Unsichtbare Hacker

Der Einbruch in Online-Bezahldienste ist für raffinierte Hacker offensichtlich sehr einfach. Doch sind sie auch raffiniert genug, um sich selbst zu schützen? In den meisten Fällen ja.

Hacker, die sich Zugang zu Internet-Servern verschaffen, treffen Vorkehrungen, um unerkannt zu bleiben. Denn bei jedem Zugriff auf einen anderen Rechner erfährt dieser zwangsläufig die momentane IP-Adresse des Hacker-PCs. Die IP-Adresse ist eine eindeutige Kennung, die einen Rechner im Internet eindeutig identifiziert. Sie wird bei der Kommunikation in allen Datenpaketen mitgeschickt, damit die Server und Router im Internet wissen, wohin sie die Antwort senden müssen.

Viele Server speichern aus Sicherheitsund Statistikgründen, welche IP-Adressen zu welcher Zeit auf sie zugegriffen haben. Bemerkt ein Server-Administrator unautorisierte Zugriffe, schaut er in diese Protokoll-Datei und könnte versuchen, durch die IP-Adresse auf die Identität des Angreifers zu schließen

Wenn ein Anwender keine Standleitung hat, bekommt er in der Regel vom Provider bei jeder Einwahl eine andere IP-Adresse zugewiesen. Nur der Provider weiß anhand seiner Protokolldateien, welcher Anwender zu welcher Uhrzeit mit welcher IP-Nummer im Netz unterwegs war. Aus Datenschutzgründen darf er jedoch niemandem darüber Auskunft erteilen - außer den Strafverfolgungsbehörden. Ob der Server-Administrator sich die Mühe macht, eine Anzeige gegen unbekannt beziehungsweise gegen den anonymen Inhaber einer IP-Adresse zu stellen, hängt von der Schwere der Tat ab. Hacker gehen aber kein Risiko ein und sorgen dafür, dass die IP-Adressen, die sie auf den Servern hinterlassen, keinen Rückschluss auf sie zulassen.

Dazu bedienen sie sich einer oder mehrerer Zwischenstationen. Dabei kann es sich zum Beispiel um einen Proxy-Server oder ein VPN (Virtuelles privates Netzwerk) handeln. Daten, die sie senden und empfangen, landen also zuerst bei dieser Zwischenstation, die sich um die Weiterleitung kümmert. Der Ziel-Server erfährt somit nur die IP-Adresse der Zwischenstation. Es gibt Hunderte Proxy-Server, die sich kostenlos nutzen lassen. Sie eignen sich allerdings aus mehreren Gründen nur bedingt für Hacker.

1. Der Hacker muss erst nach einem aktiven Proxy-Server suchen. Spezielle Dienste, zum Beispiel www.aliveproxy.com, übernehmen diese Aufgabe und stellen Adresslisten ins Web.

2. Es ist meist nicht klar, ob ein Proxy-Server mit Absicht allen Internet-Anwendern zur Verfügung gestellt wird oder ob es sich um einen Konfigurationsfehler handelt.

3. Es könnte sein, dass der gewählte Proxy-Server alle Zugriffe und somit auch die IP-Adresse des Hackers mitprotokolliert.

4. Kostenlose, für jeden zugängliche Proxys sind oft überlaufen und somit langsam.

5. Proxys funktionieren in der Regel nur zum Surfen. Bei Zugriffen auf andere Ports als den Standard-Port 80 für Web-Browser wird der Proxy übergangen und der Zugriff direkt hergestellt. Der Server erfährt somit die IP-Adresse des Anwenders.

6. Manche Proxy-Server senden die echte IP-Adresse des Hackers im HTTP-Header mit. Der Ziel-Server könnte sie dadurch mitprotokollieren. In einem solchen Fall spricht man von einem "transparenten" Proxy, der sich nicht zum anonymen Surfen eignet.

Hacker, denen der bloße Web-Zugriff genügt, etwa zum Aufrufen von Deep Links, nutzen nur Proxys, bei denen sie sicher sein können, dass sie keine Protokolldateien führen. Bei JAP soll das so sein - nachprüfen lässt sich das schwer.

Hacker, die uneingeschränkten anonymen Zugriff auf alle Ports benötigen, gehen einen anderen Weg. Sie nutzen zum Beispiel Dienste wie www.findnot.com. Über eine Windows-Funktion oder ein kleines Tool setzen sie auf ihre Verbindung eine zweite virtuelle Verbindung auf - per VPN (Virtuelles privates Netzwerk). Ein VPN ist wie ein Tunnel zwischen zwei Internet-Rechnern, durch den die Daten verschlüsselt übertragen werden. Sobald ein Hacker eine Verbindung mit einem VPN-Dienst hergestellt hat, bekommt sein Rechner von ihm eine zweite IP-Adresse zugewiesen. Alle ausgehenden und eingehenden Verbindungen laufen nun über diese IP-Nummer.

Die erste IP-Nummer, die er bei der Internet-Einwahl zugewiesen bekommen hat, tritt in den Hintergrund und ist nur für den VPN-Betreiber sichtbar. Theoretisch könnte Findnot.com alle Zugriffe protokollieren und wäre dann gegenüber Strafverfolgungsbehörden auskunftspflichtig. Die Betreiber versprechen aber, keine Logdateien zu führen.