• Informationen für …
• Wir über uns
• Unsere Servicepalette
• Fragen, Beratung und Unterstützung
• Presse
• Projekte, Kooperationen, Arbeitsgruppen
• Andere im WWW

• Security
  • Motivation
  • Rechner sicher machen
  • Umgang mit Passwörtern
  • Die Anti-Virus-Seite
  • Windows Server Update Service
  • Rechner geknackt - was tun?
  • PATH-Variable in Unix
  • AFS und Sicherheit
  • E-Mail und Sicherheit
  • Phishing
  • Konfiguration von 'pine'
  • Sichere Institutsnetze
  • Virtuelle Firewalls
  • Secure Shell (SSH)
  • SSH-Client PuTTY
  • SCP/SFTP-Clients WinSCP
  • Online-Informationen, Literatur
  • Brief der LRZ-Leitung
  • Bearbeitung von Abuse-Fällen
  • Informationen zum DFN-CERT
  • LRZ-Dienste zur Sicherheit
  • Kurs: Sicherheit (für Benutzer)
  • Vortrag: Schattenseiten des Internet
  • Kurs: Sicherheit (für Unix-Admins)
  • Security-Vorträge

ALIs

kommt noch

Bearbeitung von Abuse-Fällen

Motivation

Seit Mitte 2001 hat die Aktivität der Hacker und der Autoren elektronischer Schädlinge weltweit dramatisch zugenommen und damit leider auch die Anzahl der  Abuse-Fälle  (d.h. der echten oder vermeintlichen Missbrauchsfälle) im  Münchner Wissenschaftsnetz  (MWN).

Im Jahr 2007 nahm die  Zahl der Abuse-Fälle  gegenüber dem Vorjahr leider deutlich zu.  Nach den Erfahrungen des  Leibniz-Rechenzentrums  (LRZ) hat dies folgende Gründe:

• Durch die zunehmende Kriminalisierung des Internet werden die Tools der Hacker, "Viren-Bastler" und Spammer inzwischen überwiegend von Profis und (teilweise hoch qualifizierten) Spezialisten entwickelt.  Dementsprechend nahm die "Qualität" dieser Tools kontinuierlich zu.
• Die Zahl der  "elektronischen Schädlinge"  (Viren, Würmer, trojanische Pferde usw.) nahm drastisch zu;  oft tauchen an einem Tag mehr als  1.000 (!)  neue Schädlinge bzw. Varianten/Modifikationen schon existierender Schädlinge auf.  Außerdem versuchen die Schädlinge immer intensiver, sich vor einer Entdeckung zu schützen.  Als Folge nahm die Erkennungsrate der Viren-Scanner ab.
• Leider ist das Sicherheitsbewußtsein bzw. -verhalten zu vieler MWN-Benutzer nach wie vor unzureichend.  Diesem setzt das LRZ diverse  sicherheitsrelevante Dienste  entgegen.
• Die deutliche Zunahme der vom LRZ selbst entdeckten Fälle liegt u.a. daran, dass sämtliche VPN-verbindungen durch den  NAT-o-MAT  geleitet werden, und die VPN-Nutzung sich in etwa verdoppelte.

Entwicklung der gemeldeten und vom LRZ selbst entdeckten
Abuse-Fälle im MWN seit 1998

Man kann die Vorfälle (Abuse-Fälle) in folgende große  Gruppen  einteilen, die jeweils unterschiedlich behandelt werden müssen:

• Bei den mit großem Abstand meisten Fällen wird ein  Rechner des MWN  von einem  Wurm,  Trojanischen Pferd  usw. befallen und fällt danach auf die eine oder andere Weise auf.
• Eine Beschwerde ist  nicht gerechtfertigt.
• Anfragen  von LRZ-/MWN-Benutzern zu allgemeinen Sicherheitsproblemen, die nur am Rande oder gar nicht mit konkreten Missbrauchsfällen zu tun haben.
• Zum Glück verstoßen nur ganz wenige (legitime)  Benutzer des MWN  gegen die  Benutzerordnung.

Dabei bemüht sich das LRZ, bei der Bearbeitung von Abuse-Fällen Administratoren  und  Benutzer zu einem sicherheitsbewussten Verhalten zu motivieren.  Beispielsweise soll der Artikel  "Warum ist Security wichtig ?"  betroffene MWN-Benutzer davon überzeugen,  selbst  bei der Verbesserung der Sicherheit mitzuwirken und sich schon im  eigenen  Interesse mit dem Gebiet der System- und Netzsicherheit  (Security)  vertraut zu machen.  Dieser Artikel behandelt folgende Aspekte näher:

• Was auch Ihnen passieren könnte !
• Warum ist System- und Netzsicherheit so wichtig ?
• Warum haben Hacker oft besonders leichtes Spiel ?
• Warum ist die Anzahl der Angriffe so angestiegen ?
• Begriffsbildung:  Was ist der Unterschied zwischen  "Sicherheit"  und  "Security" ?
• Welche Sicherheitsdienste bietet das LRZ ?

Außerdem wird durch diesen Artikel verständlich, warum das LRZ sich gezwungen sieht, gemeldeten Vorfällen nachzugehen, und warum es Beschwerden bzw. selbst entdeckte Fälle trotz des Aufwandes nicht einfach ignorieren kann und will.

Die  wenigsten Beschwerden  beziehen sich auf LRZ-Rechner oder -Benutzer.  Deshalb leitet das LRZ die meisten Beschwerden an die zuständigen Ansprechpartner weiter.

Bei Fragen verwenden Sie bitte nach Möglichkeit eine der  sicherheitsrelevanten Mail-Adressen  des LRZ.

---

---

Richtlinien für die Bearbeitung von Abuse-Fällen  (Policy)

Das  Leibniz-Rechenzentrum  (LRZ) will

• auch in Zukunft einen möglichst freizügigen Betrieb sicherstellen.
• mit den hier in dieser Policy beschriebenen Maßnahmen nicht als "Netzpolizei" auftreten.

Trotzdem sieht das LRZ sich im  Interesse aller  dazu gezwungen, die Nutzung an  gezielten  Stellen zu beschränken.

Die Maßnahmen stehen in Übereinstimmung mit dem Brief

Missbräuchliche Nutzung der Netze

der am 15.10.2001 an die Lehrstühle der Hochschulen und die Kommissionen der Bayerischen Akademie der Wissenschaften geschickt wurde.

Mail-Beschwerden, die  ausschließlich  aus HTML-Text, einer MS-Word-Datei usw. bestehen, können aus technischen / organisatorischen Gründen i.a. nicht bearbeitet werden.

Das LRZ geht bei der Bearbeitung von Abuse-Fällen folgendermaßen vor:

• Zum Glück (--> Einsparung von Person-Power) können die meisten Abuse-Fälle mit einer Standardvorgehensweise abgewickelt werden, soweit es das LRZ selbst betrifft.
• In manchen (v.a. schweren) Fällen ist jedoch ein Eskalationsverfahren erforderlich.

Standardvorgehensweise

Die Vorgehensweise hängt von der Art des Abuse-Falls ab:

• Beim LRZ trifft eine Beschwerde über einen Rechner des MWN ein:
  • Das LRZ antwortet auf die Beschwerde, wenn
    • die Beschwerde erkennbar von einer Person stammt (d.h. nicht automatisch von einem Tool erzeugt wurde).
    • dies explizit in der Beschwerde gewünscht wird.

    In der Antwort steht dann, dass die Beschwerde an die zuständigen Verantwortlichen weitergeleitet wurde und dass man sich um den Fall kümmert.

    Aus Datenschutzgründen wird dem Beschwerdeführer die Identität des/der zuständigen  Netzverantwortlichen  nicht  mitgeteilt.

    Sind bereits erste Erkenntnisse vorhanden (z.B. weil es schon andere Beschwerden zu dem Fall gab), werden auch diese gleich dem Beschwerdeführer mitgeteilt (natürlich nur solange dies den Datenschutz nicht verletzt).

  • Bei Bedarf wird der  betreffende  MWN-Rechner mit einem Port-Scan untersucht. Dadurch sollen Hinweise gefunden werden, ob der Rechner von einem Hacker geknackt wurde.
  • Die Beschwerde wird an die zuständigen Netzverantwortlichen weitergeleitet und es wird um eine Bearbeitung des Vorfalls gebeten.

    Bezieht sich eine Beschwerde auf mehrere Rechner von unterschiedlichen organisatorischen Einheiten, werden nach Möglichkeit jeweils nur die relevanten Auszüge der Beschwerde weitergeleitet.

    Ein evtl. vom LRZ durchgeführter Port-Scan wird ebenfalls mitgeteilt (einschließlich der dadurch gefundenen Ergebnisse).

    Je nach Typ des Falls fügt das LRZ als Service für die betroffenen Netzverantwortlichen auch Hinweise bei, wie man in diesem konkreten Fall am besten vorgehen kann.

