Unstimmigkeiten bei den angeblichen Denial-of-Service-Attacken (DoS) gegen NetCologne im Februar 2000

Chronologie der Ereignisse

Die ganze Geschichte fing damit an, daß NetCologne am 10.2. in seiner Support-Newsgruppe von Schwierigkeiten berichtete:
Morgens hieß es, die "Einwahlrouter" hätten in den letzten Tagen Probleme, was zu Verbindungsabbrüchen und langsamen Internetverbindungen führe. Obendrein hätte es am 9.2 gegen 19:00h "eine Störung eines Segments des Hauptrouters" gegeben. Das klang bis dahin plausibel.

Am Nachmittag gibt es dann eine Rundmail an alle Kunden, daß am Wochenende die "Teilnehmer-Vermittlungsanlage" erweitert werden würde und daß dadurch mit Ausfällen zu rechnen sei. Das klingt ebenfalls plausibel, denn ein Basteleien an der Telefonanlage können sicher auch mit den Einwahlproblemen in Verbindung stehen.
Diese Meldung ist allerdings nicht, wie sonst Üblich, auf dem NetCologne Newsserver archiviert.

Abends ist dann davon die Rede, daß die Probleme am Hauptrouter die Interneteinwahl behindert hätten. Das klingt wenig überzeugend, denn NetCologne wird sicher nicht seinen zentralen Router gleichzeitig als Dial-In-Server verwenden. Wie dem auch sei, nachts würde das Gerät ausgetauscht und "in andere Räumlichkeiten verlegt."

Am 12.2. gab es dann wieder eine Rundmail an alle Kunden. Darin wurden plötzlich die "drastischen Behinderungen" beim Internetzugang mit Denial-of-Service-Angriffen aus dem Internet begründet. Keine Rede mehr von den Problemen mit dem Dial-In-System, dem Austausch und Umzug des Hauptrouters und der Erweiterung der Telefonanlage.
Statdessen war man aus dem Intenet angegriffen worden und stand damit in einer Reihe mit yahoo, eBay und CNN. Aber im Gegensatz zum Rest der Welt, der verzweifelt nach den Tätern suchte, konnte NetCologne am Donnerstag "die Herkunft der Attacken jedoch nach kurzer Zeit feststellen" und den Täter lokalisieren. Am Freitag hätten sie dann "den Betreiber des DFN informiert" und den Verkehr aus dem DFN (Deutsches Forschungsnetz) blockiert.
Es gibt auch eine Pressemeldung mit diesem Inhalt, die auf den 11.2. datiert wurde, allerdings erst seit dem 18.2. auf dem Webserver steht. Der c4 war verwundert. Am 13.2. meldet dann auch der Heise Verlag Cyber-Terror auch gegen deutsche Web-Sites.

Einige Tage gab es dann eine Agenturmeldung NetCologne-Saboteur gefasst die die Zeitungen praktisch unverändert übernahmen. Darin war die Rede von einem n0tty, der gestanden haben solle, die Störungen verursacht zu haben. Mit "Spezialprogrammen" habe er NetCologne solange mit sinnlosen Anfragen bombadiert, bis die NetColognes Netzverbindung gekappt gewesen sei. Er habe Internetzugänge von Studenten zur Verschleierung genutzt und sei jetzt in seiner "mit gestohlener Elektronik vollgestopften Wohnung" gefaßt worden. Der Schaden beliefe sich auf etwa 500.000 DM.
Nur die Futurezone vom Österreichischen Rundfunk hat offensichtlich nicht nur die Agenturmeldung abgeschrieben.

Gleichzeitig kam aus der IRC-Szene eine andere Version der Geschichte:
Das fängt damit an, daß es keinen "n0tty" gäbe, sondern nur einen not4you, der auch manchmal "notty" genannt werden würde.
notty habe nicht das Know-How einen ganzen Internetprovider lahmzulegen. Er habe einen Shell-Account auf deneb.informatik.uni-mannheim.de benuzut um dort den IRC-Bouncer redirect laufen zu lassen. Damit habe er, wie im IRC durchaus üblich, einen User bei ndh.com kurz mit einem UDP-Flood beglückt. Der Flood habe knapp drei Stunden gedauert.

Der Autor von redirect meint dazu: Redirect benutzt den standard socket API fuer UDP pakete, und versucht in keinster weise die source adresse zu faelschen (also kein spoofing), somit ist es unmoeglich damit eine sog. "smurf"-attacke (in der UDP-variante analog zu "papasmurf") zu machen. Daraus folgert, dass n0tty, um NetCologne lahmzulegen, mit siner shell von uni-mannheim aus mehr traffic machen muesste als NetCologne. Ich bezweifle jetzt einfach mal dass uni-mannheim besser angebunden ist als NetCologne -- was aber noetig waere, damit n0tty NetCologne lahmlegen haette koennen.

