Die Verwundbarkeit der Microsoft Software
Immer mehr Rechner werden von Spammern gekidnappt
Spammer wollen unerkannt bleiben. Bekanntlich brechen sie dafür sogar Gesetze. Eine zunehmend beliebte Masche: Spam wird heuer von gehijackten Computern versendet, die nicht nur für die vollständige Anonymisierung der lästigen Werbe-Emails sorgen. Die rechtmäßigen Besitzer der Maschinen bleiben in der Regel sogar völlig ahnungslos und bekommen deshalb gar nicht mehr mit, was ihr PC hinter ihrem Rücken alles treibt. Das sagt jedenfalls Julian Haight, der mit seinem Spamcop seit Jahren gegen den elektronischen Müll in unseren Postkästen vorgeht.
Wir sehen mehr und mehr das Problem, dass Spammer die Verwundbarkeit der Software von Microsoft ausnutzen. Sie installieren auf den Systemen sogar ihre eigene Software. Diese Software kann für verschiedene Dinge benutzt werden. Man kann damit spammen oder sie anderweitig als Hacking Tool einsetzen. Da gibt es viele Verwundbarkeiten. Es sieht so aus, als seien die meisten Rechner am Netz verwundbar, und mehr und mehr Spammer finden das auch heraus, um so ihre Mails zu versenden.
Die Rechner müssen für diesen Zweck "always on", also ständig mit dem Internet verbunden sein. Das ist schon alles. Es gibt viele Angriffsmöglichkeiten, um insbesondere Windows-Systeme hinterrücks zweckzuentfremden. Sicherheitslöcher im Internet Explorer zählen schon zu den Klassikern. Üblich ist der Weg, Trojaner und Viren in die Rechner einzuschleusen. So berichtete die New York Times vor ein paar Wochen über einen Computervirus vermutlich russischen Ursprungs, der von Sicherheitsexperten als "Migmaf" bezeichnet wurde: Migrant Mafia.
Die New York Times vermutet, dass Migmaf ein Werkzeug der organisierten Kriminalität ist. Immerhin soll es damit technisch möglich sein, Schutzgelder von Online-Casinos einzutreiben. Entweder sie zahlen, oder ihre Netzwerke fahren zur Hölle. Die eingesetzte Hacker-Software ist Windows-spezifisch. Sie funktioniert weder auf Unix-Systemen noch auf Macintosh-Rechnern. Und sie ist technisch ausgereift. Weder stört sie den normalen Betrieb des Computers, noch führt sie zu Beschädigungen. Klammheimlich lassen sich Spam-Emails weiterleiten und sogar Webseiten hosten. Jeder missbrauchte Rechner ist dabei nur für wenige Minuten aktiv. Nach einem ausgeklügelten Rotationssystem schalten die Spammer zwischen den kompromittierten Systemen um, die ihnen zahlreich zur Verfügung stehen. Das funktioniert offenbar gut. Die Identität der Spammer blieb bis jetzt verborgen, obwohl sie Geld von den Pornoseitenbetreibern kassieren, denen sie systematisch Neukunden zuschaufeln.
Bei Migmaf handelt es sich vermutlich um eine Variante des Trojaners Sobig Wingate, der mit immer neuen Mutationen die Anti-Spammer und IT-Sicherheitsexperten in Atem hält. Matt Carothers, Senior Abuse Engineer von Cox Communications kennt die Liste der geheimen Services, die Sobig und seine Derivate zur Verfügung stellen. Er warnte über Mailinglisten vor einer neuen Variante des Schädlings, den er aber noch nicht genau einordnen konnte.
Heads up, open proxy blocklist maintainers. On Sunday we started seing the Wingate open proxy trojan on a new port range. It's presumeably another Sobig variant, but we haven't confirmed that.
Die Liste der zur Verfügung gestellten Dienste ist durchaus ansehnlich. Wer als Spammer oder Hacker den Sobig-Trojaner erfolgreich auf einem fremden Rechner unterbringen konnte, hat das System demnach vollständig unter seiner Kontrolle.