• Eine Beschwerde über das Fehlverhalten eines (legitimen) Benutzers des MWN trifft ein:
  • Das LRZ prüft den Fall und versucht, die Identität des betroffenen Benutzers anhand der in der Beschwerde gemachten Angaben zu ermitteln.
  • Das LRZ antwortet dem Beschwerdeführer mit einer der folgenden Varianten:
    • Die Identität des Benutzers konnte nicht (mehr) ermittelt werden.
    • Der Fall wird bearbeitet.

      Selbstverständlich wird dem Beschwerdeführer die Identität des betroffenen MWN-Benutzers aus Datenschutzgründen  nicht  mitgeteilt.

      Evtl. wird auch noch mitgeteilt, wie man vorgehen wird (z.B. Verwarnung des MWN-Benutzers).

  • Die Beschwerde wird an den MWN-Benutzer mit folgenden Zusätzen weitergeleitet:
    • Falls die unzulässigen Aktionen vom MWN-Benutzer selbst erfolgten:
      Ermahnung mit dem Hinweis auf die  Benutzerordnung  (bzw. ihre  englische Übersetzung ),  derartige Aktionen in Zukunft zu unterlassen.

      Liegt das Problem bei WWW-Seiten des Benutzers (d.h. Verletzung des Straf-, Namen-, Marken-, Urheber-Rechts, der Benutzerordnung usw.), wird der Benutzer außerdem aufgefordert, die betreffenden WWW-Seiten so schnell wie möglich zu bereinigen.

    • Falls die Aktionen von einem Unbefugten erfolgten (z.B. von einem Hacker):
      Bitte um Stellungnahme, wie sich der Benutzer den Missbrauch seiner Kennung erklärt

      Dabei kann sich dann auch herausstellen, dass die Aktionen von einer dritten Person erfolgten, die vom MWN-Benutzer dessen Kennung erhalten hatte. Daraufhin erfolgt eine Ermahnung: » Die Weitergabe von Kennungen ist in der Benutzerordnung explizit untersagt ! «

    Sollte der MWN-Benutzer dem LRZ nicht selbst bekannt sein, wird eine analoge Mitteilung an diejenigen Verantwortlichen geschickt, die für die Kennung des MWN-Benutzers zuständig sind. Diese Verantwortlichen müssen sich dann mit dem MWN-Benutzer in Verbindung setzen.

• Bei einer ungerechtfertigten Beschwerde antwortet das LRZ dem Beschwerdeführer mit einer entsprechenden Begründung.
• Sonstige Anfragen werden nach bestem Wissen beantwortet.

Eskalationsverfahren

Die Richtlinien für ein Eskalationsverfahren bestehen i.a. aus zwei Teilen:

• Beschreibung der einzelnen Eskalationsstufen.

  Dieser Teil kann im Rahmen der Abuse-Policy relativ präzise spezifiziert werden.

• Kriterien für den Übergang von einer Stufe zur nächsten.

  Für diesen Bereich können leider nur allgemeine Regeln angegeben werden, da die "schweren Fälle", die überhaupt eine Eskalation erfordern, zu unterschiedlich sind.

Die Eskalationsstufen hängen ebenso wie die Standardvorgehensweise von der Art des Abuse-Falls ab:

• Eskalation bei Problemen mit einem Rechner des MWN (zunehmende Schwere der Maßnahme):
  • Erinnerung, im Abuse-Fall tätig zu werden, und Hinweis, dass der Rechner andernfalls vom Netz getrennt werden muss
  • Evtl. 2. Warnung ("letzte Chance")
  • Trennung vom Netz, wobei folgende Parameter variiert werden können:
    • Wer  wird gesperrt:
      • Der einzelne Rechner
      • Ein Teilbereich des IP-Subnetzes
      • Das komplette IP-Subnetz
    • Was  wird gesperrt:
      Es werden prinzipiell immer alle Ports gesperrt (d.h. der ganze Rechner).
      Die Sperrung einzelner Ports ist zwar theoretisch möglich, würde aber zu großen technischen / organisatorischen Aufwand verursachen und auch nur in wenigen Fällen ausreichen.
    • Wo  wird gesperrt:
      Die Sperrung erfolgt i.a. beim Übergang zum X-WiN (d.h. zum  deutschen Wissenschaftsnetz  und damit zum Internet).
      Man kann einen Rechner zwar auch am Übergang zum MWN-Backbone oder evtl. sogar am Switch-Anschluss sperren; dies wird jedoch nur in Ausnahmefällen gemacht, da es technisch / organisatorisch viel aufwändiger ist.

    Muss ohne vorhergehende Warnung gesperrt werden, erfolgt zumindest eine Benachrichtigung über die erfolgte Aktion.

• Eskalation bei Fehlverhalten eines MWN-Benutzers (zunehmende Schwere der Maßnahme):
  • Verschärfte Ermahnung und Hinweis, dass die Kennung bei weiterem Fehlverhalten gesperrt werden muss (einschließlich evtl. vorhandener problematischer WWW-Seiten)
  • Evtl. 2. Warnung ("letzte Chance")
  • Sperrung der Kennung auf Zeit (einschließlich evtl. vorhandener problematischer WWW-Seiten)
  • Dauerhafte Sperrung der Kennung (einschließlich evtl. vorhandener problematischer WWW-Seiten)
• Weitere Eskalationsschritte sind derzeit zum Glück so selten erforderlich, dass vorab eine genaue Vorgehensweise nicht sinnvoll festgelegt werden kann; es handelt sich vielmehr um individuelle Einzelentscheidungen. Dabei reicht das Spektrum von der Rückfrage bei Kollegen des Abuse-Teams über die Einbeziehung eines Vorgesetzten bzw. der Leitung des LRZ bis hin zur Einschaltung von Strafverfolgungsbehörden durch die Leitung des LRZ.

Für den Übergang von einer Stufe zur nächsten können nur grobe Richtlinien / Anhaltspunkte angegeben werden:

• Folgende Faktoren bestimmen, unter welchen Umständen von einer Eskalationsstufe zur nächsten übergegangen wird, bzw. ob evtl. sogar eine oder mehrere Stufen übersprungen werden (müssen):
  • Zahl und zeitliche Verteilung der Beschwerden (d.h. wieviele Beschwerden gibt es und wie lange bleibt das Problem bestehen)
  • Ausmaß der Beeinträchtigung durch den Rechner bzw. durch den Benutzer
  • Vorher getroffene Vereinbarungen mit den zuständigen Netzverantwortlichen
• Kann ein Fall nicht eindeutig einer Eskalationsstufe zugeordnet werden, wird die Einordnung innerhalb des Abuse-Response-Teams besprochen.
• Beispiele  für  eindeutige  Fälle als  Anhaltspunkte:
  • Es liegt eine  externe  Beschwerde vor.
    Der Rechner wird  sofort  gesperrt.
  • Der Rechner fällt beim  Abuse-Monitoring  des LRZ auf.
    Der Rechner wird i.a.  sofort  gesperrt.  Im Fall eines FTP-Servers auf einem Nicht-Standard-Port erfolgt dies sogar vollautomatisch.
  • Der  NAT-o-MAT  sperrt Rechner mit unerwünschtem Verkehrsverhalten automatisch.
  • Ein Rechner wird zum Abhören des lokalen Subnetzes missbraucht:
    Der Rechner wird  sofort  gesperrt.
  • Ein Rechner wird als unerlaubte Verteilzentrale verwendet:
    Bei strafrechtlich relevanten Daten oder bei einem durch die Übertragungen verursachten (sehr) großen Datenvolumen wird  sofort  gesperrt.
  • Es gibt (deutliche) Hinweise, dass eine Kennung von einem Hacker geknackt wurde:
    Die Kennung wird  sofort  gesperrt.

---

---

Entdeckung kompromittierter Rechner durch das LRZ selbst

Abuse-Monitoring

Das LRZ betreibt ein  "Abuse-Monitoring"  am Übergang vom MWN zum Internet (genauer zum  X-WiN  des  deutschen Wissenschaftsnetzes),  um kompromittierte Rechner  selbst  zu entdecken.  Dadurch soll die Schädigung der Allgemeinheit durch infizierte Rechner möglichst frühzeitig abgestellt werden.  Außerdem kann gleichzeitig die Zahl der externen Beschwerden signifikant verringert werden.

Folgende Indikatoren sind trotz ihrer Einfachheit erstaunlich wirksam und eignen sich deshalb sehr gut, um kompromittierte Rechner zu entdecken:

• Auf dem Rechner läuft ein  FTP-Server,  der auf einem Nicht-Standard-Port arbeitet (d.h. nicht auf dem allgemein üblichen Port 21).

  Dieser Indikator ist derart treffsicher, dass das LRZ riskiert, alle auf diese Art auffällig gewordenen Rechner automatisch am Internet-Übergang zu sperren;  die zuständigen  Netzverantwortlichen  werden selbstverständlich ebenso automatisch sofort davon verständigt. 

Bei den restlichen Indikatoren werden Benachrichtigungs-Mails vorformuliert;  ein Mitglied des Abuse-Response-Teams entscheidet jedoch jeweils, ob die E-Mail auch abgeschickt und der Rechner evtl. zusätzlich gesperrt werden soll.

