ETH Life - wissen was laeuft

Die tägliche Web-Zeitung der ETH Zürich - in English

ETH Life - wissen was laeuft ETH Life - wissen was laeuft
ETH Life - wissen was laeuft
Home



Copyright 2000-2007 by

ETH - Eidgenoessische Technische Hochschule Zuerich - Swiss Federal Institute of Technology Zurich
Rubrik: Tagesberichte
 Print-Version Drucken
Publiziert: 10.10.2001 06:00
E-Mail-Lawine bedrohte auch die ETH
Hackerangriff auf ETH-Mailserver

Amerikanische Hacker starteten mit einer Lawine von Werbe-E-Mails einen Frontalangriff auf Schweizer Mailserver. Stark betroffen war auch die ETH, bei der zeitweise Gateways und Server unter der Last zusammenbrachen.

Von Richard Brogle

Bis jetzt hiess es: Totale Nachrichtensperre. Selbst bei den ETH-Informatikdiensten wussten nur wenige von den E-Mail-Attacken in Form von Werbe-E-Mails. Einer von ihnen ist David McLaughlin von der Sektion Basisdienste: "Wir wollten die Hacker auf keinen Fall wissen lassen, dass wir ihnen auf der Spur sind. Daher verfügten wir eine Nachrichtensperre."

Was ist geschehen? Im Februar dieses Jahres begann ein Angriff mit einer Lawine von Werbe-E-Mails auf Computer der Basisdienste, der Betriebsinformatik und auf einen Server der Biochemie. Während grosse Mailserver an der ETH pro Tag normalerweise einige 1000 Mails erhalten, wurden verschiedene Rechner plötzlich mit Hunderttausenden von Mails pro Tag bombardiert. "Einer unserer Gateways hielt diesem Ansturm nicht stand und brach zeitweise zusammen", erinnert sich David McLaughlin. In unzähligen Nachtschichten versuchten die Administratoren der betroffenen Mailserver ihre Rechner am Leben und so den E-Mail-Verkehr aufrecht zu erhalten.

Eine halbe Million Franken Schaden

Der Schaden für die ETH ist nicht unerheblich. Laut ETH-Sicherheitschef Beat Müller beläuft sich der Schaden in Form von zusätzlichen Arbeitsstunden auf rund eine halbe Million Franken. Müller hat daher im Namen der ETH auch Strafanzeige erstattet und Schadenersatz geltend gemacht.

Aber nicht nur die ETH Zürich wurde bombardiert, auch die ETH Lausanne, die Uni Bern und das CERN waren betroffen. Ob auch grosse Privatunternehmen attackiert wurden, ist nicht bekannt, da sich diese laut McLaughlin wohl aus Angst vor einem Image-Verlust in Schweigen hüllen. ETH Life ist aber ein Fall eines kleinen Geschäftes bekannt, das Internetservices anbietet und bei dem der Mailserver Nacht für Nacht unter der Flut der Werbe-E-Mails zusammenbrach. Die Folge: viele verärgerte Kunden, von denen einer sogar kündigte. Der CEO: "Eine Riesenarbeit und nur Scherereien." Die Bezirksanwaltschaft Zürich hat den Fall mittlerweile an INTERPOL weitergeleitet, und das FBI ist eingeschaltet worden. Dabei scheint es, dass gezielt Server in der Schweiz bombardiert wurden. McLaughlin, der die Abwehrmassnahmen an der ETH koordiniert: "Ich habe beim CERT (Computer Emergency Response Team) eine entsprechende Anfrage gemacht und die Antwort erhalten, dass in keinem anderen Land vergleichbare Attacken stattgefunden haben." Zwar sei bei einem Internet-Service-Anbieter ein Mail eingegangen, bei dem die Schweiz arg beschimpft worden sei; ob aber ein Zusammenhang zwischen diesem Mail und der Werbe-E-Mail-Attacke bestünde, sei unklar.

Hunderttausende von E-Mails

Vermutlich verfolgen die Täter zwei vordergründige Ziele. Das erste scheint logisch: Sie versenden Millionen von Werbe-E-Mails, die für dubiose Geschäfte werben. Höchstwahrscheinlich sollen ahnungslose Konsumentinnen und Konsumenten dazu motiviert werden, Geld in unsinnige oder gar verbotene Geschäfte zu investieren. In einem E-Mail, das die ETH erreicht hat, heisst es etwa: "Erfahren Sie, wie sie mit $25.- in Kürze $10'000.- verdienen können. Rufen Sie einfach folgende Gratisnummer an: 1-800-xxxxxx an."