... der Vorhang zu und alle Fragen offen

Die ganze Angelegenheit ist ist in erster Linie mysteriös. Die Ermittlungen werden hoffentlich zeigen, was von den Vorwürfen gegenüber Notty haltbar ist. Zweifel an der verkürzten Fassung, er habe alleine eine der grössten privaten Telefongesellschaften Deutschlands lahmgelegt, müssen erlaubt sein, wenn man sich das Zusammenspiel der Pannenmeldungen bei Netcologne ansieht:

• Was war denn jetzt bei NetCologne kaputt? Die Telefonanlage, die Einwahltechnik oder der zentrale Router?
  Es ist im Prinzip löblich, die Kunden über einen Ausfall zu informieren. Es kann auch vorkommen, dass verschiedene Theorien über einen Ausfall innerhalb des Unternehmens existieren. Aufgrund der verwirrenden Unterschiedlichkeit, mit denen NetCologne die nicht erbrachten Leistungen im Februar zu erklären versuchte, wäre hier vielleich ein abschliessendes Statement angebracht gewesen.
• Warum ist die Meldung über die Erweiterung der Telefonanlage nicht auf dem NetCologne Newsserver?
  Hier kann es eine einfache Erklärung geben: Vielleicht arbeiten bei NetCologne ja nicht nur blitzgescheite Leute, die in Windeseile gefürchtete Hacker lokalisieren können, sondern auch Menschen mit Fehlern, die bei den Kundenrundschreiben nicht mehr durchblicken und eine Archivierung auf dem Newsserver vergessen. Diese könnte eine mögliche Erklärung sein. Die andere Möglichkeit, dass hier Spuren verwischt wurden, würde die ganze Sache unangenehmer aussehen lassen, als es NetCologne lieb sein kann. Bis zur abschliessenden Klärung bleibt da nur die Spekulation.
• Warum ist die Pressemitteilung auf dem Webserver zurückdatiert?
  Auch hier kann es einfache Erklärungen geben. Allerdings ist es schon seltsam, dass sich hier bezogen auf den gleichen Vorgang wieder Unstimmigkeiten in der Archivierung auf dem Rechner ergeben.
• Warum sprechen alle von n0tty anstatt notty? Gibt es keinen Journalisten in Deutschland, der selbst recherchiert?
  Interessanterweise gibt es im IRCNet tatsächlich einen Teilnehmer namens n0tty, der 24 Stunden online ist. Ihn hätte man ja einfach zu der Geschichte fragen können. Alternativ hätte ein "/whois n0tty" gereicht, um herauszufinden, dass es sich hier nicht um einen menschlichen Chat-Teilnehmer, sondern um einen Bot handelt.
• Wie wurde der Schaden von 500.000 DM berechnet? Bekommen die NetCologne-Kunden, deren Internetzugang gehemmt war, etwas davon ab?
  Im Zusammenhang mit Angriffen aus dem Internet werden gerne phantasievolle und eindrucksvoll große Zahlen genannt. Wenn man sich allerdings vor Augen führt, dass bei NetColognes Internet-Service hauptsächlich laufende Kosten auftreten, die bezahlt werden müssen, egal ob die Kunden das Angebot nutzen konnten oder nicht, relativiert sich das ganze wieder. Durch DoS-Attacken wird kein Equipment zerstört, es wird nur für die Dauer des Angriffs quälend langsam. Da NetCologne monatliche Pauschalpreise berechnet, sind die einzigen Leidtragenden letztendlich die Kunden: Sie können eine bereits bezahlte Leistung nicht in Anspruch nehmen. Es bleibt abzuwarten, wieviel Geld NetCologne seinen Kunden überweist.
• Wie wurde herausgefunden, daß ein Rechner an der Uni Mannheim und nicht etwa die Umbauten am eigenen System das Problem verursachte?
  Interessant ist das schon: Erst Chaos beim Umbau, Umzug des zentralen Routers und dann ein paar Stunden später die Gewissheit, dass Angriffe von ausserhalb der Grund waren.
• Wie wurde herausgefunden, daß von allen Usern von deneb.informatik.uni-mannheim.de grade n0tty der Angreifer war?
  Entgegen einem verbreiteten Irrglauben stehen in UDP-Datenpaketen keine Usernamen oder E-Mail-Adressen. Lediglich ein Systemoperator auf dem entsprechenden Rechner der Uni Mannheim hätte herausfinden können, welcher Benutzer gerade eine Angriffsprogramm gestartet hatte. Auf NetCologne-Seite wäre lediglich als Absenderadresse deneb.informatik.uni-mannheim.de angekommen.
• Wie kann ein einzelner Recher im DFN das gesamte NetCologne System lahmlegen, wenn nur eine 2 MBit Anbindung zum DFN besteht und 6 weitere Außenanbindungen mit insgesamt knapp 500 MBit bei NetCologne vorhanden sind?
  Allen Attacken, die in letzter Zeit als DoS oder DDoS Schlagzeilen gemacht haben ist gemeinsam, daß es sich hierbei um Flooding handelt, d.h. man schickt einem System mehr Daten als es selbst oder seine Netzanbindung verkraften kann. Mit 2 Megabit Bandbreite sollte es nicht möglich sein, die Systeme eines grossen Internetproviders zu überfluten.
• Warum wurde das DFN erst einen Tag später über den Mißbrauch informiert?
  Wenn man von Rechnern einer doch recht seriösen Organisation, wie dem DFN, angegriffen wird, dann läßt sich mit ziehmlicher Sicherheit sagen, daß dort ein Rechner gehackt wurde. Im Sinne der schnellen Problembeseitigung ist es in einem solchen Fall sicher ratsam, sich bei dem Betreiber des entsprechenden Rechners zu melden und ihn auf das Problem hinzuweisen.
• Warum wurde nicht schon am Donnerstag Abend, nachdem bekannt war, daß der Angriff von einem Rechner kam, dieser am Border-Router gefiltert?
  Wenn das gesamte deutsche Forschungsnetz mit allen Universitäten und Forschungsinstituten abgehängt wird, bedeutet das für NetCologne-Kunden auch, dass sie keinen Zugriff mehr auf viele wichtige deutschen FTP-Server mehr haben. Auch hier hätten die Kunden eigentlich eine Erklärung verdient, warum ihnen diese Dienste vorenthalten wurden. Ob sie sich damit zufrieden geben, dass es eine Schnellschussaktion war, ohne Rücksprache mit dem DFN?
  Da naheliegenste wäre es gewesen, einfach nur an dem Router zum DFN den einen Rechner, von dem die Angriffe aus erfolgten, zu filtern. Dies wäre mit minimalem Aufwand und Kosten möglich gewesen und hätte das Problem augenblicklich beseitigen sollen. Warum dieser Weg nicht gewählt wurde, ist unverständlich.
• Warum wurde das DFN-CERT (Computer Emergency Response Team des Deutschen Forschungsnetzes, zuständig für Sicherheitsprobleme und Angriffe auf Computersysteme im Zusammenhang mit DFN-Systemen) nicht informiert?
  Ganz oben auf in jedem IT-Notfallplan steht die Kontaktaufnahme mit dem entsprechenden CERT. Dort sitzen die Experten, die Rat geben können, aber auch dafür sorgen, daß andere Betroffene gewarnt werden und Gegenmaßnahmen koordiniert erfolgen können. Sicher mag dies manchmal im Trubel eines Störfalls vergessen werden, aber professionelle Systemadministratoren sollten auch bei Problemen einen kühlen Kopf behalten.

