Sturmwurm-Botnetz sperrangelweit offen
Ein Team von Studenten hat das berüchtigte Sturmwurm-Botnetz analysiert und dabei festgestellt, dass man es eigentlich recht leicht eliminieren könnte.
Ein Team von Forschern der Universität Bonn und der RWTH Aachen hat das berüchtigte Sturmwurm-Botnetz analysiert und dabei festgestellt, dass es keineswegs so perfekt ist, wie es immer schien. Im Gegenteil: Mit Software, die Georg Wicherski, Tillmann Werner, Felix Leder und Mark Schlösser entwickelt und zumindest teilweise veröffentlicht haben, ließe sich das Botnetz in kürzester Zeit eliminieren.
Seit zwei Jahren ist der Sturmwurm das Paradebeispiel für die technischen Fähigkeiten organisierter, krimineller Banden im Internet. Das Sturmwurm-Botnetz bestand zwischenzeitlich aus mehr als einer Million infizierter Rechner, die den Befehlen eines Kontrollservers folgten und Peer-to-Peer-Techniken einsetzten, um neue Server zu finden. Selbst nach einer großen Reinigungsaktion durch Microsofts Malicious Software Removal Tool dürften noch grob geschätzt 100.000 Drohnen übrig sein. Damit ist das Sturmwurm-Botnetz für einen beträchtlichen Teil der Spam-Flut und viele verteilte Denial-of-Service-Angriffe verantwortlich. Umso erstaunlicher ist es, dass es trotzdem nicht gelingt, dieses Netz stillzulegen. Den Ergebnissen der Forscher zu Folge liegt das keineswegs an den technischen Finessen der Sturmwurm-Entwickler.
Die bisherigen Erkenntnisse über die eingesetzten Techniken des Sturmwurms stammen hauptsächlich aus Beobachtung des Verhaltens von infizierten Systemen. Um den Sturmwurm zu entzaubern, beschritten die Hacker einen anderen Weg. Sie haben große Teile des Client-Programms der Zombies aus dem Maschinencode zurückübersetzt und analysiert. Insbesondere die Funktionen zur Kommunikation mit den anderen Zombies und dem Server haben sie sich dabei genauer angesehen.
Mit diesem Hintergrundwissen konnten sie einen eigenen Client entwickeln, der sich derart in die Peer-to-Peer-Struktur des Sturmwurm-Netzes einklinkt, dass Anfragen anderer Zombies nach neuen Kommando-Servern ziemlich sicher an ihn geschickt wurden. Damit ist er in der Lage, den Zombies einen neuen Server unterzuschieben. Im zweiten Schritt analysierten die Forscher das Protokoll für die Befehlsübergabe. Dabei stellten sie fest, dass sich der Server erstaunlicherweise nicht bei den Clients authentifizieren muss und sie mit ihren Informationen in der Lage waren, einen einfachen Server aufzusetzen. Der konnte ihren Sturmwurm-Drohnen im Testlabor dann tatsächlich Befehle geben, die diese ausführten, etwa ein bestimmtes Programm von einem Server nachzuladen und auszuführen – zum Beispiel ein spezielles Reinigungsprogramm. Ein solches haben die Forscher dann auch gleich geschrieben.
Damit hatten sie eigentlich alle nötigen Grundkomponenten zusammen, um das Sturmwurm-Netz komplett zu eliminieren. Mit einer noch zu schreibenden Erweiterung für eine verteilte Desinfektion sollte sich auch ein Zombie-Netz aus mehr als 100.000 Drohnen auflösen lassen, ohne Gefahr zu laufen, dass ein zentraler Reinigungsserver unter der Last oder eventuellen DDoS-Angriffen der Botnetz-Betreiber zusammenbricht.
Den letzten Schritt, das Ganze mit echten Zombies umzusetzen, vollzogen die Forscher dann allerdings nicht mehr. Denn aus rechtlicher Sicht ist ein solches Vorhaben alles andere als unproblematisch. So könnte in dem unerlaubten Zugriff auf fremde Rechner etwa eine strafbare Datenveränderung nach § 303a zu sehen sein. Danach ist es bei Androhung einer Freiheitsstrafe von bis zu zwei Jahren verboten, rechtswidrig fremde Daten zu löschen, zu unterdrücken, unbrauchbar zu machen oder zu verändern. Diese Vorschrift setzt allerdings einen Strafantrag des Betroffenen oder ein besonderes öffentliches Interesse an der Strafverfolgung voraus.
Neben strafrechtlichen Risiken besteht zudem die Gefahr von zivilrechtlichen Schadensersatzansprüchen durch die Besitzer der infizierten PCs. Denn bei einer solchen Aktion ist auch mit Kollateralschäden zu rechnen. So gäbe es ziemlich sicher Konstellationen, in denen die Reinigung fehl schlägt und Rechner vielleicht sogar anschließend nicht mehr starten. Die zu erwartenden Abwehrreaktionen der Botnetz-Betreiber könnten zu weiteren Schäden führen.
Auf der anderen Seite reden wir hier über Zombie-Rechner, die eine Gefahr für die Allgemeinheit darstellen. Bot-Netze sind die wichtigsten Werkzeuge krimineller Banden, die jährlich viele Millionen durch Betrug und Erpressung abkassieren. Ohne sie wäre das Internet deutlich sicherer und sehr viel angenehmer. Da verwundert es schon, dass es keine Diskussion darüber gibt, welche rechtlichen Voraussetzungen man schaffen müsste, um diese Bedrohung aktiv aus der Welt schaffen zu können. Darauf, dass das technisch ohnehin nicht möglich wäre, können sich die Verantwortlichen jedenfalls nicht mehr zurückziehen. (ju)