Howard Fuhs
Howard Fuhs
Howard Fuhs
IT-Sicherheitsberater
IT-Sicherheitsberater
IT-Sicherheitsberater

Elektronische Informationswege

der Virenprogrammierer

Copyright (C) 02/1996 by Howard Fuhs


Inhalt:

    Einleitung

    Mailboxen

    Underground-Magazines

    FIDO

    Internet

    E-Mail

    FTP-Server

    WorldWideWeb

    IRC-Chat

    Compuserve und AOL

    Copyright-Hinweis
 


Einleitung

Auch der virenprogrammierende Untergrund bedarf der Information über neue Programmiertechniken, Betriebssysteme, Sicherheistslücken und Produktspezifikationen. Was lag also näher, als die bereits vorhandene Technik des Computers zum Informations- und Erfahrungsaustausch mit Gleichgesinnten im Untergrund einzusetzen. Mit Computer und Modem wurden weltweit erreichbare Informationsforen für Virenprogrammierer aufgebaut die es ermöglichten, Viren und Virensourcecode innerhalb von Sekunden in andere Länder zu transferieren und damit einer etwas breiter angelegten Öffentlichkeit zugänglich zu machen.

Ein interessanter Nebeneffekt dieses digitalen Informationsaustausches ergab sich durch den Zusammenschluß von Virenprogrammieren zu Gruppen wie z.B. NuKE, Phalcon/Skism oder YAM (Youngster Against McAfee). Ein solcher Zusammenschluß zu Gruppen wurde erst durch den weltweiten Informationsaustausch ermöglicht und lies die interne Struktur der Gruppen internationalisiern, da oftmals die einzelnen Mitglieder einer Gruppe in unterschiedlichen Ländern beheimatet waren.

In diesem Artikel soll die Entwicklung verschiedener Medien untersucht werden, denen sich der Untergrund bedient, um Informationen und Viren zu verbreiten. Da es heute immer mehr Personen innerhalb von Unternehmen gibt, die über ein Modem am Firmenrechner und oftmals auch über entsprechende Zugangsberechtigungen in internationalen Datennetzen verfügen, ist es angebracht den Personenkreis entsprechend über die Gefahren zu unterrichten.


Mailboxen

Die erstgenutzte Möglichkeit der Informationsverbreitung war die Mailbox oder auch Bulletin Board System (BBS) genannt. Die bekanntesten Untergrund-Mailboxen dürften wohl in den USA die „Black Axis“ und in Europa die „Arrested Development“ (Holland) sein. Die ersten Untergrund-Mailboxen erschienen in der Szene Anfang der 80er Jahre in den USA. Mailboxen die sich auf Computerviren spezialisiert haben nennt man VX-Boards (VX = Virus Exchange).

Da sich Virenprogrammier als zu einen elitären Zirkel gehörend betrachten, wurde anfänglich sichergestellt, daß man unter sich blieb und die Aufnahme von Neulingen sehr erschwert. Dabei ging es wenige um die Mitgleidschaft in irgendwelchen Gruppen als vielmehr um den Zugang zu den entsprechenden Dateibereichen  eine VX-Mailbox. So mußte man z.B. beim ersten Einloggen in eine VX-BBS einen ganzen Fragenkatalog ausfüllen. Die Fragen waren dabei oftmals so gestaltet, das sie nur von im Virenuntergrund tätigen Personen beantwortet werden konnten. Damit wurde sichergestellt, das ein Neugieriger kein Zutritt zur Mailbox erhielt, da er an dem Fragenkatalog bereit scheiterte.

Nur wenn dem Betreiber (SysOp) der Mailbox die gegebenen Antworten gefielen, bekam man das entsprechende Security-Level zugewiesen um auf Viren, Sourcecode, Informationen oder Nachrichtenbretter zugreifen zu können. Es sind Fragenkataloge bekannt, die über 80 Fragen beinhalten und ohne entsprechendes Insiderwissen nicht beantwortet werden können.

