Für die Netzinhaber nutzlose IP-Pakete verschmutzen das weltweite Netz zunehmend. Manche Anfragen an das eigene LAN stellen sich dabei als alles andere als harmlos heraus.
Netzwerk-Kartographen, Hacker, Schlapphüte, Stümper. Im Internet werden nicht nur betriebsbedingte Verbindungen aufgebaut. In einer wissenschaftlichen Studie verdoppelte sich abwegiger Datenverkehr auf einem extra für Testzwecke aufgebauten Horchposten pro Jahr. Gleichzeitig wächst der gesamte Internetverkehr um nur 50 Prozent im Jahr, trotz Antrieb durch das Wachstum an Videoanwendungen.
Port-Scanner verursachen ein großes Datenvolumen Foto: Robert F. Balazik - shutterstock.com
Dieses Grundrauschen im Internet ist ein Phänomen. Größtenteils ist es auf Port-Scans zurückzuführen. Damit ist das Abtasten der Netzwerk-Ports an einer ausgedehnten Zahl von Host-Rechnern gemeint. Das Abhorchen des kompletten Adressraums einer regionalen Internet Registry ist dabei keine Seltenheit. Selbst ein Scan aller im weltweiten Netz erreichbaren Server ist mit der entsprechenden Ausrüstung relativ mühelos ausführbar.
Zunächst einmal lässt sich die Motivation solcher Scans recht einfach zusammenfassen. Man sammelt Informationen über die von den Rechnern angebotenen Dienste. Dazu wird eine Test-Nachricht an den Zielrechner geschickt und eine automatisierte Antwort veranlasst. Man lässt also die Computer miteinander sprechen. Vielfach prallen solche Anfragen bereits an der Firewall ab.
Aber selbst eine Abfuhr durch die Firewall kann für den Scanner aufschlussreiche Informationsschnipsel enthalten. Nicht nur der Scanner, auch auf der anderen Seite der Firewall kann man die entsprechenden Daten natürlich verwerten. Über die Masse solcher unerwünschten Anfragen wird man nicht selten erstaunt sein.
Das Problem ist die schiere Menge dieser Anfragen. Eine Studie aus dem Jahr 2010 hat gezeigt, dass selbst an gänzlich ungenutzte IP-Adressen bis zu 60Mbps an Datenverkehr aus dem Internet eintrudelt. An einem zu Testzwecken neu angemeldeten /8-Netzwerk-IP-Adressraum waren im Laufe einer einzelnen Woche IP-Pakete im zweistelligen Milliardenbereich adressiert. Werden beim Port-Scannen Schwachstellen im Computernetz entdeckt, ist der Computerwurm selten weit entfernt. Bei entsprechenden Experimenten dauert es nur 20 Minuten, bis ein offengelassener Port für den Netzwerkzugang gesichtet und die Server dahinter angegriffen wurden. Ausspähung und Angriff gehen also vielfach Hand in Hand.
Die Geschichte des Computer-Virus
1986: Brain Mehr als ein Jahrzehnt, bevor Napster für irgendjemanden ein Begriff war, wurde der erste Computervirus entwickelt - um Softwarepiraterie zu bekämpfen. Der Autor, der das Wort "Cyber" in die Welt setzte, war William Gibson - genannt "Brain". Basit und Amjad Alvi entwickelten und vermarkteten medizinische Software im pakistanischen Lahore. Sie interessierten sich für zwei Dinge. Zuerst wollten sie die Multitasking-Funktionalität der neuen DOS-Betriebssysteme (sogenannte "TSR"-Systeme) testen. Zweitens wollten sie sehen, ob es im Vergleich zu anderen Betriebssystemen wie Unix Sicherheitslücken in DOS gibt.<br /><br />Als sie bemerkten, dass DOS recht anfällig war, hatten sie die Idee, ein Stück Software zu schreiben, das überwacht, wie die Software und die Disketten sich bewegen. Brain verbreitete sich viral über 3,25-Zoll-Disketten und innerhalb weniger Wochen mussten die Alvis ihre Telefonnummern ändern. Das hat Ihnen allerdings wenig genützt, denn 25 Jahre nach der Entwicklung des ersten PC-Virus machte sich Mikko Hypponen von F-Secure im Frühjahr 2011 auf die Reise nach Lahore. Sein Ziel: die Adresse, die im Code zu finden war. Tatsächlich fand er die Alvi-Brüder dort vor und bekam die Gelegenheit, mit ihnen das erste Video-Interview über Brain zu führen.
