Dieter Kochheim, <strong>Cybercrime</strong> - 114 -Das ... Geschäftsmodell des RNB war simpel unddreist: Je mehr eine Domain in den Fokus der Öffentlichkeitgeriet, je mehr Beschwerden an die E-Mail-Adresse für Missbrauch geschickt wurden, destomehr Geld verlangten die Russen von ihrenKunden.Bolduan, S. 32C.3 8. SchurkenproviderDer bekannteste Rogue Provider 666 (Schurkenprovider667 ) ist das Russian Business Network - RBN668- in Petersburg gewesen, das sich Ende 2007aus der Öffentlichkeit zurück gezogen hat. Überseine Aktivitäten haben vor Allem Bizeul 669 , Balduan670 und Frank Faber berichtet 671 .Das Kerngeschäft des RBN und anderer Schurkenproviderbesteht darin, ihre zahlenden Kundenfür ihre heiklen oder kriminellen Aktivitäten Abschottung,also einen "sicheren Hafen" zu bieten.Das verlangt nach anonymisierten Speicherstandorten, einer anonymisierten Adressverwaltung (Maskierungvon DNS-Eintragungen), komfortablen Anbindungen an das Internet und eine Niederlassung, in der der Schurkenproviderohne Angst vor Repressalien handeln kann.Die ersten drei Voraussetzungen lassen sich nurerfüllen, wenn der Schurkenprovider ein AutonomesSystem - AS 672 - betreibt. Dabei handelt essich um ein selbständiges Netzwerk, das über mindestenszwei Außenverbindungen zu anderen Net-666CF, Rogue Provider, 13.07.2008667CF, Schurkenprovider, 05.10.2008668CF, Russian Business Network – RBN, 13.07.2008669CF, Schurken-Provider und organisierte <strong>Cybercrime</strong>,13.07.2008;David Bizeul, Russian Business Network study,bizeul.org 19.01.2008670Gordon Bolduan, Digitaler Untergrund, TechnologyReview 4/2008;CF, weitere Nachweise, 13.07.2008671CF, Russian Business Network – RBN, 13.07.2008;Frank Faber, Unter Verdacht. Eine russische Bandeprofessionalisiert das <strong>Cybercrime</strong>-Business, c't11/2008672CF, verwirrende Beziehungen, 2007zen verfügt, über die es Verbindungen zum Internethat. Jedem AS wird von der Internet AssignedNumbers Authority - IANA 673 - eine eindeutige,fünfstellige Autonomous System Number - ASN -vergeben 674 . Für den europäischen Bereich istdiese Aufgabe auf das Réseaux IP EuropéensNetwork Coordination Centre - RIPE NCC 675 -übertragen worden.C.3 9. Tarnung und Abschottung der KundenEin AS kann sich im Internet nicht verstecken. Esist anhand seiner AS-Nummer eindeutig erkennbarund sein physikalischer Standort genau zu orten.Was in seinem Inneren geschieht, ist eine andereSache.C.3 9.1 Whois ProtectionDas AS ist berechtigt, eine eigene Adressenverwaltungdurchzuführen. Dahinter verbirgt sichnichts anderes als ein DNS-Server 676 , der dazuda ist, für eine beschreibende Internetadresseden physikalischen Standort anhand der nummerischenAdresse des Internetprotokolls zu melden677. Darüber hinaus liefert der DNS-Server die persönlichenAngaben über den Inhaber der DNS-Adresse.Damit verfügt jedes AS über ein mächtiges Werkzeug.Mit seinem DNS-Server kann es die gespeichertenDomänennamen zu jedem beliebigenphysikalischen Standort leiten und in der Datenbankim Übrigen jeden Unfug über den Inhaberbereit halten 678 .In Fachkreisen wird das als "Whois Protection"bezeichnet 679 . Es ist nichts anderes als die Verschleierungder Betreiberdaten, um ihn vor den673WP, Internet Assigned Numbers Authority674WP, Autonomes System. Verwaltung675WP, RIPE Network Coordination Centre676WP, DNS-Server677Schematische Darstellung: CF, Auflösung von DNS-Adressen, 2007.678CF, IP-Adressen ohne Beweiswert, 16.05.2010679CF, Auskunftsdienste im Internet, 06.12.2009
