Seit dem nicht eingetretenen Jahr-2000-Bug hat sich im Internet etwas verändert. Nach den Angriffen auf Serversysteme im Internet wie den legendären und ziemlich ungeklärten "Distributed Denial of Service"-Attacken gegen Yahoo, Amazon, eBay u.a. ist es chic geworden, sich mit durch "Hackern" verursachten Ausfällen zu schmücken. Wir erleben hier einen regelrechten Paradigmenwechsel in Bezug auf die behauptete Kompetenz in Sachen Internet: Während es früher peinlich war, den Kunden keinen Service mehr bieten zu können, wird jetzt ein Angriff aus dem Internet zum Gütesiegel: Seht her, auch wir sind so wichtig wie Yahoo, auch unsere Systeme werden plattgemacht.
Da passt es ins Bild, dass jetzt auf bundespolitischer Seite "Task Forces" gebildet werden und mutmassliche Schwerkriminelle gejagt werden, bei denen es sich vielleicht nur um Jugendliche handelt, die das elektronische Pendant zum Klingelstreich etwas überzogen haben. Bei all dem scheint in Vergessenheit zu geraten, dass keine der momentan so heftig diskutierten Angriffsmethoden neu ist. Jahrelang konnte man anscheinend mit den TCP/IP-Protokollen und seinen Schwächen leben, aber jetzt ist Schluss mit lustig. Weil Werbebildchen aufgrund der Angriffe ein paar Minuten nicht erreichbar waren, werden jetzt härtere Geschütze aufgefahren.
Was genau bei NetCologne im Februar 2000 passierte, können wir auch nicht sagen. Es ergibt sich aus den Ankündigungen des Telekommunikationsunternehmens an seine Kunden und der Schnelligkeit im Zugriff auf "Notty", der als Täter präsentiert wurde, allenfalls ein schemenhaftes Bild, das zu viele Fragen offen lässt.
Die ganze Geschichte fing damit an, daß NetCologne am 10.2. in
seiner Support-Newsgruppe
von Schwierigkeiten berichtete:
Morgens hieß es, die "Einwahlrouter" hätten in den
letzten Tagen Probleme, was zu Verbindungsabbrüchen und langsamen
Internetverbindungen führe. Obendrein hätte es am 9.2 gegen
19:00h "eine Störung eines Segments des Hauptrouters"
gegeben. Das klang bis dahin plausibel.
Am Nachmittag
gibt es dann eine Rundmail an alle Kunden, daß am Wochenende die
"Teilnehmer-Vermittlungsanlage" erweitert werden würde und daß dadurch
mit Ausfällen zu rechnen sei. Das klingt ebenfalls plausibel, denn ein
Basteleien an der Telefonanlage können sicher auch mit den
Einwahlproblemen in Verbindung stehen.
Diese Meldung ist
allerdings nicht, wie sonst Üblich, auf dem NetCologne
Newsserver archiviert.
Abends ist dann davon die Rede, daß die Probleme am Hauptrouter die Interneteinwahl behindert hätten. Das klingt wenig überzeugend, denn NetCologne wird sicher nicht seinen zentralen Router gleichzeitig als Dial-In-Server verwenden. Wie dem auch sei, nachts würde das Gerät ausgetauscht und "in andere Räumlichkeiten verlegt."
Am 12.2.
gab es dann wieder eine Rundmail an alle Kunden. Darin wurden
plötzlich die "drastischen Behinderungen" beim Internetzugang
mit Denial-of-Service-Angriffen aus dem Internet begründet.
Keine Rede mehr
von den Problemen mit dem Dial-In-System, dem Austausch und
Umzug des Hauptrouters und der Erweiterung der
Telefonanlage.
Statdessen war man aus dem Intenet angegriffen
worden und stand damit in einer Reihe mit yahoo, eBay und CNN.
Aber im Gegensatz zum Rest der Welt, der verzweifelt nach den
Tätern suchte, konnte NetCologne am Donnerstag "die Herkunft der
Attacken jedoch nach kurzer Zeit feststellen" und den Täter
lokalisieren. Am Freitag hätten sie dann "den Betreiber des DFN
informiert" und den Verkehr aus dem DFN (Deutsches Forschungsnetz)
blockiert.