• Der MWN-Rechner öffnet innerhalb kurzer Zeit viele  Mail-Verbindungen  zu anderen Rechnern im Internet.

  Diese MWN-Rechner sind fast immer kompromittiert, wobei der Rechner zum Versenden von  Spam-Mails  missbraucht wird oder mit einem Wurm infiziert ist, der sich von dort eigenständig weiter verbreiten will.

• Der MWN-Rechner öffnet innerhalb kurzer Zeit extrem viele Verbindungen zu anderen Rechnern im Internet.

  Durch zusätzliche Indikatoren kann man erkennen, ob es sich wahrscheinlich um einen  "Distributed Denial of Service Angriff"  (DDoS-Angriff) oder um eine der Scan-Varianten handelt (d.h. Network-, Port-, Application- oder Vulnerability-Scan).

• Der Rechner fällt durch einen extrem hohen Datenverkehr auf.

  Es handelt sich dabei überwiegend um Rechner, die für die Verteilung urheberrechtlich geschützter Daten missbraucht wurden.  Im Gegensatz zu den vorhergehenden Indikatoren kommt es in diesem Fall auch manchmal vor, dass der Rechner nicht kompromittiert ist, sondern dass ein legitimer MWN-Benutzer wissentlich durch Copyright-Verletzungen gegen die MWN- Nutzungsordnung verstößt.

• Seit Ende 2006 sucht ein spezialisiertes  Intrusion-Detection-System  nach kompromittierten Rechnern, die an einem  Botnet  teilnehmen und deshalb von außen ferngesteuert werden können.

  In den meisten Fällen werden diese Rechner dann dazu missbraucht,  Spam-/Phishing-Mails  zu verschicken oder DDoS-Angriffe durchzuführen.

Zu den aufgeführten Indikatoren gibt es natürlich jeweils eine Ausnahmeliste von bekannten "sauberen" Rechnern, die dadurch vor einer Sperre geschützt werden.

Weitere Details zum Abuse-Monitoring findet man im Abschnitt  "Monitoring am X-WiN-Übergang"  des LRZ-Artikels  "Beschränkungen und Monitoring im Münchner Wissenschaftsnetz".

Automatische Reaktion auf unerwünschtes Verhalten durch den  "NAT-o-MAT"

Neben den  Monitoring-Funktionen  am Internet-Übergang verbessert auch noch der sogenannte  "NAT-o-MAT"  durch automatisierte Mechanismen die Sicherheit des MWN.  Ursprünglich wurde im Juni 2005 der NAT-o-MAT als ein  transparentes  NAT-Gateway  in Betrieb genommen, das bei den Rechnern mit  privater IP-Adresse  nicht konfiguriert werden muss.

Relativ schnell wurde aber zusätzlich zur Adressumsetzung ein  "AutoMAT"  integriert, der für eine Bandbreitenregelung sorgt und  "unerwünschtes"  Verkehrsverhalten der Client-Rechner verhindert;  es handelt sich dabei um eine Teilmenge der Monitoring-Funktionen:

• Hohe Zahl von Mail-Verbindungen
• Viele Verbindungen zu anderen Rechnern im Internet
• Hoher Datenverkehr

Im Jahr 2006 konnte die Schutzfunktion des NAT-o-MAT noch weiter gesteigert werden:

• Das  Botnet-Monitoring  wurde relativ bald auch in den NAT-o-MAT integriert.
• Der NAT-o-MAT wirkt sich nicht mehr nur auf Rechner mit privaten IP-Adressen aus, die Dienste im Internet in Anspruch nehmen wollen.  Seit der ersten Hälfte des Jahres 2006 werden jetzt auch sämtliche  VPN-  und Einwahlverbindungen (Modem, ISDN und M-net) durch ein geeignetes  Policy-based-Routing  zwangsweise durch den NAT-o-MAT geleitet.

Dementsprechend nahmen auch die vom NAT-o-MAT erkannten Missbrauchsfälle drastisch zu.

Der NAT-o-MAT blockt automatisch einen Rechner, der den Betrieb beeinträchtigt, und veranlasst den Besitzer des betreffenden Rechners durch geeignete Hinweise, seinen PC zu säubern.  Stellt ein betroffener Rechner sein schädigendes Verhalten ein, hebt der NAT-o-MAT kurz danch die Sperre ebenfalls automatisch wieder auf.

In schweren Fällen schickt der NAT-o-MAT seit Dezember 2005 zusätzlich noch eine Hinweis-Mail an die zuständigen  Netzverantwortlichen.  In der Statistik werden nur diese Fälle gezählt.

In nahezu allen Fällen sind die auffälligen Rechnern kompromittiert;  der NAT-o-MAT verhindert damit weitgehend das Versenden von Spam-Mails und größere Angriffe auf andere Rechner durch Port-Scans und DDoS.
In den wenigen Fällen von False-Positives konnte bis jetzt das Problem behoben werden:

• Durch eine modifizierte Konfiguration stellte das  legitime  Programm sein unerwünschtes Verhalten ein.
• Es wurde ein anderes Programm mit vergleichbarer Funktion verwendet, das den Betrieb aber nicht störte.

Weitere Details zum NAT-o-MAT findet man im LRZ-Artikel  "IP-Adressumsetzung (NAT) als Ersatz für Proxyserver".

Hintergrund:
Arten von Abuse-Fällen

Bei den  Abuse-Fällen  gibt es folgende große Gruppen:

• Bei den mit großem Abstand meisten Fällen wird ein  Rechner des MWN  von einem Wurm, Trojanischen Pferd usw. befallen.  Der eingedrungene elektronische Schädling  ("Malware")  ...
  • versucht sich dann seinerseits weiter zu verbreiten.
  • macht den Rechner zu einem Teilnehmer an einem  Botnet,  der auf externe Aufträge wartet.

    Diese Rechner werden i.a. dazu missbraucht, Spam-Mails zu verschicken oder andere Rechner durch einen  DDoS-Angriff  lahm zu legen.

  • spioniert den lokalen Rechner aus.
  • hört das lokale Subnetz ab.
  • hört den Raum, in dem Rechner steht, akustisch ab, falls der Rechner mit einem Mikrophon ausgestattet ist.
  • macht den Rechner zu einem Ausgangspunkt für Angriffe (diverse Arten von Scans) auf andere Rechner:
    • Dadurch können auch Rechner angegriffen werden, die "von außen" nicht erreichbar sind.
    • Durch die "Prallelisierung" können viel mehr Rechner angegriffen werden.
    • Durch eine "mehrstufige" Vorgehensweise werden Spuren i.a. effektiv verwischt.
  • ermöglicht es, den Rechner von extern fern zu steuern.

  In seltenen Fällen wird ein Rechner auch von einem Hacker direkt angegriffen.

  Kompromittierte Rechner werden praktisch immer nur dann entdeckt, wenn sie auf die eine oder andere Weise auffallen:

  • Versenden von Spam-Mails
  • Versenden von E-Mails, mit denen sich der Wurm weiter verbreiten will
  • Teilnahme an einem DDoS-Angriff, um andere Rechner lahm zu legen
  • Diverse Arten von Scans
  • Verteilzentrale für urheberrechtlich-geschützte Daten (Software, Spiele, Musik, Filme usw.) oder sogar strafrechtlich relevante Daten (rechtsradikale Schriften, Kinderpornographie usw.)
• Eine Beschwerde ist  nicht gerechtfertigt.

  Diese Situation tritt überwiegend in folgenden Fällen auf:

  • Ein externer Benutzer beschwert sich über eine Spam-Mail, die vermeintlich von einem MWN-Benutzer geschickt wurde bzw. von einem MWN-Rechner kam.

    Dabei wurde aber übersehen bzw. nicht erkannt, dass die betreffenden Header-Zeilen der Spam-Mail  sehr wahrscheinlich gefälscht  sind und deshalb das MWN in diesen Vorfall gar nicht involviert ist.

  • Ein externer Benutzer beschwert sich über das Fehlverhalten eines MWN-Benutzers.

    Nach Meinung des LRZ liegt aber kein Fehlverhalten vor bzw. die Verfehlung ist nicht schwerwiegend genug;  die  Benutzerordnung  ist in diesem Fall also gar nicht verletzt.

