Gefälschtes Phrack-Magazin stiftet Verwirrung

Laut der vermeintlich neusten Ausgabe des Phrack-Magazins wurde der Quellcode des Intrusion Detection System Snort kompromittiert. Dies ist jedoch eine Ente: Bei dem besagten Magazin handelt es sich um eine Fälschung.

In dem E-Zine wurde ein Script veröffentlicht, das angeblich Pakete generiert, die auf jede Snort-Regel passen. Außerdem wird behauptet, dass in den SourceFire-Server eingebrochen wurde und der Quellcode von Snort verändert wurde. SourceFire ist die kommerzielle Variante des Intrusion Detection Systems Snort.

Bei dem Phrack-Magazin handelt es sich jedoch um eine Fälschung: Das Pamphlet befindet sich nicht auf dem offiziellen Phrack-Server , sondern auf einer niederländischen Domain, die bereits seit geraumer Zeit für gefälschte Phrack-Veröffentlichungen genutzt wird. Zudem wurden aus der Snort-Meldung alle Datumsangaben herausgenommen, so dass sich nicht sagen lässt, wann der Server überhaupt kompromittiert worden sein soll.

Auf der Sicherheitsmailingliste Full Disclosure hat sich inzwischen der SourceFire-Gründer Martin Roesch zu Wort gemeldet und die Sache aufgeklärt: Es habe vor über einem Jahr ein Einbruch auf einem seiner Server stattgefunden -- dieser war jedoch zu keinem Zeitpunkt mit dem CVS-System verbunden. Eine Kompromittierung von Snort- oder SourceFire-Dateien sei damit auszuschließen. Ferner seien mittlerweile drei Code-Audits über den Snort-Quellcode gelaufen, die keinerlei Anzeichen für eine Veränderung ergaben.

Das gefälschte Phrack-Magazin stammt offenbar aus dem Kreis um das Project Mayhem -- eine Vereinigung von Blackhats, die es sich zum Ziel gesetzt haben, die Security-Industry gezielt durch Falschinformationen und Fake-Exploits zu verwirren. Beispielsweise versuchte man vor einem knappen Jahr mit dem vermeintlichen ABfrags-Exploit Verwirrung zu stiften. Bereits seit einiger Zeit gibt es einen Grabenkrieg zwischen dem "Original-Phrack" und der Project-Mayhem-Variante. (pab)