smartcoder.net

Der beliebte Messenger ICQ wird von Spam heimgesucht. Nichts neues, das Thema Spam kennen viele User schon einige Jahre lang aus Erfahrung. Interessant hingegen, wie die Spammer vorgehen und welche Ports genutzt werden.

Die Ausgabe 10/2003 der PC-Praxis macht den Anfang der smartcoder.net-Serie “Wie Bitte?”. Eine Zeitschrift, die auf eine doch recht lange Geschichte zurückblicken kann, ich kann mich jedenfalls noch an Ausgaben aus den Jahren 1989/1990 erinnern. Ich habe diese Zeitschrift sehr gerne gelesen. Im Rahmen eines “Face-Liftings” wurde das Design und auch das Logo geändert; seither ziert das @-Zeichen den Titel, man kann also annehmen, daß sich diese Zeitschrift nun auch mit dem Internet beschäftigt.
Leider ist auch diese Zeitschrift auf den “illegal-und-geheim-ist-cool”-Zug aufgesprungen. Die aktuelle Ausgabe verspricht “Geheim-Tuning mit Linux-Tools” und “Kopieren trotz Knackverbot”. Sowas konnte man zu Windows 3.1- und frühen Windows 95-Zeiten noch nicht lesen. Merkwürdig ist es nicht, daß es soviele Raubkopien gibt, schließlich wird doch geradezu dazu aufgerufen. Aber das ist ein anderes Thema…

In der Wie Bitte-Ausgabe 1 geht es um einen Artikel, der das Tool IMsecure von zonelabs ankündigt. Ungeachtet dessen geht es mir bei dem Artikel eher darum, wie Spammer die ICQ-User zuspammen. Damit Sie wissen, worum es geht, hier nun erst einmal der betreffende Artikel (Seite 36):

Das TCP/IP-Protokoll scheint für viele immer noch ein Mysterium zu sein. Weit verbreitet ist so zum Beispiel die Meinung, “der Port 80 müsse auf dem eigenen Rechner geöffnet sein, sonst könne man nicht mehr surfen, da HTTP den Port 80 nutze”. Daß dieser Port nur auf dem Server geöffnet sein muß und der Clientport dynamisch geöffnet wird, wissen viele scheinbar nicht.

Anders kann ich mir kaum die Meinung erklären, “Hacker würden den Port 4000 einer bestimmten IP-Range scannen, und wer den Port schließen würde, der würde auch dem Messenger den Dienst verwehren.”

Tatsächlich wird der Port 4000 auf dem lokalen Rechner nahezu immer geschlossen sein, auch wenn keine Firewall (ob Desktop-Firewall oder eine Linux-Firewall oder auch eine Routerfirewall, ist hierbei egal) sich um das “Sichern” des Rechners bemüht. Nun, genauer gesagt, bis auf die Service-Ports bis 1024 sollte überhaupt kein Port geöffnet sein, es sei denn, man hat sich selbst einen Serverdienst programmiert.

Das Paradoxe an der Meldung ist, daß der Port 4000 nur noch für extrem alte ICQ-Versionen eingesetzt wird. Seit ICQ 2000a wird nämlich der Server login.icq.com mit dem Port 5190 benutzt, nachdem ICQ auf ein ähnliches Protokoll wie AIM (Oscar) umgestellt wurde. Der alte Port 4000 (auf dem Server icq.mirabilis.com) ist nur noch aus Gründen der Kompatibilität noch offen, tatsächlich war ICQ 99b die letzte Version - auch die letzte werbefreie - die noch auf Port 4000 aufbaut. Auch viele ICQ-Clones verwenden inzwischen das Protokoll V8 auf Port 5190.

Aber wie Spammen die Spammer nun, wenn Sie keine Ports scannen? Sie loggen sich einfach ins ICQ ein und haben dafür auch einen Account. Nur statt eines normalen Clients wird ein “modfizierter” (gehackt würde sich viel reißerischer anhören, wäre aber falsch) Client verwendet, der die Nachricht einfach an eine große Anzahl von Nummern sendet.

Der genannte Spamblocker kann also nur so funktionieren, wie normale Email-Spamblocker auch: Ein Nachrichtenfilter, der die Nachrichten aufgrund bestimmter Merkmale (Sender-ICQ-Nummer, Wortwahl) blockt. Ganz sicher ist ein solches Verfahren nicht, schließlich wird hier eine heurestische Taktik angewendet, und wie bei Emails schlüpft auch mal eine “böse” Nachricht durch und eine “gute” wird sich auch mal vom Spamfilter löschen lassen. Eine gute Leistung des Filters kann wiederum nur durch häufige Aktualisierung oder durch eine aufwendig zu verwaltende “Whitelist” erreicht werden.

Der richtige Hammer kommt aber erst noch: Im Artikel wird nur von ICQ gesprochen. IMsecure Pro unterstützt hingegen die Messenger AIM (AOL Instant Messenger), Yahoo! Messenger und MSN-Messenger. Sowohl auf der Webseite als auch im Datenblatt ist kein Wort von ICQ zu lesen!

Bravo, PC-Pr@xis!

Quellen:
PC-Praxis Ausgabe 10/03, Seite 36
Zonelabs-Webseite
IMsecure Pro Datenblatt
ICQ-Protokoll-Spezifikationen