Dieter Kochheim, <strong>Cybercrime</strong> - 116 -passiert, wenn man als Anwender ausreichendeKenntnisse über die Physik des Internets hat.Auch dem Tracerouting werden falsche und getarnteEndpunkte vorgegaukelt. Anhand der markantenZwischenstationen lässt sich jedoch erkennen,wo die Verschleierung einsetzt.Wenn von Bulgarien aus ein Server in der Türkeierreicht werden soll, dann folgt das Signal einemder Seekabel, die durch das Schwarze Meer zwischenbeiden Staaten verlegt sind. Es läuft nichterst zum Mittelmeer, um über Italien und den deutschenInternetknoten in Frankfurt zu einer Provinzhauptstadtzu gelangen, wonach es plötzlich einenZielort in der Nordtürkei anzeigt.Bei genauer Betrachtung ergibt sich nämlich, dassalle Zwischenstationen sehr schnell durchlaufenwerden. Erst in der Nähe der Provinzhauptstadtdurchläuft das Signal eine lange Verarbeitungszeit,um dann einen Zielort an einem ganz anderenEnde der Welt anzuzeigen. Wenn das Signal getunnelt686 und getarnt durch ein Virtual Private Network687 gejagt wird, kann das sogar möglich sein.Nicht aber, wenn man das nächste Traceroutingaus der geographischen Nähe des Zielortes startetund das Signal dennoch den Weg über die Provinzhauptstadtnimmt.Das AS des Schurkenproviders verrät sich alsodurch die Zwischenstationen beim Tracerouting, andenen angeblich etwas passiert, was der Netzlogikwiderspricht.C.3 9.4 heimlicher BetriebDie Anonymisierung von Servern und die Tarnungvon DNS-Adressen sind technische Tricks, um dieVeranstalter von illegalen Diensten und Inhaltenunkenntlich zu machen. Sie erhalten vom BulletProof-Provider einen "sicheren Hafen" für ihre illegalenAktivitäten, die Bizeul am Beispiel des RBNerkundet hat. Ester und Benzmüller bestätigen seineAussagen (siehe rechts oben).Der Betrieb des AS findet aber nicht im Virtuellemstatt, sondern in der realen Welt. Neben der ge-686CF, Verschlüsselung. Tunnelung, 30.03.2008687CF, Overlay-Netze und VPN, 30.03.2008Hier finden alle ein Zuhause, die Drop Zones fürdie Daten ihrer Botnetze suchen, illegale Shopsbetreiben, Command & Control (C&C)-Server sicherunterbringen wollen und dergleichen mehr.Unter Dropzones ist in diesem Zusammenhang einServer zu verstehen, auf dem beispielsweise dieauf dem Rechner des Opfers installierte Spywareihre gesammelten Daten ablegen kann. Das Produktportfolioreicht hier wie bei jedem seriösen Anbietervom kleinem Webspace-Angebot, über virtuelleServer bis hin zu ganzen Serverclustern, jenach Geldbeutel und Anforderungen.Ester, Benzmüller 688tarnten Technik muss deshalb etwas hinzukommen:Der Betreiber muss in einer Umgebung handeln,in der er sich frei von Angriffen, Restriktionenund staatlicher Macht fühlen kann. Für dasRBN war das zunächst der Fall. Es galt als beschwerdeignoranterProvider und Hoster 689 , vondem weder in ihren Rechten Betroffene nochStrafverfolgungsbehörden die geforderten Auskünftebekamen.So kann nur handeln, wer wirklich von seinerstaatlichen Umgebung geschützt wird oder wersich selber so stark tarnt, dass zwischen ihm alsPerson und seiner schurkischen Veranstaltungkeine Verbindung hergestellt werden kann. Dasist keine leichte Aufgabe.In jüngerer Zeit treten verstärkt betrügerischeWebshops mit attraktiven Warenangeboten auf,die es auf die Vorauszahlungen ihrer Kunden absehen.Sie bedienen sich in aller Regel der angesprochenenOffshoring-Dienste, die ohne getarnteUmgebungen keine Abschottung der Anbieterleisten können. Die dazu erforderliche Technik betreibensie entweder selber oder mieten sie vonspezialisierten Schurkenprovidern.688Ester, Benzmüller, S. 11689antispam.de, beschwerdeignorante Provider undHoster
