Angriffe auf Newsserver im Usenet
Seit einigen Tagen greifen Netzsaboteure in größerem Umfang Newsserver im Usenet an und versuchen dabei hauptsächlich, deutsche Diskussionsforen lahmzulegen.
Seit Dienstag, dem 30. Oktober, hat es eine Welle von Versuchen gegeben, insbesondere deutsche Diskussionsforen im Usenet zu sabotieren. Im Rahmen eines so genannten Hipcrime Attack kursieren derzeit gefälschte Kontrollnachrichten im Usenet, die auf anfälligen Newsservern die Abonnements und alle empfangenen Postings der jeweils betroffenen Newsgruppen löschen.
Solche Kontrollnachrichten dienen eigentlich zur Verwaltung des weltweiten Nachrichtenverkehrs – etwa zum Einrichten neuer Newsgroups, zum gezielten Löschen von Spam-Beiträgen oder zum Aufheben einvernehmlich beendeter Gruppen. Die Berechtigung, derartige Botschaften zu verschicken, ist namentlich an die zuständigen Administratoren gekoppelt. Üblicherweise schützt man sie durch PGP-Keys vor Missbrauch. Allerdings nutzen Netzsaboteure Sicherheitslücken auf schlecht gepflegten Newsservern und in bestimmten Newsgroup-Hierarchien, etwa de.alt.*, aus, um ihre gefälschten Kontrollnachrichten einzuschleusen.
Zu den Störenfrieden, die sich auf diese Weise bei den meisten Diskussionsteilnehmern des Usenet alles andere als beliebt machen, zählt unter anderem der Inhaber des Pseudonyms "Hipcrime", der sich ursprünglich durch das Überschreiben von Usenet-Beiträgen anderer Leute mit den Stimmführern gegen Spam-Kampagnen angelegt hat.
Die aktuellen Angriffe betreffen alle Newsgroups der Hierarchie de.*, aber auch lokale Gruppen. Sie gehen anscheinend auf einen Hipcrime-Nachahmer zurück, der unter dem gefälschten Namen Jonas Luster (jluster@baysec.org) unberechtigte Löschaufforderungen an Newsserver verbreitet. News-Admins können sich gegen Angriffe schützen, indem sie die automatische Verarbeitung von Kontrollbotschaften deaktivieren.
Bei INN-Servern ist dafür in der Datei control.ctl in allen Zeilen für "newgroup"- und "rmgroup"-Anforderungen als viertes Wort "mail" an Stelle von "doit" oder "doit=mail" einzusetzen. Benutzern anderer Newsserver-Software wie Cnews oder Dnews empfiehlt es sich, die Hinweise auf Schutzmaßnahmen in de.admin.net-abuse.news nachzulesen – jedenfalls so lange sie es noch können. (Carmen Bartels)/ (hps)
