Wie man mit Mathematik einen Onlinekriminellen zu fassen kriegt

10 Feb 2016

Ob man es glaubt oder nicht: Mathematik ist wichtig. Auch wenn wir als Kinder vor unseren Lehrern mit den Augen gerollt haben — menschliches Verhalten ist in hohem Maße vorhersehbar und Mathematik kann dabei helfen, Vorhersagen zu treffen. Wir Menschen können, zumindest was unser Verhalten betrifft, auf mathematische Weise beschrieben werden. Das Gute daran ist, dass das auch auf Cyberkriminelle zutrifft.

Hacker und andere Kriminelle, die das Internet „beruflich“ nutzen (wie beispielsweise Drogen- oder Waffenhändler), unternehmen erhebliche Anstrengungen, um anonym zu bleiben: Wenn sie online gehen, benutzen sie Tor, sie wechseln ihre Nicknamen für Untergrundforen und wenden spezielle Anonymisierungstechniken an.

Nichtsdestoweniger sind auch Cyberkriminelle menschlich: sie sind begrenzt in ihren sozialen Gewohnheiten und werden von ihrer Umgebung beeinflusst. Sie feiern Neujahr, schlafen nachts und gehen zur Arbeit. Davon abgesehen posten auch Cyberkriminelle nicht zur gleichen Zeit von verschiedenen Konten aus. Theoretisch wäre es zwar möglich, einen Bot zu erstellen, der zeitgleich mit dem Hacker über ein anderes Konto einen Post veröffentlicht, aber das ist eine andere Geschichte.

Alle Onlineaktivitäten hinterlassen Daten und wenn man genug Daten für eine Analyse angesammelt hat, ermöglichen es diese Informationen unter Umständen, einen Cyberkriminellen zu fassen zu kriegen. Es gibt zahlreiche Unternehmen, die auf Datenanalyse spezialisiert sind und die kriminaltechnischer Forschung für Strafvollzugsbehörden nachgehen. Eine dieser Firmen ist Recorded Future. Auf dem Security Analyst Summit 2016 enthüllte Christopher Ahlberg, der Geschäftsführer der Firma, wie sich Recorded Future der Mathematik bedient, um Kriminelle zu fassen zu kriegen.

Die Firma automatisierte Datenerfassungsprozesse, um Informationen aus mehr als fünfhundert Foren zu sammeln, die von Cyberkriminellen frequentiert werden. Über einen Zeitraum von mehr als vier Jahren sind Daten in sieben Sprachen zusammengetragen worden. Im Zuge der Analyse der gesammelten Daten hat Recorded Future mehrere interessante Entdeckungen gemacht.

Es hat den Anschein, als würden Cyberkriminelle ihre Nicknamen selten wiederbenutzen. Recorded Future hat 742.000 Nicknamen getrackt — und 98,8% der Namen sind einmalig. Per Analyse lässt sich zudem herausfinden, welche Nicknamen von ein und derselben Person genutzt werden. Ein Nickname lässt sich leicht wechseln, Verhaltensweisen und Gewohnheiten zu ändern ist jedoch wesentlich schwieriger.

Indem man Aktivitätszeiträume und sprachliche Formulierungen analysiert, werden Verbindungen zwischen Konten offensichtlich, die auf den ersten Blick nicht miteinander zusammenzuhängen scheinen. Am deutlichsten sticht dabei der Zeitplan der Internetaktivitäten ins Auge. Wenn unterschiedliche Konten unmittelbar nacheinander benutzt werden, dann ist es sehr wahrscheinlich, dass sie der gleichen Person zuzuordnen sind.

Wie auf dem Bildschirmfoto oben zu sehen ist, loggt sich der Nutzer Crisis ein unmittelbar nachdem Hassan20 offline gegangen ist. Möglicherweise gehören beide Konten zur gleichen Person. Mit dieser Methode lassen sich Bandenmitglieder identifizieren: über einen nicht unerheblichen Zeitraum pflegen sie zeitgleich online zu sein, um ihre kriminellen Angelegenheiten zu koordinieren.

Wenn Mitglieder einer Bande den ganzen Tag über online sind, leben sie entweder auf der ganzen Welt verteilt in unterschiedlichen Zeitzonen oder wollen den Eindruck erwecken, als sei dies der Fall.

