Freitag, 21. Mai 2010

Aufstieg und Fall eines Facebook-Worms

Facebook wird momentan mächtig gewaltig durch verschiedenste Datenschutz-Skandale durchgeschüttelt und ist dadurch in der Gunst der Millionen von Nutzer gesunken. Der Social-Networking-Riese hat aber noch ein anderes Problem: Er ist ein Primärziel von Virenschreibern und Hackern jedes Niveaus.

Sehr schön war gerade eben (auf Twitter: 1, 2) zu beobachten, wie ein solcher Hacker einen Wurm auf Facebook los ließ, ein Antiviren-Experte darauf reagierte (indem er eine Telefonnummer des mutmaßlichen Verursachers herausfand und den anrief, und der Infektionsvektor schlappe 15 Sekunden später offline war.

Mikko Hypponen von Antivirushersteller F-Secure war der genannte Experte, der, wie er hier im F-Secure-Blog beschreibt, den Infektionsvektor untersuchte und feststellte, dass die IP-Adresse der über einen Anonymisierungsdienst registrierten Zieldomain (fbhole.com) von einer weiteren Domain (ironbrain.net) verwendet wird, wobei letztere aber ganz normal über einen regulären Provider registriert wurde. Bei einer regulären Registrierung muss man dann auch persönliche Daten hinterlegen. Quasi ein Eintrag im Grundbuch des Internets. Für die zweite Domain gab und gibt es also nicht-anonymisierte Kontaktdaten. Inklusive Telefonnummer:

Administrative Contact
=======================
ID........... UC-368699
Name......... Jiri Pavlin
PostAddress.. XX unkenntlich gemacht (d.R.) XX
PostCode..... 25225
PostArea..... Orech
Country...... CZ
Phone........ +---.731464006

Quelle: ping.eu/internic.net

Diese Nummer rief er an und fragte nach der ersten Domain -- der Herr am anderen Ende stritt eine Beteiligung ab, kurz nach Ende des Gesprächs gingen die Webangebote auf der IP jedoch offline, so dass die unmittelbare Gefahr durch den ursprünglich angreifenden Facebook-Worm gebannt ist.

Diese Daten sind nach wie vor über diverse whois-Dienste uneingeschränkt und öffentlich abrufbar, da ihre Verfügbarkeit nicht davon abhängt, ob die Zielrechner der Domäne abgeschalten sind oder nicht.

Es ist natürlich möglich, dass der Rechner des aufgeführten Unternehmens von Dritten zweckentfremdet wurde. Die extrem schnelle Reaktion des Angerufenen deutet aber eher darauf hin, dass er aktiv den Vorgang auf seinem Server beobachtete und sich etwa nicht erst auf seinem Server einloggen musste um die Notbremse zu ziehen. Die Abschaltung des Servers ist bei geöffneter Konsole dagegen locker in 10 Sekunden zu schaffen.

Der ganze Vorgang dauerte von Entdeckung bis Abschaltung lediglich eine gute halbe Stunde.