Bot-Armeen greifen an

Kriminelle haben ein neues und sehr lukratives Ziel für sich entdeckt. Sie erpressen kleine und große Firmen, die im Internet präsent sind, um hohe Geldsummen. Das funktioniert teilweise sehr viel einfacher als bei üblichen Schutzgelderpressungen. Denn die Gangster müssen gar nicht selbst in Erscheinung treten und können anonym weltweit von jedem beliebigen Ort aus zuschlagen – zu jedem Zeitpunkt ohne weitere Vorwarnung. Als Druckmittel dient ihnen dabei eine Armee von Bot-Rechnern, die spielend fast jeden Server lahm legen können. Die erpressten Firmen können sich gegen die Attacken kaum wehren. Wir erklären den technischen Hintergrund und zeigen, wie die Abzocke abläuft.

In Branchen, in denen das ganze Geschäftsmodell von der IT abhängig ist, können die Downtime-Kosten schnell sehr hoch werden. So schätzt Contingency Research beispielsweise für Online-Shops die Ausfallkosten auf über 100.000 Dollar pro Stunde, für ein Bankrechenzentrum auf 2,5 Millionen und für das Online-Broking gar auf 6,5 Millionen Dollar. Zuerst gerieten Online-Wettbüros ins Visier von Kriminellen. Die Gauner forderten von den Site-Betreibern bis zu 60.000 Euro, damit die Web-Seiten auch weiterhin erreichbar sind. Die Wettbüros wendeten sich an die Polizei und investierten bis zu 150.000 Euro in Sicherheitstechnik. Derart hohe Investitionen waren durchaus angebracht, denn die befürchteten Attacken gehen von Bot-Netzwerken aus – kurz Botnets genannt. Diese Netze bestehen aus mehreren tausend Rechnern von Privatleuten, auf denen die Gangster heimlich schädlichen Code eingeschleust haben. Die PCs lassen sich vom Programmierer des Codes über einen zentralen Server im Internet fernsteuern. Bis es soweit ist, verhalten sich die befallenen Rechner fast gänzlich unauffällig. Die Besitzer der Rechner haben dabei keine Ahnung, dass ihr PC teil einer Angriffsarmada ist.

Ist eine erpresste Firma nicht bereit zu zahlen, starten die Kriminellen einen Denial-of-Service-Angriff (DoS-Angriff) über ihr Bot-Netzwerk. Dabei stellen die Bot-PCs korrupte Anfragen an den Server der Firma. Verbreitet ist das Syn-Flooding. Normalerweise wird die Kommunikationssitzung zwischen PC (Client) und Server in drei Schritten aufgebaut: Der Client sendet „SYN“, der Server antwortet mit „SYN-ACK“ und der Client bestätigt das mit „ACK“. Beim Syn-Flooding schickt der Client das „ACK“ nicht ab, die Verbindung ist also halb geöffnet. Da es auf einem Server nur eine beschränkte Anzahl halb offener Verbindungen geben kann, sind der Rechner und damit auch die darauf laufende Website nicht mehr für normale Anfragen erreichbar.

Lesen Sie auf der nächsten Seite:
Erpressung: Kriminelleentdecken das Internet: Die Sicherheitsfirma Messagelabs berichtet von einer Studie, laut der 17 von 100 befragten US-Unternehmen...