Distributed Denial of Servicc (DDoS) Attacken sind heutzutage ein beliebtes, da vergleichsweise einfaches Mittel, um Server zumindest kurzfristig vom Netz zu nehmen (wir berichteten). Dabei werden in der Regel die zu blockierenden Server mit einer enormen Anzahl an Anfragen bombardiert, bis dieser unter der Last zusammenbrechen. Rein rechtlich sind solche DDoS-Attacken verboten – in Deutschland wie in den USA – und doch gibt es eine immer größere Anzahl an Dienstleistern, welche DDoS-Angriffe unter dem Deckmantel des Stress-Tests für die eigene Webseite, anbieten. Und das mit dem Einverständnis des FBI, wie der amerikanische Sicherheits-Blogger Brian Krebs herausgefunden hat.
Alles begann mit dem Leak der Datenbank des DDoS-Anbieters Ragebooter. Über diese Datenbank ist Krebs auf den Urheber des Services gestoßen, einen Mann namens Justin Poland, und hat über Facebook Kontakt mit ihm aufgenommen. Krebs ging es in erster Linie darum, mehr über Poland und seiner Motive zu erfahren. Doch das Gespräch im Facebook Chat nahm eine interessante Wendung, als Krebs Poland fragt ob das FBI oder eine andere Strafverfolgungsbehörde jemals Daten seiner Kunden angefordert hätten.
That was when Poland dropped the bomb, informing me that he was actually working for the FBI.
“I also work for the FBI on Tuesdays at 1pm in memphis, tn,” Poland wrote. “They allow me to continue this business and have full access. The FBI also use the site so that they can moniter [sic] the activitys [sic] of online users.. They even added a nice IP logger that logs the users IP when they login.”
Tage später meldete Krebs sich erneut bei Poland, da er weitere Informationen über seine Verbindungen zum FBI erfahren wollte. Dieser schickte ihm daraufhin Kontaktdaten eines „Agent Lies“ welcher angeblich für das FBI arbeitete.
The man who answered at the phone number supplied by Poland declined to verify his name, seemed peeved that I’d called, and demanded to know who gave me his phone number. When I told him that I was referred to him by Mr. Poland, the person on the other end of the line informed me that he was not authorized to to speak with the press directly. He rattled off the name and number of the press officer in the FBI’s Memphis field office, and hung up.
Just minutes after I spoke with “Agent Lies,” Justin dropped me a line to say that he could not be my ‘friend’ any longer. “I have been asked to block you. Have a nice day,” Poland wrote in a Facebook chat, without elaborating. His personal Facebook page disappeared moments later.
Das FBI wollte eine Verbindung mit Justin Poland weder bestätigen noch abstreiten. Ob es sich also nur um Prahlereien handelt wird nicht abschließend zu bestätigen sein. Doch die Sicherheitsberaterin Allison Nixon hat eine mutmaßliche Hintertür gefunden, über die das FBI zumindest in der Theorie Zugriff auf die Nutzerdaten des DDoS-Services hätte.
Oh, and that backdoor Poland claims he added for the FBI? Nixon may have found at least one of them:
“The booter has some information leakage problems too,” Nixon said. ”The victims can see the ragebooter.net username of the logged in attacker because that info is, bizzarely, sent within attack traffic.”
Nach den Nachrichten der letzten Wochen, würde eine Zusammenarbeit des FBI mit unterschiedlichen DDoS-Anbietern aber sicherlich nicht großartig verwundern.
DDoS ist doch altmodisch, heutzutage kann man Server duch gefakte abuse Meldungen vom Netz nehmen.
Einfach mal an das abuse Team von OVH oder einem anderen hoster schreiben das in deren ihrem Netz ein Server urheberrechtlich geschützte Inhalte anbietet. Das muss man nur oft genug mit verschiedenen email adressen machen und der server wird offline genommen. Viel einfacher als eine DDoS zu organisieren.
Wozu also komplexe Hackerangriffe wenn man auch das Urheberrecht mißbrauchen kann um die konkurenz zu verleumden ?
Das FBI sucht immer und überall Informanten. Direkt mit Anbietern von Bootern zusammenzuarbeiten, ist ansich eine sehr gute Lösung, um die Leute zu fassen, die Websites oder andere Dienste angreifen. In solche Booter ein entsprechendes Backdoor einzubauen, finde ich recht praktisch.