Als Vergeltung für die Terrorangriffe gegen die Vereinigten Staaten vom 11. September 2001 attackierte eine Gruppe von Hackern 200 bis 300 Webseiten nahöstlicher Regierungen und palästinensischer Internet-Anbieter. Nach eigenen Worten plant die Gruppe, in Afghanistan, wo das herrschende Taliban-Regime der Bevölkerung ohnehin den Zugang zum Internet untersagt hat, Webserver zu zerstören und jeden Internetzugriff zu unterbinden.

Unter den ersten mit Karikaturen von Osama bin Laden verunstalteten Webseiten waren die des iranischen Innenministeriums; die offizielle Webseite des Präsidentenpalastes von Afghanistan und eine Seite der regierenden Taliban-Partei wurden bereits zerstört.

Das National Infrastructure Protection Center des FBI äußerte dazu, dass "Individuen, die glauben, damit ihrem Land einen Dienst zu erweisen, tatsächlich das Gegenteil erreichen". Außerdem seien diese Aktivitäten nach US-Recht Straftaten, die mit Haft bis zu fünf Jahren geahndet werden könnten.

Offenbar überlegen die US-Behörden ihrerseits, wie man dem mutmaßlichen Chefterroristen Osama bin Laden mittels Cyberattacken den Geldhahn abdrehen könnte. Dabei darf die US-Regierung kaum mit der Unterstützung der vielen Banken, Unternehmen und Schattenorganisationen rechnen, in denen bin Laden sein mutmaßliches Millionenvermögen versteckt hält.

Das Hacken in die Computersysteme ausländischer Banken wirft eine Reihe von technischen und rechtlichen Problemen auf. Mark Rasch, früherer Leiter einer Abteilung für Computerkriminalität beim US-Justizministerium, betont: "Für Fahndung, Spionage und Kriegsführung gelten unterschiedliche Regeln. Gegenwärtig führen wir eine Fahndung durch. Sollen wir das Geld einfach transferieren? Das hat keinen Sinn. Es wäre illegal, und bin Laden würde die Bank einfach auffordern, das Geld zu ersetzen. Was wir wirklich brauchen, ist die Fähigkeit, Vermögen zu identifizieren, um sie dann rechtsgültig sperren oder beschlagnahmen zu lassen."

Eric Friedberg, jetzt Sicherheitsberater und früher Koordinator für Computerkriminalität im US-Justizministerium, ergänzt: "In Kriegszeiten ist es legal, in feindliche Server zu hacken. Doch dies-mal wird der Feind schwer zu identifi-zieren sein. Beweismittel und Guthaben könnten sich in den Händen scheinbar unbeteiligter Dritter befinden. Sobald neutrale Parteien betroffen sind, wird die Legalität gewaltsamer elektronischer Eingriffe fraglich."

Der Nimda-Wurm

Am 18. September 2001 gegen 10:00 Uhr New Yorker Zeit trafen im Internet-Sturmzentrum von incidents.org erste Meldungen über einen neuen Wurm ein. Der Parasit, der sich mit bisher nicht da gewesener Geschwindigkeit im Web ausbreitete und unter dem Namen "W32/Nimda" ( "Admin" rückwärts geschrieben) bekannt wurde, verdankt seine Virulenz vier verschiedenen Ausbreitungsvektoren: Server, E-Mail, Web-Browser und gemeinsam genutzten Dateien (File-Shares). Zunächst forscht der Wurm im Internet nach IIS-Computern und versucht, durch Schwachpunkte – etwa von früheren Infektionen zurückgelassene Hintertüren – in sie einzudringen. Sobald er Kontrolle über den Server hat, kopiert er sich von dem angreifenden Computer unter dem Namen Admin.dll dorthin.

Hat sich Nimda erfolgreich auf dem Server eingenistet, liest er das Windows-Adressbuch und die E-Mails von Nutzern und sendet sich selbst an alle verfügbaren Adressen als Anlage mit dem Namen "readme.exe". Dabei codiert er sich selbst derart, dass ihn Microsoft Outlook und Outlook Express beim Öffnen der E-Mail automatisch starten.

Hat der Wurm einen Web-Server infiziert, so befällt er Computer, die auf diesem Server Webseiten öffnen. Zu Beginn der Infektion erzeugt er eine Kopie von sich selbst mit dem Namen "readme.eml" und sucht dann im gesamten Verzeichnis des Netzwerks nach webbezogenen Dateien. Findet er diese, so hängt er ein Stückchen Code an, das den surfenden Computer zwingt, readme.eml herunterzuladen. Einige Versionen des Internet Explorers von Microsoft starten das Programm readme.eml automatisch; doch diese Schwachstelle kann durch ein Außerbetriebsetzen der JavaScript-Option des Web-Browsers behoben werden.

Schließlich kopiert sich Nimda als readme.eml in alle Netzwerkverzeichnisse, in denen der Nutzer Schreibrechte hat. Teilen sich mehrere Nutzer von verschiedenen Computern ein solches Verzeichnis, so werden auch diese infiziert, sobald darauf zugegriffen wird. Außerdem macht der Wurm den Nutzernamen "Guest", der auf Windows-Systemen kein Passwort benötigt, zum Mitglied der "Administrators"-Nutzergruppe.

Bei seiner Suche nach neuen Opfern startet der Wurm auf seinem Wirtscomputer mehrere parallele Prozesse, was diesen lahm legen kann. Er nistet sich außerdem in eine Reihe von Programmen ein, sodass die Infektion bei deren Starten von neuem beginnt. Er kann sich sogar so in Textdokumente einbinden, dass der Wurmcode beim Starten des Textprozessors abgearbeitet wird. Durch all dies ist Nimda extrem schwer zu finden und zu beseitigen. Nutzern wird daher empfohlen, ihre Computer durch komplettes Neuinstallieren des Betriebssystems zu reinigen.

Das beste Abwehrmittel ist hier wie überhaupt allerdings der sorgsame Umgang mit Informationen aus unbekannter Quelle. Empfohlen wird, die JavaScript-Option des Internet-Browsers abzustellen, um das unkontrollierte Abarbeiten von Programmen, die Informationen stehlen oder zerstören können, zu verhindern. Unerbetene E-Mail-Anhänge, vor allem, wenn es Programme sind, sollte man unter gar keinen Umständen öffnen, sofern man auch nur den kleinsten Zweifel an deren Gutartigkeit hegt.

Aus: Spektrum der Wissenschaft 12 / 2001, Seite 62
© Spektrum der Wissenschaft Verlagsgesellschaft mbH