1987: Stoned Erstellt durch einen Gymnasiasten in Neuseeland, wurde Stoned zunächst als harmlos angesehen. Zunächst machte er sich auch lediglich mit der Meldung "Your PC is now Stoned" bemerkbar. Doch als erster Virus, der den Bootsektor eines PCs infizierte, zeigte Stoned, dass Viren die Funktion eines Computers steuern können - und zwar von dem Moment an, in dem er eingeschaltet wird. Bob Dylan wäre stolz gewesen.
1990: Form Form wurde zu einem der meistverbreiteten Viren überhaupt. Am 18. eines jeden Monats entlockte er den PC-Lautsprechern ein klickendes Geräusch - jedes Mal, wenn eine Taste gedrückt wurde. Das war zwar durchaus ärgerlich, aber harmlos.
1992: Michelangelo Michelangelo wurde dazu genutzt, alle Daten auf einer Festplatte zu bestimmten Terminen zu überschreiben. Als eine Variante von Stoned - nur deutlich bösartiger - war Michelangelo wohl der erste Computervirus, der es auf internationaler Ebene in die Nachrichten geschafft hat.
1992: VCL Das Virus Creation Laboratory (VCL) machte es kinderleicht, ein bösartiges kleines Programm zu basteln – durch die Automatisierung der Virenerstellung über eine einfache grafische Schnittstelle.
1993: Monkey Monkey - ebenfalls ein entfernter Verwandter von Stoned - integrierte sich heimlich in Dateien und verbreitete sich anschließend nahtlos. Damit war Monkey ein früher Vorfahre des Rootkits: Ein selbstverbergendes Programm, das den Bootvorgang per Diskette verhindern konnte. Wenn es nicht korrekt entfernt wurde, verhinderte Monkey gar jegliche Art des Bootens.
1995: Concept Als erster Virus, der Microsoft Word-Dateien infizierte, wurde Concept zu einem der häufigsten Computer-Schädlinge. Schließlich war er in der Lage, jedes Betriebssystem, das Word ausführen konnte, zu infizieren. Achja und: Wurde die Datei geteilt, wurde auch der Virus geteilt.
1999: Happy99 Happy99 war der erste E-Mail-Virus. Er begrüßte User mit den Worten "Happy New Year 1999" und verbreitete die frohe Botschaft per E-Mail auch gleich an alle Kontakte im Adressbuch. Wie die frühen PC-Viren richtete Happy99 keinen wirklichen Schaden an, schaffte es aber dennoch, sich auf Millionen von PCs auf der ganzen Welt auszubreiten.
1999: Melissa Angeblich benannt nach einer exotischen Tänzerin, stellte Melissa eine Kombination aus klassischem Virus und E-Mail-Virus dar. Er (beziehungsweise sie) infizierte eine Word-Datei, verschickte sich dann selbst per E-Mail an alle Kontakte im Adressbuch und wurde so zum ersten Virus, der innerhalb weniger Stunden zu weltweiter Verbreitung brachte.<br />Melissa kombinierte das "Spaß-Motiv" der frühen Virenautoren mit der Zerstörungskraft der neuen Ära: Der Virus integrierte unter anderem Kommentare von "The Simpsons" in Dokumente der Benutzer, konnte aber auch vertrauliche Informationen verschicken, ohne dass Betroffene dies bemerkten. Nicht lange nach Melissa wurden Makroviren praktisch eliminiert, indem Microsoft die Arbeitsweise der Visual-Basic-Makro-Sprache in Office-Anwendungen änderte.
2000: Loveletter Dieser Loveletter hat Millionen von Herzen gebrochen und gilt noch heute als einer der größten Ausbrüche aller Zeiten. Loveletter verbreitete sich via E-Mail-Anhang und überschrieb viele wichtige Dateien auf infizierten PCs. Gleichzeitig ist es einer der erfolgreichsten Social-Engineering-Attacken überhaupt. Millionen von Internet-Nutzern fielen dem Versprechen von der großen Liebe zum Opfer und öffneten den infizierten E-Mail-Anhang. Der geschätzte, weltweite Gesamtschaden betrug Schätzungen zufolge 5,5 Milliarden Dollar.
2001: Code Red Der erste Wurm, der sich ohne jegliche Benutzerinteraktion innerhalb von Minuten verbreitete, trug den Namen Code Red. Er führte verschiedene Aktionen in einem Monatszyklus aus: An den Tagen eins bis 19 verbreitete er sich - von Tag 20 bis 27 startete er Denial-of-Service-Attacken auf diverse Webseiten - beispielsweise die des Weißen Hauses. Von Tag 28 bis zum Ende des Monats war übrigens auch bei Code Red Siesta angesagt.