Dieter Kochheim, <strong>Cybercrime</strong> - 115 -Nachstellungen der Strafverfolgung oder von Abmahnernzu schützen.In offenen Foren findet man dazu euphorischeLobhudeleien: Endlich keine Abmahnungen undteure Anwaltsforderungen mehr!C.3 9.2 anonyme ServerDas zweite mächtige Werkzeug, das dem AS zurVerfügung steht, ist die Anonymisierung von Servern.Mit dem einfachen Kommando "Ping" 680 lässt sichdie technische Erreichbarkeit einer Netzadresseüberprüfen. An ihr kann sich ein Netzknoten befinden(Router, Switch, Gateway) oder ein Endgerät,das Dateien (Hostspeicher, FTP) oder Datendienste(Webserver, Datenbanken) birgt. Auf das Ping-Kommando meldet das angeschlossene Gerät seineIdentität.Ping richtet sich an nummerische Adressen des Internetprotokollsnach dem Muster xxx.xxx.xxx.xxx .Vom Anspruch her sollen die beiden linken Ziffernfolgenden geographischen Standort der IP-Adresse widerspiegeln.Auch die IP-Adressen werden von der IANA einzelnoder blockweise vergeben. Die Ziffernfolge offenbartim Ergebnis nur das AS, an das sie vergebenwurde, nicht aber den physikalischen odergeographischen Standort, an dem sie eingesetztwird. Diesen kennt nur das AS selber.Das AS hat mehrere Möglichkeiten, auf die Rückmeldungendes Endgerätes Einfluss zu nehmen.So kann es alle Rückmeldungen unterbinden,wenn es an seinen Eingängen Firewalls betreibt,die die Meldungen nicht durchlassen.Der Betreiber der Endgeräte, also das AS, kannauch genau vorgeben, was sie an die Gegenstellensenden. Das kann jeder Quatsch sein.Wenn ein Schurkenprovider über ein eingetragenesAS verfügt, das an zwei Endpunkten an andereAS angeschlossen ist, über geographisch weitverstreute IP-Adressen und über ein Rechenzentrummit hinreichend leistungsstarken Rechnern680CF, Suchmaschinen und -techniken. IP- und DNS-Adressen, 29.12.2008verfügt, dann kann er die informationstechnischenAktivitäten, die auf den Rechnern stattfinden, sotarnen, dass jedem Außenstehenden vorgegaukeltwird, dass die betreffenden Internetangebotenicht lokalisierbar sind oder irgendwo auf der Weltstattfinden, aber nicht dort, wo sie tatsächlichsind.Das hübsch bunte Geotracing 681 lässt sich damitherrlich in die Irre führen.C.3 9.3 DetektionDennoch kann man die geographischen Standortevon getarnten DNS-Adressen und Servernauch von außen eingrenzen und lokalisieren. Verantwortlichdafür ist das Internetprotokoll selberund das Netzwerkwerkzeug Traceroute 682 .Die Architektur des Internets folgt technischenund wirtschaftlichen Logiken. Die großen internationalenNetzbetreiber (Tiers 683 ) können die Datenströmesteuern und zum Beispiel möglichstlange in der eigenen Netz-Infrastruktur belassen,um sie erst am Zielort an einen regionalen Endanschluss-Betreiberzu überlassen. Diese Strategiewird als "cold potato" bezeichnet und IBM 684ist besonders bekannt dafür, so zu verfahren. AndereCarrier 685 ohne oder mit schwachen überregionalenLeitungen verfahren nach der "hot potato"-Methodeund versuchen, ihre Daten äußerstschnell an andere Partner zu übergeben.Das Internetprotokoll toleriert die Vorgaben derCarrier und lässt Umwege bei der Signalübertragungzu. Sie können darauf beruhen, dass die direkteStrecke überlastet ist, so dass zum LastausgleichUmwege schnellere Verbindungen versprechen.Was die Carrier hingegen nicht zulassen,sind unwirtschaftliche Zick-Zack-Wege im weltweitenNetz.Mit Traceroute können die Zwischenstationen einesSignals im Internet gemessen werden. Sieverraten, wo etwas Merkwürdiges im Signallauf681CF, Lokalisierung. Geotracing, 06.12.2009682CF, Auskunftsdienste im Internet, 06.12.2009683CF, autonome Systeme und Tiers, 2007684CF, Besonderheit: IBM, 2007685CF, verwirrende Beziehungen, 2007
- Seite 2 und 3:
Dieter Kochheim, Cybercrime - 2 -3
- Seite 4 und 5:
Dieter Kochheim, Cybercrime - 4 -57
- Seite 6:
Dieter Kochheim, Cybercrime - 6 -A.
