem ich den Aufsatz über die Methoden der Malware geschrieben hatte.

Über das Ziel und die Hinterleute des Angriffs schweigen sich die Quellen aus. Die Schweizer Behörde hat offenbar schnell reagiert und den Angriff abgewehrt.

Versuchen wir deshalb, die Angriffsschritte mit Allgemeinwissen nachzuvollziehen.

(1) Gewiefter Angriff auf Schweizer Bundescomputer, Heise online 10.05.2008;
Einzelheiten im Halbjahresbericht 2/2007, Bundesamt für Polizei (Schweiz) 08.05.2008

 
Mit 500 Adressen verfügten die Angreifer über 0,7 % der aktiven E-Mail-Adressen in der Behörde. Das sind viele, jedoch nicht so viele, dass man einen vorausgegangenen Hackerangriff annehmen könnte, bei dem sie ausgespäht worden wären. Auch die Indiskretion eines Mitarbeiters ist deshalb eher unwahrscheinlich.

Um an solche "lebenden" E-Mail-Adressen in einem Unternehmen zu gelangen, sind mehrere Methoden möglich.

Man kann direkt einen Directory Harvest-Angriff durchführen, bei dem Namen- und Vornamenlisten mit der DNS des angegriffenen Ziels kombiniert und danach ausgewertet werden, welche Namenskombinationen ohne Beanstandung durchgehen. Das kann aber nur eine vorbereitende Handlung sein, weil es sich um einen brachialen und auffallenden  Angriff handelt. Wenn diese Methode zum Einsatz kam, dann muss sie lange vorher durchgeführt worden sein.
 

 
Mit Spidern (Webcrowler) lassen sich Internetseiten auf Kontodaten untersuchen, die mit dem Zielsystem in Verbindung stehen. Man sucht dabei einfach nach <beliebige Zeichen>.<beliebige Zeichen>@<SLD>.<TLD>. Damit bekommt man alle E-Mail-Adressen, die von der angegriffenen Organisation selber veröffentlicht werden (Pressesprecher, besondere Funktionsträger) oder von ihren Mitarbeitern in Foren und anderen Kommunikationsplattformen veröffentlicht wurden. Anstelle von Spidern lassen sich dazu auch ganz einfach Suchmaschinen verwenden.

Mit einem gedruckten Geschäftsverteilungsplan oder einem Organigramm mit Namensangaben kann man die wahrscheinlichen Kontobezeichnungen für E-Mails recht einfach nachvollziehen: <Vorname>.<Name>@<SLD>.<TLD>.

Die letzte der nahe liegenden Möglichkeiten ist die, dass die Adressen von einem spezialisierten Händler gekauft wurden.
 

 
Die infizierte Webseite war in einem afrikanischen Land gehostet.

Gut getarnte Hostserver erwartet man eher in Russland ( RBN). Dauerhafte Webseiten für zweifelhafte Dienste werden meistens in den USA angeboten. Dort befanden sich zunächst auch die meisten zum Spamming missbrauchten Server. Inzwischen haben sich die Standorte der für das Spamming und Pharming gehackten und missbrauchten Server eher nach Brasilien, Südostasien und gelegentlich nach Spanien verlagert. Für das Spamming für kriminelle Aktionen werden jetzt bevorzugt Botnetze verwendet. Afrika war bislang eine Internet-Kriminalitätsfreie Zone, schlicht und einfach deshalb, weil der Kontinent über keine oder nur sehr wenig Internettechnik verfügte. Über eine leistungsfähige Internetanbindung über Seekabel verfügt bislang nur der Westen des Kontinents. Dafür gibt es eine lange kriminelle Tradition in Nigeria und eine aufstrebende Internetkultur in Südafrika. Dort würde ich am ehesten den missbrauchten Hostserver vermuten.
 

 
Die professionelle Gestaltung der Lockvogel-Webseite erinnert an die handwerklichen Künste, die im Zusammenhang mit dem Phishing und dem dazu vermehrt genutzten Pharming zum Einsatz kommen.

Die Nachahmung von Bank-Webseiten oder anderen gewerblichen Webpräsentationen ist jedoch keine ganz große Kunst, sondern mehr Fummelarbeit wegen der Tabellenstruktur für das Layout. Die grafischen Gestaltungselemente kann man sogar unmittelbar aus dem Originalauftritt aufrufen. Wichtiger ist es, dass die richtige Sprache getroffen wird und die Grammatik stimmt. Wegen der technischen Umsetzung werden die Täter vertraut mit den westeuropäischen Zeichensätzen und den hier üblichen Systemumgebungen gewesen sein müssen.

Deshalb überrascht es mich mehr, dass die zur Bewertung präsentierten Fotos gut ausgewählt waren und zu den Aufgaben und dem Auftreten der Behörde passten. Da steckt Aufwand drin und handwerkliches Können in Bezug auf das Social Engineering.
 

 
Das Huckepack-Verfahren beim Drive-by-Download ist absolut auf der Höhe der Zeit. Es lässt sich ganz einfach mit unscheinbarem Java-Script realisieren, der zwei Downloads aktiviert, den für die gewollte Datei - hier: Grafik - und für die Malwaredatei.

Das hohe handwerkliche Wissen zeigt sich auch darin, dass die Angreifer die Übertragung sehr feinsinnig angestellt haben. Sie haben offenbar sehr genau die Übertragungskanäle ausgenutzt, die die Firewall der Schweizer Bundesverwaltung als unverdächtig und üblich erschien. Außerdem haben sie für den ersten Schritt des Angriffs nur das Grundmodul in das System eingeschleust, das sich nach seiner Infiltration und Installation um weitere Komponenten erweiterte ( modularer Aufbau).
 

