Peinliches Sonderangebot Cracker verhökert Zugang zu Militär- und Regierungsseiten

Wenn man der amerikanischen IT-Sicherheitsfirma Imperva glauben kann, sind in den Finsterecken des Webs echte Schnäppchen zu machen: Vollzugang zu  Militär- und Regierungsseiten soll es ab 33 Dollar geben. Wer noch 20 Dollar drauflegt, bekommt ein 1000er-Päckchen geheimer Personaldaten dazu.
Hacker: Viele sitzen in Wahrheit in Kinderzimmern, die viel freundlicher gestaltet sind

Hacker: Viele sitzen in Wahrheit in Kinderzimmern, die viel freundlicher gestaltet sind

Foto: Corbis

Meist bleiben Angaben über die geheimnisvollen Geschäfte in den Finsterecken des Webs diffus. Oft ist die Rede von Kreditkartendaten, die man für Centbeträge kaufen könne, von Botnets, die man für ein Taschengeld mieten kann, von DDoS-Attacken, die man zum Dumpingpreis bestellt. Dass mit kriminellem Hacking, mit Spam, Viren und Schutzgelderpressungen Geld verdient wird, steht außer Frage. Wieviel, darüber gibt es Schätzungen, Vermutungen und Legenden.

Wenn man den Angaben des amerikanischen IT-Sicherheitsunternehmens Imperva  glauben kann, sollte man vielleicht eher sagen, wie wenig: Die Experten der Firma stießen auf ein offenbar plausibles, ernst gemeintes Angebot eines Crackers (so nennt man kriminell motivierte Hacker), der teils hoch geheime militärische und Regierungs-Webseiten als geknackte Server zur Ausforschung oder Übernahme anbietet. Insgesamt soll der Cracker zurzeit Zugang zu 16 solchen Seiten anbieten.

Für Summen zwischen 33 und 499 Dollar preise der Cracker Vollzugänge zu italienischen Regierungsseiten an, aber auch zu Seiten der US-Armee. Die Perle im Angebot ist eine echte Peinlichkeit: Der Cracker gibt unter anderem an, dass er über einen Vollzugang zu Cecom, dem Communications-Electronics Command der US-Army verfüge. Die Armeee-Abteilung wurde eingerichtet, um IT- und Kommunikationssysteme für den Gefechtseinsatz der US-Army zu entwickeln. Dazu zählen neben Kommunikations- und Telemetriesystemen auch Feindüberwachungssysteme.

Ergänzt wird das Angebot, dass der Cracker auf einem von Imperva nicht benannten Warez-Marktplatz macht, durch Datenpakete für 20 Dollar, die aus jeweils 1000 Datensätzen mit Namen, Kontakt- und Adressdaten von Personen zusammensetzen, die der Cracker auf den von ihm gekaperten Seiten abgefischt haben will. Aus einzelnen Datenbanken geknackter Webseiten will er Personal-Datenbestände in bis zu sechsstelliger Höhe gestohlen haben.

Spektakulärer Hack, profane Methodik

Der Wahrheitsgehalt der Angaben des Crackers ist schwer zu überprüfen. Teil des Angebotes sind Protokolle, die Teile der Hacks dokumentieren: Die sehen plausibel aus.

Sie deuten darauf hin, dass die Hacks mit Hilfe sogenannter SQL-Injektionen gelangen. Dabei werden Sicherheitslücken in SQL-Datenbanken (Schnittstellen dazu sind zum Beispiel Suchformulare auf Webseiten) ausgenutzt, um zunächst einige Datenbankbefehle einzuschleusen. Von da ausgehend versucht der Einbrecher, möglichst viel Daten abzuschöpfen oder im günstigsten Fall die Kontrolle über einen solchen unzureichend abgesicherten Server zu erlangen.

Das soll im aktuellen Fall mehrfach geschehen sein: Für einige der gehackten Server bietet der Cracker die Übernahme der Kontrolle auf Root-Ebene an - salopp gesagt die volle Kontrolle. Der Käufer wird damit zum Administrator der Seite, kann dort tun, was er will.

Besonders qualifiziert brauchte der Cracker für seine Erfolge nicht zu sein, sagte Imperva-Manager Noa Bar-Yosef in einem Gespräch mit IDG News: Für SQL-Injektionen griffen Cracker gern auf gängige Software-Werkzeuge zurück, die man ebenfalls für kleines Geld kaufen kann. Viele solche Attacken seien das Werk minderjähriger Script-Kiddies ohne Programmierkenntnisse - der Hack ist ein weitgehend automatisierter Vorgang, der nur greift, wenn eine Seite entsprechend schlecht gesichert ist.

pat