- Seite 9 und 10:
Dieter Kochheim, Cybercrime - 9 -ve
- Seite 11 und 12:
Dieter Kochheim, Cybercrime - 11 -A
- Seite 13 und 14:
Dieter Kochheim, Cybercrime - 13 -A
- Seite 15 und 16:
Dieter Kochheim, Cybercrime - 15 -g
- Seite 17 und 18:
Dieter Kochheim, Cybercrime - 17 -V
- Seite 19 und 20:
Dieter Kochheim, Cybercrime - 19 -v
- Seite 21 und 22:
Dieter Kochheim, Cybercrime - 21 -D
- Seite 23 und 24:
Dieter Kochheim, Cybercrime - 23 -l
- Seite 25 und 26:
Dieter Kochheim, Cybercrime - 25 -f
- Seite 27 und 28:
Dieter Kochheim, Cybercrime - 27 -A
- Seite 29 und 30:
Dieter Kochheim, Cybercrime - 29 -D
- Seite 31 und 32:
Dieter Kochheim, Cybercrime - 31 -1
- Seite 33 und 34:
Dieter Kochheim, Cybercrime - 33 -g
- Seite 35 und 36:
Dieter Kochheim, Cybercrime - 35 -i
- Seite 37 und 38:
Dieter Kochheim, Cybercrime - 37 -A
- Seite 39 und 40:
Dieter Kochheim, Cybercrime - 39 -h
- Seite 41 und 42:
Dieter Kochheim, Cybercrime - 41 -r
- Seite 43 und 44:
Dieter Kochheim, Cybercrime - 43 -A
- Seite 45 und 46:
Dieter Kochheim, Cybercrime - 45 -A
- Seite 47 und 48:
Dieter Kochheim, Cybercrime - 47 -A
- Seite 49 und 50:
Dieter Kochheim, Cybercrime - 49 -A
- Seite 51 und 52:
Dieter Kochheim, Cybercrime - 51 -r
- Seite 53 und 54:
Dieter Kochheim, Cybercrime - 53 -
- Seite 55 und 56:
Dieter Kochheim, Cybercrime - 55 -A
- Seite 57 und 58:
Dieter Kochheim, Cybercrime - 57 -
- Seite 59 und 60:
Dieter Kochheim, Cybercrime - 59 -A
- Seite 61 und 62:
Dieter Kochheim, Cybercrime - 61 -B
- Seite 63 und 64: Dieter Kochheim, Cybercrime - 63 -B
- Seite 65 und 66: Dieter Kochheim, Cybercrime - 65 -V
- Seite 67 und 68: Dieter Kochheim, Cybercrime - 67 -D
- Seite 69 und 70: Dieter Kochheim, Cybercrime - 69 -I
- Seite 71 und 72: Dieter Kochheim, Cybercrime - 71 -S
- Seite 73 und 74: Dieter Kochheim, Cybercrime - 73 -B
- Seite 75 und 76: Dieter Kochheim, Cybercrime - 75 -B
- Seite 77 und 78: Dieter Kochheim, Cybercrime - 77 -z
- Seite 79 und 80: Dieter Kochheim, Cybercrime - 79 -B
- Seite 81 und 82: Dieter Kochheim, Cybercrime - 81 -A
- Seite 83 und 84: Dieter Kochheim, Cybercrime - 83 -D
- Seite 85 und 86: Dieter Kochheim, Cybercrime - 85 -a
- Seite 87 und 88: Dieter Kochheim, Cybercrime - 87 -r
- Seite 89 und 90: Dieter Kochheim, Cybercrime - 89 -C
- Seite 91 und 92: Dieter Kochheim, Cybercrime - 91 -C
- Seite 93 und 94: Dieter Kochheim, Cybercrime - 93 -k
- Seite 95 und 96: Dieter Kochheim, Cybercrime - 95 -a
- Seite 97 und 98: Dieter Kochheim, Cybercrime - 97 -s
- Seite 99 und 100: Dieter Kochheim, Cybercrime - 99 -d
- Seite 101 und 102: Dieter Kochheim, Cybercrime - 101 -
- Seite 103 und 104: Dieter Kochheim, Cybercrime - 103 -
- Seite 105 und 106: Dieter Kochheim, Cybercrime - 105 -
- Seite 107 und 108: Dieter Kochheim, Cybercrime - 107 -
- Seite 109 und 110: Dieter Kochheim, Cybercrime - 109 -
- Seite 111 und 112: Dieter Kochheim, Cybercrime - 111 -
- Seite 113: Dieter Kochheim, Cybercrime - 113 -
- Seite 117 und 118: Dieter Kochheim, Cybercrime - 117 -
- Seite 119 und 120: Dieter Kochheim, Cybercrime - 119 -
- Seite 121 und 122: Dieter Kochheim, Cybercrime - 121 -
- Seite 123 und 124: Dieter Kochheim, Cybercrime - 123 -
- Seite 125 und 126: Dieter Kochheim, Cybercrime - 125 -