Es gibt auch eine Pressemeldung
mit diesem Inhalt, die auf den 11.2. datiert wurde, allerdings
erst seit dem 18.2.
auf dem Webserver steht. Der c4 war
verwundert.
Am 13.2. meldet dann auch der Heise Verlag Cyber-Terror
auch gegen deutsche Web-Sites.
Einige Tage gab es dann eine Agenturmeldung NetCologne-Saboteur
gefasst die die Zeitungen praktisch
unverändert übernahmen. Darin war die Rede von einem n0tty,
der gestanden haben solle, die Störungen verursacht zu haben.
Mit "Spezialprogrammen" habe er NetCologne solange mit sinnlosen
Anfragen bombadiert, bis die NetColognes Netzverbindung gekappt
gewesen sei. Er habe Internetzugänge von Studenten zur
Verschleierung genutzt und sei jetzt in seiner "mit gestohlener
Elektronik vollgestopften Wohnung" gefaßt worden. Der Schaden
beliefe sich auf etwa 500.000 DM.
Nur die Futurezone
vom Österreichischen Rundfunk hat offensichtlich nicht nur die Agenturmeldung abgeschrieben.
Gleichzeitig kam aus der IRC-Szene eine andere Version der
Geschichte:
Das fängt damit an, daß es keinen "n0tty"
gäbe, sondern nur einen not4you, der auch manchmal "notty"
genannt werden würde.
notty habe nicht das Know-How einen ganzen
Internetprovider lahmzulegen. Er habe einen Shell-Account auf
deneb.informatik.uni-mannheim.de benuzut um dort den IRC-Bouncer
redirect
laufen zu lassen. Damit habe er,
wie im IRC durchaus üblich, einen User bei ndh.com kurz mit
einem UDP-Flood beglückt. Der Flood habe knapp drei Stunden
gedauert.
Der Autor von redirect meint dazu:
Redirect benutzt den standard socket API fuer UDP pakete, und versucht in keinster weise die source adresse zu faelschen (also kein spoofing), somit ist es unmoeglich damit eine sog. "smurf"-attacke (in der UDP-variante analog zu "papasmurf") zu machen.
Daraus folgert, dass n0tty, um NetCologne lahmzulegen, mit siner shell von uni-mannheim aus mehr traffic machen muesste als NetCologne. Ich bezweifle jetzt einfach mal dass uni-mannheim besser angebunden ist als NetCologne -- was aber noetig waere, damit n0tty NetCologne lahmlegen haette koennen.
In der Tat leben wir, wie es in dem alten chinesischen
Fluch heisst, in interessanten Zeiten. In jedem Krieg
ist das erste Opfer immer die Wahrheit. Es ist nicht
zu hoffen, dass beim Krieg um Marktanteile im
Telekommunikationsmarkt wieder Fakten auf dem
Schlachtfeld zurückbleiben. Interessant sind an
der Geschichte neben den vielen technisch
zweifelhaften Details auch die einstimmigen
Erklärungen, mit der sich Presse und Politik
quasi geschlossen an der Panik um die DoS-Angriffe
beteiligen. Auf den CCC kommen neue Aufgaben zu:
Während wir jahrelang vor übertriebener
Naivität in Zusammenhang mit dem Internet gewarnt
haben, müssen jetzt versuchen, die Diskussion zu
versachlichen: Cyberterrorismus ist das alles
nicht. Wenn Rechner langsamer laufen und nicht mehr
erreichbar sind, dann ist das für die Betreiber
der Server schlimmstenfalls lästig, aber nicht
mit dem Terrorismus zu vergleichen, bei dem in der
echte Welt echte Bomben hochgehen und echte Menschen
getötet oder verstümmelt werden. Wer sich
"Hacker-Attacken" aus Prestigegründen für
das eigene "E-Business" herbeiwünscht und diese
dann auch noch als Terroranschläge bezeichnet,
muss sich fragen lassen, welchen politischen
Hardlinern er damit Munition liefert.
Sicherlich gibt es auch im Bereich der staatlichen Sicherheitsorgane
die Bestrebung, unter Beweis zu stellen, daß man auch im Internet
fü Recht und Ordnung im deutschesten aller Sinne sorgen
kann. Pessimisten befürchten, daß bald an irgend einem
armen Wesen wie notty disbezüglich ein Exempel statuiert wird.