„Das war erst der Anfang“: Am großen DDoS-Angriff waren vermutlich nur 50.000 Geräte beteiligt
Sophos: Sicherheitsexperte Chester Wisniewski über die DDoS-Attacke
Im Oktober 2016 sorgte eine massive DDoS-Attacke auf DNS-Server dafür, dass viele bekannte Websites wie Twitter, Airbnb oder Github für Stunden nicht erreichbar waren. Der Angriff ging von einem Botnet aus, das dazu vor allem auf Geräte aus dem sogenannten Internet der Dinge, wie beispielsweise vernetzte Kameras, zurückgegriffen hat. Das Botnet könnte aus weiter weniger Geräten bestanden haben, als bislang vermutet wurde.
Manche Geräte müsste man wegschmeißen, weil es gar keine Option ist, ein Update einzuspielen
„Level 3 geht davon aus, dass es nur 50.000 Geräte waren“, sagte Chester Wisniewski, Senior Security Advisor bei dem Sicherheitsunternehmen Sophos, t3n.de. Level 3 ist einer der Anbieter, der direkt von der DDoS-Attacke betroffen war. Wisniewski kann die Anzahl zwar selbst nicht verifizieren, rein mathematisch sei es aber plausibel, weil die eingesetzte Botnet-Software über die Fähigkeit verfüge, von jedem infizierten Gerät aus mit jeweils etwa 1.000 gefälschten IP-Adressen anzugreifen.
„Das war erst der Anfang“: Die Attacke hätte noch deutlich größer sein können
„Wenn 50.000 von hundert Millionen schlecht geschützter Geräte sowas anrichten können, was können dann hunderttausend, oder eine Million oder zehn Millionen anrichten?“, so Wisniewski. Tatsächlich war der Oktober-Angriff für den IT-Sicherheitsexperten erst der Anfang. Zukünftig könnte es „hundert verschiedene Kriminelle mit jeweils 50.000 Bots“ geben, wenn jeder von ihnen sich auf unterschiedliche IoT-Geräte konzentriert.
Problematisch ist vor allem der Umstand, dass es sich bei dem Botnet um IoT-Geräte handelt, und nicht um herkömmliche PCs. Den Besitzer eines infizierten Computers könnte man theoretisch vom Netz abschneiden, und ihm dann bei der Beseitigung des Problems unterstützen. „Wir können das bei IoT nicht machen, weil wir nicht wissen, wem das Gerät gehört, wo sie sich befinden; die meisten Geräte haben nicht einmal notwendigerweise einen Update-Mechanismus integriert. Manche Geräte müsste man wegschmeißen, weil es gar keine Option ist, ein Update einzuspielen.“
Sophos-Experte Wisniewski: Regulierung ist keine Lösung
Das wiederum wirft die Frage auf, wie mit dem Problem umgegangen werden kann. „Die natürliche Reaktion für viele Menschen wäre: Regulierung. Aber du kannst es nicht regulieren, wenn es in China hergestellt, in Taiwan entwickelt und dann in 135 Länder ausgeliefert wird.“ Würde die EU beispielsweise Vorschriften einführen, die den Import von extrem unsicheren IoT-Geräten verbieten, würde das laut Wisniewski trotzdem nur etwa 20 Prozent des gesamten Bot-Traffics betreffen. Und auch wenn wir in der westlichen Welt eine Regulierung einführen wollten, könnten wir uns laut dem Sicherheitsexperten vermutlich nicht auf einheitliche Sicherheitsstandards einigen.
Doch was ist die Alternative? „Schneiden wir dich vom Internet ab, weil das Internet deines Landes dreckig ist? Wenn wir das machen würden, wäre Russland schon vor zehn Jahren aus dem Internet geflogen. Wir wollen nicht, dass das Internet in Nachbarschaften zerlegt wird.“ Wisniewski schlägt daher vor, dass Gerätehersteller eine Form von Zertifizierung unterlaufen müssen. Dazu müsste dann auch eine verbindliche Angabe zum Update-Zeitraum gehören. Dann wüssten die Konsumenten, wie lange sie mit sicherheitsrelevanten Updates für ihre Geräte rechnen können.
DDoS-Attacken: Auch Netzprovider müssen handeln
Aber nicht nur schlecht geschützte IoT-Geräte seien laut Wisniewski ein Problem, sondern auch der Umgang der Netzbetreiber mit den vom Botnet gefälschten IP-Adressen. In viel zu vielen Ländern würden die Telekommunikationsanbieter nicht genug dafür tun, diese Pakete herauszufiltern. „Ich denke die Zahlen, die von Dyn kommen, besagen, dass elf Prozent des Traffics aus Vietnam kam, während neun Prozent oder so aus den USA kamen. Mathematisch betrachtet gibt es viel mehr solcher Kameras in den USA als in Vietnam.“
Eigentlich hätten US-Geräte demnach einen deutlich größeren Anteil am Angriff ausgemacht, aber viele der großen Provider dort haben entsprechenden Traffic anhand der gefälschten IP-Adressen herausgefiltert. „Aber global ist es ziemlich selten. Es machen vielleicht die Hälfte der amerikanischen [Netzbetreiber], die Hälfte der deutschen, ein Drittel der britischen – und der Rest der Welt macht nichts.“
Fazit: Auf absehbare Zeit wird es wohl keine Lösung geben
Letztlich müssen vor allem die Hersteller von IoT-Geräten reagieren, notfalls durch politischen Druck. Gleiches gilt für die Netzprovider aus aller Welt. Bis dahin könnten aber noch eine ganze Reihe von großen DDoS-Attacken stattfinden. Es bleibt zu hoffen, dass der Oktober-Angriff zumindest einige der beteiligten Personen aus der IoT- und der Telekommunikationsbranche zum Umdenken angeregt hat.
