 |
# taz.de -- Hacker knacken das Sality-Botnetz: Feuer mit Feuer bekämpfen |
|
|
|
> Weitgehend unbeachtet haben Kriminelle tausende Rechner durch einen Virus |
|
> übernommen. Hacker haben nun eine Methode entwickelt, sie zu bekämpfen – |
|
> doch legal ist das nicht. |
|
|
 |
Bild: Viele Rechner unter Kontrolle – und die Nutzer wissen nichts davon. |
|
|
|
KÖLN taz | Es ist eine ungewöhnliche Nachricht, die in dieser Woche in der |
|
Internet-Sicherheitsliste „Full disclosure“ aufgetaucht wird. „Bitte |
|
zerstört das Sality Botnetz nicht“, schreibt der Autor mit dem Pseudonym |
|
„gesetzestreuer Bürger“. Was folgt ist eine genaue Beschreibung, wie man |
|
das Botnetz, das Hunderttausende infizierter Rechner umfasst, konkret |
|
bekämpfen kann: Man identifiziert die Kommandoserver des illegalen |
|
Rechnernetzes und hackt einen nach dem anderen, um den Virus zu entfernen. |
|
|
|
„Leider würden diese Schritte einen Gesetzesbruch darstellen“, schreibt der |
|
Hacker. Damit zeigt er auf, wie die Sicherheitslage im Internet und die |
|
Gesetzgebung zum vermeintlichen Schutz der lebenswichtigen Infrastruktur |
|
aufeinanderprallen. Kriminelle kapern mit immer ausgefeilteren |
|
Virusprogrammen Hunderttausende Rechner und nutzen sie zu allen möglichen |
|
Zwecken – wer dahinter steckt, ist nur manchmal nach jahrelangen |
|
Ermittlungen auszumachen. Doch will man Feuer mit Feuer bekämpfen, stößt |
|
man schnell an die Grenzen des Erlaubten. |
|
|
|
Über Jahre ist das Sality-Botnetz immer weiter gewachsen: Der |
|
Anti-Virus-Spezialist Symantec hat die ersten Ursprünge des Netzes bis ins |
|
Jahr 2003 |
|
[1][//www.symantec.com/content/en/us/enterprise/media/security_response/whi |
|
tepapers/sality_peer_to_peer_viral_network.pdf%E2%80%9C:zurückverfolgt]. |
|
Das Botnetz funktioniert nach dem Peer-to-Peer-Prinzip wie |
|
Internettauschbörsen. Nachrichten werden von Rechner zu Rechner |
|
weitergegeben. Nur ab und an rufen Sie neue Anweisungen von vorher |
|
bestimmten Servern ab und verteilen sie weiter. |
|
|
|
Durch jahrelange Arbeit und immer neue Versionen des Sality-Virus konnten |
|
die Hintermänner ihr Botnetz immer weiter ausbauen, bis Hunderttausende |
|
Rechner gleichzeitig verfügbar waren. Doch nie kam das Botnetz in den Fokus |
|
der Aufmerksamkeit: Die Kriminellen beschränkten sich im Wesentlichen |
|
darauf, ihr Botnetz auszubauen und Spam-Nachrichten von den gekaperten |
|
Rechnern zu verschicken. |
|
|
|
Für ein paar Hundert Dollar kann man solche Botnetze mieten und sie mit dem |
|
Versand von Milliarden Spam-Nachrichten beauftragen. Im Prinzip könnte der |
|
Virus sofort auf destruktivere Methoden umschalten: Passwortklau, |
|
Online-Attacken oder Verbreitung illegaler Inhalte. |
|
|
|
## Attacke könnte klappen |
|
|
|
Doch ist die Anleitung zur Bekämpfung dieses gewaltigen Netzes wirksam? Die |
|
Redaktion von Heise Security |
|
[2][//www.heise.de/newsticker/meldung/Bitte-nehmt-das-Sality-Botnetz-nicht- |
|
vom-Netz-1485032.html%E2%80%9C:machte den Test] und fand heraus, dass die |
|
Anleitung wirklich den Weg zu Servern wies, die Schadcode verteilten. |
|
„Virenscanner wie Avast, G Data und Ikarus erkannten darin die mit Sality |
|
in Verbindung stehende Malware Win32.Elderado.“ Sprich: Der unbekannte |
|
Hacker hat offenbar die Verbreitungsroutine des Botnetzes geknackt und |
|
Schwachstellen gefunden, um den Virus zu entfernen. |
|
|
|
Doch dieser Schuss kann auch nach hinten losgehen. Der anonyme Hacker hat |
|
eine Anleitung für quasi jedermann veröffentlicht, wie man die befallenen |
|
Kommandoserver attackieren kann. Wohlmeinende Hacker können damit das |
|
Botnetz schrumpfen lassen und den Kriminellen das Geschäft etwas schwerer |
|
machen. |
|
|
|
Wie das britische IT-Magazin [3][The Register anmerkt], könnte diese |
|
Attacke auch genutzt werden, um den einen Virus durch einen neuen Virus |
|
auszutauschen. Dass sie dabei das Gesetz verletzen könnten, ist für die |
|
Kriminellen jedenfalls kein Hindernis. |
|
|
|
30 Mar 2012 |
|
|
|
## LINKS |
|
|
 |
[1] http://typo3/%E2%80%9Chttp |
|
[2] http://typo3/%E2%80%9Chttp |
|
[3] http://www.theregister.co.uk/2012/03/28/sality_botnet_take_down_plans/ |
|
|
|
## AUTOREN |
|
|
|
Torsten Kleinz |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
Botnetz-Betreiber "Koobface" enttarnt: Virtuelle Verfolgungsjagden |
|
|
|
Jahrelang nutzte die Koobface-Gang tausende infizierte Rechner für illegale |
|
Geschäfte. Nun wurde die Gang enttarnt - weil ihre eigenen Rechner schlecht |
|
geschützt waren. |
|
|
|
FBI zerschlägt Botnet: Heimliche Kontrolle über 4 Millionen PCs |
|
|
|
Sie kontrollierten mit ihren Servern Computer in 100 Ländern: Sechs Esten |
|
und ein Russe haben sich im Internet ein kleines Vermögen über gefakte |
|
Werbeklicks ergaunert. |
