Den Teufel mit dem Beelzebub austreiben

Warum Anti-Spam-Firma Blue Security scheitern musste

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

„Auge um Auge – DDoS gegen Spam“ - mit diesem Motto war die israelische Anti-Spam-Firma Blue Security zum Kampf gegen die Verschmutzung der Emailbriefkästen ihrer Kunden mit Spammüll angetreten – erfolgreich, wie es zunächst schien. 522.000 Kunden konnte die Firma in gut zwei Jahren für sich und ihr aggressives Anti-Spam-Geschäftsmodell begeistern. Jetzt schlug die russische Spam-„Mafia“ zurück. Nach massiven DDoS-Angriffen streicht die Firma ihre Segel und gibt auf. Kritiker werfen Blue Security schon seit langem vor, mit ihren Opt-out-Listen ihre Kunden zu gefährden. Außerdem würden die aggressiven Methoden der Firma der Anti-Spam-Bewegung prinzipiell mehr schaden als nützen. Sie seien größtenteils sogar wirkungslos.

Vor wenigen Jahren noch waren die meisten Spammer Einzelkämpfer, die das kostengünstige und bequeme Medium Email nutzten, um für die eigenen Produkte zu werben. Legendär ist jene erste Spammail, die im Mai 1978 von Gary Thuerk im damaligen ARPANET verbreitet wurde. Thuerk lud zur Präsentation eines neuen Computermodells ein, das er vertrieb – damals mit Erfolg. Seine Spammail brachte ihm einen zusätzlichen Umsatz von rund zwölf Millionen Dollar – und eine harsche Ermahnung der Netzverantwortlichen. Der Rüffel zeigte Wirkung. Thuerks erster Spamversuch blieb auch sein letzter.

Schattenwirtschaft Spam

Mehr als 25 Jahre später hat sich die Spammer-Szene radikal verändert. Gelegenheitsspammer wie Thuerk sind Schnee von gestern. Heute ist Spamming zu einem überaus profitablen Geschäftsmodell geworden, das den Grundstein für eine florierende Schattenwirtschaft mit weltweiter, über das Internet vermittelter Infrastruktur gelegt hat. Die derzeitigen Hauptakteure sind eindeutig dem kriminellen Milieu zuzuordnen. http://www.spamhaus.org/rokso/index.lasso Sie haben informelle Netzwerke geflochten, über die die geschäftlichen Beziehungen zwischen den Akteuren - vom Auftraggeber einer Spamkampagne bis hin zum Mailversender - abgewickelt werden.

Das Spamgeschäft lässt sich nicht von anderen Netzgefahren isolieren. Charakteristisch für die kriminelle Spammer-Szene ist insbesondere ihre spezifische Vermischung mit der kriminellen Schadprogrammschreiberszene. Die Spammer-Szene nutzt die Hilfsdienste, die sie gegen Bezahlung aus der Szene der Schadprogrammschreiber bezieht, und subventioniert dadurch die Entwicklung weiterer, technisch immer ausgefeilterer Schadprogramme. Diese Schadprogramme werden beispielsweise genutzt, um weltweit Rechner zu kapern und zu fernsteuerbaren Zombie-PCs umzumodeln. Die Zombie-PCs werden anschließend gegen Bezahlung zur Spamverbreitung genutzt.

Auftraggeber im Visier

Spammer bzw. deren Auftraggeber wollen etwas verkaufen. Beworben werden Waren, für die es auf diesem Vertriebsweg eine Profit versprechende Nachfrage gibt. Zu den Auftraggebern der Spammer gehören Produzenten von Kinder- und sonstiger legaler oder illegaler Pornografie ebenso wie die Verbreiter von zweifelhaften Arzneimitteln oder raubkopierter Software, die in den Spammails zu Schnäppchenpreisen angeboten wird. An diesem Punkt setzte die israelische Sicherheitsfirma Blue Security an. Wo etwas verkauft wird, muss es auch einen Weg geben, mit dem Händler Kontakt aufzunehmen – und ihn darauf hinzuweisen, dass man künftig von seinem Werbemüll verschont bleiben möchte. Nicht die Spamverbreiter standen somit im Visier der Firma, sondern deren Auftraggeber.

Das Blue-Security-Anti-Spam-Modell funktionierte dabei denkbar einfach: Kunden der Firma wurden Mitglied in der „Blue Community“ und mussten auf ihrem Rechner eine Software namens „Blue Frog“ installieren. Blue Frog sammelte und analysierte die eingehenden Spammails. Blue Security erstellte daraus Opt-out-Listen mit den Adressen derjenigen Kunden, die von solchen Mails künftig verschont bleiben wollten. Anschließend wurde der Betreiber der Webseite, für dessen Produkte per Spam geworben wurde, zweimal verwarnt und aufgefordert, die Blue-Security-Kunden aus seinem Spam-Verteiler zu streichen.

