DDoS-Attacke auf eMule-Portale
Auf die Websites emule.de, freemule.net, emule-project.net und emuleforum.net wird seit Dienstag Nachmittag eine schwere verteilte Denial-of Service-Attacke verübt.
Der Streit zwischen den Entwicklern des P2P-Programms eMule und Mandanten der Rechtsanwaltskanzlei Gravenreuth ist seit dem gestrigen Dienstag um eine pikante Komponente bereichert. Auf die Websites emule.de, freemule.net, emule-project.net und emuleforum.net wird seit Dienstag Nachmittag eine schwere verteilte Denial-of Service-Attacke (DDoS) verübt. Die Site-Betreiber benötigten nur kurze Zeit um herauszufinden, woher die Attacke kommt: Offensichtlich greifen modifizierte eMule-Clients unentwegt auf die so attackierten Server mit HTTP-Requests zu. Besonders die Sites emule.de und emuleforum.net seien dadurch seit gestern zeitweise kaum erreichbar, erklärte eMule-Entwickler Hendrik Breitkreuz gegenüber heise online. Am gestrigen Dienstag habe die Attacke etwa 50 GByte zusätzlichen Traffic erzeugt. "Es könnte also schlimmer sein", kommentierte er.
Jene modifizierten Clients werden von Websites der Firma 3PO Web-Invest Ltd. vertrieben, die ihren Sitz angeblich auf den British Virgin Islands hat. Unbedarfte Nutzer können die Software beispielsweise von den Sites emule-client.de und emule-client.com herunterladen. Dort suggeriert 3PO, eine "offizielle" Download-Quelle für das Open-Source-Programm eMule zu sein. Tatsächlich aber erhalten die ahnungslosen Anwender hier einen manipulierten, gleichnamigen Client, der sich nur auf den ersten Blick wie das originale, kostenlos nutzbare P2P-Tool verhält. Nach einigen Tagen fordert die Software ihren Nutzer aber auf, bei einer 0190-Nummer anzurufen, die mit 19,95 Euro abgerechnet wird. Dort solle man einen Freischalt-Key erfragen. Wenn der nicht eingegeben wird, lädt das Tool ab diesem Zeitpunkt Dateien nur noch mit bis zu 5 KByte/s aus dem eDonkey-Netz herunter.
3PO behauptet nun in einer Stellungnahme, mit der DoS-Attacke der manipulierten Clients auf den eigentlichen Urheber nichts zu tun zu haben. Vor einigen Tagen seien Hacker in "die Webserver als auch die Datenbank und Entwicklungsserver" eingedrungen. "Während dieses Hacks", so ist zu lesen, "haben die Hacker anscheinend nicht nur eine interne Entwicklungsversion des von der Firma 3PO Web-Invest Ltd. weiterentwickelten Emule-Clients zum Download bereit gestellt, sondern auch die Downloads auf der Seite emule-client.de und emule-client.com so manipuliert, dass eine gehackte Version als offizielle Version zum Download bereit gestellt wurde." Gegen Behauptungen, man habe "einen Emule-Client verbreitet, der eine DoS Attacke gegen emule.de oder andere Seiten fahren würde", verwahre man sich und werde rechtlich dagegen vorgehen.
Für die geschädigten eMule-Entwickler ist das ein schwacher Trost. Sie würden gerne von 3PO zumindest eine Unterlassung fordern, aber es dürfte schwerfallen, eine entsprechende Abmahnung an die Firma auf den Virgin Islands zuzustellen. Findige Foren-Nutzer von heise online haben inzwischen herausgefunden, dass das Postfach und die Faxnummer von 3PO identisch ist mit dem eines Unternehmens namens Crescent Corporate Services Limited. Dieses wiederum bietet als Dienstleistung an, so genannte "Offshore Companies" zu verwalten. Dies sind meist Briefkastenfirmen, die Unternehmen gründen, um weniger Steuern zu zahlen und sich der deutschen Rechtssprechung zu entziehen. Die Server von 3PO zumindest stehen in Deutschland; Pressemitteilungen veröffentlicht die Firma auf dem Server eines Anbieters dubioser Dialer, nämlich der Firstway Medien GmbH.
Die deutsche Domain-Verwaltung DeNIC gestattet es nicht, dass ausschließlich ausländische Adressen für die Registrierung von .de-Domains angegeben werden. Zumindest der administrative Ansprechpartner (admin-c) muss eine ladungsfähige deutsche Adresse vorweisen. Als admin-c ist bei der 3PO-Domain emule-client.de und bei einigen anderen Sites der Firma der Münchner Anwalt Bernhard Syndikus aus der Kanzlei Gravenreuth angegeben. Folglich forderte Martin Bahr, Rechtsanwalt der Betreiber von emule.de, vom admin-c Syndikus, die DDoS-Attacken zu unterbinden. Am heutigen Mittag nun trudelte tatsächlich eine entsprechende Unterlassungserklärung von Syndikus ein. "Ohne Anerkennung einer Rechtspflicht" verpflichtet sich der Anwalt darin, nicht persönlich an DDoS-Attacken gegen die entsprechenden Websites mitzuwirken. "Zur Klarstellung" fügte er an, "dass diese DDoS-Attacken weder von mir veranlasst wurden noch bis zum 17.02.2004 mir bekannt war, dass diese erfolgen."
Erst am vergangenen Freitag hat das Anwaltsbüro Gravenreuth & Syndikus eine Abmahnung gegen den Webmaster des Portals emule.de überraschend zurückgezogen. Anfang Februar hatte die Kanzlei vom Betreiber der Site per Abmahnung gefordert, den Namen "eMule" nicht mehr zu verwenden. Die Marke war Mitte 2003 zusammen mit "edonkey" von der Firstway Medien GmbH registriert worden. Der Eintrag wurde damals mit einiger Verwunderung aufgenommen, da die Programme eMule und eDonkey zu diesem Zeitpunkt schon länger existierten. (hob)