• Seit Mitte 2002 werden auch immer mehr  Anfragen  von LRZ-/MWN-Benutzern zu allgemeinen Sicherheitsproblemen gestellt, die nur am Rande oder gar nicht mit konkreten Missbrauchsfällen zu tun haben:
  • » Was kann ich gegen die zunehmende Belästigung durch "Spam" tun ? «
  • » Ich habe gerade mehrere Hinweis-Mails erhalten, dass eine E-Mail von mir Viren-verseucht war und deshalb meine ursprüngliche E-Mail nicht zugestellt wurde. Ich kenne aber den angeblichen Empfänger gar nicht und außerdem bin ich mir sicher, dass mein PC Viren-frei ist (ich habe es nämlich mit der aktuellen Version meiner Antiviren-Software noch einmal kontrolliert).
    Was ist da los ?
    Ist mein Rechner evtl. doch mit einem Virus / Wurm verseucht ? «
  • » Ich
    • erhalte gerade Hunderte Fehlermeldungen, dass eine angebliche E-Mail von mir nicht zugestellt werden konnte, weil der Empfänger unbekannt ist.
    • habe mehrere Beschwerden von Benutzern erhalten, dass ich sie nicht mit Spam belästigen soll.
    Ich habe diesen Personen aber nie eine E-Mail geschickt.
    Wurde evtl. meine Kennung missbraucht ? «
• Zum Glück verstoßen nur ganz wenige (legitime)  Benutzer des MWN  mit  Absicht  gegen die  Benutzerordnung:
  • Versenden von Spam-Mails (i.a. aber nur  vermeintlich )
  • Verschicken von beleidigenden E-Mails, News-Beiträgen usw.
  • Konflikte mit dem Namen-, Marken-, Urheber-Recht usw.
  • Begehen einer strafrechtlich relevanten Tat
  • Missbrauch von Ressourcen für nicht-satzungsgemäße Zwecke (z.B. kommerzielle Nutzung der Rechenberechtigung)

Hintergrund:
Warum landen die meisten Beschwerden beim LRZ ?

Aus folgenden Gründen landen die meisten Beschwerden beim LRZ und nicht bei den zuständigen Instituten / Lehrstühlen der  Ludwig-Maximilians-Universität München  (LMU), der  Technischen Universität München  (TUM), der  Hochschule München  (früher "Fachhochschule München") usw.:

• Das LRZ ist bei der  DENIC eG  (d.h. bei der Registrierungsstelle für Domains unterhalb der Top Level Domain "de") als Ansprechpartner für Domains des MWN eingetragen (u.a. für  uni-muenchen.de, lmu.de, tu-muenchen.de, tum.de  und  fh-muenchen.de). Ähnliches gilt für die IP-Netze, die dem LRZ zugeteilt wurden. Damit ist das LRZ Anlaufstelle für sehr viele Anfragen und Beschwerden, die diese Domains bzw. IP-Adressen betreffen.

  Die betreffenden Einträge bei den Registrierungsstellen kann man ohne Probleme mit Hilfe des  WHOIS-Systems  (bzw. URL bei  deutschen Domains )  abfragen und dadurch einen Ansprechpartner ermitteln (in unserem Fall ein Mitarbeiter beim LRZ).

  Geht von einem MWN-Rechner ein Hacker-Angriff aus, werden die entsprechenden Beschwerden an den Ansprechpartner für die IP-Adresse geschickt und landen damit beim LRZ.

• Es hat sich inzwischen eingebürgert, dass der Besitzer einer Domain für Beschwerdefälle die Funktionsadresse  "abuse@domain"  einrichtet.
  Die Adressen  "abuse@lrz.de", "abuse@lrz-muenchen.de", "abuse@tu-muenchen.de", "abuse@tum.de", "abuse@uni-muenchen.de", "abuse@lmu.de"  und noch weitere dieser Art verweisen alle auf das LRZ.
• Da die Funktionsadresse  "postmaster@domain"  praktisch immer und die Funktionsadresse  "webmaster@domain"  sehr oft definiert ist, werden Beschwerden auch oft an diese Adressen geschickt.
  Die Adressen
  • "postmaster@lrz.de", "postmaster@lrz-muenchen.de", "postmaster@tu-muenchen.de", "postmaster@tum.de", "postmaster@uni-muenchen.de", "postmaster@lmu.de",
  • "webmaster@lrz.de", "webmaster@lrz-muenchen.de"
  und noch weitere dieser Art verweisen alle auf das LRZ.

Hintergrund:
Detaillierte Statistik der Abuse-Fälle

Fälle im Jahr 2007

Im Jahr  2007  gab es  insgesamt  1577  Abuse-Fälle,  die  1562  MWN-Rechner betrafen.

Ca. 16% der bearbeiteten Fälle gehen auf organisatorische Vorgänge oder auf  246  Beschwerden, Hinweise, Anfragen usw. zurück, die dem LRZ  von außerhalb  geschickt wurden. Bei diesen Fällen sind folgende Punkte besonders erwähnenswert:

• In allen Fällen der unberechtigten Spam-Beschwerden handelte es sich um  Non-Delivery-Reports  (NDR);  diese werden fast immer durch einen Wurm oder Spammer verursacht, der die eigene Mail-Adresse missbraucht.

  Wenn ein Mail-System (z.B. die Mail-Server des LRZ) eine einmal angenommene E-Mail nicht zustellen kann, ist es laut Norm verpflichtet, den (vermeintlichen) Absender in einem NDR darüber zu informieren.  Dies gilt selbst dann, wenn die ursprüngliche E-Mail sehr wahrscheinlich von einem Wurm oder Spammer stammte.  In diesem Fall ist der Empfänger des NDR ein  indirektes Opfer.

  Manche Empfänger fühlen sich durch diese nicht selbst ausgelösten NDRs derart belästigt, dass sie sich beim Betreiber des korrekt arbeitenden Mail-Systems beschweren.

• Bei den  Monitoring-Funktionen  gibt es zwangsläufig jeweils eine Ausnahmeliste mit Rechnern, bei denen das auffällige Verhalten legitim ist.  Die Aktualisierung dieser Listen betraf überwiegend das  Mail-Monitoring,  weil es relativ viele legitime Ursachen für ein erhöhtes Mail-Aufkommen gibt:
  • Inbetriebnahme eines neuen Mail-Servers, -Gateways oder Servers für Mail-Verteiler
  • Regelmäßiges Verschicken von Rundbriefen mit vielen Empfängern
  • Verschicken von Benachrichtigungen durch ein System, das die korrekte Funktion / Verfügbarkeit von Diensten oder Rechnern überwacht

  Das LRZ geht i.a. aktiv auf die Betreiber von Rechnern zu, bei denen das Mail-Aufkommen vermutlich legitim ist (z.B. wenn im DNS-Namen der String "mail" vorkommt).  Dies ist auch der Grund dafür, dass die Fälle dieser Gruppe nur selten von LRZ-Kunden initiiert werden.

• Bei den Mail-Beschwerden an die "falsche Stelle" fielen die Spam-Opfer auf  gefälschte Mail-Header  herein und bemerkten nicht, dass die Spam-Mails in Wahrheit nicht aus dem MWN kamen.
• In vielen Fällen müssen kompromittierte Rechner zur Sicherheit am Internet-Übergang gesperrt werden.  Wird ein betroffener Rechner innerhalb von wenigen Wochen wieder "gesäubert", wird das Aufheben seiner Sperre noch innerhalb des ursprünglichen Abuse-Falls abgewickelt.  Liegt die Sperre jedoch schon mehrere Monate (oder evtl. sogar schon Jahre) zurück, wird das Entsperren in einem gesonderten Fall bearbeitet.
• Bei den Copyright-Verletzungen handelte es sich um Beschwerde-Mails von Organisationen, die amerikanische oder europäische Rechte-Inhaber vertreten.  Selbst wenn diese Fälle bis jetzt noch keine juristischen Konsequenzen haben, handelt es sich  nicht um Kavaliersdelikte;  auch nach deutschem Recht ist es nicht erlaubt, copyright-geschütztes Material (überwiegend Filme und  MP3s  und teilweise auch Software) in  File-Sharing-Netzen  (oft auch "P2P-Netze" genannt) anzubieten.  Unabhängig davon verstößt es auch gegen die  Nutzungsordnung des LRZ  bzw. MWN.

Übersicht über Abuse-Fälle, die dem LRZ  2007  gemeldet  wurden

 

Art des Vorgangs	Anzahl der Fälle	Involvierte Rechner / Kennungen / Benutzer des MWN	Eingegangene Beschwerden / Anfragen usw.
Fälle im Bereich  "E-Mail":        Ungerechtfertigte Spam-Beschwerden        Spam-Versand über kompromittierte Rechner        Beschwerden an die "falsche Stelle"        Sonstige Mail-Fälle     Teilsumme	71 22 2 5 100	--- 22 --- 2 24	71 35 2 5 113
Organisatorische Vorgänge:        Aktualisierung der Monitoring-Ausnahmelisten        Aufheben von Sperren        Sonstige Fälle     Teilsumme	45 12 3 60	53 18 2 73	9 12 3 24
Fälle mit rechtlichen Aspekten:        Copyright-Verletzungen        Anfragen von Strafverfolgungsbehörden        Sonstige Fälle     Teilsumme	44 4 6 54	51 4 2 57	54 4 6 64
Sonstige kompromittierte Rechner:        Vom DFN-CERT gemeldete Fälle        Port-/Vulnerability-Scans        Sonstige Beschwerden (u.a. DoS)     Teilsumme	15 15 5 35	37 19 25 81	16 15 5 36
Sonstige Fälle	9	7	9
Summe der gemeldeten Fälle	258	242	246

Zu den von außerhalb gemeldeten Fällen kamen weitere, bei denen das LRZ im Rahmen der  Netzüberwachung  kompromittierte Rechner  selbst entdeckte.  Bei diesen Fällen sind folgende Punkte besonders erwähnenswert:

• Bei den False-Positives beim Mail-Monitoring handelte es sich um lange Zeit vollkommen unauffällige Rechner, die plötzlich ein ungewöhnliches Mail-Aufkommen zeigten.  In diesen Fällen gab es auch keine Hinweise für eine legitime Mail-Quelle:  Die Rechner hatten weder einen aussagekräftigen DNS-Namen, noch konnte auf dem Mail-Port ein Mail-Server kontaktiert werden.