2003: Slammer Netzwerk-Würmer benötigen nur ein paar Zeilen Code und eine Schwachstelle - schon können sie für ernste Probleme sorgen. Slammer brachte auf diese Weise das Geldautomaten-Netz der Bank of America und die Notrufdienste in Seattle zum Absturz. Sogar das Flugverkehrskontrollsystem war nicht gegen den agilen Bösewicht immun.
2003: Fizzer Fizzer war der erste Virus, der gezielt entwickelt wurde, um Geld zu verdienen. In Gestalt eines infizierten E-Mail-Anhangs kam er auf die Rechner seiner Opfer. Wurde die Datei geöffnet, übernahm Fizzer den Rechner und benutzte diesen, um Spam zu versenden.
2003: Cabir Cabir war der erste Handy-Virus der IT-Geschichte und hatte es gezielt auf Nokia-Telefone mit Symbian OS abgesehen. Cabir wurde über Bluetooth verbreitet und bewies, dass der technologische Fortschritt alleine kein wirksames Mittel gegen Hacker und Cyberkriminelle ist.
2003: SDBot SDBot war ein Trojanisches Pferd, das die üblichen Sicherheitsmaßnahmen eines PCs umging, um heimlich die Kontrolle zu übernehmen. Er erstellte eine Backdoor, die es dem Autor unter anderem ermöglichte, Passwörter und Registrierungscodes von Spielen wie "Half-Life" und "Need for Speed 2" auszuspionieren.
2003: Sobig Sobig war eine Optimierung von Fizzer. Die Besonderheit: Einige Versionen warteten zunächst ein paar Tage nach der Infektion eines Rechners, bevor die betroffenen Rechner als E-Mail-Proxy-Server benutzt wurden. Das Ergebnis? Eine massive Spam-Attacke. Alleine AOL musste mehr als 20 Millionen infizierte Nachrichten pro Tag abfangen.
2004: Sasser Sasser verschaffte sich über gefährdete Netzwerk-Ports Zugang zum System, verlangsamte dieses dramatisch oder brachte gleich ganze Netzwerke zum Absturz – von Australien über Hongkong bis nach Großbritannien.
2005: Haxdoor Haxdoor war ein weiterer Trojaner, der nach Passwörtern und anderen privaten Daten schnüffelte. Spätere Varianten hatten zudem Rootkit-Fähigkeiten. Im Vergleich zu früheren Viren setzte Haxdoor weitaus komplexere Methoden ein, um seine Existenz auf dem System zu verschleiern. Ein modernes Rootkit kann einen Computer in einen Zombie-Computer verwandeln, der ohne das Wissen des Benutzers fremdgesteuert werden kann - unter Umständen jahrelang.
2005: Sony DRM Rootkit Im Jahr 2005 hatte eine der größten Plattenfirmen der Welt die gleiche Idee, die schon die Alvi-Brüder im Jahr 1986 hatten: Ein Virus sollte Piraterie verhindern. Auf den betroffenen Audio-CDs war nicht nur eine Musik-Player-Software, sondern auch ein Rootkit enthalten. Dieses kontrollierte, wie der Besitzer auf die Audio-Tracks der Disc zugreift. Das Ergebnis: ein medialer Shitstorm und eine Sammelklage. Letzterer konnte sich Sony nur durch großzügige Vergleichszahlungen und kostenlose Downloads außergerichtlich erwehren.
2007: Storm Worm Laut Machiavelli ist es besser, gefürchtet als geliebt zu werden. Sieben Jahre nach Loveletter, machte sich der Schädling Storm Worm unsere kollektive Angst vor Wetterkapriolen zu Nutze. Dazu benutzte er eine E-Mail mit der Betreffzeile "230 Tote durch Sturm in Europa". Sobald der Dateianhang geöffnet wurde, zwangen eine Trojaner- Backdoor und ein Rootkit den betroffenen Rechner, sich einem Botnetz anzuschließen. Botnetze sind Armeen von Zombie-Computern, die verwendet werden können, um unter anderem Tonnen von Spam zu verbreiten. Storm Worm kaperte zehn Millionen Rechner.
2008: Mebroot Mebroot war ein Rootkit, dass gezielt konstruiert wurde, um die gerade aufkommenden Rootkit-Detektoren auszutricksen. Dabei war der Schädling so fortschrittlich, dass er einen Diagnosebericht an den Virenschreiber sendete, sobald er einen PC zum Absturz gebracht hatte.