 
Die Nutzung eines Bildschirmschoners ist einer der ältesten Tricks und ich hatte ihn ausgestorben geglaubt. Bildschirmschoner werden eigentlich nicht mehr benötigt, weil die Energiesparfunktionen moderner Betriebssysteme erheblich effektiver sind und bei Flachbildschirmen das Einbrennen eines permanenten Standbildes nicht mehr zu befürchten ist. Bildschirmschoner haben deshalb nur noch eine Spaßfunktion.

Sie sind jedoch sehr gut als Träger für Malware geeignet, weil sie einen aktiven Prozess zur Verfügung stellen, der für schädliche Prozesse gut verwendet werden kann. Manchmal sind die ältesten Tricks die besten.

Beachtlich sind hingegen die Konstruktionsmerkmale der Malware, die für aktuelle Virenscanner unerkennbar blieb. Da waren Profis am Werk, die sich sowohl hervorragend in der Programmierung von Software auskannten als auch in den Methoden aktueller Virenscanner.
 

 
Der betriebene Aufwand und der Einsatz von Fachwissen spricht dafür, dass hier Angreifer tätig waren, die ein sehr konkretes Ziel verfolgten und das sich deshalb auch wirtschaftlich oder aus anderen Gründen lohnt.

Dieser Aufwand spricht gegen Gelegenheits-Kriminelle, die in nächtlicher Feinarbeit Würmer programmieren oder wie die Nigeria-Konnektoren wortreiche Betrügereien begehen.

Hier war eine arbeitsteilige Organisation tätig, die nur dann aufgebaut wird, wenn sich ihre Tätigkeit lohnt oder Gewinn verspricht. Das dürfte am ehesten mit (Industrie-) Spionage zu erwarten sein.
 

 
Das Beispiel zeigt eine erschreckende Kombination moderner Schnüffeltechniker. Faszinierend, wenn man sich auf die Betrachtung der handwerklichen Ausführung beschränkt, und gruselnd, wenn man sich die Kaltblütigkeit und brutale Konsequenz vor Augen führt.

Mit welchem Ziel auch immer: Hier waren Vollblut-Kriminelle am Werk.
 

 
12.05.2008: Die Methoden für das Ausspähen von Daten und die Infiltration mit schädlicher Software - zusammen gefasst: Malware - betreffen alle Verarbeitungsprozesse, die von einem PC ausgeführt werden. Immer geht es darum, mit automatischen Prozessen in die Prozessverarbeitung des PCs zu gelangen, um den "Rechner" für fremde Zwecke zu missbrauchen. Darin unterscheidet sie sich von dem Hacking, bei dem der Angriff unmittelbar von einem Menschen gesteuert wird.

Der Beitrag führt in die Methoden zur Infiltration und Installation von Malware und gibt einen Überblick über die Gefahrenquellen sowie über ihre Abwehr.
 

 
zum Aufsatz

rechtliche Einordnung

Hacker finden einen neuen Platz, um rootkits zu verbergen, tecchannel 10.05.2008

Kritische Schwachstelle im Flash Player wird aktiv ausgenutzt, Heise online 28.05.2008

 
09.05.2008: Es gibt nicht nur geklaute Daten zum Schnäppchenpreis, sondern auch qualitätskontrollierte, aber etwas teurere (1). Die Verkäufer versprechen sogar eine Garantie für den Fall, dass das gehackte Konto gesperrt wird. Es wird dann ein vergleichbares geliefert.

Die Preise fangen bei 500 Euro für ein spanisches Konto mit einem Guthaben von knapp 8000 Euro an und reichen bis zu 2200 Euro für ein französisches Konto, auf dem rund 31.000 Euro liegen. Zudem bieten die Datendiebe auch Kreditkarteninformationen mitsamt vollem Namen, der in den USA so wichtigen Sozialversicherungsnummer und Postanschrift sowie Telefonnummer an. Die kann man im Zehnerpack für ein Land und Kreditinstitut nach Wahl ab 450 Euro erstehen.
 

 
Der Antivirenhersteller Panda hat hingegen echte Dumppingpreise im Internet-Untergrund entdeckt. Phishing-Kits, mit denen kriminelle Individuen (fast) perfekte Phishing-Seiten für diverse Banken und soziale Netzwerke erstellen können, um an Zugangsdaten von Anwendern zu gelangen, gibt es inzwischen sogar für lau. Diese Phishing-Seiten müssen die Phisher quasi nur noch per Spam bewerben. Vielleicht setzen die Phishing-Kit-Bastler darauf, dass die "Selber-Phisher" Botnetz-Kapazitäten zum Spam-Versand bei ihnen anmieten.

Hier fehlen nur noch die Hotline und das Callcenter in Indien. Aber die kommen auch noch.

(1) Internet-Kriminalität: Florierender Handel von teuer bis billig, Heise online 09.05.2008
 

 
09.05.2008: Keine halben Sachen! Der Srizbi-Trojaner pflanzt sich gleich in den Betriebssystemkern (Kernel) des angegriffenen Systems ein und installiert dort seine Botnetzfunktionen. Das von ihm geschaffene Botnetz soll täglich bis zu 60 Milliarden Spam-Mails versenden können (1). Seine Kapazität ist damit größer als die aller anderen Botnetze zusammen.

Dank seiner öffentlichen Aufmerksamkeit sei das Stormworm-Botnetz ziemlich zusammen geschrumpft, weil sich alle Sicherheitsunternehmen auf ihn gestürzt hätten. Wie war das mit den nachwachsenden Schlangenköpfen der Hydra?
 

