Cybercrime

Dieter Kochheim, Cybercrime - 115 -Nachstellungen der Strafverfolgung oder von Abmahnernzu schützen.In offenen Foren findet man dazu euphorischeLobhudeleien: Endlich keine Abmahnungen undteure Anwaltsforderungen mehr!C.3 9.2 anonyme ServerDas zweite mächtige Werkzeug, das dem AS zurVerfügung steht, ist die Anonymisierung von Servern.Mit dem einfachen Kommando "Ping" 680 lässt sichdie technische Erreichbarkeit einer Netzadresseüberprüfen. An ihr kann sich ein Netzknoten befinden(Router, Switch, Gateway) oder ein Endgerät,das Dateien (Hostspeicher, FTP) oder Datendienste(Webserver, Datenbanken) birgt. Auf das Ping-Kommando meldet das angeschlossene Gerät seineIdentität.Ping richtet sich an nummerische Adressen des Internetprotokollsnach dem Muster xxx.xxx.xxx.xxx .Vom Anspruch her sollen die beiden linken Ziffernfolgenden geographischen Standort der IP-Adresse widerspiegeln.Auch die IP-Adressen werden von der IANA einzelnoder blockweise vergeben. Die Ziffernfolge offenbartim Ergebnis nur das AS, an das sie vergebenwurde, nicht aber den physikalischen odergeographischen Standort, an dem sie eingesetztwird. Diesen kennt nur das AS selber.Das AS hat mehrere Möglichkeiten, auf die Rückmeldungendes Endgerätes Einfluss zu nehmen.So kann es alle Rückmeldungen unterbinden,wenn es an seinen Eingängen Firewalls betreibt,die die Meldungen nicht durchlassen.Der Betreiber der Endgeräte, also das AS, kannauch genau vorgeben, was sie an die Gegenstellensenden. Das kann jeder Quatsch sein.Wenn ein Schurkenprovider über ein eingetragenesAS verfügt, das an zwei Endpunkten an andereAS angeschlossen ist, über geographisch weitverstreute IP-Adressen und über ein Rechenzentrummit hinreichend leistungsstarken Rechnern680CF, Suchmaschinen und -techniken. IP- und DNS-Adressen, 29.12.2008verfügt, dann kann er die informationstechnischenAktivitäten, die auf den Rechnern stattfinden, sotarnen, dass jedem Außenstehenden vorgegaukeltwird, dass die betreffenden Internetangebotenicht lokalisierbar sind oder irgendwo auf der Weltstattfinden, aber nicht dort, wo sie tatsächlichsind.Das hübsch bunte Geotracing 681 lässt sich damitherrlich in die Irre führen.C.3 9.3 DetektionDennoch kann man die geographischen Standortevon getarnten DNS-Adressen und Servernauch von außen eingrenzen und lokalisieren. Verantwortlichdafür ist das Internetprotokoll selberund das Netzwerkwerkzeug Traceroute 682 .Die Architektur des Internets folgt technischenund wirtschaftlichen Logiken. Die großen internationalenNetzbetreiber (Tiers 683 ) können die Datenströmesteuern und zum Beispiel möglichstlange in der eigenen Netz-Infrastruktur belassen,um sie erst am Zielort an einen regionalen Endanschluss-Betreiberzu überlassen. Diese Strategiewird als "cold potato" bezeichnet und IBM 684ist besonders bekannt dafür, so zu verfahren. AndereCarrier 685 ohne oder mit schwachen überregionalenLeitungen verfahren nach der "hot potato"-Methodeund versuchen, ihre Daten äußerstschnell an andere Partner zu übergeben.Das Internetprotokoll toleriert die Vorgaben derCarrier und lässt Umwege bei der Signalübertragungzu. Sie können darauf beruhen, dass die direkteStrecke überlastet ist, so dass zum LastausgleichUmwege schnellere Verbindungen versprechen.Was die Carrier hingegen nicht zulassen,sind unwirtschaftliche Zick-Zack-Wege im weltweitenNetz.Mit Traceroute können die Zwischenstationen einesSignals im Internet gemessen werden. Sieverraten, wo etwas Merkwürdiges im Signallauf681CF, Lokalisierung. Geotracing, 06.12.2009682CF, Auskunftsdienste im Internet, 06.12.2009683CF, autonome Systeme und Tiers, 2007684CF, Besonderheit: IBM, 2007685CF, verwirrende Beziehungen, 2007