Angriff der Blauen Frösche

Wenn die Warn-Emails nicht fruchteten, blies der Blaue Frosch zum Angriff und fuhr eine DDoS-Attacke gegen die fragliche Webseite. Zu diesem Zweck wurden die Blue-Frog-Rechner der betroffenen Kunden zu einem gewaltigen „Bot-Netz“ zusammengeschlossen. Ziel war es, die fraglichen Webseiten in bester Botnetz-Manier automatisiert und gleichzeitig mit Beschwerden zu überfluten – und je nach Kapazität der Webseitenbetreiber befristet lahm zu legen.

Warnung vor Missbrauch

Die Taktik, Spammer bzw. deren Auftraggeber mit den eigenen unfairen Mitteln zu bekämpfen, stieß vielfach auf Kritik. Webseiten per DDoS-Attacke anzugreifen sei schlicht und ergreifend illegal, meinte etwa John R. Levine von der Anti-Spam-Organisation Coalition Against Unsolicited Commercial E-Mail (CAUCE). Jeder Blue-Security-Kunde mit einem Blauen Frosch auf seinem Rechner mache sich bei dieser Form der Selbstjustiz die Finger schmutzig, zumal sich das Blue-Frog-Botnetz auch problemlos missbrauchen lasse. So wäre es durchaus möglich, den Link eines Mitbewerbers per Spammail zu verschicken und so lange zu warten, bis die Blauen Frösche stutzig werden, den ahnungslosen Webseitenbetreiber abmahnen und ihn anschließend mit ihrem Beschwerdedauerfeuer aus dem Netz kicken. Ob es solche Vorfälle gegeben hat, ist nicht bekannt, weil Blue-Security-Geschäftsgeheimnis.

Dass die Spamversender die Aktivitäten der israelischen Firma tatsächlich als DDoS-Angriffe interpretierten, belegen Chatprotokolle, die die Washington Post kürzlich in Auszügen veröffentlichte. In einem Chat zwischen einem Spammer namens ATM und Eran Reshef, Chef von Blue Security, heißt es u. a.:

ATM: „Wir wollen verstehen, wer uns angreift. Ihr? Die Konkurrenz? Oder beide? Was wollt ihr von uns? (…) Meine Techniker konnten eure Angriffe bisher abwehren. Wir sollten dies Problem friedlich lösen.“

Blue Security: „Wir wollen euer Geschäft nicht schädigen. Wir wollen nur, dass ihr aufhört, unseren Nutzern Spam zu schicken.“

ATM: „Wer sind eure Nutzer? (…) Beantworte meine Frage – das Botnetz mit 15.000 IP-Adressen, gehört das euch?“

Blue Security: „Das ist kein Botnetz. Das sind 15.000 unserer mehr als 500.000 Kunden. Wir haben ein Programm (…), das eure Emaillisten automatisch säubern kann.“

Anschließend war ATM damit einverstanden, die Listen zu säubern. Reshef bat ATM um seine Mailinglisten, damit man die eigenen Kunden herausstreichen könne. ATM könne ihm die Listen ja per Email zuschicken, womit ATM keineswegs einverstanden war: „Ich hab’ vom Spam in meinem Email-Briefkasten die Nase voll, Emails nutze ich deshalb nicht mehr.“

Offenbar erwies sich die Blue-Security-Taktik Firmenangaben zufolge als so wirksam, sprich: für die Spammer als so bedrohlich, dass sich sechs der zehn weltweit aktivsten Spammerbanden schließlich kooperativ zeigten, einen Waffenstillstand akzeptierten und die Opt-out-Listen der Firma übernahmen – ein respektabler Erfolg für Blue Security und ihre Kunden, deren Spam-Aufkommen zeitweilig deutlich sank. Überprüfen lassen sich diese Angaben allerdings nicht.

PharmaMaster greift ein

Während es mit ATM und weiteren Spammern zu einer Einigung kam, setzten andere Spammerbanden auf Konfrontation. Sie wollten sich ihre Geschäftspolitik offenbar nicht von einer kleinen israelischen Firma diktieren lassen.