Eine weitere und etwas später eingeführte Möglichkeit, den Zugriff auf den Informationspool zu beschränken war die Forderung des BBS-Betreibers, nur wer einen neuen, unbekannten Virus in die Mailbox lädt, bekommt entsprechende Zugriffsrechte für den Download eingeräumt. Da es hier nicht jedem drittklassigen Virenprogrammierer möglich war, einen wirklich neuen, selbstprogrammierten Virus in die Mailbox zu laden, verfiel man auf den Trick, einen bekannten Virus nur soweit abzuändern, daß er von keinem Antiviren-Produkt mehr erkannt werden konnte. Dies ist mit ein Grund dafür, daß es von einigen Viren sehr viele, nur unwesentlich veränderte, Ableger gibt.

Mit zunehmender Verfügbarkeit von Virensourcecode wurden einige VX-Mailboxen sehr liberal, was den Zugriff auf entsprechende Dateibereiche betraf.

Einige Mailboxen hatten zum Schluß keinerlei Zugriffsbeschränkungen, und der SysOp der „Black Axis“ Mailbox bot sogar an, für 100 USD die Viren auf Diskette zu verschicken.

Mailboxen spielen heute im Virenuntergrund nur noch eine untergeordnete Rolle die auf einen regionalen Bereich eingeschränkt ist. Dies ist durch die hohen Telefongebühren begründet, da eine solche Mailbox oftmals im Ausland lag und selbst inländische Mailboxen meisten nur durch Ferngespräche erreichbar sind. Weiterhin wurde die Mailbox durch bessere, effizientere und vor allen Dingen billigere Techniken ersetzt. Die meisten der noch vor Jahren bekannten VX-Mailboxen existieren heute nicht mehr.


Underground-Magazines

Durch die elektronische Verbreitung der Informationen und dem Zusammenschluß einzelner Virenprogrammierer zu oftmals rivalisierenden Gruppen, tauchten auch die ersten Untergrund-Magazine auf. Auch die Verbreitung der Magazine wurde Anfangs von Mailboxen übernommen. Die bekanntesten Untergrund-Magazine über Virenprogrammierung dürften wohl 40HEX, NuKE Info Journal und neuerdings auch VLAD sein.

In diesen Untergrund-Magazinen werden Programmierhinweise für Viren sowie Virensourcecode oder Debug-Scripts von Viren veröffentlicht.


FIDO

Auch in dem international verbreiteten, nichtkommerziellen FIDO-Netz fanden sich anfänglich Nischen für Virenprogrammierer. Hier bot sich erstmals die Möglichkeit, Informationen weltweit mit Gleichgesinnten auszutauschen und trotzdem nur Telefongebühren für ein Ortsgespräch investieren zu müssen. So gab es mehrere Diskussionsforen über die Programmierung von Computerviren die über die FIDO Backbones geführt wurden. Das bekannteste dürfte hier wohl das Virus_nfo Echo (nicht zu verwechseln mit „Virus_info“!) gewesen sein. Später bediente man sich der FIDO-Technologie indem man mit FIDO-Software sowohl seine eigenen Diskussionsgruppen eröffnete die außerhalb des FIDO-Netzes geroutet wurden (NuKE_The_World Echo), als auch durch die Schaffung eigener Datei-Netze die anstelle von Nachrichten Viren und Utilities rund um den Globus transportierten.

Auch das FIDO-Netz spielt im Virenuntergrund kaum noch eine Rolle. Dies ist mit der relativ langen Laufzeit von Informationen zu begründen (2-4 Tage für eine Nachricht von Los Angeles über das Gateway nach Europa und nochmals 2 Tage mehr um die Nachricht bis nach Hong Kong zu transportieren) sowie die recht kompliziert zu installierende und in den 90ern recht altmodisch anmutende FIDO-Software.


Internet

Mit der leichten Verfügbarkeit von Internet-Zugängen für jedermann war eine starke Abwanderung des Virenuntergrunds in Richtung Internet zu beobachten. Waren zu Anfang nur einige, sehr wenige Virenprogrammierer im Internet zu erreichen (in aller Regel über Universitäts-Accounts), so kann man heute sagen, daß die Computerviren-Szene nur noch über das Internet erreichbar ist.