Dieter Kochheim, <strong>Cybercrime</strong> - 117 -C.3 9.5 IP-Adressen und Domain-EntführerManuel Schmitt kritisiert 690 , die Strafverfolgungsbehördenwürden sich zu sehr auf die IP-Adressen691verlassen und dabei die Routing-Prokolle dergroßen Provider außer Acht lassen 692 , greift fehl.Anlass geben ihm das Border Gateway Protocol –BGP 693 - und die Meldung, dass im April 2010 einchinesischer Provider einen Teil des Internets entführthat 694 .Was ist passiert 695 ? Der chinesische Internet-ProviderIDC China ist ein autonomes System - AS 696 -und betreibt einen BGP-Router, der dem Internetmeldet, mit welchen anderen Partnern er verbundenist 697 . Diese Meldungen nehmen die Netzknotenauf und speichern sie. Mit diesen Daten arbeitetdas BGP und die Netzknoten senden an das ASNutz-Datenpakete, weil sie davon ausgehen, dassdieses Zwischennetz sie an das richtige Ziel weiterleitet. Das ging aber schief, weil das AS falschePartnernetze meldete und die angelieferten Datenpaketeirgendwo in China versandeten. Das erfolgteunkontrolliert, weil das BG-Protokoll keine Kontrolle,sondern Vertrauen voraussetzt.Der böswillige Einsatz einer BGP-Manipulationkann dazu führen, dass bestimmte Ziele im Internetvorübergehend nicht erreichbar sind. Das kannfür kriminelle oder kriegerische Kampagnen durchausvon Interesse sein.Dauerhaft ist dieser Zustand aber nicht, weil dasInternetprotokoll auch die Rückantwort erwartet,dass die Datenpakete vollständig am Ziel angekommensind. Die falsche Verbindung löst dadurcheine vermehrte Netzlast wegen der Fehlermeldungenaus. Sie führen schließlich dazu, dassdas fehlerhafte AS umgangen und die Signale überandere Wege geleitet werden.690Manuel Schmitt, IP-Adressen nur mit sicheremRouting eindeutig, Heise online 13.05.2010691WP, IP-Adresse (Internet Protokoll)692CF, verwirrende Beziehungen, 2007 (Tiers, Carrier)693WP, Border Gateway Protocol694Chinesischer Provider "entführt" kurzzeitig Teile desInternets, Heise online 12.04.2010695CF, IP-Adressen ohne Beweiswert, 16.05.2010696WP, Autonomes System697CF, Routing über den Globus, 16.05.2010Die böswillige BGP-Manipulation eignet sich zurVerschleierung der Netzstationen nur, wenn amEnde tatsächlich gemeldet wird, dass alle Datenpaketeangekommen sind. Das machen sich dieSchurkenprovider zunutze, die getarnte Hostspeicherbetreiben, deren Standort vor der Öffentlichkeit,Abmahnern und der Strafverfolgung verschleiertwerden sollen 698 . Diese Fälle fallen dadurchauf, dass die Standortmeldungen, die mitdem Tracerouting oder anderen Werkzeugen aufder Grundlage des Internetprotokolls ermitteltwerden, unsinnig sind, weil sie der physikalischenund wirtschaftlichen Logik des Weltnetzes widersprechen699 .Schmitts Warnung gilt nur für die Fälle, dass einSchurkenprovider die Identität seines Kundentarnt, um ihn der Verfolgung zu entziehen. Es istnicht zu erwarten, dass dadurch Unschuldige verfolgtwerden, weil das Whois Protection und dieTarnung von Servern Standorte und Identitätenverschleiern, nicht aber anderen Handelnden unterschieben.Geniale Verbrecher könnten hingegen auf dieIdee kommen, den Internetauftritt eines Opferskomplett nachzubauen und gezielte Veränderungendaran vorzunehmen. Mit einer BGP-Umleitungkönnte dann auf den manipulierten Internetauftrittumgeleitet werden.Das geht aber nur, wenn das Opfer selber ein ASist, weil sich die BGP-Umleitung auf andere Netzknoten.Ein einzelner Teilnehmer innerhalb einesAS - also ein Host-Kunde neben anderen - kannjedenfalls von außen nicht so ohne weiteres angegriffenwerden. Der Angreifer müsste ganz gezieltdie Hostadresse des Opfers filtern und aufdie gefälschte Präsenz umleiten. Mit größeremAufwand ginge auch das.Für die Strafverfolgung stellt sich das Problemnicht in dieser Brisanz. IP-Adressen sind ganzüberwiegend von Interesse, weil sie von einemZugangsprovider aus seinem Bestand seinemKunden zugewiesen wurden (Bestandsdatenabfrage),der damit Böses veranstaltete. Dabei gehtes nicht um die Ziel-, sondern um die Ausgangs-698CF, anonyme Server, 11.04.2010699CF, Detektion, 11.04.2010
- Seite 2 und 3:
Dieter Kochheim, Cybercrime - 2 -3
- Seite 4 und 5:
Dieter Kochheim, Cybercrime - 4 -57
- Seite 6:
Dieter Kochheim, Cybercrime - 6 -A.
