Verantwortung

Was wir aus dem DDoS-Angriff auf Dyn lernen können

  • Teilen
    2 Klicks für mehr Datenschutz: Erst wenn Sie hier klicken, wird der Button aktiv und Sie können Ihre Empfehlung senden. Schon beim Aktivieren werden Daten an Dritte übertragen.
  • Drucken
  • Text vorlesen

Gastbeitrag von Bruce Schneier, US-amerikanischer Experte für Kryptografie und Computersicherheit

Bruce Schneier

Letzten Monat legte jemand in einem massiven verteilten Denial-of-Service-Angriff auf den Domänennamen-Anbieter Dyn zahlreiche populäre Websites lahm. Denial-of-Service-Angriffe sind weder neu noch besonders raffiniert. Angreifer lenken massive Verkehrsmengen an die Opfer, was deren Systeme auf Schneckentempo verlangsamt und schließlich abstürzen lässt. Dabei gibt es mehr oder weniger clevere Varianten, aber grundsätzlich geht es bei dem Kampf zwischen Angreifern und Opfern immer um die Größe der Datenkanäle. Verfügen die Verteidiger über große Kapazitäten für den Empfang und die Verarbeitung von Daten, dann gewinnen sie. Können mehr Daten übertragen werden als die Opfer verarbeiten können, dann gehen die Angreifer als Sieger hervor.

Angreifer können zwar riesige „Datenkanonen“ entwickeln, aber das ist kostspielig. Weitaus klüger ist es für sie, Millionen unbeteiligter Computer im Internet für sich einzuspannen. Dies ist der „verteilte“ Teil der DDoS-Attacke, und so spielt es sich im Wesentlichen schon seit Jahrzehnten ab. Hacker infizieren irgendwelche Rechner im ganzen Internet, verknüpfen sie zu einem Botnet und zielen dann mit dem Botnet auf ein einziges Opfer ab.

Hier ein Vergleich aus der realen Welt: Stellen Sie sich vor, ich kann Zehntausende von Menschen so manipulieren, dass sie alle gleichzeitig Pizzas zu Ihnen nach Hause bestellen. Damit könnte ich den normalen Verkehr in Ihrer Straße komplett zum Erliegen bringen. Wenn es mir gelänge, auf diese Weise viele Millionen Menschen zu manipulieren, dann könnte ich Ihr Haus unter der Last zusammenbrechen lassen. Das ist eine DDoS-Attacke: einfach rohe Gewalt.

Wie Sie sich denken können, haben DDoS-Angreifer unterschiedliche Motive. Was zunächst als Angeberei anfing, diente schon bald dazu, andere einzuschüchtern oder Leuten, die man nicht mochte, „eins auszuwischen“. In jüngster Zeit haben diese Attacken auch als Protestaktionen gedient. 2013 reichte die Gruppe Anonymous ein Gesuch beim Weißen Haus ein, DDoS-Angriffe als legitime Form des Protestes anzuerkennen. Kriminelle haben diese Attacken als Erpressungsmethode eingesetzt, wobei man festgestellt hat, dass schon allein die Angst vor einem Angriff ausreicht. Militärs betrachten DDoS-Attacken als eine Waffe in ihren Cyberkrieg-Arsenalen. Eine DDoS-Attacke auf Estland im Jahr 2007 wurde Russland zur Last gelegt und weithin als Cyberkriegshandlung bezeichnet.

Die DDoS-Attacke gegen Dyn vor zwei Wochen war nichts Neues, veranschaulicht aber mehrere wichtige Trends im Bereich der Computersicherheit.

Diese Angriffsmethoden sind sehr leicht umzusetzen. Voll funktionsfähige DDoS-Angriffstools können kostenlos aus dem Internet heruntergeladen werden. Kriminelle Gruppen bieten DDoS als Leistung an, die beauftragt werden kann. Die Angriffstechnik, die gegen Dyn angewandt wurde, war einen Monat vorher zum ersten Mal zum Einsatz gekommen. Sie heißt Mirai, und seit der Quellcode vor vier Wochen freigegeben wurde, haben sich über ein Dutzend Botnets den Code einverleibt.

