taz.de

       # taz.de -- Hacker knacken das Sality-Botnetz: Feuer mit Feuer bekämpfen
       
       > Weitgehend unbeachtet haben Kriminelle tausende Rechner durch einen Virus
       > übernommen. Hacker haben nun eine Methode entwickelt, sie zu bekämpfen –
       > doch legal ist das nicht.
       
 (IMG) Bild: Viele Rechner unter Kontrolle – und die Nutzer wissen nichts davon.
       
       KÖLN taz | Es ist eine ungewöhnliche Nachricht, die in dieser Woche in der
       Internet-Sicherheitsliste „Full disclosure“ aufgetaucht wird. „Bitte
       zerstört das Sality Botnetz nicht“, schreibt der Autor mit dem Pseudonym
       „gesetzestreuer Bürger“. Was folgt ist eine genaue Beschreibung, wie man
       das Botnetz, das Hunderttausende infizierter Rechner umfasst, konkret
       bekämpfen kann: Man identifiziert die Kommandoserver des illegalen
       Rechnernetzes und hackt einen nach dem anderen, um den Virus zu entfernen.
       
       „Leider würden diese Schritte einen Gesetzesbruch darstellen“, schreibt der
       Hacker. Damit zeigt er auf, wie die Sicherheitslage im Internet und die
       Gesetzgebung zum vermeintlichen Schutz der lebenswichtigen Infrastruktur
       aufeinanderprallen. Kriminelle kapern mit immer ausgefeilteren
       Virusprogrammen Hunderttausende Rechner und nutzen sie zu allen möglichen
       Zwecken – wer dahinter steckt, ist nur manchmal nach jahrelangen
       Ermittlungen auszumachen. Doch will man Feuer mit Feuer bekämpfen, stößt
       man schnell an die Grenzen des Erlaubten.
       
       Über Jahre ist das Sality-Botnetz immer weiter gewachsen: Der
       Anti-Virus-Spezialist Symantec hat die ersten Ursprünge des Netzes bis ins
       Jahr 2003
       [1][//www.symantec.com/content/en/us/enterprise/media/security_response/whi
       tepapers/sality_peer_to_peer_viral_network.pdf%E2%80%9C:zurückverfolgt].
       Das Botnetz funktioniert nach dem Peer-to-Peer-Prinzip wie
       Internettauschbörsen. Nachrichten werden von Rechner zu Rechner
       weitergegeben. Nur ab und an rufen Sie neue Anweisungen von vorher
       bestimmten Servern ab und verteilen sie weiter.
       
       Durch jahrelange Arbeit und immer neue Versionen des Sality-Virus konnten
       die Hintermänner ihr Botnetz immer weiter ausbauen, bis Hunderttausende
       Rechner gleichzeitig verfügbar waren. Doch nie kam das Botnetz in den Fokus
       der Aufmerksamkeit: Die Kriminellen beschränkten sich im Wesentlichen
       darauf, ihr Botnetz auszubauen und Spam-Nachrichten von den gekaperten
       Rechnern zu verschicken.
       
       Für ein paar Hundert Dollar kann man solche Botnetze mieten und sie mit dem
       Versand von Milliarden Spam-Nachrichten beauftragen. Im Prinzip könnte der
       Virus sofort auf destruktivere Methoden umschalten: Passwortklau,
       Online-Attacken oder Verbreitung illegaler Inhalte.
       
       ## Attacke könnte klappen
       
       Doch ist die Anleitung zur Bekämpfung dieses gewaltigen Netzes wirksam? Die
       Redaktion von Heise Security
       [2][//www.heise.de/newsticker/meldung/Bitte-nehmt-das-Sality-Botnetz-nicht-
       vom-Netz-1485032.html%E2%80%9C:machte den Test] und fand heraus, dass die
       Anleitung wirklich den Weg zu Servern wies, die Schadcode verteilten.
       „Virenscanner wie Avast, G Data und Ikarus erkannten darin die mit Sality
       in Verbindung stehende Malware Win32.Elderado.“ Sprich: Der unbekannte
       Hacker hat offenbar die Verbreitungsroutine des Botnetzes geknackt und
       Schwachstellen gefunden, um den Virus zu entfernen.
       
       Doch dieser Schuss kann auch nach hinten losgehen. Der anonyme Hacker hat
       eine Anleitung für quasi jedermann veröffentlicht, wie man die befallenen
       Kommandoserver attackieren kann. Wohlmeinende Hacker können damit das
       Botnetz schrumpfen lassen und den Kriminellen das Geschäft etwas schwerer
       machen.
       
       Wie das britische IT-Magazin [3][The Register anmerkt], könnte diese
       Attacke auch genutzt werden, um den einen Virus durch einen neuen Virus
       auszutauschen. Dass sie dabei das Gesetz verletzen könnten, ist für die
       Kriminellen jedenfalls kein Hindernis.
       
       30 Mar 2012
       
       ## LINKS
       
 (DIR) [1] http://typo3/%E2%80%9Chttp
 (DIR) [2] http://typo3/%E2%80%9Chttp
 (DIR) [3] http://www.theregister.co.uk/2012/03/28/sality_botnet_take_down_plans/
       
       ## AUTOREN
       
 (DIR) Torsten Kleinz
       
       ## ARTIKEL ZUM THEMA
       
 (DIR) Botnetz-Betreiber "Koobface" enttarnt: Virtuelle Verfolgungsjagden
       
       Jahrelang nutzte die Koobface-Gang tausende infizierte Rechner für illegale
       Geschäfte. Nun wurde die Gang enttarnt - weil ihre eigenen Rechner schlecht
       geschützt waren.
       
 (DIR) FBI zerschlägt Botnet: Heimliche Kontrolle über 4 Millionen PCs
       
       Sie kontrollierten mit ihren Servern Computer in 100 Ländern: Sechs Esten
       und ein Russe haben sich im Internet ein kleines Vermögen über gefakte
       Werbeklicks ergaunert.