2008: Conficker Conficker verbreitete sich rasend schnell auf Millionen von Computern weltweit. Er nutzte sowohl Schwachstellen in Windows, als auch schwache Passwörter. Kombiniert mit einigen fortschrittlichen Techniken, konnte Conficker weitere Malware installieren. Eine - besonders fiese - Folge: die Benutzer wurden durch den Virus vom Besuch der Website der meisten Anbieter von Security-Software gehindert. Mehr als zwei Jahre nachdem Conficker erstmals gesichtet wurde, waren immer noch täglich mehr Rechner infiziert.
2010: 3D Anti Terrorist Dieses "trojanisierte" Game zielte auf Windows-Telefone ab und wurde über Freeware-Websites verteilt. Einmal installiert, startete der Trojaner Anrufe zu besonders teuren Sondernummern und bescherte den Nutzern überaus saftige Rechnungen. Diese Strategie bei Apps ist immer noch neu - wird sich aber vermutlich zu einer der gängigsten Methoden entwickeln, mit denen Hacker und Cyberkriminelle künftig mobile Endgeräte angreifen.
2010: Stuxnet Wie schon gesehen, haben Computer-Viren schon seit Jahrzehnten Auswirkungen auf die reale Welt - doch im Jahr 2010 hat ein Virus auch den Lauf der Geschichte verändert: Stuxnet. Als ungewöhnlich großer Windows-Wurm (Stuxnet ist mehr als 1000 Prozent größer als der typische Computerwurm) verbreitete sich Stuxnet wahrscheinlich über USB-Geräte. Der Wurm infizierte ein System, versteckte sich mit einem Rootkit und erkannte dann, ob der infizierte Computer sich mit dem Automatisierungssystem Siemens Simatic verbindet. Wenn Stuxnet eine Verbindung feststellte, veränderte er die Befehle, die der Windows-Rechner an die PLC/SPS-programmierbaren Logik-Controller sendet - also die Boxen zur Steuerung der Maschinen.<br /><br /> Läuft er auf PLC/SPS, sucht er nach einer bestimmten Fabrikumgebung. Wenn diese nicht gefunden wird, bleibt Stuxnet inaktiv. Nach Schätzungen der F-Secure Labs, kostete die Umsetzung von Stuxnet mehr als zehn Mannjahre Arbeit. Immerhin zeigt das, dass ein Virus, der offensichtlich eine Zentrifuge zur Urananreicherung manipulieren kann, nicht im Handumdrehen von Jedermann erschaffen werden kann. Die Komplexität von Stuxnet und die Tatsache, dass der Einsatz dieses Virus nicht auf finanziellen Interessen beruhte, legt den Verdacht nahe, dass Stuxnet im Auftrag einer Regierung entwickelt wurde.
Wer schnüffelt im Netz?
Aus dem Auf und Ab der gescannten Ports lassen sich gewisse Modeerscheinungen in der Hackerszene ablesen. Dazu kann man sich den Port 445 etwas genauer anschauen. Über diesen Port lassen sich SMB (Server Message Block) Sessions einrichten und dabei auch eine Schwachstelle in Windows Servern Betriebssystemen angreifen. Diesen Weg nahm beispielsweise die Ransonware Wannacry im Frühjahr 2017 um die Festplatten der angegriffenen Rechner zu verschlüsseln.
In den gleichen Port 445 schlug das Botnet Adylkuzz. Die gekaperten Rechner wurde dann allerdings nicht verschlüsselt, sondern zum Schürfen nach der Cryptocurrency Monero eingespannt. Um Nachahmer abzuhalten, schließt Adylkuzz höchstselbst die Lücke am SMB Port. Auch die Hochzeiten des Computerwurms Conflicker in den Jahren 2009 und 2010 war am Peak der Schein-Anfragen am Port 445 ablesbar.
Datenirrläufer entstehen auch durch die Rückstreuung von DoS- (Denial of Service) Attacken. Bei solchen Attacken werden die angegriffenen Server mit massenhaften Schein-Anfragen in die Knie gezwungen. Um Spuren zu verwischen, wird die Antwortadresse des TCP + ACK Verbindungsaufbau gefälscht. Antworten schwirren als digitaler Schrott durch Netz und landen letztendlich am Router eines unbeteiligten Empfängers.
Botnets mit Millionen von gekaperten IP Adressen sind heute keine Seltenheit mehr. Verteilte DDOS-Attacken senden dementsprechend voluminösen Datenmüll in den Äther. Solchen Attacken auf die Firmennetze voraus geht oft das Ausforschen nach schlecht konfigurierten rekursiven DNS-Servern auf Port 53.
