Ein aktuelles Beispiel zur Auseinadersetzung im Internet zum Nahost-Konflikt zwischen Israel und der Hisbollah, die im Libanon die politisch dominierende Macht darstellt und die Handlungsunfähigkeit der libanesischen Regierung durch Gewalt dokumentiert unter deren Auswirkungen wieder einmal mehr die Zivilbevölkerung zu leiden hat, zeigen gegenwärtig Hacker. Kriminelle, pro Hisbollah-orientierte Hacker, die ebenso wirtschaftliche Schäden durch Manipulation fremder Websites verursachen, anstelle von eigenen Webpräsenzen ihre politischen, den Terror unterstützenden Parolen verlautbaren, suchten zum Wochenende vom 4. auf den 5.8. umfassende Hackerangriffe erfolgreich durch.
Suchte man beispielsweise in der Nacht von 5. auf den 6.8.06 bei der Suchmaschine Google unter dem Suchbegriff „Arabischkurs“ nach Resultaten, wurde unter den Google-Anzeigen die Werbung „Sprachenzentrum Ottakring der Volkshochschule Ottakring“ mit der Domain sprachenzentrum.info eingeblendet. Folgte man dem Werbelink in Erwartung ein einschlägiges Kursangebot offeriert zu bekommen, dann machte sich nach Seitenaufbau Erstaunen breit. Eine Internetseite mit Graphik in der vier Flaggen und zwar die der Türkei, des Libanon, Palästina und Afghanistan präsentiert wurden. Die Original-Internetseite der Bildungseinrichtung wurde unter dem Titel „You are not alone … Lebanon“ gesetzt und unterhalb der Länderfahnen stand in türkischer Sprache, vor den jeweiligen Ländernamen das Wort BEN, was soviel wie FÜR bedeutet. Mit einer animierten Graphik „Seyfullah“, was in freier Übersetzung etwas Gutes für Gott zu machen bedeutet.
Zu einer gehackten Website führte eine Google-Werbung
Aus dem Quelltext der gehackten Website der Volkshochschule war dann zu entnehmen, daß die Hauptgraphik aus einem kostenlosen „Free image upload-Service“ mit Sitz in den Vereinigten Staaten von Amerika gezogen wurde. Eine Hintergrundmusik führte zu einem Webspace einer in München registrierten Domain und das Logo mit dem Titel Seyfullah bezogen die Hacker über einen kostenlosen Webspace von Geocities deutschen Ursprunges, dessen Website unter dem Account „sanal12222“ den Hinweis trägt: „Meine Site befindet sich noch im Aufbau“.
Die Ansicht der gehackten Website im Quelltext
Diese Angaben reichten aus, um erstens das Netzwerk des Hosters von sprachenzentrum.info, die in Österreich etablierte Firma e-secure Imhotep Unternehmensverwaltungsges. m.b.H. auf etwaige Sicherheitslücken mittels Scannet Pro zu überprüfen und zweitens Recherchen über den Domaininhaber, der in Deutschland registrierten Domain, über dessen Webspace die religiöse Hintergrundmusik (Mercan Dede) dem Hackerangriff beigezogen wurde, durchzuführen. Denn auffällig war der Umstand, daß der Domaininhaber mit türkischem Namen ein Webportal betreibt, daß sich mit der islamischen Religion befaßt und zusätzlich seine über einen kostenlosen e-Mail-Accountanbieter präsentierte e-Mail-Adresse sich namentlich mit Seyfullah deckt. Der Versuch über die bei den Registrierungsdaten angegebene Mobilfunknummer in Kontakt zu treten um ggf. den Sachverhalt zu erörtern, schlug fehl, da diese Telefonnummer laut Ansage des Mobilfunkbetreibers gar nicht vergeben ist. Da jedoch auf den Mann eine weitere Domain mit anderem Wohn-/ bzw. Aufenthaltsort als behördliche Zustellungsadresse registriert ist, sandten wir eine e-Mail-Anfrage, die jedoch bis heute unbeantwortet blieb. Wie sich dann auch im Zuge des Gespräches mit dem Firmeninhaber von e-secure bestätigte, war es nicht die Bildungseinrichtung alleine, die in deren Systemen von dem Hackerangriff betroffen waren.