 
(1) Trauriger Rekord: Srizbi flutet das Internet mit 60 Milliarden Spam-Mails täglich, tecchannel 09.05.2008
 

 
08.05.2008: Windows mit seinen verschiedenen Varianten ist nicht nur das verbreitetste Betriebssystem, sondern auch das beliebteste für Hackerangriffe. Linux holt jetzt auf und MAC (Apple) zeigt auch immer häufiger Schwachstellen.

Die wichtigsten Gefahrenpunkte beschreibt jetzt Marco Preuß in (1).

Die IT-Sicherheit, Schwachstellen, Angriffe hat der Cyberfahnder beschrieben. Einen Aspekt vertieft Preuß, der dabei nicht erörtert wurde: Firewalls, Proxyserver und Mailserver werden in professionellen Umgebungen in aller Regel unter Linux betrieben. Ihre Komponenten müssen zunächst kompromittiert werden, um an die Windows-Systeme im geschützten Bereich dahinter zu gelangen. Erfolgreiche Hacker müssen deshalb eine Doppelstrategie fahren, um zunächst die Linux-Türsteher auszuschalten oder umzudrehen, um dann die Server und Arbeitsplatzrechner unter Windows ausforschen zu können.
 

(1) Marco Preuß, Linux im Visier der Hacker, tecchannel 08.05.2008

Tausende deutsche Server laden zum Einbruch ein, Heise online 27.05.2008

08.05.2008: Am 14.04.2008 wurde die 12 Millionste .de-Domain (Second Level Domain unter dem Länderkürzel) registriert (1). Die Top Level Domain bleibt damit die beliebteste Länderdomain, auch wenn .net weiter aufholt und .de bald von Platz 2 verdrängt haben wird. .com und .net sind jedoch generische, beschreibende Domänen, die sich an ein weltweites Publikum richten. Unter den nationalen Domänen bleibt .de führend - wenn nicht alsbald die "Gelbe Gefahr" droht (Chinas .cn hat jetzt auch schon 11.095.572 registrierte Namen [2]).

Auf 100.000 Einwohner kommen damit statistisch betrachtet bereits 14.500 .de-Domains, ein herausragender Wert. Dabei verlief der Anstieg der Registrierungszahlen alles andere als gleichmäßig: 1994 gab es gerade einmal etwa tausend .de-Domains. Im April 1999 waren es 500.000 .de-Domains, bis sich in den kommenden zwei Jahren die Domain-Zahl im halbjährlichen Rhythmus verdoppelte.
 

 

	Bestand	plus/minus
.com	76.336.109	+ 1.515.598
.de	12.025.670	+ 79.504
.net	11.371.593	+ 191.381
.org	6.765.218	+ 107.463
.info	5.040.780	+ 62.271
.eu	2.702.729	+ 128.993
.biz	1.968.328	+ 17.456
.us	1.412.164	+ 6.579
.at	752.156	+ 8.431

(1) Domain-Newsletter 412, domain-recht.de 08.05.2008

(2) Domainzahlenvergleich international, denic.de
 

 
07.05.2008: Die Bundesnetzagentur - BNA - hat die statistischen Zahlen wegen der Überwachung der Telekommunikation für 2007 veröffentlicht (1). Danach wurden von den Gerichten im letzten Jahr 38.386 Anordnungen zur Überwachung der Telekommunikation sowie 7.603 Verlängerungsanordnungen erlassen. Die Anordnungen betrafen 39.200 Rufnummern von Mobiltelefonanschlüssen und 5.078 Rufnummern von Festnetzanschlüssen (analog und ISDN).

Zwischen 2006 und 2007 sind danach die Überwachungen der Mobiltelefonie um rund 10 % von 35.816 auf 39.200 gestiegen. Die das Festnetz betreffenden Anordnungen sind leicht zurück gegangen. Der Anstieg bei der Handy-Überwachung überrascht mich, weil er so gering ist. Gezählt werden nämlich nicht die Verfahren, in denen die TKÜ angeordnet wird, und nicht die Vertragsinhaber, sondern die die Anschlussnummern und das können zehn und mehr je Endgerät sein. Auf manchen Anschlussnummern erfolgt häufig gar keine Telekommunikation und manchmal, wenn es darauf ankommt, nur in dem entscheidenden Moment (wenn dafür nicht gerade Prepaid-Karten verwendet werden).
 

 
Wie bei jeder Statistik sind auch diese Zahlen offen für Interpretationen. Was die Zahlen der BNA jedenfalls nicht aussagen ist die Zahl der tiefen Grundrechtseingriffe, die nach Personen zu rechnen wären. Die scheinen Dank immer strengerer formeller Voraussetzungen nach meinem Eindruck zurück gegangen zu sein.

(1) Pressemitteilung vom 07.05.2008
Grafik (BNA)

 
06.05.2008: Über die erste - jedenfalls mir bekannt gewordene - Strafverfolgung im Zusammenhang mit dem Verbreiten von Hackertools nach Maßgabe des seit August 2007 geltenden § 202c StGB meldet , wobei das, was da eigentlich als strafbar verfolgt wird, noch sehr nebulös und wenig nachvollziehbar ist (1). Die Aktion der StA Augsburg richtet sich gegen ein Forum, auf dem "eine Fülle von illegalen Daten angeboten" worden sein sollen. Neben den als Beispiele genannten Kreditkarteninformationen dürfte es sich dabei hauptsächlich um seit letztem August verbotene "Hacker-Tools" handeln, welche beispielsweise auch im legalen Password-Recovery-Einsatz weite Verbreitung fanden und bis dahin regelmäßig Heft-CDs und DVDs von Computerzeitschriften beilagen.

Gegenwärtig werde gegen 11 Beschuldigte ermittelt.
 