Die Dyn-Angriffe wurden wahrscheinlich nicht von einem Staat veranlasst. Die Angreifer waren höchstwahrscheinlich Hacker, die auf Dyn wütend waren, weil das Unternehmen Brian Krebs bei der Identifizierung -- und das FBI bei der Verhaftung -- von zwei israelischen Hackern unterstützte, die einen Ring für beauftragbare DDoS-Angriffe organisiert hatten. Unlängst habe ich aber über DDoS-Sondierungsangriffe geschrieben, die sich gegen Internet-Infrastrukturunternehmen richten und von einem Nationalstaat auszugehen scheinen. Um ehrlich zu sein, wissen wir das allerdings nicht mit Sicherheit.

Hier eine wichtige Tatsache: Software schafft Möglichkeiten. Die intelligentesten Angreifer müssen den Angriff ausarbeiten und die Software schreiben. Danach kann sie von allen verwendet werden. Zwischen staatlichen und kriminellen Attacken gibt es nicht einmal einen großen Unterschied.  Im Dezember 2014 wurde in der Security-Community tatsächlich diskutiert, ob der massive Angriff auf Sony von einem Nationalstaat mit einem Militärbudget von 20 Milliarden US-Dollar oder von ein paar Typen irgendwo in einem Keller ausgeführt worden war. Das Internet ist der einzige Ort, wo wir da keinen Unterschied feststellen können. Alle verwenden dieselben Tools, dieselben Methoden, dieselben Taktiken.

Angriffe dieser Art werden immer größer. Die DDoS-Attacke gegen Dyn brach alle Rekorde mit 1,2 Terabit pro Sekunde. Der Rekordhalter war bis dahin ein Angriff auf den Cybersecurity-Journalisten Brian Krebs im Monat davor gewesen: 620 Gigabit pro Sekunde. Dies ist weitaus mehr als für das Lahmlegen einer typischen Website benötigt wird. Noch vor einem Jahr war dies undenkbar, jetzt ist es ein alltägliches Phänomen geworden.

Die Botnet-Angriffe auf Dyn und Brian Krebs basierten weitgehend auf ungesicherten Geräten des Internet der Dinge (IoT): Webcams, digitale Videorekorder, Router usw. Auch das ist nichts Neues. Wir haben bereits erlebt, dass Internet-fähige Kühlschränke und Fernseher in DDoS-Botnets verwendet wurden. Aber wir haben es jetzt mit ganz anderen Größenordnungen zu tun.  2014 war in den Nachrichten von Hunderttausenden von IoT-Geräten die Rede; bei der Dyn-Attacke wurden Millionen Geräte verwendet. Analysten erwarten, dass das IoT die Zahl der im Internet vernetzten Geräte um mindestens das Zehnfache erhöhen wird; man kann davon ausgehen, dass wir bei diesen Angriffen ein ähnliches Wachstum verzeichnen werden.

Das Problem besteht darin, dass diese IoT-Geräte ungesichert sind und voraussichtlich auch bleiben werden. Einen wirtschaftlichen Trickle-down-Effekt von der Internet-Sicherheit zum Internet der Dinge gibt es nicht. In einem Kommentar zum Angriff auf Krebs im letzten Monat schrieb ich:

"Der Markt kann dies nicht korrigieren, weil es sowohl Käufern als auch Verkäufern egal ist. Denken Sie an all die CCTV-Kameras und DVRs, die für den Angriff auf Brian Krebs eingesetzt wurden. Den Besitzern dieser Geräte ist das völlig egal. Ihre Geräte waren eine billige Anschaffung und funktionieren noch. Außerdem kennen sie Brian nicht einmal. Den Verkäufern dieser Geräte ist es auch egal: sie verkaufen mittlerweile neuere und bessere Modelle, und für die ursprünglichen Käufer waren lediglich Preis und Funktionsumfang von Bedeutung. Es gibt keine Marktlösung, weil die Unsicherheit das ist, was Volkswirtschaftler eine Externalität nennen: eine Auswirkung der Kaufentscheidung auf andere. Man kann sich das in etwa wie eine unsichtbare Umweltverschmutzung vorstellen."