Das Internet bot für den Untergrund einige Vorteile. So betrug die Laufzeit von Nachrichten nur noch einige Stunden statt Tage und das Internet war bereits zu Beginn der 90er so unübersichtlich, das es ein leichtes war, sein Angebot an Informationen und Viren vor Neugierigen zu verbergen oder auch einem sehr breiten Publikum zugänglich zu machen.

Man war sich im Untergrund darüber im Klaren, daß mit der zunehmenden Attraktivität des Internets auch ein größeres Publikum erreicht werden konnte was zu teilweise kommerziellen Angeboten an Computerviren führte.


E-Mail

Die Kommunikation über E-Mail soll hier nur der Vollständigkeit halber erwähnt werden. Über E-Mail halten die einzelnen Programmierer oder auch Gruppen untereinander Kontakt. Es ist relativ einfach, mit Virenprogrammierern in E-Mail Kontakt zu kommen. Ihre E-Mail Adressen werden u.a. in Untergrund Publikationen veröffentlicht.


FTP-Server

Mit dem Boom im Internet kamen auch Service-Provider, die Speicherplatz zum öffentlichen Anbieten von Informationen oder Dateien an Privatpersonen vermieteten.
Es dauerte nicht lange, bis die ersten Viren bis hin zu ganzen Virensammlungen über solche FTP-Server angeboten wurden. Zwar ist es sehr zeitaufwendig, die entsprechenden Unterverzeichnisse auf FTP-Servern zu finden, aber in der Zwischenzeit wurden regelrechte Listen mit FTP-Servern und Unterverzeichnissen erstellt, die „interessanten“ Inhalt zum Download bereithalten. Entgegen der Verhaltensweise von Mailbox-SysOps, die überall versuchten für ihre Untergrund-Mailbox Werbung zu machen, wurde von den Leuten die FTP-Unterverzeichnisse verwalten und mit Viren bestücken kaum Werbung für ihr FTP-Unterverzeichnis gemacht. So waren FTP-Server mit Viren über lange Zeit nur ein Insidertip.


WorldWideWeb

Die neueste Entwicklung im Internet ist das WorldWide Web. Durch die grafische Aufbereitung und die einfache Bedinung des WWW verhalf es letzlich dem Internet zu einem Durchbruch auch bei einfachen Anwendern (Mäuseschubsern). So war es nicht erstaunlich, das sich die Virenangebote auch in das WWW verlagerten. Heute sind dort ganze (wenn auch veraltete) Virensammlungen sowie Programmiertips, Sourcecode und sonstige Software zum programmieren und veredeln von Viren erhältlich. Eine der umfangreichsten Web-Pages über Computerviren wurde Ende 1995 in das Netz gestellt und verfügt über einen eingebauten Zähler, an dem man ablesen kann wieviele Besucher die Web-Seite seit ihrer Erstellung aufgerufen haben.

Es gibt aber auch eindeutige Verkaufsangebote für Viren. So kann man auf einer Web-Seite für 100.-$ über 2000 Viren auf Diskette bestellen.

An all diese Web-Pages ist leider einfacher als erwünscht heranzukommen und gerade in Unternehmen sollten die Internet-Nutzer davor eindringlich gewarnt werden, aus solchen Web-Seiten Viren zu „Testzwecken“ auf den Firmen- oder Privatrechner zu laden. Auch wenn es sich oftmals um ältere Viren handelt so können die aus einer umfangreichen Infektion entstehenden Folgekosten enorm sein. Gerade bei Firmenaccounts für das Internet sollte eine Nutzungsrichtlinie im Unternehmen vorhanden sein, in der ganz klar definiert wird, was der Nutzer im Internet tun darf. Alles was in dieser Richtlinie nicht als erlaubt aufgeführt wird, sollte aus Sicherheitsgründen generell als verboten gelten.


IRC-Chat

Der Internet Relay Chat ist das Live-Gesprächsforum im Internet. Hier gab es auch einige Chat-Kanäle zum Thema Computerviren. Wer wußte auf welchem Computer ein solcher Chat-Kanal vorhanden war konnte mit den Virenprogrammierern direkt und live über Programmiertechniken und andere Dinge diskutieren. Hier kann man vor allen Dingen Informationen darüber bekommen, was den Virenprogrammierer interessiert bzw welche Art von Virus er gerne einmal programmieren möchte oder welche Viren er aktuell zu programmieren plant.