Auch wenn es dem Grunde nach unwahrscheinlich ist, daß ein Hacker bzw. eine Hackergruppe sich bei einem Hackangriff einer Datei bedient, deren Ursprung bei genauerer Überprüfung, auf die eigene Spur führt, so sind durch den identen Namen Seyfullah, zwei unterschiedliche Adressaten zweier Domains, wobei sich eine auf eine Studentenunterkunft in München bezieht, eine nicht existente Telefonnummer und dem religiösen Inhalt dessen Webpräsenzen zusätzlich unter dem Aspekt, daß unsere einschlägige Anfrage unbeantwortet blieb, Indizien dafür, daß eine mögliche Beteiligung an dem Hackerangriff besteht.
Unsere 1. Sicherheitsüberprüfung von e-secure am 7.8.06 – um 00:56 Uhr – sogar die Administratorenrechte waren bei einer IP freigegeben
Überrascht waren wir jedoch über das Ergebnis unserer Sicherheitsüberprüfung des Webhosters der Volkshochschule Ottakring. Denn wie eine Weihnachtsbeleuchtung leuchteten die Warnmeldungen über die zahlreichen offenen Ports, die Hackern mit etwas Zeitaufwand Zugriff und Manipulationen ermöglichen. Zusätzlich stimmt Namen und Adressat gegenwärtig nicht mit den Auskunftsdaten unter checkdomain.com und whois.com überein und ebenso bei den Registrierungsdaten zur eigenen Domain (e-secure.at) sind Abweichungen festzustellen. Bei der österreichischen Registrierungsstelle nic.at wird am 6.8.06 der Firmenwortlaut Koschier EDV GmbH ausgewiesen. Laut Angaben der Österreichischen Wirtschaftskammer lautet jedoch die richtige Firmenbezeichnung Koschier EDV-Dienstleistungs- und Handelsgesellschaft m.b.H. Eine Firma, die bei ihrer eigenen Internetpräsenz auf die Anführung eines Impressums verzichtet aber auch den erforderlichen Informationspflichten gem. § 5 ECG nicht nachkommt. Dies selbst stellt laut Auskunft der Rechtsabteilung der Wirtschaftkammer Österreich eine Rechtsverletzung dar. Lediglich eine e-Mail-Adresse zur Kontaktaufnahme steht auf der Internetpräsenz der Unternehmung zur Verfügung (Stand 12.8.06)
Am Montag, den 7.8.06 morgens haben wir dann sowohl mit der Firma als auch der Volkshochschule Kontakt aufgenommen und sie auf die gehackte Website aufmerksam gemacht. Zurückhaltung der Betroffenen war angesagt und ein Vertreter der Volkshochschule Ottakring teilte telefonisch mit, daß keine Berichterstattung gewünscht ist. Wir durften uns auch von dem Inhaber von e-secure anhören, daß wir keinen Auftrag zur Überprüfung ihrer Systeme hatten.
Unserem Ersuchen um Übermittlung der IP von der der Angriff, wie vom Webhoster festgestellt wurde, vom 4. auf den 5.8. erfolgte, nahm man Abstand. Der Firmenverantwortliche teilte nur mit, daß einige von seinem Unternehmen verwaltete Internetpräsenzen gehackt wurden. Wir kamen dennoch seinem Ersuchen nach und schickten ihm eine Aufstellung der von uns festgestellten Sicherheitslücken und waren dann am 10.8. bei nochmals vorgenommener Sicherheitsüberprüfung überrascht festzustellen, daß noch immer Festbeleuchtung zu offenen Ports in dessen Systemen bestand. Von 13 überprüften IPs waren nur bei einer alle Ports geschlossen.
Unsere 2. Sicherheitsüberprüfung am 10.8.2006 um 01:22 Uhr zeigt noch immer gravierende Sicherheitsmängel – nur bei einer IP waren alle Ports geschlossen
Der Krieg im Nahen Osten geht weiter und die Hackerangriffe von pro Libanon orientierten Kriminellen, offensichtlich türkischer Herkunft, schaden nicht nur Unternehmen, sondern sind ebenso feige und hinterhältig, wie der Abschuß von Raketen aus einem Umfeld der Zivilbevölkerung im Libanon. Wenn die Hacker den Begriff Seyfullah verwenden, so kann mit Sicherheit in Abrede gestellt werden, daß deren Handlungen etwas Gutes für Gott darstellen, sondern Verbrechen sind, Schaden anrichten und dieser inhaltliche Bezug mit denjenigen Gruppierungen gleichzusetzen ist, die den Inhalt des Koran als Legitimität für Gewalt, Mord und Totschlag heranziehen.
Update: 13.08.06 – 22:45
Wir wurden soeben durch unseren Mitarbeiter aus Deutschland darüber informiert, daß von dieser Art von Hackerangriffen ebenso zur Stunde zahlreiche Unternehmen in Deutschland betroffen sind.
071208