Woher die Täter die E-Mail-Adressen haben, ist noch unklar. Es ist aber bekannt, dass auf dem Markt für ein paar hundert Dollar CDs mit angeblich Millionen von aktiven E-Mail-Adressen angeboten werden. Die Anbieter solcher CDs haben die Adressen vermutlich mit speziellen Programmen aus Newsgroups, Chatrooms oder Homepages zusammengesucht.


weitermehr
David McLaughlin: "Einer unserer Gateways und der Institutsserver der Biochemie hielten diesem Ansturm nicht stand."
David McLaughlin: " Einer unserer Gateways hielt diesem Ansturm nicht stand und brach zeitweise zusammen." gross

Das zweite Ziel scheint die Blockierung von Mailservern zu sein. Laut McLaughlin verursachen die Hacker nämlich mehr Schaden als für das blosse Verbreiten der Werbe-Mails unbedingt nötig. Als Absenderadressen der Werbe-Mails geben die Hacker zufällige Benutzernamen von real existierenden Mailservern an. An diese werden dann die fehlgeleiteten E-Mails "zurückgeschickt", obwohl sie gar nicht von dort stammen. So treffen plötzlich innert Stunden Hunderttausende von E-Mails bei einem Server ein, der sie gar nie losgeschickt hat. Unter einer solchen Datenflut kann ein normaler Mailserver zusammenbrechen, da er pro Zeiteinheit mehr Mails erhält als er zurückschicken kann.

E-Mails aus der ETH verweigert

Löschen oder Blockieren solcher Mails ist aus zwei Gründen fast unmöglich: Wäre es immer die gleiche Absenderadresse, so könnten einfach die E-Mails mit diesem Benutzernamen automatisch gelöscht werden. Mit einem zufälligen Benutzernamen ist dies aber unmöglich. Einem Server-Administrator bleibt noch die Möglichkeit, alle Mails von einem Mailserver mit einem bestimmten Domain-Namen zu blockieren. Das perfide an der Attacke ist nun aber, dass die Hacker real existierende Servernamen verwendet haben. Damit machen sie eine automatische Abwehr fast unmöglich, da der Mail-Administrator des Zielrechners nur noch die Wahl hat, die persönlichen Mails zusammen mit den Werbe-Mails von einem Server zu empfangen oder aber beide abzulehnen. Mit dieser Art von Attacke ist eine automatische Unterscheidung zwischen persönlichen Mails und Werbemails kaum möglich. Das hat dazu geführt, dass gewisse Mail-Administratoren im Ausland sämtliche Mails aus der ETH abgelehnt haben. Mehrere ETH-Angehörige konnten daher ihre Mails an bestimmte Institutionen nicht mehr versenden. Ihre E-Mails wurden schlicht zurückgewiesen.

Attacke plötzlich abgeflacht

So unerwartet wie die Attacke anfing, so unerwartet hörte sie auch auf. Ob sich die Hacker von den amerikanischen Strafverfolgungsbehörden oder von den Abwehrmassnahmen der ETH beeindrucken liessen, kann genau so wenig festgestellt werden wie die eigentlichen Motive, die hinter der ganze Attacke stehen. Viel Arbeit für nichts also? Nicht ganz. McLaughlin ist überzeugt, dass der nächste Angriff nicht lange auf sich warten lässt: "Aber heute sind wir dank dieses ersten Angriffs wesentlich besser vorbereitet. Die Schnittstellen zwischen Technik und Justiz sind heute viel klarer."


Ist SPAM strafbar?

Die rechtliche Beurteilung von SPAM ist noch nicht abgeschlossen. In der Schweiz gibt es dazu noch keine Rechtsprechung. Bei diesem Angriff handelt es sich nicht um einen klassischen Hacker-Angriff, bei dem die Täter versuchen, in ein fremdes Computersystem einzudringen, sondern um ein DDoS-Attack (Distributed Denial of Service). Bei diesem Typ werden die betroffenen Computer mit so vielen Anfragen oder Mails bombardiert, dass sie unter dieser Last zusammenbrechen. Geprüft werden kann gemäss Strafrechtsprofessor Christian Schwarzenegger der Universität Zürich einerseits die Klassifikation als unlautere Wettbewerbsmethode oder auch Nötigung, wenn die Masse von Mails so gross ist, dass der Mail-Betreiber gezwungen ist, den Betrieb vorübergehend einzustellen.




Literaturhinweise:
Schwarzenegger, Christian: E-Commerce - Die strafrechtliche Dimension, in: Arter, Oliver / Jörg, Florian (Hrsg.): Internet-Recht und Electronic Commerce Law, Lachen/St. Gallen 2001, 329 ff. (im Erscheinen)



Sie können zu diesem Artikel ein Feedback schreiben oder die bisherigen lesen.



!!! Dieses Dokument stammt aus dem ETH Web-Archiv und wird nicht mehr gepflegt !!!
!!! This document is stored in the ETH Web archive and is no longer maintained !!!