Vielleicht ist der markanteste Punkt des DDoS-Angriffs letzter Woche, der mehr als 80 große Webseiten und Onlinedienste lahmlegte, dass den Kriminellen dieser Angriff nicht mit besonders komplexen oder modernen Mitteln gelang, sondern vielmehr durch eine Armee von verbundenen Verbrauchergeräten — das sogenannte Internet der Dinge (Internet of Things – IoT). In diesem Post erklären wir die kritischen Konzepte und wie dieser Vorfall mit jedem von uns in Verbindung steht.
Der Angriff
Am 21. Oktober wachten viele Amerikaner auf und fanden heraus, dass einige der beliebtesten Webseiten nicht verfügbar waren. Kein Netflix, keine Geschäftstransaktionen mit PayPal, kein Online-Gaming mit Sony PlayStation. Und sie konnten nicht einmal über ihr Problem twittern — Twitter fiel auch aus.
Insgesamt zeigten 85 größere Seiten Belastungsanzeichen oder antworteten einfach nicht.
Wie sich herausstellte, war das zugrundeliegende Problem eine Serie von Angriffen — insgesamt drei — auf die Infrastruktur des amerikanischen Internets. Die erste Welle betraf die Ostküste, die zweite User in Kalifornien und Mittleren Westen, sowie Europa. Die dritte Welle wurde durch Dyn, dem Unternehmen zum DNS-Dienst gemildert, das das Hauptziel aller drei Angriffe war.
Musikdienste, Medien und viele andere Ressourcen waren betroffen. Amazon wurde besondere Aufmerksamkeit geschenkt: ein separater Angriff in Westeuropa setzte die Seite eine Zeit lang außer Betrieb.
DNS und DDoS
Nun, wie ist es möglich, so viele Seiten mit nur drei Angriffen zu stören? Um das zu verstehen, müssen Sie wissen, was DNS ist.
Can't get on a website? This is a live map, right now, of the massive DDoS attacks on Dyn's servers. It is creating many issues right now. pic.twitter.com/fekUqNgaL7
— Flying With Fish (@flyingwithfish) October 21, 2016
Das Domain Name System, oder DNS, ist das System, das Ihren Browser mit der Webseite verbindet, nach der Sie suchen. Im Wesentlichen hat jede Seite eine digitale Adresse, einen Ort, an dem sie zu Hause ist, sowie eine freundlichere URL. So lebt z. B. blog.kaspersky.com in der IP-Adresse 161.47.21.156.
Ein DNS-Server funktioniert wie ein Adressbuch – er sagt Ihrem Browser, an welchem digitalen Ort eine Seite gespeichert ist. Sollte ein DNS-Server auf eine Anfrage nicht antworten, wird Ihr Browser nicht wissen, wie er diese Seite laden muss. Daher sind DNS-Provider (besonders größere) Teil einer kritischen Internetinfrastruktur.
Wie Kriminelle einen #DDoS-Angriff nutzten, um 85 Megaseiten, wie #Twitter, #PayPal und #Amazon lahmzulegen.
Tweet
Das bringt uns zu DDoS. Ein DDoS- (distributed-denial-of-service) Angriff überflutet die Server, die eine Webseite oder einen Onlinedienst ausführen, bis sie zusammenbrechen und die von ihnen bedienten Seiten nicht mehr funktionieren. Kriminelle müssen für einen DDoS-Angriff eine enorme Anzahl von Anfragen senden und dafür brauchen sie viele Geräte. Für einen DDoS-Angriff verwenden Sie für gewöhnlich Unmengen von gehackten Computern, Smartphones, Vorrichtungen und andere verbundene Geräte. Zusammen bilden diese Geräte (ohne das Wissen oder Einverständnis des Besitzers) Botnetze.
Chinese manufacturer #recall #IOT gear following #Dyn #DDoS via @Mike_Mimoso https://t.co/SQBo8adUIi #infosec pic.twitter.com/bCtqwuSRmm
— Kaspersky (@kaspersky) October 24, 2016
Dyn außer Gefecht setzen
Nun, Sie sehen, wie das alles passiert ist: Jemand verwendete ein riesiges Botnetz gegen Dyn. Es beinhaltete Zehntausende von Geräten — IP-Kameras, Router, Drucker und andere intelligente Geräte des Internet der Dinge. Sie fluteten die Seite von Dyn mit Anfragen — angeblich 1,2 Terabit pro Sekunde. Der geschätzte Schaden beläuft sich auf ca. 110 Millionen Dollar. Jedoch verlangten die verantwortlichen Kriminellen kein Lösegeld oder stellten andere Forderungen.
Tatsächlich griffen sie nur an und hinterließen keinen Fingerabdruck. Jedoch übernahmen Hackergruppen, wie New World Hackers und RedCult die Verantwortung für den Vorfall. Zudem versprach RedCult, dass in Zukunft weitere Angriffe folgen werden.
Warum sollte der Durschnittsuser diesem Thema Aufmerksamkeit schenken?
Selbst wenn der Vorfall von Dyn Sie nicht persönlich betraf, heißt das nicht, dass Sie nicht Teil davon waren.
Um ein Botnetz zu erstellen, benötigen Kriminelle viele Geräte mit Internetverbindungen. Wie viele verbundene Geräte besitzen Sie? Ein Handy, vielleicht einen intelligenten Fernseher, Festplattenrekorder und eine Webcam? Vielleicht ein verbundenes Thermostat oder einen Kühlschrank? Gehackte Geräte dienen zwei Herren: Für ihre Besitzer funktionieren sie wie gewöhnlich, aber sie greifen auch Webseiten auf Befehl Krimineller an. Millionen solcher Geräte legten Dyn lahm.