Und nun?

In der Tat leben wir, wie es in dem alten chinesischen Fluch heisst, in interessanten Zeiten. In jedem Krieg ist das erste Opfer immer die Wahrheit. Es ist nicht zu hoffen, dass beim Krieg um Marktanteile im Telekommunikationsmarkt wieder Fakten auf dem Schlachtfeld zurückbleiben. Interessant sind an der Geschichte neben den vielen technisch zweifelhaften Details auch die einstimmigen Erklärungen, mit der sich Presse und Politik quasi geschlossen an der Panik um die DoS-Angriffe beteiligen. Auf den CCC kommen neue Aufgaben zu: Während wir jahrelang vor übertriebener Naivität in Zusammenhang mit dem Internet gewarnt haben, müssen jetzt versuchen, die Diskussion zu versachlichen: Cyberterrorismus ist das alles nicht. Wenn Rechner langsamer laufen und nicht mehr erreichbar sind, dann ist das für die Betreiber der Server schlimmstenfalls lästig, aber nicht mit dem Terrorismus zu vergleichen, bei dem in der echte Welt echte Bomben hochgehen und echte Menschen getötet oder verstümmelt werden. Wer sich "Hacker-Attacken" aus Prestigegründen für das eigene "E-Business" herbeiwünscht und diese dann auch noch als Terroranschläge bezeichnet, muss sich fragen lassen, welchen politischen Hardlinern er damit Munition liefert.

Sicherlich gibt es auch im Bereich der staatlichen Sicherheitsorgane die Bestrebung, unter Beweis zu stellen, daß man auch im Internet fü Recht und Ordnung im deutschesten aller Sinne sorgen kann. Pessimisten befürchten, daß bald an irgend einem armen Wesen wie notty disbezüglich ein Exempel statuiert wird.

Jens Ohlig, doobee