Compuserve und AOL

Was die Online-Dienste wie Compuserve und America Online angeht, so sind hier nur vereinzelt Virenprogrammierer anzutreffen. Das mag wohl daran liegen, daß durch die Abrechnungspraxis für entstandene Gebühren die Identität einer Person für den Betreiber des Online-Dienstes zweifelsfrei feststehen muß. Weiterhin gibt es innerhalb der Online-Dienste Personen die für die Kontrolle des angebotenen Materials zuständig sind. Es kann allerdings nicht ausgeschlossen werden, das Online- Dienste von Virenprgrammieren unter ihren richtigen Namen genutzt werden, ohne das sich diese Personen als Virenprogrammierer zu erkennen geben.

Es muß auch hier genau abgegrenzt werden zwischen dem Online-Dienst und dem Internet, da beide Online-Dienste direkte Zugänge zum Internet anbieten, den Inhalt des Internets aber nicht kontrollieren können.


Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzulässig und strafbar.

Copyright (C) 02/1996 by Howard Fuhs

 

Fuhs Security Consultants
 
Alle Rechte
vorbehalten!

 
 Realisation:
Frank Ziemann
Home Impressum


WebCam
24h WorldTimer PCI DSS Publikationen Digital Publishing EN English
Thema 00
Hier finden Sie Information über Dinge, von denen wir jetzt noch nichts verraten wollen.
Fallbeispiele
Fallbeispiele aus der alltäglichen Datenunsicherheitspraxis.
Neues
Aktuelle Neuigkeiten und Medieninformationen.
Service
Sichern Sie Ihr Unternehmen durch unsere Dienstleistungen und Serviceangebote ab.
Fallbeispiele
Die neue 24h WorldTimer Uhrenserie mit standardisierter astronomischer Zeitangabe nach ISO 8601 für 24-Stunden-Umgebungen
PCI DSS
Dienstleistungen und Serviceangebote rund um den Payment Card Industry Data Security Standard
Publikationen
Fachartikel und Buchmanuskripte von Howard Fuhs.
Digital Publishing
Publikationen von Howard Fuhs auf CD-ROM.
EN English pages
Please find here our English pages for international visitors.
      E-Mail
Sie erreichen uns
per E-Mail unter
  info@fuhs.de
    Realisation
EDV-Beratung
Frank Ziemann
www.fz-net.com
Themen  
Themen
Papers Satellite Hacking
Fachartikel deutsch
Präsentationen
Fachartikel englisch
Bücher von Howard Fuhs
Buchrezensionen
Medienberichte
Datensicherheitsinfos
Sicherheitsinfos
Computerviren und ihre Vermeidung
Information Security Bulletin
Bilder PCBRL
Bilder DCF77
Jokes
Fachartikel deutsch
Deutsche Fachartikel von Howard Fuhs.
Präsentationen
Präsentationen von Howard Fuhs.
Fachartikel englisch
Englische Fachartikel von Howard Fuhs.
Sicherheitsinformationen
Sicherheitsinformationen auch aus Quellen des Computeruntergrunds.
Computerviren und ihre ...
Buchmanuskript von Howard Fuhs über Computerviren, erstmals veröffentlicht 1993.
Jokes
Einfach nur Witze.
Bücher von Howard Fuhs
Buchveröffentlichungen von Howard Fuhs.
Howard Fuhs in den Medien
Medienbericherstattung über Howard Fuhs.
Datensicherheitsinformationen
Allgemeine Datensicherheitsinformationen von Howard Fuhs.
Bilder PCBRL
Technische Bilder von Howard Fuhs für das Printed Circuit Board Research Lab.
Information Security Bulletin
Deutsche Ausgaben des Information Security Bulletin von CHI-Publishing Ltd., UK.
Papers Satellite Hacking
Englische Texte zum Vortrag Satellite Monitoring, Satellite Hacking and Satellite Security
DCF77 Funkuhr
Vintage Gallery - Bilder einer DCF77 Funkuhr von 1972
Buchrezensionen
Howard Fuhs bespricht Fachbücher