- Seite 9 und 10:
Dieter Kochheim, Cybercrime - 9 -ve
- Seite 11 und 12:
Dieter Kochheim, Cybercrime - 11 -A
- Seite 13 und 14:
Dieter Kochheim, Cybercrime - 13 -A
- Seite 15 und 16:
Dieter Kochheim, Cybercrime - 15 -g
- Seite 17 und 18:
Dieter Kochheim, Cybercrime - 17 -V
- Seite 19 und 20:
Dieter Kochheim, Cybercrime - 19 -v
- Seite 21 und 22:
Dieter Kochheim, Cybercrime - 21 -D
- Seite 23 und 24:
Dieter Kochheim, Cybercrime - 23 -l
- Seite 25 und 26:
Dieter Kochheim, Cybercrime - 25 -f
- Seite 27 und 28:
Dieter Kochheim, Cybercrime - 27 -A
- Seite 29 und 30:
Dieter Kochheim, Cybercrime - 29 -D
- Seite 31 und 32:
Dieter Kochheim, Cybercrime - 31 -1
- Seite 33 und 34:
Dieter Kochheim, Cybercrime - 33 -g
- Seite 35 und 36:
Dieter Kochheim, Cybercrime - 35 -i
- Seite 37 und 38:
Dieter Kochheim, Cybercrime - 37 -A
- Seite 39 und 40:
Dieter Kochheim, Cybercrime - 39 -h
- Seite 41 und 42:
Dieter Kochheim, Cybercrime - 41 -r
- Seite 43 und 44:
Dieter Kochheim, Cybercrime - 43 -A
- Seite 45 und 46:
Dieter Kochheim, Cybercrime - 45 -A
- Seite 47 und 48:
Dieter Kochheim, Cybercrime - 47 -A
- Seite 49 und 50:
Dieter Kochheim, Cybercrime - 49 -A
- Seite 51 und 52:
Dieter Kochheim, Cybercrime - 51 -r
- Seite 53 und 54:
Dieter Kochheim, Cybercrime - 53 -
- Seite 55 und 56:
Dieter Kochheim, Cybercrime - 55 -A
- Seite 57 und 58:
Dieter Kochheim, Cybercrime - 57 -
- Seite 59 und 60:
Dieter Kochheim, Cybercrime - 59 -A
- Seite 61 und 62:
Dieter Kochheim, Cybercrime - 61 -B
- Seite 63 und 64:
Dieter Kochheim, Cybercrime - 63 -B
- Seite 65 und 66: Dieter Kochheim, Cybercrime - 65 -V
- Seite 67 und 68: Dieter Kochheim, Cybercrime - 67 -D
- Seite 69 und 70: Dieter Kochheim, Cybercrime - 69 -I
- Seite 71 und 72: Dieter Kochheim, Cybercrime - 71 -S
- Seite 73 und 74: Dieter Kochheim, Cybercrime - 73 -B
- Seite 75 und 76: Dieter Kochheim, Cybercrime - 75 -B
- Seite 77 und 78: Dieter Kochheim, Cybercrime - 77 -z
- Seite 79 und 80: Dieter Kochheim, Cybercrime - 79 -B
- Seite 81 und 82: Dieter Kochheim, Cybercrime - 81 -A
- Seite 83 und 84: Dieter Kochheim, Cybercrime - 83 -D
- Seite 85 und 86: Dieter Kochheim, Cybercrime - 85 -a
- Seite 87 und 88: Dieter Kochheim, Cybercrime - 87 -r
- Seite 89 und 90: Dieter Kochheim, Cybercrime - 89 -C
- Seite 91 und 92: Dieter Kochheim, Cybercrime - 91 -C
- Seite 93 und 94: Dieter Kochheim, Cybercrime - 93 -k
- Seite 95 und 96: Dieter Kochheim, Cybercrime - 95 -a
- Seite 97 und 98: Dieter Kochheim, Cybercrime - 97 -s
- Seite 99 und 100: Dieter Kochheim, Cybercrime - 99 -d
- Seite 101 und 102: Dieter Kochheim, Cybercrime - 101 -
- Seite 103 und 104: Dieter Kochheim, Cybercrime - 103 -
- Seite 105 und 106: Dieter Kochheim, Cybercrime - 105 -
- Seite 107 und 108: Dieter Kochheim, Cybercrime - 107 -
- Seite 109 und 110: Dieter Kochheim, Cybercrime - 109 -
- Seite 111 und 112: Dieter Kochheim, Cybercrime - 111 -
- Seite 113 und 114: Dieter Kochheim, Cybercrime - 113 -
- Seite 115: Dieter Kochheim, Cybercrime - 115 -
- Seite 119 und 120: Dieter Kochheim, Cybercrime - 119 -
- Seite 121 und 122: Dieter Kochheim, Cybercrime - 121 -
- Seite 123 und 124: Dieter Kochheim, Cybercrime - 123 -
- Seite 125 und 126: Dieter Kochheim, Cybercrime - 125 -