Anzeige
Anzeige
News
Artikel merken

„Das war erst der Anfang“: Am großen DDoS-Angriff waren vermutlich nur 50.000 Geräte beteiligt

Die große DDoS-Attacke vom Oktober 2016 könnte von nur 50.000 Geräten durchgeführt worden sein. Demnach könnten uns noch weit größere Angriffe bevorstehen.

3 Min. Lesezeit
Anzeige
Anzeige

(Foto: Shutterstock)

Sophos: Sicherheitsexperte Chester Wisniewski über die DDoS-Attacke

Im Oktober 2016 sorgte eine massive DDoS-Attacke auf DNS-Server dafür, dass viele bekannte Websites wie Twitter, Airbnb oder Github für Stunden nicht erreichbar waren. Der Angriff ging von einem Botnet aus, das dazu vor allem auf Geräte aus dem sogenannten Internet der Dinge, wie beispielsweise vernetzte Kameras, zurückgegriffen hat. Das Botnet könnte aus weiter weniger Geräten bestanden haben, als bislang vermutet wurde.

Manche Geräte müsste man wegschmeißen, weil es gar keine Option ist, ein Update einzuspielen

Anzeige
Anzeige

„Level 3 geht davon aus, dass es nur 50.000 Geräte waren“, sagte Chester Wisniewski, Senior Security Advisor bei dem Sicherheitsunternehmen Sophos, t3n.de. Level 3 ist einer der Anbieter, der direkt von der DDoS-Attacke betroffen war. Wisniewski kann die Anzahl zwar selbst nicht verifizieren, rein mathematisch sei es aber plausibel, weil die eingesetzte Botnet-Software über die Fähigkeit verfüge, von jedem infizierten Gerät aus mit jeweils etwa 1.000 gefälschten IP-Adressen anzugreifen.

„Das war erst der Anfang“: Die Attacke hätte noch deutlich größer sein können

„Wenn 50.000 von hundert Millionen schlecht geschützter Geräte sowas anrichten können, was können dann hunderttausend, oder eine Million oder zehn Millionen anrichten?“, so Wisniewski. Tatsächlich war der Oktober-Angriff für den IT-Sicherheitsexperten erst der Anfang. Zukünftig könnte es „hundert verschiedene Kriminelle mit jeweils 50.000 Bots“ geben, wenn jeder von ihnen sich auf unterschiedliche IoT-Geräte konzentriert.

Anzeige
Anzeige
Laut Chester Wisniewski könnte der Oktober-Angriff von nur 50.000 Geräten durchgeführt worden sein. (Foto: Sophos)

Laut Chester Wisniewski könnte der Oktober-Angriff von nur 50.000 Geräten durchgeführt worden sein. (Foto: Sophos)

Problematisch ist vor allem der Umstand, dass es sich bei dem Botnet um IoT-Geräte handelt, und nicht um herkömmliche PCs. Den Besitzer eines infizierten Computers könnte man theoretisch vom Netz abschneiden, und ihm dann bei der Beseitigung des Problems unterstützen. „Wir können das bei IoT nicht machen, weil wir nicht wissen, wem das Gerät gehört, wo sie sich befinden; die meisten Geräte haben nicht einmal notwendigerweise einen Update-Mechanismus integriert. Manche Geräte müsste man wegschmeißen, weil es gar keine Option ist, ein Update einzuspielen.“

Anzeige
Anzeige

Sophos-Experte Wisniewski: Regulierung ist keine Lösung

Das wiederum wirft die Frage auf, wie mit dem Problem umgegangen werden kann. „Die natürliche Reaktion für viele Menschen wäre: Regulierung. Aber du kannst es nicht regulieren, wenn es in China hergestellt, in Taiwan entwickelt und dann in 135 Länder ausgeliefert wird.“ Würde die EU beispielsweise Vorschriften einführen, die den Import von extrem unsicheren IoT-Geräten verbieten, würde das laut Wisniewski trotzdem nur etwa 20 Prozent des gesamten Bot-Traffics betreffen. Und auch wenn wir in der westlichen Welt eine Regulierung einführen wollten, könnten wir uns laut dem Sicherheitsexperten vermutlich nicht auf einheitliche Sicherheitsstandards einigen.

Doch was ist die Alternative? „Schneiden wir dich vom Internet ab, weil das Internet deines Landes dreckig ist? Wenn wir das machen würden, wäre Russland schon vor zehn Jahren aus dem Internet geflogen. Wir wollen nicht, dass das Internet in Nachbarschaften zerlegt wird.“ Wisniewski schlägt daher vor, dass Gerätehersteller eine Form von Zertifizierung unterlaufen müssen. Dazu müsste dann auch eine verbindliche Angabe zum Update-Zeitraum gehören. Dann wüssten die Konsumenten, wie lange sie mit sicherheitsrelevanten Updates für ihre Geräte rechnen können.

