Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

News

„Das war erst der Anfang“: Am großen DDoS-Angriff waren vermutlich nur 50.000 Geräte beteiligt

(Foto: Shutterstock)

Die große DDoS-Attacke vom Oktober 2016 könnte von nur 50.000 Geräten durchgeführt worden sein. Demnach könnten uns noch weit größere Angriffe bevorstehen.

Sophos: Sicherheitsexperte Chester Wisniewski über die DDoS-Attacke

Im Oktober 2016 sorgte eine massive DDoS-Attacke auf DNS-Server dafür, dass viele bekannte Websites wie Twitter, Airbnb oder Github für Stunden nicht erreichbar waren. Der Angriff ging von einem Botnet aus, das dazu vor allem auf Geräte aus dem sogenannten Internet der Dinge, wie beispielsweise vernetzte Kameras, zurückgegriffen hat. Das Botnet könnte aus weiter weniger Geräten bestanden haben, als bislang vermutet wurde.

Manche Geräte müsste man wegschmeißen, weil es gar keine Option ist, ein Update einzuspielen

„Level 3 geht davon aus, dass es nur 50.000 Geräte waren“, sagte Chester Wisniewski, Senior Security Advisor bei dem Sicherheitsunternehmen Sophos, t3n.de. Level 3 ist einer der Anbieter, der direkt von der DDoS-Attacke betroffen war. Wisniewski kann die Anzahl zwar selbst nicht verifizieren, rein mathematisch sei es aber plausibel, weil die eingesetzte Botnet-Software über die Fähigkeit verfüge, von jedem infizierten Gerät aus mit jeweils etwa 1.000 gefälschten IP-Adressen anzugreifen.

„Das war erst der Anfang“: Die Attacke hätte noch deutlich größer sein können

„Wenn 50.000 von hundert Millionen schlecht geschützter Geräte sowas anrichten können, was können dann hunderttausend, oder eine Million oder zehn Millionen anrichten?“, so Wisniewski. Tatsächlich war der Oktober-Angriff für den IT-Sicherheitsexperten erst der Anfang. Zukünftig könnte es „hundert verschiedene Kriminelle mit jeweils 50.000 Bots“ geben, wenn jeder von ihnen sich auf unterschiedliche IoT-Geräte konzentriert.

Laut Chester Wisniewski könnte der Oktober-Angriff von nur 50.000 Geräten durchgeführt worden sein. (Foto: Sophos)
Laut Chester Wisniewski könnte der Oktober-Angriff von nur 50.000 Geräten durchgeführt worden sein. (Foto: Sophos)

Problematisch ist vor allem der Umstand, dass es sich bei dem Botnet um IoT-Geräte handelt, und nicht um herkömmliche PCs. Den Besitzer eines infizierten Computers könnte man theoretisch vom Netz abschneiden, und ihm dann bei der Beseitigung des Problems unterstützen. „Wir können das bei IoT nicht machen, weil wir nicht wissen, wem das Gerät gehört, wo sie sich befinden; die meisten Geräte haben nicht einmal notwendigerweise einen Update-Mechanismus integriert. Manche Geräte müsste man wegschmeißen, weil es gar keine Option ist, ein Update einzuspielen.“

Sophos-Experte Wisniewski: Regulierung ist keine Lösung

Das wiederum wirft die Frage auf, wie mit dem Problem umgegangen werden kann. „Die natürliche Reaktion für viele Menschen wäre: Regulierung. Aber du kannst es nicht regulieren, wenn es in China hergestellt, in Taiwan entwickelt und dann in 135 Länder ausgeliefert wird.“ Würde die EU beispielsweise Vorschriften einführen, die den Import von extrem unsicheren IoT-Geräten verbieten, würde das laut Wisniewski trotzdem nur etwa 20 Prozent des gesamten Bot-Traffics betreffen. Und auch wenn wir in der westlichen Welt eine Regulierung einführen wollten, könnten wir uns laut dem Sicherheitsexperten vermutlich nicht auf einheitliche Sicherheitsstandards einigen.

Bitte beachte unsere Community-Richtlinien

8 Reaktionen
Das ist vielen doch egal

Vor vielen Jahren schon wollte ich bessere Sicherheit.
Dem BSI ist das wohl nicht so wichtig und der System-Bundes-Presse...