Fairerweise ist anzumerken, dass ein Unternehmen, das einige dieser in den Angriffen verwendeten Dinge herstellt, eine Rückrufaktion für seine ungesicherten Webcams durchgeführt hat. Das geschah aber wohl hauptsächlich aus Gründen der Publicity; es würde mich sehr wundern, wenn sie wirklich viele der Geräte zurückerhielten. Wir wissen bereits, dass sich das Bekanntwerden von Software-Sicherheitslücken kaum und nur sehr kurzzeitig schädigend auf den Ruf eines Unternehmens auswirkt. Gegenwärtig nimmt der Markt Einbußen bei der Sicherheit zumeist noch bereitwillig hin, wenn Preis und Time-to-Market stimmen.

Der Schutz vor DDoS-Angriffen funktioniert am besten tief im Netz, wo die Kanäle am größten sind und die Fähigkeit, Attacken zu erkennen und zu blockieren, am ausgeprägtesten ist. Aber den Backbone-Anbietern fehlt der Anreiz dazu. Sie müssen unter den Angriffen nicht leiden und können nichts daran verdienen, wenn sie Schutzmaßnahmen anbieten. Daher lassen Sie die Angriffe durch und zwingen die Opfer, sich selbst zu schützen. In vielerlei Hinsicht ist dies ähnlich wie beim Spam-Problem, das sich auch am besten im Backbone lösen ließe, aber aufgrund ähnlicher wirtschaftlicher Überlegungen wird das Problem an die Endpunkte verschoben.

Es ist unwahrscheinlich, dass es regulatorische Auflagen für die Backbone-Unternehmen geben wird, DDoS-Angriffe oder Spam zu verhindern, oder dass IoT-Hersteller gezwungen werden, ihre Systeme abzusichern. Hier wieder ein Zitat von mir:

"All dies bedeutet, dass das IoT so lange unsicher bleibt, bis der Staat eingreift und das Problem löst. Wenn Märkte versagen, ist der Staat die einzige Lösung. Der Staat könnte Sicherheitsvorschriften für IoT-Hersteller erlassen und diese zwingen, ihre Geräte sicherer zu machen, selbst wenn ihren Kunden dies egal ist. Hersteller könnten haftbar und von Personen wie Brian Krebs verklagbar gemacht werden. All dies würde die Kosten der Unsicherheit erhöhen und Unternehmen Anreize bieten, in die Sicherheit ihrer Geräte zu investieren."

Wer letztendlich dafür bezahlen muss, sind die Opfer. Das ist in vielen Bereichen der Computersicherheit der Stand der Dinge. Weil Hardware, Software und Netztechnik so mit Unsicherheiten behaftet sind, müssen wir eine ganze Branche dafür bezahlen, im Nachhinein Sicherheitslösungen bereitzustellen. Eigentlich kommt das einer Ehrlichkeitssteuer gleich.

Man kann sich Lösungen kaufen. Viele Unternehmen bieten DDoS-Schutz an, jedoch sind diese Produkte generell auf die älteren, kleineren Angriffe ausgerichtet. Wir können mit hoher Gewissheit davon ausgehen, dass sie ihre Angebote ausweiten werden, jedoch könnten sich die Kosten für viele Nutzer als untragbar erweisen. Seien Sie sich der Risiken bewusst. Kaufen Sie sich Schutzlösungen, aber vergessen Sie nicht, dass diese ihre Grenzen haben. Denken Sie daran, dass Angriffe möglich sind und Erfolg haben werden, wenn sie groß genug sind. Und größer werden sie ständig. Seien Sie vorbereitet.

Bruce Schneier ist CTO von Resilient: An IBM Company und Dozent an der Harvard Kennedy School of Govenment. Seinen Blog finden Sie unter www.schneier.com.

LEIGH BUREAU (IRL) LTD
Speakers of Substance on the World's Most Important Subjects
Adelaide House | Adelaide Street | Dun Laoghaire | Co. Dublin | Irland
Tel: +353-1-230-2322 Web: www.leighbureau.eu
Folgen Sie uns! www.twitter.com/LeighBureauLtd

Magenta Secutity

Magenta Security Kongress 2016

Die Telekom informiert Kunden, Partner und Medien über neueste Trends und Lösungen im Bereich Security.

FAQ

Diese Website verwendet Cookies, um Ihnen den bestmöglichen Service zu gewährleisten. Durch die Nutzung der Website {js_accept}akzeptieren{js_accept} Sie die Verwendung von Cookies. Weitere Informationen finden Sie hier.