 
Über die neuen Vorschriften berichtet der Cyberfahnder unter Vorbereitung: Ausspähen, Abfangen und Sabotage. Den Unrechtsgehalt dieser Handlungen hat der Gesetzgeber der leichten Kriminalität zugeordnet ( strafbare Vorbereitungen).

Einzelne solcher Aktionen werden am Grundproblem nichts ändern: Richtig profitable Internetkriminalität wird dort begangen, wo sie kaum einer Strafverfolgung ausgesetzt ist ( Russian Business Network). "hacksectors" wird es künftig nur noch im Ausland geben, wo die deutsche Strafverfolgung keinen Einfluss ausüben kann.

(1) hacksector.cc als Musterfall für § 202 c? Heise online 06.05.2008

 
05.05.2008: Jonathan Zittrain wendet sich laut gegen Apple (iPhone), Microsoft, Sony (Spielkonsolen) und andere Hersteller mit unternehmenseigenen Standards und Technologien. Sie seien abgeschottete Plattformen, die das Internet nur noch als Transportmedium nutzen (2) und auf Dauer eine allgemeine Verbreitung verhindern. Er erinnert an die Stärke offener Standards, die das Internet erst zu dem allgemein genutzten Medium gemacht hätten, das es heute ist.

Recht hat der Mann mit seiner Ist-Analyse. Microsoft ist das bekannteste Beispiel dafür, unternehmenseigene Standards zu entwickeln, zum Beispiel für das Bekannte Textverarbeitungsprogramm Word, oder bestehende Standards ein wenig zu verbiegen, um zum Beispiel seinen Webbrowser etwas attraktiver zu machen als die der kommerziellen Konkurrenten oder von Open Source-Produkten.

Aber auch Microsoft hält sich immer häufiger an allgemeinen Standards und beugt sich ein wenig der Open Source-Konkurrenz, zum Beispiel wegen des XML-Standards, der in das Open Document Format - ODF - eingeflossen ist.

Ich glaube deshalb, dass Zittrains Soll-Perspektive falsch ist. Die offenen Standards haben sich so breit gemacht und als so leistungsfähig erwiesen, dass sie langfristig als die Sieger aller Konkurrenzkämpfe erwiesen haben.

Das gilt zum Beispiel für die Schriftzeichen des ASCII-Codes und das Betriebssystem Unix, das vor 50 Jahren vor Allem von der Uni Berkeley und der Telefongesellschaft AT&T entwickelt wurde. Seine Kommandosprache ist so klar und gradlinig, dass seine Spuren in allen heutigen Betriebssystemen wieder zu finden sind. Dasselbe gilt für die Programmiersprache C, die ebenso alt ist und vielfach weiter entwickelt und ergänzt wurde.
 

 
Die Hypertext Markup Language - HTML - ist die Basis aller Webseiten. Trotz Content Management Systeme - CMS - und die auf C beruhende Dynamisierung durch PHP: Der Kern aller Webpräsentationen ist HTML.

Es gibt auch Gegenbeispiele. Ein proprietäres Grafikformat war GIF von der Firma Compuserve, aber deren Schutzrechte sind inzwischen ausgelaufen. Adobe beherrscht noch immer den Markt für plattformunabhängige Druckvorlagen mit dem Portable Document Format - PDF. Seine grafische Abbildsteuerung ist unerreicht und seine innere Formatierung schmutzig bis zum Geht-nicht-mehr.

Ebenso schmutzig sind die Laufzeitumgebungen von Java (for Applications). Jedes Betriebssystem braucht dafür eine eigene, systemressourcenfressende Übersetzungsschicht.

Entgegen Zittrain glaube ich, dass sich langfristig nur solche Standards durchsetzen werden, die klar, durchdacht und offen sind. Ein Beispiel dafür ist das Grafikformat TIFF. Es definiert jeden einzelnen Bildpunkt einer Grafik wegen seiner Farbe ohne jede Kompression und ist deshalb das speicherintensivste Format seiner Sparte. Genau das ist seine Stärke. Um es zu lesen müssen keine Rechenoperationen ausgeführt, keine Kompressionen ausgeglichen und keine Verschlüsselungen berechnet werden. Es muss nur 1-zu-1 abgebildet werden und ist damit fast so effektiv wie in Stein gehauene Schriftzeichen.

Die Proprietisten haben keine lange Zukunft. Irgendwann laufen ihre Schutzrechte aus und dann verschwinden sie vom Markt oder ihr Produkt war so gut, dass seine Grundlagen in einen allgemeinen Standard aufgegangen ist.

(1) Ben Schwan, Horrorvisionen für das Netz, Technology Review 05.05.2008
 

 
04.05.2008: David Bizeul ist in die Hölle des Bösen vorgedrungen und hat über vier Monate hinweg das Russian Business Network - RBN - erkundet. Auf 406 Servern mit rund 2.090 Internet-Adressen fand er so ziemlich alles, was es im Internet nicht geben dürfte: Kinderpornos, Software zum Datendiebstahl, Anwerbeseiten für angebliche Finanzagenten, Drop Zones. (1)

Es geht ihm um Verbrechens-Provider (Rogue Provider), die die kriminellen Aktivitäten ihrer Kunden tarnen, unterstützen und abdecken, indem sie ihnen Netztechnik, Speicher und IP-Adressen zur Verfügung stellen.

Rogue Provider stellen die Infrastruktur für die mittlerweile hoch professionelle kriminelle Szene im Internet. Dabei nutzen sie die Tatsache aus, dass das Internet zunehmend aus einer Ansammlung von so genannten autonomen Systemen ... besteht, die untereinander Verträge (über) den Datenverkehr aushandeln. Der bekannteste dieser Schurken-Provider ist das so genannte Russian Business Network RBN. Die Organisation dahinter knüpfte ein nahezu undurchschaubares Geflecht aus Teilnetzen und Schein-Providern, das es beinahe unmöglich machte, sie abzuschalten.

