Bericht: DDoS-Service als legitimes Geschäft mit Segen des FBI

Skrupellose Geschäftemacher bieten ganz offen DDoS-Angriffe als Dienstleistung an. Scherereien mit Strafverfolgern fürchten sie nicht - denn die seien mit im Boot, berichtet ein renommierter US-Blogger.

In Pocket speichern vorlesen Druckansicht 67 Kommentare lesen
Lesezeit: 2 Min.

Die Booter bewerben ihre Angriffe öffentlich als Stresstest.

Der US-Security-Blogger Brian Krebs berichtet über eine zumindest im öffentlichen Bereich relativ neue Dienstleistung: DDoS-Angriffe. Einer der geschäftstüchtigen "Stress-Tester", den er ausfindig machte, versicherte ihm sogar, er arbeite eng mit dem FBI zusammen.

Die sogenannten Booter bewerben ihre Dienste öffentlich unter dem fadenscheinigen Vorwand, Administratoren einen Stresstest der eigenen Systeme zu ermöglichen. Krebs machte einen davon, einen 22-jährigen US-Amerikaner ausfindig und interviewte ihn. Dabei erklärte der Booter, dass er seine DDoS-Tests als völlig legales Geschäft betrachte. "Wie Einzelne diesen Dienst nutzen, ist ihr eigenes Risiko und ihre eigene Verantwortlichkeit", erklärt er, gespickt mit Rechtschreibfehlern. Er nutze etwa für verstärkte DNS-Attacken die offene Konfiguration vieler DNS-Server aus. Wenn deren Betreiber das nicht passe, könnten sie das ja abstellen.

Im weiteren erklärte der Booter dann, dass er sogar mit dem FBI zusammen arbeite. Die ließen ihn gewähren und bekämen im Gegenzug vollen Zugriff auf die Protokolle aller Aktivitäten seiner Kunden. Er belegt dies durch Angabe seiner angeblichen Kontaktadresse beim FBI. Als Krebs dort anruft und sich als Journalist offenbart, erhält er keine Auskunft in der Sache. Doch nur wenige Minuten nach dem Gespräch mit dem FBI bricht der Booter den Kontakt mit dem Hinweis ab: "Ich wurde angewiesen, dich zu blocken, schönen Tag noch".

Der ehemalige Washington-Post-Reporter Krebs hat einen exzellenten Ruf als Security-Blogger, den er vor allem seinen Enthüllungsgeschichten aus dem Cyber-Untergrund verdankt. Seine Ausführungen sind durchaus glaubwürdig, auch wenn natürlich Angriffe auf Dienste Dritter in nahezu allen Ländern gegen geltendes Recht verstoßen. Seriöse Penetration-Tester versichern sich deshalb sehr sorgfältig, dass der Kunde auch tatsächlich das Recht hat, einen derartigen Angriff zu autorisieren. (ju)