Dieses riesige Botnetz wurde mithilfe der Malware Mirai erstellt. Das Vorgehen der Malware ist recht einfach: Sie sucht nach IdD-Geräten und probiert ein Passwort auf allem aus, das sie findet. Für gewöhnlich ändern User die Standardeinstellungen und –Passwörter ihrer Geräte nicht, wodurch die Geräte einfach zu hacken sind — so werden sie Teil der Zombiearmee von Miriai und ähnlicher Malware.
Und das bedeutet, dass Ihr verbundener Fernseher Teil des Botnetzes sein könnte und Sie es niemals wissen werden.
A timely reminder: These 60 dumb passwords can hijack over 500,000 IoT devices into the Mirai botnet https://t.co/RgjgRIJFy8
— Graham Cluley (@gcluley) October 24, 2016
Im September diesen Jahres verwendete jemand Mirai, um den Blog des IT-Sicherheitsjournalisten Brian Krebs lahmzulegen, indem er den Server mit Anfragen von über 380.000 Zombiegeräten mit bis zu 665 Gigabit pro Sekunde überschwemmte. Der Provider versuchte, die Verbindung zu halten, aber gab schließlich auf. Der Blog funktioniert nur dadurch wieder, dass Google zum Schutz eingriff.
Kurz nach dem Angriff veröffentlichte ein User unter dem Pseudonym Anna-senpai den Quelltext von Mirai in einem Untergrundforum. Kriminelle aller Couleur stürzten sich gleichzeitig darauf. Seitdem ist die Zahl der Mirai-Bots konstant gestiegen; der Dyn-Angriff ereignete sich nach weniger als einem Monat.
Verwicklung des IoT
DDoS ist eine sehr beliebte Angriffsart. Und die Verwendung von intelligenten Geräten in solchen Angriffen ist für Kriminelle verlockend — wie wir bereits erwähnten, ist das Internet der Dinge fehleranfällig und verwundbar. Das wird sich in nächster Zeit auch nicht ändern.
How will the Internet of Things affect cybersecurity? – http://t.co/fWScmf4QfQ pic.twitter.com/sAk1mcZPg5
— Kaspersky (@kaspersky) April 9, 2015
Entwickler von intelligenten Geräten unternehmen nicht viel, um ihre Geräte zu sichern und erklären den Usern nicht, dass sie die Passwörter von Kameras, Routern, Druckern und anderen Geräten ändern sollten. Tatsächlich gestatten es viele von ihnen sogar nicht. Das macht IoT-Geräte zum perfekten Ziel.
Heute sind etwa zwischen 7 und 19 Milliarden Geräte mit dem Word Wide Web verbunden. Nach vorsichtigen Schätzungen werden die Zahlen in den nächsten fünf Jahren 30–50 Milliarden erreichen. Man kann fast davon ausgehen, dass die Mehrheit dieser Geräte nicht ausreichend geschützt sein wird. Außerdem sind von Mirai betroffene Geräte noch immer aktiv – und die Botarmee wächst täglich.
Wie sieht eine langfristige Betrachtung aus?
Kriminelle nutzen oft Botnetze, um industrielle Kerninfrastruktur – Umspannwerke, Wasserwerke, und ja, DNS-Provider – anzugreifen. Der Sicherheitsforscher Bruce Schneier beobachtet dies und meint, dass jemand dabei ist, „zu lernen, wie das Internet“ mithilfe von leistungsstarken und kontinuierlichen DDoS-Angriffen lahmgelegt werden kann.
Botnetze wachsen, und wenn solche Angriffstests beendet worden sind, ist es nicht unangemessen, zu denken, dass ein umfassender Angriff beginnen wird. Stellen Sie sich Dutzende von gleichzeitigen Angriffen vor, die so stark wie der des Dyn-Vorfalls sind, und Sie werden verstehen, welcher Schaden angerichtet werden kann. Ganze Länder könnten ihr Internet verlieren.
The #Mirai botnet has recruited nearly 500,000 #IoT devices since its source code was released – https://t.co/m8ooWKrjph
— Threatpost (@threatpost) October 19, 2016
Wie Sie kein Teil des Botnetzes werden
Eine Person kann Botnetze nicht davon abhalten, das Internet lahmzulegen – aber zusammen können wir viel tun, um dem Botnetz nicht beizutreten. Sie können damit beginnen, Ihre Geräte sicherer zu machen, damit Mirai und ähnliche Malware keine Kontrolle über sie übernehmen kann. Hätte das jeder getan, wäre die Größe der Botnetzarmee bedeutungslos.
Um Ihren Drucker, Router oder Kühlschrank davon abzuhalten, mit dem Darknet verbunden zu werden, treffen Sie diese einfachen Vorsichtsmaßnahmen.
1. Ändern Sie Standardpasswörter für all Ihre Geräte. Verwenden Sie verlässliche Kombinationen, die nicht einfach entschlüsselt werden können.
2. Aktualisieren Sie Firmware für all Ihre Geräte — besonders für die älteren — wenn möglich.
3. Wählen Sie intelligente Geräte genau aus. Fragen Sie sich: Braucht es wirklich eine Internetverbindung? Sollte die Antwort „Ja!“ lauten, dann nehmen Sie sich die Zeit, um mehr zu den Geräteoptionen zu lesen, bevor Sie es kaufen. Sollten Sie herausfinden, dass es fest programmierte Passwörter hat, wählen Sie ein anderes Modell.