  Zum Glück war in den meisten dieser Fälle das verdächtige Mail-Aufkommen der betroffenen Rechner nicht besonders hoch;  die zuständigen Netzverantwortlichen wurden deshalb überwiegend nur informiert und die Rechner nicht sofort gesperrt.  Es handelte sich meist um erst kürzlich in Betrieb genommene Mail-Server oder -Gateways oder um Rechner, von denen nur relativ selten (oder auch nur einmalig) Rundbriefe, Einladungen, usw. an sehr viele Empfänger verschickt wurden.

• In  19  (sehr) schweren Fällen konnte das Abuse-Response-Team des LRZ leider erst eingreifen, nachdem der kompromittierte Rechner auch schon außerhalb des MWN aufgefallen war, was zu  26  Beschwerden führte.  Im schlimmsten Fall verschickte ein Botnet-Rechner mehr als  40.000  Spam-Mails pro Stunde !
• In nur  1.59%  der Fälle handelte es sich um einen Fehlalarm.

Übersicht über Abuse-Fälle, die vom LRZ  2007  selbst entdeckt  wurden

 

Art des Monitoring, durch das die verdächtigen Rechner entdeckt wurden	Anzahl der Fälle	Anzahl der Rechner
Entdeckte kompromittierte Rechner:        NAT-o-MAT  (schwere Fälle)        Botnet        Port-Scans        Viele Mail-Verbindungen zu anderen Rechnern im Internet        FTP-Server, der auf einem Nicht-Standard-Port arbeitet        DoS        Extrem hoher Datenverkehr     Teilsumme	847 141 119 106 38 26 21 1298	847 140 119 108 38 26 21 1299
Fehlalarme (False Positives):        Viele Mail-Verbindungen zu anderen Rechnern im Internet        FTP-Server, der auf einem Nicht-Standard-Port arbeitet        DoS        Sonstige Monitoring-Funktionen     Teilsumme	9 6 4 2 21	9 6 4 2 21
Summe der vom LRZ selbst entdeckten Fälle	1319	1320

Fälle im Jahr 2006

Im Jahr 2006 nahm die  Zahl  der von externen Personen gemeldeten Missbrauchsfälle gegenüber dem Vorjahr leider wieder zu. 
Die vom LRZ selbst entdeckten Fälle gingen in der Statistik zurück.  Dies ist aber nicht Folge einer verbesserten Sicherheit des MWN oder einer nachlassenden Wirksamkeit der Monitoring-Mechanismen des LRZ;  vielmehr werden seit 2006 auch alle VPN- und Einwahlverbindungen durch den  "NAT-o-MAT"  geleitet, der im Augenblick aber nur schwere Fälle statistisch erfasst.

Ca. ein Viertel der registrierten Missbrauchsfälle gehen auf Beschwerden, Hinweise, Anfragen usw. zurück, die dem LRZ  von außerhalb  geschickt wurden.  Bei diesen Fällen sind folgende Punkte besonders erwähnenswert:

• In allen Fällen der unberechtigten Spam-Beschwerden handelte es sich um Non-Delivery-Reports (NDR), die fast immer durch einen Wurm oder Spammer verursacht werden, der die eigene Mail-Adresse missbraucht.  Wenn ein Mail-System (z.B. die Mail-Server des LRZ) eine einmal angenommene E-Mail nicht zustellen kann, ist es laut Norm verpflichtet, den (vermeintlichen) Absender in einem NDR darüber zu informieren.  Dies gilt selbst dann, wenn die ursprüngliche E-Mail sehr wahrscheinlich von einem Wurm oder Spammer stammte.  In diesem Fall ist der Empfänger des NDR ein indirektes Opfer.

  Manche Empfänger fühlen sich durch diese nicht selbst ausgelöste NDRs derart belästigt, dass sie sich beim Betreiber des korrekt arbeitenden Mail-Systems beschweren.

• Bei den Mail-Beschwerden an die "falsche Stelle" fielen die Spam-Opfer auf gefälschte Mail-Header herein und bemerkten nicht, dass die Spam-Mails in Wahrheit nicht aus dem MWN kamen (sondern meistens aus dem Fernen Osten).
• Die große Zahl der vom DFN-CERT gemeldeten IP-Adressen ergab sich dadurch, dass in mehreren Fällen ein kompromittierter privater Rechner die VPN-Server des LRZ nutzte und dann mit unterschiedlichen Adressen des VPN-Pools nach außen auftrat.

Übersicht über Missbrauchsfälle, die 2006 dem LRZ  gemeldet  wurden

 

Art des Abuse-Falls	Anzahl der Fälle	Involvierte Rechner / Kennungen / Benutzer des MWN	Eingegangene Beschwerden / Anfragen usw.
Fälle im Bereich  "E-Mail":        Ungerechtfertigte Spam-Beschwerden        Spam-Versand über kompromittierte Rechner        Beschwerden an die "falsche Stelle"        Sonstige Mail-Fälle     Teilsumme	75 28 8 7 118	--- 28 --- 1 29	75 44 8 7 134
Sonstige kompromittierte Rechner:        Beschwerden wegen Port-/Vulnerability-Scans        Vom DFN-CERT gemeldete Fälle        Sonstige Beschwerden (u.a. DoS)     Teilsumme	40 21 18 79	113 173 22 308	58 21 26 105
Fälle mit rechtlichen Aspekten:        Anfragen von Strafverfolgungsbehörden        Copyright-Verletzungen        Sonstige Fälle     Teilsumme	10 9 4 23	14 10 3 27	11 10 4 25
Organisatorische Fälle        Allgemeine Anfragen        Sonstige Fälle	30 18 24	40 --- 5	27 18 24
Summe der gemeldeten Fälle	292	409	333

Zu den von außerhalb gemeldeten Fällen kamen weitere, auf die das LRZ im Rahmen der Netzüberwachung  selbst aufmerksam  wurde.  Die Zahl der vom  NAT-o-MAT  erkannten Missbrauchsfälle nahm im Jahr 2006 drastisch zu, da seine Funktionalität und sein "Zuständigkeitsbereich" erweitert wurde.

Übersicht über Missbrauchsfälle, die 2006 vom LRZ  selbst entdeckt  wurden

 

Art des Monitoring, durch das die verdächtigen Rechner entdeckt wurden	Anzahl der Fälle	Anzahl der Rechner
Entdeckte kompromittierte Rechner:        NAT-o-MAT  (schwere Fälle)        FTP-Server, der auf einem Nicht-Standard-Port arbeitet        Viele Mail-Verbindungen zu anderen Rechnern im Internet        Port-Scans        Botnet        DoS        Extrem hoher Datenverkehr     Teilsumme	270 179 154 124 24 18 10 779	270 179 229 124 46 18 10 876
False Positives	13	13
Summe der vom LRZ selbst entdeckten Fälle	792	889

Bei den selbst entdeckten Fällen sind folgende Punkte besonders erwähnenswert:

• In der ersten Hälfte des Jahres 2006 erstreckte sich das Monitoring der Mail-Verbindungsdaten auch noch auf die VPN- und Einwahlverbindungen (bevor dies vom NAT-o-MAT übernommen wurde).  Dadurch ergab sich in mehreren Fällen, dass ein kompromittierter privater Rechner mit unterschiedlichen Adressen der VPN- und Einwahl-Pools nach außen auftrat.
• In der Einführungsphase des Botnet-Monitoring kam es manchmal vor, dass gleich mehrere kompromittierte Rechner aus einem Zuständigkeitsbereich entdeckt wurden, die dann zu einem Fall zusammengefasst wurden.
• Bei 8 der False-Positives-Fälle handelte es sich um lange Zeit vollkommen unauffällige Rechner, die plötzlich ein ungewöhnliches Mail-Aufkommen zeigten.  In diesen Fällen gab es auch keine Hinweise für eine legitime Mail-Quelle:  Die Rechner hatten weder einen aussagekräftigen DNS-Namen, noch konnte auf dem Mail-Port ein Mail-Server kontaktiert werden.

  Zum Glück war in den meisten dieser Fälle das verdächtige Mail-Aufkommen der betroffenen Rechner nicht besonders hoch;  die zuständigen Netzverantwortlichen wurden deshalb überwiegend nur informiert und die Rechner nicht sofort gesperrt.  Es handelte sich meist um erst kürzlich in Betrieb genommene Mail-Server oder -Gateways oder um Rechner, von denen nur relativ selten (oder auch nur einmalig) Rundbriefe, Einladungen usw. an sehr viele Empfänger verschickt wurden.

