Cybercrime

Dieter Kochheim, Cybercrime - 117 -C.3 9.5 IP-Adressen und Domain-EntführerManuel Schmitt kritisiert 690 , die Strafverfolgungsbehördenwürden sich zu sehr auf die IP-Adressen691verlassen und dabei die Routing-Prokolle dergroßen Provider außer Acht lassen 692 , greift fehl.Anlass geben ihm das Border Gateway Protocol –BGP 693 - und die Meldung, dass im April 2010 einchinesischer Provider einen Teil des Internets entführthat 694 .Was ist passiert 695 ? Der chinesische Internet-ProviderIDC China ist ein autonomes System - AS 696 -und betreibt einen BGP-Router, der dem Internetmeldet, mit welchen anderen Partnern er verbundenist 697 . Diese Meldungen nehmen die Netzknotenauf und speichern sie. Mit diesen Daten arbeitetdas BGP und die Netzknoten senden an das ASNutz-Datenpakete, weil sie davon ausgehen, dassdieses Zwischennetz sie an das richtige Ziel weiterleitet. Das ging aber schief, weil das AS falschePartnernetze meldete und die angelieferten Datenpaketeirgendwo in China versandeten. Das erfolgteunkontrolliert, weil das BG-Protokoll keine Kontrolle,sondern Vertrauen voraussetzt.Der böswillige Einsatz einer BGP-Manipulationkann dazu führen, dass bestimmte Ziele im Internetvorübergehend nicht erreichbar sind. Das kannfür kriminelle oder kriegerische Kampagnen durchausvon Interesse sein.Dauerhaft ist dieser Zustand aber nicht, weil dasInternetprotokoll auch die Rückantwort erwartet,dass die Datenpakete vollständig am Ziel angekommensind. Die falsche Verbindung löst dadurcheine vermehrte Netzlast wegen der Fehlermeldungenaus. Sie führen schließlich dazu, dassdas fehlerhafte AS umgangen und die Signale überandere Wege geleitet werden.690Manuel Schmitt, IP-Adressen nur mit sicheremRouting eindeutig, Heise online 13.05.2010691WP, IP-Adresse (Internet Protokoll)692CF, verwirrende Beziehungen, 2007 (Tiers, Carrier)693WP, Border Gateway Protocol694Chinesischer Provider "entführt" kurzzeitig Teile desInternets, Heise online 12.04.2010695CF, IP-Adressen ohne Beweiswert, 16.05.2010696WP, Autonomes System697CF, Routing über den Globus, 16.05.2010Die böswillige BGP-Manipulation eignet sich zurVerschleierung der Netzstationen nur, wenn amEnde tatsächlich gemeldet wird, dass alle Datenpaketeangekommen sind. Das machen sich dieSchurkenprovider zunutze, die getarnte Hostspeicherbetreiben, deren Standort vor der Öffentlichkeit,Abmahnern und der Strafverfolgung verschleiertwerden sollen 698 . Diese Fälle fallen dadurchauf, dass die Standortmeldungen, die mitdem Tracerouting oder anderen Werkzeugen aufder Grundlage des Internetprotokolls ermitteltwerden, unsinnig sind, weil sie der physikalischenund wirtschaftlichen Logik des Weltnetzes widersprechen699 .Schmitts Warnung gilt nur für die Fälle, dass einSchurkenprovider die Identität seines Kundentarnt, um ihn der Verfolgung zu entziehen. Es istnicht zu erwarten, dass dadurch Unschuldige verfolgtwerden, weil das Whois Protection und dieTarnung von Servern Standorte und Identitätenverschleiern, nicht aber anderen Handelnden unterschieben.Geniale Verbrecher könnten hingegen auf dieIdee kommen, den Internetauftritt eines Opferskomplett nachzubauen und gezielte Veränderungendaran vorzunehmen. Mit einer BGP-Umleitungkönnte dann auf den manipulierten Internetauftrittumgeleitet werden.Das geht aber nur, wenn das Opfer selber ein ASist, weil sich die BGP-Umleitung auf andere Netzknoten.Ein einzelner Teilnehmer innerhalb einesAS - also ein Host-Kunde neben anderen - kannjedenfalls von außen nicht so ohne weiteres angegriffenwerden. Der Angreifer müsste ganz gezieltdie Hostadresse des Opfers filtern und aufdie gefälschte Präsenz umleiten. Mit größeremAufwand ginge auch das.Für die Strafverfolgung stellt sich das Problemnicht in dieser Brisanz. IP-Adressen sind ganzüberwiegend von Interesse, weil sie von einemZugangsprovider aus seinem Bestand seinemKunden zugewiesen wurden (Bestandsdatenabfrage),der damit Böses veranstaltete. Dabei gehtes nicht um die Ziel-, sondern um die Ausgangs-698CF, anonyme Server, 11.04.2010699CF, Detektion, 11.04.2010