Selbst Academica trägt zum Port-Scanning-Wildwuchs bei. Die UC San Diego (UCSD) und die University of Michigan betreiben Teleskope zur Vermessung des Internets, was entsprechenden Ping-Traffic generiert. Auch die IT-Security dreht am Rad. Mit dem Sonar Project werden horizontale Scans über den Port 443 (HTTPS) gefahren, um einen Überblick über kommerzielle Website Security zu erhalten. Hier steht die Vermarktung der Messdaten und die Leistungsschau der Auditierung auf dem Podest. Zum Ausprobieren sind einige Datenkostproben gratis.
Nur wenige wird erstaunen, dass bei diesem Festival des Horchens und Guckens auch die militärische Aufklärung nicht fehlt. Der Name wurde im August 2014 "offiziell" als Spähprogramm HACIENDA, getragen von NSA und GCHQ, geleakt. Ein Rinnsal von sinnfreien Datenverbindungen entsteht auch durch von Usern oder Programmieren fehlerhaft konfigurierten Netzgeräten und -applikationen.
Rechtliche und ethische Bedenken
Gezieltes Port Scanning ist bereits seit 20 Jahren ein kontroverses Thema. Ein erlaubtes Absuchen von öffentlich angebotenen Diensten? Ein Ausbaldowern vor dem Einbruch in ein unbescholtenes Computersystem? Der Gesetzgeber kann diese Glaubensfrage wohl nicht wirklich klären. Für Deutschland nimmt der Paragraph 202 c Strafgesetzbuch (StGB) dazu wie folgt Stellung:
Paragraph 202 c: Vorbereiten des Ausspähens und Abfangens von Daten
(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er:
1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder 2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
In der Gesamtbetrachtung fallen wohl einige Port Scans unter diese strafbewährte Kategorie. Der Scan spioniert die Lücke aus, durch die später eingebrochen wird. Der gerichtsfeste Nachweis einer Tateinheit aus Scannen und Angreifen wird allerdings schwierig sein. Erschwert zusätzlich, weil der Komplott außer Reichweite der nationalen Strafverfolgung von überall auf der Welt gesteuert sein kann.
Eindeutiger wird der Fall sein, wenn das Port Scanning derartig aggressiv ausgeführt wird, dass die durchsuchten Netze lahmgelegt werden. Nicht zuletzt verstoßen Port Scans vielfach gegen die Verträge mit ISPs, die sowas mehr oder weniger ausdrücklich untersagen.
Alter Wein und neue Schläuche
Eine gut konfigurierte Firewall ist jedenfalls unerlässlich, um sich vor Angriffen zu schützen. Die Rechner mit den betrieblichen Kronjuwelen sollten gezielt nach auffälligen Anfragen im Auge behalten werden. Low and Slow Attacken verursachen dabei kein großes Datenvolumen. Server müssen gehärtet werden, z.B. durch das Deaktivieren von unsicheren Protokollen wie SMBv1. Selbstverständlich sollte auch das das regelmäßige Ausfahren von Sicherheitspatchen sein. Alter Wein also im täglichen Geschäft für professionelle IT Abteilungen.
Aktuell sind nirgendwo Bestrebungen erkennbar, um die schiere Menge solcher Fehlverbindungen herunterzufahren. Eine weltweite Daten-Autobahnpolizei ist jedenfalls bei keiner internationalen Organisation in Sicht. ISP könnten ihren Beitrag leisten, wenn sie die Anbahnung solcher Verbindungen schon im Transfer an den Netzwerkknoten blockieren. So werden bereits die Mehrzahl aller weltweiten Spam-E-Mails entsorgt, bevor sie überhaupt den Spamfilter unserer E-Mail-Postfächer erreichen.
So unterschiedlich die Motivation von Port Scans ist, der Werkzeugkoffer gleicht sich bei allen Akteuren. Sowohl die Open Source Scan-Software Nmap als auch die Shodan-Suchmaschine werden von den unterschiedlichsten Scan-Akteuren eingesetzt. Shodan bietet eine Internet-Kartographie an, die alle Geräte im Internet of Things (IoT), von Baby-Cam bis hin zur Kraftwerkssteuerung visualisiert. Laden Sie dazu einfach Ihre eigenen Scan-Ergebnisse hoch. Böse Zungen sprechen dabei von einer "Intrusion as a Service". Der selbsternannte "Internet Census 2012", Urheber unbekannt, haben -ganz dem Open Source Gedanken verpflichtet- ihre Ergebnisse mit jedermann geteilt. Weniger selbstlos war das Mittel zum Zweck, nämlich der Carna Botnet.
Die Synthese zu einem medial-industrielle Komplex findet ihren Ausdruck in der gemeinsamen Investition von Google Ventures und der US Geheimdienst-Gruppe, CIA inklusive. Der Name der dabei erschaffenen Firma ist wohl Programm: Recorded Future.