TCP oder UDP ? Vermutlich UDP. Wieso also muss ein PRIVATER (ja, die Tarife sind PRIVAT x-or GEWERBLICH) "zillionen"(halt ganz viele) UDP-Pakete absenden ? na also,

Wenn ein Auto raucht weisen die anderen Verkehrsteilnehmer gerne darauf hin und die Kiste wird gesichert...

Und über Rückwärtsketten weiss man schon, woher es kommt und begrenzt deren UDP-Traffic am eigenen Router. Dann lernen die schnell (wegen der Ehrlichen Kunden und deren UDP-Paketen) selber den Ursprung zu suchen und aus dem Spiel zu nehmen. Wie ein offener Wasser-Sprenger in USA wo die Polizei bei Streife das Wasser auf der Straße laufen sieht und dann schrittweise schaut wo es her kommt....

Ist ja alles nicht so wichtig...
Und das man mehrere DNS-Einträge und mehrere Signaturen für sein Zertifikat hat und mindestens ZWEI verschiedene Clouds benutzt um immer eine Reserve zu haben, sollte auch normal sein.
Habe ich auch schon vor über 10 Jahren gefordert. Ist ja nicht so wichtig...

Bald sind auch Lichtschalter digital. Ist ja nicht so wichtig funktionierende Zillionen Schalter steuerlich absetzbar oder tausende funktionierende Lichtschalter im Bundestag und was wir sonst noch bezahlen (Strombergs Versicherung mit tausenden Lichtschaltern) auszutauschen weil die Firmware kein Update kriegt...

Antworten
P

@Markus, sehr schöner Blog Artikel mit ausreichend Dokumentation und Nachweise. Wenn ihr jetzt noch "Bäääm" , "WTF" und "kompletter Schwachsinn" weg lässt ist das ganze seriös und rund. Ich habe nicht das Gefühl, dass ein Unternehmen mit eurem Know how so etwas nötig hat. Understatement würde euch besser stehen. Eine Quellenangabe zu " IP-Spoofing bei Geräten hinter einem NAT-Router geht nachweislich NICHT." wäre auch super.
Alles nicht böse gemeint, nur als Hinweis wie das auf mich wirkt.

Grüße

Antworten
Markus

Hallo P; Du hast Recht beim Wording und wir haben da auch einige Kritik einstecken müssen; normal sind unsere Artikel nüchterner gehalten.

Was die Quellenangabe angeht: eigene Tests mit verschiedenen IoT-Botnets, die wir infiltriert haben. Vielleicht hilft dfas weiter: http://stackoverflow.com/questions/1779617/is-it-possible-to-spoof-ip-behind-nat

Antworten
P

Hi,

Danke für die Antwort. Find ich sehr gut. :)
Ich finde die lockere Art und Weise des Artikels grundsätzlich super, ich mag das. Einzig die bemängelten Wörter finde ich persönlich grenzwertig.
Macht auf alle Fälle weiter so.
Der Blogbeitrag ist gut verständlich, zumindest wenn man sich ein wenig in der Materie auskennt. ;)

Danke für den Link auf Stackoverflow, wie der Autor der Antwort allerdings schon sagt, "it is more complicated than that"

In diesem Sinne einen schönen Tag und Grüße
P.

Markus

Kompletter Schwachsinn.

IP-Spoofing bei Geräten hinter einem NAT-Router geht nachweislich NICHT.

Wenn Mirai beteiligt gewesen sein sollte dann hätte jeder Bot mit 20MBit/s feuern müssen, und auch das ist unrealistisch. Wir haben unsere eigenen Analysen und Tests mit IoT-Botnetzen durchgeführt ( https://www.8ackprotect.com/blog/big_brother_is_attacking_you ) und sind da auf AVG 1 MBit gekommen, im Maximum grad mal die 10 MBit gekratzt.

Quellenangaben zur der Level3-Aussage wäre auch super.

Markus

Antworten
Markus Schmid

Ist es im Krisenfall eigentlich möglich, die Internetverbindungen zu kappen, so dass sich beispielsweise ein Land abschottet und das Internet nur noch innerhalb dieses Landes funktioniert?

Antworten
Karl Marks

Und warum richten jetzt lächerliche 50.000 IoT Geräte mehr schaden an als Millionen von 'normalen' Geräten? Erschließt sich mir jetzt nicht wirklich.....

Antworten
gokude

weil millionen von normalen geräten nicht gleichzeitig agieren

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.