Nachdem man eine Übersicht bekommen hat über freie Tage und arbeitsintensive Zeiträume eines Hackers, kann man anhand dessen auf deren Nationalität schließen. Kriminelle islamischer Länder sind oftmals während des Ramadans besonders aktiv. Wenn man nicht religiös ist, gibt es über diesen Zeitraum hinweg schließlich nicht viel anderes zu tun. Üblicherweise sind sie auch aktiv während der Feierlichkeiten zum Jahrestag der Islamischen Revolution. Was russische Hacker betrifft, arbeiten diese am meisten in der letzten Dezemberwoche. Auffällig ist, dass Silvester von allen gefeiert wird, auch von Cyberkriminellen.

Wenn man andere, spezifischere Anzeichen und Eigenschaften herausgreift, kann man Nutzer mit ähnlichen Gewohnheiten finden — nicht im Darknet, sondern im legalen Internet. Denn genau wie wir auch, haben Kriminelle Hobbies. Sie nutzen soziale Netzwerke, fahren in Urlaub, gucken Filme über verschiedene Webanbieter und lesen Bücher. Diese Onlineservices geben im Gegensatz zu Tor die Möglichkeit, die wahre Identität der Nutzer herauszufinden und sie letzten Endes festzunehmen.

Aus der Analyse der Aktivitätszeiträume auf einer Londoner Untergrundseite, die Drogen verkauft, geht hervor, dass der Nutzer Abraxas der Administrator der Plattform ist. Ok, was haben wir gegen ihn in der Hand? Es sieht so aus, als sei er für zwei Tage abwesend gewesen und als hätten die Drogendealer infolgedessen einen finanziellen Verlust gemacht. Ist er in Urlaub gewesen? Oder hat er eine Erkältung gehabt? Wenn kriminaltechnische Agenturen genug Informationen dieser Art gesammelt haben, können sie anhand dessen die gesuchte Person ausfindig machen.

Passive Beobachtung ist eine Möglichkeit. In anderen Fällen haben die Ermittler die Kriminellen stattdessen aktiv provoziert, um sie dazu zu bringen, ihre Verhaltensmuster zu ändern. Christopher Ahlberg spricht von mehreren Untersuchungen, die ähnliche Tricks angewendet haben und gute Erfahrungen damit gemacht haben — aus Sicherheitsgründen kann er allerdings keine Details offenbaren, so dass wir diese Methode anhand eines bekannten Beispiels untersuchen werden.

IT-Sicherheitsexperten ist das folgende Prinzip nur zu gut bekannt: Sobald ein Entwickler eine Sicherheitsaktualisierung veröffentlicht, macht sich jemand anders an die Arbeit per Reverse Engineering einen Exploit zu entwickeln. Da viele Menschen Systemupdates nicht rechtzeitig installieren, werden sie zum Ziel eines eifrigen Cyberkriminellen. Da Microsoft seine Sicherheitsaktualisierungen üblicherweise dienstags veröffentlicht, kam die Wendung „Patchdienstag – Exploitmittwoch“ auf. Sie veranschaulicht das oben aufgeführte Prinzip.

https://twitter.com/e_kaspersky/status/696730907143770113/photo/1?ref_src=twsrc%5Etfw

Sicherheitsaktualisierungen sind so zu einem zweischneidigen Schwert geworden. Einerseits schützen sie, andererseits spielen sie Hackern in die Hände und bieten eine Möglichkeit, um unvorsichtige Nutzer zu hacken. Die Dienstagsaktualisierungen hatten dazu geführt, dass Hacker an den Tagen nach deren Veröffentlichung besonders viel zu tun hatten.

Indem Microsoft seine Richtlinie der wöchentlichen Dienstagsupdates geändert hat, hat sich damit auch die Arbeit der Hacker entsprechend auf jeden zweiten und vierten Mittwoch im Monat verschoben. IT-Sicherheitsspezialisten können in ähnlicher Weise mit einer durchdachten Strategie Hacker zu bringen, sich durch veränderte Verhaltensweisen zu verraten. Und genau das tun sie.