Der Bericht bei ist gut, lässt aber einige Fragen offen, die mit eigenen Überlegungen gefüllt werden müssen.

RBN hat sich offenbar als Zugangsprovider und als Registrar akkreditiert. Als Zugangsprovider schließt das Unternehmen Peering-Verträge mit ausländischen und internationalen Tiers ab. Das sichert ihm die Erreichbarkeit vom Ausland her. Im Gegenzug muss es Webdienste oder Endgeräte anbieten, die vom Ausland her im großen Umfang nachgefragt werden. Nur so kann das Unternehmen Gleichbehandlungsverträge ohne Kostenausgleich oder zu günstigen Konditionen abschließen.
 

 
Als Registrar kann RNB an seine Kunden DNS-Adressen vergeben. Soweit es gleichzeitig die Anforderungen an die Richtigkeit der Eintragungsdaten niedrig hängt, können die Kunden ihre Identität dabei sehr einfach verbergen. In jüngster Zeit ist mir die Domainverwaltung in Lettland besonders aufgefallen, die bei der Registrierung leere Felder und Quatsch-Angaben zulässt, aber nach einer aktiven inländischen Mobilnetz-Telefonnummer verlangt.

Besonders wichtig sind daneben E-Mail-Mailboxen, Hostspeicher und aktive Server. E-Mail-Adressen und Hostspeicher, selbst für dynamische Websites mit E-Commerce-Anwendungen, gibt es offenbar bevorzugt in den USA. Server für alle Gelegenheiten befinden sich meisten in den prosperierenden Metropolen des fernen Ostens oder in Brasilien, also in Ländern, in denen die Nutzung des Internets explodiert und gleichzeitig die Sicherheitskultur keine gefestigte Geschichte hat. Deren Systeme lassen sich sehr leicht kompromittieren.

Hinzu muss kommen, dass die obrigkeitliche Umgebung noch sehr jungfräulich mit den Möglichkeiten der Internettechnik umgeht. Das gilt für alle jungen Demokratien, die sich noch längst nicht gefestigt haben (zum Beispiel Russland und die anderen Staaten des früheren Ostblocks - aber auch andere).

(1) Innovation im Untergrund, Heise online 20.03.2008

drop zones: Sichere Speicherorte für kriminell erlangte oder kriminell genutzte Daten
 

 
Bizeuls Bericht (2) schließt mit folgender Erklärung (3):

 RBN hat es geschafft, die ganze Komplexität des Internets zu meistern: Diese Leute registrieren Reihen von IP-Adressen bei (der europäischen Registerstelle) RIPE, schaffen ein Nebelnetz, um das Verständnis für ihre Tätigkeiten zu verschleiern, treffen Abmachungen mit legitimem ISP und ahmen alle deren öffentlichen Information über sich nach.

 Diese Typen verwenden ihre Beziehung, um Hilfe bei ihren Problemen zu bekommen: Sie verbinden sich mit einem IXP/ISP und verhindern dadurch, dass Behörden sie zum Aufhören zwingen.

 Diese schändliche Organisation ist sehr praktisch (günstig) geworden, um Cyberverbrechen zu hosten, und sie kann noch lange weitermachen. Diese Unterstützung ist einer der Eingänge zur Internethölle.

 Mögen Sie es, dass Ihre Anwender, Mitarbeiter und Kunden zum Teufel gehen? Nicht? Warum schließen Sie dann die Höllentür nicht?

 Internet Service Provider wollen sich nicht in die Angelegenheiten ihrer Benutzer einmischen, aber wenn sie das nicht tun, sind diese Benutzer gefährdet. ISP verdrängen das Problem immer mehr in die Zukunft und deshalb müssen Regulierer und Länder Regeln schaffen, damit die ISP gefährliche Zonen wie RBN filtern.

 Die Welt würde besser leben ohne RBN im Internet.
 

 
 Update: Die ISP im Vereinigten Königreich haben einen großen ersten Schritt vorwärts gemacht, um RBN-Adressen abzuwehren. Diese Initiative sollte die Zusammenarbeit zwischen ISP und Sicherheitseinrichtungen fördern.

 Sicher wird RBN auch künftig versuchen, seine Kunden so gut wie möglich vor neugierigen Leuten zu tarnen.

 Grundsätzlich sollten aber Internetteilnehmer kleine Einschränkungen akzeptieren und Regulierer sollten die Teilnehmer bestrafen, wenn sie Regeln brechen. Das muss für die Zuteilung von IP-Adressen, die Registrierung der WHOIS-Daten, die Gleichbehandlungsverträge (Peering) und dem Zugang zum Internet gelten.

 Die Strafverfolgung sollte auch ihr Verständnis für die Cybercrime verbessern, um legitime Teilnehmer zu schützen und neue Gangster zu verfolgen.

(2) David Bizeul, Russian Business Network study, bizeul.org 19.01.2008

(3) freie Übersetzung
 

 
Über Bizeuls Erkundungen berichtet anschaulich, wobei es vorrangig um DDoS-Angriffe gegangen sein dürfte:

An der Spitze des RBN steht nach Bizeuls Recherchen (2) ein Mann mit dem Decknamen "Flyman" ... Als weitere wichtige Figur hat Bizeul einen Mann ausgemacht, der ... auch direkt an "einigen Aktivitäten" beteiligt war. Dazu gehörte etwa eine groß angelegte Phishing-Attacke auf Kunden unter anderem von Deutscher und Dresdner Bank, die dem RBN 150 bis 200 Millionen Dollar eingebracht haben soll.

