Tatort Internet: Nach uns die SYN-Flut
Seite 4: Kinderspiel
Kinderspiel
Um in Bezug auf die Identität des Angreifers weiterzukommen, sah ich mir die aufgezeichneten Netzwerkdaten näher an. Interessanterweise starteten die Angriffe meist nach 13 Uhr und gingen maximal bis 1 Uhr morgens. Daraus schloss ich, das der Angreifer vermutlich noch zur Schule ging und erst nach Schulschluss wieder am Rechner saß. Dann kam mir eine Idee: Was wäre, wenn er einen Foren-Account hatte? Das ergäbe zumindest mal die E-Mail-Adresse, die für die Registrierung eingesetzt hat. Und vielleicht war er ja sogar selbst ein Spieler, der … aber eins nach dem andern.
Ich öffnete also eines der Tracefiles direkt vor einem Angriff und isolierte sämtliche Verbindungen des Angreifers. Er war durch die Angriffsmuster und die AOL-IP stets leicht zu identifizieren. Ich entdeckte einige HTTP-Anfragen circa 46 Sekunden vor dem Start der Angriffswelle und machte mich daran, aus den Paketen die HTML-Webseiteninhalte zu extrahieren.
Der erste Versuch, mir die komplette HTTP-Sitzung über die Wireshark-Funktion „Follow TCP stream“ anzusehen, scheiterte an der Tatsache, dass der Server die Daten komprimiert verschickt hatte und ich „gzip“ nicht fließend lesen konnte. Also aktivierte ich die bei mir normalerweise abgeschaltete Option „Allow Subdisectors to reassemble TCP streams“ in den Optionen für das Protokoll TCP. Et voilà: Der Protokollanalysator lieferte mir den Webverkehr auf dem silbernen Tablett. Der Angreifer stöberte in einem Thread zum Thema DoS-Angriffe. Offensichtlich wollte er sich am Erfolg seiner Attacken ergötzen – und dabei wurde er leichtsinnig. Denn die extrahierte Webseite zeigte nicht nur den Nachrichtenverlauf, sondern oben rechts auch eine vom Server erzeugte Nachricht:
„Welcome, Blackhat6200“. Bingo! Damit konnte man arbeiten. Ich meldete mich als Administrator im Forum an, suchte mir den Useraccount heraus, und hatte in Null komma Nichts die E-Mail-Adresse, mit der er den Account angelegt hatte. Als Nächstes suchte ich erst mal Online nach Treffern zu dieser Adresse und fand interessanterweise einige Postings in Möchtegern-Hackerforen, wo er unter anderem nach Angriffsmöglichkeiten auf Forumsserver fragte – und zwar genau zu dem Hersteller unserer Software. Dies wurde ebenso dokumentiert wie bereits zuvor die Ergebnisse der Tracefile-Analyse.
Jetzt hoffte ich, dass das gezielte Interesse an diesem Forum nicht zufällig war, und ich es wirklich mit einem verärgerten Spieler zu tun hatte. Und wie ich es vermutet hatte, führte mich die E-Mail-Adresse im Bezahlsystem zu einem Abonnement mit Adress- und Bezahldaten des Users, der tatsächlich in England wohnte. Damit hatte ich im Grunde alles beisammen, was ich herausfinden konnte.
Wenig später traf ich mich mit dem Management des Publishers. Es wurde entschieden, dass die Sache so viel Zeit, Mühe und Geld beansprucht hatte, dass die Unterlagen an die Polizei übergeben und Anzeige erstattet werden sollte. Damit wurde die Rechtsabteilung betraut und ich war aus dem Fall raus.
Doch einige Wochen später erhielt ich völlig überraschend Mail von Scotland Yard. Der Fall war dort auf dem Schreibtisch eines Constables gelandet, der mich bat, ihm meine Unterlagen zukommen zu lassen. Anscheinend hatte die Polizei in Berlin die Sache zwar weitergeleitet. Allerdings war für sie der Fall damit offenbar erledigt.
Nachdem ich meine Unterlagen übersetzt und nach London geschickt hatte, dauerte es wieder einige Wochen, bis ich erneut Nachricht von Scotland Yard erhielt. Sie hatten den Verdächtigen verhaftet, seinen Computer konfisziert, forensisch untersucht und ihn verhört. Er gab die Tat ohne Umschweife zu und gab an, aus Ärger über einen Ausschluss aus dem Spiel durch einen Gamemaster gehandelt zu haben. Er wurde wieder freigelassen. Auf seinen Computer hat er vermutlich etwas länger gewartet – und ich hoffe, der Möchtegern-Blackhat hat richtig Ärger mit seinen Eltern bekommen. (ju)
Diskutieren Sie mit im Forum zu Tatort Internet oder werden Sie Fan von Tatort Internet auf Facebook
Über „Tatort Internet“
Die Serie "Tatort Internet" wurde ursprünglich im c't magazin veröffentlicht. Sie können dort Experten über die Schulter schauen, wie sie Angriffe im Internet nach allen Regeln der Kunst untersuchen. Die Artikel beruhen auf realen Vorfällen, die tatsächlich stattgefunden haben und mit den beschriebenen Methoden analysiert wurden. Die Rahmenhandlung wurde zumindest von realen Begebenheiten inspiriert.
Der Experte dieser ersten Folge der zweiten Staffel, Jasper Bongertz, arbeitet als Senior Consultant beim Fastlane Institute of Knowledge Transfer in Düsseldorf. Er beschäftigt sich schon seit 1992 mit IT-Security mit Schwerpunkt Netzwerke. Interessante Tracefiles und Paketdumps sind quasi seine bevorzugte Bettlektüre. Die Folgen der ersten Staffel finden Sie übrigens ebenfalls online. (ju)