• In 34 (sehr) schweren Fällen konnte das Abuse-Response-Team des LRZ leider erst eingreifen, nachdem der kompromittierte Rechner auch schon außerhalb des MWN aufgefallen war, was zu 84 Beschwerden führte.  Im schlimmsten Fall verschickte ein Botnet-Rechner ein Wochenende lang mehr als 15.000 Spam-Mails pro Stunde (!) und verursachte dadurch allein 25 Beschwerden.

Fälle im Jahr 2005

Im Jahr 2005 nahm die  Zahl  der gemeldeten und die vom LRZ selbst entdeckten Missbrauchsfälle gegenüber dem Vorjahr leider wieder zu.  Insgesamt gingen am LRZ von außerhalb  76  Anfragen/Hinweise sowie  240  Beschwerden ein, die  239  verschiedene Fälle betrafen.

Erwähnenswert ist die hohe Zahl von ungerechtfertigten Spam-Beschwerden (insgesamt 55 bei 46 Fällen).  Dabei fielen  32  Spam-Opfer auf gefälschte Mail-Header herein und bemerkten nicht, dass die Spam-Mails in Wahrheit nicht aus dem MWN kamen (sondern meistens aus dem Fernen Osten).  In  14  Fällen waren  23  Beschwerden unberechtigt, weil es sich bei den Anstoß erregenden Mails um legitime Non-Delivery-Reports, Rundbriefe der eigenen Universität usw. handelte.

Außerdem gab es noch  76  allgemeine Anfragen, Hinweise, Meldungen von Problemen usw. an den LRZ-Verteiler "abuse@lrz.de".  Diese betrafen keinen Missbrauch, sondern hauptsächlich die Themen "Indirekte Opfer von Würmern und Spammern", "Schutz vor Spam und Viren", "Sicherung von Rechnern und Netzen" sowie organisatorische Aspekte (z.B. die Meldung von geänderten Kontaktinformationen).  Schließlich gab es noch in weniger als  5  Fällen Beeinträchtigungen, die aber durch einen Implementierungs- oder Konfigurationsfehler einer legitimen Anwendung verursacht wurden.

Übersicht über Missbrauchsfälle, die 2005 dem LRZ  gemeldet  wurden

 

Art des Abuse-Falls	Anzahl der Fälle	Involvierte Rechner / Kennungen / Benutzer	Eingegangene Hinweise / Beschwerden
Fälle im Bereich  "E-Mail":        Beschwerden an die "falsche Stelle"        Ungerechtfertigte Spam-Beschwerden        Spam-Versand über kompromittierte Rechner        Indirekte Opfer von Spammern und Würmern        Sonstige Mail-Fälle     Teilsumme	32 14 12 9 10 77	--- --- 16 --- 1 17	32 23 29 --- 3 87
Fälle im Bereich  "Würmer (bzw. Viren)":        Diverse oder nicht identifizierte Würmer        Anfragen zum Thema  "Sophos"     Teilsumme	20 6 26	25 --- 25	35 --- 35
Fälle mit rechtlichen Aspekten:        Copyright-Verletzungen        Fehlverhalten von Benutzern des MWN        Anfragen von Strafverfolgungsbehörden        Sonstige Fälle     Teilsumme	20 5 4 7 36	25 6 17 3 51	28 5 4 7 44
Sonstige kompromittierte Rechner:        Beschwerden wegen Port-/Vulnerability-Scans        Sonstige Beschwerden  (u.a. DoS)     Teilsumme	37 4 41	107 6 113	60 5 65
Organisatorische Fälle Allgemeine Anfragen Sonstige Fälle	27 17 15	--- --- ---	--- --- 9
Summe der gemeldeten Fälle	239	206	240

Zu den von außerhalb gemeldeten Fällen kamen  1085  weitere, auf die das LRZ im Rahmen der Netzüberwachung  selbst aufmerksam  wurde.

Übersicht über Missbrauchsfälle, die 2005 vom LRZ  selbst entdeckt  wurden

 

Art des Monitoring, durch das die verdächtigen Rechner entdeckt wurden	Anzahl der Fälle	Anzahl der Rechner
Entdeckte kompromittierte Rechner:        FTP-Server, der auf einem Nicht-Standard-Port arbeitet        Viele Mail-Verbindungen zu anderen Rechnern im Internet        Port-Scans        Extrem hoher Datenverkehr        DoS        NAT-o-MAT (erst seit Anfang Dezember 2005)     Teilsumme	344 323 150 73 17 8 915	344 515 150 73 17 8 1107
Sonstige Fälle:        Organisatorische Fälle        False-Positives     Teilsumme	122 48 170	--- --- ---
Summe der vom LRZ selbst entdeckten Fälle	1085	1107

Bei den selbst entdeckten Fällen sind einige Punkte besonders erwähnenswert, die sich weitgehend durch die Überwachung der Anzahl der Mail-Verbindungen ergeben:

• Bei dieser Monitoring-Funktion werden auch die Adress-Pools für den Modem-/ISDN-/VPN-Zugang berücksichtigt.  Dadurch werden auch private Rechner erfasst, die kompromittiert sind.

  Die IP-Adressen dieser Pools darf man aber nicht einfach sperren, da sie dynamisch vergeben werden.  Man muss in diesen Fällen vielmehr den Benutzer ermitteln und ihn dann informieren.  Dabei fallen aber viele der betroffenen Benutzer mehrfach auf (und damit mit unterschiedlichen IP-Adressen), weil sie den Zugang noch mehrmals nutzen, bevor sie den eigenen Rechner säubern.

• Die Ausnahmeliste für die Mail-Überwachung enthielt Ende 2005 über  230  Einträge.  Beim Aufbau dieser Liste mussten wir in  122  organisatorischen Fällen durch Rücksprache mit den jeweils zuständigen Netzverantwortlichen klären, ob die von uns als legitim betrachteten Mail-Quellen es auch wirklich waren.
• Unter den relativ vielen False-Positive-Fällen (48) befanden sich nur weniger als  5  legitime FTP-Server, die fälschlicherweise als kompromittiert eingestuft wurden.  Beim Rest handelte es sich um lange Zeit vollkommen unauffällige Rechner, die plötzlich ein ungewöhnliches Mail-Aufkommen zeigten.  In diesen Fällen gab es auch keine Hinweise für eine legitime Mail-Quelle:  Die Rechner hatten weder einen aussagekräftigen DNS-Namen, noch konnte auf dem Mail-Port ein Mail-Server kontaktiert werden.  Außerdem waren die Rechner trotz einer entsprechenden und rechtzeitig vorher verschickten Aufforderungs-Mail an alle Netzverantwortlichen dem LRZ nicht gemeldet worden.

  Zum Glück war in den meisten dieser Fälle das verdächtige Mail-Aufkommen der betroffenen Rechner nicht besonders hoch;  die zuständigen Netzverantwortlichen wurden deshalb überwiegend nur informiert und die Rechner nicht sofort gesperrt.  Es handelte sich meist um erst kürzlich in Betrieb genommene Mail-Server oder -Gateways oder um Rechner, von denen nur relativ selten (oder auch nur einmalig) Rundbriefe, Einladungen usw. an sehr viele Empfänger verschickt wurden.

Fälle im Jahr 2004

Im Jahr 2004 gingen am LRZ insgesamt  641  Anfragen und Beschwerden von extern ein, die  572  verschiedene Fälle betrafen.  Erwähnenswert ist die hohe Zahl von ungerechtfertigten Spam-Beschwerden (insgesamt 114).  Dabei fielen Spam-Opfer auf gefälschte Mail-Header herein und bemerkten nicht, dass die Spam-Mails in Wahrheit nicht aus dem MWN kamen (sondern meistens aus dem Fernen Osten).

Schließlich gab es noch  88  Anfragen von MWN-Benutzern an den LRZ-Verteiler  "abuse@lrz.de".  Diese betrafen hauptsächlich die Themen  "Indirekte Opfer von Würmern und Spammern",  "Schutz vor Spam und Viren"  sowie  "Sicherung von Rechnern und Netzen".

Übersicht über Missbrauchsfälle, die 2004 dem LRZ  gemeldet  wurden

 

Art des Abuse-Falls	Anzahl der Fälle	Involvierte Rechner / Kennungen / Benutzer	Eingegangene Hinweise / Beschwerden
Fälle im Bereich  "E-Mail":        Ungerechtfertigte Spam-Beschwerden        Spam-Versand über kompromittierte Rechner        Opfer von Spammern        Sonstige Mail-Fälle     Teilsumme	114 74 18 20 226	--- 91 --- 12 103	--- 240 --- 17 257
Fälle im Bereich  "Würmer (bzw. Viren)":        Diverse oder nicht identifizierte Würmer        MyDoom.A/.B        Indirekte Opfer        Sober.G/.H  (rassistische Spam-Mails;             einschließlich indirekte Opfer)        MyDoom.O        Netsky.D        Bagle  (diverse Varianten)        Netsky  (diverse Varianten)        Sober  (diverse Varianten)        Anfragen zum Thema  "Viren und Würmer"     Teilsumme	45 44 36   28 24 15 10 9 7 6 224	69 81 ---   19 24 20 10 10 19 --- 252	66 60 ---   25 27 25 13 17 17 --- 250
Fälle mit rechtlichen Aspekten:        Copyright-Verletzungen        Anfragen von Strafverfolgungsbehörden        Fehlverhalten von Benutzern des MWN     Teilsumme	31 8 7 46	31 --- 5 36	34 --- 7 41
Sonstige kompromittierte Rechner:        Beschwerden wegen Port-Scans        Sonstige Beschwerden  (u.a. DoS)     Teilsumme	17 13 30	60 46 106	29 52 81
Sonstige Anfragen Sonstige Fälle	28 18	12 7	--- 12
Summe aller gemeldeten Fälle	572	516	641

Zu den von extern gemeldeten Fällen kamen  377  weitere, auf die das LRZ im Rahmen der Netzüberwachung  selbst aufmerksam  wurde.