Das sonstige Geschäftsmodell des RBN war simpel: Je mehr eine Domain in den Fokus der Öffentlichkeit geriet, je mehr Beschwerden an die E-Mail-Adresse für Missbrauch geschickt wurden, desto mehr Geld verlangten die Russen von ihren Kunden. Durch die Arbeit von Bizeul und des amerikanischen Journalisten Brian Krebs wurde zuletzt jedoch der Druck zu groß – im November 2007 verschwanden plötzliche mehrere der RBN-Domains samt den dazugehörigen Internet-Adressbereichen. Kurze Zeit später allerdings gab es Hinweise darauf, dass die Aktivitäten in chinesische und taiwanische Netze verlegt worden waren.
 

 
Doch die Bedeutung der Rogue Provider nimmt ohnehin ab, weil sie zunehmend von neuartigen Botnetzen ersetzt werden. Deren prominentester Vertreter ist das sogenannte Storm Botnet ... Mit seiner geschätzten Größe von bis zu mehreren Millionen Rechnern hat das Botnetz die Neugierde von Computerwissenschaftlern geweckt ...

Besonders beeindruckend seien die so genannten Fast-Flux Service Networks. Dabei sind etwa einer manipulierten Webseite Tausende über den ganzen Globus verteilte IP-Adressen von gekaperten Rechnern zugeordnet, die aber jeweils nur für wenige Sekunden aktiv sind. Über diese schnell wechselnden Zwischenstationen gelangen Anfragen dann an den eigentlichen Server. Mit zwei Stufen nach diesem Prinzip kann man ein Double-Flux-Netz schaffen, das die Lokalisierung des Servers noch schwieriger macht.
 

 
03.05.2008: Eine revolutionäre und neuartige Idee treibt die US-Army um. Sie will ihre Soldaten mit fliegenden Minirobotern ausstatten, die in Schwärmen spähen, aushorchen und erkunden sollen. Und seien wir ehrlich: Irgendwann sollen sie auch töten können (1).

Florian Rötzer: Das U.S. Army Research Laboratory hat einem Konsortium aus Wissenschaftler von Universitäten und Unternehmen unter der Leitung des Rüstungskonzerns BAE Systems beauftragt, für 38 Millionen US-Dollar Mini-Roboter mit intelligenten Gruppenverhaltensweisen zur Aufklärung zu entwickeln. Die Micro Autonomous Systems and Technology-Allianz (MAST) soll autonome, vielseitig einsetzbare Roboter entwickeln, die man für Orte verwenden kann, die für Menschen zu gefährlich oder unzugänglich sind. Gedacht wird dabei an Einsätze in Städten oder in "komplexen" Gebieten wie Bergen oder Höhlen.
 

 
Revolutionär und neuartig?

Diese Idee hatte schon Stanislaw Lem spannend umgesetzt in seinem Roman Der Unbesiegbare von 1964 (2).

(1) Florian Rötzer, US Army sucht autonome Insektenroboter, Telepolis 03.05.2008

(2) Stanislaw Lem
Der Unbesiegbare
Bestellung bei
 

 
03.05.2008: Mit dem Problem der Unvereinbarkeit zwischen den Standards in verschiedenen virtuellen Welten ( Inkompatibilität im Web 2.0) plagt sich auch die US-amerikanische Firma DAZ 3D, die Avatare anbietet, die sich mit ihrem Aussehen und ihren Eigenschaften in verschiedenen virtuellen Welten bewegen können sollen (1).

Dazu bietet das Unternehmen zunächst Modelle an, die man für verhältnismäßig wenig Geld (bis zu 15 $) kaufen kann. Neben aufreizenden Damen sind auch männliche, tierische und andere Objekte verfügbar.

Bemerkenswert fand ich die Qualität der grafischen Darstellung. "Emma" ist eine mehr sinnliche Verkörperung einer Dame. Links ist ihre rechte Wange abgebildet um zu zeigen, wie Lichtspiele, aber vor Allem auch kleine Hautunregelmäßigkeiten dargestellt werden, ohne die Schönheit des Abbilds zu beeinträchtigen.

Ob man solche Kaufangebote braucht, ist eine andere Frage. Bejaht man sie, dann macht das ergänzende Angebot in der Tat Sinn:
 

 
Mit "MogBox" hat das Unternehmen nun ein Programm vorgestellt, mit dem Nutzer einen hochauflösenden 3D-Charakter schaffen können, der sich dann als Avatar in verschiedenen virtuellen Welten verwenden lässt. MogBox ist so gestaltet, dass die 3D-Visualisierung ihren Charakter von Welt zu Welt behält, auch wenn sich die grafischen Möglichkeiten jeweils unterscheiden. Der Avatar wird dazu angepasst, etwa, indem die hochauflösende Version nötigenfalls mit einer einfacheren Textur auf der Oberfläche oder mit weniger Polygon-Bausteinen dargestellt wird.

Diese Methode ist die zweite Wahl. Sie schafft keine Kompatibilität, das können nur Standards, sondern bietet einen Konverter zur Schaffung von Übergangs- und Notlösungen.

(1) Erica Naone, Ein Avatar für viele 3D-Welten, Technology Review 01.05.2008

03.05.2008: Die „Global Incident Map“ zeigt die Krisenherde auf der ganzen Welt. Polizei-Newsletter  vom 01.05.2008: Dort ist aufgeführt, wo es aktuell weltweit kritische oder gefährliche Aktivitäten gibt. Wenn man auf die einzelnen Icons in der Karte klickt bekommt man weitere Informationen zu dem jeweiligen Krisenherd.

