Dein Fernseher war Komplize
Wenn eine Bank ausgeraubt wird, sucht die Polizei nach dem Fluchtwagen. Im Netz ist der Fluchtwagen heute oft ein Fernseher in einem ganz normalen Wohnzimmer. Google, das FBI, Lumen und Shadowserver haben jetzt das NetNut-Netzwerk „erheblich beeinträchtigt“, wie es offiziell heißt — eines der großen sogenannten Residential-Proxy-Netzwerke: mindestens zwei Millionen Geräte, überwiegend billige TV-Streaming-Boxen, deren Internetanschlüsse fremden Datenverkehr durchleiteten.
Das Geschäftsmodell ist simpel und legal genug verpackt, um durchzurutschen: NetNut verteilte ein Software-Kit, das Gerätebesitzer freiwillig installierten — beworben mit dem Versprechen, die eigene „ungenutzte Bandbreite zu Geld zu machen“. Ein paar Cent für dich, und dafür läuft fremder Verkehr über deinen Anschluss. Was dabei durchgeleitet wird, siehst du nicht. Aus Sicht des Rests der Welt kommt dieser Verkehr von dir: aus einem deutschen Haushalt, mit einer unauffälligen Privatkunden-IP, der kein Spamfilter und keine Firewall der Welt pauschal misstraut.
Genau das macht diese Netzwerke für Angreifer so wertvoll. Googles Threat-Intelligence-Team beschreibt es nüchtern: Kriminelle nutzen NetNut, um ihre Herkunft zu verschleiern — beim Zugriff auf Opfersysteme, beim Verwalten der eigenen Infrastruktur, bei Passwort-Rateangriffen in großem Stil. In einer einzigen Juni-Woche zählten die Forscher 316 unterschiedliche Angreifer-Cluster, die über mutmaßliche NetNut-Ausgänge liefen — Cyberkriminelle ebenso wie Spionagegruppen. Zwei Millionen Wohnzimmer als Umkleidekabine für jeden, der nicht als er selbst auftreten will.
Ehrlich hinschauen muss man auch beim Erfolg: Es ist kein Todesstoß. Die Domain netnut.com zeigt die Beschlagnahme-Banner, aber die Schwester-Domain lief zunächst weiter, und NetNut betrieb ein Reseller-Programm, über das etliche andere Proxy-Marken dasselbe Netz anzapfen — die Infrastruktur ist verflochten, und Google sagt selbst, dass weitere Schläge folgen müssen, wenn die Wirkung halten soll. Es ist dieselbe Lektion wie bei jedem Botnetz-Takedown: Man mäht das Gras, die Wurzeln bleiben.
Die eigentliche Pointe betrifft aber die Geräte selbst. Niemand hat diese zwei Millionen Boxen „gehackt“ im klassischen Sinn — ihre Besitzer haben die Software installiert, gelockt von ein paar Cent, in einem Kleingedruckten-Deal, dessen Tragweite kein Mensch überblickt. Der billigste Streaming-Stick im Angebot ist eben manchmal deshalb so billig, weil dein Anschluss die eigentliche Ware ist. Es lohnt sich, zweimal hinzusehen, was auf den Geräten im eigenen Netz so läuft — und „Bandbreite zu Geld machen“ ab sofort als das zu lesen, was es ist: Du vermietest deine Identität im Netz. An wen, erfährst du nie.
Quelle: The Register — NetNut cracked as Google and FBI target 2 million-device botnet
▸ Datensouveränität · ▸ Security