Übersicht über Missbrauchsfälle, die 2004 vom LRZ  selbst entdeckt  wurden

 

Art des Monitoring, durch das die verdächtigen Rechner entdeckt wurden	Anzahl der Fälle bzw. Rechner
FTP-Server, der auf einem Nicht-Standard-Port arbeitet Viele Mail-Verbindungen zu anderen Rechnern im Internet        (erst seit dem 10.11.2004) Extrem hoher Datenverkehr Port-Scans	244   52 43 38
Summe aller vom LRZ selbst entdeckten Fälle	377

Hintergrund:
Kriminalisierung der Hacker-Szene im Jahr 2005

Die erste Hacker-Generation bestand überwiegend aus technikbegeisterten Jugendlichen, die die ersten öffentlich erreichbaren Rechner (damals noch über direkte Telefoneinwahl) erforschten und "kreativ zu nutzen" versuchten.  Sie erorberten ihre neue "Spielwiese" mit teilweise beachtlichem Sachverstand und mit großer Geduld und Hartnäckigkeit.  Ihre "Expeditionen" wurden dann später durch die zunehmende Zahl der Rechner immer ausgedehnter;  die aufkommenden Datennetze erleichterten die Aktivitäten signifikant.  Diese ersten Hacker wurden überwiegend von Neugier und Abenteuerlust motiviert und hatten nur in seltenen Fällen destruktive oder gar kriminelle Absichten;  getrieben von ihrem Forscherdrang bewegten sie sich aber oft in einer rechtlichen Grauzone.

Mit dem Internet und seinen einfachen und kostengünstigen Zugangsmöglichkeiten wurden die fähigen Hacker mit ihrem durchschnittlich sehr guten technischen Knowhow durch die sprunghafte Zunahme der "Script-Kiddies" zu einer zahlenmäßig verschwindend geringen Minderheit.  Bei den Script-Kiddies handelt es sich um Jugendliche, die in ihrem pubertären Geltungsbedürfnis durch möglichst viele geknackte Rechner oder durch Vandalismus auffallen wollen.  Da den Script-Kiddies in den meisten Fällen das entsprechende Hintergrundwissen fehlt, sind sie auf fertige Angriffs-Tools (einschließlich Bedienungsanleitungen) aus dem Internet angewiesen.  Bedenkt man ihre mangelnde Reife, verwundert es nicht, dass diese Jugendlichen meist kein Unrechtsbewußtsein hinsichtlich ihrer destruktiven Aktivitäten besitzen.  Ein Höhepunkt war das Jahr 2004:  Alle paar Wochen wurde in der Tagespresse und im Fernsehen über neue Würmer berichtet, die mehrere Hunderttausend Rechner infiziert hatten.

Durch die explosionsartige Ausbreitung des Internet und seine zunehmende Kommerzialisierung wurde es leider auch bei "kriminellen Elementen" immer beliebter.  Seit Mitte der Achtzigerjahre gibt es z.B. schon die Betrugsmasche der "Nigeria-Connection".  In den letzten eineinhalb Jahren erlebten die Betrügereien aber einen deutlichen Schub und es wurden teilweise auch neue Methoden entwickelt:

• Viele Rechner werden durch geeignete Würmer, trojanische Pferde usw. kompromittiert, durch die man die Rechner von einer zentralen Stelle aus "fernsteuern" kann.  Die gekaperten Rechner bilden dann ein sogenanntes "Botnet", das z.B. dazu eingesetzt wird, Phishing-Mails zu verschicken.  Oft werden Firmen auch mit einem  DDoS-Angriff  auf den eigenen Online-Shop usw. erpresst.

  Botnets bestehen oft aus mehreren Tausend oder sogar Zehntausend Rechnern.  Beim größten bisher bekannt gewordenen  Fall  wurden Anfang Oktober 2005 drei Männer in den Niederlanden verhaftet, die ca. 1,5 Mio. Rechner unter ihre Kontrolle gebracht hatten.

• Oft kann man Botnets oder auch nur Teile davon stunden- oder tageweise mieten, um mit ihnen z.B. Spam-Mails zu verschicken oder den Internet-Auftritt eines Konkurrenten durch einen DDoS-Angriff lahmzulegen.
• Die Internet-Kriminellen verkaufen auch Tools, Knowhow und verleihen sogar Spezialisten für die gezielte Industrie-Spionage bei Konkurrenten.
• Auch Betrügereien beim E-Commerce (z.B. bei eBay) haben deutlich zugenommen.

Diese aktuellen Entwicklungen in der Hacker-Szene haben mehrere unangenehme Konsequenzen für alle Organisationen des MWN.  Zum einen wird es durch den potentiellen Missbrauch des eigenen Rechners für kriminelle Zwecke noch wichtiger, eine Kompromittierung mittels geeigneter Vorsorgemaßnahmen zu verhindern.  Im Augenblick ist es noch relativ unwahrscheinlich, dass eine Firma oder Organisation eine Schadensersatzforderung erhält, weil ein nicht nach dem Stand der Technik administrierter Rechner kompromittiert wird und er dann Probleme verursacht.  Man muss aber zunehmend damit rechnen, zur Verantwortung gezogen zu werden, wenn man Hackern fahrlässig die Möglichkeit gibt, eigene Rechner zu missbrauchen (z.B. weil der Rechner nicht durch aktuelle Security-Patches und Anti-Viren-Software geschützt ist).  Unabhängig davon schadet es dem eigenen guten Ruf, wenn kompromittierte unangenehm auffallen (z.B. wenn sich ein Wurm an einen Kommunikationspartner verschickt).  Außerdem hat man eine gewisse moralische Verpflichtung, andere nicht durch eigene Nachlässigkeit oder Fahrlässigkeit zu schaden.

Zum anderen wird es immer schwieriger und aufwändiger, für den Schutz der eigenen Rechner zu sorgen, weil Kriminelle nicht an Aufsehen interessiert sind;  kompromittierte Rechner sollen nicht auffallen, damit sie möglichst lange für die Angreifer aktiv sind.  Die Hersteller von Anti-Viren-Software haben es deshalb immer schwerer, mit ihren Gegnern Schritt zu halten:

• Es existieren inzwischen sogenannte root-Kit-Techniken, mit denen sich eine eingedrungene Malware (d.h. ein Schadprogramm, -makro usw.) vor Viren-Scannern der aktuellen Generation komplett verbergen kann.
• Manche Würmer deaktivieren nach der Infektion eines Rechners als erstes evtl. laufende Viren-Scanner oder Personal-Firewalls.
• Nach dem Auftreten eines neuen elektronischen Schädlings vergeht aus organisatorischen und technischen Gründen leider eine gewisse Zeit, bis die heutigen Viren-Scanner ihn erkennen können;  in dieser Zeitspanne (wenige Stunden bis zu mehreren Tagen) bietet Anti-Viren-Software keinen Schutz gegen den neuen Schädling.

  Die Angreifer nutzen dies auf verschiedene Arten aus: Ausgehend von einem "Virenstamm" werden Varianten in schneller Folge freigesetzt;  in einigen Fällen tauchte die Nachfolgerversion eines Wurms auf, wenige Tage nachdem sein Vorgänger von den meisten Viren-Scannern erkannt wurde und dieser deshalb nicht mehr besonders wirkungsvoll war.  Dementsprechend verzeichnete z.B. Sophos im Jahr 2005 etwa 50% mehr neue Schädlinge als im Vorjahr;  bei nahezu 2/3 der insgesamt 16.000 (!) neuen Schädlingen handelte es sich um Windows-Trojaner.

  Manche Schädlinge verbreiten sich bewußt nur regional, weil es dann meist länger dauert, bis die Hersteller von Anti-Viren-Software reagieren (können).  Im Fall von gezielter Industriespionage wird dies bis ins Extrem getrieben;  nur ganz wenige Personen (z.B. die leitenden Mitarbeiter eines Betriebs) erhalten Malware (z.B. per E-Mail oder über eine präparierte Web-Seite), die  speziell für diesen einen konkreten Fall  erzeugt wurde.

Durch dieses Vorgehen waren die Angreifer recht erfolgreich:  Im Jahr 2004 gab es alle paar Wochen eine Virenepedemie, die so spektakulär war, dass in der Tagespresse und manchmal sogar im Fernsehen darüber berichtet wurde;  2005 ereigneten sich nur 2 oder 3 derartige Viren-/Wurmausbrüche.