Der Gegenschlag begann am späten Nachmittag des 2. Mai. Unbekannte belegten die Blue-Security-Webseite mit schweren DDoS-Angriffen. Massive Drohungen hatte es bereits im April gegeben, die letzte ihrer Art am 2. Mai, kurz bevor die Angriffe gegen Blue Security begannen. Blue Security werde lahm gelegt, hieß es in einer Mitteilung, die über ICQ an die Firma geschickt wurde. Ihr Urheber nannte sich PharmaMaster, ein in Sicherheitskreisen ebenso bekannter wie berüchtigter russischer Spammer hauptsächlich für Arzneimittel von zweifelhafter Herkunft. „Blue fand die richtige Lösung, um Spam zu stoppen, und ich kann nicht zulassen, dass das so weitergeht“, soll er dem Chef von Blue Security mitgeteilt und gedroht haben: „Wenn ich nicht spammen kann, wird es auch kein Internet mehr geben.“ Zumindest für Blue Security erfüllte sich diese Drohung. Die Firma gab nach wochenlangem DDoS-Dauerfeuer am 17. Mai auf und schloss ihre virtuellen Pforten.

PharmaMaster tat sich nicht nur mit Drohungen gegen Blue Security hervor, sondern kontaktierte per Email auch rund 450.000 Kunden dieser Firma. Unter der Überschrift „Blue Security Important Update“ wurden die Blue-Frog-Nutzer ultimativ aufgefordert, das Programm umgehend von ihren Rechnern zu deinstallieren. Sollten sie dieser Aufforderung nicht Folge leisten, würden ihre Adressen im Internet veröffentlicht und dadurch anderen Spammern zugänglich. „Danach werden Sie bemerken, dass der Spamanteil in Ihrem Postfach auf das 10- bis 20-Fache steigen wird“, drohte er in seiner Email.

Wie kam PharmaMaster an die Adressenliste der Blue-Security-Kunden? Diese Frage ist bislang ungeklärt. Angeblich lagen die Kundenlisten „bombensicher“ verschlüsselt auf den Rechnern der israelischen Firma. Dennoch müssen sich PharmaMaster und seine Helfer direkt oder indirekt Zugriff auf diese Listen verschafft haben. Von einem erfolgreichen Hackerangriff plus Datendiebstahl wurde bisher nichts bekannt. Aber ein solcher Angriff wäre vermutlich gar nicht nötig gewesen. Es dürfte ausgereicht haben, die eigenen Mailinglisten mit denjenigen Listen abzugleichen, die um die Blue-Security-Kunden im Opt-out-Verfahren bereinigt worden waren. Im Ergebnis hätte man dann eine No-Spam-Liste, die mit der Kundenliste der israelischen Firma größtenteils identisch wäre.

Feuer mit Feuer bekämpfen?

Gegenwärtig wird diskutiert, warum die israelische Firma Blue Security gescheitert ist. Es sei völlig falsch und gar gefährlich, „Feuer mit Feuer zu bekämpfen“, meint etwa Christoph Hardy, Spam-Experte der britischen Sicherheitsfirma Sophos. Eine solche Strategie führe letztlich nur dazu, „dass E-Mail-Gateways und andere Kommunikationsknotenpunkte zu Lasten von Anwendern verstopft werden“ - eine wenig schlüssige Argumentation, die den Kern, DDoS-Angriffe nicht auf die Spammer selbst, sondern auf die Webseiten ihrer Kunden zu fahren, überhaupt nicht trifft.

Von anderer Seite wird argumentiert, Blue Security habe nur nachgeben müssen, weil die Firma nicht genügend finanzielle Mittel gehabt habe, um sich technisch besser vor DoS-Angriffen zu schützen. So verspricht sich beispielsweise US-Rechtsprofessor Peter Swire von der Blue-Frog-Taktik mehr Erfolg, „wenn sie große Unternehmen umsetzen, die koordinierten Angriffen wehrhafter Spammer mehr Zeit und Geld entgegensetzen könnten“.

Diese auf den ersten Blick plausible Argumentation hat einen entscheidenden Schönheitsfehler. Blue-Frog-DDoS-Attacken lassen sich problemlos nur gegen „legal“ gehostete Webseiten einsetzen. Die überwiegende Mehrzahl der Links, die in Spammails angegeben werden, verweist allerdings nicht auf solche „fixen“, ganz legal gehosteten und für längere Zeit erreichbaren Webseiten. Spammer und deren Auftraggeber nutzen in den allermeisten Fällen „Ex und hopp“-Webseiten, die nur für die Dauer einer meist kurzen Spammailkampagne auf gehackten Servern oder gekaperten Zombie-Rechnern gespeichert werden. Läuft die nächste Spamkampagne an, befindet sich die Seite längst auf einem anderen Rechner. DDoS-Angriffe treffen somit oft den Falschen und diesen dann auch noch zu spät.