2555/tcp (compaq-wcp) ! Open HTTP POST Proxy 3380/tcp (sns-channels) ! Open SOCKS5 Proxy ! Open SOCKS4 Proxy 3381/tcp (geneous) ! Open Telnet Proxy - A telnet server seems to be running on this port 3382/tcp (fujitsu-neat) ! Open HTTP POST Proxy ! Open HTTP CONNECT Proxy - A web server is running on this port 3383/tcp (esp-lm) ! WinGate FTP proxy detected - An FTP server is running on this port. Here is its banner : 220 WinGate Engine FTP Gateway ready 3384/tcp (hp-clic) - A pop3 server is running on this port 3385/tcp (qnxnetman) - An SMTP server is running on this port Here is its banner : 220 SMTP Server Service ready
Mehr als die Hälfte des weltweiten Email-Verkehrs ist Spam, schätzt nach einem Bericht der britischen BBC das MessageLabs im englischen Gloucester. Ausgesendet wird der Spam von nur wenigen Unternehmen und Spam-Gangs, meint Steve Linford vom Spamhaus Project, das nicht nur die Übeltäter beim Namen nennt, sondern gleich auch die passenden Blocklisten dazu anbietet.
90% of all spam received by Internet users in North America and Europe is sent by a hard-core group of under 200 spam outfits, almost all of whom are listed in the ROKSO (Register Of Known Spam Operations) database. These professional, chronic spammers are loosely grouped into gangs ("spam gangs") and move from network to network seeking out Internet Service Providers ("ISPs") known for not enforcing anti-spam policies.
Ein einträgliches Geschäft. Superzonda ist eine seit sechs Monaten aktive Spam-Gang aus Südamerika, die russische Bräute per Mail-Order weltweit anbietet - über Rechnernetzwerke der British Airways. Mit bis zu 30 Millionen Spam-Emails täglich werden illegal gehostete Websites beworben, die hinter dem Rücken der Luftfahrtgesellschaft auf deren Rechner geschleust wurden. Erst der BBC-Reporter Andrew Bomford vom BBC Radio 4 kam den Spammern auf die Schliche. Die IP-Adressen ihrer Links zeigten auf BA-Computer, und, so seine messerscharfe Folgerung: "Mail-Order-Bräute sind nicht das normale Alltagsgeschäft der British Airways." Kaum waren die Sicherheitsmanager der BA informiert, zog Superzonda kurzerhand um: Auf ein anderes, schlecht gesichertes Rechnernetz in Madrid.
Wer Spammern an den Kragen will, hat mit der von Andrew Bomford gewählten Methode allerdings meistens Pech. Die IP-Adresse gehört nur dem übernommenen PC, dem gehijackten Proxy oder was auch immer, aber nicht mehr dem Spammer selbst, der sich technisch immer perfekter tarnt. Anti-Spam-Aktivist Julian Haight kennt das inzwischen übliche Verfahren der Spambekämpfer.
Der einfachste Weg für Strafverfolger besteht darin, dem Geld zu folgen, das mit dem per Spam beworbenen Produkt verdient wird, um zu sehen, wer das Geld bekommt.
Wenn es denn Gesetze gibt, die gegen Spammer wirksam greifen. Jedenfalls nimmt aber der Leidensdruck zu, insbesondere in den USA, dem Mutterland des Spam.
Ungewöhnliche Internet-Aktivitäten des eigenen Rechners, Alarmmeldungen des Virenscanners und nicht mehr funktionierende Personal Firewalls sind sichere Zeichen für Trojaner und Viren auf der Festplatte. Wenn man aber den Schädling kennt, kann man ihn auch entfernen. Julian Haight denkt jedoch noch radikaler. Er würde nicht nur den Trojaner entfernen und schlägt deshalb gleich die Auswahl des richtigen Betriebssystems vor: "Don't use Windows. Windows is crap."