Außerdem verfügen Kriminelle oft über erhebliche finanzielle Mittel, mit denen dann auch fähige Experten dafür bezahlt werden können, die Angriffswerkzeuge zu perfektionieren und gezielt und systematisch nach bisher noch nicht entdeckten Sicherheitslücken in Betriebssystemen und Anwendungsprogrammen zu suchen.  Bei ausrechendem finanziellen Anreiz beschäftigen sie sich dabei auch mit Plattformen, die für Script-Kiddies uninteressant oder (noch) nicht erschwinglich sind;  2005 tauchten z.B. die ersten Schädlinge für Smart-Phones auf.

Aus diesen Gründen ist es sehr wichtig, bekannte Sicherheitslücken  möglichst schnell  durch Service-Packs, Security-Patches usw. zu schließen.  Bedenkt man aber die große Zahl der Lücken, die in den letzten Jahren bekannt wurden, kann die Installation von Patches bereits in kleinen Umgebungen mit nur wenigen Rechnern ein ernsthaftes Problem darstellen.  Ebenso wichtig ist auch, dass  alle Computer-Nutzer  ihren individuellen Beitrag zur Rechnersicherheit leisten;  die besten Sicherheitsmaßnahmen sind wertlos, wenn sie durch unvorsichtiges Verhalten ausgehebelt werden.  Das LRZ versucht bei beiden Problemfeldern durch entsprechende Dienste  Hilfestellung  zu leisten.

Hintergrund:
Konkrete Beispiele aus dem Jahr 2004

Die folgende exemplarische Auswahl von konkreten Vorfällen des Jahres  2004  soll die große Spannbreite der Probleme verdeutlichen, mit denen das Abuse-Response-Team konfrontiert ist:

• Ab dem 13.5.2004 verbreitete sich der Wurm  "W32.Sober.G".  Da dieser Wurm zu diesem Zeitpunkt weder einen besonderen Schaden anrichtete, noch eine außergewöhnliche Verbreitungsrate zeigte, fiel die Epidemie zuerst nicht besonders auf.  Der Wurm gehörte jedoch zu den ersten elektronischen Schädlingen, die eigenständig neue Programmteile aus dem Internet nachladen und auf Anweisungen ihres jeweiligen Autors warten konnten.

  Ab dem  11.6.2004.  begann dann aber  Sober.G,  seinen Nachfolger  "Sober.H"  zu laden und auch sofort zu aktivieren.  Sober.H  schickte seinerseits mit einer eigenen SMTP-Maschine rassisitische und fremdenfeindliche Spam-Mails an alle Adressen, die er auf den infizierten Rechnern vorfand.  Selbstverständlich fälschte  Sober.H  (wie schon seit längerem üblich) die Absenderadresse der verschickten Spam-Mails.  Für das Abuse-Response-Team waren die Konsequenzen dramatisch:

  • Verärgert und/oder empört über den Inhalt der Spam-Mails machten sich drastisch mehr Empfänger die Mühe, herauszufinden, von welchem infizierten Rechner die Mails kamen, und dies dem  Ansprechpartner für die betreffende Domain  zu melden.  Als Folge gab es zu jedem infizierten MWN-Rechner meist gleich mehrere Hinweise oder mehr oder weniger höfliche Beschwerden, die natürlich alle beantwortet werden mussten.
  • Niemals davor und danach gab es so viele Anfragen von verunsicherten und besorgten MWN-Benutzern (vor allem von wissenschaftlichen Mitarbeitern und Professoren):

    » Ich habe erfahren / ich wurde darauf hingewiesen, dass unter meiner eigenen Mail-Adresse Nazi-Propaganda verschickt wird.

    Wird meine Kennung missbraucht ?
    Ist mein Rechner infiziert ?
    Was kann man / ich / das LRZ dagegen tun ?
    Bitte helfen Sie mir möglichst schnell; mein guter Ruf steht auf dem Spiel !!! «

  Nähere Informationen zu diesem Wurm und der Problematik findet man im LRZ-Artikel  "(Sicherheits-)Probleme bei E-Mail".
• 2004  begannen Betrüger, Phishing-Mails in großem Maßstab zu verschicken.  Mit diesen gefälschten Spam-Mails sollen unvorsichtige oder unzureichend informierte Benutzer auf kompromittierte Rechner gelockt und dort dazu verleitet werden, sensitive Informationen einzugeben (z.B. Passwörter oder PINs für das Home-Banking; nähere Informationen ebenfalls in dem  Mail-Artikel ).

  Leider wurde auch ein geknackter MWN-Rechner im Rahmen einer Phishing-Betrugsaktion dazu missbraucht, einen Web-Server von eBay zu simulieren.  Die Empfänger der betreffenden Phishing-Mails sollten dort dazu gebracht werden, ihre eBay-Zugangsdaten zu verraten.

• Wenn ein MWN-Rechner vom LRZ am X-WiN-Übergang gesperrt wird, kommt es immer wieder vor, dass sich der Besitzer dieses Rechners und/oder der zuständige Administrator beschwert:

  » Ich hätte mir mehrere Stunden Fehlersuche ersparen können, wenn man mich wenigstens über die Sperrung informiert hätte. «

  Bisher traf dann immer einer der folgenden Fälle zu:
  • Der verständigte Netzverantwortliche war verhindert, seine E-Mails zu lesen, oder vergaß, die LRZ-Benachrichtigung weiterzuleiten.
  • Die Hinweis-Mail war einem (Spam-)Filter zum Opfer gefallen oder übersehen worden.
• Manche Studenten fassen Rundbriefe der eigenen Uni oder sogar des eigenen Instituts als Spam auf und beschweren sich darüber (z.B. bei  "SpamCop").

  Aber selbst diese Fälle müssen bearbeitet werden.  Andernfalls besteht die Gefahr, dass ein zentraler Mail-Server des MWN auf einer schwarzen Liste landet; viele und bedeutende Mail-Server im Internet würden dann vom betroffenen MWN-Rechner keine E-Mails mehr entgegen nehmen.

• Im Jahr  2004  ließ die amerikanische Film- und Phono-Industrie verstärkt das Internet (d.h. P2P-Netze und anonyme FTP-Server) nach urheberrechtlich geschütztem Material durchsuchen.  Werden auf einem Rechner derartige Daten gefunden, erhält der Betreiber der betreffenden IP-Adresse von einem Anwalt eine E-Mail mit der Aufforderung, die Copyright-Verletzung sofort einzustellen.

  Die Tools, mit denen die Rechteverwerter (bzw. beauftragte Firmen) das Internet absuchen, arbeiten jedoch nicht fehlerlos.  Dies führt dann zu unberechtigten Beschwerden, die in besonders krassen Fällen das Prädikat  "Realsatire"  verdienen:  So traf z.B. am  14.9.2004  eine Beschwerde beim LRZ ein, dass auf einem anonymen FTP-Server im Verzeichnis  /pub/xyz  durch die Datei  Mail-Alias-1.12.tar.gz  mit der Größe  10 KB  die Rechte für das Werk  "ALIAS (TV) SEASON 1"  verletzt werden; diese Datei sollte also angeblich eine Folge der Action-Fernsehserie  "Alias - Die Agentin"  (bzw. im amerikanischen Original nur  "ALIAS")  enthalten.  An diesem Fall waren folgende Punkte bemerkenswert:

  • Bei  Mail-Alias-1.12.tar.gz  handelt es sich um ein Perl-Modul, das frei verteillbar ist und den gleichen Lizenzbedingungen wie Perl selbst unterliegt.  Dieses OpenSource-Paket kann von vielen Software-Archiven im Internet bezogen werden.
  • Auf dem beanstandeten MWN-Rechner gab es weder im angegebenen Verzeichnis noch an einer anderen Stelle im FTP-Archiv eine derartige Datei.  Außerdem war aus dem Modifikations-Zeitstempel von  /pub/xyz  ersichtlich, dass das Verzeichnis schon längere Zeit nicht mehr verändert worden war (d.h. man hatte nicht nachträglich eine Datei gelöscht).  Beide Informationen konnten auch von Tools ermittelt werden, die nur einen anonymen FTP-Zugang über das Netz nutzen können.
  • Der Suffix  "-1.12.tar.gz"  ist typisch für komprimierte Unix-tar-Archive, die alle Komponenten eines Software-Pakets (bzw. seine Quellen) enthalten, und wäre absolut ungewöhnlich für Filme.
  • Ein Verfahren, mit dem man eine Fernsehsendung von 45 Minuten Dauer ohne größeren Qualitätsverlust in einer Datei von  10 KB  abspeichern könnte, wäre eine Sensation.  Man kann natürlich auch große Dateien in mehrere/viele kleine Einzelteile aufspalten;  der Name der beanstandeten Datei lieferte jedoch keinen Hinweis dafür.

  Diese Fakten wurden dem Beschwerdeführer in einer Antwort-Mail mitgeteilt;  eine Reaktion darauf steht aber bis heute aus.    :-)