Thomas Wölfers Baustatik-Blog

Thomas Wölfers Baustatik Blog

Wieso es Leute gibt, die Botnets betreiben


Ich hatte gestern eine interessante Diskussion zum Thema Botnets. Ein "Botnet" ist ein Netzwerk von Computern, bei denen die Computer zum Netz gehören, ohne das die Eigentümer etwas davon wissen: Der Computer wird irgendwie infiziert (falsche Mail angeklickt, falsches Programm gestartet... da gibt es viele Möglichkeiten) und befindet sich nach der Infektion eigentlich unter der Controlle des Botnets bzw. dessen Betreibers - und nicht mehr unter der seines Eigentümers.

Wenn der Botnet-Betreiber die Ressource der Zombies (so nennt man die Rechner unter fremder Kontrolle) nun nicht besonders aggressiv ausnutzt, wird der eigentliche Eigentümer nie bemerken, das sein Rechner von Fremden benutzt wird.

Das "Storm" Botnet allein wird auf eine Größe zwischen einer und fünfzig Millionen PCs geschätzt - und Storm ist nicht das einzige Botnet. Die interessante Frage ist aber natürlich  - wie verdienen die Betreiber damit eigentlich Geld, denn darum gehts ihnen ja schließlich.

Offensichtlich kann man Botnets für DDoS Attacken und zum Spam-versenden benutzen, allerdings ist es ja nun so, das bei einer Erpressung per DDoS das gleiche Problem gilt wie bei alle Erpressungen: Die Geldübergabe ist halt schwierig.

Ich glaube das einen zentrale Einkommensquelle für solche Leute was ganz anderes, viel unauffälligers ist. Und zwar ein vorgehen, bei dem der größte Beteiligte [in diesem Fall Google, die Sache betrifft aber auch jeden anderen, der Pay-Per-Click Werbung verteilt] (abgesehen von den Bösen) Geld verdient (und damit kein wirklich großes Interesse hat was dagegen zu unternehmen) und die Geschädigten gar nicht mitbekommen, das Sie geschädigt werden. Obendrein wird der Betrug auch noch durch völlig unbeteiligte durchgeführt und sieht ohne näheres Hinsehen auch gar nicht wie Betrug aus.

Und so geht das ganze: Der Botnet-Betreiber installiert auf seinen Zombies einen kleinen Web-Proxy. Jede Anfrage vom Browser muss durch diesen Proxy, wird davon aber nicht weiter belastet: Der unschuldige Surfer bemerkt nichts. Klickt der Surfer aber auf eine Google AdSense Werbung, dann fängt der Proxy den Request auf, und änder die Publisher-ID, die sich darin befindet: Statt der Id des Webseitenbetreibers trägt er einfach seine eigene ein, und lässt dem Request ansonsten freien Lauf.

Bei Google geht der Request dann ein: Da freut sich Google, weil die dafür schließlich Geld bekommen. Den Anteil den der Webseitenbetreiber bekommen würde bekommt aber der Botnet-Betreiber - ganz legal gutgeschrieben von Google. Der Seitenbetreiber ist also der Dumme - merkt das aber nicht: Er sieht vielleicht eine etwas schlechtere "Klickrate" - nur kann das viele Gründe haben.

Wie gesagt: Um die Sache zu verdeutlichen haben ich Google genannt - klappen tut das aber mit praktisch jeder Pay-Per-Klick Werbung im Internet. (Google hat mit dieser Werbeform in 2006 etwa 10 Milliarden Dollar Umsatz gemacht.)

Mal angenommen "Storm" hätte nur 10 Millionen Rechner, und vor jedem sitzt ein Surfer, der nur einmal pro Tag auf eine Werbebotschaft klickt. Das wären dann 10 Mio Klicks am Tag. Ein Klick auf eine AdSense Werbung bringt (je nach beworbenem Wort) zwischen 5 Cent und 50 Euro. Mal angenommen, es sind nur 10 Cent - dann verdienen die Betreiber von Storm immer noch locker 1 Mio Euro pro Tag. Jeden Tag. Ohne das dies jemand bemerkt, und ohne das Google besonders großes Interesse daran hätte, irgendwas dagegen zu unternehmen.


Captchas sind auch nicht mehr, was sie mal waren


Ein Captcha (Completely Automated Public Turing Test to Tell Computers and Humans Apart) kommt Blog-Lesern die auch selber mal Kommentare schreiben vielleicht bekannt vor: Es handelt sich dabei um kleine Bilder von Buchstaben und Zahlen, die besonders verformt dargestellt werden - und zwar so, das ein Computer den "gemeinten" Inhalt nicht automatisch ermitteln kann. Will man nun einen Kommentar z.B. in einem Blog hinterlassen, muss man das Bildchen entziffern, und dessen Inhalt zusätzlich zum Kommentar mit eingeben.

Sinn der Sache: Nachdem das Bildchen von einem Computer nicht automatisch zu entziffern ist, können Spammer auch nicht automatisch Spam-Kommentare hinterlassen.

Leider klappt das nicht immer - wie man hier bei Pandasecurity nachlesen kann.


Unbreakable


Unbreakable? Wohl eher nicht. Nicht, das das nicht von vornherein klar gewesen wäre...

but five of the bugs can be "exploited over a network without the need for a username and password,"

Soviel zu Oracle.


Falsche Positive beim BitDefender


Letzten Donnerstag meldete ein Kunde, das die bei ihm eingesetzte Antivirus-Software BitDefender einen Virus im bei von uns heruntergeladenen Setup der Baustatikprogramme gefunden hätte. Sowas halte ich im großen und ganzen für ausgeschlossen: Die Programme selbst werden auf einem Rechner mit aktuellem Antivirus-Paket hergestellt und durchlaufen im Zuge der Produktion einen weiteren Antivirus-Test mit einem anderen Programm (das im 60-Minuten Takt aktualisiert wird). Die Produktion des eigentlichen "setup.exe" finden dann auf einer virtuellen Maschine statt, die über kein Netzwerk von außen erreichbar ist, und die zu keinem anderen Zweck als für die Produktion des Setups verwendet wird.

Auf Basis dieser Aussage löste der Kunde dann am Donnerstag Nachmittag eine Nachfrage bei BitDefender aus. Damit man dort der Sache nachgehen konnte, stellte ich noch eine Kopie des bemängelten Setups zur Verfügung. Was mich sehr positiv überraschte war dann die sehr zügige Reaktion: Keine 24 Stunden später gab es zum einen eine Entwarnung von BitDefender per eMail an den Kunden und uns - und ein Hinweis darauf, das es auch bereits eine aktualisierte Version des BitDefenders zum download gäbe, der diese "Falsche Fehlermeldung" nicht länger produziert.

Wenn sonst jemand ähnliche Erfahrungen mit anderen Antivirus-Herstellern gemacht hat, dann würde mich interessieren, wie reaktionsfreudig man dort bei solchen falschen Positiven war. Hatten Sie schon mal so einen Fall ?