Anzeige
Anzeige

DDoS-Attacken: Auch Netzprovider müssen handeln

Aber nicht nur schlecht geschützte IoT-Geräte seien laut Wisniewski ein Problem, sondern auch der Umgang der Netzbetreiber mit den vom Botnet gefälschten IP-Adressen. In viel zu vielen Ländern würden die Telekommunikationsanbieter nicht genug dafür tun, diese Pakete herauszufiltern. „Ich denke die Zahlen, die von Dyn kommen, besagen, dass elf Prozent des Traffics aus Vietnam kam, während neun Prozent oder so aus den USA kamen. Mathematisch betrachtet gibt es viel mehr solcher Kameras in den USA als in Vietnam.“

Eigentlich hätten US-Geräte demnach einen deutlich größeren Anteil am Angriff ausgemacht, aber viele der großen Provider dort haben entsprechenden Traffic anhand der gefälschten IP-Adressen herausgefiltert. „Aber global ist es ziemlich selten. Es machen vielleicht die Hälfte der amerikanischen [Netzbetreiber], die Hälfte der deutschen, ein Drittel der britischen – und der Rest der Welt macht nichts.“

Fazit: Auf absehbare Zeit wird es wohl keine Lösung geben

Letztlich müssen vor allem die Hersteller von IoT-Geräten reagieren, notfalls durch politischen Druck. Gleiches gilt für die Netzprovider aus aller Welt. Bis dahin könnten aber noch eine ganze Reihe von großen DDoS-Attacken stattfinden. Es bleibt zu hoffen, dass der Oktober-Angriff zumindest einige der beteiligten Personen aus der IoT- und der Telekommunikationsbranche zum Umdenken angeregt hat.

Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
8 Kommentare
Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Karl Marks

Und warum richten jetzt lächerliche 50.000 IoT Geräte mehr schaden an als Millionen von ’normalen‘ Geräten? Erschließt sich mir jetzt nicht wirklich…..

Antworten
gokude

weil millionen von normalen geräten nicht gleichzeitig agieren

Antworten
Markus Schmid

Ist es im Krisenfall eigentlich möglich, die Internetverbindungen zu kappen, so dass sich beispielsweise ein Land abschottet und das Internet nur noch innerhalb dieses Landes funktioniert?

Antworten
Markus

Kompletter Schwachsinn.

IP-Spoofing bei Geräten hinter einem NAT-Router geht nachweislich NICHT.

Wenn Mirai beteiligt gewesen sein sollte dann hätte jeder Bot mit 20MBit/s feuern müssen, und auch das ist unrealistisch. Wir haben unsere eigenen Analysen und Tests mit IoT-Botnetzen durchgeführt ( https://www.8ackprotect.com/blog/big_brother_is_attacking_you ) und sind da auf AVG 1 MBit gekommen, im Maximum grad mal die 10 MBit gekratzt.

Quellenangaben zur der Level3-Aussage wäre auch super.

Markus

Antworten
P

@Markus, sehr schöner Blog Artikel mit ausreichend Dokumentation und Nachweise. Wenn ihr jetzt noch „Bäääm“ , „WTF“ und „kompletter Schwachsinn“ weg lässt ist das ganze seriös und rund. Ich habe nicht das Gefühl, dass ein Unternehmen mit eurem Know how so etwas nötig hat. Understatement würde euch besser stehen. Eine Quellenangabe zu “ IP-Spoofing bei Geräten hinter einem NAT-Router geht nachweislich NICHT.“ wäre auch super.
Alles nicht böse gemeint, nur als Hinweis wie das auf mich wirkt.

Grüße

Antworten
Markus

Hallo P; Du hast Recht beim Wording und wir haben da auch einige Kritik einstecken müssen; normal sind unsere Artikel nüchterner gehalten.

Was die Quellenangabe angeht: eigene Tests mit verschiedenen IoT-Botnets, die wir infiltriert haben. Vielleicht hilft dfas weiter: http://stackoverflow.com/questions/1779617/is-it-possible-to-spoof-ip-behind-nat

Antworten
P

Hi,

Danke für die Antwort. Find ich sehr gut. :)
Ich finde die lockere Art und Weise des Artikels grundsätzlich super, ich mag das. Einzig die bemängelten Wörter finde ich persönlich grenzwertig.
Macht auf alle Fälle weiter so.
Der Blogbeitrag ist gut verständlich, zumindest wenn man sich ein wenig in der Materie auskennt. ;)

Danke für den Link auf Stackoverflow, wie der Autor der Antwort allerdings schon sagt, „it is more complicated than that“

In diesem Sinne einen schönen Tag und Grüße
P.

Das ist vielen doch egal

Vor vielen Jahren schon wollte ich bessere Sicherheit.
Dem BSI ist das wohl nicht so wichtig und der System-Bundes-Presse…

TCP oder UDP ? Vermutlich UDP. Wieso also muss ein PRIVATER (ja, die Tarife sind PRIVAT x-or GEWERBLICH) „zillionen“(halt ganz viele) UDP-Pakete absenden ? na also,

Wenn ein Auto raucht weisen die anderen Verkehrsteilnehmer gerne darauf hin und die Kiste wird gesichert…

Und über Rückwärtsketten weiss man schon, woher es kommt und begrenzt deren UDP-Traffic am eigenen Router. Dann lernen die schnell (wegen der Ehrlichen Kunden und deren UDP-Paketen) selber den Ursprung zu suchen und aus dem Spiel zu nehmen. Wie ein offener Wasser-Sprenger in USA wo die Polizei bei Streife das Wasser auf der Straße laufen sieht und dann schrittweise schaut wo es her kommt….

Ist ja alles nicht so wichtig…
Und das man mehrere DNS-Einträge und mehrere Signaturen für sein Zertifikat hat und mindestens ZWEI verschiedene Clouds benutzt um immer eine Reserve zu haben, sollte auch normal sein.
Habe ich auch schon vor über 10 Jahren gefordert. Ist ja nicht so wichtig…

Bald sind auch Lichtschalter digital. Ist ja nicht so wichtig funktionierende Zillionen Schalter steuerlich absetzbar oder tausende funktionierende Lichtschalter im Bundestag und was wir sonst noch bezahlen (Strombergs Versicherung mit tausenden Lichtschaltern) auszutauschen weil die Firmware kein Update kriegt…

Antworten
Abbrechen

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Anzeige
Anzeige