Global Incident Map

Polizei-Newsletter

03.05.2008: Mit Tatenkombination lässt sich häufig schneller arbeiten und navigieren als mit vielen Mausklicks in einer Navigationsstruktur. bietet eine Einführung:

Matthias Sternkopf, Die wichtigsten und kuriosesten Hotkeys unter Windows, tecchannel 02.05.2008

Tipp: Das kleine Programm xCorrect von Xeebion entfernt alle Formatierungen von Texten, die in den Zwischenspeicher von Windows kopiert werden. Es ist sehr praktisch, wenn man zum Beispiel Textpassagen aus Webseiten oder -Dokumenten in andere Dateien übertragen will. Im Zwischenspeicher verbleibt nur der reine Text (manchmal mit Schwierigkeiten bei Umlauten).
 

 
03.05.2008: Die Daten über die Anzahl monatlichen Besucher, deren Seitenaufrufe und deren Download werden jetzt bei den statistischen Daten präsentiert.

Dort finden Sie auch eine Gegenüberstellung aller Top Ten Themen - T3.

Das Tabellenwerk soll fortlaufend aktualisiert werden.
 

01.05.2008: Die absolute und die durchschnittliche Zahl der Besucher, die sich zur Monatsmitte abzeichneten, sind deutlich übertroffen worden. Mit 8.927 Besuchern suchten im Durchschnitt täglich 297 Interessenten den Cyberfahnder auf. Sie riefen 27.371 Seiten auf. Im Durchschnitt sind das 912 Seiten am Tag und etwas mehr als 3 Seiten je Besucher.

Die Zahl der aufgerufenen Seiten ist mit 27.371 die höchste, die der Cyberfahnder je in einem Monat erreicht hat.

Im April wurden Dateien in einer Gesamtgröße von 1,93 GigaBytes vom Cyberfahnder heruntergeladen. Bei einer Gesamtgröße von 29,5 MegaBytes wäre damit der Cyberfahnder 67-mal komplett kopiert worden. Jeder Besucher hat somit im Durchschnitt 227 KiloByte gezogen.

Mit allen Aufrufdaten gelangt der April 2008 hinter dem Januar 2008 auf Platz 2 in dem ersten Jahr des Bestehens des Cyberfahnders.
 

 

Ermittlungen 359 Cybercrime 254 TK und Internet 224 Literatur 149 Wissen 185

Das Impressum erfreut sich weiterhin des besonderen Interesses (205 Aufrufe).

Die drei Haupthemen im Cyberfahnder wurden insgesamt 837-mal abgefragt. Ihr Abruf bewegt sich in der (schwachen) Größenordnung des Vormonats.

Das gilt auch für den Index, der nur noch 128-mal aufgerufen wurde. Betrachtet man seine gesamten 28 Seiten, so wurden sie insgesamt 1.158-mal gewählt, so dass sich der Eindruck aufdrängt, dass der Index als Suchhilfe vermehrt genutzt wird.

Die Suche wurde 236-mal verwendet und das Gästebuch 449-mal aufgerufen.
 

Der erschreckende Spitzenreiter bei den aufgerufenen Seiten ist die Fehlermeldung (4.986). Darüber berichte ich unten mehr (Stand: 28.04.2008). Erstmals hat eine Seite mit Meldungen den Spitzenreiter bei den Aufsätzen übertrumpft: Die Meldungen aus der zweiten Märzhälfte erreichten im April 619 Hits und der Aufsatz nur 595 und davon sind 107 von Heise vermittelt worden ( Vormonat). Mit 377 Hits folgen die Meldungen aus der ersten Aprilhälfte.

Auf den zweiten Platz bei den Top Ten Themen gelangte der schon länger vorhandene Aufsatz über die Organisierte Kriminalität. Im März war er noch nicht platziert.

Die Top Ten Themen - T3 - werden unten angezeigt (linke Tabelle).

Interessant ist ein Blick auf die Aufsätze, die aus mehreren Seiten bestehen (Tabelle unten rechts). Sie lassen erkennen, dass sie durchaus von Besuchern mit bleibendem Interesse aufgerufen werden, und erreichen wegen ihrer Summe bemerkenswerte Zahlen.
  

 
Mehr als 3.200 Hits entfallen auf die Meldungen. Davon entfallen rund 1.800 Hits auf die fortlaufenden einschließlich aller alten Meldungsseiten und knapp 800 Hits auf die Meldungen, die zu Themengruppen zusammen gefasst sind. Die neu geschaffenen Überblicksseiten erhielten knapp 350 Hits. Der Rest betrifft einzelne Seiten mit Erklärungen.

7.000 Hits entfallen auf thematische Beiträge, von denen die T3 die Spitzenreiter kennzeichnet. Sie umfassen 103 HTML-Dateien zu 36 verschiedenen Aufsätzen.

Beide zusammen, Meldungen und Aufsätze, vereinen mehr als 10.000 Hits. Das zeigt, dass die Besucher des Cyberfahnders nicht von Fehlermeldungen abgeschreckt werden, sondern gezielt die angebotenen Inhalte nachfragen. Das ist erfreulich.
 

01.05.2008: Anfangs waren die Meldungen nur eine Nebensache. Sie betrafen Ereignisse und Trends, die zwar bedeutend, interessant oder reizend waren, nicht aber nach einer tieferen Auseinandersetzung verlangten. Im August 2007 waren die drängenden Themen vom Cyberfahnder im Wesentlichen abgearbeitet, die mir ganz wichtig waren. Mein Blick für die "Kleinigkeiten", die einer Meldung wert waren, schärfte sich und ihre Anzahl wuchs. Seit Dezember haben die Meldungen einen neuen Stellenwert erhalten. Sie haben auf der Startseite einen breiten Platz bekommen und die ständigen Themen zurückgedrängt.

