Manfred Kloiber: Um die Enthüllungsplattform WikiLeaks tobte in dieser Woche ja ein regelrechter Cyberkrieg. WikiLeaks-Server wurden angegriffen, die Webserver von Mastercard, Paypal, Visa und Amazon mit Datenpäckchen bombardiert. Wie wurden denn die Angriffe durchgeführt, Peter Welchering.
Peter Welchering: Soweit ich das überblicke, sind zwei unterschiedliche Techniken bei diesen ganzen Angriffen verwendet worden. Die Wikileaks-Unterstützer haben bei ihren Attacken auf die Web-Server von Mastercard und Co. so eine klassische Denial-of-Service-Attacke gefahren, allerdings eine verteilte Denial-of-Service-Attacke, während die Angriffe auf die WikiLeaks-Server und auf die Name-Server der Registrare und Netzdienstleister dann mit Exploits gefahren wurden, also da wurden Sicherheitslücken ausgenutzt, um die Datenbanken der Name-Server zu manipulieren und so dann zu realisieren, dass die WikiLeaks-Server eben nicht mehr erreichbar waren. Bisher kann man da noch eine gewisse Asymmetrie sozusagen in der Kriegsführung – wenn man vom digitalen Krieg sprechen will – feststellen. Den Hackern aus der WikiLeaks-Unterstützer-Szene scheint es nämlich in erster Linie darum zu gehen, öffentlichkeitswirksam die Webauftritte von Mastercard, Visa und Paypal, aber auch etwa Amazon zu stören. Und die Angriffe auf WikiLeaks und auf die Registrare sind da von ganz anderem Kaliber. Da geht es nämlich darum, die Netz-Infrastruktur so zu manipulieren, dass die WikiLeaks-Dateien im Internet eben nicht mehr verfügbar sind.
Kloiber: Weiß man denn schon, wer hinter den Attacken auf die Mastercard- und Visa-Server steht?
Welchering: Angeblich ist ja ein Hacker in den Niederlanden schon festgenommen worden, aber es haben sich ja auch insgesamt im Netz schon zwei Gruppen zu diesen Attacken bekannt – nämlich die Anonymous-Gruppe und die operiert von den Niederlanden aus, von Haarlem bei Amsterdam, und eine Gruppe aus dem Umfeld des Imgaeboards 4chan. Anonymous hat ja sich ja einen Namen gemacht mit Denial-of-Service-Attacken gegen Server der Scientology-Sekt vor einigen Monaten. Und sie haben hier das gleiche Tool verwendet. Nämliche eine Angriffs- und Koordinierungsmaschine, ein Werkzeug namens Low Orbit Ion Cannon, also Ionenkanone im Orbit. Und damit werden verteilte Denial-of-Service-Attacken durchgeführt, die von einem Koordinierungsrechner aus dann gestartet und auch koordiniert werden. Bei den Attacken hier mittels Low Orbit Ion Cannon muss der PC-Besitzer mitspielen. Er muss das Tool auf seinem Rechner installieren und er muss sein Einverständnis geben, dass eine Attacke durchgeführt werden kann. Und dabei kann dann sowohl von einem Steuerungsrechner aus die Flut der Datenpäckchen auf das Angriffsziel gesteuert werden als auch händisch von jedem einzelnen Beteiligten an dieser Attacke, von jedem PC aus, können eben noch zusätzlich Datenpäcken losgeschickt werden.
Kloiber: Womit haben denn die WikiLeaks-Gegner ihre Angriffe gefahren?
Welchering: Zunächst waren das auch verteilte Denial-of-Service-Attacken, es waren aber auch dann gezielte Denial-of-Service-Attacken, und das war eigentlich der Anfang dieser Attacken, das stellte sich so am vergangenen Wochenende dar. Diese Attacken konnten übrigens zu einem Server zurückverfolgt werden, der in Maryland steht und dieser Server ist in der Vergangenheit bereits dadurch aufgefallen, dass von dort Steuerungsbefehle aus der NSA-Zentrale in Washington zurückverfolgt werden konnten. Die National Security Agency, die NSA, ist ja sowas wie der IT-Geheimdienst der USA. Allerdings haben es die WikiLeaks-Gegner dann nicht bei einfachen Denial-of-Service-Attacken belassen, sondern haben auch noch Exploits eingesetzt, also Angriffssoftware, die Sicherheitslücken ausnutzt. Und hier haben sie in erster Linie einen Speicherüberlauf erzeugt und den auch genutzt, um eine Schadsoftware auf die Name-Server zu bringen, die den WikiLeaks-Eintrag aus der Datenbank für das Domainname-System einfach rauslöscht. In anderen Fällen ist da ein klassisches DNS-Spoofing von den WikiLeaks-Gegnern betrieben worden. Das heißt, wer auf die WikiLeaks-Server wollte, ist einfach auf einen anderen Server umgeleitet worden. Und dort wurde eine Spionagesoftware auf die PCs gespielt, mit der Zugriffe auf die bekannten IP-Adressen der WikiLeaks-Server gesucht wurden. Und dann wurden auch damit Dateien gescannt, und zwar nach dem netten bekannten Stichwort "Cablegate".