Und warum richten jetzt lächerliche 50.000 IoT Geräte mehr schaden an als Millionen von ’normalen‘ Geräten? Erschließt sich mir jetzt nicht wirklich…..
weil millionen von normalen geräten nicht gleichzeitig agieren
Ist es im Krisenfall eigentlich möglich, die Internetverbindungen zu kappen, so dass sich beispielsweise ein Land abschottet und das Internet nur noch innerhalb dieses Landes funktioniert?
Kompletter Schwachsinn.
IP-Spoofing bei Geräten hinter einem NAT-Router geht nachweislich NICHT.
Wenn Mirai beteiligt gewesen sein sollte dann hätte jeder Bot mit 20MBit/s feuern müssen, und auch das ist unrealistisch. Wir haben unsere eigenen Analysen und Tests mit IoT-Botnetzen durchgeführt ( https://www.8ackprotect.com/blog/big_brother_is_attacking_you ) und sind da auf AVG 1 MBit gekommen, im Maximum grad mal die 10 MBit gekratzt.
Quellenangaben zur der Level3-Aussage wäre auch super.
Markus
@Markus, sehr schöner Blog Artikel mit ausreichend Dokumentation und Nachweise. Wenn ihr jetzt noch „Bäääm“ , „WTF“ und „kompletter Schwachsinn“ weg lässt ist das ganze seriös und rund. Ich habe nicht das Gefühl, dass ein Unternehmen mit eurem Know how so etwas nötig hat. Understatement würde euch besser stehen. Eine Quellenangabe zu “ IP-Spoofing bei Geräten hinter einem NAT-Router geht nachweislich NICHT.“ wäre auch super.
Alles nicht böse gemeint, nur als Hinweis wie das auf mich wirkt.
Grüße
Hallo P; Du hast Recht beim Wording und wir haben da auch einige Kritik einstecken müssen; normal sind unsere Artikel nüchterner gehalten.
Was die Quellenangabe angeht: eigene Tests mit verschiedenen IoT-Botnets, die wir infiltriert haben. Vielleicht hilft dfas weiter: http://stackoverflow.com/questions/1779617/is-it-possible-to-spoof-ip-behind-nat
Hi,
Danke für die Antwort. Find ich sehr gut. :)
Ich finde die lockere Art und Weise des Artikels grundsätzlich super, ich mag das. Einzig die bemängelten Wörter finde ich persönlich grenzwertig.
Macht auf alle Fälle weiter so.
Der Blogbeitrag ist gut verständlich, zumindest wenn man sich ein wenig in der Materie auskennt. ;)
Danke für den Link auf Stackoverflow, wie der Autor der Antwort allerdings schon sagt, „it is more complicated than that“
In diesem Sinne einen schönen Tag und Grüße
P.
Vor vielen Jahren schon wollte ich bessere Sicherheit.
Dem BSI ist das wohl nicht so wichtig und der System-Bundes-Presse…
TCP oder UDP ? Vermutlich UDP. Wieso also muss ein PRIVATER (ja, die Tarife sind PRIVAT x-or GEWERBLICH) „zillionen“(halt ganz viele) UDP-Pakete absenden ? na also,
Wenn ein Auto raucht weisen die anderen Verkehrsteilnehmer gerne darauf hin und die Kiste wird gesichert…
Und über Rückwärtsketten weiss man schon, woher es kommt und begrenzt deren UDP-Traffic am eigenen Router. Dann lernen die schnell (wegen der Ehrlichen Kunden und deren UDP-Paketen) selber den Ursprung zu suchen und aus dem Spiel zu nehmen. Wie ein offener Wasser-Sprenger in USA wo die Polizei bei Streife das Wasser auf der Straße laufen sieht und dann schrittweise schaut wo es her kommt….
Ist ja alles nicht so wichtig…
Und das man mehrere DNS-Einträge und mehrere Signaturen für sein Zertifikat hat und mindestens ZWEI verschiedene Clouds benutzt um immer eine Reserve zu haben, sollte auch normal sein.
Habe ich auch schon vor über 10 Jahren gefordert. Ist ja nicht so wichtig…
Bald sind auch Lichtschalter digital. Ist ja nicht so wichtig funktionierende Zillionen Schalter steuerlich absetzbar oder tausende funktionierende Lichtschalter im Bundestag und was wir sonst noch bezahlen (Strombergs Versicherung mit tausenden Lichtschaltern) auszutauschen weil die Firmware kein Update kriegt…