Seither hat der Cyberfahnder tatsächlich ein neues Gesicht bekommen. Auf der Startseite werden die bedeutenden Titel hervorgehoben und darunter erscheinen die Meldungen links und die mehr hintergründigen Ausführungen rechts in ihrer zeitlich aktuellen Reihenfolge.

Dieses Vorgehen hat mehrere Vorteile. Die Startseite ändert fast jeden Tag ihr Erscheinungsbild und nähert sich damit den Informationsportalen an, die von ihrer ständigen Aktualisierung leben. In die Meldungen habe ich immer mehr auch die Veränderungen im Bestand der Webseite als Neuigkeiten aufgenommen, so dass sich der Besucher schnell orientieren kann.
 

 
Der Cyberfahnder ist dadurch nicht zu einem Nachrichtenportal geworden. Das kann ich als berufstätiger Einzelkämpfer in meiner Freizeit nicht leisten. Täglich kommt im Durchschnitt jedoch mindestens eine Meldung hinzu und das wären jährlich beachtliche 400 Meldungen.

"Große" Beiträge und Aufsätze sind immer wieder im Cyberfahnder erschienen und werden auch weiterhin folgen. Sie entstehen (vorwiegend an den Wochenenden oder spätabends) über Wochen hinweg, bis sie fertig sind. Ältere Beiträge verlieren dagegen ihre Gültigkeit.

Die Meldungen eignen sich besonders gut dazu, die Neuerungen zu benennen und gleichzeitig auf die grundlegenden, aber durch sie überholten Änderungen zu verweisen. Ich habe deshalb seit Februar 2008 damit begonnen, nur ausnahmsweise überholte Beiträge zu aktualisieren und überall im Cyberfahnder das Entstehungsdatum voran stellen, um im Text auf die "alten" Ausführungen zu verweisen.

 
01.05.2008: Ein Fünftel aller 22.000 Dateiaufrufe im Monat April ("echte" Dateien ohne Grafik-, Steuer- und Funktionsdateien wie "css") betreffen die Seite fehler.htm, die immer dann erscheint, wenn der von der Webseite angeforderte Dateistring (URL) fehlerhaft ist. Das ist alarmierend, weil ganz offenbar fehlerhafte Links entweder im Cyberfahnder selber, auf fremden Seiten oder in Suchmaschinen vorhanden sind, die Frust verursachen können.

Zwei Drittel der Fehlermeldungen wurden jedoch nicht als Seiten- oder Dateiabfragen registriert, sondern dürften technische Kommandos gewesen sein, wobei es sich wohl überwiegend um "Pings" handelte, die die Erreichbarkeit prüfen. Das wären dann etwa 2.800 Kontaktversuche von Hackerprogrammen im Monat, die erfolglos blieben.

Danach verbleiben etwa 1.500 Dateiabfragen, deren vollständiger Link protokolliert wurde. Davon betrafen mehr als 700 Anforderungen Grafikdateien, die in Webseiten eingebunden sind, und mehr als 100 Anforderungen von Steuerungs- (css) und solchen Dateien, die willentlich nur vorübergehend ins Netz gestellt wurden.

Als Rest verbleiben 706 Aufrufe von nicht (mehr) vorhandenen HTML-Seiten, die nun wirklich Frust verursacht haben können. Sie werden alle nicht vom Cyberfahnder selber verursacht (falsche interne Links), sondern kommen von außerhalb.

Bei genauer Betrachtung werden alle angeforderten, aber nicht vorhandenen Dateien mindestens zweimal erfasst. Sie betreffen - mit ganz wenigen, aber ebenfalls erklärbaren Ausnahmen - den EDV-Workshop, der seit 2004 nicht mehr gepflegt und im Herbst 2006 vom Hostspeicher gelöscht wurde. Die Häufung, die sich darin ausdrückt, dass genau zweimal im Monat die Abfrage erfolgt, lässt darauf schließen, dass ein schlecht programmierter Spider einer Suchmaschine dahinter steckt, der einfach nicht realisiert, dass die von ihm nachgefragte Seite nun wirklich nicht mehr existiert.
 

 
Im Endeffekt verbleiben 44 Seitenaufrufe, die tatsächlich Frust verursachen können. Sie sind sicherlich auf broken links auf anderen Webseiten zurück zu führen, die nicht aktualisiert wurden. Für die Betroffenen habe ich jetzt eine neue Fehlerseite eingerichtet, die hilfreich sein dürfte. Mit der Quote kann ich hingegen gut leben.

Fazit

Die Einrichtung einer automatischen Fehlerseite erhöht die Abfragehäufigkeit deutlich und insbesondere dann, wenn ein URL ein Projekt betrifft, das eigentlich nicht mehr existiert (hier: EDV-Workshop). Die automatische Steuerung der Fehlerseite, die der Hostprovider regelt, könnte intelligenter sein, wenn er damit nicht jedes Netzkommando (ping, traceroute) und jede Grafikdatei beantworten würde. Dadurch entsteht unnötige Netzlast, die in ihrer Summe nicht unbeachtlich ist.

Dass nach 1 1/2 Jahren von Suchroutinen immer noch nach Aktualisierungen nicht mehr vorhandener Dateien gesucht wird, ist auch kein Beweis für intelligentes Programmdesign dieser Suchmaschine, deren Namen ich nicht weiß. Auch sie verursacht - sowohl wegen ihrer Anfragen wie auch wegen der Antworten meines Hostproviders - völlig sinnlose Netzlast, die schließlich von den Netzbetreibern finanziert werden muss. Sie geben diese Kosten am Ende auf die Endverbraucher weiter, also an Sie und mich.

Das ist wirtschaftlicher Unfug und muss beim besten Willen nicht sein. Wo bleibt die Qualitätskontrolle, die das verhindert?