Peter Welchering: Soweit ich das überblicke, sind zwei unterschiedliche Techniken bei diesen ganzen Angriffen verwendet worden. Die Wikileaks-Unterstützer haben bei ihren Attacken auf die Web-Server von Mastercard und Co. so eine klassische Denial-of-Service-Attacke gefahren, allerdings eine verteilte Denial-of-Service-Attacke, während die Angriffe auf die WikiLeaks-Server und auf die Name-Server der Registrare und Netzdienstleister dann mit Exploits gefahren wurden, also da wurden Sicherheitslücken ausgenutzt, um die Datenbanken der Name-Server zu manipulieren und so dann zu realisieren, dass die WikiLeaks-Server eben nicht mehr erreichbar waren. Bisher kann man da noch eine gewisse Asymmetrie sozusagen in der Kriegsführung – wenn man vom digitalen Krieg sprechen will – feststellen. Den Hackern aus der WikiLeaks-Unterstützer-Szene scheint es nämlich in erster Linie darum zu gehen, öffentlichkeitswirksam die Webauftritte von Mastercard, Visa und Paypal, aber auch etwa Amazon zu stören. Und die Angriffe auf WikiLeaks und auf die Registrare sind da von ganz anderem Kaliber. Da geht es nämlich darum, die Netz-Infrastruktur so zu manipulieren, dass die WikiLeaks-Dateien im Internet eben nicht mehr verfügbar sind.
Kloiber: Weiß man denn schon, wer hinter den Attacken auf die Mastercard- und Visa-Server steht?
Welchering: Angeblich ist ja ein Hacker in den Niederlanden schon festgenommen worden, aber es haben sich ja auch insgesamt im Netz schon zwei Gruppen zu diesen Attacken bekannt – nämlich die Anonymous-Gruppe und die operiert von den Niederlanden aus, von Haarlem bei Amsterdam, und eine Gruppe aus dem Umfeld des Imgaeboards 4chan. Anonymous hat ja sich ja einen Namen gemacht mit Denial-of-Service-Attacken gegen Server der Scientology-Sekt vor einigen Monaten. Und sie haben hier das gleiche Tool verwendet. Nämliche eine Angriffs- und Koordinierungsmaschine, ein Werkzeug namens Low Orbit Ion Cannon, also Ionenkanone im Orbit. Und damit werden verteilte Denial-of-Service-Attacken durchgeführt, die von einem Koordinierungsrechner aus dann gestartet und auch koordiniert werden. Bei den Attacken hier mittels Low Orbit Ion Cannon muss der PC-Besitzer mitspielen. Er muss das Tool auf seinem Rechner installieren und er muss sein Einverständnis geben, dass eine Attacke durchgeführt werden kann. Und dabei kann dann sowohl von einem Steuerungsrechner aus die Flut der Datenpäckchen auf das Angriffsziel gesteuert werden als auch händisch von jedem einzelnen Beteiligten an dieser Attacke, von jedem PC aus, können eben noch zusätzlich Datenpäcken losgeschickt werden.
Kloiber: Womit haben denn die WikiLeaks-Gegner ihre Angriffe gefahren?
Welchering: Zunächst waren das auch verteilte Denial-of-Service-Attacken, es waren aber auch dann gezielte Denial-of-Service-Attacken, und das war eigentlich der Anfang dieser Attacken, das stellte sich so am vergangenen Wochenende dar. Diese Attacken konnten übrigens zu einem Server zurückverfolgt werden, der in Maryland steht und dieser Server ist in der Vergangenheit bereits dadurch aufgefallen, dass von dort Steuerungsbefehle aus der NSA-Zentrale in Washington zurückverfolgt werden konnten. Die National Security Agency, die NSA, ist ja sowas wie der IT-Geheimdienst der USA. Allerdings haben es die WikiLeaks-Gegner dann nicht bei einfachen Denial-of-Service-Attacken belassen, sondern haben auch noch Exploits eingesetzt, also Angriffssoftware, die Sicherheitslücken ausnutzt. Und hier haben sie in erster Linie einen Speicherüberlauf erzeugt und den auch genutzt, um eine Schadsoftware auf die Name-Server zu bringen, die den WikiLeaks-Eintrag aus der Datenbank für das Domainname-System einfach rauslöscht. In anderen Fällen ist da ein klassisches DNS-Spoofing von den WikiLeaks-Gegnern betrieben worden. Das heißt, wer auf die WikiLeaks-Server wollte, ist einfach auf einen anderen Server umgeleitet worden. Und dort wurde eine Spionagesoftware auf die PCs gespielt, mit der Zugriffe auf die bekannten IP-Adressen der WikiLeaks-Server gesucht wurden. Und dann wurden auch damit Dateien gescannt, und zwar nach dem netten bekannten Stichwort "Cablegate".